99热婷婷-99热网-99热网址-99热亚洲-国产精品v欧美精品∨日韩-国产精品videosse

一波未平，一波又起。2016年美國總統大選的網絡安全風波尚未平息，2020年的大選安全問題再次成為關注焦點。如果說2016年的大選安全問題是一次毫無防備的“閃電戰”，那么2020年，沒有人懷疑，這一次美國大選面臨的安全威脅將更復雜、更嚴峻，是一場籌備了三年多的立體攻防大會戰，也很可能會是影響世界發展進程的一次重大安全事件。

今年4月份，HBO紀錄片《Kill Chain》在Youtbube上公開播出，該紀錄片以公眾能夠理解的方式，揭示了美國選舉系統面臨的安全威脅，尤其是投票機的脆弱性。

但是，根據今年3月份美國RSA網絡安全大會的專家觀點，美國大選面臨的網絡威脅攻擊面非常寬廣，投票機的安全漏洞甚至不是最嚴重的安全威脅。從注冊系統、選舉網站、選民數據庫到社交媒體，都暴露在各種網絡攻擊的火力之下，包括勒索軟件、社工攻擊、社交媒體信息濫用、高級針對性攻擊、郵件攻擊、僵尸網絡DDoS攻擊、人工智能深度偽造等等。

《Kill Chain》的導演Arizzone和Michaels已經在2006年制作了一部名為Hacking Democracy的紀錄片，該紀錄片首次以紀錄片形式披露了投票機漏洞以及如何操縱選票，從而導致喬治·W·布什贏得了選舉（2004年）。

16年后的今天，《Kill Chain》再次聚焦大選安全，采訪了包括黑客和選舉安全專家Harri Hursti在內的各路專家，以討論他們對美國選舉安全問題的看法。

赫爾斯蒂（Hursti）早在2006年就已經警告過選舉投票機可被破解。如今，他再次出手，分析2020年大選使用的投票機，令人吃驚的是，他從電商平臺eBay淘來的二手投票機里居然還保存著投票數據。

然后，Hursti決定讓DEF CON黑客大會的黑客們來測試這些投票機，結果黑客們不費吹灰之力就破解了所有送測機器，這意味著任何人都可以毫不費力地操縱選舉結果。

《Kill Chain》還采訪了一個代號“CyberZeist”的黑客，此人聲稱毫不費力地訪問了阿拉斯加投票系統網站。如果CyberZeist是一個“有背景”的黑客，完全可以制造出一條大新聞。

雖然《Kill Chain》揭示的投票機安全漏洞也許僅是大選安全的冰山一角，但該紀錄片暴露的一些共性問題，例如多年來美國政客和各級決策者對網絡安全技術問題的錯誤理解、宣傳誤導，缺乏有效資源配置和執行等，是導致大選安全問題惡化的根本原因。

《Kill Chain》指出，許多政客和決策者對專家的警告置若罔聞，拒絕通過能夠保證安全的選舉制度的法案。而安全專家們則擔心，如果沒有政治支持，他們對此也將無能為力。

大選面臨的安全威脅

大多數人可能都不知道，美國總統選舉中的核心活動是由私營公司而非州或地方官員處理的。私營公司負責：

a.出售投票機并對大多數選舉進行編程

b.進行選民登記

c.理票

d.報告選票

以上每個過程中都存在已知的安全漏洞，其他漏洞包括投票機和電子流程中的漏洞，選舉機構內部糟糕的網絡安全實踐以及選舉官員對技術的無知。

大選的安全問題已經不再是臆測假設和政治爭斗的話柄，而是真實有效的攻擊。據《紐約時報》報道，2019年11月在賓夕法尼亞州北安普敦縣舉行的大選結果離譜（贏家在最初的5.5萬張選票中只獲得了164張選票），很可能是技術故障或黑客入侵。報道指出，俄羅斯黑客的攻擊正變得更加隱蔽，一些聯邦官員說，負責DNC黑客攻擊的俄羅斯情報部門之一，花哨熊（Fancy Bear）已將其部分服務器移至美國，以挫敗美國國家安全局和其他美國情報機構。俄羅斯黑客組織正在使用更安全的加密通信方法（例如ProtonMail）來策劃2020年競選入侵活動。

