针对投票设备的黑客竞赛正在火热进行——与此同时,共和党派却驳回了一项有关加强投票设备安全的新拨款项目。
2016年的美国总统大选可谓是一波三折,最终特朗普当选美国总统,但这一结果其实是饱受争议的,不少民众认为这其中有黑客参与其中对美国大选投票进行干预,但由于没有切实证据,此事也就不了了之了。
而就在去年的DEFCON黑客大会上,信息安全研究员竟然用90分钟的时间成功攻破了美国大选所用的同款投票机。攻破方式更是多种多样的,譬如通过Wi-Fi进行远程访问,再如其它物理硬件上的漏洞,仅通过插入键盘鼠标就获得了投票机的控制权,然后根据黑客自身的意愿来更改票数信息,真可谓是漏洞百出。
美国选举事件后,DEFCON的参与者们组成了一个“投票黑客村”(Voting Hacking Village),以各种方式破解来自Diebold、Sequoia和WinVote的投票机器,包括让黑客在远程透过Wi-Fi网络存取,并上传恶意软件到投票系统。据悉,下周,2018DEFCON大会的“投票黑客村”将让孩子们有机会参与破解投票设备。
从8月10日(星期五)开始,负责汇报投票结果的美国政府复制网站将放宽3个年龄范围的团队8-11岁、12-14岁以及15-16岁参与投票机制破解活动。在乌克兰和加纳等国的选举活动中都发生过黑客入侵行为,严重影响并混淆了投票过程及最终结果。该“投票黑客村”的组织者希望年轻人也可以用美国式(US-style)的技术实现同样的事情。
“投票黑客村”联合创始人、芝加哥大学网络政策倡议执行主任Jake Braun表示,破解这些投票网站实在是太简单了,可以说简单到“投票黑客村”里的成年黑客根本就不屑去做。在Braun的同事看来,这种攻击活动只能算得上“小儿科”,是属于“孩子们的游戏”。正是在其同事的提醒下,Braun开始使用其“Capture the Packet”工作人员和负责训练年轻黑客的r00tz Asylum小组组织了此次活动。通过未成年人都能成功入侵投票机制这一事实,来告诫人们投票系统的脆弱和不堪一击。
这些用于训练孩子破解投票系统的网站是由美国最好的道德黑客之一Brian Markus所建,其在参与DEFCON黑客大会的“Capture The Packet”竞赛之余,还经营着一家安全咨询公司,此外,他还曾在美国总统的国家安全电信咨询委员会(NSTAC,旨在帮助美国政府规定电信服务在支持国家安全与应急工作中的适用性和可靠性)任职,并为美国和澳大利亚军方开发黑客培训材料。
Braun对于Markus创建出来的复制版政府网站表示非常自信,因为Markus拥有非常强的专业素养,比负责该州选举系统安全的专业人士具备更娴熟的技能。
在周五和周六举行的两场历时三小时的比赛中,孩子们将竞争“最佳入侵”奖项,试图干预13个主要美国战场州的选举结果,显然,这种行为在现实生活中会制造大范围恐慌和混乱。据悉,这一奖项将颁发给第一个成功利用安全漏洞的人,无论是谁首先发现最具创造性和最佳的社会工程漏洞,亦或利用该漏洞的人年龄有多小,都可以获得该奖项。
在Braun看来,孩子最具创新思维,他们能够想出创造性的方法来扰乱投票结果。同时,我们也希望从这些新奇的眼睛中汲取一些创新思维,学习一些不同的想法,更好地完善我们作为成年人的能力。
这不仅仅是娱乐和游戏
还有不到100天,特朗普政府将面临其第一个中期选举,见证美众议院全部435个席位和参议院100个席位中35个席位的争夺,以及39个州州长选举和地方选举。如何确保选举安全自然也成为目前美国政府的头等大事。上周三,国会中的共和党派驳回了参议员Patrick Leahy(D-VT)提出的拨款法案的修正案,该法案将拨款2.5亿美元用于加强美国各州的选举机制,以防御旨在扰乱美国选举结果的恶意攻击行为。据悉,只有一名共和党派参议员投票赞成了该修正案,另有3名投了弃权票,其余均投了反对票。
确保选举的完整性是维护我们民主的基础,这不应该成为党派问题。不幸的是,参议院采取了与众议院共和党人相同的道路,驳回了各州用于升级基础设施和确保选举安全所需的资金。不过,我并不打算就此放弃,我会在接下来的会议上继续讨论这个问题。
在为选举安全寻求资金支持的道路上,Leahy并不是第一个“碰钉子”的人。近十年来,人们发现,针对国家民主基础设备的投资少之又少,然而令人震惊的计算机安全漏洞却随处可见。为此,今年3月,美国国会决定拨款3.8亿美元用于选举安保支出。但到了7月,共和党人驳回了要求额外资金的呼吁。
显然,国会提供的3.8亿美元只是杯水车薪,想要在选举安全方面取得一定成绩,还需要更多的资金支持。此外,目前只有少数几个州和地方政府接受了国土安全部(DHS)的网络评估服务,我们仍有数以千计的司法管辖区尚未拥有确定攻击是否正在发生所需的传感器。鉴于这一现实,我们甚至有可能不知道自己是否已经遭到了黑客攻击。
DEFCON是世界上规模最大,运行时间最长的黑客大会,2018年的DEF CON黑客大会将于8月9日至12日在美国拉斯维加斯举行,预计将吸引数以万计的黑客和信息安全研究人员。
在建党100周年来临之际,创宇盾将为包括党、政、军、事业单位、教育、医疗等重点客户提供免费网络安全保障服务。
美国联邦调查局(FBI)透露,该机构于今年 3 月发起了针对 GRU 控制的大型僵尸网络的专项行动。在获得加利福尼亚和宾夕法尼亚两州法院的授权后,FBI 清理了存在于指挥和控制服务器(C2S)上的所谓 Cyclops Blink 恶意软件,从而切断了其与受感染设备的连接。
根据Meta(Facebook的母公司)的一份新的安全报告,一个与白俄罗斯有关的黑客组织试图入侵乌克兰军事人员的Facebook账户,并从黑客账户发布视频,谎称乌克兰军队投降。这场黑客行动之前被安全研究人员称为”Ghostwriter”,是由一个名为UNC1151的组织实施的,该组织在Mandiant进行的研究中与白俄罗斯政府有关。
获取安全动态