O privire critică asupra votului electronic din Estonia

  • Posted on: 23 June 2015
  • By: Redacția ApTI

English translation at The Sponge.

Așa cum am precizat în articolul precedent, am lăsat analiza sistemului de vot electronic din Estonia la sfârșit din cauza naturii unice a acestuia. La momentul scrierii acestui articol, în Mai 2015, Estonia este singura țară din lume care folosește votul pe Internet la nivel național.

Acest articol este o prezentare a celui mai amplu raport referitor la sistemul de vot electronic din Estonia care a fost publicat de o echipă internațională de cercetători independenți.

În 2013, o echipă de cercetători independenți au primit acreditări de observatori la scrutinul local din Octombrie 2013 din Estonia. Pornind de la observațiile făcute cu acest prilej, aceștia au efectuat o analiză amănunțită a sistemului de vot prin Internet implementat în Estonia și, în Mai 2014, au publicat un raport despre votul electronic din Estonia. Tot ce au descoperit a fost publicat pe site-ul estoniavoting.org.

1. Echipa

Pentru cine a citit articolele precedente din această serie, multe dintre numele și afilierile cercetătorilor implicați în acest studiu vor fi deja familiare. Membrii echipei de cercetători au fost:

  • J. Alex Halderman, University of Michigan – Este profesor asistent la University of Michigan și expert în securitatea sistemelor de vot electronic. A ajustat la demonstrarea primului virus pentru mașini de vot, a luat parte la auditul „de sus până jos” al sistemului de vot electronic din California, a condus prima analiză a sistemului de vot electronic din India, a spart sistemul de vot de test din Washington D.C. și, mai recent, a descoperit o breșă de securitate care poate fi exploatată în sistemul de vot pe Internet iVote folosit în New South Wales, Australia.
  • Harri Hursti, cercetător în securitatea informatică independent – Este un cercetător în securitatea informatică din Finlanda care este bine cunoscut pentru contribuțiile sale din diverse studii ale sistemelor de vot electronic de peste tot din lume și faimos pentru demonstrarea unui atac bazat pe carduri de memorie asupra mașinilor de vot Diebold.
  • Jason Kitcat, Open Rights Group – Este președintele consiliului local al orașului Brighton & Hove, prima localitate cu conducere majoritara din Partidul Verde din Marea Britanie. Experiența sa este în tehnologie și afaceri online cum ca, de exemplu, Netmums și Open Knowledge Foundation. Este un avocat neobosit al drepturilor digitale, unul dintre fondatorii organizației Open Rights Group și coordonatorul pe probleme de vot electronic al acesteia. A condus o echipă de 25 de observatori electorali care au monitorizat alegerile generale din 2007 din Marea Britanie, raportul rezultat ajutând să modeleze prioritățile reformei electorale astfel încât votul electronic nu se mai află printre prioritățile guvernului din Marea Britanie. De asemenea, a scris GNU.FREE, software-ul de vot electronic al Free Software Foundation înainte de a ajunge la concluzia că votul pe Internet este prea riscant pentru a fi folosit în alegeri.
  • Margaret MacAlpine, consultant pentru audituri post-electorale – Este o consultantă independentă pentru audituri post-electorale din Statele Unite. Cel mai important audit la care a participat a fost Programul Pilot de Limitare a Riscurilor Post-Electorale din California, care s-a desfășurat în intervalul 2011-2012. Înainte de aceasta, a auditat scrutine electorale în câteva districte din Florida și Connecticut.
  • Drew Springall, University of Michigan – Este un doctorand la University of Michigan, făcând cercetare în special în domeniile securității și vieții private.
  • Travis Finkenauer, University of Michigan – Este un doctorand la University of Michigan, făcând cercetare în special în domeniile securității și vieții private.
  • Zakir Durumeric, University of Michigan – Este un doctorand la University of Michigan, făcând cercetare în special în domeniile securității și vieții private.


2. Sistemul de vot electronic din Estonia

Estonia este singura țară din lume care folosește votul prin Internet la nivel național. Cu ocazia ultimului scrutin, cel din Martie 2015, pentru alegerea Parlamentului, 30,5% din alegătorii care au participat au folosit sistemul de vot prin Internet. Ca observație, statisticile alegerilor estoniene confirmă concluziile altor studii menționate în articolele precedente, și anume ca votul electronic nu mărește participarea la vot.

Pe parcursul unui scrutin de vot, sistemul de vot este disponibile timp de 7 zile drept una dintre metodele de vot anticipat, apoi există o perioadă de 3 zile în care voturile anticipate sunt centralizate și abia după aceea vine ziua votului clasic.

