Інтернет-голосування та шкідливе програмне забезпечення: приклад Швейцарії
Останнім часом в інформаційному просторі з’являється все більше розмов про наступні вибори. Дехто навіть називає орієнтовні дати їх проведення – наприклад, 31 березня 2024 року для президентських виборів. Втім, лишається відкритим важливе питання: як саме можна голосувати, якщо перемоги не буде і Росія нікуди не подінеться?
Більше 5 мільйонів українців нині перебувають за кордоном. Також багато людей переїхали у західні регіони України. Виборчі дільниці, які зараз існують на цих територіях, просто не зможуть пропустити таку кількість виборців, тому потрібно шукати інших рішень. Однією з панацей називають голосування через інтернет – наприклад, у "Дії". Ми вже звикли, що в цьому додатку можна швидко отримати багато послуг, ковідні сертифікати і навіть посвідчення водія. Здавалося б: додаємо туди послугу "вибори" – і всі голосують швидко й дешево. Однак викликів, пов’язаних з інтернет-голосуванням, дуже багато.
Як приклад вдалої реалізації цієї технології часто наводять Швейцарію. Ця країна славиться своїми референдумами з будь-якого питання, демократичністю та безпечністю (справді по-швейцарськи). А ще тут скоро відбудуться федеральні вибори. Виклики голосування в мережі відрізняються від класичного – від "транзитного сервера ЦВК" до людини з валізою грошей, яка буде обходити виборців і допомагати "правильно" проголосувати. Це приклад суто технічних/процедурних проблем, які можуть виникнути.
Швейцарія – країна, яка хотіла зробити все правильно і в процесі зрозуміла, що важливою частиною правильного вибору є ретельне дослідження, яке не залежить ні від постачальника системи, ні від урядового органу, який цю систему купує. Дослідження не було надто дорогим – близько пів мільйона доларів США – але це пів мільйона, які більшість штатів США та інших країн не витрачали, перш ніж поспішати з розгортанням системи. Врешті, швейцарський уряд зробив такий висновок: "Система електронного голосування, яку зараз розробляє Пошта Швейцарії, була значно вдосконалена. Однак все ще необхідні подальші розробки, зокрема суттєві".
Як і будь-яка система інтернет-голосування, швейцарська технологія має вразливі місця: скажімо, зловмисники можуть спотворити підрахунок голосів. А якщо тисячі комп'ютерів виборців будуть зламані шкідливим програмним забезпеченням, воно може змінити голоси під час їх передачі. Швейцарія "розв’язала" проблему зловмисних інсайдерів по-своєму – офіційно заявивши, що не розглядатиме цю модель загроз під час оцінки кібербезпеки.
Система електронного голосування Swiss Post (яку використовують у Швейцарії) підходить до проблеми шкідливого програмного забезпечення на комп'ютері виборця у цікавий спосіб, який варто сприймати серйозно. Кожному виборцю надсилають аркуш паперу зі спеціальними "кодами повернення", які ніколи не бачить комп'ютер виборця, тож будь-яке потенційне шкідливе програмне забезпечення не може їх дізнатися. Кожен виборець отримує інструкції протоколу, дотримуючись якого, він звіряє коди повернення, що відображаються на екрані, з кодами на папері. Також тут варто згадати, як "уважно" люди читають інструкції та дотримуються їх – якщо можна просто тиснути "далі".
Андреас Кустер – комп'ютерний науковець зі Щвейцарії, який живе за кордоном, і кілька місяців тому він отримав поштою виборчий пакет зі свого рідного кантону Санкт-Галлен. Він виявив, що система електронного голосування припустилася базової помилки: інструкції для перевірки зворотного коду не надруковані на папері, а є лише на самому вебсайті для голосування. Тож якщо комп'ютер виборця зламаний шкідливим програмним забезпеченням, воно може спрямувати людину на фальшивий вебсайт з іншими інструкціями та нікому не потрібним протоколом. Або, як демонструє Кустер, шкідливе програмне забезпечення може встановити плагін для браузера, який змінює поведінку справжнього вебсайту. Дослідник детально пояснює ці проблеми у своєму блозі.
