Sob ataque: como o hacking eleitoral ameaça os intermediários

Em março, autoridades de 38 estados reuniram-se em uma sala de conferências em Cambridge, Massachusetts, para um exercício de simulação de dois dias, realizado como um jogo de guerra.

Mais de 120 funcionários eleitorais estaduais e locais, diretores de comunicações, gerentes de TI e secretários de estado realizaram simulações de catástrofes de segurança que poderiam acontecer no pior dia de eleição que se possa imaginar.

O exercício de mesa começou a cada simulação meses antes das eleições de 6 de novembro, acelerando a linha do tempo até os estados combaterem os ataques em tempo real enquanto os eleitores iam às urnas. Organizados pelo projeto Defendendo a Democracia Digital (D3P) em Harvard, um esforço bipartidário para proteger processos democráticos de ataques cibernéticos e de informação, os exercícios forçaram os participantes a responder a um cenário de pesadelo após o outro - máquinas de votação e hackers no banco de dados de eleitores, negação de serviço distribuída (DDoS) atacam sites, vazam informações erradas sobre candidatos, informações falsas de pesquisas divulgadas para suprimir votos e campanhas de mídia social coordenadas por atacantes de estados-nações para semear desconfiança.

Como vimos nas recentes eleições em todo o mundo, múltiplos ataques ocorrem frequentemente simultaneamente.

"Pense em um ataque de negação de serviço e as táticas normais de phishing e malware usariam durante uma eleição", disse Eric Rosenbach, diretor e chefe de equipe do D3P do Secretário de Defesa dos EUA Ashton Carter de 2015 a 2017.

"A parte com a qual eu mais me preocuparia com um DDoS é um ataque contra uma página da web que anuncia resultados combinados com um high-end. Veja o que aconteceu na Ucrânia em 2014. Os russos fizeram a página da Web que a Ucrânia estava usando para anunciar os resultados das eleições., depois levaram todo mundo de volta ao Russia Today e publicaram resultados falsos. Os ucranianos ficaram confusos sobre quem realmente foi eleito presidente ".

Entender a segurança eleitoral moderna significa enfrentar uma realidade assustadora: especialmente nos Estados Unidos, a infraestrutura é muito fragmentada, desatualizada e vulnerável para ser completamente protegida. Também existem muitos tipos diferentes de ataques no cenário de ameaças para impedir todos eles.

O PCMag conversou com autoridades estaduais, agentes políticos, acadêmicos, empresas de tecnologia e pesquisadores de segurança sobre as realidades severas da segurança eleitoral em 2018. Nos dois lados do corredor político, em todos os níveis do governo e em todo o setor de tecnologia, nos Estados Unidos está enfrentando ameaças fundamentais de segurança cibernética às nossas eleições. Também estamos planejando como reagir quando as coisas dão errado, tanto durante as cruciais eleições intermediárias quanto nas eleições gerais de 2020.

Protegendo a 'superfície de ataque'

Na segurança cibernética, todos os sistemas e dispositivos expostos que podem ser atacados são chamados de "superfície de ataque". A superfície de ataque de uma eleição nos EUA é enorme e pode ser dividida em três níveis principais.

A primeira é a infraestrutura de votação; pense em máquinas de votação, bancos de dados de registro de eleitores e todos os sites dos governos estaduais e locais que informam às pessoas onde e como votar.

Depois, há o nível de segurança da campanha. Como 2016 mostrou, as campanhas são alvos fáceis para hackers. Os dados da campanha roubada podem então ser usados ​​como uma arma potente para o terceiro nível de ataque mais nebuloso: o mundo nefasto de desinformação armada e campanhas de influência social. Nesta frente, os exércitos de trolls de atores de estados-nações continuam a operar na web e a invadir plataformas de mídia social, que se tornaram campos de batalha polarizadores da percepção dos eleitores.

Tentar resolver as inúmeras questões sistêmicas que afetam cada um desses níveis geralmente leva a mais perguntas do que respostas. Em vez disso, muitas das estratégias para mitigar os riscos à segurança das eleições se resumem ao senso comum: votação em papel e auditoria de votos; dando aos governos estaduais e locais mais recursos; e fornecendo ferramentas e treinamento de segurança para campanhas e funcionários das eleições.

Algumas perguntas mais complicadas e divergentes, tanto para administradores eleitorais quanto para trabalhadores de campanha e eleitores: Como você aborda o processo eleitoral na era das mídias sociais repleto de informações desinformadas online? E quando você tem dúvidas sobre todas as informações digitais que aparecem na tela, em que você deve acreditar?

O que aprendemos em 2016

Qualquer conversa sobre segurança eleitoral nos EUA nos períodos intermediários de 2018 e além acaba por voltar à eleição presidencial de 2016. Antes dessa corrida, vimos ataques cibernéticos direcionados a campanhas e eleições desde meados dos anos 2000, mas nunca antes nessa escala.

"Na época, ninguém nunca tinha visto algo assim antes. Foi chocante pensar que a Rússia seria tão descarada que interferiria em nossa democracia e a influenciaria em favor de um certo candidato", disse Rosenbach, que testemunhou perante o Congresso. em março, sobre interferência russa nas eleições de 2016. "Trabalho na segurança nacional há 20 anos e esse foi o problema mais complicado e difícil que já lidei."

