Di bawah serangan: bagaimana pemilihan hacking mengancam ujian tengah semester

Pada bulan Maret, para pejabat dari 38 negara bagian memadati ruang konferensi di Cambridge, Massachusetts, untuk latihan simulasi pemilihan dua hari yang dijalankan seperti permainan perang.

Lebih dari 120 pejabat pemilihan negara bagian dan lokal, direktur komunikasi, manajer TI, dan sekretaris negara menjalankan latihan simulasi bencana keamanan yang dapat terjadi pada Hari Pemilu terburuk yang bisa dibayangkan.

Latihan di atas meja dimulai setiap simulasi beberapa bulan sebelum pemilihan jangka menengah 6 November, mempercepat timeline sampai negara-negara membalas serangan secara real time ketika para pemilih pergi ke tempat pemungutan suara. Diorganisasikan oleh proyek Defending Digital Democracy (D3P) di Harvard, upaya bipartisan untuk melindungi proses demokrasi dari serangan dunia maya dan informasi, para peserta latihan memaksa para peserta untuk menanggapi satu skenario mimpi buruk demi satu - mesin pemilihan dan peretasan basis data pemilih, penyangkalan distribusi layanan yang didistribusikan Serangan (DDoS) merobohkan situs web, membocorkan informasi yang salah tentang kandidat, informasi polling palsu yang disebarluaskan untuk menekan suara, dan kampanye media sosial yang dikoordinir oleh penyerang negara-bangsa untuk menabur ketidakpercayaan.

Seperti yang telah kita lihat dalam pemilihan baru-baru ini di seluruh dunia, banyak serangan sering terjadi secara bersamaan.

"Pikirkan tentang penolakan serangan layanan dan phishing normal dan taktik tipe malware akan digunakan selama pemilihan, " kata Eric Rosenbach, direktur D3P dan kepala staf untuk Sekretaris Pertahanan AS Ashton Carter dari 2015 hingga 2017.

"Bagian yang paling saya khawatirkan dengan DDoS adalah serangan terhadap halaman web yang mengumumkan hasil yang dikombinasikan dengan high-end. Lihat apa yang terjadi di Ukraina pada 2014. Rusia men-DDoSed halaman web yang digunakan Ukraina untuk mengumumkan hasil pemilihan, lalu mengarahkan semua orang kembali ke Rusia Hari ini dan memberikan hasil palsu. Ukraina menjadi bingung tentang siapa yang sebenarnya telah terpilih sebagai presiden."

Memahami keamanan pemilu modern berarti menghadapi kenyataan yang menakutkan: terutama di Amerika Serikat, infrastrukturnya terlalu terfragmentasi, ketinggalan zaman, dan rentan untuk sepenuhnya diamankan. Ada juga terlalu banyak jenis serangan di lanskap ancaman untuk menghentikan mereka semua.

PCMag berbicara kepada pejabat negara, operasi politik, akademisi, perusahaan teknologi, dan peneliti keamanan tentang realitas nyata keamanan pemilu pada tahun 2018. Di kedua sisi lorong politik, di setiap tingkat pemerintahan, dan di seluruh industri teknologi, Amerika Serikat sedang bergulat dengan ancaman keamanan dunia maya yang mendasar untuk pemilihan kita. Kami juga berencana bagaimana bereaksi ketika ada yang salah, baik selama pemilihan jangka menengah yang penting ini dan dalam pemilihan umum 2020.

Melindungi 'Permukaan Serangan'

Dalam keamanan dunia maya, semua sistem dan perangkat terbuka yang dapat diserang disebut "permukaan serangan." Permukaan serangan pemilihan AS sangat besar dan dapat dibagi menjadi tiga tingkat utama.

Yang pertama adalah infrastruktur pemilihan; pikirkan mesin pemungutan suara, basis data pendaftaran pemilih, dan semua situs web pemerintah negara bagian dan lokal yang memberi tahu orang di mana dan bagaimana memilih.

Lalu ada tingkat keamanan kampanye. Seperti yang ditunjukkan 2016, kampanye adalah sasaran empuk bagi peretas. Data kampanye yang dicuri kemudian dapat digunakan sebagai senjata ampuh untuk tingkat serangan ketiga yang lebih samar: dunia jahat dari informasi yang salah persenjataan dan kampanye pengaruh sosial. Di depan ini, pasukan troll aktor negara-bangsa terus beroperasi di seluruh web dan menyerang platform media sosial, yang telah menjadi medan pertempuran persepsi pemilih.

Mencoba memecahkan berbagai masalah sistemik yang mengganggu masing-masing level ini sering menimbulkan lebih banyak pertanyaan daripada jawaban. Sebaliknya, banyak strategi untuk mengurangi risiko keamanan pemilu masuk akal: kertas suara dan audit suara; memberi pemerintah negara bagian dan lokal lebih banyak sumber daya; dan menyediakan alat dan pelatihan keamanan untuk kampanye dan pejabat pemilu.

Beberapa pertanyaan yang lebih rumit dan memecah belah, untuk administrator pemilu dan pekerja kampanye serta pemilih: Bagaimana Anda mendekati proses pemilihan di era media sosial yang penuh dengan informasi yang salah secara online? Dan ketika Anda menyimpan keraguan tentang semua informasi digital yang melintasi layar Anda, apa yang harus Anda percayai?

Apa yang Kami Pelajari Dari 2016

Setiap percakapan tentang keamanan pemilu AS di semester tengah 2018 dan seterusnya akhirnya menemukan jalan kembali ke pemilihan presiden 2016. Sebelum perlombaan itu, kami telah melihat serangan cyber diarahkan pada kampanye dan pemilihan sejak pertengahan 2000-an, tetapi tidak pernah sebelumnya pada skala itu.

"Pada saat itu, tidak ada yang pernah melihat hal seperti ini sebelumnya. Sangat mengejutkan untuk berpikir bahwa Rusia akan begitu berani untuk ikut campur dalam demokrasi kita dan mempengaruhinya dalam mendukung kandidat tertentu, " kata Rosenbach, yang memberikan kesaksian di depan Kongres pada bulan Maret tentang campur tangan Rusia dalam pemilu 2016. "Saya telah bekerja dalam keamanan nasional selama 20 tahun sekarang, dan ini adalah masalah yang paling rumit, paling sulit yang pernah saya tangani."

