Τα πολιτικά κόμματα εξακολουθούν να έχουν προβλήματα υγιεινής στον κυβερνοχώρο


Στα τρία χρόνια από τότε που οι Ρώσοι εργάτες παραβίασαν τους servers της Δημοκρατικής Εθνικής Επιτροπής και έριξαν την προεδρική πολιτική σε μια κατάσταση διαρκούς χάους, οι χώρες σε όλο τον κόσμο έχουν ειδοποιηθεί για την απειλή ξένης παρέμβασης στις εκλογές. Όμως, καθώς οι ΗΠΑ προετοιμάζονται για άλλες προεδρικές εκλογές το επόμενο έτος και καθώς η Ευρωπαϊκή Ένωση διεξάγει βουλευτικές εκλογές αυτή την εβδομάδα, μια νέα έκθεση αποκαλύπτει μια σειρά προφανών και συνεχιζόμενων αδυναμιών ασφαλείας που θα μπορούσαν να αφήσουν τα πολιτικά κόμματα και στα δύο μέρη ευάλωτα σε επίθεση.

Η έκθεση, η οποία θα δημοσιευθεί την Τρίτη, καταρτίστηκε από την SecurityScorecard, μια εταιρεία ανάλυσης κινδύνου που εδρεύει στη Νέα Υόρκη και παρακολουθεί την υποδομή πληροφορικής για περισσότερα από 1 εκατομμύριο οντότητες ανά τον κόσμο. Για την έκθεση αυτή, οι ερευνητές ξεπήδησαν στα δίκτυα που λειτουργούσαν 29 πολιτικά κόμματα από 11 χώρες κατά το πρώτο τρίμηνο του τρέχοντος έτους. Σε γενικές γραμμές, διαπίστωσαν ότι τα μικρότερα μέρη τόσο στην ΕΕ όσο και στις ΗΠΑ θέτουν τους μεγαλύτερους κινδύνους.

Στις ΗΠΑ, η ανάλυσή τους περιελάμβανε τη Δημοκρατική Εθνική Επιτροπή, την Εθνική Επιτροπή Ρεπουμπλικανών, το Πράσινο Κόμμα και το Ελευθεριακό Κόμμα. Διαπίστωσαν ότι ενώ το DNC και το RNC έχουν ενισχύσει την άμυνα τους από το 2016, και τα δύο μεγάλα κόμματα έχουν θέματα υγιεινής στον κυβερνοχώρο που θα μπορούσαν να τους κάνουν ακόμα στόχους για αφοσιωμένους αντιπάλους. Ένα άλλο αμερικανικό κόμμα, το οποίο οι ερευνητές αρνήθηκαν να κατονομάσουν στην έκθεση, άφησε ένα εκτεταμένο εργαλείο για αναζήτηση, διαρροές ονόματα ψηφοφόρων, ημερομηνίες γέννησης και διευθύνσεις, πληροφορίες που δεν είναι διαθέσιμες στο κοινό στις περισσότερες πολιτείες. Αυτό το ελάττωμα έχει από τότε διορθωθεί, αφού οι ερευνητές ήρθαν σε επαφή με το κόμμα.

Στην Ευρώπη, εν τω μεταξύ, οι ερευνητές ανίχνευσαν ενεργό κακόβουλο λογισμικό σε ένα δίκτυο εγγεγραμμένο στην ΕΕ.

Σύμφωνα με τον Jasson Casey, επικεφαλής της τεχνολογίας του SecurityScorecard, τα ευρήματα δείχνουν το εύρος της πρόκλησης για τα πολιτικά κόμματα, τα οποία συχνά δεν διαθέτουν επαρκείς πόρους, αλλά συλλέγουν συλλογές δεδομένων που τόσο οργανωμένοι εγκληματίες όσο και ξένοι αντίπαλοι θα βρίσκουν πολύτιμες. "Το προφανές ερώτημα που τίθεται είναι: Είναι ακόμη δυνατή η αποτελεσματική άμυνα των εν λόγω πολιτικών κομμάτων;" λέει ο κ. Casey. "Εάν οι μεγάλες επιχειρήσεις έχουν έναν σκληρό χρόνο με αυτό, πώς μπορούν να το κάνουν οι μικρές πολιτικές οργανώσεις;"

Οι ερευνητές του SecurityScorecard χρησιμοποίησαν μια τυποποιημένη λίστα ελέγχου για να βαθμολογήσουν τα μέρη σχετικά με τις πρακτικές ασφαλείας τους σε μια κλίμακα από το 1 έως το 100, τα σημεία σύνδεσης βασισμένα στη σοβαρότητα των προβλημάτων που ανακαλύπτουν. Γενικά, βαθμολογία 80 ή υψηλότερη θεωρείται καλή, με έναν οργανισμό λιγότερο πιθανό να βιώσει μια παραβίαση.