Neste ponto, os fatos são bastante claros. Uma dúzia de russos supostamente trabalhando para o GRU, serviço de inteligência militar da Rússia, foram indiciados por invadir o Comitê Nacional Democrata (DNC) e por vazar documentos para organizações como o WikiLeaks, que divulgou mais de 20.000 e-mails.

Operando sob personalidades on-line, incluindo Guccifer 2.0, Fancy Bear e DCLeaks, os hackers indiciados também violaram os bancos de dados de registro de eleitores em Illinois e Arizona em agosto de 2016 e roubaram informações sobre mais de 500.000 eleitores. Relatórios subsequentes do FBI e da NSA descobriram que hackers comprometeram o software de votação em 39 estados durante as eleições presidenciais de 2016. O vice-procurador-geral dos EUA, Rod Rosenstein, disse na acusação de hackers russos que "o objetivo da conspiração era ter um impacto nas eleições".

Esses foram apenas os ataques que atingiram os dois primeiros níveis de infraestrutura eleitoral. Nas mídias sociais, a Rússia, o Irã e outras empresas desencadearam bots e fábricas de trolls - incluindo a Agência de Pesquisa na Internet (IRA) - apoiada pela Rússia - que espalharam notícias falsas e compraram milhares de anúncios políticos no Facebook e no Twitter para influenciar a opinião dos eleitores. Embora ligado a partidos políticos e não a hackers externos, o escândalo da Cambridge Analytica no Facebook também desempenhou um papel em como as plataformas de mídia social afetaram as eleições de 2016.

"Não reagimos com rapidez ou força suficiente", disse Rosenbach. Enquanto trabalhava no Pentágono, Rosenbach também atuou como vice-secretário assistente de defesa da Cyber ​​de 2011 a 2014 e secretário assistente de defesa da segurança global, supervisionando a segurança cibernética.

Ele agora é o co-diretor do Belfer Center na Kennedy School de Harvard e diretor do D3P. Ele o fundou no ano passado ao lado de Matt Rhoades, gerente de campanha de Mitt Romney durante as eleições de 2012, e Robby Mook, gerente de campanha de Hillary Clinton em 2016.

"Uma coisa importante a entender do ponto de vista de segurança é que a campanha em si nunca foi invadida", disse Mook à PCMag. "Contas de email pessoais foram invadidas e o DNC foi invadido, mas acho que é um aviso importante para todos que realmente temos de proteger todo o ecossistema. Os adversários vão a qualquer lugar que puderem para fornecer informações a diferentes candidatos".

O ataque de phishing que invadiu com êxito a conta pessoal do Gmail do presidente da DNC, John Podesta, em 2016, deixou Mook com a percepção de que não havia mecanismos para reagir a um ataque dessa magnitude. Em 2017, ele se conectou com Rhoades, que havia lidado com constantes tentativas de hackers pelas forças cibernéticas chinesas durante a corrida presidencial de Romney. A idéia básica era criar uma lista de verificação para evitar explorações como esta em campanhas futuras e fornecer um lugar para as campanhas serem lançadas quando invadidas por hackers.

Os dois se uniram a Rosenbach e trabalharam para publicar o D3P Cybersecurity Campaign Playbook. Desde então, eles colaboraram em dois outros manuais: um para administradores eleitorais estaduais e locais e um que instrui os funcionários de comunicação sobre como combater a desinformação on-line. Eles também ajudaram a organizar e executar as simulações de mesa interestaduais.

Mook não queria gastar muito tempo conversando sobre 2016; é importante não continuar revivendo a última batalha quando puder se preparar para a próxima, disse ele.

"O fato é que você simplesmente não sabe por que ou como alguém está tentando entrar. Você sabe que alguém o fará", disse Mook. "O mais importante é pensar sobre o que pode ser o próximo. Quais são as ameaças que ainda não consideramos ou vimos? Acho que os períodos intermediários potencialmente surgirão algumas novas vulnerabilidades, mas acho que é mais olhar o sistema como um inteiro e descobrir todas as formas possíveis de alguém entrar ".



A mudança das ameaças na paisagem

À medida que nos aproximamos dos intermediários de 2018 e enfrentamos o longo caminho até as eleições presidenciais dos EUA em 2020, o cenário de ameaças está entrando em foco.

Embora o presidente Trump subestime a extensão da interferência russa, os EUA atingiram a Rússia com novas sanções em março. "Continuamos a ver uma campanha generalizada de mensagens da Rússia para tentar enfraquecer e dividir os Estados Unidos", disse o diretor de inteligência nacional dos EUA, Dan Coats, durante um briefing de agosto.

Isso aconteceu depois que a Microsoft, em julho, impediu uma tentativa de hacking envolvendo domínios falsos, visando três candidatos que estavam sendo reeleitos. Apenas algumas semanas antes da publicação desta matéria, um cidadão russo foi encarregado de supervisionar um esforço para manipular os eleitores através do Facebook e Twitter para interferir nos intermediários. Elena Khusyaynova, uma cidadã russa mencionada na acusação, supostamente gerenciava operações financeiras e sociais afiliadas ao IRA, com um orçamento de mais de US $ 35 milhões bancado pelo oligarca russo e aliado de Putin, Yevgeny Prigozhin.

