Аналитика и комментарии. Взгляд из США (judeomasson) wrote,
Аналитика и комментарии. Взгляд из США
judeomasson

Category:

Надо срочно проводить аудит аудиторов

Мне этот, так называемый, "аудит" результатов выборов в округе Миракопа штата Аризона,  интересен ещё и по той причине что проводит его фирма Cyber ​​Ninjas, которые утверждают что они специалисты по компьютерной безопасности.

Я тоже много лет работаю в сфере компьютерных технологий, и тоже занимался вопросами связанными с компьютерной безопасностью. Поэтому для меня это представляет профессиональный интерес. Однако когда они сначала начали искать водяные знаки на бюллетенях и бамбук в бумаге бюллетеней, я начал сомневаться не только в их профессионализме, но и в психическом здоровье. И не только я.

Например сенатор республиканец Пол Бойер, который раньше голосовал за "аудит", понял во что они вляпались и в интервью Нью Йорк Таймс заявил что ему теперь стыдно что он сенатор штата, так как из-за этого аудита сенаторы выглядят как идиоты.  С этим трудно не согласиться, так как эти "аудиторы" действительно выставили себя на посмешище. Слова "bamboo ballots" (бамбуковые бюллетени) стали вирусными. Но им этого оказалось мало, поэтому они потребовали чтобы власти штата предоставили им доступ к сетевым маршрутизаторам округа. Никто не может понять зачем им это надо, но проблем это создаст много. Поэтому власти округа отчаянно сопротивляются. Вот как эту ситуацию описывает газета "Республика Аризона". Статья очень большая, поэтому цитирую с некоторыми сокращениями:

Маршрутизаторы служат почтовым отправителем в компьютерной сети: они доставляют сообщения с использованием карт сетей и компьютерных адресов.

Думайте об этом как о почтальоне, который полагается на карты и адреса, чтобы доставлять почту в нужное место.

Имея доступ к информации почтовых перевозчиков или маршрутизаторов, злоумышленнику будет легче получить доступ к почте человека или нацелить информацию внутри сети.

Это аналогия, которую один технический эксперт - Мэтт Бернхард, инженер-исследователь в Voting Works, некоммерческой организации, которая выступает за технологию выборов с открытым исходным кодом, - привёл, объясняя важность обеспечения безопасности маршрутизаторов округа Марикопа.

Республиканцы Сената Аризоны пытаются получить доступ к маршрутизаторам округа и административным паролям к машинам для голосования округа, а также предоставить их частным подрядчикам, которых они наняли для проверки результатов выборов в округе 2020 года, которые начались 23 апреля.

Бернхард сказал, что предоставление доступа к маршрутизаторам представляет собой «довольно специфический риск» для округа. Кроме того, он и другие консультанты по безопасности выборов по всей стране не понимают, зачем аудиторам понадобились маршрутизаторы для проверки результатов выборов.

Представитель сената Кен Беннетт сказал, что они необходимы, чтобы проверить, были ли машины для голосования округа подключены к Интернету во время выборов. Но представитель округа сказал, что у аудиторов уже есть информация и оборудование для выполнения этой проверки, а предыдущий независимый аудит, проведенный по заказу округа, доказал, что это не так.

Прокурор округа Аллистер Адель заявил, что предоставление доступа к маршрутизаторам может поставить под угрозу информацию о социальном обеспечении жителей округа и информацию об общественном здоровье, а также конфиденциальные данные правоохранительных органов.

Бернхард и другие сказали, что было бы странно найти эту информацию на маршрутизаторе, но сказали, что, учитывая информацию, которая есть на маршрутизаторах, кому-то может быть проще взломать сеть округа, чтобы получить ее.

Между тем, адвокат сенатских лидеров республиканцев отклонил эту идею и пригрозил подать новую повестку, чтобы доставить окружной совет наблюдателей в сенат штата, чтобы объяснить, почему они не отказываются передать маршрутизаторы.

Зачем аудиторам маршрутизаторы?

Республиканцы Сената в январе направили в округ повестку, требуя не только всех 2,1 миллиона бюллетеней, поданных на всеобщих выборах в округе, всех машин для голосования в округе и списков избирателей округа, но также «доступа или контроля над ВСЕМИ маршрутизаторами, табуляторами или их комбинациями связанными с администрацией выборов 2020 года и публичным IP-адресом маршрутизатора».

Cyber ​​Ninjas, главный подрядчик, нанятый Сенатом для наблюдения за аудитом, несмотря на отсутствие опыта проведения аудита выборов, заявил в своем первоначальном плане работы, что он будет проверять системы голосования округа разными способами, но не предлагал ничего конкретного о проверке маршрутизаторов.