Una dintre pietrele de temelie ale sistemului de vot prin Internet din Estonia este sistemul național de documente electronice de identitate. Acestea sunt smartcard-uri care să îndeplinească funcții criptografice și sunt folosite în mod comun pentru autentificarea pe site-uri web, în special pentru servicii bancare și servicii de e-guvernare. Fiecare document de identitate are două perechi de chei asimetrice: una pentru autentificare și una pentru semnătura digitală.

Alegătorii își folosesc documentele de identitate pentru a se autentifica în sistemul de vot prin Internet și pentru a semna buletinul (virtual) de vot folosind software-ul client pus la dispoziție de autoritățile electorale pentru Windows, Mac și Linux.

Infrastructura de servere a sistemului de vot electronic este formată din 4 servere:

  1. Serverul de Trimitere a Voturilor (STV), care este singurul server accesibil publicului. Acesta acceptă conexiuni securizate de la clienții de vot, verifică dreptul de vot al alegătorului și trimite buletinul de vot mai departe, către serverele care nu sunt accesibile publicului prin Internet.
  2. Serverul de Stocare a Voturilor (SSV), care stochează toate voturile criptate pe perioada scrutinului electoral. Acesta le primește de la STV. Buletinele de vot sunt criptate de două ori atunci când sunt primite: prima dată, buletinul de vot este criptat cu cheia publică a serverului de numărare a voturilor (SNV) și apoi buletinul criptat este semnat digital de alegători folosind semnătura sa digitală de pe documentul de identitate electronic. SSV-ul verifică semnătura digitală și, dacă nu sunt apare nici o problemă cu semnătura, o îndepărtează și stochează doar buletinul de vot criptat și anonim.
  3. Serverul de Jurnal, care este un dispozitiv de monitorizare internă care colectează statistici de la STV și SSV.
  4. Serverul de Numărare a Voturilor (SNV), care contorizează rezultatele. SNV-ul nu este niciodată conectat la vreo rețea. Este folosit doar în etapa finală a scrutinului, când voturile criptate de pe SSV sunt scrise pe un DVD și transferate pe această cale pe SNV pentru a fi numărate. SNV-ul are un modul hardware de securitate (MHS) care conține cheia privată necesară pentru decriptarea buletinelor de vot. SNV-ul folosește MHS-ul pentru a decripta buletinele de vot și a contoriza rezultatele finale.

Codul sursă al STV-ului, SSV-ului și SNV-ului sunt publicate pe GitHub cu câteva săptămâni înainte de alegeri. Cu toate acestea codul sursă al serverului de jurnal și al clientului nu este publicat. Mai mult decât atât, întreaga infrastructură de servere nu a fost proiectată pentru verificabilitate de la un cap la altul. În practică, asta înseamnă că aceasta funcționează ca o cutie neagră în care trebuie să ai încredere că face ceea ce trebuie să facă.

Infrastructura de servere este configurată într-o ceremonie publică care are loc cu o săptămână înaintea alegerilor.

3. Observații de la alegerile din 2013 din Estonia

Prima parte a analizării sistemului de vot prin Internet din Estonia a fost observarea alegegerilor din 2013.  Halderman, Hursti, Kitcat și MacAlpine au mers în Estonia ca observatori acreditați și au observat funcționarea serverelor de vot. Apoi s-au întâlnit cu oficiali ai autorității electorale și cu dezvoltatorii sistemului de vot electronic. Nu în ultimul rând, au studiat codul sursă publicat, procedurile scrise și aproape 20 de ore de înregistrări video oficiale din timpul configurării sistemului, administrării sistemului și efectuării numărătorii voturilor. Rezultatul a fost identificarea unei întregi serii de probleme, începând de la controale procedurale inadecvate, la lipsuri în securitatea operațională, transparență insuficientă și până la vulnerabilități în codul publicat.

3.1. Controale procedurale inadecvate și lipsuri în securitatea operațională

Iată un citat direct din sumarul executiv al raportului: „Observarea modului în care sistemul de I-vot a fost administrat de organizatori a scos în evidență o lipsă de proceduri adecvate atât pentru operațiunile curente, de zi cu zi, cât și pentru tratarea evenimentelor anormale. Aceasta creează oportunități pentru apariția de atacuri și erori și îngreunează munca auditorilor atunci când este vorba de a determina dacă s-au luat măsurile corecte.

O analiză îndeaproape a înregistrărilor video publicate de organizatori relevă numeroase neglijențe chiar și când vine vorba de cele mai elementare practici de securitate. Aceste înregistrări arată lucrători care descarcă programe esențiale folosind conexiuni la Internet nesecurizate, care scriu parole și coduri PIN secrete în văzul camerelor și care pregătesc programele de de vot pentru distribuție către public pe calculatoare personale nesecurizate, printre altele. Acestea indica un nivel periculos de inadecvat de profesionalism în securitatea administrării sistemului care expune întregul sistem atacurilor și manipulării.”

