Black Hat 2020: Fixing voting – boiling the ocean?

With the big voting day rapidly approaching, can the security of the election still be shored up? If so, how?

 Cameron Camp

Following the Black Hat keynote about voting security, we wonder how fixing elections might be possible in the next few months amidst pressure of U.S. elections rapidly approaching, requiring massive, coordinated effort at immense expense. Is that possible? If so, how likely?

It’s hard to quick-fix a many-headed monster decades in the making.

 

Since each state has its own say about running its own election, with predictably differing approaches, it all filters upward to create a federal mess. That, coupled with the impracticality of building something secure quickly on tight budgets, and with reduced public mobility during a pandemic, you can see the problem.

 

No pressure

Add to that the training cycle needed to get a whole multitude of energized volunteers up to speed on whatever systems are to be replaced in record time.

What to do? Folks out in Oregon dust off a rousing chorus of “paper ballots only!” But can the rest of the states in a federal election year do the same? Hardly. With fewer than 100 days to go, the federal government couldn’t hand out free beer to the electorate, let alone overhaul to paper.

 

And how would you staff massive change? Many election volunteers would probably have a difficult time setting up and securing a home router, so they can’t be reliably trusted to stop election hacking with a few tools, even if they had the time and inclination.

 

At Black Hat you get reamed for even mentioning blockchain in any presentation, but there, I said it. Every sticky accounting problem was supposed to be fixed by blockchain. Turns out some of the same software challenges needed to make blockchain behave in an election context are similar to any other software project. Good software is hard. Software isn’t perfect because people aren’t perfect – even if they have a blockchain at their disposal. And you couldn’t do it quickly.

 

In all likelihood, there will be a bevy of trust-building statements from everyone with “election” in the name of their organization. Organizations will over-promise and sit nervously by hoping nothing really bad happens, with few tools to measure if it did. Not much comfort for those running for office, or those seeking to elect them.

 

What IS possible is enlisting some security wonks to get the best instrumentation on the subject between now and the big voting day. If those embroiled in the voting festivities can coax security folks to help between now and then, we’ll be so much the better.

It seems plausible – after engaging the security community meaningfully – to produce two deliverables:

-       Assume a breach of integrity is imminent and develop a meaningful response plan. As data people, we’re good at being thrust into situations with few facts and expected to tell C-level folks both what could happen and how to respond to minimize impact. We’re good at this.

-       Start a long-term plan now to build a secure election stack. We’re good at that sort of thing too. That doesn’t mean eliminating any possibility of becoming compromised, but making it far more expensive for the perpetrators.

 

Meanwhile, the giant droves of bots and their masters will attempt to swing the needle on public sentiment, making its veracity even more opaque.

Fixing voting will take time, but not as much time as it took us all to get into this mess. There is hope in the end.

 

Les PME: cibles privilégiées des attaques de rançongiciel

Pourquoi les PME sont-elles une cible pour les attaques de rançongiciel et que peuvent-elles faire pour se protéger contre la cyber-extorsion?

Amer Owaida

Selon la Banque mondiale, les petites et moyennes entreprises (PME) jouent un rôle énorme dans la plupart des économies, puisqu’elles représentent 90 % des entreprises du monde entier et plus de 50 % de l’emploi. Il s’agit d’entreprises qui vont des restaurants familiaux aux entreprises établies comptant plusieurs centaines d’employés, en passant par les jeunes pousses.

 Outre le fait qu’elles jouent un rôle essentiel dans l’économie des pays, les PME sont souvent mal préparées pour faire face aux cyber-menaces. Ces incidents peuvent varier, allant des attaques par déni de service distribué (DDoS) qui entraînent des heures d’arrêt et des pertes de revenus, aux attaques de logiciels malveillants, y compris celles qui impliquent des rançongiciels, qui peuvent finalement entraîner la fermeture d’une entreprise.

Pourquoi les PME sont-elles des cibles de prédilection?

 Alors que les grandes entreprises peuvent sembler à prime abord comme des proies plus lucratives, les PME sont une cible attrayante en raison de leur manque de ressources pour se défendre contre de telles attaques.

Selon un récent rapport du Ponemon Institute, le plus grand défi auquel sont confrontées les PME est le manque de personnel pour faire face aux cyber-risques, aux attaques et aux vulnérabilités, tandis que le deuxième plus grand problème tourne autour des budgets limités. Le troisième grand défi est que les entreprises peuvent ne pas comprendre comment se protéger contre les cyberattaques.

