“Cramming for FISMA”: How to Launch a NIST 800-53 Moderate System in 180 Days
Az Egyesült Államok katonai és más tengerentúli szavazóinak tagjai által az e-mailen vagy az interneten keresztül leadott szavazatok ellen komoly biztonsági problémákkal szembesülnek, egy új amerikai kormányjelentés szerint. az Egyesült Államok Nemzeti Szabványügyi és Technológiai Intézetének (NIST) jelentése szerint a befejezett szavazatok elektronikus továbbítása, beleértve a telefon- és faxszolgáltatást is, "jelentős kihívásokat jelent a választás integritásának."
Az Egyesült Államok A Védelmi Minisztérium 2003-ban kísérletezett az internetes szavazással, de a biztonsággal kapcsolatos aggodalmak után a következő évben kísérleti programot vont le. Egy marék államok kísérleteztek az internetes szavazással, köztük Florida és Alabama 2008-ban, amelyet a katonai levelezőlapok nem időben történő leadása okozott aggodalmak miatt.
A 2002-es Help America Vote Act (HAVA) előírja az Egyesült Államok választási Segítségnyújtási bizottság (EAC) a tengerentúli szavazás módszerének tanulmányozására, és a NIST-jelentés része ennek a törekvésnek. "Az informatikai biztonság fontos eleme ennek a kérdésnek, ezért az EAC arra kérte a NIST-t, hogy készítsen egy tanulmányt, amely feltárja a tengerentúli szavazáshoz kapcsolódó potenciális elektronikus technológiákkal kapcsolatos biztonsági fenyegetéseket, és azonosítja a fenyegetések enyhítésének lehetséges módjait" - mondta Nelson Hastings, a jelentés szerzője.
A NIST jelentése szerint viszonylag biztonságos a faxok vagy e-mailek elküldése, vagy az interneten való közzététel, de a feltöltött szavazatok ilyen módon történő bemutatása biztonsági vagy magánéletet jelent.
A telefonálással kapcsolatos szavazás PIN-kódot igényel, és a PIN kódok elveszhetnek vagy ellophatók, a jelentés szerint. Ezenkívül telefonhívásokat is lehet használni, különösen a VoIP (voice over Internet Protocol) hívásokat, a jelentés szerint.
A faxküldés viszonylag biztonságos lehet, de a faxolt szavazólapok felügyelet nélkül "több órán keresztül" - mondja a jelentés. "A faxkészülékek valószínűleg a választási iroda egyik napi szobájában maradnak, amely faxokat fogad a nap folyamán" - mondja a jelentés. "Ez lehetővé teszi a támadónak, hogy érzékelje az érzékeny személyes adatokat, vagy megsemmisítse az érvényes regisztrációs űrlapokat."
Az e-maileket lehallgathatják vagy letilthatják. "Az e-mail nem garantálja, hogy a szándékolt címzett megkapja az üzenetet" - mondja a jelentés. "A DNS [Domain Name System] szerverek támadása az e-maileket egy támadó fél felé irányíthatja, ami nemcsak a szavazók lemondását eredményezi, hanem az érzékeny szavazókkal kapcsolatos információk elvesztését is."
a támadás sikeres volt, a DNS-kiszolgálóknál egy újabb biztonsági rést fedeztek fel, amelyet fel lehetne használni egy ilyen támadás létrehozására.
Számos kevésbé kifinomult támadásról van szó, amely megzavarhatja az e-mail szavazást, a jelentés mondja. "A szolgáltatásmegtagadási támadások elárasztják a választási tisztviselőket tömeges csalárd e-mailekkel" - mondja a jelentés. "Az e-mailek száma hamar felborulhat a választási tisztviselő e-mail szerverén, megakadályozva a törvényes regisztrációs űrlapokat a választási tisztviselők eléréséhez."
A webalapú szavazás titkosítást használhat az adatszivárgások ellen, de a szolgáltatás megtagadása a botnetek által támadott támadások továbbra is potenciális problémát jelentenek. "A sikeres szolgáltatásmegtagadási támadás túlterhelné a választási webszervert a forgalommal, megakadályozva, hogy a törvényes szavazók regisztrációs és szavazási kérelmet küldjenek" - mondja a jelentés. "Nagyon nehéz megvédeni a támadók támadásaitól való elutasítás elleni támadást nagy mennyiségű erőforrással."
Több állam már elosztja a szavazólapokat e-mailben vagy faxon, és a NIST-jelentés azt ajánlja, hogy a Választási Támogatási Bizottság dolgozzon ki iránymutatásokat a ezt megteszi. Kevés tanácsot ad a hagyományos levelezés alternatívájaként a visszaküldéshez, de a biztonság javítását figyelemmel kell kísérni.
"A fax, az e-mail és a web alapú rendszerek gyorsan és megbízhatóan továbbadhatják a szavazók névjegyzékét, jelentősen csökkentve a szavazók szavazási listáit, és javítani tudják a szavazók élményét a tengerentúlon" - mondja a jelentés. "Ezenkívül a regisztrációs és szavazási kérelmek is kihasználhatják ezeket a terjesztési módszereket, de a személyes adatok kezelése a szavazók körében több fenyegetést jelent." A szavazati szavazás továbbra is nehezebb kérdés. "
A NIST szerepe a választási rendszerekben "tisztán technikai", mondta Andrew Regenscheid társszerző. "A NIST nem határoz meg vagy javasol politikai döntéseket" - mondta. "Az állami és helyi választási tisztviselők feladata dönteni arról, hogy milyen kockázati szintet hajlandók vállalni az általuk bevezetett eljárások és ellenőrzések alapján."
Franciaország és Írország abban reménykedik, hogy az Európai Bizottság támogatni fogja a bűnüldözéssel kapcsolatos akkreditált számítógépes bűnözéssel kapcsolatos képzési program létrehozását.
A javaslat két olyan képzési központot kíván létrehozni, amelyek a mesterképzés és doktori értekezés, valamint a számítógépes bűnözés mint formális kutatási terület támogatása egy 55 oldalas dokumentum szerint, amely a számítógépes bűnözés oktatásának jelenlegi problémáit mutatja be.
A NIST iránymutatásai A július 31-én kiadott, polgári ügynökségekhez tartozó nem minősített adatok esetében a szövetségi informatikai rendszereket a legmagasabb biztonsági követelményeknek megfelelően hagyta el, mondta a Cyber Secure Institute. Az alacsony vagy mérsékelt hatású szövetségi rendszerek szerint a biztonsági ellenőrzések nem alkalmasak arra, hogy felkészüljenek a képzett és jól finanszírozott hackerekre, a csoport a héten közzétett kritikában elmondta.
"Az úgynevezett high-end fenyegetések most a norma nem a kivétel - jelentette CSI a jelentésében. "A szövetségi és a magánszektor informatikai szakemberei egyre inkább azt állítják, hogy a támadások, amelyekkel rendszeresen szembesülnek, magasan képzett, motivált és jól képzett szereplők - az orosz mobtól a kínai hadseregig és a szervezett cyber-bűnözőkig terjednek.
Ez az alkalmazás nem nyitható meg: Ismerje meg, hogyan lehet újra regisztrálni vagy újratelepíteni az Universal Apps vagy a Windows Store alkalmazásokat a Windows 10 és a Windows 8.1 rendszerben, és javítani a beépített alkalmazásokkal kapcsolatos problémákat és problémákat.
Eddig sok olyan problémát észleltünk,