Under attack: hur valhackning hotar midterms

I mars packade tjänstemän från 38 stater in i en konferenshall i Cambridge, Massachusetts, för en tvådagars val simuleringsövning som kördes som ett krigsspel.

Mer än 120 statliga och lokala val tjänstemän, kommunikationsdirektörer, IT-chefer och statssekreterare körde övningar som simulerar säkerhetskatastrofer som kan hända på den värsta valdagen som kan tänkas.

Övningen på bordsskivan påbörjades varje simulering månader före valet under halvtidsperioden 6 november, vilket påskyndade tidslinjen tills stater motverkade attacker i realtid när väljarna gick till omröstningarna. Organiserat av projektet Defending Digital Democracy (D3P) i Harvard, en tvåpartsansträngning för att skydda demokratiska processer från cyber- och informationsattacker, tvingade övningarna deltagarna att svara på det ena mardrömsscenariot efter det andra - omröstningsmaskin och väljardatabaserad hack, distribuerade förnekande av tjänst (DDoS) attacker som tar ner webbplatser, läckte felinformation om kandidater, falska valmålsinformation spridd för att undertrycka röster och kampanjer på sociala medier som samordnats av nationstatsattacker för att såga misstro.

Som vi har sett i de senaste valen runt om i världen inträffar ofta flera attacker samtidigt.

"Tänk på en attack mot avslag på tjänsten och den normala taktiken för phishing och skadlig programvara skulle användas under ett val, " sade Eric Rosenbach, D3P-chef och stabschef till USA: s försvarsminister Ashton Carter från 2015 till 2017.

"Den del jag skulle vara mest bekymrad över med en DDoS är en attack mot en webbsida som tillkännager resultat i kombination med en high-end. Titta på vad som hände i Ukraina 2014. Ryssarna DDoSed webbsidan Ukraina använde för att meddela valresultat, styrde sedan alla tillbaka till Ryssland idag och gav falska resultat. Ukrainare lämnades förvirrade över vem som faktiskt hade valts till president."

Att förstå modern valsäkerhet innebär att man klarar av en skrämmande verklighet: särskilt i Förenta staterna är infrastrukturen för fragmenterad, föråldrad och sårbar för att vara helt säker. Det finns också alltför många olika typer av attacker över hotlandskapet för att någonsin stoppa dem alla.

PCMag talade med statliga tjänstemän, politiska operatörer, akademiker, teknikföretag och säkerhetsforskare om de starka verkligheten av valets säkerhet 2018. På båda sidor av den politiska gången, på alla nivåer av regeringen och i hela teknikindustrin, USA kämpar med grundläggande hot mot cybersäkerhet för våra val. Vi planerar också hur vi ska reagera när saker och ting går fel, både under detta avgörande val under perioden och i 2020 års allmänna val.

Skydda "Attack Surface"

I cybersäkerhet kallas alla exponerade system och enheter som kan attackeras "attackytan." Angreppsytan för ett val i USA är enorm och kan delas in i tre viktiga nivåer.

Den första är infrastruktur för röstning. tänk omröstningsmaskiner, väljarregistreringsdatabaser och alla statliga och lokala myndigheters webbplatser som säger människor var och hur de ska rösta.

Sedan finns kampanjens säkerhetsnivå. Som 2016 visade är kampanjer enkla mål för hackare. Stulna kampanjdata kan sedan användas som ett potent vapen för den tredje, mer nebulösa attacknivån: den onda världen av vapenad felinformation och kampanjer för socialt inflytande. På denna front fortsätter trollarméerna av nationstatsaktörer att verka över webben och invaderar sociala medieplattformar, som har blivit polariserande slaggrunder för väljarnas uppfattning.

Att försöka lösa de otaliga systemiska problem som plågar var och en av dessa nivåer leder ofta till fler frågor än svar. Istället kommer många av strategierna för att mildra säkerhetsriskerna i valet att komma till sunt förnuft: pappersröstning och revision av röster ge statliga och lokala myndigheter mer resurser; och tillhandahålla verktyg och säkerhetsutbildning för kampanjer och valföretag.

Ett par mer komplicerade och uppdelande frågor för valadministratörer, kampanjarbetare och väljarna: Hur närmar du dig valprocessen i sociala mediernas tid fylld med felaktig information online? Och när du har tvivel om all digital information som kommer över din skärm, vad ska du tro?

Vad vi lärde oss från 2016

Varje konversation om USA: s valsäkerhet under midtermerna 2018 och därefter hittar slutligen sin väg tillbaka till presidentvalet 2016. Innan det loppet hade vi sett cyberattacker riktade mot kampanjer och val sedan mitten av 2000-talet, men aldrig tidigare på den skalan.

"För närvarande hade ingen någonsin sett något liknande tidigare. Det var chockerande att tro att Ryssland skulle vara så modigt att blanda sig in i vår demokrati och påverka den till förmån för en viss kandidat, " sade Rosenbach, som vittnade inför kongressen i mars om rysk inblandning i valet 2016. "Jag har arbetat i nationell säkerhet i 20 år nu, och detta var det mest komplicerade, svåra problemet jag någonsin har hanterat."