Os Diretores de Inteligência Nacional, Departamento de Segurança Interna e FBI divulgaram uma declaração conjunta cronometrada com a acusação. Ele afirma que, embora não exista evidência atual de infra-estrutura de votação comprometida no meio do período, "alguns governos estaduais e locais relataram tentativas mitigadas de acessar suas redes", incluindo bancos de dados de registro de eleitores.

Nas últimas semanas antes das eleições de meio de mandato, o Comando Cibernético dos EUA está até identificando agentes russos no controle de contas de trolls e informando-os de que os EUA estão cientes de suas atividades em um esforço para impedir a interferência nas eleições.

"Estamos preocupados com as campanhas em andamento da Rússia, China e outros atores estrangeiros, incluindo o Irã, para minar a confiança nas instituições democráticas e influenciar o sentimento público e as políticas governamentais", diz o comunicado. "Essas atividades também podem procurar influenciar a percepção dos eleitores e a tomada de decisões nas eleições de 2018 e 2020 nos EUA".

Procurando padrões

Ao monitorar a atividade de adversários estrangeiros e outros ciber inimigos em potencial, os especialistas procuram padrões. Toni Gidwani disse que é como estudar um radar de todas as diferentes entidades maliciosas por aí; você procura por indicadores de alerta precoce para reduzir riscos e garantir os elos mais fracos de suas defesas.

Gidwani é o diretor de operações de pesquisa da empresa de segurança cibernética ThreatConnect. Ela passou os últimos três anos liderando a pesquisa da ThreatConnect sobre as operações de hackers e influência russa do DNC nas eleições presidenciais de 2016 nos EUA; sua equipe ligou o Guccifer 2.0 ao Fancy Bear. Gidwani passou a primeira década de sua carreira no Departamento de Defesa, onde construiu e liderou equipes de análise na Agência de Inteligência de Defesa.

"Você precisa puxar as cordas em várias frentes diferentes", disse Gidwani. "A Fancy Bear estava trabalhando em muitos canais diferentes para tentar colocar os dados do DNC em domínio público. Guccifer era uma dessas frentes, o DCLeaks era um e o WikiLeaks era o front de maior impacto".

Gidwani dividiu as façanhas do estado-nação que vimos em algumas atividades distintas que juntas formam uma campanha de interferência em vários estágios. As violações de dados focadas na campanha levaram a vazamentos estratégicos de dados em momentos críticos do ciclo eleitoral.

"Estamos preocupados com ataques de spear-phishing e man-in-the-middle, com certeza. Essas informações são tão impactantes quando chegam ao domínio público que você pode não precisar de malware sofisticado, porque as campanhas são essas operações de captação, com um afluxo de voluntários como alvos ", explicou. "Você não precisa de vulnerabilidades de dia zero se o seu spear-phishing estiver funcionando".

Os ataques de penetração nos conselhos estaduais de eleições são outro ponto que deve atrapalhar a cadeia de suprimentos das urnas e acabar com a confiança na validade dos resultados das eleições. Gidwani disse que a natureza desatualizada e fragmentada da infra-estrutura de votação de estado para estado fez ataques como as injeções de SQL, que "esperamos que não façam mais parte do manual de ataque", não apenas possível, mas também eficaz.

Essas operações são amplamente distintas dos grupos do Facebook e das contas de trolls do Twitter, produzidas pelo IRA e por outros atores do estado-nação, incluindo China, Irã e Coréia do Norte. Por fim, essas campanhas têm mais a ver com despertar sentimentos e influenciar os eleitores em todo o espectro político, ampliando os vazamentos coordenados de dados com tendências políticas. Quando se trata de informações erradas, descobrimos apenas a ponta do iceberg.

"Uma das coisas que torna as eleições tão desafiadoras é que elas são compostas por várias partes diferentes, sem uma única parte interessada", disse Gidwani. "O grande desafio com o qual estamos enfrentando é fundamentalmente uma questão política, não técnica. As plataformas estão fazendo um esforço para tornar o conteúdo legítimo mais facilmente identificável através da verificação de candidatos. Mas com o quão viralmente esse tipo de conteúdo pode se espalhar, é preciso fora do mundo da segurança da informação ".



Conectando novos furos na máquina antiga

Em seu nível mais fundamental, a infraestrutura eleitoral americana é uma colcha de retalhos - um amontoado de máquinas de votação desatualizadas e inseguras, bancos de dados de eleitores vulneráveis ​​e sites estaduais e locais que às vezes carecem da criptografia e segurança mais básicas.

De um modo atrasado, a natureza fragmentada da infraestrutura de votação em todo o país pode torná-la um alvo menos atraente do que uma exploração com impacto mais amplo. Devido à tecnologia desatualizada e às vezes analógica nas máquinas de votação e à extensão com que cada estado difere do próximo, os hackers precisariam gastar esforços significativos em cada caso para comprometer cada sistema localizado individualmente. Isso é um equívoco, até certo ponto, porque a infra-estrutura de votação local ou estadual de hackers em um distrito-chave pode afetar absolutamente o resultado das eleições.