Кустер створив маніпульований шкідливим програмним забезпеченням сайт. Замість того, щоб показувати коди верифікації для користувача, який має порівняти їх із кодами на папері, сайт просить виборця ввести ці коди у форму. Оскільки вебсайт не знає, що написано на папері, користувач заповнює цю вебформу лише "для галочки". Звичайно, Кустер не використовував вірус бот-мережі для розповсюдження свого шкідливого програмного забезпечення серед реальних виборців! Він тримає його у своїй системі і демонструє у відеоролику.
Як бачимо, онлайн-голосування небезпечне. Можливо, воно придатне для якихось малозначущих виборів, але в нас таких я не пригадаю. Вихід лише один – папір.
Насамкінець я хочу надіслати вам листівку. Заодно ми дізнаємося, скільки часу може йти бюлетень з України до вас і назад. Форма для зголошення тут: https://forms.gle/FhJe61YokMxA2o7k7
Просто як у нас. Звільнили кіберфахівців - і кількість атак одразу різко зменшилась. Просто тому, що не було більше кому їх навіть фіксувати.
Чем больше демократии тем легче найти повод для вторжения таких как РФ.
Просто тут "В" має зміст не "частина НАТО", а як "прутень в ...". Ну і модель безпеки в Швейцарії, що б там не казали про "танкові навчання в Швейцарії" та "там кожен в війську, ну майже", однозначно спирається на те, що даного конкретного прутня навколішє ...НАТО... буде скоріше гладити, а не ламати. Тож аналогія - доречна.
А як "вплинути" на, наприклад, умовний "виборчий блокчейн", публічний і архіви якого за кожну годину дня виборів - є у сотень бажаючих його зберігти, а отже і будь-які зміни та "вплив" - одразу становляться всім відом?!? Ніяк.
Саме тому ніхто, навіть в "батьку демократії" - США (бо мати - Великобританія), не збирається реально реалізовувати повністю "автоматичні" онлайн вибори. В кращому випадку - якісь голоси збираються через виборчих представників, яких на всю країну декілька сотень і які можуть "проголосувати", абсолютно чесно, так, як "правильно", звісно.
1) До державного управління приходить амбітна самозакохана людина без досвіду як власного життя, так і взагалі.
2) Сівши за важелі машини, яка їде і сама по собі, вона відразу починає шукати, що б змінити. При цьому вона орієнтується не на потреби країни, а на (дурно)модні в цій країні слова.
3) Ніскільки не переживаючи, що вона не в ігровому залі, ця людина із азартом починає говорити ці (дурно)модні слова і по можливості втискати їх в реальність.
4) Застав дурня Богу молитися... а що робити, коли їх ніхто не заставляє, коли вони самі рвуться?
1. Існує статистичне спостереження в області виборів: "по першим 1.5-3% дільничних протоколів в ніч голосування з 95% точності визначається переможець виборів та наступні 2 місяця".
2. Тож "технологія транзитного серверу" була така:
3. Влада отримала перші відсотки протоколів і побачила - ХТО перемагає (звісно, Ющенко).
4. Влада ВІДКЛЮЧИЛА всю систему збору інформації.
5. Влада ТЕЛЕФОНОМ І ГОЛОСОМ подала команду в луганську та донецьку область.
6. Влада через 2 години ВКЛЮЧИЛА всю систему збору інформації.
І о ДИВО!!! З луганської і донецької області через систему масово прийшли "уточнені протоколи", в яких явка раптово підвищилась з 60% до 90-95%, а за "правильного" кандидата - проголосували фактично всі, хто ніби-то бюлетені отримав. І ось так янучарин "виграв вибори".
Саме тому навесні 2005 року повністю згоріли архіви в місті Донецьку, в яких і зберігались всі бюлетні.
Вся ця технологія в одному з номерів 2005 року була описана на цілий розворот в тижневику "Дзеркало Тижня". З фаміліями виконавців "технології" в ЦВК.
