旧金山——今年晚些时候,选民们将前往投票站投票,确保美国大选的安全成为本次会议的一个频繁主题RSA会议但投票机已经让位于投票名单和用于报告结果的软件等问题。
互联网安全中心选举安全高级主管亚伦·威尔逊说,他的组织有解决方案。
3步搞定选举
威尔逊解释说,选举技术不仅仅是投票机。例如,电子投票簿包含合格选民名单、选举夜报告系统、选民登记系统和海外公民使用的电子选票传送。他说,这些书籍“比我们的投票系统更容易受到攻击,因为它们以这样或那样的方式与互联网相连”。就拿过去的应用程序来说报告爱荷华州党团会议结果在美国,糟糕的设计导致了发布结果的长时间延迟。
拒绝服务攻击
威尔逊认为有三个与选举有关的问题可能会发生。第一种是拒绝服务(DoS)攻击。在这种情况下,攻击者可能会用虚假请求淹没关键网站或服务,使其无法使用。威尔逊说:“这让我特别担心,因为你知道什么时候发动攻击。”
Ransomware攻击
同样,威尔逊也担心ransomware攻击,这可能会劫持关键的基础设施或数据,并使选举陷入混乱。去年是一个今年是勒索软件的丰收年受害者包括医院和市政当局。就像DoS攻击一样,坏人知道,如果他们在选举当天发动攻击,官员们恢复和报告结果将会困难得多。
这两种攻击为“理性的攻击者提供了最佳的投资回报……我们同意他们是理性的行为者。”
未经授权修改数据
威尔逊想象的最后一种可能的攻击是未经授权的数据修改。这将包括“从网站污损到操纵结果传输到在线门户网站的任何行为”。一个被污损的网站可能会习惯传播虚假信息,可能是错误的日期或投票地点。投票总数被操纵是一场真正的噩梦,它表明,在不触及投票机或选票的情况下,选举结果如何受到影响,人们对选举的信心如何受到动摇。
尽早并经常备份
威尔逊说,选举技术一直是一个小众行业,支持技术更是如此。在为这个领域服务的公司中,最大的公司有40到50名员工。Wilson和CIS汇编了160项最佳实践,这些实践分为从简单策略到高级策略的不同类别,因此公司可以快速提高基线安全性。
威尔逊说:“在我们为技术供应商提供服务的同时,我们也希望给选举官员一些阅读和理解的东西。”其目标是“教会他们向技术提供商和员工提出正确的问题”。
例如,公司和选举组织应设立备用通讯,以防已建立的线路瘫痪。在爱荷华州预选会议期间,用于报告结果的备用电话号码被来自4chan的流氓所占用。
威尔逊还强调了超前规划。例如,个人应该知道自己在紧急情况下的角色。他还强调,公司和选举机构应该对其设备进行完整的系统备份,并就如何快速访问和分发这些备份进行培训。
摒弃复杂、昂贵的设备更新
CIS还设计了一个系统,用于测试和验证系统以及这些系统的更新,称为RABET-V。威尔逊说:“目前的投票系统程序不太支持变革。“包括安全补丁在内的变化部署成本很高。”
参议院国土安全与政府事务委员会高级专业人员Jeffrey Rothblum说,RSA会议上的其他发言人谈到了认证选民设备的问题,目前这一问题“阻碍了设备的更新”。罗斯布鲁姆表示,问题在于,要进行更新,需要对设备进行重新认证,这就造成了“在经过认证的产品和更安全的产品之间做出错误选择”。
使用RABET-V,系统可能需要2-3个月才能通过初始审查,但后续审查将会快得多。beplay手机官网下载本月启动的RABET-V试点项目包括两个投票簿系统、两个结果报告系统和一个审计平台,其目标是进一步完善RABET-V,使其成为一个可行的过程。威尔逊说:“我们提出,我们可以减少系统重新验证的成本。”“但我们需要能够证明这一点。”