Dois ciclos eleitorais atrás, Jeff Williams consultou um grande fornecedor de máquinas de votação nos EUA, que ele se recusou a identificar. Sua empresa fez uma revisão manual de código e teste de segurança das máquinas de votação, tecnologia de gerenciamento de eleições e sistemas de contagem de votos, e encontrou uma série de vulnerabilidades.

Williams é o CTO e co-fundador da Contrast Security e um dos fundadores do Open Web Application Security Project (OWASP). Ele disse que, devido à natureza arcaica do software eleitoral, que é gerenciado em muitos casos por delegacias locais que geralmente tomam decisões de compra baseadas mais no orçamento do que na segurança, a tecnologia não mudou muito.

"Não se trata apenas das urnas. É todo o software que você usa para marcar uma eleição, administrá-la e coletar os resultados", disse Williams. "As máquinas têm uma vida útil bastante longa porque são caras. Estamos falando de milhões de linhas de código e muitos anos de trabalho tentando revisá-la, com segurança que é difícil de implementar e não está bem documentada. É um sintoma de um problema muito maior - ninguém tem idéia do que está acontecendo no software que eles usam ".

Williams disse que também não tem muita fé nos processos de teste e certificação. A maioria dos governos estaduais e locais reúne pequenas equipes que realizam testes de penetração, o mesmo tipo de teste que chegou às manchetes da Black Hat. Williams acredita que essa é a abordagem errada, em comparação com testes exaustivos de garantia de qualidade de software. Concursos de hackers, como os da Vila de Votação da DefCon, encontram vulnerabilidades, mas não informam tudo sobre as possíveis explorações que você não encontrou.

A questão mais sistêmica em todo o país é que as máquinas de votação e o software de gerenciamento de eleições diferem enormemente de estado para estado. Existem apenas alguns fornecedores importantes registrados para fornecer máquinas de votação e sistemas de votação certificados, que podem ser sistemas de votação em papel, sistemas de votação eletrônica ou uma combinação dos dois.

De acordo com a organização sem fins lucrativos Verified Voting, 99% dos votos dos EUA são contados por computador de alguma forma, digitalizando vários tipos de cédulas de papel ou por meio de entrada eletrônica direta. O relatório de 2018 da Verified Voting constatou que 36 estados ainda usam equipamentos de votação comprovadamente inseguros e 31 estados usarão urnas eletrônicas de gravação direta para pelo menos uma parcela dos eleitores.

O mais alarmante é que cinco estados - Delaware, Geórgia, Louisiana, Nova Jersey e Carolina do Sul - atualmente usam urnas eletrônicas de gravação direta sem trilha de auditoria em papel verificada pelos eleitores. Portanto, se a contagem de votos for alterada no sistema eletrônico, por meio de um hack físico ou remoto, os estados podem não ter como verificar os resultados válidos em um processo de auditoria, onde geralmente é necessária apenas uma amostragem estatística dos votos, em vez de uma recontagem completa..

"Não há uma caixa de mensagens pendentes para contar", disse Joel Wallenstrom, CEO do aplicativo de mensagens criptografadas Wickr. "Se houver reivindicações no meio do período de que os resultados não são reais porque os russos fizeram alguma coisa, como lidamos com esse problema de desinformação? As pessoas leem manchetes bombásticas e sua confiança no sistema é mais erodida".

O upgrade da infraestrutura de votação estado a estado com tecnologia e segurança modernas não está acontecendo no meio do ano e provavelmente não antes de 2020. Enquanto estados como a Virgínia Ocidental estão testando tecnologias emergentes como blockchain para gravação e auditoria eletrônica de votos, a maioria dos pesquisadores e especialistas em segurança digamos que, em vez de um sistema melhor, o método mais seguro de verificação de votos é uma trilha de papel.

"As trilhas de auditoria em papel são um grito de guerra para a comunidade de segurança há muito tempo, e no meio do período e provavelmente nas eleições presidenciais eles estarão usando uma tonelada de máquinas que não possuem isso", disse Williams. "Não é exagero dizer que essa é uma ameaça existencial à democracia".

Um dos estados com trilha de auditoria em papel é Nova York. Deborah Snyder, diretora de segurança da informação do estado, disse ao PCMag em uma recente cúpula da National Cyber ​​Security Alliance (NCSA) que Nova York não estava entre os 19 estados cujos estimados 35 milhões de registros de eleitores estão à venda na dark web. No entanto, registros de eleitores publicamente disponíveis no Estado de Nova York estão supostamente disponíveis gratuitamente em outro fórum.

O estado realiza avaliações regulares de risco de suas máquinas de voto e infraestrutura. Nova York também investiu milhões desde 2017 em detecção de intrusão local para melhorar o monitoramento e resposta a incidentes, tanto dentro do estado quanto em coordenação com o Centro de Análise e Compartilhamento de Informações (ISAC), que tem parceria com outros estados e o setor privado.

"Estamos com maior conscientização que antecede e termina a eleição", disse Snyder. "Tenho equipes no convés, das 6h da manhã anterior à meia-noite do dia das eleições. Estamos todos no convés, do Centro de Inteligência do Estado de Nova York ao ISAC, ao Conselho de Eleições local e estadual e meu escritório, ITS e Divisão de Segurança Interna e Serviços de Emergência ".