Ну а ваше невігластво можете залишити в подальшому при собі. І не лізти в речі, в яких нічого не розумієте. Тобто більше нічого не писати на тему автоматизації виборчих процесів.
У нас же надо разрабатывать систему с очень не простыми для обычных баз данных требованиями, например: что бы в принципе, никто (даже авторы Системы), не могли вносить правки в базы данных с результатами голосований; б) проголосовавший избиратель после выборов мог в любой момент проверить как засчитан его голос; и т.д.
Так, что бы никто в этой стране, ни Президент ни разработчик софта, не мог вмешаться в результаты выборов.
Було б все просто так ламати - то вже б давно всі все зламали.
Всі ті атаки давно відомі і є захист як ім протидіяти. Щоб не можно було змінити данні які перевіряєш, є підхід перевірки HMAC сигнатур. Ці статті від профанів які ніхрена не тямлять в айті.
Реальна проблема може бути що пенсіонери, та деякі люди в селах не дуже знайомі з айті та Дія - то там частково можна по старінке підрахувати через дільниці. Та ось солдати та ті що за кордоном точно розберуться як зі смартфона проголосувати.
То просто ЦВК лобіює і боіться що онлайн вибори вбьють це корумповане падло та призведе до того що іх розгонять. А вже давно треба.
Например, когда у вас в банке пропадут деньги-- вы это обнаружите и поднимите крик, а когда в процессе или после выборов у вас украдут ваш голос-- вы об этом даже не узнаете....
И так далее....
При электронном голосовании вы нажимаете кнопку и отдаете голос... а что с вашим голосом дальше происходит вы не знаете....
Насправді ніякої відмінності немає - будь-яку інформацію можна захистити достатньо надійно подібно до інформації про гроші.
І Ви тут якраз описали, який основний принцип цього захисту у банках, - це контроль свого рішення клієнтом (суб'єктом). - Це просто і надійно:
Запит від перевіреного представника системи:
А) "Ви замовили виконати таку-то операцію (щоб отримати такий-то результат). Ви підтверджуєте дану операцію?"
Б) "Щойно Вами була виконана така-то операція (її результат такий-то). Якщо Ви не робили цього, будь ласка, повідомте нам про це."
"Такого-то числа Ви проголосували так-то. Це правильна інформація?" ( Так / Ні ).
никто об этом не спорит
Но также всегда можно оставить закладку в программе, которая позволит в нужный момент несанкционированно вмешиваться в выборы.
А есть еще вопрос обеспечения тайны голосования. Как вы докажете что при голосовании через смартфон , избиратель сделал это добровольно, без присутствия других лиц (это запрещено законом) ?
Если бы все было так просто как вы говорите , все передовые страны давным давно бы перешли на электронное голосование.. Ан нет, не могут отказаться от бумажных носителей, да еще и с живыми печатями и с наблюдателями на участках, с возможностью повтрорного пересчета и многоступенчатой системой контроля и т.д.
Вмешательство в систему выборов возможно и на последующих этапах, например методом внесения изменений в базу данных голосов.
Уровни защиты давно изобретены, HMAC сигнатура исключает подмену содержимого обмениваемыми пакетами. В приват банке уже давно изобретена биометрическая авторизация проводимых важных платежей. Реализовать проверку и отображение в Дие верификации что голос сохранен ровно так как ты хотел - тоже можно без проблем.
Якщо зробити таку селекцію, то голосування в Україні буде більш адекватним та справедливим.
Складається враження, що Пошта Швейцарії намагається винайти якесь дуже сумнівне виправдання своєму бажанню переміщувати папірці по країні.
Дійсно, нащо ж телефон, мобільний телефон, електронна пошта, інтернет,
коли є пошта, яка хоче доставляти паперові повідомлення туди і сюди?
Це навіть не смішно, а тупо, що Пошта Швейцарії "забула" про те, що Швейцарія - це країна, яка відома на весь світ надійністю своїх банків...