Pada titik ini, faktanya cukup jelas. Selusin orang Rusia yang diduga bekerja untuk GRU, dinas intelijen militer Rusia, didakwa karena meretas Komite Nasional Demokratik (DNC) dan membocorkan dokumen ke organisasi termasuk WikiLeaks, yang merilis lebih dari 20.000 email.

Beroperasi di bawah persona online termasuk Guccifer 2.0, Fancy Bear, dan DCLeaks, para peretas yang didakwa juga melanggar basis data pendaftaran pemilih di Illinois dan Arizona pada Agustus 2016 dan mencuri informasi lebih dari 500.000 pemilih. Laporan FBI dan NSA berikutnya menemukan bahwa peretas mengkompromikan perangkat lunak pemungutan suara di 39 negara bagian selama pemilihan presiden 2016. Wakil Jaksa Agung AS Rod Rosenstein mengatakan dalam dakwaan peretas Rusia bahwa "tujuan konspirasi itu akan berdampak pada pemilihan."

Itu hanya serangan yang menghantam dua tingkat pertama infrastruktur pemilu. Di media sosial, Rusia, Iran, dan lainnya melepaskan bot dan pabrik troll - termasuk Internet Research Agency (IRA) yang didukung Rusia - yang menyebarkan berita palsu dan membeli ribuan iklan politik di Facebook dan Twitter untuk memengaruhi pendapat pemilih. Sementara terkait dengan partai-partai politik daripada peretas luar, skandal Cambridge Analytica Facebook juga memainkan peran dalam bagaimana platform media sosial mempengaruhi pemilu 2016.

"Kami tidak bereaksi dengan cepat atau cukup kuat, " kata Rosenbach. Saat bekerja di Pentagon, Rosenbach juga menjabat sebagai Asisten Asisten Sekretaris Pertahanan untuk Cyber ​​dari 2011 hingga 2014, dan Asisten Sekretaris Pertahanan untuk Keamanan Global yang mengawasi keamanan dunia maya.

Dia sekarang adalah co-direktur Belfer Center di Harvard's Kennedy School dan direktur D3P. Dia mendirikannya tahun lalu bersama Matt Rhoades, manajer kampanye Mitt Romney selama pemilihan 2012, dan Robby Mook, manajer kampanye Hillary Clinton pada 2016.

"Satu hal penting untuk dipahami dari sudut pandang keamanan adalah bahwa kampanye itu sendiri tidak pernah diretas, " kata Mook kepada PCMag. "Akun email pribadi diretas, dan DNC diretas, tapi saya pikir itu peringatan penting bagi semua orang bahwa kita benar-benar harus mengamankan seluruh ekosistem. Musuh akan pergi ke mana pun mereka bisa untuk mempersenjatai informasi melawan kandidat yang berbeda."

Serangan phishing yang berhasil meretas akun Gmail pribadi Ketua DNC John Podesta pada tahun 2016 membuat Mook menyadari bahwa tidak ada mekanisme yang ada untuk bagaimana bereaksi terhadap serangan sebesar ini. Pada tahun 2017, ia terhubung dengan Rhoades, yang telah berurusan dengan upaya peretasan konstan oleh pasukan cyber Cina selama menjalankan kepresidenan Romney. Ide dasarnya adalah membuat daftar hal-hal yang harus dilakukan untuk mencegah eksploitasi seperti ini dalam kampanye di masa depan dan untuk menyediakan tempat bagi kampanye untuk pergi ketika mereka diretas.

Keduanya terhubung dengan Rosenbach dan bekerja untuk menerbitkan D3P Cybersecurity Campaign Playbook. Sejak itu mereka telah berkolaborasi pada dua buku pedoman lainnya: satu untuk penyelenggara pemilihan negara bagian dan lokal, dan satu yang memberi tahu pejabat komunikasi tentang bagaimana cara melawan informasi yang salah secara online. Mereka juga membantu mengatur dan menjalankan simulasi meja antar negara bagian.

Mook tidak ingin menghabiskan terlalu banyak waktu berbicara tentang 2016; penting untuk tidak terus menghidupkan kembali pertempuran terakhir ketika Anda bisa mempersiapkan yang berikutnya, katanya.

"Faktanya adalah, kamu tidak tahu mengapa atau bagaimana seseorang mencoba masuk. Kamu hanya tahu bahwa seseorang akan melakukannya, " kata Mook. "Yang paling penting adalah memikirkan apa yang akan terjadi selanjutnya. Apa ancaman yang belum kita pertimbangkan atau lihat? Saya pikir ujian tengah semester akan berpotensi memunculkan beberapa kerentanan baru, tapi saya pikir ini lebih tentang melihat sistem sebagai utuh dan mencari tahu setiap cara yang mungkin seseorang bisa masuk."



Lansekap Ancaman Pergeseran

Ketika kita mendekati semester tengah 2018 dan menghadapi slog panjang untuk pemilihan presiden AS 2020, lanskap ancaman menjadi fokus.

Meskipun Presiden Trump telah meremehkan tingkat campur tangan Rusia, AS memukul Rusia dengan sanksi baru pada bulan Maret. "Kami terus melihat kampanye pengiriman pesan oleh Rusia untuk mencoba melemahkan dan memecah Amerika Serikat, " kata Direktur Intelijen Nasional AS Dan Coats dalam konferensi singkat Agustus.

Itu terjadi setelah Microsoft pada bulan Juli menghalangi upaya peretasan yang melibatkan domain palsu yang menargetkan tiga kandidat yang mencalonkan diri untuk dipilih kembali. Hanya beberapa minggu sebelum cerita ini diterbitkan, seorang warga Rusia dituduh mengawasi upaya untuk memanipulasi pemilih melalui Facebook dan Twitter untuk mengganggu ujian tengah semester. Elena Khusyaynova, seorang warga Rusia yang disebutkan dalam surat dakwaan itu, diduga mengelola operasi keuangan dan sosial yang berafiliasi dengan IRA, menggunakan anggaran lebih dari $ 35 juta yang didanai oleh oligarki Rusia dan sekutu Putin Yevgeny Prigozhin.