Os sites de eleição local estão patos

O último e mais frequentemente esquecido aspecto da segurança eleitoral estadual e local são os sites do governo informando aos cidadãos onde e como votar. Em alguns estados, há surpreendentemente pouca consistência entre sites oficiais, muitos dos quais não possuem os certificados de segurança HTTPS mais básicos, o que verifica se as páginas da Web estão protegidas com criptografia SSL.

A empresa de segurança cibernética McAfee pesquisou recentemente a segurança dos sites dos conselhos eleitorais do condado em 20 estados e descobriu que apenas 30, 7% dos sites têm SSL para criptografar qualquer informação que um eleitor compartilhe com o site por padrão. Em estados como Montana, Texas e Virgínia Ocidental, 10% dos sites ou menos são criptografados por SSL. A pesquisa da McAfee constatou que apenas no Texas, 217 dos 236 sites de eleições municipais não usam SSL.

Você pode informar um site criptografado por SSL procurando HTTPS no URL do site. Você também pode ver um ícone de cadeado ou chave em seu navegador, o que significa que você está se comunicando com segurança com um site que eles dizem ser. Em junho, o Chrome do Google começou a sinalizar todos os sites HTTP não criptografados como "não seguros".

"Não ter SSL em 2018 em preparação para os períodos intermediários significa que esses sites do condado são muito mais vulneráveis ​​a ataques MiTM e violação de dados", disse Steve Grobman, CTO da McAfee. "Geralmente, é uma antiga variante HTTP insegura que não o redireciona para sites seguros e, em muitos casos, os sites compartilham certificados. As coisas parecem melhores no nível estadual, onde apenas 11% dos sites não são criptografados, mas esses locais locais do condado são completamente inseguros ".

Dos estados incluídos na pesquisa da McAfee, apenas o Maine tinha acima de 50% dos sites de eleições municipais com criptografia básica. Nova York estava em apenas 26, 7%, enquanto a Califórnia e a Flórida estavam em torno de 37%. Mas a falta de segurança básica é apenas metade da história. A pesquisa da McAfee também não encontrou quase nenhuma consistência nos domínios dos sites de eleição dos condados.

Uma porcentagem surpreendentemente pequena de sites de eleições estaduais usa o domínio.gov verificado pelo governo, optando por domínios comuns de primeiro nível (TLDs) como.com,.us,.org ou.net. Em Minnesota, 95, 4% dos locais de eleição estão usando domínios não-governamentais, seguidos pelo Texas, com 95%, e Michigan, com 91, 2%. Essa inconsistência torna quase impossível para um eleitor regular discernir quais locais de eleição são legítimos.

No Texas, 74, 9% dos sites de registro de eleitores locais usam o domínio.us, 7, 7% usam.com, 11, 1% usam.org e 1, 7% usam.net. Apenas 4, 7% dos sites usam o domínio.gov. No município de Denton, no Texas, por exemplo, o site de eleições do condado é https://www.votedenton.com/, mas a McAfee descobriu que sites relacionados, como www.vote-denton.com, estão disponíveis para compra.

Em cenários como esse, os invasores nem precisam invadir sites locais. Eles podem simplesmente comprar um domínio semelhante e enviar e-mails de phishing que direcionam as pessoas a se registrarem para votar no site fraudulento. Eles podem até fornecer informações falsas de votação ou locais incorretos dos locais de votação.

"O que vemos na cibersegurança em geral é que os invasores usarão o mecanismo mais simples e eficaz para atingir seus objetivos", disse Grobman. "Embora possa ser possível invadir as próprias urnas, há muitos desafios práticos para isso. É muito mais fácil ir atrás dos sistemas e bancos de dados de registro de eleitores ou simplesmente comprar um site. Em alguns casos, descobrimos que havia domínios semelhantes adquiridos por terceiros. É tão fácil quanto encontrar uma página de venda do GoDaddy ".



Campanhas: peças móveis e metas fáceis

Geralmente, é preciso mais esforço dos hackers para se infiltrar no sistema de cada município ou estado do que buscar frutas fracas, como campanhas, onde milhares de funcionários temporários fazem marcas atraentes. Como vimos em 2016, o impacto de violações de dados de campanhas e vazamentos de informações pode ser catastrófico.

Os invasores podem penetrar nas campanhas de várias maneiras diferentes, mas a defesa mais forte é simplesmente garantir que o básico esteja bloqueado. O Manual de Segurança Cibernética da Campanha do D3P não revela nenhuma tática de segurança inovadora. É essencialmente uma lista de verificação que eles podem usar para garantir que todos os funcionários ou voluntários da campanha sejam examinados e que qualquer pessoa que trabalhe com dados da campanha use mecanismos de proteção como autenticação de dois fatores (2FA) e serviços de mensagens criptografados, como Signal ou Wickr. Eles também precisam ser treinados em higiene de informações de senso comum, com consciência de como identificar esquemas de phishing.

Robby Mook falou sobre hábitos simples: por exemplo, excluir automaticamente e-mails que você sabe que não precisará, porque sempre há uma chance de que os dados vazem se estiverem parados.

