德國國會大選：黑客「枕戈待旦」

編者按

混沌計算機俱樂部警告稱：「在德國即將舉行的國會大選中，用來匯總和傳輸選票總數的軟體存在重大的安全漏洞」，安全專家指出：「針對選舉的黑客攻擊等同於網路戰」。具體的情況是怎樣的呢？接下來界小編將為您揭曉。

上周周四，來自德國的混沌計算機俱樂部的黑客們警告說：「在德國即將舉行的國會大選中，用來匯總和傳輸選票總數的軟體存在重大的安全漏洞，這些漏洞可能會危害選舉結果的完整性並削弱選民的信心。」

在一個組織的博文和技術報告中，它說這個軟體的PC-Wahl版本10是易受各種外部攻擊的，包括哪些軟體可能會秘密地修改投票總數，在它們被報給選舉官員之前。為了進一步支持它的說法，該組織還在GitHub上刊登了概念驗證攻擊工具，包括源代碼。在它發布的文章中，混沌計算機俱樂部指出，它的發現對於PC-Wahl用戶來說是一個「全損」，據稱，該軟體甚至沒有遵守IT安全的基本原則。

記者通過電子郵件聯繫了PC-Wahl用戶，以及Dieter Sarreither的辦公室和德國的聯邦選舉主任，他負責監督聯邦選舉，包括9月24日的議會選舉。

作為混沌計算機俱樂部的發言人，萊納斯.諾依曼在一篇博文中說：「漏洞的數量和它們的嚴重程度超過了我們最壞的預期。一連串嚴重的漏洞，來自更新的伺服器，通過軟體本身，導出選舉結果，我們可以演示三種實際的攻擊場景」。諾依曼還說到：「這份用德語寫成的技術報告詳盡闡述了在這些場景中的攻擊」。

在關鍵的漏洞中，混沌計算機俱樂部警告說：是一個壞掉的軟體更新機制「允許一鍵式破壞」，更新伺服器上的安全措施不足可能會允許攻擊者接管伺服器並向用戶分發惡意的升級內容。諾依曼在博文中說：「只可惜現在並不是正確的千禧年，在投票過程中可以忽略IT安全問題。可用的有效保護措施已經被使用了幾十年了，沒有任何理由不使用它們」。

在2016年11月，德國總理安格拉.默克爾表達了俄羅斯政府支持的黑客可能會試圖干涉德國的選舉進程的擔憂，就像他們被指控在2016年美國總統大選期間做了干預大選的事情。

Cylance公司（它是一家網路安全初創企業）的高級研究科學家吉姆.沃爾特說：「關於支持美國境內的選舉和選舉過程的系統問題上，Cylance公司一直就直言不諱。我們並不是唯一一個這樣做的公司，然而相同的問題和漏洞已經存在了許多年了，在可預見的未來似乎也不會有什麼變化。我們希望未來能夠提高其他國家或政府對使用的系統的意識。（此外繼續關注我們自己的問題）將幫助降低那些破壞或消極影響選舉的人所造成的可能的損害。壓力需要放在政府、製造商和任何控制決定安全標準的機構上並且那樣的壓力需要被永遠用來驗證執行情況。沒有某種激烈的方法，將不會有什麼改進」。

今年早些時候，在拉斯維加斯舉行的黑帽會議上，Venafi軟體公司對這一問題進行了調查。根據對296名安全專業人員的研究顯示，78%的安全專業人士認為針對選舉黑客攻擊是一種網路戰的行為。安全行業也認為，各國政府在預防這方面做得還不夠，差不多十分之九（88%）的人支持該觀點並且超過四分之一（27%）的人認為選舉結果已經受到網路罪犯的影響。

情報機構已經確定，國家民族支持的黑客已經把全球範圍的選舉作為攻擊的目標。並且一個來自美國國家安全局（NSA）的報告說: 「在2016年美國總統大選之前,俄羅斯對一個選舉系統供應商的VR系統發起了網路攻擊」。

Venafi公司的首席執行官傑夫.哈德森說：「戰爭行為的定義是一個國家針對另一個國家的行動，這是對和平的直接威脅」。企圖針對選舉黑客攻擊很容易被認為是一種網路戰爭的行為。其目的是破壞政府的基礎，而政府是負責保護國家的。選舉成為了網路攻擊的目標，針對選舉的黑客攻擊的潛在影響不能被低估。惡意的網路黑客有能力改變投票資料庫，延遲投票計數，並在選舉過程中顛覆信任。Venafi公司報告說，有多少國家的投票機有漏洞，使得它們很容易被人利用，並指出2017年DEF CON黑客盛會的參會者在24小時內設法找到並利用了5種不同的投票機當中的漏洞。

-END-

點擊展開全文

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！