В одном из пунктов говорится, что подрядчики будут пытаться определить «использование сотовых модемов, карт Wi-Fi или других технологий, которые могут быть использованы для подключения систем к Интернету или более широкой сети».

Беннетт сказал, что, по его мнению, подрядчики хотят, чтобы маршрутизаторы устраняли опасения «людей, которые всегда подозревали что-то гнусное в связи с подключением к Интернету на выборах».

Но Меган Гилбертсон, пресс-секретарь окружного избирательного управления, подтвердила, что окружные машины для подсчета бюллетеней не подключены к Интернету. Она сказала, что округ предоставил подрядчикам все необходимое для подтверждения этого.

«В январе округ предоставил журналы событий Windows, журналы табуляторов участков, рабочие станции системы управления выборами, журналы серверов и многое другое в соответствии с повесткой Сената», - сказал Гилбертсон. «Кто-нибудь, знакомый с оборудованием, сможет подтвердить, просмотрев эти журналы, что оборудование не было подключено к Интернету».

Кроме того, независимые подрядчики, нанятые округом, уже проверили это в ходе предыдущей проверки. Результаты этого аудита не обнаружили вредоносного оборудования на машинах для голосования, обнаружили, что машины не были подключены к Интернету, и обнаружили, что машины были запрограммированы для точного подсчета голосов.

Николас Уивер, исследователь сетевой безопасности в Международном институте компьютерных наук и преподаватель информатики в Калифорнийском университете в Беркли, сказал, что у маршрутизатора могут быть журналы доступа в Интернет, отличные от тех, которые видны на сервере или машинах для голосования. Но они, вероятно, всё ещё могли бы тщательно проверить, были ли машины подключены к Интернету без маршрутизаторов, сказал Уивер.

По его словам, предоставление маршрутизаторов может подорвать бизнес округа, поскольку округу потребуется отключить маршрутизаторы, чтобы сделать криминалистическую копию, и заставить другие маршрутизаторы предоставлять сетевые услуги.

«То, что (маршрутизаторы) предоставят аудиторам, является абсолютно ничем иным, как совершенно невыносимой жизнью тех, кто предоставляет данные», - сказал Уивер.

На прошлой неделе председатель County Supervisors Джек Селлерс сказал, что это будет стоить 6 миллионов долларов, если округу придется заменить маршрутизаторы, пока они будут у Cyber ​​Ninjas.

Погоня за маршрутизаторами вызывает опасения у некоторых ИТ-консультантов

Многие консультанты по безопасности на выборах заявили Республике Аризона что обеспокоены этим требованием.

Маршрутизаторы не нужны для проверки результатов выборов, и отсутствие четких ответов о том, зачем они нужны подрядчикам Сената, вызывает вопросы, сказал Мэтт Мастерсон, бывший руководитель службы безопасности выборов в Агентстве кибербезопасности и безопасности инфраструктуры Министерства внутренней безопасности США.

Он сказал, что когда системы голосования тестируются на федеральном уровне, обычно обеспечивается:


  • Полная прозрачность в отношении стандартов, используемых для тестирования оборудования.

  • Подробности того, как оборудование будет проверяться.

  • Информация о том, что будет включено в итоговый отчет.

Частные подрядчики такой ясности не предоставили.

«Запрос заставляет тех, кто разбирается в этих системах и процессах, поднять руки вверх, и сказать: "Что вы делаете? Что вы пытаетесь сделать?"» - сказал Мастерсон.

Уивер сказал, что в требованиях нет «логики».

«Это 100% злонамеренный запрос», - сказал он, имея в виду неудобства и потенциальный риск для округа без явной выгоды.

Какие маршрутизаторы потребовал Сенат?

Маршрутизаторы - это оборудование, которое подключает локальные сети к Интернету или другим сетям.

По словам Бернхарда, существует множество различных типов, в том числе простые маршрутизаторы, используемые дома для подключения компьютеров и смартфонов к Интернету, а также сложные коммерческие маршрутизаторы, которые можно запрограммировать для хранения журналов активности и данных и защиты от внешних злоумышленников.

Маршрутизаторы, указанные в январских повестках в суд, направляют сетевой трафик через 50 различных отделов округа, а не только через Управление по выборам, сообщил представитель округа Филдс Мозли.

По его словам, некоторые окружные маршрутизаторы не подключены к Интернету и используются для маршрутизации внутренней сетевой информации, такой как файлы управления делами или информация об общественном здравоохранении. Другие подключены к Интернету и являются «специализированными маршрутизаторами, которые обладают значительным уровнем безопасности и рассчитаны на обработку высокого уровня сетевого трафика», - сказал Мозли.

Какая информация хранится на маршрутизаторов?

