В ответ на растущие опасения относительно того, что будущие выборы в США могут быть изменены национальными хакерами, DEF CON 25 в этом году разместил свой первый в истории конкурс Голосования, где участникам было предложено повозиться с технологиями выборов и использовать их уязвимости.
В течение нескольких часов после открытия члены хакерского сообщества, по-видимому, не только компрометировали машины с известными ошибками, но и обнаружили ранее не открытые проблемы.
«В течение первых полутора часов после того, как мы открылись, люди начали открывать для себя новые вещи об этих машинах, о которых эксперты, подобные мне, которые смотрели на эти вещи в течение 10 лет, ранее не обнаружили, сказал Мэтт Блейз, профессор и режиссер Лаборатории распределенных систем Университета Пенсильвании, одного из организаторов конкурса. «Я думаю, это говорит о том, насколько важно иметь действительно широкий круг людей в сообществе, рассматривая такие технологи».
Подтверждая счет Blaze, на счету twitter-аккаунта «DEFCON Voting Village» было указано: «Через 90 минут после открытия дверей: полный пульт дистанционного управления на уровне операционной системы терминала голосования Winvote (включая данные о выборах)».
Бен Длин, стажер из Nordic Innovation Labs, помогавший запустить конкурс, подробно остановился на этой проблеме, объяснив, что хакеру удалось беспроводным образом получить доступ к машине. «Ни у одной из этих машин не должно быть беспроводного доступа, — сказал Длин, заметив, что исследователь имеет полный доступ к машине, я бы сказал, что почти за полчаса ему это удалось».
В дополнение к Winvote, Voting Village также представила машины Edge, ES7S iVotonic, Diebold TSX и Diebold Expresspoll 4000. Длин сказал, что примерно с 1:30 по тихоокеанскому времени, через три с половиной часа после того, как конкурс официально открылся, «три или четыре» машины уже были сломаны.
Когда Блейз говорил со Sc Media, одна группа исследователей смотрела на сенсорную машину Diebold. «Мы узнали об этом когда я повернул голову, и увидел что кто-то пытается разобрать ее и исследовать ее разными способами.
Так же, как SC Media вошла присоединилась к конкурсу в начале дня, молодой исследователь-женщина кричала и смеялась от радости, когда она и другие исследователи проникли в внутреннюю базу данных и структуры системы электронных книг, в которых размещены имена регистрации избирателей.
В другом уголке помещения, где проходил конкурс были встроенные системы, которые можно было бы найти в избирательном офисе. Там группы хакеров будут участвовать в красных и синих командных тестах, атаковать или защищать системы в режиме реального времени.
Длин подчеркнул важность этой бесчисленной деятельности, отметив, что впервые члены широкой общественности получили возможность протестировать это оборудование, не будучи юридически уполномоченным фактическим государственным органом.
Однако действие не ограничивалось только Голосованием. В DEC CON’s Packet Hacking, исследователям было поручено взломать миниатюрный модельный город, используя уязвимости в различных интернет-вещах и интеллектуальных городских технологиях, которые были связаны с моделью. Например, хакеры могут остановить модельный поезд, который кружит по городу или запустить его в обратном направлении.
«У нас есть реальный, реальный измеритель мощности, который будет использоваться в городе в Соединенных Штатах …» — сказал создатель события Брайан Маркус, генеральный директор компании Aries Security, который ведет онлайн Riverside. «Если вы можете сломать измеритель мощности, вы можете закрыть сетку по всему городу».
Между тем, в Car Hacking Village конкурсанты с трудом пытались взломать автомобильные системы автопроизводителей, в том числе сети CAN-шин, в конкурсе Capture the Flag, предлагающем пикап (предположительно, неспаренную модель) в качестве первого приза. Вызовы включают взламывание информационно-развлекательной системы автомобиля, взлом криптовальной машины и передача данных между автомобильными системами. «Как только они доберутся до 1000 пунктов, они откроют доступ к этим транспортным средствам, где они смогут подойти к ним и начать взламывать тех, в которых есть проблемы с большими точками», — сказал Джейсон Хаддикс, глава отдела доверия и безопасности в Бугкроуде.