Vid denna punkt är fakta ganska tydliga. Ett dussin ryska som påstås arbeta för GRU, Rysslands militära underrättelsetjänst, anklagades för att ha hackat Demokratiska nationella kommittén (DNC) och läckt dokument till organisationer inklusive WikiLeaks, som släppte över 20 000 e-postmeddelanden.

De anklagade hackarna, som arbetade under personpersoner på nätet inklusive Guccifer 2.0, Fancy Bear och DCLeaks, bryter också med databaserna för väljarregistrering i Illinois och Arizona i augusti 2016 och stal information om mer än 500 000 väljare. Efterföljande rapporter från FBI och NSA fann att hackare komprometterade omröstningsprogramvaran i 39 stater under presidentvalet 2016. USA: s vice riksadvokat Rod Rosenstein sade i åtalet mot ryska hackare att "målet med konspiration var att ha en inverkan på valet."

Det var bara attackerna som träffade de två första nivåerna av valinfrastruktur. På sociala medier släppte Ryssland, Iran och andra loss bots och trollfabriker - inklusive den Rysslandsstödda Internet Research Agency (IRA) - som sprider falska nyheter och köpte tusentals politiska annonser på Facebook och Twitter för att påverka väljarnas åsikter. Medan Facebook är knuten till politiska partier snarare än utanför hackare, spelade Facebooks Cambridge Analytica-skandal också en roll i hur sociala medieplattformar påverkade valet 2016.

"Vi reagerade inte snabbt eller starkt nog, " sade Rosenbach. När han arbetade på Pentagon fungerade Rosenbach också som biträdande biträdande sekreterare för cyber från 2011 till 2014, och assisterande försvarssekreterare för global säkerhet som övervakade cybersäkerhet.

Han är nu co-chef för Belfer Center vid Harvards Kennedy School och chef för D3P. Han grundade det förra året tillsammans med Matt Rhoades, Mitt Romneys kampanjchef under valet 2012, och Robby Mook, Hillary Clintons kampanjchef 2016.

"En viktig sak att förstå ur säkerhetssynpunkt är att själva kampanjen aldrig hackades, " sa Mook till PCMag. "Personliga e-postkonton hackades, och DNC hackades, men jag tror att det är en viktig varning för alla att vi verkligen måste säkra hela ekosystemet. Motståndare kommer att åka var som helst de kan för att beväpna information mot olika kandidater."

Phishing-attacken som framgångsrikt hackade DNC-ordföranden John Podestas personliga Gmail-konto 2016 lämnade Mook med insikten att det inte fanns några mekanismer för att reagera på en attack av denna storlek. 2017 anslöt han sig till Rhoades, som hade hanterat ständiga hackförsök av kinesiska cyberstyrkor under Romneys presidentval. Den grundläggande idén var att skapa en checklista över saker att göra för att förhindra exploater som denna i framtida kampanjer och att ge någonstans kampanjer att gå när de hackades.

De två anslöt sig till Rosenbach och arbetade för att publicera D3P Cybersecurity Campaign Playbook. De har sedan dess samarbetat om två andra spellistor: en för statliga och lokala valadministratörer, och en som prymer kommunikationstjänstemän om hur man kan motverka felinformation online. De hjälpte också till att organisera och köra interstate-bordssimuleringar.

Mook ville inte spendera för mycket tid på att prata om 2016; det är viktigt att inte fortsätta återuppleva den sista striden när du kan förbereda dig för den nästa, sa han.

"Faktum är att du bara inte vet varför eller hur någon försöker komma in. Du vet bara att någon kommer att göra det, " sa Mook. "Det viktigaste är att tänka på vad som kan vara nästa. Vad är de hot vi inte har övervägt eller sett ännu? Jag tror att midtermerna potentiellt kommer att dyka upp några nya sårbarheter, men jag tror att det handlar mer om att se på systemet som ett hela och räkna ut alla möjliga sätt någon kunde komma in."



Det skiftande hotlandskapet

När vi närmar oss midtermerna 2018 och står inför den långa sloget till USA: s presidentval 2020, kommer hotlandskapet i fokus.

Trots att president Trump har bagatelliserat omfattningen av den ryska inblandningen, slog USA Ryssland med nya sanktioner i mars. "Vi fortsätter att se en genomgripande meddelandekampanj av Ryssland för att försöka försvaga och dela USA, " sa den amerikanska direktören för nationell underrättelse Dan Coats under en briefing i augusti.

Det kom efter att Microsoft i juli stymmerade ett hackförsök med falska domäner riktade mot tre kandidater som kör för omval. Bara veckor innan den här historien publicerades anklagades en rysk medborgare för att ha övervakat ett försök att manipulera väljare via Facebook och Twitter för att störa midtermerna. Elena Khusyaynova, en rysk medborgare som heter i åtalet, förvaltade påstås finansiella och sociala operationer som är anslutna till IRA och hade en budget på mer än $ 35 miljoner som bankrullats av den ryska oligarken och Putin allierade Yevgeny Prigozhin.