По словам Мозли, ИТ-специалисты округа говорят что маршрутизатор похож на коммутатор, поскольку он показывает, как устроена вся сеть округа.

«Если у вас есть доступ к маршрутизатору, у вас потенциально есть "схемы" IP для всего округа, что дает хакеру возможность проникнуть или перехватить конфиденциальную информацию в сети округа», - сказал он.

Как правило, некоторые маршрутизаторы хранят журналы подключения к Интернету и поисковых запросов, сказал Алекс Халдерман, профессор информатики и инженерии Мичиганского университета, специализирующийся на безопасности выборов. Также может быть информация о виртуальных частных сетях или VPN и конфигурациях межсетевого экрана [По английски это называется "firewall". Это очень важный компонент компьютерной безопасности. (прим. моё)]

По словам Халдермана, вся эта информация может быть полезной для тех, кто хочет попытаться взломать систему.

Бернхард сказал, что, например, данные могут раскрыть IP-адреса конфиденциальных компьютеров или серверов, на которых правоохранительные органы хранят данные и информацию о том как эти данные защищены.

Какие пароли нужны подрядчикам Сената и почему?

Второе требование Сената касается паролей к табуляторам бюллетеней округа, используемым в день выборов на избирательных участках.

Частные подрядчики, проводившие аудит, вернули большую часть машин округа после получения от них данных, но оставили табуляторы с результатами голосования.

По словам Селлерса, пароль и токены безопасности, которые требует сенат штата, обеспечивают административный доступ к проприетарной прошивке и исходному коду Dominion Voting Systems.

По словам Селлерса, у округа нет такого административного доступа.

Эта информация есть у компании Dominion Voting Systems, которая сдает в аренду округу машины для голосования, сказал Гилбертсон.

Но непонятно, что аудиторы могли увидеть с административным доступом.

Мастерсон сказал, что маловероятно, что исходный код хранится на машинах, учитывая, что федеральные стандарты для систем голосования требуют, чтобы исходный код не сохранялся таким образом. Бернхард согласился, что исходный код вряд ли находится на машине.

По словам Мастерсона, аудиторы могут взглянуть на хэш-код машины, чтобы убедиться, что он такой же, как и в округе.

По словам Бернхарда, обычно, когда вы смотрите на прошивку машины, вы сравниваете ее с чем-то еще, чтобы увидеть, изменилась ли она. Он не уверен, что аудиторам есть с чем сравнивать то, на что они смотрят, а обратный инжиниринг потребует много времени.

Во время независимого аудита округа компании смогли сравнить хэш-кодирование машин с оригиналом, возможно, потому, что они аккредитованы Комиссией по содействию выборам США для сертификации машин для голосования и доступа к этой информации. [А вот Cyber ​​Ninjas, которая проводит аудит, не аккредитована для проведения таких аудитов, несмотря на то что этого требует закон. (прим. моё)].

По словам Халдермана, изучение микропрограмм машин обычно является способом анализа уязвимостей системы путем поиска брешей в безопасности.

«Это весьма беспокоит, если информация о технических особенностях уязвимостей в системе безопасности машин для голосования попадет в чужие руки», - сказал он.

Что это будет значить для выборов здесь и в других местах?

По словам Халдермана, передача маршрутизаторов и паролей ненадежным сторонам «может создать очень реальные риски» для округа.

Должностные лица округа не присутствовали, когда аудиторы делали виртуальные копии машин, и этот процесс не был открыт для всех наблюдателей и не транслировался в прямом эфире.

Халдерман сказал, что он находит «весьма примечательным» то, что машины были оставлены частным подрядчикам, без наблюдения со стороны сотрудников избирательных комиссий. По его словам, в это время плохие парни могли вмешаться в работу машин.

Халдерман сказал, что аудиторы также могут использовать то, что они узнали о машинах, чтобы попытаться взломать эти машины или аналогичные машины в другом месте, сказал он.

Я выделил жирным шрифтом две фразы, которые говорят о том что какая-то левая фирма, которая не аккредитована для проведения таких аудитов, несмотря на то что закон требует чтобы подобные аудиты проводили только компании, аккредитованные "Voting System Test Laboratories (VSTL)", без посторонних наблюдателей имела полный контроль над машинами для голосования. Это значит что они могли делать с информацией в этих машинах всё что угодно, например изменить количество голосов в пользу Трампа. Одного этого достаточно чтобы не доверять результатам этого "аудита", но это касается не только машин для голосования, но и бюллетеней тоже. Это не только моё личное мнение. Так считают даже некоторые адекватные республиканцы. Например Секретарь штата Вашингтон Ким Вайман. Вот что об этом пишет CBS News. Цитирую:

Секретарь штата Вашингтон, республиканец Ким Вайман, задается вопросом - кто будет привлечен к ответственности, если бюллетень пропадет или будет изменён? Она отметила, что обычно сотрудники избирательных комиссий начинают выстраивать цепочку хранения и контроля за бюллетенями в рамках требования хранить федеральные избирательные бюллетени и избирательные материалы под рукой в ​​течение 22 месяцев после выборов.

