Poll Hack, ovvero come e perché i criminali informatici interferiscono con le elezioni

189

Ogni nuova consultazione elettorale, in tutto il mondo, vede un’adozione sempre maggiore dalla tecnologia rispetto alla precedente, e quindi ci espone potenzialmente a rischi maggiori.

Esistono molti modi per interferire con le elezioni. Ad esempio, le ultime elezioni nel Regno Unito hanno rappresentato uno degli eventi politici più controversi e analizzati nella storia del Paese. Il dibattito è stato infuocato e ancora una volta la volatilità della comunicazione online e sui social si è mostrata in tutta la sua forza.
Molto era stato fatto dal punto di vista della cyber sicurezza; in particolare da parte del partito laburista nel tentativo di contrastare quello che a inizio novembre è stato definito come un tentativo “sofisticato e su larga scala” di mettere fuori uso i suoi sistemi digitali (un insieme di tecniche di denial-of-service distribuito – DDoS).

Sono tempi politicamente senza precedenti, e anche l’organo nazionale che sovraintende alla sicurezza informatica nel Regno Unito – il National Cyber Security Centre – lo sa bene, basti pensare che già nel 2018 aveva emesso un avvertimento diretto prima delle elezioni amministrative, citando potenziali “attività interne” che tentavano di “manipolare o compromettere le informazioni elettorali”. Avvisi prontamente ribaditi anche in occasione delle ultime consultazioni.

Sono molte le minacce informatiche esistenti ed emergenti da tenere presente guardando a tutte le consultazioni che ci attendono nel 2020, in particolare al “gran finale” delle elezioni presidenziali americane. Bisogna però tenere presente che esistono anche infinite possibili variazioni di questi metodi che emergeranno nel corso dell’anno, perché gli hacker saranno sempre pronti a dirottare in tempo reale e opportunisticamente gli sviluppi politici. Ecco alcune fra le principali minacce:

Tentativi e attacchi seri

Sebbene nella maggior parte dei Paesi buona parte dei processi elettorali sia ancora condotta offline, le votazioni sono esposte ad azioni criminali informatiche come gli attacchi DDoS (ad esempio contro il sito dell’ufficio elettorale, del governo o i media che svolgono un ruolo chiave durante la campagna). Oggi, persino un adolescente può creare una botnet in 45 minuti guardando un tutorial su YouTube, ed esiste una enormità di siti DDoS che si possono noleggiare a basso costo.

Un’altra minaccia intramontabile, poco costosa e sempre attuale, è il phishing, che un nostro recente report (F5 Labs – Phishing and Frauds report) indica come il metodo di attacco oggi maggiormente utilizzato per violare i dati. Le elezioni rappresentano un terreno di caccia naturale per i phisher esperti, perché l’emotività è ai massimi livelli nelle campagne elettorali e la quantità di dati e comunicazioni scambiati per generare proselitismo è norme. Praticamente, “cuori e menti “sono lì per essere conquistati, e i criminali informatici sono pronti ad approfittarne.

Gli aggressori possono evitare di compromettere il firewall, trovare un exploit zero-day o decifrare la crittografia. Hanno bisogno solo di un’email convincente e di un sito fake al quale fare approdare le proprie vittime. Alcuni dei più recenti esempi di attacchi politici mirati che hanno sfruttato il phishing sono quello subito dai funzionari governativi durante le elezioni presidenziali ucraine del 2019 e l’attacco della Corea del Nord per sabotare la missione lunare dell’agenzia spaziale indiana.

Proteggersi da tutto questo richiede una formazione continua del personale per quanto riguarda i comportamenti, unita a controlli tecnici di sicurezza come l’autenticazione a più fattori e l’ispezione del traffico malware crittografato, oltre a soluzioni di prevenzione DDoS che si allineino alle esigenze dell’architettura IT aziendale.

Ribaltare la situazione

Un aspetto preoccupante è come i criminali informatici sostenuti dai Governi siano sempre più interessanti a modificare l’esito di ciascun singolo voto.