雖然自2016年以來，美國各州一直在爭先恐后地提高其網絡防御能力，升級投票系統并培訓地方選舉官員。但專家指出，對州和地方選舉系統的彈性的真正考驗將是2020年。2020年美國大選可能面臨許多不同類型的網絡攻擊，主要威脅和攻擊對象如下：

社交媒體和電子郵件

早在2017年，美國情報機構就指責俄羅斯通過社交媒體虛假信息、竊取競選電子郵件攻擊投票系統來干擾2016年大選，美國情報負責人指出，2020年威脅已大大擴展，而社交媒體是“撕裂美國”的便捷方法。2020年，隨著人工智能深度偽造和自動化社交傳播技術的普及，虛假新聞的影響力將無孔不入。

互聯網安全中心選舉安全高級總監亞倫·威爾遜（Aaron Wilson）在今年3月的RSAC的演講中，重點討論了選舉中使用的非投票設備。Wilson指出，許多主要的黑客攻擊并非源于網絡掃描，而是起源于電子郵件，看起來合法但實際上會啟動惡意軟件的釣魚郵件，一旦打開，它們便可以使入侵者訪問網絡或誘使目標不知不覺地交出網絡密碼。

奧巴馬的網絡安全專家Anthony Ferrante曾警告特朗普團隊關于俄羅斯對大選的干預活動，指出，俄羅斯情報人員進行了數字版的水門事件，滲透到民主黨和克林頓競選活動中，竊取了數萬封電子郵件，并在選舉前的幾天和幾周內對它們進行了武器化。由克里姆林宮支持的在線宣傳員組成的互聯網研究機構（Internet Research Agency）投入1500萬至2000萬美元，對美國選民的心理造成了嚴重破壞。

各國網絡水軍實力分析（團隊數量、預算支出）

投票機和投票基礎設施

2016年，有20％的美國選民（約2750萬人）使用了不產生可審計紙質記錄的電子投票機。研究表明，這些機器容易受到黑客攻擊。如今，一些州和地方選舉辦公室已經在升級舊的脆弱的投票設備。但是，根據紐約大學法學院布倫南司法中心的分析，全國多達12％的選民（估計有1600萬人）將繼續使用不產生可審計紙質記錄的純電子設備。這些設備面臨惡意軟件（包括勒索軟件）的威脅。

除了投票機以外，選民注冊系統和選舉網站也是熱門攻擊目標：

?攻擊電子民意測驗簿和注冊系統，將個人從選民名單中刪除、交換民意測驗地點或聲稱他們沒有投票時就進行了投票。

?對選舉網站進行黑客攻擊，對公眾進行投票時間、投票地點和當前注冊狀態的信息欺騙。

?通過選舉之夜報告系統攻擊傳播不準確結果，進行虛假宣傳活動。

在2018年DEFCON黑客大會上，一名11歲的黑客入侵了佛羅里達州選舉網站的仿真版本，并在不到10分鐘的時間內更改了投票總數。密歇根大學計算機科學教授，研究投票設備的J. Alex Halderman表示：“到2020年，選舉基礎設施的安全性仍存在巨大差距。”

供應商安全隱患

美國大投票設備被三家私營公司把持，同時聯邦監管形同虛設。除了生產投票機和設備外，Election Systems＆Software、Dominion Voting Systems和Hart InterCivic這幾家公司還為美國10,000個投票轄區中的許多轄區提供選舉管理和計票系統。

長期以來，美國大選系統的分布式和本地化設計一直被視為一種財富，沒有中央數據庫或投票系統可以攻擊，沒有統一的投票軟件或投票站設備。但是根據NSA揭密者Reality Winner泄露的機密文件顯示，2016年俄羅斯黑客找到了突破口——攻擊了VR Systems的投票軟件公司和地方政府辦公室。今天，成千上萬的縣和州選舉辦公室是需要保護的主要目標。前聯邦調查局網絡安全專家費蘭特說：“人們會說我們的投票方式是如此分散和多樣，這使其更具彈性。”“但是它也帶來了很多風險，并造成了更大的攻擊面。”

