28 Μάρτιος 2020

RSS Facebook Twitter

ΟΙΚΟΝΟΜΙΑ

Παρασκευή, 14 Φεβρουάριος 2020 08:02

Εφαρμογές ψηφοφορίας: Η δημοκρατία στα χέρια της τεχνολογίας

Τα τελευταία χρόνια, παρατηρείται αυξανόμενο ενδιαφέρον στην χρήση της διαδικτυακής και κινητής τεχνολογίας ώστε να προστεθούν στις διαδικασίες ψηφοφορίας. Ταυτόχρονα, οι ειδικοί σε θέματα ασφάλειας του κυβερνοχώρου επισημαίνουν ότι οι ψηφοφορίες χάρτου είναι το μόνο ασφαλές μέσο ψηφοφορίας.

Τώρα, οι ερευνητές του MIT εγείρουν μια άλλη ανησυχία: Αναφέρουν οτι έχουν ανακαλύψει τρωτά σημεία ασφαλείας σε μια εφαρμογή ψηφοφορίας που χρησιμοποιήθηκε κατά τη διάρκεια των εκλογών του 2018 στη Δυτική Βιρτζίνια. Η ανάλυση ασφάλειας της εφαρμογής, που ονομάζεται Voatz, εντοπίζει ορισμένες αδυναμίες, συμπεριλαμβανομένης της δυνατότητας για τους χάκερς να αλλάξουν, να σταματήσουν ή να εκθέσουν πώς ψηφίστηκε ένας μεμονωμένος χρήστης.

Επιπλέον, οι ερευνητές διαπίστωσαν ότι η χρήση του Voatz από έναν εξωτερικό συνεργάτη για τον προσδιορισμό και την επαλήθευση των ψηφοφόρων, θέτει πιθανά προβλήματα ιδιωτικότητας για τους χρήστες.

Μετά την αποκάλυψη αυτών των τρωτών σημείων ασφαλείας, οι ερευνητές αποκάλυψαν τα ευρήματα τους στην υπηρεσία Κυβερνοασφάλειας και Υποδομής (CISA) του Υπουργείου Εσωτερικής Ασφάλειας. Οι ερευνητές συνεργάστηκαν με τη νομική ομάδα του Πανεπιστημίου Boston / MIT Technology Law και με τους αξιωματούχους της εκλογικής ασφάλειας στο πλαίσιο της CISA για να διασφαλίσουν ότι τα εκτελεστικά όργανα των εκλογών και ο συνεργάτης του λογισμικού γνώριζαν τα ευρήματα πριν δημοσιευθεί η έρευνα. Αυτό περιελάμβανε την προετοιμασία γραπτών περιλήψεων των ευρημάτων και άμεσες συζητήσεις με τους πληγέντες εκλογικούς αξιωματούχους σχετικά με κλήσεις που διοργάνωσε η CISA.

Εκτός από τη χρήση της στις εκλογές του 2018 στη Δυτική Βιρτζίνια, η εφαρμογή χρησιμοποιήθηκε στις εκλογές στο Ντένβερ, το Όρεγκον και τη Γιούτα, καθώς και στη δημοκρατική σύμβαση της Μασαχουσέτης και της Γιούτα το 2016.

Τα ευρήματα υπογραμμίζουν την ανάγκη διαφάνειας στο σχεδιασμό των συστημάτων ψηφοφορίας, σύμφωνα με τους ερευνητές.

“Όλοι έχουμε συμφέρον να αυξήσουμε τους τρόπους πρόσβασης στην ψηφοφορία ώστε να υπάρχει μεγαλύτερη συμμετοχή, αλλά για να διατηρήσουμε την εμπιστοσύνη στο εκλογικό μας σύστημα, πρέπει να διασφαλίσουμε ότι τα συστήματα ψηφοφορίας πληρούν τα υψηλά πρότυπα τεχνικής και επιχειρησιακής ασφάλειας πριν τεθούν σε εφαρμογή”, λέει ο Weitzner. “Δεν μπορούμε να πειραματιστούμε με τη δημοκρατία μας”.

“Η άποψη των εμπειρογνωμόνων ασφαλείας είναι ότι η διεξαγωγή ασφαλών εκλογών μέσω του διαδικτύου δεν είναι δυνατή σήμερα”, προσθέτει ο Koppel. “Ο συλλογισμός είναι ότι οι αδυναμίες της εφαρμογής μπορούν να δώσουν στον αντίπαλο αδικαιολόγητη επιρροή σε μια εκλογή και το σημερινό λογισμικό είναι αρκετά ασταθές ώστε η ύπαρξη άγνωστων εκμεταλλεύσιμων ατελειών είναι πολύ μεγάλος κίνδυνος”.

Αποτύπωση των αποτελεσμάτων

Οι ερευνητές αρχικά εμπνεύστηκαν την ανάλυση ασφαλείας του Voatz με βάση την έρευνα του Spectre με τον Ronald Rivest, καθηγητή του Ινστιτούτου στο MIT. Neha Narula, διευθυντής της Πρωτοβουλίας Ψηφιακών Νόμων του MIT, διερευνώντας τη σκοπιμότητα της χρήσης συστημάτων blockchain στις εκλογές. Σύμφωνα με τους ερευνητές, το Voatz ισχυρίζεται ότι χρησιμοποιεί ένα blockchain για να εξασφαλίσει ασφάλεια, αλλά δεν έχει κυκλοφορήσει κανένα πηγαίο κώδικα ή δημόσια τεκμηρίωση για το πώς λειτουργεί το σύστημά του.