Direktur Intelijen Nasional, Departemen Keamanan Dalam Negeri, dan FBI mengeluarkan pernyataan bersama yang sesuai dengan dakwaan. Ini menyatakan bahwa sementara tidak ada bukti terkini dari infrastruktur pemilihan yang terganggu di tengah semester, "beberapa pemerintah negara bagian dan lokal telah melaporkan upaya-upaya yang dikurangi untuk mengakses jaringan mereka, " termasuk basis data pendaftaran pemilih.

Dalam minggu-minggu terakhir sebelum pemilihan paruh waktu, Komando Dunia Maya AS dilaporkan bahkan mengidentifikasi para operator Rusia yang mengendalikan akun-akun troll dan memberi tahu mereka bahwa AS mengetahui kegiatan mereka dalam upaya untuk mencegah campur tangan pemilu.

"Kami prihatin dengan kampanye yang sedang berlangsung oleh Rusia, Cina, dan aktor asing lainnya, termasuk Iran, untuk merusak kepercayaan pada lembaga-lembaga demokratis dan mempengaruhi sentimen publik dan kebijakan pemerintah, " pernyataan itu berbunyi. "Kegiatan-kegiatan ini juga dapat berusaha untuk mempengaruhi persepsi pemilih dan pengambilan keputusan dalam pemilu AS 2018 dan 2020."

Mencari Pola

Saat memantau aktivitas dari musuh asing dan musuh cyber potensial lainnya, para ahli mencari pola. Toni Gidwani mengatakan ini seperti mempelajari susunan radar dari semua entitas jahat yang berbeda di luar sana; Anda mencari indikator peringatan dini untuk mengurangi risiko dan mengamankan tautan terlemah dalam pertahanan Anda.

Gidwani adalah Direktur Operasi Riset di perusahaan cybersecurity ThreatConnect. Dia telah menghabiskan tiga tahun terakhir mempelopori penelitian ThreatConnect ke hack DNC dan operasi pengaruh Rusia pada pemilihan presiden AS 2016; timnya menghubungkan Guccifer 2.0 ke Fancy Bear. Gidwani menghabiskan dekade pertama karirnya di DoD, di mana ia membangun dan memimpin tim analisis di Badan Intelijen Pertahanan.

"Anda harus menarik tali pada banyak bidang yang berbeda, " kata Gidwani. "Fancy Bear sedang mengerjakan banyak saluran berbeda untuk mencoba memasukkan data DNC ke domain publik. Guccifer adalah salah satu front itu, DCLeaks adalah satu, dan WikiLeaks adalah front yang berdampak paling tinggi."

Gidwani memecah eksploitasi negara-bangsa yang telah kita saksikan dalam beberapa kegiatan berbeda yang bersama-sama membentuk kampanye campur tangan multi-tahap. Pelanggaran data yang berfokus pada kampanye menyebabkan kebocoran data strategis pada saat-saat kritis dalam siklus pemilu.

"Kami sangat prihatin dengan serangan spear-phishing dan man-in-the-middle. Informasi itu sangat berdampak ketika masuk ke domain publik sehingga Anda mungkin tidak memerlukan malware canggih, karena kampanye adalah operasi penjemputan seperti itu, dengan masuknya sukarelawan sebagai target, "jelasnya. "Kamu tidak perlu kerentanan nol hari jika phear-phishing-mu bekerja."

Serangan penetrasi pada dewan pemilihan negara bagian adalah cabang lain yang dimaksudkan untuk mengganggu rantai pasokan mesin pemungutan suara dan mengikis kepercayaan terhadap validitas hasil pemilu. Gidwani mengatakan infrastruktur infrastruktur pemungutan suara yang sudah usang dan terfragmentasi dari satu negara ke negara lain seperti suntikan SQL, yang "kami harap tidak menjadi bagian dari buku pedoman serangan lagi, " tidak hanya mungkin tetapi juga efektif.

Operasi-operasi itu sebagian besar berbeda dari grup Facebook dan akun troll Twitter yang dibuat oleh IRA dan aktor negara-bangsa lainnya, termasuk Cina, Iran, dan Korea Utara. Pada akhirnya, kampanye itu lebih tentang membangkitkan sentimen dan mempengaruhi pemilih di seluruh spektrum politik, memperkuat kebocoran data yang terkoordinasi dengan miring politik. Ketika sampai pada informasi yang salah, kami hanya menemukan ujung gunung es.

"Salah satu hal yang membuat pemilihan begitu menantang adalah bahwa mereka terdiri dari banyak bagian yang berbeda tanpa pemegang saham tunggal, " kata Gidwani. "Tantangan besar yang kami geluti pada dasarnya adalah pertanyaan politik, bukan masalah teknis. Platform ini berupaya membuat konten yang sah lebih mudah diidentifikasi dengan memverifikasi kandidat. Tetapi dengan seberapa viral jenis konten ini dapat menyebar, dibutuhkan kami di luar dunia keamanan informasi."



Memasukkan Lubang Baru di Mesin Lama

Pada tingkat yang paling mendasar, infrastruktur pemilu Amerika adalah tambal sulam - tumpukan mesin pemilihan yang sudah ketinggalan zaman dan tidak aman, basis data pemilih yang rentan, dan situs web negara bagian dan lokal yang kadang-kadang bahkan tidak memiliki enkripsi dan keamanan yang paling dasar.

Dalam cara yang terbelakang, sifat terpecah-pecah dari infrastruktur pemungutan suara nasional dapat menjadikannya target yang kurang menarik daripada eksploitasi dengan dampak yang lebih luas. Karena teknologi analog yang sudah ketinggalan zaman dan kadang-kadang analog dalam mesin pemilihan dan seberapa jauh masing-masing negara berbeda dari yang berikutnya, para peretas perlu mengeluarkan upaya yang signifikan dalam setiap kasus untuk mengkompromikan setiap sistem yang terlokalisasi secara individual. Itu kesalahpahaman sampai batas tertentu, karena peretasan infrastruktur pemungutan suara negara bagian atau lokal di distrik ayunan utama benar-benar dapat mempengaruhi hasil pemilu.