Ο Issie Lapowsky καλύπτει τη διασταύρωση της τεχνολογίας, της πολιτικής και των εθνικών υποθέσεων για την WIRED.

Στις ΗΠΑ, τόσο η DNC όσο και η RNC εργάστηκαν για να ενισχύσουν την τεχνική υποδομή τους από το 2016 και, σύμφωνα με τα ευρήματα του SecurityScorecard από το 2016, δείχνει, λέει ο Casey. Εκείνη τη χρονιά, οι ερευνητές της εταιρείας έδωσαν στους Ρεπουμπλικάνους βαθμολογία 84, αφού ανακάλυψαν μεγάλο αριθμό πιστοποιητικών ασφαλείας που έληξαν σε ιστοτόπους συνδεδεμένους με το RNC. Οι Δημοκρατικοί, εν τω μεταξύ, έλαβαν 80 το 2016, χάρη στο κακόβουλο λογισμικό που λειτουργούσε στο σύστημα DNC. Αυτά τα θέματα φαίνεται να είναι σταθερά, αυξάνοντας τις βαθμολογίες των μερών στα 87 και 84, αντίστοιχα. Και όμως, εξακολουθούν να υπάρχουν κάποιες τσιμπήματα στη θωράκιση κάθε οργανισμού.

Το DNC, για παράδειγμα, έχει ξεκινήσει χρησιμοποιώντας ένα εργαλείο ελέγχου ταυτότητας δύο παραγόντων που ονομάζεται Okta, κάτι που είναι γενικά καλό. Ωστόσο, οι ερευνητές ανακάλυψαν ένα παράδειγμα όπου ένα εργαλείο ημερολογίου που χρησιμοποιεί έλεγχο ταυτότητας δύο παραγόντων προβλήθηκε μέσω μιας σύνδεσης HTTP, αντί για το πιο ασφαλές HTTPS, το οποίο κρυπτογραφεί τα δεδομένα καθώς ταξιδεύει μεταξύ ενός προγράμματος περιήγησης και ενός διακομιστή ιστού. Επειδή πρόκειται για μια μη κρυπτογραφημένη σύνδεση, ένας εξειδικευμένος χάκερ θα μπορούσε να οργανώσει αυτό που ονομάζεται επίθεση στο άτομο-στο-μέτωπο, ανακατεύοντας την επισκεψιμότητα από την αρχική διεύθυνση URL σε έναν ψεύτικο ιστότοπο Okta. Εκεί, ένας επιτιθέμενος θα μπορούσε να συγκεντρώσει τα διαπιστευτήρια σύνδεσης του προσωπικού του DNC χωρίς να συνειδητοποιήσει το προσωπικό.

Ο επικεφαλής της CyberSecurity της DNC, Bob Lord, λέει ότι η συγκεκριμένη διεύθυνση URL δεν χρησιμοποιείται στην πραγματικότητα από κανέναν υπάλληλο της DNC και ότι η ομάδα του ψάχνει για την προέλευσή του. Αφού έρχεται σε επαφή με το WIRED, ο DNC τερματίζει τη διεύθυνση URL μόνο για να είναι ασφαλής. "Είναι καλό να καθαρίσετε. Είναι καλό να βεβαιωθείτε ότι τα πράγματα που είναι κατασκευασμένα, για οποιονδήποτε σκοπό, απογοητεύονται και απομακρύνονται", λέει ο Λόρδος. "Μου αρέσει να μπορούμε να κάνουμε τους ανθρώπους να μας ειδοποιούν όταν έχουν εντοπίσει κάτι που δεν είναι σωστό ή κάτι που θα μπορούσε να βελτιωθεί".

Το RNC πέτυχε ελαφρώς υψηλότερο από το DNC στη δοκιμή SecurityScorecard, αλλά δεν ήταν επίσης τέλειο. Οι ερευνητές κατάφεραν να ανιχνεύσουν υποτομείς για ένα εσωτερικό εργαλείο χαρτογράφησης που φαίνεται να συνδέεται με τις δραστηριότητες του RNC στην Αριζόνα. Ενώ αυτό δεν είναι σχεδόν απογοητευτικό, θα μπορούσε να δώσει σε έναν εισβολέα μια ένδειξη των τύπων εργαλείων που χρησιμοποιεί το RNC και πού, λέει ο Paul Gagliardi, ερευνητής απειλών στο SecurityScorecard. "Η μη διάδοση πληροφοριών σχετικά με προϊόντα και υπηρεσίες είναι η καλύτερη κοινή πρακτική, επειδή αυξάνει μόνο το κόστος κάποιας που στοχεύει εκείνο το μέρος του οργανισμού", λέει ο Gagliardi.