 Dans ce contexte, il est logique que les employés ne soient pas en mesure d’identifier les menaces ou les attaques potentielles. Le rapport Ponemon souligne ce point, en indiquant que lorsque les entreprises ont été victimes d’attaques de rançongiciels, les vecteurs d’attaque les plus fréquents étaient l’hameçonnage et l’ingénierie sociale, les sites web usurpés arrivant en deuxième position et les malversations en troisième.

Cela montre à quel point la sous-estimation d’une formation adéquate en matière de cybersécurité peut nuire à votre entreprise à long terme. Si une formation adéquate peut être un investissement coûteux, devoir faire face aux conséquences d’une attaque par rançongiciel peut s’avérer encore plus coûteux.

Quel est le coût d’une attaque?

D’après le rapport de Datto, les rançongiciels figurent en tête de liste des menaces de logiciels malveillants auxquelles sont confrontées les PME, une sur cinq déclarant avoir été victime d’une attaque par rançongiciel. La rançon moyenne demandée par les acteurs de la menace est d’environ 5 900 dollars américains. Cependant, ce n’est pas le prix final; le coût de l’immobilisation est 23 fois plus élevé que la rançon demandée en 2019, s’élevant à 141 000 dollars US et représentant une augmentation de plus de 200 % de 2018 à 2019.

Et vous n’avez toujours pas pris en compte les autres coûts – la découverte de l’attaque, l’enquête, le confinement, la récupération et l’atteinte à la réputation. Il vous faut donc toujours tenir compte du coût des informations perdues.

 Certaines entreprises peuvent préférer payer la rançon pour limiter leur temps mort et rétablir l’accès aux fichiers sensibles, mais il n’y a aucune garantie. Les cybercriminels à l’origine du rançongiciel peuvent continuer à augmenter la rançon, et même si vous payez, vous ne pouvez pas être sûr de récupérer toutes les données, donc le dommage sera toujours fait.

« Le financement des cybercriminels permet également de financer des cyberattaques plus importantes, il faut donc rappeler que le fait de payer ne fera pas toujours disparaître le problème », explique Jake Moore, spécialiste de la cybersécurité d’ESET.

 Quelles sont vos options?

Il est clair que votre premier objectif est d’empêcher toute attaque de rançongiciel d’être efficace. La clé, c’est donc la prévention, et elle comprend ces mesures de base :

- Tous les employés doivent suivre une formation régulière afin d’être au courant des meilleures pratiques en matière de cybersécurité. Cela peut grandement contribuer à réduire les risques qu’ils cliquent sur des liens potentiellement dangereux dans leurs courriels, qui pourraient être truffés de rançons, ou qu’ils branchent des périphériques USB inconnus qui pourraient être chargés de logiciels malveillants.

- Vous devez toujours garder vos systèmes d’exploitation et autres logiciels à jour avec la dernière version disponible et, chaque fois qu’un correctif est publié, l’appliquer.

- Prévoyez toujours le pire et espérez le meilleur. Prévoyez donc un plan de continuité des activités en cas de catastrophe. Ce plan doit inclure une sauvegarde des données et peut-être même une infrastructure de sauvegarde que vous pourrez utiliser pendant que vous essayez de restaurer vos systèmes verrouillés.

- Les sauvegardes sont essentielles pour tout le monde, qu’il s’agisse de particuliers ou de grandes entreprises. Sauvegardez régulièrement vos données critiques et testez fréquemment ces sauvegardes pour voir si elles fonctionnent correctement, afin qu’elles ne vous laissent pas dans l’embarras si vous êtes touché. Au moins les données les plus précieuses devraient également être stockées hors ligne.

- Réduisez la surface d’attaque en désactivant ou en désinstallant tout logiciel ou service inutile. Notamment, comme les services d’accès à distance sont souvent le principal vecteur de nombreuses attaques de type rançongiciel, vous seriez bien avisé de désactiver entièrement le RDP sur Internet ou du moins de limiter le nombre de personnes autorisées à accéder à distance aux serveurs de l’entreprise via Internet.

- Ne sous-estimez jamais la valeur d’une solution de sécurité multicouche réputée. Outre vos employés, c’est votre première ligne de défense que vous devez avoir en place pour vous protéger contre toutes sortes de menaces, et pas seulement contre les attaques de rançongiel.

 Veillez également à ce que le produit soit corrigé et mis à jour.