Ошибка системы: почему инфраструктура выборов в США остаётся уязвимой для кибератак
09.08.2018 11:11
Ошибка системы: почему инфраструктура выборов в США остаётся уязвимой для кибератак
9 августа в Лас-Вегасе стартует крупный международный форум по кибербезопасности Defсon. В его рамках впервые пройдёт необычный конкурс — школьники будут пытаться взломать государственные сайты, где публикуются итоги выборов в Соединённых Штатах. По мнению организаторов, в числе которых и Демпартия США, эти порталы столь уязвимы, что пробить дыры в их защите под силу даже интересующимся IT-технологиями подросткам. С подобными оценками согласны и эксперты. Уровень защиты сайтов госструктур США настолько низкий, что взломать их могут даже начинающие хакеры, отмечают специалисты. Почему Вашингтон не может обеспечить собственную кибербезопасность - далее в материале.
9 августа в Лас-Вегасе открывается международная конференция хакеров Defcon. На этом ежегодном мероприятии собираются сотрудники IT-компаний, хакеры, чиновники, представители спецслужб, юристы и пресса. Помимо докладов о кибербезопасности, в программе Defcon для специалистов IT-сферы предусмотрены конкурсы как по поиску средств защиты компьютерных систем, так и по определению уязвимостей в них.
Так, в качестве конкурсного задания участникам предложат взломать точные копии государственных сайтов, на которых публикуются результаты выборов. Однако искать уязвимости в системе впервые будут не опытные айтишники, а дети в возрасте от 8 до 16 лет. Победители получат порядка $2,5 тыс., причём часть призового фонда будет покрыта из бюджета Национального комитета Демократической партии США, который участвует в Defcon в качестве спонсора.
По словам экс-сотрудника Министерства внутренней безопасности США Джейка Брауна, то, что участвовать в конкурсе будут школьники, неслучайно — сайты избирательной системы сегодня насколько уязвимы, что взломать их способен даже 8-летний ребёнок. Браун добавил, что это было бы слишком простым заданием для взрослых специалистов.
«Хакеры засмеют нас прямо со сцены, если мы попросим их об этом», — цитируют Брауна профильные издания.
Как считает главный технический директор Национального комитета Демпартии Раффи Крикорян, по вопросам защиты данных во время голосования к демократам уже обращались представители местных и региональных властей.
По мнению Крикоряна, это указывает на отсутствие должной поддержки со стороны правительства и спецслужб. В Демпартии уверены, что намеченные на осень этого года промежуточные выборы в конгресс послужат мишенью для хакерских атак. Сам Крикорян, ранее работавший в крупных IT-корпорациях, таких как Twitter и Uber, вошёл в Нацкомитет Демократической партии в прошлом году — на фоне разгорающейся шумихи вокруг «российского вмешательства» в выборы 2016 года.
Паническая атака
Слухи о попытках Москвы повлиять на ход президентской кампании в США появились ещё летом 2016 года, за несколько месяцев до голосования.
Поводом для этих предположений стала публикация на сайте WikiLeaks переписки руководства демократов. Из неё следовало, что партийные праймериз прошли нечестно — Нацкомитет намеренно поддержал Хиллари Клинтон. Защищаясь от обвинений, Клинтон заявила, что обнародованные данные якобы похитили русские хакеры, взломавшие сервер Демпартии. Хотя представители WikiLeaks сообщили, что сведения были в действительности переданы инсайдерами внутри Демпартии. Впоследствии управление директора Национальной разведки США представило доклад, в котором присоединилось к обвинениям в адрес Москвы. Правда, никаких доказательств в пользу этой версии никто так и не представил.
Агентство национальной безопасности (АНБ) заявило, что ГРУ Генштаба ВС России якобы предпринимало кибератаку на компанию — производителя софта, используемого в американской избирательной системе. Росту ажиотажа вокруг приписываемого России вмешательства в американские выборы активно способствовали СМИ, со страниц которых эта тема не сходит спустя почти два года после голосования. Например, в феврале 2018-го со ссылкой на источники в разведке телеканал NBC News сообщил о скрытых атаках на системы регистрации избирателей в ряде штатов США — конечно, за этими попытками стояла Москва, уверены американские журналисты. В августе стало известно, что сенат США пригласил главреда сайта WikiLeaks Джулиана Ассанжа дать показания по делу о «российском вмешательстве».
Однако специалисты сомневаются в справедливости выводов о «российском следе». По словам эксперта по кибербезопасности, генерального директора компании Zecurion Алексея Раевского, даже в том случае, если кибератаки действительно производились с российских IP-адресов, нельзя однозначно утверждать о «вмешательстве Москвы» в политические процессы США.
«Хакеры могут спокойно взломать ваш домашний компьютер, чтобы использовать ваш IP-адрес для атаки, они способны делать это по всему миру. Никто не станет так глупо подставляться, если только это не какие-нибудь школьники, которые занимались хулиганством», — пояснил эксперт.
По словам специалиста, вмешательство в американские выборы может быть на руку самым разным акторам — например, иностранным правительствам, частным компаниям или каким-то политическим силам внутри США.
«За примерами далеко ходить не надо — недавно скандал разгорелся вокруг компании Cambridge Analytica, которая занималась политической рекламой с использованием больших массивов данных в социальных сетях. А владелец компании поддерживал Трампа и выход Великобритании из состава ЕС», — напомнил Алексей Раевский.