Direktörerna för National Intelligence, Department of Homeland Security och FBI släppte ett gemensamt uttalande med anklagelsen. Den konstaterar att även om det inte finns några aktuella bevis på komprometterad röstinfrastruktur i mellanliggande delar, "har vissa statliga och lokala myndigheter rapporterat mildrade försök att få åtkomst till sina nätverk", inklusive databaser för väljarregistrering.

Under de sista veckorna före halvtidsvalet identifierar USA: s cyberkommando till och med identifieringen av ryska operatörer som kontrollerar trollkonton och informerar dem om att USA är medvetna om deras aktiviteter i ett försök att avskräcka valmedling.

"Vi är oroliga för pågående kampanjer från Ryssland, Kina och andra utländska aktörer, inklusive Iran, för att undergräva förtroendet för demokratiska institutioner och påverka den allmänna känslan och regeringens politik, " lyder uttalandet. "Dessa aktiviteter kan också försöka påverka väljarnas uppfattningar och beslutsfattande vid USA: s val 2018 och 2020."

Letar du efter mönster

När man övervakar aktiviteter från utländska motståndare och andra potentiella cyberfiender söker experter mönster. Toni Gidwani sa att det är som att studera en radaruppsättning av alla olika skadliga enheter där ute; du söker efter varningsindikatorer för att minska risken och säkerställa de svagaste länkarna i dina försvar.

Gidwani är chef för forskningsverksamhet vid cybersecurity-företaget ThreatConnect. Hon har tillbringat de senaste tre åren i spetsen för ThreatConnects forskning om DNC-hack- och ryska inflytningsoperationer vid USA: s presidentval 2016; hennes team kopplade Guccifer 2.0 till Fancy Bear. Gidwani tillbringade det första decenniet av sin karriär på DoD, där hon byggde och ledde analysteam på Defense Intelligence Agency.

"Du måste dra strängarna på många olika fronter, " sade Gidwani. "Fancy Bear arbetade med många olika kanaler för att försöka få DNC-uppgifterna till det allmänna området. Guccifer var en av dessa fronter, DCLeaks var en och WikiLeaks var den främsta effekten."

Gidwani sönderdelade de nationella statliga utnyttjandena som vi har sett till några olika aktiviteter som tillsammans bildar en flerstegsstörningskampanj. De kampanjfokuserade databrytningarna ledde till strategiska dataläckage vid kritiska ögonblick i valcykeln.

"I vi är bekymrade över spear-phishing och attacker mellan män och medeltagarna för säkerhet. Den informationen är så inverkande när den kommer i den offentliga domänen att du kanske inte behöver sofistikerad skadlig programvara, eftersom kampanjer är sådana pickup-operationer, med en tillströmning av volontärer som mål, "förklarade hon. "Du behöver inte nolldagars sårbarheter om din spear-phishing fungerar."

Genomträngningsattackerna på statliga val i styrelserna är en annan tapp som är avsedd att störa valmaskinens leveranskedja och försvaga förtroendet för valresultatets giltighet. Gidwani sa att den föråldrade och fragmenterade karaktären av röstinfrastruktur från stat till stat gjorde attacker som SQL-injektioner, som "vi hoppas att inte ens skulle vara en del av attackspelboken längre", inte bara möjligt utan också effektiva.

Dessa operationer skiljer sig till stor del från Facebook-grupperna och Twitter-trollkonton som har upprepats av IRA och andra nationstatsaktörer, inklusive Kina, Iran och Nordkorea. I slutändan handlar dessa kampanjer mer om att väcka upp känslor och vända väljare över det politiska spektrumet, förstärka de samordnade dataläckage med politiska lutningar. När det gäller felinformation har vi bara avslöjat toppen av isberget.

"En av de saker som gör valet så utmanande är att de består av många olika delar utan någon enda intressent, " sade Gidwani. "Den stora utmaningen vi kämpar med är i grunden en politisk fråga, inte en teknisk fråga. Plattformerna gör ett försök att göra legitimt innehåll lättare att identifiera genom att verifiera kandidater. Men med hur viralt denna typ av innehåll kan spridas tar det oss utanför informationssäkerhetens värld."



Pluggar nya hål i den gamla maskinen

På sin mest grundläggande nivå är amerikansk valinfrastruktur ett lapptäcke - ett virvar av föråldrade och osäkra röstmaskiner, sårbara väljardatabaser och statliga och lokala webbplatser som ibland saknar ens den mest grundläggande kryptering och säkerhet.

På ett bakåtriktat sätt kan den fragmenterade naturen av riksomfattande röstinfrastruktur göra det till ett mindre tilltalande mål än en exploit med mer omfattande effekter. På grund av den föråldrade och ibland analoga tekniken i röstmaskiner och hur väldigt varje stat skiljer sig från nästa, skulle hackare behöva spendera betydande ansträngningar i varje fall för att kompromissa med varje enskilt lokaliserat system. Det är en missuppfattning i viss utsträckning, eftersom hacking av statlig eller lokal röstinfrastruktur i ett viktigt swing-distrikt kan absolut påverka ett valresultat.

