Problemy z e-wyborami

W Polsce dopiero co zakończono te do Sejmu. Problemy mieliśmy nawet z głosowaniem korespondencyjnym. Tymczasem przy wyborach w niektórych krajach wykorzystuje się elektroniczne urządzenia zamiast kart do głosowania. Urządzenia te są podatne na manipulacje, a ich bezstronność stoi pod znakiem zapytania.

Papier i społeczna kontrola

Metoda papierowa, chociaż wydaje się archaiczna i jest pracochłonna przy liczeniu głosów, ma ważną zaletę - kontrola w komisjach wyborczych osób wywodzących się z różnych partii politycznych sprawia, że nie są możliwe ataki na dużą skalę, które mogłyby mieć znaczący wpływ na wynik wyborów.

Także w Polsce wybory odbywają się przy wykorzystaniu papierowych kart, na których wyborca oznacza kandydata. Metoda papierowa, chociaż wydaje się archaiczna i jest pracochłonna przy liczeniu głosów, ma jedną ważną zaletę - społeczna kontrola w komisjach wyborczych osób wywodzących się z różnych partii politycznych sprawia, że nie są możliwe ataki na dużą skalę, które mogłyby mieć znaczący wpływ na wynik. Próby zastąpienia kart przez elektroniczne urządzenia wskazują, że nadal elektroniczne terminale wyborcze nie zapewniają bezpieczeństwa - są podatne na ataki.

Elektroniczne terminale do głosowania są wykorzystywane między innymi w Indiach i Stanach Zjednoczonych. Indyjska demokracja jest największa na świecie pod względem liczby obywateli, zatem dla sprawnego przeprowadzenia wyborów zdecydowano się na elektroniczne urządzenia do głosowania. Stosowany tam terminal jest prosty, ma na stałe wpisany kod programu, pamięć EEPROM do przechowywania wyników oraz wyświetlacze LED i zestaw przycisków do głosowania połączony kilkumetrowym kablem. Terminal nie ma żadnego interfejsu komunikacyjnego ani systemu operacyjnego, więc wydaje się odporny na ataki. Niestety można wprowadzić do niego podrobiony moduł z fałszywym wyświetlaczem. Moduł opracowany na Uniwersytecie w Michigan posiada wbudowany mikroprocesor oraz moduł komunikacji bezprzewodowej, za którego pomocą można wpływać na wyniki wyborów z telefonu klasy smartphone znajdującego się w zasięgu.

Amerykański terminal wyborczy

W USA najpopularniejszym terminalem do głosowania był AccuVote TS firmy Diebold. Dokładną analizę podatności tego terminala przeprowadzili już dwa lata temu badacze A. Feldman, J. A. Halderman i E.W. Felten z uniwersytetu Princetown. Wyniki badań udowodniły ponad wszelką wątpliwość, że terminal jest podatny na atak, polegający na wykorzystaniu wirusa komputerowego do zmiany wyników głosowania. Do wprowadzenia wirusa można wykorzystać podmienioną na chwilę kartę pamięci, można również zmodyfikować pamięć EPROM, ale najbardziej prawdopodobne jest wykorzystanie wirusa, który przenosiłby się między komputerami na kartach Flash (wykorzystywanych do konfiguracji i pobierania wyników głosowania z urządzenia, a także do aktualizacji firmware’u). Przykładowy wirus napisany przez badaczy udowodnił, że do zarażenia wielu terminali w dłuższej perspektywie wystarczy dostęp do jednej maszyny lub jej karty pamięci. Atak przeprowadzony tą drogą jest nie do wykrycia przez komisje wyborcze, gdyż liczba oddanych głosów jest zgodna z protokołem, logi i liczniki w oprogramowaniu pokrywają się z rezultatami.