Dua siklus pemilihan yang lalu, Jeff Williams berkonsultasi untuk vendor mesin pemungutan suara utama AS, yang dia tolak. Perusahaannya melakukan tinjauan kode manual dan uji keamanan mesin pemungutan suara, teknologi manajemen pemilihan, dan sistem penghitungan suara, dan menemukan banyak kerentanan.

Williams adalah CTO dan salah satu pendiri Contrast Security, dan salah satu pendiri Proyek Keamanan Aplikasi Web Terbuka (OWASP). Dia mengatakan bahwa karena sifat kuno dari perangkat lunak pemilihan, yang dikelola dalam banyak kasus oleh daerah setempat yang sering membuat keputusan pembelian lebih berdasarkan anggaran daripada keamanan, teknologi tidak berubah banyak.

"Ini bukan hanya tentang mesin pemungutan suara. Ini semua perangkat lunak yang Anda gunakan untuk mengatur pemilihan, mengelolanya, dan mengumpulkan hasilnya, " kata Williams. "Mesin memiliki masa pakai yang cukup lama karena harganya mahal. Kita berbicara tentang jutaan baris kode dan pekerjaan bertahun-tahun yang mencoba untuk memeriksanya, dengan keamanan yang rumit untuk diterapkan dan tidak terdokumentasi dengan baik. Ini adalah gejala masalah yang jauh lebih besar - ​​tidak ada yang memiliki wawasan tentang apa yang terjadi dalam perangkat lunak yang mereka gunakan."

Williams mengatakan dia juga tidak memiliki kepercayaan pada proses pengujian dan sertifikasi. Sebagian besar pemerintah negara bagian dan lokal mengumpulkan tim kecil yang melakukan pengujian penetrasi, jenis pengujian yang sama yang menjadi berita utama di Black Hat. Williams percaya itu pendekatan yang salah, dibandingkan dengan pengujian jaminan kualitas perangkat lunak lengkap. Kontes peretasan seperti yang ada di Desa Voting di DefCon menemukan kerentanan, tetapi mereka tidak memberi tahu Anda semua tentang potensi eksploitasi yang tidak Anda temukan.

Masalah yang lebih sistemik secara nasional adalah bahwa mesin pemungutan suara dan perangkat lunak manajemen pemilu berbeda secara besar-besaran dari satu negara ke negara lain. Hanya ada beberapa vendor besar yang terdaftar untuk menyediakan mesin pemungutan suara dan sistem pemungutan suara tersertifikasi, yang dapat berupa sistem pemungutan suara kertas, sistem pemungutan suara elektronik, atau kombinasi keduanya.

Menurut organisasi nirlaba Verified Voting, 99 persen suara Amerika dihitung oleh komputer dalam beberapa bentuk, baik dengan memindai berbagai jenis surat suara kertas atau melalui entri elektronik langsung. Laporan 2018 Verified Voting menemukan bahwa 36 negara bagian masih menggunakan peralatan pemungutan suara yang terbukti tidak aman, dan 31 negara bagian akan menggunakan mesin pemungutan suara elektronik pencatatan langsung untuk setidaknya sebagian dari pemilih.

Yang paling mengkhawatirkan, lima negara bagian - Delaware, Georgia, Louisiana, New Jersey, dan Carolina Selatan - saat ini menggunakan mesin pemungutan suara elektronik rekaman langsung tanpa jejak audit kertas yang diverifikasi oleh pemilih. Jadi jika penghitungan suara diubah dalam sistem elektronik, baik melalui peretasan fisik atau jarak jauh, negara bagian mungkin tidak memiliki cara untuk memverifikasi hasil yang valid dalam proses audit di mana seringkali hanya pengambilan sampel statistik suara diperlukan, daripada penghitungan ulang penuh.

"Tidak ada sekotak gantung untuk kita hitung, " kata Joel Wallenstrom, CEO aplikasi pesan terenkripsi, Wickr. "Jika ada klaim di tengah semester bahwa hasilnya tidak nyata karena Rusia melakukan sesuatu, bagaimana kita menangani masalah informasi yang salah itu? Orang-orang membaca berita utama yang bombastis, dan kepercayaan mereka pada sistem semakin terkikis."

Memutakhirkan infrastruktur pemungutan suara negara-demi-negara dengan teknologi dan keamanan modern tidak terjadi untuk ujian tengah semester dan kemungkinan tidak sebelum 2020. Sementara negara bagian termasuk Virginia Barat sedang menguji teknologi yang muncul seperti blockchain untuk pencatatan dan audit suara elektronik, sebagian besar peneliti dan pakar keamanan mengatakan bahwa sebagai pengganti sistem yang lebih baik, metode paling aman untuk memverifikasi suara adalah jejak kertas.

"Jejak audit kertas telah menjadi seruan bagi komunitas keamanan untuk waktu yang lama, dan di tengah semester dan mungkin pemilihan presiden mereka akan menggunakan satu ton mesin yang tidak memiliki itu, " kata Williams. "Bukanlah hiperbola untuk mengatakan ini adalah ancaman eksistensial terhadap demokrasi."

Salah satu negara bagian dengan jejak audit kertas adalah New York. Deborah Snyder, Kepala Petugas Keamanan Informasi negara bagian itu, mengatakan kepada PCMag pada KTT National Cyber ​​Security Alliance (NCSA) baru-baru ini bahwa New York tidak termasuk di antara 19 negara bagian yang diperkirakan 35 juta catatan pemilihnya dijual di web gelap. Namun, catatan pemilih Negara Bagian New York yang tersedia untuk umum diduga tersedia secara gratis di forum lain.

Negara melakukan penilaian risiko rutin atas mesin dan infrastruktur pemilihannya. New York juga telah menginvestasikan jutaan sejak 2017 dalam deteksi intrusi lokal untuk meningkatkan pemantauan dan respons insiden, baik di dalam negara bagian maupun dalam koordinasi dengan Pusat Berbagi Informasi dan Analisis (ISAC), yang bermitra dengan negara bagian lain dan sektor swasta.