Två valcykler sedan konsulterade Jeff Williams för en stor amerikansk leverantör av röstmaskiner, som han vägrade att identifiera. Hans företag gjorde en manuell kodgranskning och säkerhetstest av röstmaskinerna, valstyrningstekniken och rösträknessystemen och fann en mängd sårbarheter.

Williams är CTO och grundare av Contrast Security och en av grundarna av Open Web Application Security Project (OWASP). Han sa att på grund av valmjukvarans arkaiska karaktär, som i många fall hanteras av lokala områden som ofta fattar köpbeslut baserade mer på budget än säkerhet, har tekniken inte förändrat så mycket.

"Det handlar inte bara om röstmaskinerna. Det är all programvara du använder för att skapa ett val, hantera det och samla in resultaten, " sade Williams. "Maskinerna har en ganska lång livslängd eftersom de är dyra. Vi talar om miljoner kodrader och många års arbete med att försöka granska den, med säkerhet som är komplicerad att implementera och inte är väl dokumenterad. Det är en symptom på ett mycket större problem - ingen har insikt i vad som händer i programvaran de använder."

Williams sa att han inte heller har så mycket förtroende för test- och certifieringsprocesserna. De flesta statliga och lokala myndigheter sätter ihop små team som gör penetrationstest, samma typ av tester som gjorde rubriker på Black Hat. Williams anser att det är fel inställning jämfört med uttömmande kvalitetskontroll av mjukvara. Hackningstävlingar som de i Voting Village på DefCon hittar sårbarheter, men de berättar inte allt om de potentiella exploateringar du inte hittade.

Den mer systemiska frågan landsomfattande är att röstmaskiner och valhanteringsprogramvara skiljer sig massivt från stat till stat. Det finns bara en handfull stora leverantörer registrerade för att tillhandahålla röstmaskiner och certifierade omröstningssystem, som kan vara pappersröstningssystem, elektroniska omröstningssystem eller en kombination av de två.

Enligt den ideella organisationen Verified Voting räknas 99 procent av USA: s röster med dator i någon form, antingen genom att skanna olika typer av pappersröstsedlar eller genom direkt elektronisk post. Verified Voting's rapport från 2018 konstaterade att 36 stater fortfarande använder röstutrustning som har visat sig vara osäkra, och 31 stater kommer att använda elektroniska röstmaskiner med direktinspelning för åtminstone en del av väljarna.

Det mest oroväckande är att fem stater - Delaware, Georgia, Louisiana, New Jersey och South Carolina - använder för närvarande direktinspelande elektroniska omröstningsmaskiner utan valgranskning av pappersrevision. Så om omröstning räknas i det elektroniska systemet, antingen genom en fysisk eller fjärrhack, kan staterna inte ha något sätt att verifiera de giltiga resultaten i en revisionsprocess där ofta bara en statistisk provtagning av röster behövs, snarare än en fullständig berättelse.

"Det finns inte en låda med hängande chads för oss att räkna, " sade Joel Wallenstrom, VD för den krypterade meddelanden-appen Wickr. "Om det finns påståenden i mitten om att resultaten inte är riktiga eftersom ryssarna gjorde något, hur hanterar vi den felaktiga informationen? Folk läser bombastiska rubriker och deras förtroende för systemet försvinner ytterligare."

Att uppgradera röstinfrastruktur mellan stat och stat med modern teknik och säkerhet händer inte för midtermen och troligen inte före 2020. Medan stater inklusive West Virginia testar nya tekniker som blockchain för elektronisk omröstning och granskning av röster, är de flesta forskare och säkerhetsexperter säger att i stället för ett bättre system är den säkraste metoden för att verifiera röster ett pappersspår.

"Pappersrevisionsspår har varit ett samtal för säkerhetssamhället länge, och i mitten och förmodligen presidentvalet kommer de att använda massor av maskiner som inte har det, " sade Williams. "Det är inte hyperboll att säga att detta är ett existensiellt hot mot demokrati."

En av staterna med en pappersrevisionsspår är New York. Deborah Snyder, statens Chief Information Security Officer, berättade PCMag vid ett nyligen toppmötet National Cyber ​​Security Alliance (NCSA) att New York inte var bland de 19 stater vars uppskattade 35 miljoner väljarposter är till salu på den mörka webben. Men offentligt tillgängliga väljarregister i New York är påstås tillgängliga gratis på ett annat forum.

Staten gör regelbundna riskbedömningar av sina röstmaskiner och infrastruktur. New York har också investerat miljoner sedan 2017 i lokal intrångsdetektering för att förbättra övervakning och respons av händelser, både i staten och i samordning med informationsdelnings- och analyscentret (ISAC), som samarbetar med andra stater och den privata sektorn.

"Vi har en ökad medvetenhet som leder fram till och genom valet, " sade Snyder. "Jag har lag på däck från klockan 6 dagen före till midnatt på valdagen. Vi är alla händer på däck, från New York State Intelligence Center till ISAC till den lokala och statliga valstyrelsen och mitt kontor, ITS och Division of Homeland Security and Emergency Services."



