Online sau pe hârtie? Votul în secolul XXI

Online sau pe hârtie? Votul în secolul XXI

52

Oare nu ar fi o idee mai bună să votăm online? În definitiv, pentru aceia dintre noi care își gestionează contul bancar și cumpărăturile de pe smartphone, votul online poate părea absolut fezabil. Iar cu un astfel de sistem, cetățenii care astăzi nu reușesc să ajungă la secțiile de votare ar putea să voteze din orice colț al lumii. Deci, dacă transferurile bancare efectuate pe internet sunt securizate, de ce nu nu s-ar putea desfășura și procesul electoral după același tipar?


  

În realitate, votul este diferit de toate celelelalte activităţi pe care le desfășurăm online, prin prisma unor caracteristici intrinseci, care stau la baza încrederii în sistemul democratic: (1) un cetăţean – un vot; (2) buletinul de vot trebuie să corespundă alegerii făcute de cetăţean; (3) voturile trebuie numărate în mod corect; (4) cetăţeanul trebuie să se poată asigura de faptul că buletinul său de vot corespunde intenţiilor sale și că numărătoarea se face în mod corect, independent de cine gestionează procesul electoral; (5) votul este secret – o terţă persoană nu poate ști în mod precis cum a votat un anume cetăţean, chiar dacă acesta ar dori să îi demonstreze. Așadar, acestea sunt condiţiile care trebuie îndeplinite și de un sistem de vot onlineVotul pe hârtie efectuat la secţia de votare rezolvă problemele enumerate mai sus într-un mod relativ simplu: (1) cetăţeanul este verificat să nu fi votat de mai multe ori de către personalul de la secţia de votare; (2) fiecare cetăţean are buletinul de vot în faţa ochilor și știe precis ce introduce în urna de vot; (3) acesta poate participa ca observator la numărătoarea voturilor și (4) este supravegheat pentru a nu își arăta buletinul de vot nimănui. Banalitatea întregii proceduri face ca un cetăţean obișnuit să nu aibă nevoie de o pregătire specială pentru a înţelege modul în care funcţionează procesul electoral și să poată detecta singur eventuale încercări de a frauda votul. În plus, hârtia… lasă urme: dacă există suspiciuni, se poate face apel la verificarea listelor de votanţi și reluarea numărătorii voturilor. Votul online în variantele vehiculate astăzi prespune ca fiecare cetăţean să voteze de pe dispozitivul personal (laptop, smartphone, tabletă), utilizând un set de credenţiale unice, transmise de autorităţi, și folosind o aplicaţie/intrând pe un site, într-un interval de timp predefinit. Apoi, ar putea să verifice că votul înregistrat pe server îi reflectă opţiunile politice. Iar pentru a scădea șansele ca voturile să fie cumpărate sau ca persoana să fie forţată să voteze, aceasta poate vota de mai multe ori, fiind luat în considerare doar ultimul buletin de vot. Dar câţi dintre noi am putea înţelege fiecare componentă și fiecare etapă a votului online astfel încât să putem detecta eventuale încercări de fraudare a alegerilor? Ar putea avea încredere toţi cetăţenii unei ţări, chiar și aceia care vor continua să voteze pe hârtie, că sistemul de vot online este infailibil, atâta vreme cât nu îl pot înţelege și verifica? Care ar fi, deci, componentele care să asigure securitatea și anonimitatea unui sistem de vot online, așa cum ar putea fi acesta configurat în prezent, cu tehnologia disponibilă? Vorbim de • cheie de criptare publică/privată pentru criptarea/decriptarea tuturor buletinelor de vot • cheie publică/privată pentru fiecare cetăţean cu drept de vot, pentru semnarea electronică a votului • un software instalat pe dispozitivul cetăţeanului care să permită criptarea, semnarea votului și transmiterea către server• un server care să primească voturile criptate, să verifice dacă sunt legitime (dacă aparţin unui cetăţean cu drept de vot) și să le transmită către un alt server care colectează toate voturile deja verificate • un server dedicat colectării tuturor voturilor criptate • descărcarea tuturor voturilor la finalul procesului de votare într-o reţea izolată, decriptarea lor și numărarea acestora • posibilitatea ca votantul să verifice că votul său (criptat) a fost recepţionat și prelucrat ca un vot legitim\. Votul online aduce cu sine o serie de probleme care nu doar că sunt dificil de surmontat, dar nici nu se poate întotdeauna verifica modul în care s-au petrecut lucrurile: (1) forţarea cetăţeanului să voteze cu o anumită persoană, împotriva voinţei sale; (2) furtul de credenţiale; (3) malware care să afecteze aplicaţia de votare sau echipamentul utilizat de persoană pentru vot; (4) serverele care înregistrează voturile trebuie să poată face faţă la atacuri de tip denial of service; (5) sistemul trebuie securizat împotriva fraudării de către o persoană din interior, cu acces direct; (6) la modul general, sistemul trebuie să fie securizat împotriva atacurilor cibernetice, inclusiv a celor care utilizează tehnologii avansate. Experţii în domeniu avertizează că un risc major derivă tocmai din faptul că un atac cibernetic sofisticat ar putea altera modul în care funcționează sistemul de vot strict în perioada derulării alegerilor3, astfel încât să nu poată fi detectat în timpul testelor prealabile. În plus, în intervalul critic în care au loc alegerile nu pot fi efectuate teste de penetrare de către ethical hackers, tocmai pentru a nu afecta modul în care se derulează procesul de votare.