"Kami memiliki kesadaran yang meningkat menjelang dan melalui pemilihan, " kata Snyder. "Saya memiliki tim di geladak dari jam 6 pagi sehari sebelum tengah malam pada Hari Pemilihan. Kita semua berada di geladak, dari Pusat Intelijen Negara Bagian New York ke ISAC ke Dewan Pemilihan lokal dan negara bagian dan kantor saya, ITS dan Divisi Keamanan Dalam Negeri dan Layanan Darurat."



Situs Pemilihan Lokal Adalah Bebek Duduk

Aspek terakhir dan paling sering diabaikan keamanan pemilu negara bagian dan lokal adalah situs web pemerintah memberitahu warga di mana dan bagaimana memilih. Di beberapa negara, sangat sedikit konsistensi antara situs resmi, banyak di antaranya bahkan tidak memiliki sertifikat keamanan HTTPS yang paling dasar, yang memverifikasi bahwa halaman web dilindungi dengan enkripsi SSL.

Perusahaan cybersecurity McAfee baru-baru ini mensurvei keamanan situs dewan pemilihan daerah di 20 negara bagian dan menemukan bahwa hanya 30, 7 persen situs yang memiliki SSL untuk mengenkripsi informasi yang dibagikan pemilih dengan situs web secara default. Di negara bagian termasuk Montana, Texas, dan Virginia Barat, 10 persen situs atau lebih sedikit dienkripsi dengan SSL. Penelitian McAfee menemukan bahwa di Texas saja, 217 dari 236 situs web pemilihan county tidak menggunakan SSL.

Anda dapat memberi tahu situs terenkripsi SSL dengan mencari HTTPS di URL situs web. Anda juga dapat melihat ikon kunci atau kunci di peramban Anda, yang berarti Anda berkomunikasi dengan aman dengan sebuah situs dengan siapa mereka mengatakannya. Pada bulan Juni, Google Chrome mulai menandai semua situs HTTP yang tidak dienkripsi sebagai "tidak aman."

"Tidak memiliki SSL pada tahun 2018 dalam persiapan untuk ujian tengah semester berarti situs web county ini jauh lebih rentan terhadap serangan MiTM dan gangguan data, " kata McAfee CTO Steve Grobman. "Ini sering merupakan varian HTTP lama yang tidak aman yang tidak mengarahkan Anda ke situs yang aman, dan dalam banyak kasus, situs-situs itu akan membagikan sertifikat. Hal-hal memang terlihat lebih baik di tingkat negara bagian, di mana hanya sekitar 11 persen situs yang tidak dienkripsi, tetapi ini situs county setempat benar-benar tidak aman."

Dari negara bagian yang termasuk dalam penelitian McAfee, hanya Maine yang memiliki lebih dari 50 persen situs web pemilihan county dengan enkripsi dasar. New York hanya 26, 7 persen, sementara California dan Florida sekitar 37 persen. Tetapi kurangnya keamanan dasar hanya setengah dari cerita. Penelitian McAfee juga menemukan hampir tidak ada konsistensi dalam domain situs pemilihan daerah.

Persentase yang sangat kecil dari situs pemilihan negara menggunakan domain.gov yang diverifikasi pemerintah, alih-alih memilih domain tingkat atas umum (TLD) seperti.com,.us,.org, atau.net. Di Minnesota, 95, 4 persen dari situs pemilihan menggunakan domain non-pemerintah, diikuti oleh Texas pada 95 persen dan Michigan pada 91, 2 persen. Ketidakkonsistenan ini membuat hampir tidak mungkin bagi seorang pemilih reguler untuk membedakan tempat pemilihan mana yang sah.

Di Texas, 74, 9 persen situs web pendaftaran pemilih lokal menggunakan domain.us, 7, 7 persen menggunakan.com, 11, 1 persen menggunakan.org, dan 1, 7 persen menggunakan.net. Hanya 4, 7 persen situs yang menggunakan domain.gov. Di Texas county of Denton, misalnya, situs web pemilihan county adalah https://www.votedenton.com/, tetapi McAfee menemukan bahwa situs web terkait seperti www.vote-denton.com tersedia untuk dibeli.

Dalam skenario seperti ini, penyerang bahkan tidak perlu meretas situs web lokal. Mereka hanya dapat membeli domain serupa dan mengirim email phising yang mengarahkan orang untuk mendaftar untuk memilih melalui situs penipuan. Mereka bahkan dapat memberikan informasi pemungutan suara palsu atau lokasi tempat pemungutan suara yang salah.

"Apa yang kita lihat dalam keamanan dunia maya secara umum adalah bahwa penyerang akan menggunakan mekanisme paling sederhana yang efektif untuk mencapai tujuan mereka, " kata Grobman. "Meskipun dimungkinkan untuk meretas sendiri mesin pemungutan suara, ada banyak tantangan praktis untuk itu. Jauh lebih mudah untuk mengejar sistem pendaftaran dan basis data pemilih atau hanya membeli situs web. Dalam beberapa kasus kami menemukan ada domain yang serupa dibeli oleh pihak lain. Semudah menemukan halaman penjualan GoDaddy."



Kampanye: Potongan Pindah dan Target Mudah

Biasanya dibutuhkan lebih banyak upaya bagi peretas untuk menyusup ke setiap negara bagian atau sistem negara bagian daripada mencari buah yang mudah digantung seperti kampanye, tempat ribuan karyawan sementara membuat tanda menarik. Seperti yang kita lihat pada tahun 2016, dampak dari pelanggaran data kampanye dan kebocoran informasi dapat menjadi bencana besar.

Penyerang dapat menembus kampanye dengan berbagai cara, tetapi pertahanan terkuat hanya memastikan dasar-dasarnya dikunci. Kampanye Cybersecurity Playbook D3P tidak mengungkapkan taktik keamanan yang inovatif. Ini pada dasarnya adalah daftar periksa yang dapat mereka gunakan untuk memastikan setiap karyawan kampanye atau sukarelawan diperiksa, dan bahwa siapa pun yang bekerja dengan data kampanye menggunakan mekanisme perlindungan seperti otentikasi dua faktor (2FA) dan layanan pesan terenkripsi seperti Signal atau Wickr. Mereka juga perlu dilatih tentang kebersihan informasi yang masuk akal dengan kesadaran bagaimana menemukan skema phishing.

Robby Mook berbicara tentang kebiasaan sederhana: katakanlah, secara otomatis menghapus email yang Anda tahu tidak perlu, karena selalu ada kemungkinan data akan bocor jika disimpan.

