昨天的美國大選第二輪辯論，相信大家都有所耳聞，撕得那是一個風(fēng)生水起，好生熱鬧！不過今年除了兩位總統(tǒng)候選人備受關(guān)注之外，黑客攻擊干擾大選的新聞也是屢屢見諸報端，引發(fā)了激烈的討論。

美國大選流程

在談黑客干預(yù)美國大選之前，我們先來了解下美國總統(tǒng)是怎么產(chǎn)生的。

1. 預(yù)選 （時間：大選年的2-6月）

民主、共和兩黨分別選出本黨總統(tǒng)候選人提名。

2. 總統(tǒng)候選人提名大會 （時間：大選年的7-8月）

兩黨分別召開全國代表大會，選出本黨的總統(tǒng)候選人，然后通過由總統(tǒng)候選人提名的副總統(tǒng)候選人，并制定正式的競選綱領(lǐng)。

3. 競選運動 （時間：從全國代表大會結(jié)束時開始，到全國投票日）

總統(tǒng)候選人在全國展開各種活動拉票。

4. 全國選舉 （時間：大選年11月的第二個星期二）

選民到制定地點進行投票，在總統(tǒng)候選人之間作出選擇，同時選出各州總統(tǒng)選舉人

5. 選舉人團投票表決

總統(tǒng)選舉人按該州選民投票結(jié)果投票，率先獲得270張選舉人票的候選人即當(dāng)選美國總統(tǒng)。

選舉人票：共538張

固定選票：每州2張（華盛頓3張）

剩余選票：共435張，按每州人口數(shù)分布

這個流程中的諸多環(huán)節(jié)，一旦電子化，就很容易被攻擊。

黑客如何干預(yù)

說到攻擊大選，大多數(shù)吃瓜群眾會想象說，電子投票機被黑，本來要投給 A 的選票，投給了 B ，或者說投出的票不被計入。

但是，安全專家的結(jié)論卻得出了這樣的結(jié)論：雖然說投票機本身漏洞不少（已發(fā)現(xiàn)的有278個，而且沒有一個已被指派CVE名稱），但是它本身不構(gòu)成問題。真正的攻擊面是選民信息的處理方式。

攻擊投票系統(tǒng)

我們先來分析一下攻擊投票系統(tǒng)的可能性。

根據(jù)ballotpedia.org的統(tǒng)計，當(dāng)下使用的絕大多數(shù)投票技術(shù)是基于紙投的，或者是電子競投系統(tǒng)（DRE）但有紙質(zhì)憑證備份。據(jù)統(tǒng)計，75%的選票由紙投產(chǎn)生，而且大部分電子投票機在投票時有紙質(zhì)憑證記錄；一旦發(fā)生投票舞弊，可追蹤紙質(zhì)憑證。

大約14%的選舉人票將在搖擺州產(chǎn)生，這些搖擺州采用的部分投票機是只有DRE而沒有紙質(zhì)備份的——具體就是佛羅里達、弗吉尼亞和賓夕法尼亞。但是即便在這些地區(qū)，有些地方還是采用紙質(zhì)選票進行投選，或者是采用DRE并有紙質(zhì)票備份。完全采用DRE且沒有紙質(zhì)備份的有五個州——路易斯安娜、新澤西、南卡羅來納、特拉華和佐治亞。

那么我們來看看剩下的電子投票系統(tǒng)。

FBI局長詹姆斯·科米（James Comey）認為美國的投票系統(tǒng)是很難、很難被入侵的，因為這個系統(tǒng)又“拙劣又分散”，并且沒有聯(lián)網(wǎng)，直接攻擊基礎(chǔ)設(shè)施的話，幾乎不可能影響競選結(jié)果。

“攻擊者要篡改選票計數(shù)最大的障礙是，各州沒有將電子投票系統(tǒng)標(biāo)準(zhǔn)化，而這些系統(tǒng)是五花八門的。”安全公司Rook Security的安全運營主管麥特·岡沃（Mat Gangwer）指出。但他同時表示，如果攻擊者專門針對某個特定系統(tǒng)進行攻擊，也會產(chǎn)生另一種威脅。為了成功影響國家選舉結(jié)果，攻擊者必須仔細挑選攻擊的具體地點和內(nèi)容。從宏觀上看，黑客只需關(guān)注一些競爭比較激烈的州，這些州的結(jié)果可能影響最終獲勝者。另外一個關(guān)鍵元素就是要聚焦那些沒有紙質(zhì)選票備份的地區(qū)，和即便產(chǎn)生搖擺也可信的人口稠密地區(qū)，而且這樣的搖擺要足以影響到整個州的結(jié)果。預(yù)計的選民投票率高的話，也能給攻擊行為打掩護。