3.2 Transparență insuficientă

Din nou, din sumarul executiv: „În ciuda unor gesturi pozitive către transparență – cum ar fi publicarea unor porțiuni din programe ca surse deschise și publicarea multor ore de înregistrări video documentând configurarea sistemului și tabularea rezultatelor – Estonia eșuează în a dovedi dincolo de orice îndoială că rezultatele sunt corecte. Pași critici ai procesului electoral au loc la adăpost de camere iar porțiuni potențial vulnerabile ale programelor nu sunt disponibile publicului pentru a fi analizare. (Deși doar publicarea codului sursă nu este suficienta pentru a proteja programele de probleme și atacuri.) Multe potențiale vulnerabilități și metode de atac ar fi imposibil de detectat bazându-ne doar pe informațiile furnizate publicului. Așadar, deși echipa de cercetători aplaudă încercările de transparență, până la urmă parți prea mari din sistemul de I-vot sunt invizibile publicului pentru ca alegătorii sceptici sau candidații sa poată fi convinși de corectitudinea rezultatelor.

Pentru a ilustra mai bine aceste lucruri, echipa a s-a înregistrat în timp ce au îndeplinit exact aceleași proceduri efectuate de organizatori în cele aproape 24 de ore de înregistrări de la alegerile din 2013. Cu toate acestea, din cauza unui malware injectat de echipă, intenționat, înaintea începerii înregistrării, rezultatele numărătorii finale au produs un rezultat incorect.”

3.3 Vulnerabilități în codul publicat

Părțile publicate ale programelor de pe serverele de vot prin Internet folosite în Estonia conțin, aproximativ, 17000 de linii de cod. Se pare că voluntari din comunitatea de securitate informatica din Estonia au analizat deja întregul cod disponibil, ceea ce este o mărturie a beneficiilor publicării codului sursă. Cu toate acestea, echipa de cercetători tot a reușit să descopere un număr de vulnerabilități care ar fi putut fi exploatate pentru a compromite funcționarea corectă a serverelor de vot.

4. Testarea experimentală a securității sistemului de vot electronic din Estonia

A doua parte a analizei a fost făcută în laborator. Echipa de cercetători a recreat în laborator infrastructura de servere folosită în timpul alegerilor în Estonia folosind codul sursa publicat pe GitHub de către autoritățile electorale din Estonia. Serverul de jurnal și alte componente software care nu au fost publicate au fost implementate pentru a păstra intactă funcționalitate sistemului. Modulul hardware de securitate (MHS) folosit de serverul de numărare a voturilor (SNV) a trebuit să fie simulat în software. Pentru că cheia publică de criptare a SNV-ului este hardcodată în software-ul client, acesta a trebuit să fie modificat pentru a înlocui această cheie publică.

Atacurile imaginate și testate în decursul experimentelor din laborator nu s-au bazat pe posibile vulnerabilități ale MHS-ului ținând cont că a fost folosit un MHS simulat.

4.1. Modelul de amenințare

După ce a fost creată aceast infrastructură de test, cercetătorii au încercat să o compromită, dându-și resursele și capabilitățile unui atacator sofisticat dar realist. Asta poate însemna un stat, o organizație criminală bine finanțată sau o persoană din interiorul organizației care organizează alegerile.

De când Estonia a introdus votul prin Internet, războiul cibernetic a căpătat o altă amploare, câteva exemple fiind spionajul chinez împotriva companiilor americane, sabotajul american al mașinilor de centrifugare nucleare iraniene sau atacurile britanice asupra unor companii de telecomunicații europene. Un număr din ce în ce mai mare posedă capabilități ofensive de securitate informatică iar investițiile în aceste capabilități cresc cu o viteză alarmantă prin toate mijloacele existente. În aceste condiții, trebuie considerat că un atacator are capacitatea de a obține informații detaliate despre sistemul de vot din diverse surse, cum ar fi cod sursa publicat, inginerie inversă sau orice altă cale. De asemenea, este ușor de presupus că un astfel de atacator are acces facil la suficiente resurse umane și materiale pentru a organiza și executa într-un interval scurt de timp un atac încununat de succes. Când vine vorba de atacuri asupra clientului, este ușor de presupus că un atacator cu resurse suficiente poate obține foarte ușor accesul la rețele de boți ori de pe piață or dezvoltându-și singur această capabilitate. Raportul anual din 2014 al PandaLabs prezintă o rată de infecție globala cu orice fel de malware de peste 30% din toate calculatoarele (30,42% ca să fim mai exacți). În aceste circumstanțe, integritatea calculatoarelor client nu este nici pe departe garantată. Nu în ultimul rând, dacă presupunem că un atacator nu ar putea să obțină acces la malware-uri deja existente de pe calculatoarele client, există întotdeauna alternativa folosirii înfloritoarei piețe de exploit-uri de ziua zero.

