18

Jak zepsuć demokrację? Defcon obnażył słabość maszyn do głosowania

maszyny do głosowania
Zapewne wielu z Was marzy o znacznie prostszych metodach wyrażania swojego zdania w plebiscytach, typowych dla dojrzałych i zdrowych demokracji. Nowoczesne technologie pozwalają na pogodzenie powszechności głosowań oraz łatwego dostępu do nich, a możliwość zabezpieczenia tej operacji to kolejny argument za tym, aby rozważyć taką możliwość. Nie ma jednak zabezpieczeń, których nie da się złamać.

Defcon, znana już impreza dla ekspertów zajmujących się cyberbezpieczeństwem nie zawiódł i dostarczył nam kolejnych powodów do zastanowienia się nad mechanizmami elektronicznego głosowania. Uczestnicy mieli okazję sprawdzić się w konfrontacji z maszynami do głosowania w Las Vegas. Co się okazało? Że jak się bardzo chce, to można złamać nawet najlepsze, wydawałoby się – wystarczające zabezpieczenia. Carsten Schürmann z Kopenhagi (przy okazji wykładowca na jednej z uczelni informatycznych) udowodnił, że można dostać się do maszyny do głosowania i wpłynąć na ostateczny wynik.

Hakerowi uczestniczącemu w wydarzeniu udało się dostać do WinVote (Advanced Voting Solutions) poprzez interfejs WiFi. Wykorzystał do tego exploita dla Windows XP z… 2003 roku. Tym samym uzyskał zdalny dostęp do urządzenia i mógł wprowadzać w nim modyfikacje według własnego uznania. W ramach Defcon zakupiono 30 takich urządzeń, by hakerzy mogli sprawdzić swoje umiejętności i jednocześnie, by zwrócić uwagę na poważny problem wynikający z wdrożenia maszyn do głosowania.

Defcon to impreza bardzo potrzebna – to jedna z bardzo niewielu okazji, by wykazać podatności w maszynach do głosowania

Szkoda, że organizacje, rządy wykorzystujące takie maszyny oraz ich producenci nie biorą przykładu z firm informatycznych i nie prowadzą programów bug bounty, w ramach których hakerzy mogą sprawdzić swoje umiejętności, znaleźć luki i jeszcze na tym dobrze zarobić. W tego typu przedsięwzięciach warunek jest jeden – o błędzie bezpieczeństwa pierwszy musi dowiedzieć się podmiot, który organizuje bug bounty i zależy mu na załataniu każdej dziury.

Defcon

Jednej z drużyn udało się oszukać WinVote w kuriozalny sposób. A co jeśli podłączymy do niej klawiaturę, mysz i spróbujemy wykonać kombinację CTRL+ALT+DELETE? Jak się okazało, dzięki temu udało się ominąć bazowy program służący do obsługi systemu głosowania – stąd jest już bardzo krótka droga do modyfikowania zawartości „elektronicznej urny”.

Jak zepsuć demokrację?

Nowoczesne metody zbierania głosów w plebiscycie to niestety miecz obosieczny. O ile tego typu maszyny pozwalają na szybkie podliczenie wyników i znacząco ułatwiają cały proces, to mimo wszystko stanowią ogromne niebezpieczeństwo. Każda ingerencja w system głosowania z zewnątrz oznacza właściwie załamanie się podstawowego filaru demokracji. Dlatego właśnie poszukiwanie, znajdowanie oraz łatanie tego typu podatności jest niezwykle ważne. W trakcie Defcon udało się udowodnić, że problem jest poważny i wymaga szczególnej uwagi.

Zwłaszcza, że istnieją państwa, którym zależy na ingerowanie w systemy polityczne innych krajów. Rosjanie, którzy wiodą prym w takich działaniach co jakiś czas przypominają o sobie w cyberprzestrzeni. Trzeba o tym pamiętać i zabezpieczać się na każdym kroku.