那么只針對其中一個系統(tǒng)會發(fā)生什么情況呢？

上文提到的五個只用DRE沒有紙質(zhì)可追蹤憑證的州，采用“選民準(zhǔn)入卡”（voter access card），工作人員在每個選民進入投票站前向每個選民發(fā)放準(zhǔn)入卡。這種卡雖然設(shè)計為每人只能使用一次，但是可供多個選民循環(huán)使用。這點就給了攻擊者可乘之機。此前賽門鐵克和云反擊（CrowdStrike）的專家就已經(jīng)確認，只需花費15美元，再加上中等程度的知識，就可以重置這個卡，進行多次投票。賽門鐵克研究員布萊恩·瓦納爾（Brian Varner）曾在拉斯維加斯黑帽子大會上展示，僅憑他一人就能在幾分鐘內(nèi)重復(fù)投票400多次。攻擊者不必離開投票站就可完成這種操作，而且監(jiān)控投票人投票是違法的，這就給了攻擊者更大的空間。

另外，機器老舊也使得這些設(shè)備很容易被攻破。布萊南司法中心研究人員克里斯托弗·法米格提（Christopher Famighetti）表示，目前40多個州使用的投票機機齡超過了10年。

話雖如此，完全沒有紙質(zhì)可追蹤憑證的機投畢竟還是很有限的。在CSO Online的采訪中，CloudPassage首席技術(shù)總監(jiān)卡森·斯威特（Carson Sweet）就表示，有紙投備份的話，無論是篡改了投票機還是攻擊了投票管理軟件造成的電子計票異常，都能在抽查或者手動核實計票時被發(fā)現(xiàn)，而許多州都還在沿用這些做法。斯威特還認為，攻擊幾臺機器是遠遠不夠的，除非攻擊者能夠預(yù)見未來，知道哪個地方的500張選票最為關(guān)鍵。攻擊者必須攻擊足夠多的機器才能確保勝利，要不然，有什么意義？

干擾競選活動

阿卡邁的安全倡導(dǎo)者戴夫·劉易斯（Dave Lewis）表示：“要篡奪大選選舉成果，不是小事，但并不是不可能。”他認為，要實現(xiàn)這個目的，就需要花費更多時間和精力收集目標(biāo)信息。

攻擊者會探查競爭對手的防御系統(tǒng)，尋找容易攻擊的目標(biāo)，比如安全防護不到位的系統(tǒng)。然后入侵系統(tǒng)，從對手處收集足夠多的信息，比如競選活動策略、選民名單跟郵箱等，從而應(yīng)對競爭對手的政治舉措。提前知悉對手的計劃，對攻擊者而言有益無害。而且，如果能夠曝光對手團隊的內(nèi)部交流信息，可以令目標(biāo)競爭對手名譽掃地。除此之外，攻擊者還需要在社交網(wǎng)絡(luò)上集中宣傳，以擾亂民心。“我們已經(jīng)見到類似的行為出現(xiàn)在美國本次的大選當(dāng)中了，也在其他國家的選舉活動中看到了，”劉易斯補充道。

這不禁讓人聯(lián)想到此前發(fā)生的郵件門系列事件（詳情請見后文）。因為這個丑聞，當(dāng)時希拉里的支持率一度被特朗普反超。

另外，民調(diào)數(shù)據(jù)也可被利用來破壞大選。“如果我是黑客，我就不會去攻擊投票系統(tǒng)。我會等到民調(diào)數(shù)據(jù)收集完成后，去黑這些數(shù)據(jù)。大選將近，許多人關(guān)心民調(diào)數(shù)據(jù)；如果民調(diào)數(shù)據(jù)被操縱或者丟失，將導(dǎo)致競選活動出現(xiàn)混亂，降低了最后選舉結(jié)果的可信度，”Netskope產(chǎn)品管理副總裁阿莫爾·卡貝（Amol Kabe）表示。

