Niebezpieczne głosowanie

Atak ten jest praktycznie niemożliwy do wykrycia bez analiz mechanicznych, wykrywających próby otwarcia urządzenia. Nawet jeśli laboratorium kryminalistyczne wykryłoby taką manipulację (co jest mało prawdopodobne), to odzyskanie prawdziwych wyników głosowania jest niemożliwe, gdyż nigdzie nie są przechowywane. W tak dużym kraju jak Indie, proces liczenia głosów trwa tydzień, zatem potencjalny intruz miałby dość dużo czasu na przeprowadzenie ataku.

Amerykański terminal wyborczy

W USA najpopularniejszym terminalem do głosowania jest AccuVote-TS firmy Diebold. Dokładną analizę podatności tego terminala na ataki przeprowadzili badacze: A. Feldman, J. A. Halderman i E.W. Felten z uniwersytetu Princetown. Wyniki badań udowodniły ponad wszelką wątpliwość, że terminal jest podatny na atak polegający na wykorzystaniu wirusa komputerowego do zmiany wyników głosowania. Aby uniknąć wykrycia, atak kradzieży głosów musi przenosić głosy pomiędzy kandydatami, nie zmieniając przy tym ogólnej ilości oddanych głosów. Chociaż dane są zapisywane w zaszyfrowanej postaci, nie stanowi to żadnej przeszkody dla złośliwego oprogramowania infekującego system. Nawet logi są zachowywane w standardowej pamięci, a zatem są podatne na modyfikacje. Do wprowadzenia wirusa można wykorzystać podmienioną na chwilę kartę pamięci, można zmodyfikować pamięć EPROM, ale atak ten może zostawiać ślady. Najbardziej niebezpiecznym modelem ataku jest wykorzystanie wirusa, który będzie przenosił się między komputerami na kartach Flash (wykorzystywanych do konfiguracji i pobierania wyników głosowania z urządzenia, a także do aktualizacji firmware'u) i zarażał wszystkie maszyny do głosowania. Taki wirus został napisany przez badaczy, przez co udowodnili oni, że do zarażenia wielu terminali w dłuższej perspektywie wystarczy dostęp do jednej maszyny lub jej karty pamięci.

Amerykański terminal Diebold AccuVote-TS

Amerykański terminal Diebold AccuVote-TS

Złośliwy kod może być wprowadzony wprost do oprogramowania BallotStation odpowiedzialnego za głosowanie (albo za pomocą jego rekompilacji, albo przez modyfikację binariów), ale także może być uruchomiony jako osobny proces, gdyż system operacyjny urządzenia AccuVote (jest nim Microsoft Windows CE 3.0) nie chroni skutecznie pamięci. Złośliwy kod można także wprowadzić modyfikując bootloader lub wprowadzając warstwę wirtualizującą pomiędzy bootloaderem a systemem operacyjnym. Urządzenie nie zawiera żadnej ochrony przed powyższymi atakami i złośliwe oprogramowanie może wpływać na wynik głosowania w dowolnym momencie. Ponadto, można je napisać w taki sposób, by działało jedynie wtedy, gdy jest potrzebne, czyli w dzień wyborów, gdy terminal jest w trybie głosowania. Atak przeprowadzony tą drogą jest nie do wykrycia przez komisje wyborcze, gdyż liczba oddanych głosów jest zgodna z protokołem - logi i liczniki w oprogramowaniu pokrywają się z rezultatami. Niestety, wyniki głosowania są fałszywe.

Wirus przenosi się za pomocą karty lub programu

W niektórych stanach USA (m.in. New Jersey, Pennsylvania, Louisiana) wykorzystuje się inny terminal, AVC Advantage firmy Sequoia Voting Systems. Urządzenie to można łatwo zmodyfikować poprzez wymianę firmware'u, przy czym nie narusza się żadnej z plomb. Modyfikacja ta jest bardzo prosta, niemniej wymaga otwarcia urządzenia. Znacznie prostszym sposobem jest wykorzystanie karty pamięci, która faktycznie jest zwykłym modułem PCMCIA i wystarczy zapisać złośliwy kod do katalogu INSTALL. Błąd w konstrukcji urządzenia sprawia, że umieszczenie odpowiednich plików na karcie konfigurującej głosowanie umożliwia modyfikację pracy urządzenia, w tym infekcję go programem, który powoduje nierzetelność głosowania. Badacze z Uniwersytetu w Princetown udowodnili, że takie zmiany można wprowadzić zdalnie, bez zgody i wiedzy pracowników komisji wyborczej, jedynie infekując komputer wykorzystywany do konfiguracji urządzeń do głosowania (a jest nim zazwyczaj typowy laptop z systemem Windows).

Kolejnym sposobem na przejęcie kontroli nad terminalem jest wykorzystanie modułu audio, który jest osobnym komputerem. Moduł ten jest podatny na infekcje, gdyż całe oprogramowanie przechowuje w pamięci Flash. Zdobywając kontrolę nad modułem audio za pomocą podmienionego modułu, można przygotować wirusa, który zainfekuje dany terminal, a następnie będzie się roznosił właśnie z wykorzystaniem kart pamięci.

Najbardziej prawdopodobnym scenariuszem jest jednak infekcja stacji roboczej z oprogramowaniem WinEDS, przeznaczonym do konfiguracji terminali. Przejęcie kontroli nad jednym takim komputerem umożliwia zainfekowanie wszystkich terminali, które były programowane z jego użyciem. Ponieważ zarażenie typowej stacji roboczej z Windows jest stosunkowo proste, technicznie możliwe jest napisanie dedykowanego wirusa lub sporządzenie odpowiedniego dodatku do któregoś z popularnych koni trojańskich (na przykład pakietu ZeuS). Celem takiego oprogramowania byłoby wyszukiwanie stacji roboczych z oprogramowaniem WinEDS i umieszczanie w modułach dla terminali uprzednio przygotowanego wirusa. W ten sposób atak mógłby odbyć się zdalnie, anonimowo, a cała operacja wpływania na wynik wyborów byłaby trudna do wykrycia.

Czarna skrzynka kłamie

Jednym z założeń, które przyświecały wdrożeniu urządzeń do głosowania w wielu krajach, było zachowanie tajemnicy konstrukcji terminala. Przeszkoda ta okazała się jednak mało znacząca, gdyż wystarczy dostęp do jednego urządzenia, by móc dokonać analizy jego podatności i opracować atak. Zatem, aby wybory były bezpieczne, specyfikacja urządzenia powinna być jawna, uniemożliwiając ukrycie przez producenta luk w bezpieczeństwie terminala lub protokołów komunikacyjnych. Należy także stosować uznane algorytmy kryptograficzne, prawidłowo zaimplementowane.

Należy pamiętać, że dzisiejsze terminale do głosowania można bardzo szybko "usprawnić", by fałszowały wyniki, a jeśli terminal jest łączony z jakimkolwiek innym komputerem, atak możliwy jest zdalnie, przy pomocy złośliwego oprogramowania. Takie ataki można przeprowadzić na dużą skalę, co mogłoby mieć znaczący wpływ na wynik wyborów.

Według specjalistów, zamiast wykorzystywać elektroniczne terminale do głosowania, najlepiej maksymalnie usprawnić proces liczenia i raportowania głosów przez komisje wyborcze. Ciągłe utrzymywanie i bezpieczny rozwój urządzeń do głosowania jest kosztownym przedsięwzięciem, dlatego w przypadku kraju takiego jak Polska, znacznie lepiej sprawdzi się model klasyczny.


TOP 200