昨天的美國大選第二輪辯論，相信大家都有所耳聞，撕得那是一個風生水起，好生熱鬧！不過今年除了兩位總統候選人備受關注之外，黑客攻擊干擾大選的新聞也是屢屢見諸報端，引發了激烈的討論。

美國大選流程

在談黑客干預美國大選之前，我們先來了解下美國總統是怎么產生的。

1. 預選 （時間：大選年的2-6月）

民主、共和兩黨分別選出本黨總統候選人提名。

2. 總統候選人提名大會 （時間：大選年的7-8月）

兩黨分別召開全國代表大會，選出本黨的總統候選人，然后通過由總統候選人提名的副總統候選人，并制定正式的競選綱領。

3. 競選運動 （時間：從全國代表大會結束時開始，到全國投票日）

總統候選人在全國展開各種活動拉票。

4. 全國選舉 （時間：大選年11月的第二個星期二）

選民到制定地點進行投票，在總統候選人之間作出選擇，同時選出各州總統選舉人

5. 選舉人團投票表決

總統選舉人按該州選民投票結果投票，率先獲得270張選舉人票的候選人即當選美國總統。

選舉人票：共538張

固定選票：每州2張（華盛頓3張）

剩余選票：共435張，按每州人口數分布

這個流程中的諸多環節，一旦電子化，就很容易被攻擊。

黑客如何干預

說到攻擊大選，大多數吃瓜群眾會想象說，電子投票機被黑，本來要投給 A 的選票，投給了 B ，或者說投出的票不被計入。

但是，安全專家的結論卻得出了這樣的結論：雖然說投票機本身漏洞不少（已發現的有278個，而且沒有一個已被指派CVE名稱），但是它本身不構成問題。真正的攻擊面是選民信息的處理方式。

攻擊投票系統

我們先來分析一下攻擊投票系統的可能性。

根據ballotpedia.org的統計，當下使用的絕大多數投票技術是基于紙投的，或者是電子競投系統（DRE）但有紙質憑證備份。據統計，75%的選票由紙投產生，而且大部分電子投票機在投票時有紙質憑證記錄；一旦發生投票舞弊，可追蹤紙質憑證。

大約14%的選舉人票將在搖擺州產生，這些搖擺州采用的部分投票機是只有DRE而沒有紙質備份的——具體就是佛羅里達、弗吉尼亞和賓夕法尼亞。但是即便在這些地區，有些地方還是采用紙質選票進行投選，或者是采用DRE并有紙質票備份。完全采用DRE且沒有紙質備份的有五個州——路易斯安娜、新澤西、南卡羅來納、特拉華和佐治亞。

那么我們來看看剩下的電子投票系統。

FBI局長詹姆斯·科米（James Comey）認為美國的投票系統是很難、很難被入侵的，因為這個系統又“拙劣又分散”，并且沒有聯網，直接攻擊基礎設施的話，幾乎不可能影響競選結果。

“攻擊者要篡改選票計數最大的障礙是，各州沒有將電子投票系統標準化，而這些系統是五花八門的。”安全公司Rook Security的安全運營主管麥特·岡沃（Mat Gangwer）指出。但他同時表示，如果攻擊者專門針對某個特定系統進行攻擊，也會產生另一種威脅。為了成功影響國家選舉結果，攻擊者必須仔細挑選攻擊的具體地點和內容。從宏觀上看，黑客只需關注一些競爭比較激烈的州，這些州的結果可能影響最終獲勝者。另外一個關鍵元素就是要聚焦那些沒有紙質選票備份的地區，和即便產生搖擺也可信的人口稠密地區，而且這樣的搖擺要足以影響到整個州的結果。預計的選民投票率高的話，也能給攻擊行為打掩護。

那么只針對其中一個系統會發生什么情況呢？

上文提到的五個只用DRE沒有紙質可追蹤憑證的州，采用“選民準入卡”（voter access card），工作人員在每個選民進入投票站前向每個選民發放準入卡。這種卡雖然設計為每人只能使用一次，但是可供多個選民循環使用。這點就給了攻擊者可乘之機。此前賽門鐵克和云反擊（CrowdStrike）的專家就已經確認，只需花費15美元，再加上中等程度的知識，就可以重置這個卡，進行多次投票。賽門鐵克研究員布萊恩·瓦納爾（Brian Varner）曾在拉斯維加斯黑帽子大會上展示，僅憑他一人就能在幾分鐘內重復投票400多次。攻擊者不必離開投票站就可完成這種操作，而且監控投票人投票是違法的，這就給了攻擊者更大的空間。