А у банків є системи надійного захисту інформації. І вони працюють.
Так, банки працюють здебільшого з інформацією про гроші, іноді - про інші "цінні папери" (фактично - це інформація про деякі права чи зобов'язання).
Захист цінної інформації про вибір громадян може бути реалізований подібно до захисту іншої цінної інформації, наприклад (але не винятково), про гроші чи іншу власність (чи інші права).
Це такий спосіб обману. Ним користуються багато політиків у всьому світі. Тим більше - в Україні.
Наприклад, Януковоча вдалося привести до думки про необхідність віддати владу тільки шляхом повстання Майдану і ціною багатьох людських життів. І це один із дуже небагатьох винятків із описаного вище правила.
Все це так влаштовано всупереч самій логіці і смислу ідеї про делегування своєї влади людьми іншим людям, які стають їхніми "депутатами", тобто представниками.
Тому що якщо я вирішую, що якась людина більше не представляє моїх інтересів, то логічно було би негайно забрати мій голос у цього представника і, наприклад, передати його якійсь іншій людині, зробивши її моїм новим представником. І ця логіка вже діє у деяких галузях: свого адвоката можна поміняти у будь-який час, можна поміняти свого перукаря, свого продавця-постачальника будь-яких товарів... Навіть чоловіка чи дружину можна поміняти у будь-який час... А от "депутата" чи "президента" - ні. - Але це - лірика, а логіка каже, що у кожного виборця має бути право поміняти свого політичного представника у будь-який час, як тільки виборець вважатиме це за потрібне. Інакше "незмінний представник" цілком може представляти інтереси не того виборця, який делегував йому свій голос, а свої власні інтереси. - Це означає НЕВІДПОВІДНІСТЬ СИСТЕМИ.
При цьому ... ... --> https://continuousdemocracy.blogspot.com/ continuousdemocracy.blogspot.com
Для цього можна запропонувати 2 режими чи типи сигналів:
А) Сигнал про незгоду виборця з його представником без відкликання голосу виборця.
Б) Сигнал-рішення виборця про відкликання його голосу від даного представника цього виборця (і про передачу його голосу іншому (новому) представнику).
Має бути ще режим прямої демократії, тобто можливість виборця самостійно віддавати свій голос за чи проти кожного конкретного рішення без посередництва будь-яких представників.
Все це має бути доступне не тільки на виборах (1 раз на 4 чи 5 років), а у будь-який час.
Це все вже можливо технічно здійснити завдяки ******** інформаційним технологіям.
... ...
Створити програму (в т.ч. як мобільний додаток, тобто, для різних ОС), який представляв би користувачу можливості як громадянина, як виборця. Наприклад:
....... 1. Проголосувати (В БУДЬ-ЯКУ МИТЬ ЧАСУ щодо БУДЬ-ЯКОГО ПИТАННЯ, в т.ч. [проекту] закону, постанови чи ін. офіційних рішень (чи їхніх проектів) - будь-якого рівня системи (державного, корпоративного, громадського чи ін.) управління). В т.ч. це передбачає можливість (у будь-який час) змінити своє рішення на інше, в т.ч. і повернутися до якогось минулого варіанту. Думаю, бажано зберігати історію таких змін.
... ...
Думаю, тут бажаний деякий стандарт для управлінських рішень - таблиця:
* ціль рішення;
* порівняння стану "як є" з "як має бути" - явно описати плюси і мінуси відносно заявленої цілі та інших пріоритетних цілей (імовірно, треба мати якийсь реєстр пріоритетних цілей, тобто, цінностей для цієї функції);
* засоби, способи, заходи, як досягти цієї цілі (у порівняльній таблиці бажано враховувати наслідки різних способів досягнення заявлених цілей);
* ризики і робота з ними: від яких можна ухилитися, які неминучі, але можна зменшити тяжкість наслідків, неминучі, але чи вдасться їх пережити - і про всі: якими засобами це можна зробити.
- Тобто, це стандартний алгоритм управління шляхом аналізу проектів рішень, їх оцінки і власне, прийняття чи відхилення рішень.