Системный «бардак»
Если об уязвимости сайтов, на которых публикуются официальные результаты голосования в США, заговорили только сейчас, то предупреждения о том, что применяемое при голосовании программное обеспечение не соответствует требованиям безопасности, звучали ещё до выборов 2016 года. Так, за несколько месяцев до голосования телеканал CBS выяснил, что порядка 70% используемых в США устройств для голосования и программное обеспечение к ним устарело, а значит, всё это — очень лёгкая цель для хакеров.
По оценкам американских IT- экспертов, чтобы управлять такой системой, злоумышленнику достаточно приобрести в интернете «доступное устройство» за $15. Как заявили CBS в аналитическом Центре Бреннана, ничего удивительного в столь высокой уязвимости нет — большая часть устройств для голосования закупалась примерно десять лет назад. За это время они попросту устарели.
Проблемы с обеспечением кибербезопасности в избирательной сфере имеют в США давнюю историю. Например, в 2000—2006 годах для нужд электронной системы голосования поставлялось оборудование с установленным инструментарием для дистанционного управления. Обычно такие программы позволяют компании-производителю удалённо обновлять и поддерживать ПО. Однако, как считают IT-специалисты, системы, предназначенные для голосования, должны работать в полностью автономном режиме, без подключения к интернету или каким-либо другим сетям. В противном случае существует большой риск, что каналом, предназначенным для дистанционного управления устройством, завладеют хакеры. Так и произошло — хакерская группировка Anonymous похитила исходный код программы, обеспечивающей удалённый доступ. Об этом стало известно в 2012 году, когда хакеры обнародовали код.
Закон Help America Vote Act (HAV), рекомендующий штатам внедрять электронные системы голосования, конгресс принял в 2002 году. На эти цели тогда было выделено из федерального бюджета $4 млрд. К этому решению законодателей подтолкнул крупный скандал, разгоревшийся во время президентской кампании 2000 года. Чтобы проголосовать, избиратели должны были тогда пробивать при помощи специальной машины отверстие в бумажном бюллетене напротив фамилии своего кандидата. Однако бюллетени были свёрстаны таким образом, что избиратель мог случайно проголосовать ошибочно. Как заявили тогда в Демпартии, именно это обстоятельство стало одной из причин поражения Альберта Гора на выборах.
Однако электронные системы, пришедшие на смену перфокартам, также вызывают серьёзные нарекания. Учитывая их потенциальную уязвимость перед кибератаками, голосование должно дублироваться на бумажных носителях. Впрочем, несмотря на это, в некоторых штатах — например, в Пенсильвании и Флориде, избиратели голосовали в 2016 году исключительно посредством электронных аппаратов.
Дело в том, что в США отдельные штаты имеют право устанавливать свои правила голосования, которые могут заметно различаться.
Во время предвыборной кампании 2016 года глава ФБР (тогда этот пост занимал Джеймс Коми) даже представлял это многообразие как дополнительный фактор безопасности.
«Прелесть избирательной системы в том, что она рассредоточена среди 50 штатов и является чертовски неуклюжей. В американской системе голосования на выборах такой бардак, что никто её не может взломать — и в этом её красота», — заявил в сентябре 2016 года Коми.
Действительно, подобная рассогласованность способна защитить от централизованного вмешательства, считают эксперты.
«Когда мы говорим о централизованной системе, которая управляется из одной точки, а все её данные хранятся в одной базе данных, задача злоумышленников упрощается. В условиях хаоса, когда нет единой системы, повлиять на выборы в централизованном режиме сложно», — считает Раевский.
Плачевная картина
Впрочем, «управляемый хаос» в американской системе голосования не даёт никаких гарантий защиты от локальных проникновений. В июне этого года представители нескольких штатов сообщили о недостаточности федеральных ассигнований на защиту выборов от возможных вмешательств.
«Модернизация оборудования и систем кибербезопасности — это постоянная задача для многих штатов, а федерального финансирования, к сожалению, недостаточно для того, чтобы сделать всё, что мы хотим или в чём мы нуждаемся», — заявил представитель штата Вермонт Джим Кондос, выступая на слушаниях в сенате.
Невзирая на колоссальную шумиху вокруг «российского вмешательства» в выборы 2016 года и приближение промежуточных выборов в конгресс, американские избирательные системы до сих пор недостаточно защищены, считают эксперты. Хотя, разумеется, определённые меры всё же принимаются — например, в мае прошлого года стало известно о планах Пентагона и Национального научного фонда США потратить около $81 млн на проекты по развитию кибербезопасности.
Как пояснил cпециалист по кибербезопасности Андрей Масалович, реальное положение дел ещё хуже, чем говорят организаторы Defcon.
«Уровень защиты сайтов политических и государственных структур в США — это уровень даже не для подростков, это детсад. Если взять последние отчёты, на которые ссылается сейчас Трамп, и вынести за скобки неаргументированные упоминания о России, то картина вырисовывается действительно плачевная. И это базируется на чудовищном непонимании и неисполнении базовых принципов безопасности. Было бы странно, если бы их никто не взламывал, для этого совершенно необязательно быть русским хакером», — считает эксперт.
Похожей точки зрения придерживается и Алексей Раевский. По словам эксперта, в США по отношению к информационной безопасности доминирует достаточно равнодушное отношение, как к чему-то второстепенному и неважному.
«Наших специалистов это нередко удивляет, можно сказать, что американцам в этом отношении недостаёт здоровой паранойи», — подвёл итог Раевский.