Lokala valwebbplatser sitter ankor

Den sista och ofta förbisatta aspekten av statlig och lokal valsäkerhet är regeringens webbplatser som säger medborgarna var och hur de ska rösta. I vissa stater finns det chockerande liten konsistens mellan officiella webbplatser, av vilka många inte ens har de mest grundläggande HTTPS-säkerhetscertifikaten, vilket verifierar att webbsidor är skyddade med SSL-kryptering.

Cybersecurity-företaget McAfee undersökte nyligen säkerheten på webbplatserna för landets valstyrelse i 20 stater och fann att endast 30, 7 procent av webbplatserna har SSL för att kryptera all information som en väljare delar med webbplatsen som standard. I stater inklusive Montana, Texas och West Virginia är 10 procent av platserna eller färre SSL-krypterade. McAfees forskning fann att endast i Texas använder 217 av 236 länvalstjänster inte SSL.

Du kan berätta för en SSL-krypterad webbplats genom att leta efter HTTPS i webbadressen till webbplatsen. Du kan också se en lås eller nyckelsymbol i din webbläsare, vilket innebär att du kommunicerar säkert med en webbplats som är den de säger att de är. I juni började Googles Chrome att flagga alla okrypterade HTTP-webbplatser som "inte säkra."

"Att inte ha SSL 2018 som förberedelse för midtermerna innebär att dessa länswebbplatser är mycket mer sårbara för MiTM-attacker och dataprioritering", sa McAfee CTO Steve Grobman. "Det är ofta en gammal osäker HTTP-variant som inte omdirigerar dig till säkra webbplatser, och i många fall skulle webbplatserna dela certifikat. Saker ser bättre ut på statsnivå, där bara cirka 11 procent av webbplatserna är okrypterade, men dessa lokala länsplatser är helt osäkra."

Av de stater som ingår i McAfees forskning hade bara Maine över 50 procent av länets valwebbplatser med grundläggande kryptering. New York var bara 26, 7 procent, medan Kalifornien och Florida var cirka 37 procent. Men bristen på grundläggande säkerhet är bara halva historien. McAfees forskning fann också nästan ingen konsistens i domänerna på länets valwebbplatser.

En chockerande liten procentandel av statliga valsajter använder den regeringsverifierade.gov-domänen, istället väljer man vanliga toppdomäner (TLD) som. Com,.us,.org eller.net. I Minnesota använder 95, 4 procent av valplatserna icke-statliga domäner, följt av Texas på 95 procent och Michigan på 91, 2 procent. Denna inkonsekvens gör det nästan omöjligt för en vanlig väljare att urskilja vilka valplatser som är legitima.

I Texas använder 74, 9 procent av de lokala väljarregistreringswebbplatserna.us-domänen, 7, 7 procent använder.com, 11, 1 procent använder.org och 1, 7 procent använder.net. Endast 4, 7 procent av webbplatserna använder.gov-domänen. I Texas-länet Denton, till exempel, är webbplatsen för landstingsval https://www.votedenton.com/, men McAfee fann att relaterade webbplatser som www.vote-denton.com är tillgängliga att köpa.

I scenarier som detta behöver angripare inte ens hacka lokala webbplatser. De kan helt enkelt köpa en liknande domän och skicka phishing-e-postmeddelanden som leder folk att registrera sig för att rösta via den bedrägliga webbplatsen. De kan till och med tillhandahålla falsk röstinformation eller felaktiga valplatser.

"Det vi ser i cybersäkerhet i allmänhet är att angripare kommer att använda den enklaste mekanismen som är effektiv för att uppnå sina mål, " sade Grobman. "Även om det kan vara möjligt att hacka själva röstningsmaskinerna finns det många praktiska utmaningar för det. Det är mycket lättare att följa väljarregistreringssystem och databaser eller bara köpa en webbplats. I vissa fall fann vi att det fanns liknande domäner köpte av andra parter. Det är lika enkelt som att hitta en GoDaddy-försäljningssida."



Kampanjer: Flytta delar och enkla mål

Det kräver i allmänhet mer ansträngning för hackare att infiltrera varje län eller statens system än att gå efter låghängande frukt, till exempel kampanjer, där tusentals tillfälliga anställda gör för tilltalande märken. Som vi såg 2016 kan effekterna av kampanjdataöverträdelser och informationsläckor vara katastrofala.

Angripare kan penetrera kampanjer på ett antal olika sätt, men det starkaste försvaret är helt enkelt att se till att grunderna är låsta. D3P: s kampanj Cybersecurity Playbook avslöjar inte någon banbrytande säkerhetstaktik. Det är i grund och botten en checklista de kan använda för att se till att varje kampanjmedarbetare eller volontär är kontrollerad och att alla som arbetar med kampanjdata använder skyddsmekanismer som tvåfaktorautentisering (2FA) och krypterade meddelandetjänster som Signal eller Wickr. De måste också utbildas i informationshygien för sunt förnuft med medvetenhet om hur man kan upptäcka phishing-system.