"Kampanye ini adalah contoh yang menarik, karena kami memiliki faktor kedua pada akun kampanye dan aturan bisnis kami tentang menyimpan data dan informasi dalam domain kami, " jelas Mook. "Orang-orang jahat, yang kami pelajari dalam retrospeksi, mendapat banyak staf untuk mengklik melalui tautan phishing, tetapi upaya itu tidak berhasil, karena kami memiliki perlindungan di sana. Ketika mereka tidak bisa masuk dengan cara itu, mereka berkeliling ke akun pribadi orang."

Keamanan kampanye itu rumit: Ada ribuan komponen yang bergerak, dan seringkali tidak ada anggaran atau keahlian untuk membangun perlindungan keamanan informasi mutakhir dari awal. Industri teknologi telah melangkah maju, secara kolektif menyediakan sejumlah alat gratis untuk kampanye menjelang ujian tengah semester.

Alphabet's Jigsaw memberikan kampanye perlindungan DDoS melalui Project Shield, dan Google telah memperluas program keamanan akun canggihnya untuk melindungi kampanye politik. Microsoft menawarkan deteksi ancaman AccountGuard kepada partai-partai politik secara gratis di Office 365, dan musim panas ini, perusahaan menyelenggarakan lokakarya cybersecurity dengan DNC dan RNC. McAfee memberikan McAfee Cloud untuk Pemilihan Terjamin gratis selama setahun ke kantor pemilihan di seluruh 50 negara bagian.

Perusahaan teknologi dan keamanan cloud lainnya - termasuk Symantec, Cloudflare, Centrify, dan Akamai - menyediakan alat gratis atau diskon serupa. Ini semua adalah bagian dari kampanye PR kolektif industri teknologi, membuat upaya yang lebih terpadu untuk meningkatkan keamanan pemilu daripada di Lembah Silikon di masa lalu.

Mendapatkan Kampanye di Aplikasi Terenkripsi

Wickr, misalnya, (kurang lebih) memberikan kampanye akses ke layanannya secara gratis, dan bekerja secara langsung dengan kampanye dan DNC untuk melatih pekerja kampanye dan membangun jaringan komunikasi yang aman.

Jumlah kampanye menggunakan Wickr telah meningkat tiga kali lipat sejak April, dan lebih dari setengah kampanye Senat dan lebih dari 70 tim konsultasi politik menggunakan platform pada musim panas ini, menurut perusahaan. Audra Grassia, pemimpin politik dan pemerintahan Wickr, telah memimpin upayanya dengan komite politik dan kampanye di Washington, DC selama setahun terakhir.

"Saya pikir orang-orang di luar politik memiliki kesulitan memahami betapa sulitnya untuk mengerahkan solusi di berbagai kampanye, di setiap tingkatan, " kata Grassia. "Setiap kampanye adalah bisnis kecilnya sendiri yang terpisah dengan staf yang beroperasi setiap dua tahun."

Kampanye individu sering tidak memiliki dana untuk cybersecurity, tetapi komite politik besar melakukannya. Pada awal 2016, DNC khususnya telah banyak berinvestasi dalam cybersecurity dan jenis hubungan dengan Silicon Valley. Komite sekarang memiliki tim teknologi yang terdiri dari 35 orang yang dipimpin oleh CTO baru Raffi Krikorian, sebelumnya dari Twitter dan Uber. Chief Security Officer baru DNC, Bob Lord, sebelumnya adalah eksekutif keamanan di Yahoo yang akrab dengan berurusan dengan hacks bencana.

Tim Grassia telah bekerja secara langsung dengan DNC, membantu penyebaran teknologi Wickr dan menawarkan kampanye berbagai tingkat pelatihan. Wickr adalah salah satu penyedia teknologi yang ditampilkan di pasar teknologi DNC untuk para kandidat. "Potongan bergerak dalam kampanye benar-benar mengejutkan, " kata CEO Wickr Joel Wallenstrom.

Dia menjelaskan bahwa kampanye tidak memiliki pengetahuan teknologi atau sumber daya untuk berinvestasi dalam keamanan informasi tingkat perusahaan atau membayar harga Lembah Silikon untuk bakat. Aplikasi terenkripsi pada dasarnya menawarkan infrastruktur bawaan untuk memindahkan semua data kampanye dan komunikasi internal ke lingkungan yang aman tanpa menyewa tim konsultan yang mahal untuk mengonfigurasinya semuanya. Ini bukan solusi menyeluruh, tetapi setidaknya aplikasi terenkripsi dapat membuat kunci kampanye dikunci dengan relatif cepat.

Dalam ujian tengah semester dan masa depan, Robby Mook mengatakan, ada beberapa vektor serangan kampanye yang paling dia khawatirkan. Salah satunya adalah serangan DDoS pada situs web kampanye di saat-saat kritis, seperti saat pidato konvensi atau kontes utama ketika kandidat mengandalkan sumbangan online. Dia juga khawatir tentang situs palsu sebagai pukulan satu-dua untuk mencuri uang.

"Kami telah melihat sedikit dari ini, tetapi saya pikir satu hal yang perlu diperhatikan adalah situs penggalangan dana palsu yang dapat membuat kebingungan dan keraguan dalam proses donasi, " kata Mook. "Saya pikir itu bisa menjadi jauh lebih buruk dengan rekayasa sosial yang mencoba menipu staf kampanye untuk mengirim uang atau mengalihkan sumbangan ke pencuri. Bahaya ini sangat tinggi karena bagi musuh, tidak hanya menguntungkan, tetapi juga mengalihkan kampanye dari yang sebenarnya. masalah dan membuat mereka fokus pada intrik."



Perang Informasi untuk Pikiran Pemilih

Aspek paling sulit dari keamanan pemilu modern untuk dipahami, apalagi untuk dilindunginya, adalah informasi yang salah dan kampanye pengaruh sosial. Ini adalah masalah yang telah dimainkan secara online di depan umum, di Kongres, dan di platform sosial di jantung teka-teki yang mengancam demokrasi.