"A campanha é um exemplo interessante, porque tivemos esse segundo fator em nossas contas de campanha e regras de negócios sobre como manter dados e informações em nosso domínio", explicou Mook. "Os bandidos, aprendemos em retrospecto, conseguiram que muitos funcionários clicassem nos links de phishing, mas essas tentativas não foram bem-sucedidas, porque tínhamos salvaguardas em vigor. Quando eles não podiam entrar dessa maneira, eles procuravam contas pessoais das pessoas ".

A segurança da campanha é complicada: existem milhares de partes móveis e, muitas vezes, não há orçamento ou conhecimento para criar proteções de ponta da segurança da informação do zero. O setor de tecnologia avançou nessa frente, fornecendo coletivamente uma série de ferramentas gratuitas para campanhas que antecederam os períodos intermediários.

O Jigsaw da Alphabet está oferecendo proteção de DDoS às campanhas por meio do Project Shield, e o Google expandiu seu programa avançado de segurança de contas para proteger campanhas políticas. A Microsoft está oferecendo aos partidos políticos a detecção gratuita de ameaças do AccountGuard no Office 365 e, neste verão, a empresa organizou workshops de segurança cibernética com o DNC e o RNC. A McAfee está distribuindo o McAfee Cloud for Elected Secured gratuitamente por um ano aos escritórios eleitorais em todos os 50 estados.

Outras empresas de tecnologia e segurança em nuvem - incluindo Symantec, Cloudflare, Centrify e Akamai - estão fornecendo ferramentas gratuitas ou com desconto semelhantes. Tudo faz parte da campanha coletiva de RP do setor de tecnologia, fazendo um esforço mais concertado para melhorar a segurança eleitoral do que o Vale do Silício no passado.

Obter campanhas em aplicativos criptografados

O Wickr, por exemplo, está dando (mais ou menos) acesso a campanhas gratuitamente a seu serviço, e trabalhando diretamente com campanhas e o DNC para treinar funcionários e criar redes de comunicação seguras.

O número de campanhas usando o Wickr triplicou desde abril, e mais da metade das campanhas no Senado e mais de 70 equipes de consultoria política estavam usando a plataforma a partir deste verão, segundo a empresa. Audra Grassia, líder político e governamental do Wickr, vem liderando seus esforços com comitês políticos e campanhas em Washington, DC, no ano passado.

"Acho que as pessoas fora da política têm dificuldade em entender como é difícil implantar soluções em várias campanhas, em todos os níveis", disse Grassia. "Toda campanha é uma pequena empresa separada, com funcionários alternando a cada dois anos".

As campanhas individuais geralmente não têm o financiamento para a segurança cibernética, mas os grandes comitês políticos têm. No início de 2016, o DNC, em particular, investiu pesadamente em segurança cibernética e esse tipo de construção de relacionamento com o Vale do Silício. O comitê agora tem uma equipe de tecnologia de 35 pessoas liderada pelo novo CTO Raffi Krikorian, ex-Twitter e Uber. O novo diretor de segurança do DNC, Bob Lord, era anteriormente um executivo de segurança do Yahoo, que está intimamente familiarizado com lidar com hackers catastróficos.

A equipe de Grassia vem trabalhando diretamente com o DNC, ajudando a implantar a tecnologia do Wickr e oferecendo campanhas a vários níveis de treinamento. O Wickr é um dos fornecedores de tecnologia em destaque no mercado de tecnologia do DNC para candidatos. "As peças em movimento dentro de uma campanha são realmente impressionantes", disse o CEO do Wickr Joel Wallenstrom.

Ele explicou que as campanhas não têm o conhecimento técnico ou os recursos para investir em segurança da informação de nível corporativo ou para pagar preços pelo talento no Vale do Silício. Os aplicativos criptografados oferecem essencialmente infraestrutura integrada para mover todos os dados e comunicações internas de uma campanha para ambientes seguros, sem a necessidade de contratar uma equipe de consultoria dispendiosa para configurar tudo. Não é uma solução abrangente, mas pelo menos os aplicativos criptografados podem bloquear os itens essenciais de uma campanha de forma relativamente rápida.

Nas eleições intermediárias e futuras, disse Robby Mook, existem alguns vetores de ataques de campanha com os quais ele está mais preocupado. Um deles são ataques DDoS a sites de campanhas em momentos críticos, como durante um discurso de convenção ou um concurso primário quando os candidatos estão apostando em doações online. Ele também está preocupado com sites falsos como um golpe de dois para roubar dinheiro.

"Vimos um pouco disso, mas acho que uma coisa a se observar são sites falsos de captação de recursos que podem criar confusão e dúvida no processo de doação", disse Mook. "Eu acho que poderia ficar muito pior com a engenharia social tentando enganar a equipe da campanha para conseguir dinheiro ou redirecionar doações para ladrões. O perigo disso é particularmente alto porque, para um adversário, não é apenas lucrativo, mas distrai as campanhas do real. problemas e os mantém focados em intrigas ".



A guerra de informações para as mentes dos eleitores

Os aspectos mais difíceis da segurança eleitoral moderna de entender, e muito menos proteger contra, são desinformação e campanhas de influência social. É a questão que mais se publicou online, no Congresso e nas plataformas sociais no coração do dilema que ameaça a democracia.