另外，機器老舊也使得這些設備很容易被攻破。布萊南司法中心研究人員克里斯托弗·法米格提（Christopher Famighetti）表示，目前40多個州使用的投票機機齡超過了10年。

話雖如此，完全沒有紙質可追蹤憑證的機投畢竟還是很有限的。在CSO Online的采訪中，CloudPassage首席技術總監卡森·斯威特（Carson Sweet）就表示，有紙投備份的話，無論是篡改了投票機還是攻擊了投票管理軟件造成的電子計票異常，都能在抽查或者手動核實計票時被發現，而許多州都還在沿用這些做法。斯威特還認為，攻擊幾臺機器是遠遠不夠的，除非攻擊者能夠預見未來，知道哪個地方的500張選票最為關鍵。攻擊者必須攻擊足夠多的機器才能確保勝利，要不然，有什么意義？

干擾競選活動

阿卡邁的安全倡導者戴夫·劉易斯（Dave Lewis）表示：“要篡奪大選選舉成果，不是小事，但并不是不可能。”他認為，要實現這個目的，就需要花費更多時間和精力收集目標信息。

攻擊者會探查競爭對手的防御系統，尋找容易攻擊的目標，比如安全防護不到位的系統。然后入侵系統，從對手處收集足夠多的信息，比如競選活動策略、選民名單跟郵箱等，從而應對競爭對手的政治舉措。提前知悉對手的計劃，對攻擊者而言有益無害。而且，如果能夠曝光對手團隊的內部交流信息，可以令目標競爭對手名譽掃地。除此之外，攻擊者還需要在社交網絡上集中宣傳，以擾亂民心。“我們已經見到類似的行為出現在美國本次的大選當中了，也在其他國家的選舉活動中看到了，”劉易斯補充道。

這不禁讓人聯想到此前發生的郵件門系列事件（詳情請見后文）。因為這個丑聞，當時希拉里的支持率一度被特朗普反超。

另外，民調數據也可被利用來破壞大選。“如果我是黑客，我就不會去攻擊投票系統。我會等到民調數據收集完成后，去黑這些數據。大選將近，許多人關心民調數據；如果民調數據被操縱或者丟失，將導致競選活動出現混亂，降低了最后選舉結果的可信度，”Netskope產品管理副總裁阿莫爾·卡貝（Amol Kabe）表示。

不攻擊機器，攻擊人心

往年，黑客攻擊大選都只是一個議題，但是今年不一樣，因為攻擊行為實實在在發生了，包括郵件門和選民注冊數據庫被竊等事件。

8月份，有人泄露了FBI的Amber TLP備忘錄。備忘錄中引述了多州信息共享及分析中心（MS-ISAC）給出的細節，稱外國活動人士正使用普通掃描工具定位并攻擊伊利諾伊州和亞利桑那州脆弱的選舉系統。Salted Hash曾對這個備忘錄進行了詳細的報道，包括MS-ISAC和FBI公布的所有技術細節。

9月28日，FBI局長科米告訴眾議院司法委員會：“毫無疑問，一些危險分子盯上了”選民注冊系統。

科米表示：“已經有多種掃描活動發生，這些活動預示著潛在的入侵行為，除了7、8月份被入侵的選民注冊數據庫外，還有其他選民注冊數據庫可能遭到了入侵。我們正敦促各州，加強保護措施，并盡可能從國土安全部獲取信息，保證系統是安全的。”