Οι ερευνητές βρήκαν επίσης μια μη κρυπτογραφημένη σελίδα σύνδεσης για ένα API συνδεδεμένο με το RNC, το οποίο θα άφηνε επίσης το προσωπικό της RNC ανοικτό σε κλοπή πιστοποίησης. Δεν είναι σαφές εάν το API εξακολουθεί να χρησιμοποιείται. Ένας εκπρόσωπος του RNC δεν θα σχολιάσει τα συγκεκριμένα ευρήματα, αλλά δήλωσε σε μια δήλωση: "Η ομάδα μας εργάζεται διαρκώς για να παραμείνει μπροστά στις αναδυόμενες απειλές. Η ασφάλεια δεδομένων εξακολουθεί να αποτελεί προτεραιότητα για τα RNC και συνεχίζουμε να προχωρούμε ενεργά με τους κορυφαίους προμηθευτές πληροφορικής για να παραμείνουμε ενήμεροι και να ελέγξουμε τους πιθανούς κινδύνους. "

Κανένα από αυτά τα θέματα δεν συγκρίνεται με αυτό που διαπίστωσαν οι ερευνητές όταν έβγαζαν το κυνήγι για τρωτά σημεία μεταξύ των μικρότερων κομμάτων στις ΗΠΑ και στην ΕΕ. Οι ερευνητές διαπίστωσαν ότι ορισμένα ονόματα τομέα που συνδέονται με το Κόμμα της Ελευθερίας δεν διέθεταν τα γνωστά ως SPF αρχεία, τα οποία επιβεβαιώνουν ότι ένα μήνυμα ηλεκτρονικού ταχυδρομείου που προέρχεται από έναν συγκεκριμένο τομέα είναι στην πραγματικότητα συνδεδεμένο με αυτόν τον τομέα. Αυτό βοηθά στην προστασία των οργανώσεων από την ψευδαίσθηση ηλεκτρονικού ταχυδρομείου, στην οποία οι εισβολείς κάνουν τα μηνύματα ηλεκτρονικού ταχυδρομείου να εμφανίζονται από ανθρώπους και τομείς που αναγνωρίζουν οι στόχοι τους. "Ένας από τους ευκολότερους τρόπους για να αποκτήσετε κακόβουλο λογισμικό σε ένα σύστημα προορισμού είναι απλά να του στείλετε ένα μήνυμα ηλεκτρονικού ταχυδρομείου και να φανεί ότι το ηλεκτρονικό ταχυδρομείο βασικά μοιάζει να προέρχεται από κάποιον στην οργάνωσή του", λέει ο Casey.

Ο Dan Fishman, ο νεοπροσληφθέντος εκτελεστικός διευθυντής της National Libertarian National Committee, δήλωσε στην WIRED ότι ο στόχος του είναι να ενισχύσει την τεχνική υποδομή του κόμματος. Αυτό περιλαμβάνει την αντιμετώπιση αυτής της ευπάθειας. Από τότε που ξεκίνησε τον περασμένο μήνα, λέει ο Fishman, μέλη του προσωπικού του έχουν ήδη πιάσει και ανέφεραν ψευδή μηνύματα ηλεκτρονικού ταχυδρομείου που ισχυρίζονται ότι είναι από αυτόν, ζητώντας ευαίσθητες πληροφορίες.

Η κατάληξη στο Ελευθεριακό Κόμμα ίσως να μην φανεί τόσο κερδοφόρα όσο διεισδύει ένα από τα δύο μεγάλα πολιτικά κόμματα στις ΗΠΑ, αλλά ο Fishman λέει ότι οι Libertarians συλλέγουν τεράστια ποσά δεδομένων που εξακολουθούν να χρειάζονται προστασία. "Είμαστε στη διαδικασία, όπως κάθε άλλο πολιτικό κόμμα, να συγκεντρώνουμε όσο περισσότερα στοιχεία μπορούμε για όχι μόνο τα μέλη μας αλλά και τους πιθανούς ψηφοφόρους", λέει.

Μια μεγάλη παραβίαση ακόμη και ενός μικρότερου πολιτικού κόμματος θα μπορούσε να υποβαθμίσει περαιτέρω την εμπιστοσύνη των Αμερικανών στην ασφάλεια των εκλογών. "Είναι πραγματικά για την πίστη στο σύστημα, και καθώς η πίστη στο σύστημα αρχίζει να διαβρώνεται, οδηγεί σε άλλα προβλήματα", λέει ο Casey. «Ακόμη και τα μικρότερα κόμματα … αξίζουν ένα επαρκές επίπεδο προστασίας που ασφαλώς δεν έχουν τώρα».