Robby Mook talade om enkla vanor: säg, automatiskt ta bort e-postmeddelanden du vet att du inte behöver, eftersom det alltid finns en chans att data kommer att läcka om de sitter runt.

"Kampanjen är ett intressant exempel, eftersom vi hade den andra faktorn på våra kampanjkonton och affärsregler för att hålla data och information inom vårt domän, " förklarade Mook. "De dåliga killarna, lärde vi oss i efterhand, fick mycket personal att klicka på phishing-länkar, men de försökna var inte framgångsrika, eftersom vi hade skydd på plats. När de inte kunde komma på det sättet, gick de runt till människors personliga konton."

Kampanjsäkerhet är svårt: Det finns tusentals rörliga delar, och det finns ofta ingen budget eller expertis att bygga i banbrytande informationssäkerhetsskydd från början. Tekniska industrin har ökat på denna front och har gemensamt tillhandahållit ett antal gratis verktyg för kampanjer som leder fram till mitten.

Alphabet's Jigsaw ger DDoS-kampanjer genom Project Shield, och Google har utökat sitt avancerade kontosäkerhetsprogram för att skydda politiska kampanjer. Microsoft erbjuder politiska partier gratis AccountGuard-hotdetektering i Office 365, och i sommar var företaget värd för cybersecurity-workshops med både DNC och RNC. McAfee ger bort ett McAfee Cloud för säkra val gratis i ett år till valkontor i alla 50 stater.

Andra molntekniska och säkerhetsföretag - inklusive Symantec, Cloudflare, Centrify och Akamai - tillhandahåller liknande gratis eller rabatterade verktyg. Det hela är en del av teknikindustrins kollektiva PR-kampanj av olika slag, som gör en mer samlad ansträngning för att förbättra valets säkerhet än Silicon Valley har tidigare.

Få kampanjer på krypterade appar

Wickr, till exempel, ger (mer eller mindre) kampanjer tillgång till sin tjänst gratis, och arbetar direkt med kampanjer och DNC för att utbilda kampanjarbetare och bygga ut säkra kommunikationsnätverk.

Antalet kampanjer som använder Wickr har tredubblats sedan april och mer än hälften av senatkampanjerna och över 70 politiska konsultgrupper använde plattformen från och med denna sommar, enligt företaget. Audra Grassia, Wickrs politiska och regeringsledare, har varit på väg mot sina ansträngningar med politiska kommittéer och kampanjer i Washington, DC under det senaste året.

"Jag tror att människor utanför politiken har svårt att förstå hur svårt det är att distribuera lösningar över flera kampanjer, på alla nivåer, " sade Grassia. "Varje kampanj är sitt eget separata småföretag med personal som roterar ut vartannat år."

Enskilda kampanjer har ofta inte finansiering för cybersäkerhet, men de stora politiska kommittéerna gör det. I kölvattnet av 2016 har särskilt DNC ​​investerat mycket i cybersäkerhet och denna typ av relationsbyggande med Silicon Valley. Kommittén har nu ett tekniskt team på 35 personer som leds av den nya CTO Raffi Krikorian, tidigare Twitter och Uber. DNC: s nya Chief Security Officer, Bob Lord, var tidigare en säkerhetschef på Yahoo som är intimt bekant med att hantera katastrofala hackor.

Grassias team har arbetat direkt med DNC, hjälpt till att få Wickrs teknik utplacerad och erbjuder kampanjer olika utbildningsnivåer. Wickr är en av teknikleverantörerna som finns på DNC: s tekniska marknadsplats för kandidater. "De rörliga delarna i en kampanj är verkligen häpnadsväckande, " sade Wickrs vd Joel Wallenstrom.

Han förklarade att kampanjer inte har teknisk kunskap eller resurser för att investera i företagsklass informationssäkerhet eller att betala Silicon Valley priser för talang. Krypterade appar erbjuder i grunden inbyggd infrastruktur för att flytta all kampanjens data och interna kommunikationer till säkra miljöer utan att anställa ett dyrt konsultteam för att konfigurera allt. Det är inte en allomfattande lösning, men åtminstone krypterade appar kan få en kampanjens väsentlighet låst relativt snabbt.

I mitten och framtida val, sade Robby Mook, finns det några kampanjattackvektorer som han är mest bekymrad över. Den ena är DDoS-attacker på kampanjwebbplatser i kritiska stunder, till exempel under ett kongressanförande eller en primär tävling när kandidater bankar på donationer online. Han är också orolig för falska webbplatser som en stans på två för att stjäla pengar.

"Vi har sett lite av detta, men jag tror att en sak att titta på är falska insamlingswebbplatser som kan skapa förvirring och tvivel i donationsprocessen, " sa Mook. "Jag tror att det kan bli mycket värre med socialteknik som försöker lura kampanjpersonal att koppla in pengar eller omdirigera donationer till tjuvar. Faran med detta är särskilt hög eftersom det inte bara är lukrativt för en motståndare, utan det distraherar kampanjer från det verkliga problem och håller dem fokuserade på intriger."



