211service.com
Hier leest u hoe hackers chaos kunnen veroorzaken bij de tussentijdse verkiezingen van dit jaar in de VS
Simon Landrein
Op 6 november gaan de Amerikanen naar de stembus om te stemmen voor de tussentijdse verkiezingen van het congres. In de maanden voor de wedstrijd zullen hordes buitenlandse hackers naar hun toetsenborden gaan om de uitkomst te beïnvloeden. Ze zullen onder meer proberen binnen te komen in de digitale infrastructuur die het verkiezingsproces ondersteunt.
Er is hier een zorgwekkend precedent. Vorig jaar heeft het Department of Homeland Security aangemeld 21 staten dat Russische actoren in de maanden voorafgaand aan de Amerikaanse presidentsverkiezingen van 2016 het doelwit waren van hun verkiezingssystemen.
DHS-functionarissen zeiden dat de Russen voornamelijk computers en netwerken scanden op gaten in de beveiliging in plaats van te profiteren van eventuele fouten die werden ontdekt. Toch is dat geen reden tot zelfgenoegzaamheid. Inlichtingenfunctionarissen zijn al waarschuwend dat Rusland ook van plan is zich te bemoeien met de verkiezingen van dit jaar, en hackers uit andere landen die vijandig staan tegenover de VS zouden kunnen meedoen. Deze week zeiden zowel het DHS als het Federal Bureau of Investigation dat Rusland de basis legt voor brede cyberaanvallen op kritieke Amerikaanse infrastructuur. Vorig jaar heeft de DHS aangewezen stemtechnologie als onderdeel van dat essentiële kader.
Alleen al het bemoeien met close-run wedstrijden in een paar swing-gebieden zou voldoende kunnen zijn om het vertrouwen in het democratisch proces te ondermijnen. Wat computers gemakkelijker maken … is knoeien met het stemsysteem dat op de meest impactvolle plaatsen kan worden gedaan in een poging om marginale rassen te beïnvloeden, waarschuwt Alexander Schwarzmann, directeur van het Center for Voting Technology Research aan de Universiteit van Connecticut.
Sinds de presidentsverkiezingen van 2016 is er veel gedaan om de verkiezingsveiligheid te verbeteren. De cyberbeveiligingstraining voor staats- en lokale functionarissen is aanzienlijk geïntensiveerd en er is een instantie opgericht om informatie over bedreigingen delen . Het congres heeft onlangs ook $ 380 miljoen toegewezen aan staten, die het geld kunnen gebruiken om verouderde stemtechnologieën te upgraden, meer controles na de verkiezingen uit te voeren en andere stappen te ondernemen om hun verdediging te versterken.
Maar hackers zullen ook hun spel hebben verhoogd, en ze zullen ongetwijfeld gebruikmaken van de informatie die ze de vorige keer hebben verzameld. Hier is een kort overzicht van waar ze de meeste schade kunnen aanrichten:
Kiezersregistratiesystemen
De technologie: Deze systemen houden een digitaal register bij van geautoriseerde kiezers in een rechtsgebied en worden gebruikt om opiniepeilingen te vullen die verkiezingsfunctionarissen in stembureaus gebruiken om kiezers in te checken. De systemen worden vaak uitgevoerd op desktopcomputers met standaardbesturingssystemen die kwetsbaar kunnen zijn voor kwaadwillende code. Velen zijn ook vrij oud. Een vorig jaar gepubliceerd rapport door het Brennan Center for Justice van de New York University Law School schatte dat 41 staten nog steeds kiezersregistratiesystemen gebruikten die minstens tien jaar geleden waren gebouwd.
De risico's: Hackers kunnen de inzendingen van kiezers wissen of fictieve maken en vervolgens stemmen voor de nep-persona's insturen. Grootschalige manipulatie zou worden opgemerkt (net als het verwijderen van een hele database), maar minder flagrante manipulatie zou moeilijker kunnen zijn om op te pikken tot de dag van de stemming. Na de verkiezingen van 2016 zei Illinois dat hackers had toegang tot zijn kiezersregistratiesysteem. Ze hebben geen kiezersgegevens gewijzigd, maar ze hebben wel 76.000 records gedownload. Om staten te helpen inbreuken te voorkomen, werkt het DHS met veel van hen samen om beveiligingsaudits van hun systemen uit te voeren.
Kiezer inchecken
De technologie: In veel staten gebruiken stembureaumedewerkers tabletachtige elektronische stemboekjes in plaats van papieren om kiezers te verifiëren. Deze machines zijn vaak via lokale netwerken met elkaar verbonden.
De risico's: Hackers kunnen zich op de netwerken richten om toegang te krijgen tot de machines, door ze uit te schakelen of de gegevens erop te wijzigen. Dat is de reden waarom beveiligingsexperts zeggen dat alle stembureaus back-upplannen moeten hebben waarmee ze voorlopige stembiljetten kunnen afdrukken als de machines falen. De apparaten brengen ook andere risico's met zich mee: vorig jaar ontdekte een beveiligingsonderzoeker een schat aan kiezersgegevens die zich nog in het geheugen van een elektronisch opiniepeilingboek bevonden wordt verkocht op eBay .