Таким образом, если есть постановление суда или обязательное требование вернуться и проверить записи и бюллетени, сотрудники избирательных комиссий должны иметь возможность доказать, что никто не трогал бюллетени с тех пор, как они были опечатаны. Эти запечатанные бюллетени затем могут быть использованы для опровержения любых ложных утверждений о выборах, сказал Вайман. По ее мнению, аудит в округе Марикопа вызвал вопросы об этой безопасности, потому что они «не дотягивают до тех стандартов, которым руководствуются сотрудники избирательных комиссий».

«Откуда вы знаете, что эти бюллетени не были изменены? И даже не имеет значения, действительно ли они были изменены, потому что я не думаю, что вы можете гарантировать, что они не были изменены», - сказал Вайман. «Я как сотрудник избирательной комиссии не уверена что сейчас любой из этих бюллетеней является законным. Ни один. Потому что у вас нет возможности проверить это».

Но вернёмся к маршрутизаторам.

Последняя новость, которую сообщила секретарь штата Аризона, Кэти Хоббс, в своём твиттере. Цитирую:

Вчера наблюдатели из моего офиса обнаружили WiFi-маршрутизатор, подключенный к «аудиторским» серверам.

Невозможно гарантировать, что изображения бюллетеней, подсчет голосов и, возможно, данные об избирателях не были подключены к внешним сетям или Интернету.

Ответ аудиторов не заставил себя ждать. Цитирую:

Никакая беспроводная связь никогда не была активирована. Это было чётко объяснено наблюдателям SoS на месте. Мы открыты для предоставления всех паролей и доступа, необходимых для исследования маршрутизатора, если потребуется.

Это значит что они не отрицают что WiFi-маршрутизатор был подключён. Просто они его пока не активировали. Тогда зачем они его подключали? Чтобы активировать позже, когда получат пароли к маршрутизаторам? Вот тогда можно будет сливать всю информацию.

Причём Хоббс абсолютно права что невозможно гарантировать что маршрутизатор не будет подключён к интернету. WiFi-маршрутизатор вовсе не обязательно подключать к внутренней сети здания, в котором он находится, чтобы подключиться к интернету. Каждый современный телефон подключён к интернету, и каждый современный телефон может быть настроен таким образом чтобы выполнять роль так называемого "hotspot". Это значит что через телефон можно посылать данные в интернет и получать их из интернета. Обнаружить это практически невозможно, так как трафик не проходит через внутреннюю сеть здания.

Знание технических особенностей сети это большая находка для хакеров. Существует даже метод обеспечения безопасности под названием "security through obscurity" (безопасность через неизвестность), который заключается в том чтобы посторонние имели как можно меньше информации о сети. Республиканские сенаторы решили сделать всё с точностью до наоборот - предоставить всю информацию какой-то мутной фирме, которая подключила WiFi-маршрутизатор чтобы сливать эту информацию.

К счастью WiFi-маршрутизатор вовремя обнаружили, тем не менее возникает вопрос - кому они собирались посылать информацию?

Для того чтобы ответить на этот вопрос надо вспомнить старую поговорку - "кто платит, тот и заказывает музыку". В данном случае кто оплачивает этот "аудит".

Во первых из бюджета штата выделили 150 тысяч. Во вторых они собирают пожертвования для финансирования этого аудита, о чём я писал здесь. Однако есть проблема, которая заключается в том что известна только часть доноров, но большая часть засекречена, что само по себе вызывает вопросы. Вот что пишет об этом Ассошейтед Пресс. Цитирую:

Совершенно неясно, кто за это платит и сколько это стоит. Налогоплательщики через операционный бюджет Сената потратили 150 000 долларов, но генеральный директор небольшой компании, проводившей аудит, признал, что не покроет расходы.

Сборщики средств, один из консервативной сети One America News Network, а другой связан с Патриком Бирном, бывшим генеральным директором, который продвигал предвыборный заговор, собрали ещё сотни тысяч.

Критики называют нераскрытое частное финансирование огромным красным флагом - аудит может финансироваться иностранными правительствами или людьми, заинтересованными в исходе, такими как горячие сторонники Трампа.

Я думаю понятно на правительство какого государства здесь намекают.

Короче говоря, как мне кажется, пришло время начать аудиторскую проверку самих "аудиторов", а также республиканских чиновников и сенаторов, которые их поддерживают.

Tags: audit
Subscribe

  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

  • 5 comments