而在9月27日，美國國土安全部秘書杰·C·約翰遜（Jeh C. Johnson）告訴參議院國土安全及政府事務委員會，國土安全部已提議為國家和選舉官員提供協助。

國土安全部提供的協助包括：對需聯網系統遠程進行網絡安全掃描、現場風險漏洞測評、全天候對接應急響應中心、共享網絡事件及最佳應對方法的相關信息、派駐網絡安全顧問。

約翰遜表示：“目前已有18個州向我們申請協助。”而據媒體報道，目前已有20多個州的選民注冊系統遭到攻擊。

卡森·斯威特也認為比較有效的方式是攻擊選民注冊系統，攻擊者可分離選民注冊表中的物理簽名，篡改選民社保號碼后六位，也可將大量選民標記為“死亡”，或者直接刪除選民信息，或者結合以上這些舉措。如果大范圍進行類似的操作，就會導致投票點一片混亂。而如果這些操作的量剛剛好、并且前后行動比較統一，就可能會歸咎于管理不善、或者選民注冊出錯等等。“讓對手的選民不能投票，我就可以在很大程度上影響投票和總的票數。”

黑客攻擊干擾大選進程大事件（不完全統計）

1. 2015年初，佐治亞州數百萬選民數據，在意外情況下被發送給了一些機構，其中包括政黨組織、新聞媒體以及一家持槍人士的雜志。據稱，此次泄露和一個第三方的外包公司工作出現失誤有關。

2. 2015年12月，一數據庫因配置不當，導致美國1.91億選民信息泄露，包括姓名、家庭住址、投票ID、出生日期、電話號碼。該數據庫是在今年12月20日被一位名為Chris Vickery的白帽子發現，他自稱能訪問超過1.91億美國公民的個人識別信息（PII）。

3. 2015年12月，Salted Hash曝光，另一數據庫也因配置不當，5600萬選民數據泄露。

4. 2016年3月，民主黨總統競選人希拉里被曝擔任國務卿期間使用私人電子郵箱、非官方郵箱與他人通信。（郵件門）

5. 2016年7月，維基揭秘網站公開了美國民主黨高層內部絕密的19252封郵件與29段音頻文件，顯示希拉里涉及勾結民主黨高層內定黨內候選人，并參與了“洗錢”和操控媒體等多項丑聞。（郵件門2.0）

6. 2016年7月，亞利桑那州和伊利諾伊州選民注冊系統遭攻擊，20萬選民數據被竊取。

接下來，我們重點回顧給希拉里造成重創的事件——郵件門2.0。

郵件門2.0

http://www.bilibili.com/video/av5980624/

2016年6月17日，維基解密泄露出幾千封美國民主黨委員會（DNC）被盜郵件。直至7月29日，維基解密共泄露20000多封被盜郵件和29段錄音材料。

2016年6月，維基解密首次公布了美國民主黨委員會的機密文件，包括反對共和黨總統候選人唐納德·特朗普的研究報告，其中不乏“特朗普的政治沒有核心”、“他只是一個邪惡的商人”等言論。其實這些言論也不是憑空捏造出來的，特朗普在成為共和黨總統候選人的道路上常夸大其詞，給對手起一些綽號，類似“低能量杰布”、“小馬可”，貶低對方。

7月22日，維基解密再次公開了DNC高級職員往來的19252封電子郵件及8034份附件，美國上下一片嘩然，不少選民將手中的選票投向特朗普。維基解密公布這些郵件的理由并不難理解，其創始人阿桑奇曾在希拉里在任美國國務卿期間被持續追殺。阿桑奇對于希拉里也是積怨已久（文章回顧）。

泄密事件發生兩天后一直處于劣勢的特朗普首次民調支持率超過希拉里克林頓，雙方支持率44%對39%。有專家預測，如果此時進行投票，特朗普將以15個百分點碾壓希拉里，成為下任美國總統。

　　美國媒體紛紛對此事進行報道：

華盛頓郵報透露，“俄羅斯政府黑客”侵入了民主黨全國委員會的計算機網絡。

紐約時報：間諜組織發現俄羅斯與DNC被黑事件關聯密切，特朗普本人多次向俄羅斯示好

　　怎么話鋒一轉，就把鍋都甩給遠方的俄羅斯了呢？

矛頭紛紛指向俄羅斯

拋開政治因素，我們來分析一下為何媒體和眾多安全公司把鍋甩給了俄羅斯。

最早要追溯到今年4月9日的“郵件門1.0”事件，網絡組織Anonymous在YouTube上傳了一個視頻，警告希拉里：“不要忘記你的所作所為，我們都知道你做了什么。”