Berita palsu dan informasi yang salah yang disebarkan untuk mempengaruhi pemilih dapat datang dalam berbagai bentuk. Pada 2016, iklan itu berasal dari iklan politik tertarget mikro di media sosial, dari grup dan akun palsu yang menyebarkan informasi palsu tentang kandidat, dan dari data kampanye yang bocor yang disebar secara strategis untuk perang informasi.

Mark Zuckerberg terkenal mengatakan beberapa hari setelah pemilihan bahwa berita palsu di Facebook mempengaruhi pemilihan adalah "ide yang cukup gila." Butuh satu tahun yang penuh bencana skandal data dan hit pendapatan bagi Facebook untuk mencapai tempatnya sekarang: pembersihan massal akun spam politik, verifikasi iklan politik, dan menyiapkan "ruang perang" pemilu jangka menengah sebagai bagian dari strategi komprehensif untuk melawan pemilihan. campur tangan

Twitter telah mengambil langkah serupa, memverifikasi kandidat politik dan menindak bot dan troll, tetapi informasi yang salah tetap ada. Perusahaan telah jujur ​​tentang fakta bahwa mereka berada dalam perlombaan senjata dengan musuh cyber untuk menemukan dan menghapus akun palsu dan untuk membendung berita palsu. Facebook menutup kampanye propaganda terkait Iran yang terdiri dari 82 halaman, grup, dan akun minggu lalu.

Tetapi algoritma pembelajaran mesin dan moderator manusia hanya bisa sejauh ini. Penyebaran informasi yang salah melalui WhatsApp dalam pemilihan presiden Brasil hanyalah salah satu contoh seberapa banyak pekerjaan yang harus dilakukan oleh perusahaan media sosial.

Facebook, Twitter, dan raksasa teknologi seperti Apple telah berubah dari diam-diam mengakui peran platform mereka dalam pemilihan menjadi menerima tanggung jawab dan berusaha memperbaiki masalah yang sangat rumit yang mereka bantu ciptakan. Tetapi apakah itu cukup?

"Pengaruh dalam pemilihan selalu ada di sana, tetapi yang kami lihat adalah tingkat kecanggihan yang baru, " kata Travis Breaux, Associate Professor Ilmu Komputer di Carnegie Mellon, yang penelitiannya menyangkut privasi dan keamanan.

Breaux mengatakan jenis kampanye informasi yang salah yang kita lihat dari Rusia, Iran, dan aktor negara-bangsa lainnya tidak jauh berbeda dari agen spionase buku pedoman yang telah digunakan selama beberapa dekade. Dia menunjuk sebuah buku tahun 1983 berjudul The KGB and Soviet Disinformation , yang ditulis oleh seorang mantan perwira intelijen, yang berbicara tentang kampanye informasi Perang Dingin yang disponsori negara yang dirancang untuk menyesatkan, membingungkan, atau mengobarkan opini asing. Peretas dan peternakan troll Rusia melakukan hal yang sama hari ini, hanya upaya mereka yang diperbesar secara eksponensial oleh kekuatan alat digital dan jangkauan yang mereka berikan. Twitter dapat mengirim pesan ke seluruh dunia dalam sekejap.

"Ada kombinasi teknik yang ada, seperti akun palsu, yang sekarang kita lihat telah dioperasionalkan, " kata Breaux. "Kita harus mempercepat dan memahami seperti apa informasi yang asli dan tepercaya itu."

CTO McAfee Steve Grobman berpikir pemerintah harus menjalankan kampanye pelayanan publik untuk meningkatkan kesadaran tentang informasi yang salah atau dimanipulasi. Dia mengatakan salah satu masalah terbesar pada 2016 adalah asumsi mencolok bahwa data yang dilanggar memiliki integritas.

Pada tahap akhir dari siklus pemilu, ketika tidak ada waktu untuk memverifikasi secara independen validitas informasi, peperangan informasi bisa sangat kuat.

"Ketika email John Podesta dipublikasikan di WikiLeaks, pers membuat asumsi bahwa mereka semua benar-benar email Podesta, " kata Grobman. PCMag belum melakukan penyelidikan langsung keaslian email yang bocor, tetapi beberapa email Podesta yang diverifikasi palsu masih beredar baru-baru ini pada musim gugur ini, menurut FactCheck.org, sebuah proyek yang dijalankan oleh Annenberg Public Policy Center di Universitas dari Pennsylvania.

"Salah satu hal yang kami butuhkan untuk mengedukasi masyarakat adalah bahwa informasi apa pun yang keluar dari pelanggaran dapat berisi data palsu yang terkait dengan data yang sah untuk memberi makan apa pun yang dituju oleh musuh naratif. Orang mungkin percaya bahwa sesuatu yang dibuat-buat memengaruhi suara mereka."

Hal ini dapat meluas tidak hanya pada apa yang Anda lihat online dan di media sosial, tetapi juga untuk rincian logistik tentang pemilihan di daerah Anda. Mengingat ketidakkonsistenan dalam sesuatu yang mendasar seperti domain situs web dari satu kota lokal ke kota berikutnya, pemilih memerlukan cara resmi untuk membedakan apa yang nyata.

"Bayangkan para peretas mencoba mempengaruhi pemilihan terhadap seorang kandidat di daerah pedesaan atau perkotaan tertentu, " kata Grobman. "Anda mengirim email phishing ke semua pemilih yang mengatakan bahwa karena cuaca, pemilihan telah ditunda selama 24 jam, atau memberi mereka lokasi tempat pemungutan suara yang diperbarui salah."

Pada akhirnya, tergantung pada pemilih untuk menyaring informasi yang salah. Kepala Petugas Keamanan Informasi Negara Bagian New York Deborah Snyder berkata, "Jangan dapatkan berita Anda dari Facebook, pilih pola pikir Anda, " dan pastikan fakta Anda berasal dari sumber yang diverifikasi. Joel Wallenstrom dari Wickr percaya bahwa pemilih perlu menguatkan diri mereka pada kenyataan bahwa akan ada banyak sekali FUD (ketakutan, ketidakpastian, dan keraguan). Dia juga berpikir Anda harus mematikan Twitter.

Robby Mook mengatakan bahwa apakah Anda berurusan dengan kejahatan dunia maya atau operasi perang data, penting untuk diingat bahwa informasi yang Anda lihat dirancang untuk membuat Anda berpikir dan bertindak dengan cara tertentu. Jangan.