Ωστόσο, στις ΗΠΑ, το Πράσινο Κόμμα υπερέβη τις επιδόσεις των άλλων πολιτικών οργανώσεων στη δοκιμασία SecurityScorecard με 93 από τα 100. Αλλά ο συμπρόεδρος του κόμματος των μέσων ενημέρωσης, Χόλι Χαρτ, αρνήθηκε να επεξεργαστεί τις επιχειρήσεις του κυβερνοχώρου στον κυβερνοχώρο . "Το Κόμμα των Πρασίνων έχει συνεχή ανησυχία για την ασφάλεια του κυβερνοχώρου, την ιδιωτικότητα και την προσβασιμότητα. Προσπαθούμε να διασφαλίσουμε ότι οι υπηρεσίες μας φιλοξενούνται από υπεύθυνους παρόχους", λέει ο Hart. "Εκτός αυτού, δεν πιστεύουμε ότι είναι σκόπιμο να δημοσιοποιήσουμε τα σχέδια που έχουμε στη διάθεσή μας".

Οι ερευνητές του SecurityScorecard δεν θα λένε ποιο πολιτικό κόμμα διαρρέει τα ονόματα των ψηφοφόρων, τις ημερομηνίες γέννησης και τις διευθύνσεις μέσω ενός API με δυνατότητα αναζήτησης, εκτός από το ότι δεν ήταν οι Δημοκρατικοί ή οι Ρεπουμπλικάνοι. Εντός 10 λεπτών από την εύρεση του ελαττώματος, ωστόσο, ο Gagliardi λέει ότι κάλεσε το πάρτι και άφησε ένα μήνυμα με τον ρεσεψιονίστ, χρησιμοποιώντας τον κύριο αριθμό τηλεφώνου που βρήκε στο Google. Ο Gagliardi δεν άκουσε ποτέ πίσω, αλλά λέει ότι το ζήτημα επιλύθηκε εντός 12 ωρών από την κλήση.

"Προφανώς, το μήνυμα παραλήφθηκε", λέει.

Από τις 11 χώρες που παρακολούθησαν οι ερευνητές, οι ΗΠΑ ήρθαν στην πέμπτη θέση όσον αφορά τη συνολική ασφάλεια. Η Σουηδία εκτέλεσε το καλύτερο, με σκορ 94 από τα 100. Η χώρα που υστερεί περισσότερο ήταν η Γαλλία, της οποίας τα πολιτικά κόμματα "δείχνουν συστηματικά χαμηλότερα ποσοστά ασφαλείας" από ό, τι όλα τα υπόλοιπα. Ειδικότερα, το Δημοκρατικό Κίνημα, ένα κεντρικό κόμμα το οποίο ξεκίνησε μετά τις γαλλικές εκλογές του 2007, έχει ένα σύστημα σύνδεσης που στέλνει ονόματα και κωδικούς πρόσβασης χωρίς κρυπτογράφηση πάνω από το κείμενο σε αυτό που ονομάζεται διακομιστής στο τέλος του κύκλου ζωής του, δηλαδή δεν λαμβάνει πλέον ενημερώσεις ασφαλείας . Το Δημοκρατικό Κίνημα δεν απάντησε στο αίτημα της WIRED για σχόλια.

"Εάν συνδεθήκατε σε ένα Wi-Fi στο Starbucks, άλλοι χρήστες που ήταν ακόμη και ελάχιστα τεχνικά καταρτισμένοι θα μπορούσαν να παρατηρήσουν αυτούς τους κωδικούς πρόσβασης", λέει ο Gagliardi. "Είναι γελοία."

Αυτό που ίσως απασχολεί περισσότερο τον Gagliardi και τον Casey είναι το γεγονός ότι η ομάδα τους κατάφερε να ανιχνεύσει αυτά τα ελαττώματα σε τόσο σύντομο χρονικό διάστημα. Όλοι οι ερευνητές πέρασαν περίπου δύο μέρες το κυνήγι της γενναιοδωρίας. Εάν οι προεδρικές εκλογές του 2016 μας δίδαξαν τίποτα, είναι ότι χώρες όπως η Ρωσία έχουν πολύ πιο εξελιγμένες και καλά χρηματοδοτούμενες επιχειρήσεις. "Κάποιος με μεγαλύτερη πρόθεση, που δεν ανησυχεί για την παραβίαση των νόμων, πιθανότατα θα επέστρεφε με ένα μεγαλύτερο θησαυροφυλάκιο", λέει ο Casey.


Περισσότερες μεγάλες ιστορίες WIRED