不攻擊機器，攻擊人心

往年，黑客攻擊大選都只是一個議題，但是今年不一樣，因為攻擊行為實實在在發(fā)生了，包括郵件門和選民注冊數(shù)據(jù)庫被竊等事件。

8月份，有人泄露了FBI的Amber TLP備忘錄。備忘錄中引述了多州信息共享及分析中心（MS-ISAC）給出的細節(jié)，稱外國活動人士正使用普通掃描工具定位并攻擊伊利諾伊州和亞利桑那州脆弱的選舉系統(tǒng)。Salted Hash曾對這個備忘錄進行了詳細的報道，包括MS-ISAC和FBI公布的所有技術(shù)細節(jié)。

9月28日，F(xiàn)BI局長科米告訴眾議院司法委員會：“毫無疑問，一些危險分子盯上了”選民注冊系統(tǒng)。

科米表示：“已經(jīng)有多種掃描活動發(fā)生，這些活動預(yù)示著潛在的入侵行為，除了7、8月份被入侵的選民注冊數(shù)據(jù)庫外，還有其他選民注冊數(shù)據(jù)庫可能遭到了入侵。我們正敦促各州，加強保護措施，并盡可能從國土安全部獲取信息，保證系統(tǒng)是安全的。”

而在9月27日，美國國土安全部秘書杰·C·約翰遜（Jeh C. Johnson）告訴參議院國土安全及政府事務(wù)委員會，國土安全部已提議為國家和選舉官員提供協(xié)助。

國土安全部提供的協(xié)助包括：對需聯(lián)網(wǎng)系統(tǒng)遠程進行網(wǎng)絡(luò)安全掃描、現(xiàn)場風(fēng)險漏洞測評、全天候?qū)討?yīng)急響應(yīng)中心、共享網(wǎng)絡(luò)事件及最佳應(yīng)對方法的相關(guān)信息、派駐網(wǎng)絡(luò)安全顧問。

約翰遜表示：“目前已有18個州向我們申請協(xié)助。”而據(jù)媒體報道，目前已有20多個州的選民注冊系統(tǒng)遭到攻擊。

卡森·斯威特也認為比較有效的方式是攻擊選民注冊系統(tǒng)，攻擊者可分離選民注冊表中的物理簽名，篡改選民社保號碼后六位，也可將大量選民標(biāo)記為“死亡”，或者直接刪除選民信息，或者結(jié)合以上這些舉措。如果大范圍進行類似的操作，就會導(dǎo)致投票點一片混亂。而如果這些操作的量剛剛好、并且前后行動比較統(tǒng)一，就可能會歸咎于管理不善、或者選民注冊出錯等等。“讓對手的選民不能投票，我就可以在很大程度上影響投票和總的票數(shù)。”

黑客攻擊干擾大選進程大事件（不完全統(tǒng)計）

1. 2015年初，佐治亞州數(shù)百萬選民數(shù)據(jù)，在意外情況下被發(fā)送給了一些機構(gòu)，其中包括政黨組織、新聞媒體以及一家持槍人士的雜志。據(jù)稱，此次泄露和一個第三方的外包公司工作出現(xiàn)失誤有關(guān)。

2. 2015年12月，一數(shù)據(jù)庫因配置不當(dāng)，導(dǎo)致美國1.91億選民信息泄露，包括姓名、家庭住址、投票ID、出生日期、電話號碼。該數(shù)據(jù)庫是在今年12月20日被一位名為Chris Vickery的白帽子發(fā)現(xiàn)，他自稱能訪問超過1.91億美國公民的個人識別信息（PII）。

3. 2015年12月，Salted Hash曝光，另一數(shù)據(jù)庫也因配置不當(dāng)，5600萬選民數(shù)據(jù)泄露。

4. 2016年3月，民主黨總統(tǒng)競選人希拉里被曝擔(dān)任國務(wù)卿期間使用私人電子郵箱、非官方郵箱與他人通信。（郵件門）

5. 2016年7月，維基揭秘網(wǎng)站公開了美國民主黨高層內(nèi)部絕密的19252封郵件與29段音頻文件，顯示希拉里涉及勾結(jié)民主黨高層內(nèi)定黨內(nèi)候選人，并參與了“洗錢”和操控媒體等多項丑聞。（郵件門2.0）