Informationskriget för väljarnas tankar

De svåraste aspekterna av modern valsäkerhet att förstå, än mindre att skydda mot, är felinformation och kampanjer för socialt inflytande. Det är den fråga som har spelat mest offentligt på nätet, i kongressen och på de sociala plattformarna i hjärtat av den krig som hotar demokratin.

Falska nyheter och felinformation som sprids för att påverka väljare kan komma i många olika former. 2016 kom det från mikroinriktade politiska annonser på sociala medier, från grupper och falska konton som sprider falsk information om kandidater och från läckta kampanjdata strategiskt spridda för informationskrig.

Mark Zuckerberg sade berömt dagar efter valet att falska nyheter på Facebook som påverkade valet var en "ganska galen idé." Det tog ett katastrofalt år med dataskandaler och inkomster för Facebook för att komma dit det är nu: massutreningar av politiska skräppostkonton, verifiering av politiska annonser och inrättande av ett "krigsrum" mellan valet som en del av en omfattande strategi för att bekämpa val inblandning.

Twitter har vidtagit liknande åtgärder för att verifiera politiska kandidater och slå ner på bots och troll, men felinformation kvarstår. Företagen har varit ärliga om att de är i en vapenkapp med cyber-fiender för att hitta och ta bort falska konton och för att hindra falska nyheter. Facebook stängde av en Iran-länkad propagandakampanj bestående av 82 sidor, grupper och konton just förra veckan.

Men maskininlärningsalgoritmer och mänskliga moderatorer kan bara gå så långt. Spridningen av felinformation via WhatsApp i Brasils presidentval är bara ett exempel på hur mycket mer arbete sociala medieföretag behöver göra.

Facebook, Twitter och teknikjättar som Apple har gått från att stillsamt erkänna den roll deras plattformar spelar i valet till att ta ansvar och försöka fixa de mycket komplicerade problem som de hjälpte till att skapa. Men räcker det?

"Påverkan i val har alltid varit där, men det vi ser är en ny nivå av sofistikeradhet, " säger Travis Breaux, docent i datavetenskap vid Carnegie Mellon, vars forskning rör integritet och säkerhet.

Breaux sa att de typer av felinformationskampanjer vi ser från Ryssland, Iran och andra nationstatliga aktörer inte är så annorlunda än spelprogram som spionagenter har använt i årtionden. Han pekade på en bok från 1983 med namnet The KGB och Soviet Disinformation , skriven av en före detta underrättelsetjänsteman, som talade om statligt sponsrade informationskampanjer under kalla kriget för att vilseleda, förväxla eller bliva utländska åsikter. Rysslands hackare och trollgårdar gör samma sak idag, bara deras ansträngningar förstärks exponentiellt av kraften i digitala verktyg och räckvidden de ger. Twitter kan sprida ett meddelande till hela världen på ett ögonblick.

"Det finns en kombination av befintliga tekniker, som förfalskade konton, som vi nu ser bli operativa, " sa Breaux. "Vi måste ta fart och förstå hur äkta, pålitlig information ser ut."

McAfee CTO Steve Grobman anser att regeringen bör driva public service-kampanjer för att öka medvetenheten om falsk eller manipulerad information. Han sa att en av de största problemen under 2016 var det flagrösa antagandet att överträdda data hade integritet.

I de sena stadierna av en valcykel, när det inte finns tid att oberoende verifiera giltigheten av information, kan informationskrigföring vara särskilt kraftfull.

"När John Podestas e-postmeddelanden publicerades på WikiLeaks antog pressen att de alla verkligen var Podestas e-postmeddelanden, " sa Grobman. PCMag har inte genomfört en direkt utredning av äktheten hos de läckta e-postmeddelandena, men vissa Podesta-e-postmeddelanden verifierade som falska cirkulerade fortfarande så sent som i höst, enligt FactCheck.org, ett projekt som körs ut från Annenberg Public Policy Center vid universitetet av Pennsylvania.

"En av de saker som vi behöver för att utbilda allmänheten om är att all information som kommer ut ur ett överträdelse kan innehålla tillverkad information sammanflätad med legitim information för att mata allt berättande motståndare som leder dig mot. Folk kan tro att något tillverkat som påverkar deras röst."

Detta kan utvidgas inte bara till vad du ser online och i sociala medier, utan också till logistiska detaljer om omröstning i ditt område. Med tanke på inkonsekvensen i något så grundläggande som webbplatsdomäner från en lokal kommun till nästa, behöver väljarna ett officiellt sätt att bedöma vad som är verkligt.

"Föreställ dig hackare som försöker vända ett val mot en kandidat i ett givet landsbygd eller stadsområde, " sade Grobman. "Du skickar ett phishing-e-postmeddelande till alla väljare som säger att valet har skjutits upp i 24 timmar på grund av väder, eller ge dem en falsk uppdaterad valplats."

I slutändan är det upp till väljarna att filtrera bort felinformation. New York State Chief Information Security Officer Deborah Snyder sa: "Få inte dina nyheter från Facebook, rösta ditt tankesätt, " och se till att dina fakta kommer från verifierade källor. Wickrs Joel Wallenstrom anser att väljarna måste ståla sig själva för att det kommer att finnas en hel del FUD (rädsla, osäkerhet och tvivel). Han tycker också att du bara bör stänga av Twitter.