"Para pemilih perlu mengambil langkah mundur dan bertanya pada diri sendiri apa yang penting bagi mereka, bukan apa yang dikatakan kepada mereka, " kata Mook. "Fokus pada substansi kandidat, keputusan yang akan dibuat oleh pejabat publik ini, dan bagaimana keputusan itu akan mempengaruhi kehidupan mereka."



Lempar Segalanya yang Kita Miliki pada Mereka. Jalankan Lagi

Bor simulasi keamanan pemilihan proyek Demokrasi Digital Pembela dimulai pukul 8 pagi di Cambridge, Mass. Ketika dimulai, para peserta bekerja di negara-negara fiksi enam atau delapan bulan sebelum Hari Pemilihan, 10 menit latihan dihitung selama 20 hari. Pada akhirnya, setiap menit terjadi secara real time karena semua orang menghitung mundur ke waktu pemungutan suara.

Rosenbach mengatakan dia, Mook, dan Rhoades masuk dengan 70 halaman skenario yang menuliskan bagaimana bencana keamanan pemilu akan terjadi, dan mereka akan melemparkan satu demi satu pejabat negara untuk melihat bagaimana mereka merespons.

"Kami akan mengatakan, inilah situasinya, kami baru saja mendapat laporan berita tentang info Rusia yang dilakukan melalui bot Twitter, " kata Rosenbach. "Juga, hasil datang dari tempat pemungutan suara ini yang ditampilkan sebagai tertutup tetapi hanya untuk pemilih Afrika-Amerika. Kemudian mereka harus bereaksi terhadap itu, sementara pada saat yang sama 10 hal lain turun - data registrasi diretas, infrastruktur pemilihan terganggu, sesuatu bocor, dan terus dan terus."

Proyek Demokrasi Digital Pembela melakukan penelitian di 28 negara bagian mengenai demografi dan berbagai jenis peralatan pemungutan suara untuk mengikuti simulasi, dan setiap orang diberi peran. Administrator pemilihan tingkat rendah harus berperan sebagai pejabat tinggi negara fiksi, dan sebaliknya. Rosenbach mengatakan, Sekretaris Negara Bagian Virginia Barat Mac Warner ingin berperan sebagai pekerja polling.

Tujuannya adalah agar para pejabat dari 38 negara bagian meninggalkan simulasi dengan rencana tanggapan di pikiran mereka dan untuk mengajukan pertanyaan yang tepat ketika itu benar-benar penting. Sudahkah kita mengenkripsi tautan ini? Apakah basis data pemilih aman? Sudahkah kita mengunci siapa yang memiliki akses fisik ke mesin pemungutan suara sebelum hari pemilihan?

Produk sampingan yang bisa dibilang lebih penting dari latihan di atas meja adalah penciptaan jaringan pejabat pemilu di seluruh negeri untuk berbagi informasi dan bertukar praktik terbaik. Rosenbach menyebutnya semacam "ISAC informal" yang tetap sangat aktif menjelang ujian tengah semester bagi negara-negara untuk berbagi jenis serangan dan kerentanan yang mereka lihat.

Negara juga melakukan pelatihan semacam ini sendiri. New York memulai serangkaian latihan di atas meja regional pada bulan Mei dalam kemitraan dengan Departemen Keamanan Dalam Negeri yang berfokus pada kesiapan keamanan siber dan respons ancaman.

NYS CISO Snyder mengatakan Dewan Pemilihan Umum menyediakan pelatihan khusus pemilihan untuk Dewan Pemilihan Daerah. Selain itu, pelatihan kewaspadaan dunia maya gratis yang diberikan kepada 140.000 pekerja negara juga disediakan bagi kota setempat, memberi mereka pelatihan khusus pemilihan dan pelatihan kesadaran cybersecurity umum. Snyder juga mengatakan dia telah menjangkau negara bagian lain yang telah menderita pelanggaran data pemilih untuk mencari tahu apa yang terjadi dan mengapa.

"Kemitraan adalah yang membuat keamanan dunia maya bekerja. Kurangnya berbagi intelijen adalah mengapa itu gagal, " kata Snyder. "Negara-negara menyadari bahwa dunia maya tidak dapat dilakukan dalam silo, dan keuntungan dari kesadaran situasional bersama jauh melebihi rasa malu karena menceritakan kisah bagaimana Anda diretas."

D3P mengirim tim ke seluruh negeri selama ujian tengah semester untuk mengamati pemilihan umum di banyak negara bagian dan melaporkan kembali untuk meningkatkan buku pedoman dan pelatihan proyek sebelum tahun 2020. Satu sentimen yang dibagikan sejumlah sumber adalah bahwa musuh dunia maya mungkin tidak memukul AS sekeras itu. di ujian tengah semester. Amerika benar-benar terperangkap lengah selama pemilu 2016, dan 2018 akan menunjukkan kepada peretas negara-bangsa apa yang kita miliki dan belum pelajari sejak saat itu.

Perang cyber tidak hanya tentang serangan frontal penuh. Kampanye peretasan dan informasi yang salah lebih terselubung, dan mereka mengandalkan Anda untuk memukul dengan tepat apa yang tidak Anda harapkan. Adapun Rusia, Iran, Cina, Korea Utara, dan lainnya, banyak pakar keamanan dan kebijakan luar negeri khawatir bahwa serangan yang jauh lebih menghancurkan pada pemilihan AS akan datang dalam siklus kampanye presiden 2020.

"Rusia masih aktif, tetapi saya akan terkejut jika Korea Utara, Cina, dan Iran tidak menonton dengan sangat hati-hati untuk melihat apa yang kita lakukan di ujian tengah semester dan meletakkan landasan klandestin, sama seperti operasi cyber intel, " kata Rosenbach.

Serangan dunia maya yang kita lihat selama ujian tengah semester dan pada tahun 2020 mungkin berasal dari vektor yang sama sekali baru yang tidak ada dalam simulasi; generasi baru dari eksploitasi dan teknik yang tidak seorang pun harapkan atau siap hadapi. Tapi setidaknya kita akan tahu mereka akan datang.