Luând toate acestea în considerare, devine clar faptul că modelul de amenințare în concordanță cu care a fost creat sistemul de vot Estonian este complet inadecvat.

4.2. Atacuri

Pornind de la acest model de amenințare, cercetătorii au fost în măsură sa creeze un număr de atacuri realiste atât asupra clienților cât și asupra serverelor sistemului de vor pe Internet din Estonia.

4.2.1. Atacuri asupra clienților

A fost implementat un atac realist și un număr de variante ale acestuia. Atacul de bază se bazează pe un malware care infectează calculatorul client și rulează în același timp cu software-ul client de vot prin Internet. Atacul se bazează pe o caracteristică a sistemului de vot prin Internet, care permite alegătorului să voteze de câte ori dorește în intervalul de 7-zile de vot în avans. Malware-ul se atașează la procesul clientului de vot prin Internet și capturează codurile PIN ale documentului de identitate al alegătorului. În acel moment, cât timp documentul de identitate este conectat la calculator, malware-ul poate să trimită oricând un vot care să înlocuiască votul alegătorului. Ținând cont că documentul de identitate este folosit în mod regulat pentru autentificare online pentru servicii bancare sau în alte scopuri, este ușor de presupus că documentul de identitate va fi conectat la calculatorul alegătorului cândva în intervalul de 7 zile de vot în avans. Malware-ul va fi, atunci, în măsură să trimită un vot care să-l înlocuiască pe cel al alegătorului fără ca alegătorul să știe că s-a întâmplat ceva.

O variantă a acestui atac evită să trimită un vot de înlocuire, ținând cont că ar putea fi trezite suspiciuni de apariția unui număr mare de voturi de înlocuire. Pentru a face asta, trebuie să compromită sistemul de verificare a votului, ceea ce înseamnă că malware-ul trebuie să infecteze nu doar calculatorul alegătorului ci și telefonul acestuia. Totuși, ținând cont că, în ziua de azi, este relativ obișnuit ca oamenii să-și sincronizeze telefoanele cu calculatoarele, acest atac devine fezabil.

4.2.2. Atacuri asupra serverelor

Fără a intra în prea multe detalii, iată încă un citat din sumarul executiv: „Sistemul de e-vot oferă încredere totală în serverul care numără voturile la sfârșitul procesului electoral. Voturile sunt decriptate și numărate în cutia neagră complet neobservabilă reprezentată de serverul de numărare a voturilor. Acest lucru creează, pentru un atacator care poate compromite acest server, o oportunitate de a modifica rezultatele numărătorii voturilor

Cercetătorii au demonstrat că pot infecta serverul de numărare cu un malware care fură voturi. În acest atac, un atacator de nivel statal sau o persoană necinstită din interiorul organizației care organizează alegerile inserează un malware infecțios și tăcut pe unul dintre calculatoarele folosite în procesul de pregătire de dinaintea alegerilor. Infecția se întinde prin intermediul DVD-urilor folosite pentru a instala sistemele de operare pe toate serverele de vot. Acest malware se asigură ca toate testele făcute pentru verificarea integrității programelor par sa treacă cu succes, deși programele au fost modificate. Modificările introduse de acest atac ar înlocui rezultatele procesului de decriptare a voturilor cu rezultatele dorite de atacator, schimbând, astfel, în mod complet silențios rezultatele scrutinului.”

5. Concluzie

Ținând cont de acestea, devine evident faptul ca sistemul de vot prin Internet folosit în Estonia poate fi compromis din cauza alegerilor de design ale acestuia bazate pe un model de amenințare depășit, a venerabilităților inerente de implementare, toate acestea fiind exacerbate de un management foarte lax al operațiunilor.

Recomandarea cercetătorilor este „Deși considerăm ca e-guvernarea are multe întrebuințări promițătoare, sistemul de I-vot din Estonia prezintă riscuri grave – alegerile pot fi furate, îngreunate sau compromise din punct de vedere al încrederii alegătorilor. Ținând cont de aceste probleme, recomandarea noastră urgentă este ca, pentru a menține integritatea sistemului electoral din Estonia, ar trebui ca folosirea sistemului de I-vot să fie imediat suspendată.”

Add new comment

Plain text

  • No HTML tags allowed.
  • Web page addresses and e-mail addresses turn into links automatically.
  • Lines and paragraphs break automatically.