Notícias falsas e desinformação disseminadas para influenciar os eleitores podem vir de muitas formas diferentes. Em 2016, veio de anúncios políticos micro-direcionados nas mídias sociais, de grupos e contas falsas que circulavam informações falsas sobre candidatos e de dados de campanhas vazadas, estrategicamente disseminadas para a guerra de informações.

Mark Zuckerberg disse que dias após a eleição as notícias falsas no Facebook que influenciavam a eleição eram uma "idéia bem louca". Levou um ano desastroso de escândalos de dados e ganhos de receita para o Facebook chegar aonde está agora: expurgos em massa de contas de spam político, verificação de anúncios políticos e criação de uma "sala de guerra" de eleições a médio prazo como parte de uma estratégia abrangente para combater as eleições intromissão.

O Twitter tomou medidas semelhantes, verificando candidatos políticos e reprimindo bots e trolls, mas a desinformação persiste. As empresas foram honestas sobre o fato de estarem em uma corrida armamentista com ciber-inimigos para encontrar e excluir contas falsas e conter notícias falsas. O Facebook encerrou uma campanha de propaganda vinculada ao Irã, composta por 82 páginas, grupos e contas na semana passada.

Mas algoritmos de aprendizado de máquina e moderadores humanos só podem ir tão longe. A disseminação de informações erradas via WhatsApp nas eleições presidenciais no Brasil é apenas um exemplo de quanto mais empresas de mídia social precisam fazer.

Facebook, Twitter e gigantes da tecnologia como a Apple passaram de reconhecer tacitamente o papel que suas plataformas desempenham nas eleições para aceitar responsabilidades e tentar resolver os problemas muito complicados que ajudaram a criar. Mas é suficiente?

"A influência nas eleições sempre esteve presente, mas o que estamos vendo é um novo nível de sofisticação", disse Travis Breaux, professor associado de ciência da computação da Carnegie Mellon, cuja pesquisa diz respeito à privacidade e segurança.

Breaux disse que os tipos de campanhas de desinformação que estamos vendo da Rússia, Irã e outros atores do estado-nação não são tão diferentes do manual que os agentes de espionagem usam há décadas. Ele apontou para um livro de 1983 chamado The KGB and Soviet Desinformation , escrito por um ex-oficial de inteligência, que falou sobre campanhas de informação patrocinadas pelo Estado da Guerra Fria, destinadas a enganar, confundir ou inflamar a opinião estrangeira. Os hackers e fazendas de trolls da Rússia estão fazendo o mesmo hoje, apenas seus esforços são ampliados exponencialmente pelo poder das ferramentas digitais e pelo alcance que elas fornecem. O Twitter pode espalhar uma mensagem para o mundo inteiro em um instante.

"Existe uma combinação de técnicas existentes, como contas falsas, que agora estamos vendo operacionalizadas", disse Breaux. "Temos que acelerar e entender como são as informações genuínas e confiáveis".

O CTO da McAfee, Steve Grobman, acha que o governo deve executar campanhas de serviço público para aumentar a conscientização sobre informações falsas ou manipuladas. Ele disse que um dos maiores problemas em 2016 foi a suposição flagrante de que os dados violados tinham integridade.

Nos estágios finais de um ciclo eleitoral, quando não há tempo para verificar independentemente a validade das informações, a guerra de informações pode ser particularmente poderosa.

"Quando os e-mails de John Podesta foram publicados no WikiLeaks, a imprensa estava assumindo que todos eram realmente e-mails de Podesta", disse Grobman. O PCMag não conduziu uma investigação direta sobre a autenticidade dos e-mails vazados, mas alguns e-mails do Podesta, confirmados como falsos, ainda circulavam recentemente, segundo o FactCheck.org, um projeto executado no Annenberg Public Policy Center da Universidade. da Pensilvânia.

"Uma das coisas de que precisamos educar o público é que qualquer informação resultante de uma violação pode conter dados fabricados entrelaçados com dados legítimos para alimentar quaisquer adversários narrativos que o levem. As pessoas podem acreditar em algo fabricado que influencia seu voto".

Isso pode se estender não apenas ao que você vê on-line e nas mídias sociais, mas também a detalhes logísticos sobre a votação na sua área. Dada a inconsistência em algo tão fundamental quanto os domínios de sites de um município local para outro, os eleitores precisam de um meio oficial de discernir o que é real.

"Imagine hackers tentando influenciar uma eleição para um candidato em uma determinada área rural ou urbana", disse Grobman. "Você envia um e-mail de phishing a todos os eleitores dizendo que, devido ao clima, a eleição foi adiada por 24 horas ou fornece a eles um local atualizado falso do local da votação."

Por fim, cabe aos eleitores filtrar as informações erradas. A diretora de segurança da informação do Estado de Nova York, Deborah Snyder, disse: "Não receba notícias do Facebook, vote em sua mentalidade" e verifique se seus fatos são provenientes de fontes verificadas. Joel Wallenstrom, do Wickr, acredita que os eleitores precisam se convencer de que haverá muito FUD (medo, incerteza e dúvida). Ele também acha que você deve desligar o Twitter.