6. 2016年7月，亞利桑那州和伊利諾伊州選民注冊系統(tǒng)遭攻擊，20萬選民數(shù)據(jù)被竊取。

接下來，我們重點回顧給希拉里造成重創(chuàng)的事件——郵件門2.0。

郵件門2.0

http://www.bilibili.com/video/av5980624/

2016年6月17日，維基解密泄露出幾千封美國民主黨委員會（DNC）被盜郵件。直至7月29日，維基解密共泄露20000多封被盜郵件和29段錄音材料。

2016年6月，維基解密首次公布了美國民主黨委員會的機密文件，包括反對共和黨總統(tǒng)候選人唐納德·特朗普的研究報告，其中不乏“特朗普的政治沒有核心”、“他只是一個邪惡的商人”等言論。其實這些言論也不是憑空捏造出來的，特朗普在成為共和黨總統(tǒng)候選人的道路上?？浯笃湓~，給對手起一些綽號，類似“低能量杰布”、“小馬可”，貶低對方。

7月22日，維基解密再次公開了DNC高級職員往來的19252封電子郵件及8034份附件，美國上下一片嘩然，不少選民將手中的選票投向特朗普。維基解密公布這些郵件的理由并不難理解，其創(chuàng)始人阿桑奇曾在希拉里在任美國國務(wù)卿期間被持續(xù)追殺。阿桑奇對于希拉里也是積怨已久（文章回顧）。

泄密事件發(fā)生兩天后一直處于劣勢的特朗普首次民調(diào)支持率超過希拉里克林頓，雙方支持率44%對39%。有專家預(yù)測，如果此時進行投票，特朗普將以15個百分點碾壓希拉里，成為下任美國總統(tǒng)。

　　美國媒體紛紛對此事進行報道：

華盛頓郵報透露，“俄羅斯政府黑客”侵入了民主黨全國委員會的計算機網(wǎng)絡(luò)。

紐約時報：間諜組織發(fā)現(xiàn)俄羅斯與DNC被黑事件關(guān)聯(lián)密切，特朗普本人多次向俄羅斯示好

　　怎么話鋒一轉(zhuǎn)，就把鍋都甩給遠方的俄羅斯了呢？

矛頭紛紛指向俄羅斯

拋開政治因素，我們來分析一下為何媒體和眾多安全公司把鍋甩給了俄羅斯。

最早要追溯到今年4月9日的“郵件門1.0”事件，網(wǎng)絡(luò)組織Anonymous在YouTube上傳了一個視頻，警告希拉里：“不要忘記你的所作所為，我們都知道你做了什么。”

此時的DNC預(yù)感到了他們的網(wǎng)絡(luò)出現(xiàn)異常。為此DNC在5月份聘請了CrowdStrike網(wǎng)絡(luò)安全公司，CrowdStrike安全人員很快就在在DNC網(wǎng)絡(luò)上發(fā)現(xiàn)了兩個“敵人”——“APT28”和“APT29”（APT是指高級持續(xù)性威脅攻擊，是一種蓄謀已久的“惡意商業(yè)間諜威脅”）。這兩個組織都被懷疑是俄羅斯的精干情報機構(gòu)，其中APT29早在2015年8月就已經(jīng)附著在DNC網(wǎng)絡(luò)上。但并沒有確鑿證據(jù)證明這兩個組織有合作關(guān)系。

6月15日，一個名為Guccifer2.0的推特帳戶，發(fā)出一條標(biāo)題為“一名黑客已獨自攻下DNC服務(wù)器”的推特。該推特的內(nèi)容大抵是：我已經(jīng)將盜取的DNC郵件發(fā)送給維基解密，順便嘲諷CrowdStrike的業(yè)務(wù)能力（FUCK！CrowdStrike）。

　　兩天后事件爆發(fā)，各方開始懷疑是俄羅斯在背后策劃了這次網(wǎng)絡(luò)攻擊

網(wǎng)絡(luò)安全公司Fidelis首席安全官，賈斯汀·哈維說：

俄羅斯半個多世紀(jì)以來一直試圖解散北約。而特朗普曾表態(tài)如果他成為美國總統(tǒng)，美國將會退出北約。俄羅斯方面可能就借此機會削弱克林頓的競選外交政策的觀點，來影響大選結(jié)果。