... ...
Деякі питання чи класи питань можуть бути зарегламентовані так, щоб щодо них "директивний" режим був частково чи повністю обмежений деякими бар'єрами, наприклад, "прохідним бар'єром" (кількість голосів для зміни не менше заданого значення або певною паузою в часі).
... ...
"Делегувати свій голос" - що це означає? - Тільки "директивний"? - Думаю, "консультативний" голос представника має показувати і проекцію його "директивного" голосу, тобто кількість голосів, яких він представляє (його "політичну вагу"), але і (там же) "консультативні" голоси самих представлених ним громадян-виборців (які можуть відрізнятися від позиції цього їхнього представника), адже його виборці можуть змінити представника у будь-яку мить часу.
... ...
... ...
Звісно, тут ще треба регламенти продумати, як різні питання, проекти рішень мають створюватись чи видалятися з часом (якщо останнє взагалі потрібно).
І, вочевидь, одним з основних питань (ключових факторів) при такій системі буде питання громадянства - регламенти його набуття та втрати. Імовірно, ************ різні проміжні статуси (політичний притулок, права особи без громадянства, тощо).
... ...
- немає такої спеціальної системи саме для аналізу і оцінки рішень (тобто, нема професійної технології управління [через рішення і самими рішеннями]),
- нема чіткої і гнучкої системи делегування голосів = прав представникам,
- немає "консультативного" і "директивного" режиму (є тільки один з них),
- немає фонової перевірки цілісності множини рішень акаунта і можливості "ремонту акаунта" (та деяких інших можливостей безпеки з п.5).
Думаю, ці інструменти можуть дати дуже сильний ефект. Адже це дозволить значно збільшити міру точності і адекватності (відповідність до дійсності) зворотного зв'язку в системам управління у державі на різних рівнях (імовірно, це може бути застосовним і для деяких інших корпоративних систем, наприклад, комерційних чи громадських). І значить, це збільшить міру стійкості системи, тобто, безпеки.
---
Але самостійно я навряд впораюся швидко з таким проектом, тому залюбки ділюся цими ідеями з людьми, які зможуть допомогти здійснити їх.
this is message to You - 2homosapiens
Джерело - https://continuousdemocracy.blogspot.com/ continuousdemocracy.blogspot.com
Как вы докажете что при голосовании через смартфон , избиратель сделал это добровольно , без присутствия других лиц (это запрещено законом) ? Или что он во время голосования был в адекватном психологическом состоянии ?
расскажите пожалуйста, как вы собираетесь защитить базу данных собранных голосов от вмешательства того же создателя системы выборов ? (в любой программе может быть оставлена закладка, позволяющая вносить коррективы)
это только часть возможных проблем....
Люди збираються на виборчу дільницю, де за дотриманням правил слідкують інші люди. Потім виборці заходять у "кабінки" і там роблять на бюлетені помітку про свій вибір. Потім вкидають папірець в "урну".
Що заважає бажаючим обмежити свої дії подібними місцем і процедурою?
(Наприклад, задекларувати, що вибір даного виборця може бути здійснений тільки у спеціальних умовах: на виборчій дільниці і в присутності виборчої комісії згідно, тобто, відповідно до традиційної процедури, а в інший час і в іншому місці спроби здійснити вибір будуть вважатися шахрайськими атаками і автоматично відсікатися (з автоматичним початком розшуку шахраїв)). Зняти ці добровільні обмеження виборець може там же - на виборчій дільниці в присутності виборчої комісії і спостерігачів - це буде його вибір.
Але думаю, такі обмеження будуть непопулярні, бо як і з грішми люди довіряють банкам і їхнім уповноваженим співробітникам або як через "гарячу лінію" Нової Пошти можна розв'язати якісь питання, виправити помилки чи захиститися від шахрайства, так і з виборами можна підтримувати високий рівень захисту і надійності системи в поточному режимі зворотнього зв'язку.
Що є начебто достатньою умовою захисту вільного вибору громадян у паперових виборах?