目前美國聯邦政府仍不要求供應商將其投票系統或公司網絡提交給獨立的第三方進行安全測試查找漏洞。這些廠商的投票系統由美國選舉援助委員會管理的實驗室進行認證。安全專家說，該測試是不充分的，并注意到該委員會的準則自2005年以來并未進行實質性更新。供應商甚至無需報告涉及其系統的網絡安全漏洞。一些供應商已將其系統提交給政府實驗室進行安全性測試，盡管這些測試的結果尚未公開。ES＆S表示，它還與國土安全部合作，在其選民登記系統上安裝了入侵檢測系統。

大選安全威脅的緩解措施

2016年以來不斷曝光的美國選舉基礎設施的諸多安全問題表明，解決美國的投票和選舉基礎設施問題是一項長期的工作，不會在11月的大選之前徹底解決。在2020年大選之前，安全廠商們給出的緩解措施和建議大致有以下幾點：

升級投票機加固基礎設施

雖然在RSA2020安全大會上，與會專家們表示投票機的安全問題已經得到緩解，但事實上投票機依然是最脆弱也是最致命的環節。迄今為止最令美國政界恐懼的攻擊無疑是將惡意軟件植入投票機操縱選舉結果。

因此，升級或者加固投票機依然是當務之急。第一步是“去無紙化”，為無紙化投票系統提供每張選票的“紙質備份”，并由每個選民進行驗證。否則，就無法獨立評估投票機提供的數字總數是否合法。

此外，大多數美國投票機都是本世紀初采購的“古董”，這本身就構成了安全隱患。在任何計算機或軟件在生命周期末期都會變得更容易崩潰，更容易受到攻擊且更難以維護。正如紀錄片《Kill Chain》所揭示的，一些選舉官員轉向eBay之類的平臺來為過時的投票機尋找替換零件，這令人難以置信。

在今年初在亞特蘭大聯邦法院提交的宣誓書中，安全專家洛根·蘭姆（Logan Lamb）發現了證據，表明佐治亞州的一臺選舉服務器已于2014年12月遭到黑客入侵。他進一步發現，對服務器的訪問日志于2017年3月被刪除，他的同事警告管理服務器的肯尼索州立大學的官員，但該服務器至今仍然容易受到攻擊。

在布倫南中心的一項調查中，有31個州表示必須在2020年大選之前更換投票機，但與此同時，三分之二的受訪者表示他們負擔不起。如果沒有資金，這些州的投票機將面臨DNS攻擊，惡意軟件以及各種可能的網絡安全風險。

安全的選民登記

黑客操縱和破壞大選并不一定非要從投票機入手，也不一定需要篡改結果，黑客只需要讓特定區域的選舉流程癱瘓，選民無法參與投票就能達到目的。因此基礎架構的其他關鍵領域美國選舉人票，例如選民注冊數據庫，也必須使用頂級安全技術升級。

選民登記數據庫用于確定誰可以投票以及他們可以在哪里投票。這些數據庫容易受到攻擊，大量選民有被其本國的民主進程剝奪選舉權的風險，美國很多州的選民注冊系統都是在2006年之前開發的，其網絡安全保護技術落后今天的威脅至少十年。

安全專家指出，與應采取的任何其他安全措施相比，該措施的實施需要最多的時間。各州通常不愿意替換選舉基礎設施（例如投票機），尤其是眼下距離大選只有半年時間。但也有例外，弗吉尼亞州在發現安全隱患后的幾個月內，更換了全部無紙化系統。

安全專家指出，選舉基礎設施的安全性對選舉本身也意義重大，因為如果選民發現選舉系統存在嚴重安全問題，他們參與投票的熱情將冷卻。

使用多重計數系統和交叉驗證。選舉官員和選民需要多種方式來驗證選舉。選舉設備應提供數字審計跟蹤和可核實的紙質投票。例如，如果投票機不但要報告其自己的總投票計數，而且在向投票系統提交投票之前，還需要給選民一個紙面選票進行檢查。此外美國選舉人票，該投票系統還應當報告每個投票機的總數，這樣選舉管理者可以核對三個獨立的數據（來自物理投票、投票機和計票系統， 下圖）。

