DEFCON:攻擊美國選舉系統如此簡單 小孩子都能輕松實現
責編:gltian |2018-08-10 11:16:35針對投票設備的黑客競賽正在火熱進行——與此同時,共和黨派卻駁回了一項有關加強投票設備安全的新撥款項目。
2016年的美國總統大選可謂是一波三折,最終特朗普當選美國總統,但這一結果其實是飽受爭議的,不少民眾認為這其中有黑客參與其中對美國大選投票進行干預,但由于沒有切實證據,此事也就不了了之了。
而就在去年的DEFCON黑客大會上,信息安全研究員竟然用90分鐘的時間成功攻破了美國大選所用的同款投票機。攻破方式更是多種多樣的,譬如通過Wi-Fi進行遠程訪問,再如其它物理硬件上的漏洞,僅通過插入鍵盤鼠標就獲得了投票機的控制權,然后根據黑客自身的意愿來更改票數信息,真可謂是漏洞百出。
美國選舉事件后,DEFCON的參與者們組成了一個“投票黑客村”(Voting Hacking Village),以各種方式破解來自Diebold、Sequoia和WinVote的投票機器,包括讓黑客在遠程透過Wi-Fi網絡存取,并上傳惡意軟件到投票系統。據悉,下周,2018DEFCON大會的“投票黑客村”將讓孩子們有機會參與破解投票設備。
從8月10日(星期五)開始,負責匯報投票結果的美國政府復制網站將放寬3個年齡范圍的團隊8-11歲、12-14歲以及15-16歲參與投票機制破解活動。在烏克蘭和加納等國的選舉活動中都發生過黑客入侵行為,嚴重影響并混淆了投票過程及最終結果。該“投票黑客村”的組織者希望年輕人也可以用美國式(US-style)的技術實現同樣的事情。
“投票黑客村”聯合創始人、芝加哥大學網絡政策倡議執行主任Jake Braun表示,破解這些投票網站實在是太簡單了,可以說簡單到“投票黑客村”里的成年黑客根本就不屑去做。在Braun的同事看來,這種攻擊活動只能算得上“小兒科”,是屬于“孩子們的游戲”。正是在其同事的提醒下,Braun開始使用其“Capture the Packet”工作人員和負責訓練年輕黑客的r00tz Asylum小組組織了此次活動。通過未成年人都能成功入侵投票機制這一事實,來告誡人們投票系統的脆弱和不堪一擊。
這些用于訓練孩子破解投票系統的網站是由美國最好的道德黑客之一Brian Markus所建,其在參與DEFCON黑客大會的“Capture The Packet”競賽之余,還經營著一家安全咨詢公司,此外,他還曾在美國總統的國家安全電信咨詢委員會(NSTAC,旨在幫助美國政府規定電信服務在支持國家安全與應急工作中的適用性和可靠性)任職,并為美國和澳大利亞軍方開發黑客培訓材料。
Braun對于Markus創建出來的復制版政府網站表示非常自信,因為Markus擁有非常強的專業素養,比負責該州選舉系統安全的專業人士具備更嫻熟的技能。
在周五和周六舉行的兩場歷時三小時的比賽中,孩子們將競爭“最佳入侵”獎項,試圖干預13個主要美國戰場州的選舉結果,顯然,這種行為在現實生活中會制造大范圍恐慌和混亂。據悉,這一獎項將頒發給第一個成功利用安全漏洞的人,無論是誰首先發現最具創造性和最佳的社會工程漏洞,亦或利用該漏洞的人年齡有多小,都可以獲得該獎項。
在Braun看來,孩子最具創新思維,他們能夠想出創造性的方法來擾亂投票結果。同時,我們也希望從這些新奇的眼睛中汲取一些創新思維,學習一些不同的想法,更好地完善我們作為成年人的能力。
這不僅僅是娛樂和游戲
還有不到100天,特朗普政府將面臨其第一個中期選舉,見證美眾議院全部435個席位和參議院100個席位中35個席位的爭奪,以及39個州州長選舉和地方選舉。如何確保選舉安全自然也成為目前美國政府的頭等大事。上周三,國會中的共和黨派駁回了參議員Patrick Leahy(D-VT)提出的撥款法案的修正案,該法案將撥款2.5億美元用于加強美國各州的選舉機制,以防御旨在擾亂美國選舉結果的惡意攻擊行為。據悉,只有一名共和黨派參議員投票贊成了該修正案,另有3名投了棄權票,其余均投了反對票。
確保選舉的完整性是維護我們民主的基礎,這不應該成為黨派問題。不幸的是,參議院采取了與眾議院共和黨人相同的道路,駁回了各州用于升級基礎設施和確保選舉安全所需的資金。不過,我并不打算就此放棄,我會在接下來的會議上繼續討論這個問題。
在為選舉安全尋求資金支持的道路上,Leahy并不是第一個“碰釘子”的人。近十年來,人們發現,針對國家民主基礎設備的投資少之又少,然而令人震驚的計算機安全漏洞卻隨處可見。為此,今年3月,美國國會決定撥款3.8億美元用于選舉安保支出。但到了7月,共和黨人駁回了要求額外資金的呼吁。
顯然,國會提供的3.8億美元只是杯水車薪,想要在選舉安全方面取得一定成績,還需要更多的資金支持。此外,目前只有少數幾個州和地方政府接受了國土安全部(DHS)的網絡評估服務,我們仍有數以千計的司法管轄區尚未擁有確定攻擊是否正在發生所需的傳感器。鑒于這一現實,我們甚至有可能不知道自己是否已經遭到了黑客攻擊。
DEFCON是世界上規模最大,運行時間最長的黑客大會,2018年的DEF CON黑客大會將于8月9日至12日在美國拉斯維加斯舉行,預計將吸引數以萬計的黑客和信息安全研究人員。