Un exemplu remarcabil în Estonia

În martie 2019, 561.131 de oameni au votat în alegerile parlamentare din Estonia. Dintre aceștia, 44% au votat online. În micuţa naţiune baltică, votul online a fost introdus încă din 2005 iar procentul de alegători care preferă să voteze pe internet a crescut continuu în ultimii paisprezece ani.

Cum funcţionează? Oricare cetăţean estonian are o carte de identitate electronică, cu certificate de securitate instalate și cu cod PIN asociat, precum și un cititor de carduri securizat. Cardul are instalate două certificate digitale de tip PKI-uri (public key infrastructure), unul pentru a confirma identitatea, iar altul pentru a semnătură digitală (care este recunoscută în mod legal în Estonia). Pe lângă această variantă, se poate utiliza și sistemul Mobiil-ID: în loc să utilizeze cititorul de carduri, un cetăţean poate solicita operatorului de telefonie mobilă un card SIM special, care să permită autentificarea persoanei pe baza unui cod PIN. Pentru a vota, persoana descarcă aplicaţia de pe site, în cadrul aplicaţiei se verifică dacă respectivele credenţiale îi dau drept de vot în alegeri și apoi se afișează lista candidaţilor din circumscripţia sa. După ce persoana alege candidatul, aplicaţia criptează votul și îl trimite către server cu un timestamp, pentru a se putea verifica mai târziu dacă votul a fost recepţionat. Cetăţenii pot vota din momentul în care mai sunt zece zile până la alegeri și până cu patru zile înainte, de oricâte ori doresc – pentru a scădea posibilitatea ca aceștia să fie forţaţi sau ca voturile să fie cumpărate. În final, dacă doresc, mai pot vota o dată și la secţia de votare. Pentru a verifica dacă votul a fost înregistrat în sistem, cetăţenii primesc un mesaj de confirmare (pe alt canal decât în aplicaţia utilizată la vot, spre exemplu prin SMS).

Deși modelul estonian este o poveste de succes, acesta funcționează bazându-se (şi) pe încrederea alegătorilor

De-a lungul timpului au fost identificate o serie de probleme de securitate cibernetică, inerente unui sistem cu grad de complexitate atât de ridicat precum cel de i-voting implementat de Estonia, și nu toate au putut fi corectate. O controversă celebră a fost iscată în anul 2014, când o echipă de cercetători de la University of Michigan condusă de Alex Halderman a descoperit o serie de vulnerabilităţi6 cu impact semnificativ, care nu au putut fi eliminate în totalitate. Dincolo de elemente de securitate procedurală și operaţională, aceștia au arătat modul în care se pot derula două atacuri cibernetice, la nivel de client și la nivel de server. Exemplele sunt edificatoare pentru felul în care poate fi compromis un sistem de vot online deja în funcţiune.

•Atacarea și compromiterea serverelor care gestionează preluarea, centralizarea și numărătoarea voturilor: acestea sunt componente critice ale sistemului de votare și pot fi vizate cu precădere de atacatori. De pildă, serverul către care cetăţenii își transmit votul criptat este, implicit, conectat la internet, ceea ce înseamnă că poate fi supus la atacuri de dip denial of service (astfel încât să nu mai poată prelua voturi noi) sau shell injection. Serverul în care se numără voturile nu este conectat la alte reţele, însă chiar și așa, poate fi compromis printr-un supply-chain attack sau printr-un om din interior care trădează și care încarcă un malware pe o staţie utilizată scrierii DVD-urilor care sunt folosite la instalarea sistemelor de operare pe serverele dedicate procesului electoral.

Atac la nivel de client: deși există măsuri de securitate implementate, dispozitivul unui om obișnuit poate fi infectat cu malware înainte ca acesta să încerce să voteze. Astfel, atacatorul ar putea să monitorizeze acţiunile de pe dispozitivul infectat, să preia anumite elemente de autentificare și să mai voteze o dată în numele persoanei.