此時的DNC預感到了他們的網絡出現異常。為此DNC在5月份聘請了CrowdStrike網絡安全公司，CrowdStrike安全人員很快就在在DNC網絡上發現了兩個“敵人”——“APT28”和“APT29”（APT是指高級持續性威脅攻擊，是一種蓄謀已久的“惡意商業間諜威脅”）。這兩個組織都被懷疑是俄羅斯的精干情報機構，其中APT29早在2015年8月就已經附著在DNC網絡上。但并沒有確鑿證據證明這兩個組織有合作關系。

6月15日，一個名為Guccifer2.0的推特帳戶，發出一條標題為“一名黑客已獨自攻下DNC服務器”的推特。該推特的內容大抵是：我已經將盜取的DNC郵件發送給維基解密，順便嘲諷CrowdStrike的業務能力（FUCK！CrowdStrike）。

　　兩天后事件爆發，各方開始懷疑是俄羅斯在背后策劃了這次網絡攻擊

網絡安全公司Fidelis首席安全官，賈斯汀·哈維說：

俄羅斯半個多世紀以來一直試圖解散北約。而特朗普曾表態如果他成為美國總統，美國將會退出北約。俄羅斯方面可能就借此機會削弱克林頓的競選外交政策的觀點，來影響大選結果。

一個民族國家如果越過這條界線——試圖影響美國總統大選的結果，那么網絡安全將上升到一個全新的領域。

沒錯，特朗普在他的競選之路上逐漸表現出要與俄羅斯更加友好的態度，外界就因此懷疑俄羅斯方面想要推特朗普上臺而做出不利于希拉里競選的舉動。

兩家相互競爭的網絡安全公司，美國麥迪安網絡安全公司（FireEye的子公司）和Fidelis，都證實了CrowdStrike的初步調查結果，確實是俄羅斯的黑客組織黑掉了DNC。

另一位NSA通緝犯——躲在俄羅斯的斯諾登表示：

如果確實是俄羅斯黑了DNC，那么他們應該受到譴責。但是FBI應該拿出確鑿的證據。

　　但是這些線索都不足以斷定俄羅斯是策劃了本此攻擊的始作俑者。

一些更“硬”的證據

上面提到的這些“證據”很大程度上不過是媒體臆測。而到了6月20日，美國專家拿出了確鑿證據：這次攻擊中用到的工具、方法、基礎設施，甚至加密密鑰，在以前的攻擊中就能找到幾乎一致的例子。所有這些證據都表明參與本此網絡攻擊的黑客組織就是來自俄羅斯的APT28。

其中最“硬”的證據莫過于兩處相同的特殊惡意代碼（稀有程度相當于人類指紋）。研究人員在DNC服務器中發現一條很特殊的惡意代碼，該代碼曾在德國聯邦議院被黑事件中出現過，而俄羅斯國防部軍事情報局當時也承認了，針對德國聯邦議院的網絡攻擊就是俄方發起的。

但是隨后，Guccifer2.0卻發表推特認為本次事件與俄羅斯無關，并表示他是為自由而戰（文章回顧傳送門）。

我不喜歡俄羅斯人和他們那套外交政策，我也很討厭你們把我劃到他們那群人中。

他向媒體介紹，他是來自羅馬尼亞的，和第一個GUCCIFER一樣。GUCCIFER2.0介紹，他是去年9月通過利用 NGP VAN的未知漏洞成功入侵了民主黨委員會的（NGP VAN是民主黨委員會的一家軟件供應商）。但是并沒有證據表明他是途徑NGP VAN進行攻擊的。

我在幾臺電腦上都安裝了木馬，每周我都要從一臺電腦到另一臺電腦來來回回跑幾趟。所以CrowdStrike他們很長時間都抓不到我。我知道他們的入侵檢測系統非常好，但是我的啟發式算法更勝一籌啊。

Guccifer2.0為了證明他的說法，公布了一些被送到維基解密出版的被盜DNC文件。但安全專家仍對此表示懷疑，甚至有些人認為Guccifer2.0是普京大帝派來歪曲宣傳，替俄羅斯轉移責任的民間發言人。

