编者按:鉴于2016年大选遭受俄罗斯网络活动干扰,美国政府、国会近年来陆续出台多项政策、法案和措施,以确保2020年大选网络安全;美国网络司令部也将为大选护航列为当前头号任务。美国大选网络安全涉及目标广、技术要求高,存在的漏洞和弱点也较多。美国有线电视网络媒体公司HBO近期推出纪录片《杀伤链:美国大选的网络战争》,深入探讨了公众甚至立法者都鲜为知晓的当今选举技术弱点,揭示选举系统安全漏洞已成为军事领域“杀伤链”的一环,凸显出美国选举过程的脆弱性,并提出免受破坏的明确解决方案。奇安网情局编译美国网络安全公司Exabeam工程师亚伯·莫拉莱斯的解读文章,供读者参考。

HBO纪录片《杀伤链:美国大选的网络战争》带来的启示

距离美国大选仅有几个月时间。官员们千方百计地寻找确保选举系统完整性的解决方案。但当前面临的最大问题是:“这管用吗?”HBO新推出的纪录片《杀伤链:美国大选的网络战争》,向观众揭示了当今选举技术存在的弱点。作为安全工程师,我有义务帮助分析黑客正在使用的某些技术,以便更好地保护我所服务的组织。

选举系统易遭民族国家黑客攻破

在这部纪录片中,参加DEF CON大会的一名黑客成功入侵投票系统并强行关闭了系统。黑客实现了命令行访问。在三天时间里,黑客发现了数十个漏洞。

这些仅仅是黑客,他们在为期三天的会议上,所使用的资源仅限于会议中心拥有的资源。民族国家攻击者有时间和资源来购买这些机器,识别漏洞,并规划发起影响选举的战略性和协调性攻击。

白帽黑客在选举安全中可以扮演重要角色

该纪录片展示了白帽黑客(例如DEF CON的演示者)在选举安全中可以扮演的角色。现代组织经常接受网络安全界的帮助。除了内部安全团队评估其技术外,公司通常还会推出漏洞赏金计划,旨在奖励白帽黑客报告其安全系统漏洞。公司和政府机构会依照漏洞的严重等级和其他参数,向漏洞报告者发放赏金,作为对其发现的奖励。

赏金计划会带来诸多益处,包括发现大量的网络安全人才,获得不同的专业知识,更快地发现漏洞。尽管报告漏洞很重要,但是公司需要通过签订服务级协议,对所报告的漏洞进行弥补,开发补丁程序,确认漏洞得到及时修复,并向用户提供补丁程序。

只要有足够的时间、金钱和资源,任何电子设备都可能被黑客攻破。该纪录片从一个内行者的视角,展示了如何发现漏洞,如何利用白帽黑客修复某些选举安全问题。

选举系统需要解决供应链安全问题

政府需要向私营部门学习。如今,供应商在开发流程伊始就会考虑网络安全因素。信息技术和开发与网络安全的交织比以往任何时候都更重要,因为消费者希望使用安全的平台。选举系统亦无不同。

选举用的投票机器本不应该连接互联网,但最近,国家选举防御联盟选举安全倡导组织高级技术顾问凯文·斯科格隆德发现,有35台投票机器已经连接到互联网。投票机器采用旧的或过时的技术和软件,极易被利用。

同样可怕的是供应链攻击。美国供应链监控公司Interos最近报告,35台投票机器上的控制板、AI处理器、基础设施软件、触摸屏等大量组件来自外国公司,机器前三层供应商的大部分供应商位于国外。

州与政府官员需要对供应商及其技术进行全面且独立的安全评估。在私有部门中,类似易受攻击的系统不允许插入企业网络,因为这会带来风险。供应商若不解决软件、硬件和整个供应链中的漏洞,政府官员将追究其责任。

政府亟需解决选举安全漏洞问题

这部纪录片对选举安全问题提出了非常有力的证明。不幸的是,政府没有足够迅速地解决支持投票程序的技术和供应商所存在的各种问题。整个国家需要具备解决供应链问题的能力,并确保及时修补漏洞。来自第三方的任何成功干预都会损害我们选举程序的完整性,从而损害我们的民主。

诸如《杀链》之类的纪录片可作为安全研究人员、政治领导人和美国公民了解选举安全威胁严重性的一种教育工具。我们对这些危险越了解,就越有能力防止袭击我们国家最神圣的民主实践。

声明:文章仅供交流参考,不代表本机构立场。

声明:本文来自奇安网情局,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。