Open source code – beneficii & riscuri: Procesul de vot trebuie să fie transparent, ceea ce poate însemna inclusiv că și codul sursă al sistemului ar trebui să poată fi verificat de anumite instituţii sau chiar de cetăţenii care doresc să se convingă că funcţionează corect și legal. Dar de aici derivă o serie de probleme: 1) dacă unele segmente de cod nu sunt făcute publice, așa cum este în Estonia, atunci cum pot avea cetăţenii încredere că procesul de vot este corect? 2) dacă întreg codul sursă este expus, atacatorii pot să identifice vulnerabilităţi care să le permită construirea unui atac customizat. Iar… în 2017, a fost descoperit faptul că inclusiv sistemul de cărţi de identitate electronice al Estoniei era vulnerabil la atacuri cibernetice7 care ar fi putut permite, printre altele, inclusiv furtul de identitate, fiind necesară oprirea sistemului pentru câteva zile pentru remedierea problemelor. Pe lângă toate acestea, un sistem IT&C nu este întotdeauna scalabil: soluţiile care funcţionează pentru 500.000 de votanţi pot să dea greș atunci când în joc sunt milioane sau zeci de milioane de voturi. De exemplu, potrivit datelor deţinute de Autoritatea Electorală Permanentă din România, în februarie 2019 erau 18.937.258 de cetăţeni cu drept de vot înscriși în Registrul Electoral. Iar la alegerile prezidenţiale din 2014 au votat peste 11 milioane de cetăţeni români.

Norvegia – experiment impracticabil: 

În Novegia, unde o persoană poate cumpăra o casă trimiţând un SMS, desigur că s-a încercat şi implementarea unui sistem de vot online. În 2011 și 2013, în câteva municipalităţi, cetăţenii au putut vota și online, folosind un sistem asemănător celui estonian. În comparaţie cu sistemul din Estonia, alegătorul norvegian primea iniţial prin poștă lista partidelor și candidaţilor, cu un cod unic asociat fiecăruia. După votare, cetăţeanul primea un sms cu codul înregistrat în sistem, pentru a putea verifica dacă opţiunea sa de vot a fost corect înregistrată. Această opţiune afecta însă secretul votului, deoarece o persoană putea demonstra alteia cu cine a votat, arătându-i codul primit prin poștă alături de codul primit prin sms. Argumentul autorităţilor norvegiene era acela că secretul votului este intact, deoarece un cetăţean își poate schimba votul8. În final, sistemul propus nu s-a bucurat de încrederea cetăţenilor norvegieni, astfel că s-a renunţat la utilizarea acestuia.

Loading… sistemul elvețian

În prezent, în mai multe cantoane din Elveţia se poate vota online, fiind funcţionale două sisteme: unul dezvoltat de Poșta Elveţiană (care se dorește a fi utilizat și la nivel federal în viitorul apropiat) și unul dezvoltat de Cantonul Geneva. În Cantonul Zürich s-a renunţat la această variantă în 2011, în urma identificării unor probleme de securitate. Desigur, într-o ţară în care peste 10% din populaţie are domiciliul într-un alt stat, s-a făcut mult lobby pentru implementarea unui astfel de sistem, mai ales că cetăţenii elveţieni sunt chemaţi la referendum de mai multe ori pe an. Cetăţenii primesc prin poștă un document cu o serie de coduri unice, care sunt utilizate pentru autentificare și pentru a verifica dacă opţiunea de vot înregistrată în sistem este aceeași cu cea dorită de alegător, astfel încât persoana să se poată convinge că buletinul de vot transmis către server este corect. Cu o zi înainte de alegeri, serverul care înregistrează voturile electronice este deconectat. În ziua alegerilor, administratorul responsabil de sistemul de vot electronic conectează o staţie dedicată la reţeaua electorală, copiază baza de date cu voturile și rulează un program de amestecare a acestora. Apoi, persoanele responsabile introduc parolele de decriptare pentru voturi, voturile test sunt separate de voturile reale, iar cele din urmă sunt transmise către staţia unde se numărără și voturile trimise prin poștă. Apoi, voturile transmise electronic și cele transmise prin poștă sunt transferate către o altă staţie, unde sunt numărate. Pentru a preveni fraudarea, se fac o serie verificări, inclusiv statistice, iar dacă s-au înregistrat probleme se poate apela la copiile voturilor electronice criptate, autorităţile putând solicita reluarea numărătorii9. Abordarea elveţiană se remarcă prin atenţia deosebită dedicată securităţii sistemului: înainte de a implementa un sistem de vot online la nivelul întregii ţări, au avut loc peste 200 de teste, în 15 ani, fie la nivel naţional, fie la nivel de canton10. Chiar în perioada 25 februarie – 25 martie 2019 s-a derulat un public intrusion test, cu premii între 100 și 50000 de franci elveţieni. Pentru a crește nivelul de securitate cibernetică precum și gradul de încredere al cetăţenilor, sistemul de e-voting propus de autorităţi poate fi testat de oricine dorește (și are și cunoștinţele necesare). De la observarea unor vulnerabilităţi non-critice și până la schimbarea nedetectată a rezultatelor alegerilor, totul poate fi sesizat și, dacă este cazul, premiat. Desigur, însă, părerile sunt împărţite: unele voci consideră că inclusiv codul sursă al sistemul propus de Poșta Elveţiană nu este scris într-o manieră defensivă, iar dacă fiecare segment al sistemului este configurat corect, se poate lăsa loc de vulnerabilităţi care să fie exploatate de un atacator
Ce tip de probleme pot apărea la un sistem de vot online?