Robby Mook disse que, esteja você lidando com crimes cibernéticos ou operações de guerra de dados, é importante lembrar que as informações que você vê são projetadas para fazer você pensar e agir de uma certa maneira. Não.

"Os eleitores precisam dar um passo atrás e se perguntar o que é importante para eles, não o que lhes está sendo dito", disse Mook. "Concentre-se na substância dos candidatos, nas decisões que esses funcionários públicos tomarão e em como essas decisões afetarão suas vidas".



Jogue tudo o que temos neles. Executar novamente

A simulação de segurança eleitoral do projeto Defendendo a Democracia Digital começou às 8h em Cambridge, Massachusetts. Como começou, com participantes trabalhando em estados fictícios seis ou oito meses antes do dia das eleições, 10 minutos do exercício representaram 20 dias. No final, cada minuto acontecia em tempo real, enquanto todos contavam até o tempo da votação.

Rosenbach disse que ele, Mook e Rhoades entraram com 70 páginas de cenários, descrevendo como as catástrofes de segurança eleitoral se desenrolariam, e eles jogariam um após o outro nas autoridades do estado para ver como eles respondem.

"Diríamos que, aqui está a situação, acabamos de receber uma reportagem de uma informação russa realizada através de bots no Twitter", disse Rosenbach. "Além disso, os resultados estão chegando neste local de votação que está sendo exibido como fechado, mas apenas para os eleitores afro-americanos. Então eles teriam que reagir a isso, enquanto ao mesmo tempo outras 10 coisas estavam acontecendo - os dados de registro foram hackeados, a infraestrutura de votação está comprometida, algo vazou e assim por diante ".

O Projeto Defendendo a Democracia Digital fez uma pesquisa em 28 estados sobre demografia e diferentes tipos de equipamentos de votação para guiar as simulações, e todos receberam uma função. Os administradores eleitorais de baixo nível passaram a representar altos funcionários de um estado fictício e vice-versa. Rosenbach disse que o secretário de Estado da Virgínia Ocidental, Mac Warner, queria bancar um pesquisador.

O objetivo era que autoridades de todos os 38 estados deixassem a simulação com um plano de resposta em mente e fizessem as perguntas certas quando realmente importa. Nós criptografamos este link? O banco de dados de eleitores é seguro? Nós bloqueamos quem tem acesso físico às urnas antes do dia das eleições?

Um subproduto sem dúvida mais importante do exercício de mesa foi a criação de uma rede de funcionários eleitorais em todo o país para compartilhar informações e trocar melhores práticas. Rosenbach chamou isso de uma espécie de "ISAC informal" que permaneceu muito ativo, até o meio do caminho para os estados compartilharem os tipos de ataques e vulnerabilidades que estão vendo.

Os Estados também estão fazendo esse tipo de treinamento por conta própria. Nova York iniciou uma série de exercícios regionais de mesa em maio, em parceria com o Departamento de Segurança Interna, com foco na preparação para a segurança cibernética e na resposta a ameaças.

O NYS CISO Snyder disse que o Conselho de Eleições do Estado forneceu treinamento específico para as eleições aos Conselhos de Eleições do Condado. Além disso, o treinamento gratuito de conscientização cibernética fornecido a todos os 140.000 trabalhadores estaduais também foi disponibilizado aos municípios locais, oferecendo treinamento específico para eleições e treinamento geral de conscientização sobre segurança cibernética. Snyder também disse que procurou outros estados que sofreram violações de dados dos eleitores para descobrir o que aconteceu e por quê.

"Parcerias são o que fazem a segurança cibernética funcionar. Falta compartilhamento de inteligência é o motivo pelo qual falha", disse Snyder. "Os Estados estão percebendo que o cyber não pode ser feito em silos, e a vantagem dessa conscientização situacional compartilhada supera em muito o constrangimento de contar a história de como você foi invadido".

O D3P está enviando equipes por todo o país durante os períodos intermediários para observar as eleições em dezenas de estados e apresentar um relatório para melhorar os manuais e treinamentos do projeto antes de 2020. Um sentimento que várias fontes compartilhadas são de que os adversários cibernéticos podem não atingir os EUA com tanta força no meio do período. Os EUA foram pegos de surpresa durante as eleições de 2016 e 2018 mostrará aos hackers do estado-nação o que temos e não aprendemos desde então.

A guerra cibernética não se resume apenas a ataques totalmente frontais. As campanhas de hackers e desinformação são mais secretas e contam com o que você não espera exatamente. Quanto à Rússia, Irã, China, Coréia do Norte e outros, muitos especialistas em segurança e política externa temem que ataques muito mais devastadores às eleições nos EUA ocorram no ciclo da campanha presidencial de 2020.

"Os russos ainda estão ativos, mas eu ficaria surpreso se os norte-coreanos, chineses e iranianos não estivessem assistindo com muito cuidado ao ver o que fazemos no meio do período e estabelecendo bases clandestinas, como qualquer operação cibernética da inteligência". Rosenbach.

Os ataques cibernéticos que vemos durante os períodos intermediários e em 2020 podem muito bem vir de vetores inteiramente novos que não estavam em nenhuma das simulações; uma nova geração de explorações e técnicas que ninguém esperava ou estava preparado para enfrentar. Mas pelo menos saberemos que eles estão vindo.