一個民族國家如果越過這條界線——試圖影響美國總統(tǒng)大選的結(jié)果，那么網(wǎng)絡(luò)安全將上升到一個全新的領(lǐng)域。

沒錯，特朗普在他的競選之路上逐漸表現(xiàn)出要與俄羅斯更加友好的態(tài)度，外界就因此懷疑俄羅斯方面想要推特朗普上臺而做出不利于希拉里競選的舉動。

兩家相互競爭的網(wǎng)絡(luò)安全公司，美國麥迪安網(wǎng)絡(luò)安全公司（FireEye的子公司）和Fidelis，都證實了CrowdStrike的初步調(diào)查結(jié)果，確實是俄羅斯的黑客組織黑掉了DNC。

另一位NSA通緝犯——躲在俄羅斯的斯諾登表示：

如果確實是俄羅斯黑了DNC，那么他們應(yīng)該受到譴責(zé)。但是FBI應(yīng)該拿出確鑿的證據(jù)。

　　但是這些線索都不足以斷定俄羅斯是策劃了本此攻擊的始作俑者。

一些更“硬”的證據(jù)

上面提到的這些“證據(jù)”很大程度上不過是媒體臆測。而到了6月20日，美國專家拿出了確鑿證據(jù)：這次攻擊中用到的工具、方法、基礎(chǔ)設(shè)施，甚至加密密鑰，在以前的攻擊中就能找到幾乎一致的例子。所有這些證據(jù)都表明參與本此網(wǎng)絡(luò)攻擊的黑客組織就是來自俄羅斯的APT28。

其中最“硬”的證據(jù)莫過于兩處相同的特殊惡意代碼（稀有程度相當(dāng)于人類指紋）。研究人員在DNC服務(wù)器中發(fā)現(xiàn)一條很特殊的惡意代碼，該代碼曾在德國聯(lián)邦議院被黑事件中出現(xiàn)過，而俄羅斯國防部軍事情報局當(dāng)時也承認了，針對德國聯(lián)邦議院的網(wǎng)絡(luò)攻擊就是俄方發(fā)起的。

但是隨后，Guccifer2.0卻發(fā)表推特認為本次事件與俄羅斯無關(guān)，并表示他是為自由而戰(zhàn)（文章回顧傳送門）。

我不喜歡俄羅斯人和他們那套外交政策，我也很討厭你們把我劃到他們那群人中。

他向媒體介紹，他是來自羅馬尼亞的，和第一個GUCCIFER一樣。GUCCIFER2.0介紹，他是去年9月通過利用 NGP VAN的未知漏洞成功入侵了民主黨委員會的（NGP VAN是民主黨委員會的一家軟件供應(yīng)商）。但是并沒有證據(jù)表明他是途徑NGP VAN進行攻擊的。

我在幾臺電腦上都安裝了木馬，每周我都要從一臺電腦到另一臺電腦來來回回跑幾趟。所以CrowdStrike他們很長時間都抓不到我。我知道他們的入侵檢測系統(tǒng)非常好，但是我的啟發(fā)式算法更勝一籌啊。

Guccifer2.0為了證明他的說法，公布了一些被送到維基解密出版的被盜DNC文件。但安全專家仍對此表示懷疑，甚至有些人認為Guccifer2.0是普京大帝派來歪曲宣傳，替俄羅斯轉(zhuǎn)移責(zé)任的民間發(fā)言人。

民主黨的一位高級官員在郵件中發(fā)表聲明：

我們的專家對自己的評估有十足的信息，俄羅斯政府的黑客是在演戲。我們相信，隨后發(fā)布的一些東西和說法很可能是俄羅斯人在造謠！

最新回應(yīng)

上周五（10月7日），美國政府正式指控俄羅斯黑客攻擊干擾美國大選。美國國土安全部和負責(zé)選舉安全的國家情報總監(jiān)在聯(lián)合聲明中表示，現(xiàn)已“確定俄羅斯政府主導(dǎo)了最近美國人民、機構(gòu)乃至美國政治組織遭到的郵件入侵事件。”

美國當(dāng)局表示：“這些偷竊和泄露行為旨在干擾美國選舉過程，俄羅斯政府對此類活動并不陌生。我們認為，基于這些行動的范圍和敏感性，只有俄羅斯的最高級官員能夠授權(quán)這些活動。”