Robby Mook sa att oavsett om du handlar med kriminalitet eller datakrigföring, är det viktigt att komma ihåg att informationen du ser är utformad för att få dig att tänka och agera på ett visst sätt. Gör inte.

"Väljarna måste ta ett steg tillbaka och fråga sig själva vad som är viktigt för dem, inte vad som sägs till dem, " sa Mook. "Fokusera på innehållet i kandidaterna, de beslut som dessa offentliga tjänstemän kommer att fatta och hur dessa beslut kommer att påverka deras liv."



Kasta allt vi har på dem. Kör igen

Projektets försvarssäkerhetssimuleringsborr för Defending Digital Democracy började klockan 8 i Cambridge, Mass. När det började, med deltagare som arbetade i fiktiva stater sex eller åtta månader före valdagen, stod 10 minuter av övningen 20 dagar. I slutet skedde varje minut i realtid eftersom alla räknade ner till valmöte.

Rosenbach sa att han, Mook och Rhoades gick in med 70 sidor med scenarier som skrev hur katastrofer för val av säkerhet skulle spela, och de skulle kasta efter varandra på statliga tjänstemän för att se hur de svarar.

"Vi skulle säga, här är situationen, vi har precis fått en nyhetsrapport om en rysk information som genomförs via Twitter-bots, " sade Rosenbach. "Dessutom kommer det resultat från den här vallokalen att den visas som stängd men bara för afroamerikanska väljare. Då måste de reagera på det, samtidigt som 10 andra saker håller på att gå ner - registreringsdata hackades, infrastruktur för röstning är komprometterad, något läckt och vidare."

Projektet Defending Digital Democracy gjorde forskning i 28 stater om demografi och olika typer av omröstningsutrustning för att skriva in i simuleringarna, och alla fick en roll. Valledare på låg nivå fick spela högsta tjänstemän i en fiktiv stat, och vice versa. Rosenbach sa att West Virginia: s statssekreterare Mac Warner ville spela en opinionsundersökare.

Målet var att tjänstemän från alla 38 stater skulle lämna simuleringen med en svarplan i deras sinne och ställa rätt frågor när det verkligen betyder något. Har vi krypterat den här länken? Är väljardatabasen säker? Har vi låst in vem som har fysisk tillgång till valmaskinerna före valdagen?

En utan tvekan viktigare biprodukt av bordsskivan var skapandet av ett nätverk av valföretag över hela landet för att dela information och utbyta bästa praxis. Rosenbach kallade det för en slags "informell ISAC" som har förblivit väldigt aktiv fram till mitten av stater för att dela typer av attacker och sårbarheter de ser.

Staterna gör också den här typen av utbildning på egen hand. New York inledde en serie regionala bordövningar i maj i samarbete med Department of Homeland Security med fokus på cybersecurity beredskap och hotrespons.

NYS CISO Snyder sade att State Board of Elections tillhandahöll valspecifik utbildning till County Boards of Elections. Dessutom gjordes gratis utbildning för cybermedvetenhet tillhandahållen för alla 140 000 statliga arbetare tillgängliga för lokala kommuner, vilket gav dem både valspecifik utbildning och allmän utbildning för cybersäkerhet. Snyder sade också att hon har nått ut till andra stater som har drabbats av åsidosättande av väljardata för att ta reda på vad som hände och varför.

"Partnerskap är det som får cybersecurity att fungera. Brist på delning av underrättelser är därför det misslyckas, " sade Snyder. "Stater inser att cyber inte kan göras i silon, och fördelen med den delade medvetande om situationen överväger långt besväret att berätta historien om hur du blev hackad."

D3P skickar lag över hela landet under midtermen för att observera valen i dussintals stater och rapportera tillbaka för att förbättra projektets spellistor och utbildningar före 2020. En känsla som ett antal källor delade är att cyber-motståndare kanske inte slår USA så hårt i mitten. Amerika blev helt fångad under valet 2016, och 2018 kommer att visa nationstatshacker vad vi har och inte har lärt oss sedan dess.

Cyber-krigföring handlar inte bara om attacker med full frontal. Kampanjer med hackning och felinformation är mer hemliga, och de litar på att du slår exakt vad du inte förväntar dig. När det gäller Ryssland, Iran, Kina, Nordkorea och andra, fruktar många säkerhets- och utrikespolitiska experter att mycket mer förödande attacker mot USA: s val kommer att komma i presidentkampanjcykeln 2020.

"Ryssarna är fortfarande aktiva, men jag skulle bli förvånad om nordkoreanerna, kineserna och iranierna inte såg mycket noga för att se vad vi gör i mitten och lägga hemliga grundläggningar, precis som alla cyberoperationer." Rosenbach.

Cyberattackerna vi ser under midterms och 2020 kan mycket väl komma från helt nya vektorer som inte var med i någon av simuleringarna; en ny generation av exploater och tekniker som ingen förväntade sig eller beredda att möta. Men åtminstone vet vi att de kommer.