圖片來自：TrustiPhi的Ives Brant

加強網絡安全培訓

美國的選舉系統龐大而分散，從安全角度看這雖然有好處，但也意味著選舉是在地方一級進行，這也帶來了一些安全風險。

最顯著的危險是，整個選舉系統擁有超過8,000個單獨的選舉辦公室，每個選舉辦公室和選舉網站都是黑客的潛在目標，而每個單獨的安全事件都有可能影響大選結果。

這意味著對訓練有素的網絡安全專業人員的需求將在2020年達到頂峰。許多州都有國土安全部和其他網絡安全專家來審核他們的系統，但是，由于每個司法管轄區都擁有可用的資源，因此會有大量漏洞被疏忽?，F在，Web主機默認提供了某些服務模塊（例如網站安全性和防火墻保護），而其他模塊（例如報告系統）將需要更動手和更復雜的方法，對于許多州來說，這可能太困難了。（編者按：在釣魚網站HTTPS普及率超過六成的今天，美國很多州的政府網站甚至沒有啟用HTTPS）

僅僅對投票官員和地方政府進行安全培訓還不足以保證“人的安全”，大選安全需要“全民意識”。CISA表示，無論威脅可能出現在哪里，所有美國人都應準備捍衛2020年的選舉免于威脅。該機構發言人告訴公民社會組織：“每個美國人在確保2020年選舉安全方面都可以發揮作用。”

進行選舉后審核

選舉安全方面的大多數工作應在“選舉后審核”中進行，將電子投票總數與投票機數據進行比較。到2020年，超過85％的美國人將使用該系統進行投票，超過42個州將保留幾乎所有投票書面記錄。但是，如果不使用這些書面記錄來核對每個電子理票記錄，書面記錄的價值將大打折扣。

為了“證明”選舉結果，目前保留紙質投票記錄的42個州中至少有24個將需要進行選舉后審核。剩下的26個州無需進行任何選舉后審核。

那些準備進行選舉后審核的州，例如密歇根州和新澤西州計劃使用強大的風險限制審核（RLA），計劃使用統計模型來證明選舉獲勝者是正確的。

最后值得一提的是美國大選投票風控審計開源工具，這是一個基于網絡的風險限制審計（RLA）工具，用于在美國進行選舉后審計。該工具通過將原始紙質選票的隨機樣本上標記的選票與相同選票的電子記錄選票進行比較，從而幫助選舉官員完成對統計表進行統計上有效的審核。這種類型的審核可以確認所報告的贏家確實贏了，或者如果無法確認所報告的結果，則可以通過全手工重新計算來糾正結果。

政策支持與統籌

2017年1月時任美國國國土安全部部長杰赫·約翰遜（Jeh Johnson）將選舉系統定義為“關鍵基礎設施”，之后國土安全部加強了與州和地方選舉官員的關系。他們提供了免費的網絡安全服務，例如風險評估和漏洞掃描，并創建了一個信息共享小組。他們已向州選舉官員授予安全許可，以便他們可以接收威脅情報。他們還向各州發送了設備，以幫助檢測惡意的網絡活動。

財政支持方面，過去兩年中，美國為選舉安全撥款近9億美元，但是有參議員指出這些撥款由于沒有附加明確的使用規則和規范，導致最終落實在改善系統安全性方面的預算少之又少。

不過，國土安全部（DHS）網絡安全和基礎設施安全局（CISA）的一位發言人告訴媒體，該機構在過去幾年中已經看到選舉安全性的顯著改善。發言人說：

在與美國所有50個州和2,400多個地方轄區的合作中，我們已經看到這些部門的風險管理實踐已經日趨成熟。無論是實施多因素身份驗證和入侵檢測系統之類的安全產品，還是事件識別、通信和響應，選舉安全技術的進步都是真實的。