Molti ricorderanno come gli Stati Uniti siano stati visibilmente sotto tiro nel 2016 a causa dell’attività dei bot automatizzati istigati dalla Russia, che ha diffuso una vasta serie di notizie fake che potrebbero avere influenzato l’opinione degli elettori.
La Commissione permanente per i servizi di intelligence della Camera dei rappresentanti degli Stati Uniti ha recentemente fornito un’istantanea interessante sulla portata e sulla scalabilità di questo tipo di attività, riferendo che la Internet Research Agency (una delle società russe implicata nell’attività fake) ha acquistato 3.393 annunci pubblicitari su Facebook che sono stati mostrati a oltre 11,4 milioni di americani. Hanno anche creato 470 pagine Facebook con 80.000 contenuti, mostrati a oltre 126 milioni di americani. Un numero enorme se si pensa che in tutti gli Stati Uniti i votanti alle elezioni presidenziali del 2016 sono stati 120 milioni.

Oltre alla Russia, l’FBI elenca anche la Cina e l’Iran come i principali attori della minaccia in termini di sicurezza elettorale.
In questo contesto, una delle tattiche più efficaci e in continua evoluzione è quella di confondere il discorso pubblico e orchestrare un clima demoralizzante di malcontento. L’autore della minaccia non ha nemmeno bisogno di impegnarsi per promuovere una causa, un candidato o un messaggio specifico, deve solo provocare il caos, l’incertezza e la divisione. Sebbene in tutti i Paesi esistano strumenti in grado di aiutare i cittadini a individuare i pregiudizi e la disinformazione (ad esempio Snopes e AllSides), spesso la ricerca di fonti affidabili richiede competenze aggiuntive che mancano a molti elettori anziani e meno preparati sul fronte digitale.

Naturalmente, spetta ai social media imparare ad adattarsi, nel senso che tutti dovrebbero essere capaci di identificare, separare e bloccare i bot sulle proprie piattaforme. Certo, a volte abbiamo a che fare con un’area grigia che può essere difficile controllare, perché le discussioni sulla libertà di espressione possono aggiungere un ulteriore livello di complessità.

Elezioni sempre più digitali

Nel 2020 le preoccupazioni crescenti su come i voti potranno essere falsificati o manipolati riguarderanno soprattutto gli Stati Uniti, un Paese ormai nel mirino dei cyber attacchi per buona parte dell’anno.

I laboratori di F5 nell’ultima edizione del F5 Labs Application Protection report hanno evidenziato come le organizzazioni del settore pubblico statunitense siano più preoccupate di subire una manomissione delle applicazioni di qualsiasi altro settore industriale, uno dei motivi è il fatto che il 37% degli Stati negli USA consente la registrazione al voto online.

Lo scenario delle votazioni americane, quindi, è particolarmente a rischio anche perché alcuni Stati utilizzano le macchine per il voto elettronico. Nel mese di agosto 2019, agli oltre 35.000 partecipanti alla DEF CON hacker conference è stato richiesto di testare le possibili vulnerabilità di queste macchine e ognuna delle oltre 100 macchine disponibili è risultata vulnerabile ad almeno una tipologia di attacco. Un rischio che riguarderà in futuro sempre più Paesi dato che le elezioni diventeranno sempre più digitalizzate e connesse.

Come riprendere il controllo

La consapevolezza e lo spirito critico sono la chiave. Ad esempio, non è mai stato così importante portare alla luce i pregiudizi nei media, che spesso mescolano il pathos e le opinioni personali con i fatti reali. Anche se la maggior parte delle principali piattaforme social si sta adoperando in modo concreto per trovare delle soluzioni, non possiamo più permetterci di essere consumatori passivi dei contenuti.

Le interferenze elettorali digitali – sia che influenzino un singolo voto sia che creino un clima politico confuso favorevole a un particolare Governo/Nazione – rappresentano un pericolo evidente, presente e insidioso. Gli elettori, i politici e chiunque sia coinvolto in qualche modo nel processo democratico dovrà quindi stare all’erta e imparare a navigare e interrogarsi su questa nuova realtà.

 

David Warburton

Senior Threat Evangelist, F5 Labs

(I-TALICOM)