美國當(dāng)局還稱可能采取包括經(jīng)濟制裁等措施，對該攻擊行為進行回應(yīng)。

議員提請立法

上周五，一名共和黨議員聲稱，將提請立法，以推動實行這些制裁措施?？屏_拉多州美國參議院議員科里·加德納（Cory Gardner）稱，他已計劃提請立法，該法案將要求美國政府嚴(yán)查俄羅斯網(wǎng)絡(luò)罪犯，并適時予以制裁。加德納在一個聲明中表示，“俄羅斯干預(yù)美國民主，直接威脅了我們的政治進程。”

在加德納表態(tài)之前，美國多個情報機構(gòu)就已將矛頭指向俄羅斯，指責(zé)俄羅斯此前的攻擊行為，攻擊導(dǎo)致美國官員及機構(gòu)的敏感郵件發(fā)生泄露。這些情報機構(gòu)稱，這些攻擊是由俄羅斯發(fā)起的，企圖干涉今年的美國總統(tǒng)選舉。

去年年初，美國針對索尼影業(yè)黑客入侵事件制裁朝鮮，對10個朝鮮公民及3個機構(gòu)進行制裁，禁止他們通過美國金融系統(tǒng)獲得資金。而加德納的提案可能與該制裁方法類似。

可能的制裁措施

美國政府并未表示將對俄羅斯采取行動。但是今年7月，白宮曾表示制裁可能是其中一種回應(yīng)措施。當(dāng)時，白宮新聞發(fā)言人埃里克·舒爾茨（Eric Schultz）說道：“政府有多種選擇，包括由財政部發(fā)起經(jīng)濟制裁。”舒爾茨同時表示美國國防部及司法部也可能采取行動。

雷聲大雨點小？

但是，A10 Networks網(wǎng)絡(luò)運營總監(jiān)蔡斯·卡寧漢姆（Chase Cunningham）并不認為美國將采取具體的回應(yīng)措施。雖然美國情報機構(gòu)公開指責(zé)俄羅斯黑客攻擊美國大選，但是該聲明是在星期五下午較晚的時間發(fā)出，那會兒大家都想著怎么過周末，可能都不會去注意?？▽帩h姆認為，選在這個時間點發(fā)聲明，表示美國淡化這一指控?？▽帩h姆表示：“選舉正在進行，總統(tǒng)又即將離任。不會發(fā)生什么事情的。人們會譴責(zé)，但是不會真正作出什么改變。”

然而，美國對俄羅斯網(wǎng)絡(luò)攻擊進行指責(zé)是很罕見的。周五的聲明來自美國情報體系（U.S Intelligence Community），該機構(gòu)由美國政府轄下的16個情報機構(gòu)組成，包括CIA和FBI。

“當(dāng)許多機構(gòu)都對某個事情取得一致意見時，這個事情肯定是被徹查了的，”卡寧漢姆表示。與此同時，卡寧漢姆預(yù)計未來幾周，還迎來更多針對選舉的攻擊行為。多個美國情報機構(gòu)聲稱，俄羅斯政府利用維基解密等網(wǎng)站，泄露美國官員及政治團體的敏感文件。周五當(dāng)天，維基解密公布了一些郵件，據(jù)稱這些郵件是從希拉里的助手那里盜取的。

俄羅斯政府繼續(xù)否認參與上述黑客行動。

參考資料

http://www.csoonline.com/article/3126397/security/hacking-an-election-is-about-influence-and-disruption-not-voting-machines.html

http://www.inquisitr.com/3418067/its-easy-to-hack-voting-machines/

http://www.infosecurity-magazine.com/news/russia-uncovers-major-apt-style/

http://www.networkworld.com/article/3100046/fbi-probes-dnc-hack-as-suspicions-of-russian-involvement-widen.html

http://thehackernews.com/2016/07/hillary-clinton-hacked.html

https://motherboard.vice.com/read/all-signs-point-to-russia-being-behind-the-dnc-hack

https://wikileaks.org/dnc-emails/emailid/12803

*本文作者：bimeover &kuma，轉(zhuǎn)載請注明來自FreeBuf黑客與極客（FreeBuf.COM）