Ο Spectre, ο οποίος διδάσκει ένα μάθημα ανεξάρτητων δραστηριοτήτων στο MIT που ιδρύθηκε από τον Koppel και επικεντρώνεται στο λογισμικό αντίστροφης μηχανικής, περιέγραψε την ιδέα της εφαρμογής της αντίστροφης μηχανικής του Voatz, σε μια προσπάθεια να κατανοήσει καλύτερα πώς λειτουργούσε το σύστημά του. Για να διασφαλίσουν ότι δεν παρεμβαίνουν σε εκκρεμείς εκλογές ή δεν εκθέτουν αρχεία χρηστών, ο Specter και ο Koppel ανέστρεψαν την εφαρμογή και στη συνέχεια δημιούργησαν ένα μοντέλο του διακομιστή της Voatz.

Διαπίστωσαν ότι ένας αντίπαλος με απομακρυσμένη πρόσβαση στη συσκευή μπορεί να αλλάξει ή να ανακαλύψει την ψήφο ενός χρήστη και ότι ο διακομιστής, εάν έχει πειραχτεί, θα μπορούσε εύκολα να αλλάξει αυτές τις ψήφους. “Δεν φαίνεται ότι το πρωτόκολλο της εφαρμογής επιχειρεί να επαληθεύσει [αυθεντικές ψηφοφορίες] μέσω του blockchain,” εξηγεί ο Specter.

“Διαπιστώσαμε ότι ο παροχέας υπηρεσιών διαδικτύου ή κάποιος κοντά σας αν βρίσκεστε σε μη κρυπτογραφημένο Wi-Fi, θα μπορούσε να ανιχνεύσει τον τρόπο με τον οποίο ψηφίσατε σε ορισμένες συνθέσεις των εκλογών. Οι πιο επιθετικοί κακόβουλοι παράγοντες θα μπορούσαν ενδεχομένως να ανιχνεύσουν τον τρόπο με τον οποίο πρόκειται να ψηφίσετε και στη συνέχεια να σταματήσουν τη σύνδεση με βάση αυτό και μόνο”.

Εκτός από την ανίχνευση των τρωτών σημείων με τη διαδικασία ψηφοφορίας του Voatz, οι Spectre και Koppel διαπίστωσαν ότι η εφαρμογή δημιουργεί προβλήματα προστασίας προσωπικών δεδομένων για τους χρήστες. Καθώς η εφαρμογή χρησιμοποιεί έναν εξωτερικό πάροχο για την επαλήθευση ταυτότητας ψηφοφόρου, ένα τρίτο μέρος ενδέχεται να έχει πρόσβαση σε φωτογραφία του ψηφοφόρου, δεδομένα άδειας οδήγησης ή άλλες μορφές αναγνώρισης, εάν η πλατφόρμα του παρόχου δεν είναι ασφαλής.

Ανάγκη μεγαλύτερης διαφάνειας

Οι Spectre και Koppel δηλώνουν ότι τα συμπεράσματά τους δείχνουν την ανάγκη για διαφάνεια όσον αφορά τη διοίκηση των εκλογών, προκειμένου να διασφαλιστεί η ακεραιότητα της εκλογικής διαδικασίας. Επί του παρόντος, σημειώνουν ότι η εκλογική διαδικασία στα κράτη που χρησιμοποιούν ψηφοφορίες επί χάρτου, έχει σχεδιαστεί για να είναι διαφανής και ότι οι πολίτες και οι εκπρόσωποι των πολιτικών κομμάτων έχουν ευκαιρίες να παρακολουθήσουν τη διαδικασία ψηφοφορίας.

Αντίθετα, ο Koppel σημειώνει ότι “η εφαρμογή και η υποδομή του Voatz ήταν εντελώς κλειστές υποδομές. Μπορούσαμε να έχουμε πρόσβαση μόνο στην ίδια την εφαρμογή.”

“Νομίζω ότι αυτός ο τύπος ανάλυσης είναι εξαιρετικά σημαντικός. Αυτή τη στιγμή υπάρχει μια προσπάθεια να καταστεί η ψηφοφορία πιο προσιτή, χρησιμοποιώντας συστήματα ψηφοφορίας μέσω διαδικτύου και κινητής τηλεφωνίας. Το πρόβλημα εδώ είναι ότι μερικές φορές τα συστήματα αυτά δεν κατασκευάζονται από ανθρώπους που έχουν πείρα στη διατήρηση της ασφάλειας των συστημάτων ψηφοφορίας”, λέει ο Matthew Green, αναπληρωτής καθηγητής στο Johns Hopkins Information Security Institute . Στην περίπτωση του Voatz, προσθέτει, “Φαίνεται ότι υπήρχαν πολλές καλές προθέσεις εδώ, αλλά το αποτέλεσμα στερείται βασικών χαρακτηριστικών που θα προστατεύουν έναν ψηφοφόρο και την ακεραιότητα των εκλογών”.

Κοιτάζοντας προς το μέλλον, οι ερευνητές προειδοποιούν ότι οι προγραμματιστές λογισμικού θα πρέπει να αποδείξουν ότι τα συστήματά τους είναι εξίσου ασφαλή με τα χαρτιά.

“Το μεγαλύτερο ζήτημα είναι η διαφάνεια”, λέει ο Specter. “Όταν έχετε μέρος των εκλογών που είναι αδιαφανείς, δεν είναι ορατό, δεν είναι δημόσιο και έχει κάποιο είδος ιδιόκτητου στοιχείου, αυτό το μέρος του συστήματος είναι εγγενώς ύποπτο και πρέπει να υποβληθεί σε έλεγχο”.

secnews.gr

blog comments powered by Disqus
thesspress

thesspress

[email protected]