Un atacator poate compromite un sistem de vot online în mai multe puncte cheie expuse la internet, pornind de la baza de date cu persoanele cu drept de vot și până la afectarea serverelor în care se face numărătoarea voturilor.

 

Exemplu 1: Bazele de date cu cetăţenii care au drept de vot – riscuri aferente: acces neautorizat obţinut prin: utilizarea unei zero-day vulnerability, neefectuarea la timp a unui patch de securitate, compromiterea contului unui utilizator autorizat (inclusiv printr-un atac de spearphishing), compromiterea reţelelor instituţiilor cu care există intereconectări.

Exemplu 2: Site-ul oficial pe care persoanele se înregistrează/de pe care poate fi descărcată aplicaţia poate fi atacat prin Distributed Denial of Service în momente critice, ceea ce poate avea inclusiv un impact la nivelul încrederii cetăţenilor în felul în care funcţionează sistemul de vot, dacă acesta nu va mai funcţiona în momentul derulării alegerilor. De asemenea, prin DNS hijacking, de pildă, un utilizator conectat la o reţea publică a cărui DNS a fost compromis poate fi directat către un site de votare fals sau poate să descarce și să utilizeze o aplicaţie de votare infectată. Mai mult, update-uri critice pentru software-ul folosit la dezvoltarea unor segmente ale sistemului de vot pot fi publicate chiar înainte de scrutinul electoral, ceea ce poate genera probleme de securitate majore: dacă nu se efectuează update-ul sistemul este vulnerabil, dar dacă se efectuează, acesta poate genera erori în funcţionarea sistemului care să nu poată fi remediate la timp. În plus, un atacator poate acţiona pentru subminarea încrederii în corectitudinea procesului electoral, profitând tocmai de elementele tehnice pe care cetăţeanul obișnuit nu le poate nici înţelege, nici verifica.

Exemplu 3: Atacarea și compromiterea site-ului care publică rezultatele alegerilor. Publicarea unor rezultate false fie pe website-ul legitim sau pe un website creat de un atacator ar eroda încrederea alegătorilor într-un proces electoral derulat parţial pe internet. Ca să răspundem, deci, întrebării de la începutul acestui articol, un sistem de vot online nu poate funcţiona precum unul de online banking pentru că un vot ilegitim înregistrat împreună cu alte voturi legitime nu mai poate fi identificat și „returnat” către alegător fără a afecta anonimitatea acestuia. Spre comparaţie, orice persoană poate identifica un transfer bancar nedorit şi, odată reclamat, are şanse foarte mari ca fondurile să îi fie returnate. În definitiv, în fiecare an, băncile își asumă şi planifică astfel de pierderi, dar pentru a-și păstra credibilitatea, deseori nu fac publice consecinţele atacurilor cibernetice la care sunt supuse. Procesul electoral nu poate însă funcţiona pe baza asumării planificate a unui procent implicit de fraudă, atunci când în joc se afla chiar soarta statului şi a tuturor cetăţenilor săi. Implementarea unui sistem de vot online este, desigur, dezirabilă pentru mulţi alegători, iar creşterea procentului de participare la vot ar fi, probabil, un beneficiu direct. Cu toate acestea, un incident, fie şi minor, poate submina încrederea întregii societăţi în corectitudinea alegerilor, îndeosebi pentru că un astfel de sistem informatic complex rămâne misterios pentru cetăţeanul obişnuit. Câtă vreme funcţionarea sistemului democratic se sprijină pe derularea unor alegeri corecte, sistemul de vot trebuie să permită nu doar transparenţă şi testarea rezilienţei şi securităţii, ci şi o formă de verificare încrucişată. În epoca fake news nu trebuie subestimat faptul că transformarea sistemului de vot într-un black box pe care s ă îl poată înţelege doar un număr restrâns de persoane ar constitui un teren propice pentru dezvoltarea unor teorii ale conspiraţiei care să submineze fibra democratică a unui stat. Iar până la implementarea unui sistem de vot care să fie simultan transparent şi sigur, votul pe hârtie are un mare avantaj: lasă urme.

 Autor: Mariana Urs, Centrul Naţional Cyberint