Stemmachines
De technologie: Er zijn tegenwoordig twee brede soorten elektronische stemmachines in gebruik. Optical-scan stemlezers scannen en registreren papieren stembiljetten die door kiezers zijn ingevuld, terwijl elektronische of DRE-machines met directe opname de stemkeuzes op een scherm weergeven en de keuzes van kiezers elektronisch vastleggen. (Sommige DRE-machines kunnen ook een papieren record genereren.)
De risico's: Veel machines draaien op verouderde besturingssystemen met bekende beveiligingsfouten en waarvan de makers zijn gestopt met het uitgeven van updates. Dit maakt ze bijzonder kwetsbaar voor aanvallen. Vorig jaar konden hobbyistische hackers die de Defcon-conferentie in Las Vegas bijwoonden, een aantal verschillende apparaten compromitteren en de ervaring samenvatten in een verslag doen van . Meer recentelijk heeft Alex Halderman, een professor aan de Universiteit van Michigan, een schijnverkiezing georganiseerd met studentenstemmers om te laten zien dat het gemakkelijk is om de machines te hacken.
Er zijn ook andere risico's, waaronder het gevaar dat hackers kunnen draadloze modems compromitteren in sommige machines die worden gebruikt om stemgegevens te verzenden. Optical-scan stembiljetten hebben in ieder geval de originele papieren stembiljetten om op terug te vallen als er een vermoeden bestaat dat ze zijn gehackt; in het geval van DRE's vullen kiezers nooit een stembiljet met de hand in. Dat heeft ertoe geleid dat veel experts op het gebied van verkiezingsbeveiliging hebben opgeroepen om de machines te schrappen.
Lawrence Norden, de adjunct-directeur van het Brennan Center van NYU, zegt dat 13 staten nog steeds papierloze systemen gebruiken. Ik heb niet de hoop dat velen van hen vóór november wijzigingen hebben aangebracht, omdat er nu gewoon niet veel tijd is, voegt hij eraan toe. zegt dat zwaar leunen op de machines, zoals Pennsylvania, New Jersey en Delaware, zouden ze nog steeds kunnen gebruiken voor de presidentsverkiezingen van 2020.
Stemmen tellen en rapporteren
De technologie: Deze systemen draaien meestal op computers met standaard besturingssysteemsoftware, en de apparaten kunnen ook voor andere dingen worden gebruikt dan het tellen en rapporteren van verkiezingsresultaten.
De risico's: Net als de computers die worden gebruikt voor kiezersregistratie, zijn de machines kwetsbaar voor veel verschillende soorten kwaadwillende activiteiten, en hackers zouden ze kunnen aanvallen om twijfel te zaaien over de algemene uitkomst van verkiezingen. Hoewel dit misschien onwaarschijnlijk klinkt, zijn er sterke vermoedens dat Russische acteurs dat waren achter een aanval dat heeft in 2014 belangrijke bestanden uit het systeem van de Oekraïense centrale verkiezingscommissie verwijderd (Gelukkig konden de Oekraïners de gegevens van back-ups herstellen.)
Stemcontroles
In deze sectie wordt niet gewezen op een andere manier waarop hackers in november schade kunnen aanrichten; in plaats daarvan is het hier om duidelijk te maken dat robuuste audits na de verkiezingen belangrijker dan ooit zullen zijn in een wereld waarin hackers stemsystemen in hun vizier hebben.
In de VS worden al veel audits uitgevoerd op de resultaten van peilingen, maar tal van experts lobbyen voor zogenaamde risicobeperkende audits, die meer open en omslachtig zijn dan traditionele benaderingen. Het gaat om het nemen van papieren stembiljetten uit een statistisch significante willekeurige steekproef van districten, deze te tellen en vervolgens het resultaat te vergelijken met de verkiezingsuitslag die is berekend met behulp van de elektronische gegevens. (Dit veronderstelt natuurlijk dat er nog steeds papieren stembiljetten worden gegenereerd, wat het gebruik van sommige DRE-machines zou uitsluiten.)
Het idee, dat door een paar staten, waaronder Colorado en New Mexico, is overgenomen, vereist dat bij elke wedstrijd een audit wordt uitgevoerd, niet alleen bij close-runs. Als er afwijkingen worden ontdekt, worden aanvullende handmatige tellingen uitgevoerd. Deze uitgebreide – en dure – low-tech benadering lijkt misschien in tegenspraak met de high-tech vooruitgang, maar robuustere controles zijn van vitaal belang om tegenwicht te bieden aan de groeiende macht van hackers die ons vertrouwen in de democratie proberen te ondermijnen.