- ПРИПУЩЕННЯ про те, що виборча комісія не порушує закон, тобто видає тільки по 1 бюлетеню на кожного 1 виборця, який прийшов голосувати з відповідними документами, що посвідчують особу, і який є у реєстрі виборців, приписаних до цієї дільниці, і т.д..
І ми точно знаємо, що ця система ніяк не захищена від порушень з боку влади, якщо і члени комісії, і "спостерігачі" змовились і сфальсифікували результати голосування. Дуже просто: влада друкує скільки завгодно зайвих бюлетенів і їх передають виборчій комісії, яка забирає бюлетені зі справжнім вибором громадян і замінює їх на такі ж самі справжні, але незаконно додані бюлетені з такими результатами, яких хочуть порушники (як правило, це влада і члени виборчої комісії та "спостерігачі", які змовилися заради спільної цілі - залишити наявну владу без змін, щоб усім їм залишитися на поточних посадах + можливо, за підкуп). Після таких фальсифікацій вже ніякі "перерахунки" нічого не виправлять - тільки заново провести вибори доведеться, щоб виправити цю підміну бюлетенів... Але ж хіба злочинці дозволять проти себе діяти і себе викрити? (Ні.)
У Росії та Біларусі інших, тобто, чесних виборів вже давно немає - є тільки отака брехня. А хто не згодний, тих залякують або знищують.
- "Сонечко", скажи, який мій вибір у цьому голосуванні?
А у відповідь мені "Сонечко" каже:
- Ви авторизовані як "XXXXX YYYYY". Ваш вибір з цього питання є № 2 (це є "Дядя Стьопа міліціонер").
То я розумію, що мій вибір сфальсифіковано. І я ініціюю процедуру одночасно виправлення результату вибору і пошуку фальсифікатора:
- Ні, "Сонечку", то якась сволота спотворила мій вибір (треба її знайти і знешкодити), тому що насправді мій вибір був і залишається № 1 (це є "Гупало Василь").
І "Сонечко" підтверджує:
- Плюс. Імовірне спотворення результатів вибору. Ініційована процедура пошуку і знешкодження сволоти-злочинця. Дані про Ваш вибір в системі виправлено - тепер це № 1 (це є "Гупало Василь").
- Дякую за допомогу, "Сонечку". Ви добре працюєте.
- Взаємно. Шановні громадяни, залишайтеся і надалі активними. Завдяки вашій увазі і активним діям ніякі злочинці не зможуть спотворити ваш вибір чи забрати інші ваші права. Разом з вами ми переможемо.
--- Кінець зв'язку.
За результатами пошуку в журналі транзакцій встановлено, що вибір "№ 2", що, за Вашими словами, спотворює Ваш дійсний вибір "№ 1", було встановлено в мить часу DD.MM.YYYY hh:mm:ss з пристрою <device ID> з IP XXX.XXX.XXX.XXX (що належить провайдеру <provider name> ).
Якщо це не Ви зробили цю зміну, будь ласка, повідомте нам про це тут --> ...
Звісно, будь-яка скінченна кількість "свідків" теоретично може змовитися, щоби спільно спотворити дані у всіх копіях бази даних про вибір громадян. Але цьому можна ефективно протидіяти, якщо громадяни Мають можливість у будь-яку мить часу перевірити, які дані зберігаються в базі про їхній вибір, і виправити їх, якщо там дані неправильні (як описано вище.)
Ці способи захисту значно більш "органічно" узгоджуються з запропонованою туту вище системою "неперервної демократії" (це коли у громадянина є можливість змінювати свій вибір щодо будь-якого (в межах регламентів) питання у будь-яку мить часу) на відміну від більш "кострубатої" взаємодії з "дискретною системою виборів" (це коли громадяни мають право робити вибір не в будь-яку миті часу (і як наслідок не щодо будь-якого питання), а тільки у певні досить рідкісні короткі проміжки часу).
Думаю, це буде зрозуміло тим людям, які прочитають про систему "неперервної демократії" (вище).