Юный хакер продемонстрировал уязвимость связанных с выборами IT-систем штата Флорида

327

Одиннадцатилетний Эммет Брюер (Emmett Brewer) за 10 минут взломал точную копию сайта секретаря штата Флорида и «изменил» результаты голосования в штате, сообщают организаторы ежегодной ИБ-конференции DefCon.

В этом коду в мероприятии конференции DefCon Voting Machine Hacking Village приняли участие 50 детей в возрасте от 8 до 16 лет, пытавшихся взломать 13 сайтов-копий, связанных с голосованием на президентских выборах. Дети получили задание найти доступ к ресурсам и внести изменения в названия партий, имена кандидатов или количество отданных за них голосов.

Одна из основателей некоммерческой организации r00tz Asylum (обучает детей «хакерскому делу») Нико Селл (Nico Sell) добавила, что 11-летняя девочка также смогла изменить результаты голосования на флоридском сайте, уступив победителю лишь пять минут. Более 30 детей взломали другие предложенные для соревнования сайты за полчаса или быстрее. «Это очень точные копии реальных сайтов. Подобные ресурсы не должны настолько легко и быстро взламываться восьмилетками, это показатель халатного отношения общества [к вопросам безопасности]», – сказала Селл. Она пояснила, что идея пригласить детей к соревнованию возникла в прошлом году после того, как аналогичные сайты были взломаны взрослыми экспертами менее чем за пять минут.

Национальная ассоциация секретарей штатов (National Association of Secretaries of State) заявила о готовности сотрудничать с членами DefCon-сообщества, желающими принять участие в работе над улучшением системы защиты выборов. Однако одновременно выразила сомнение в том, что хакерам по силам взломать «боевые» сайты штатов.

«Создать точные реплики реальных систем чрезвычайно сложно, поскольку многие штаты эксплуатируют уникальные сети и созданные под их нужды базы данных с новыми и обновленными протоколами безопасности, – говорится в сообщении ассоциации. – Хотя сайты бесспорно уязвимы для хакеров, они используются лишь для публикации предварительных неофициальных результатов голосования – для ознакомления публики и медиа. Эти сайты не подключены к оборудованию, подсчитывающему голоса, и не могут повлиять на результаты голосования».

Тем не менее, Селл уверена, что мероприятие, в котором приняли участие дети, демонстрирует уровень информационной безопасности системы выборов США. «Это заявление ассоциации показывает, что секретари штатов не воспринимают проблему всерьёз. Пусть взломаны были не реальные результаты голосования, а те, что показываются общественности, но и это может привести к полному хаосу, – сказала она. – Взломанные сайты могут быть копиями, но уязвимости, которые нашли дети, копиями не являлись, это настоящие «дыры» в защите». Большая часть населения просто не понимает, как велика эта угроза и насколько серьёзна ситуация, в которой находится сейчас демократия, добавила Селл.

Мэтт Блейз (Matt Blaze), профессор компьютерных наук и информатики в университете Пенсильвании, не удивлён тем, что одарённые дети смогли взломать сайты, об уязвимости которых и без того было известно. «Что было интересно, так это скорость, с которой они сделали это», – сказал он.

Напомним, после проведения президентских выборов в США в 2016 году в Штатах развернули кампанию по обвинению России во вмешательстве в выборы.

В сентябре 2017 ФБР заявило, что IT-системы, используемые при голосовании в 39 штатов, «сканируются или стали мишенями для России», в качестве меры обеспечения информационной безопасности выборов рассматривается возврат к бумажным избирательным бюллетеням.

В конце июля 2018 в Facebook заявили об обнаружении «скоординированных усилий» для влияния на промежуточные выборы в США, предстоящие в ноябре. Facebook блокировал 32 аккаунта (восемь страниц, 17 профилей и семь учёток Instagram). Их принадлежность не установлена, однако компания сочла возможным упомянуть Россию.

Однако в начале августа Сенат США отклонил поправку, предполагающую выделение дополнительных 250 миллионов долларов штатам и населённым пунктам на обеспечение безопасности предстоящих в ноябре выборов.

6 ноября 2018 года в США пройдут промежуточные выборы в Конгресс. Гражданам страны предстоит переизбрать всех 435 членов Палаты представителей Конгресса США, а также 33 из 100 американских сенаторов. Помимо этого во многих штатах пройдут муниципальные и губернаторские выборы.

Справка

Конфренция DefCon – авторитетное ежегодное мероприятие, привлекающее ведущих ИБ-экспертов со всего мира. В 2001 году после сделанного на DefCon доклада об уязвимости системы защиты электронных книг Adobe в Лас-Вегасе был арестован российский специалист Дмитрий Скляров. Чтобы дать ему возможность вернуться на родину, ответственность за произошедшее взял на себя работодатель Склярова, московская софтверная компания ElcomSoft. Суд присяжных в Сан-Хосе полностью оправдал ElcomSoft по всем пунктам обвинения.

Арест Склярова вызвал публичные акции протеста в разных странах, но не в России, где событие тенденциозно освещалось ведущими СМИ, в частности, телекомпанией НТВ. Скляров подал иск к НТВ и выиграл суд.