民主黨的一位高級官員在郵件中發表聲明：

我們的專家對自己的評估有十足的信息，俄羅斯政府的黑客是在演戲。我們相信，隨后發布的一些東西和說法很可能是俄羅斯人在造謠！

最新回應

上周五（10月7日），美國政府正式指控俄羅斯黑客攻擊干擾美國大選。美國國土安全部和負責選舉安全的國家情報總監在聯合聲明中表示，現已“確定俄羅斯政府主導了最近美國人民、機構乃至美國政治組織遭到的郵件入侵事件。”

美國當局表示：“這些偷竊和泄露行為旨在干擾美國選舉過程，俄羅斯政府對此類活動并不陌生。我們認為，基于這些行動的范圍和敏感性，只有俄羅斯的最高級官員能夠授權這些活動。”

美國當局還稱可能采取包括經濟制裁等措施，對該攻擊行為進行回應。

議員提請立法

上周五，一名共和黨議員聲稱，將提請立法，以推動實行這些制裁措施?？屏_拉多州美國參議院議員科里·加德納（Cory Gardner）稱，他已計劃提請立法，該法案將要求美國政府嚴查俄羅斯網絡罪犯，并適時予以制裁。加德納在一個聲明中表示，“俄羅斯干預美國民主，直接威脅了我們的政治進程。”

在加德納表態之前，美國多個情報機構就已將矛頭指向俄羅斯，指責俄羅斯此前的攻擊行為，攻擊導致美國官員及機構的敏感郵件發生泄露。這些情報機構稱，這些攻擊是由俄羅斯發起的，企圖干涉今年的美國總統選舉。

去年年初，美國針對索尼影業黑客入侵事件制裁朝鮮，對10個朝鮮公民及3個機構進行制裁，禁止他們通過美國金融系統獲得資金。而加德納的提案可能與該制裁方法類似。

可能的制裁措施

美國政府并未表示將對俄羅斯采取行動。但是今年7月，白宮曾表示制裁可能是其中一種回應措施。當時，白宮新聞發言人埃里克·舒爾茨（Eric Schultz）說道：“政府有多種選擇，包括由財政部發起經濟制裁。”舒爾茨同時表示美國國防部及司法部也可能采取行動。

雷聲大雨點小？

但是，A10 Networks網絡運營總監蔡斯·卡寧漢姆（Chase Cunningham）并不認為美國將采取具體的回應措施。雖然美國情報機構公開指責俄羅斯黑客攻擊美國大選，但是該聲明是在星期五下午較晚的時間發出，那會兒大家都想著怎么過周末，可能都不會去注意。卡寧漢姆認為，選在這個時間點發聲明，表示美國淡化這一指控?？▽帩h姆表示：“選舉正在進行，總統又即將離任。不會發生什么事情的。人們會譴責，但是不會真正作出什么改變。”

然而，美國對俄羅斯網絡攻擊進行指責是很罕見的。周五的聲明來自美國情報體系（U.S Intelligence Community），該機構由美國政府轄下的16個情報機構組成，包括CIA和FBI。

“當許多機構都對某個事情取得一致意見時，這個事情肯定是被徹查了的，”卡寧漢姆表示。與此同時，卡寧漢姆預計未來幾周，還迎來更多針對選舉的攻擊行為。多個美國情報機構聲稱，俄羅斯政府利用維基解密等網站，泄露美國官員及政治團體的敏感文件。周五當天，維基解密公布了一些郵件，據稱這些郵件是從希拉里的助手那里盜取的。

俄羅斯政府繼續否認參與上述黑客行動。

參考資料

http://www.csoonline.com/article/3126397/security/hacking-an-election-is-about-influence-and-disruption-not-voting-machines.html

http://www.inquisitr.com/3418067/its-easy-to-hack-voting-machines/

http://www.infosecurity-magazine.com/news/russia-uncovers-major-apt-style/

http://www.networkworld.com/article/3100046/fbi-probes-dnc-hack-as-suspicions-of-russian-involvement-widen.html

http://thehackernews.com/2016/07/hillary-clinton-hacked.html

https://motherboard.vice.com/read/all-signs-point-to-russia-being-behind-the-dnc-hack

https://wikileaks.org/dnc-emails/emailid/12803

*本文作者：bimeover &kuma，轉載請注明來自FreeBuf黑客與極客（FreeBuf.COM）