投递人 itwriter 发布于 2018-08-13 15:19 原文链接 « »

  英文原文:Hacking the websites responsible for election information is so easy an 11 year-old did it

  是时候来讨论讨论选举的信息安全了。

  上周末在拉斯维加斯举行的年度黑客大会 Def Con 讨论了黑客领域最新、最显而易见(或者说最恐怖)的趋势。在此次大会上,两项 关于选举安全的黑客演示 揭示了美国投票基础设施令人恐惧的现状。

  对来自奥斯汀、11 岁的埃梅特来说,攻破佛罗里达州州务卿网站就像简单的 SQL 注入一样。

  埃梅特花了 10 分钟时间就攻破了佛罗里达州州务卿网站中用于选举结果报告的板块。需要指出,这些页面只是镜像。

  根据活动组织者、安全通信平台 Wickr 的说法,具体设想是“攻击对选举过程至关重要的网站,因此孩子们攻击了州务卿报告选举结果网页的镜像”。

  这些镜像是由 Wall of Sheep Vilage 团队建立的。他们发表了如下声明:“我们的镜像对应的真实网站主要问题在于糟糕的编程实践。问题发生在整个行业,而不是某家供应商。”

  尽管美国州务卿协会就 Voting Machine Hacking Village 发表了看法,但他们没有具体回应孩子们对网站进行的黑客攻击。

  总共有 47 名儿童参与了针对选举的黑客比赛,89% 的参赛者成功攻入了 Wickr 和 Wall of Sheep Village 搭建的虚拟网站。

  埃梅特的父亲从事信息安全方面的工作,他参加 Def Con 已有 4 年时间。对他来说,攻入这个系统,修改投票结果非常简单。

  这个 11 岁的年轻人说:“这确实有些令人害怕。人们很容易入侵这样的网站,他们可能会对这类网站做出危害性更大的事情。”

  Wickr 创始人尼克·赛尔(Nico Sell)认为,这次活动的重点是要引起公众的关注。结果表明,在各州层面安全运营存在缺陷,而这对美国的民主至关重要。

  他表示:“我们这样做最重要的原因是,我们没有足够认真地对待这个问题,即有人可能会对我们的选举造成严重影响。用 8 岁的孩子来进行这样的演示可以引起对问题的关注。只要我们能修复系统,我们的民主就不会被破坏。”

  一些大公司高管也有这样的担忧。赛门铁克首席技术官休·汤普森(Hugh Thompson)就认为,风险真实存在,即使问题没有在最重要的选举中体现出来。

  汤普森曾于 21 世纪初从事选举安全相关的工作。他对《金融时报》表示:“我认为,我们大部分人当时担心的风险目前仍然是最大的风险:有人入侵了某个州或某个县的选举结果,这个地方的结果并不会对整体结果有实际影响,不会改变不同候选人之间的平衡。然而,随着攻击的细节被公布,对选举结果真实有效的信心会受到严重动摇。”

  熟悉选举安全的相关专家认为,赌注非常高。调查俄罗斯涉嫌干扰美国大选的特别律师罗伯特·穆勒(Robert Mueller)已经因此对 12 名俄罗斯人提起诉讼,但俄罗斯黑客在美国当前的选举周期仍然是一大威胁。

  微软此前表示,在 2018 年选举周期中已经发现了 3 起俄罗斯企图干扰美国选举活动的证据。

  根据《财富》杂志 7 月份的报道,微软负责客户安全的副总裁表示,该公司的研究员发现了与 GRU 相关的网络钓鱼活动。GRU 是俄罗斯的军事情报部门,与 2016 年美国民主党全国委员会被攻击有关。

  对于负责州务卿网站信息安全的官员,年轻的埃梅特也提供了一些建议。“引入更多保护机制。升级你的安全能力,同时针对常见的漏洞测试你自己的网站。”

  翻译:维金

 
来自: techcrunch.cn
找优秀程序员,就在博客园 收藏 新浪微博 分享至微信

24小时阅读排行

    最新新闻

      相关新闻