Niestety, wyniki głosowania są fałszywe

Terminale AccuVote TS, obecnie sprzedawane przez firmę Election Systems & Software, są nadal podatne na ataki, tym razem w innej formie - modyfikacji urządzenia, która nie zostawia śladów w oprogramowaniu. Zamiast złośliwego kodu do urządzenia wprowadzany jest nieduży moduł, który ingeruje w informacje przesyłane z panelu dotykowego do mikroprocesora terminala. Wprowadzony podzespół jest typową płytką z mikroprocesorem, dostępną w cenie około 11 USD za sztukę. Procesor ten na chwilę wyłącza zasilanie panelu, w tym czasie dokonuje zmian wyboru kandydatów, a następnie zatwierdza te zmiany i włącza zasilanie ponownie. Zmiany te są wprowadzane bardzo szybko, przechodząc praktycznie bez zauważenia. Badacze z grupy zajmującej się oceną podatności w Narodowym Laboratorium Argonne w stanie Illinois udowodnili, że taki atak jest możliwy do przeprowadzenia przez średnio zaawansowanego miłośnika elektroniki, nie wymaga wynajmowania specjalistów do analizy wykorzystywanego oprogramowania BallotStation. Chociaż powszechnie uważa się, że terminale do głosowania powinny być dobrze pilnowane, niejednokrotnie są pozostawione bez nadzoru przez wiele godzin, a nawet dni przed głosowaniem.

Obecnie AccuVote TS nadal jest wykorzystywany w niektórych stanach, mimo stopniowego wycofywania.

Terminal pod kontrolą

Innym terminalem wykorzystywanym w USA jest Sequoia AVC Advantage firmy Dominion Voting Systems. Analiza przeprowadzana rok temu udowodniła, że w urządzeniu można zmodyfikować firmware bez naruszenia plomb, samo urządzenie nie jest chronione przed złośliwym oprogramowaniem. Błąd w aplikacji sprawia, że umieszczenie odpowiednich plików na karcie konfigurującej umożliwia modyfikację pracy urządzenia, w tym infekcję go programem, który powoduje nierzetelność głosowania. Badacze z Uniwersytetu w Princetown udowodnili, że takie zmiany można wprowadzić zdalnie, bez zgody i wiedzy pracowników komisji wyborczej, jedynie infekując komputer wykorzystywany do konfiguracji urządzeń do głosowania (a jest nim zazwyczaj typowy laptop z systemem Windows). Inną drogą jest przejęcie kontroli nad modułem audio, który całe oprogramowanie przechowuje w pamięci Flash. Najbardziej prawdopodobnym scenariuszem jest jednak infekcja stacji roboczej z oprogramowaniem WinEDS, przeznaczonym do konfiguracji terminali. Przejęcie kontroli nad jednym takim komputerem umożliwia zainfekowanie wszystkich terminali, które były programowane z jego użyciem. Atak przygotowany w ten sposób, mógłby objąć wiele maszyn i pozostałby bardzo trudny do wykrycia. Badacze z Argonne uzyskali bardzo podobne wyniki także teraz, przy czym według nich możliwa jest dwukierunkowa komunikacja z terminalem.

Czy potrzebujemy terminali do głosowania?

Jednym z założeń konstrukcji i eksploatacji terminali do głosowania było zachowanie tajemnicy jego konstrukcji. Była to jednak mało znacząca przeszkoda, gdyż wystarczy dostęp do jednego urządzenia, by móc dokonać analizy jego podatności i opracować atak. Zatem aby wybory były bezpieczne, specyfikacja urządzenia powinna być jawna, uniemożliwiając ukrycie przez producenta luk w bezpieczeństwie terminala lub protokołów komunikacyjnych. Należy także stosować uznane algorytmy kryptograficzne, prawidłowo zaimplementowane.

Ponieważ opracowanie specjalizowanego sprzętu jest bardzo kosztowne, konstruktorzy korzystają ze standardowych komputerów klasy PC, wyposażonych w typowy system Windows - ze wszystkimi wadami takiego rozwiązania. Przykładem działalności hackerów było uruchomienie gry Pac Man na terminalach do głosowania AVC Advantage oraz wyświetlanie humorystycznych tekstów na przejętych terminalach AccuVote.

Dzisiejsze terminale do głosowania można zatem bardzo szybko "usprawnić", by fałszowały wyniki, a jeśli urządzenie jest łączone z jakimkolwiek innym komputerem, atak możliwy jest zdalnie, za pomocą złośliwego oprogramowania. Takie ataki można przeprowadzić na dużą skalę, co mogłoby mieć znaczący wpływ na wynik wyborów.

Według specjalistów, zamiast wykorzystywać elektroniczne terminale do głosowania, najlepiej maksymalnie usprawnić proces liczenia i raportowania głosów przez komisje wyborcze. Ciągłe utrzymywanie i bezpieczny rozwój urządzeń do głosowania jest kosztownym przedsięwzięciem, dlatego w przypadku kraju takiego jak Polska znacznie lepiej sprawdzi się model klasyczny.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200