Odporúčanie pre Estónsko: prestaňte používať systém volieb cez Internet, dá sa zmanipulovať

Aj u nás sa nájde dosť ľudí, ktorí volajú po možnosti voliť cez Internet … a prípadné opatrné hlasy upozorňujúce na nie ľahký problém bezpečnosti takých volieb obvykle odbíjajú jedným z dvoch argumentov. Hlúpejší argument tvrdí, že predsa internetbanking je bezpečný, tak potom nemôže byť ťažké podobne zabezpečiť aj voľby cez Internet. Druhý argument pôsobí racionálne – Estónci takýto systém majú a používajú už od r. 2005, čo je dôkazom toho, že sa to dá. Dajme bokom rôzne iné dôležité „detaily“ a sústreďme sa len na otázku, či je internetové hlasovanie „po estónsky“ bezpečné a dôveryhodné. Zjednodušene povedané, či sa výsledky hlasovania, ktoré vyprodukuje, nedajú ovplyvniť, alebo či sa nedajú vierohodne spochybniť dôležité parametre volieb (napríklad anonymita hlasovania voliča).

Hlavný „dôkaz“ bezpečnosti estónskeho systému v podaní nadšencov hlasovania cez Internet pritom vyzerá asi takto – „veď ho už používajú niekoľko rokov a nič sa nestalo“. Aj keď pre exaktne uvažujúcich ľudí toto ako dôkaz neobstojí, nemožno poprieť existenciu veľkej množiny ľudí, ktorým to postačuje. Naviac, existuje dosť informácii ktoré pekne ilustrujú, že Estónci návrhu systému a jeho bezpečnosti venovali naozaj značnú pozornosť. Okrem technických opatrení aj premyslené prevádzkové postupy, pozývanie ľudí zo zahraničia na priebežný dohľad počas volieb, zverejnené zdrojové kódy, architektúra systému, videozáznamy z volieb, …

Ani skupina špecialistov, ktorí pred pár dňami zverejnili zistenia, ktoré nabúravajú doterajšie predstavy o zabezpečení estónskeho systému volieb cez Internet, však nie sú žiadne béčka. Na špeciálnej webstránke uvádzajú v stručnej i podrobnej forme svoje argumenty pre ich hlavné odporúčanie pre Estónsko – prestať používať súčasný systém volieb cez Internet, nakoľko istým kategóriam útočníkov umožňuje nedetekovateľne zmanipulovať výsledky volieb. Prehľad ich zistení je možné nájsť na príslušnej časti ich stránky, taktiež je možné si stiahnuť podrobnú správu detailnejšie popisujúcu ako samotný systém volieb cez Internet, tak aj identifikované slabé miesta a popisy experimentov, ktorými demonštrovali použiteľnosť uvádzaných útokov. Tu sa sústredím len na dve hlavné zistenia, resp. myšlienky, ktoré tvoria základ pre už spomenuté radikálne odporúčanie a ktoré majú širšiu platnosť aj pre iné systémy, pre ktoré je zaistenie bezpečnosti dôležitou a trvalou úlohou.

 1. Ako čas plynie, menia sa predpoklady o hrozbách a útočníkoch na systém, ktoré boli brané do úvahy pri analýzach bezpečnosti pri jeho návrhu. V čase, kedy sa estónsky systém navrhoval, sa možnosť útoku v priestore Internetu zo strany útočníka vybaveného rozsiahlymi zdrojmi (finančnými, technickými i personálnymi) javila skôr teoretická, málo pravdepodobná, čo umožňovalo použiť aj riešenia a postupy postačujúce na ochranu pred „bežným“ útočníkom. Príklad – na účinné ovplyvnenie (podplatenie, vydieranie a pod.) niektorej z osôb s privilegovaným postavením v systéme internetových volieb sú potrebné zdroje, akými „bežný“ útočník zrejme nedisponuje. Podobne sa dá predpokladať, že nie je jednoduché zostaviť motivovanú , dobre zorganizovanú skupinu hackerov a ďalších podporných (na vlámanie, sociálne inžinierstvo, falšovanie dokumentov, …) špecialistov, ktorá dokáže využiť postupy, ktoré sú nad sily síce talentovaného, ale osamelého hackera. Riziko „málo pravdepodobných“ útokov sa jednoducho akceptuje a konkrétne opatrenia sa sústredia na ochranu pred pravdepodobnejšími útokmi a útočníkmi. Viaceré odhalené prípady v posledných rokoch však ukazujú, že s takýmito útočníkmi a útokmi (obvykle sa uznačujú ako „state sponsored attacks“) je už potrebné rátať ako s celkom reálnou možnosťou.

2. Ako čas plynie, predpísané procedúry sa – obzvlášť ak sa neobjaví nejaký incident – stávajú únavnou rutinou, zvyšuje sa aj pravdepodobnosť „erózie“ prevádzkových postupov. Štyria zo zmienej skupiny špecialistov mali možnosť na jeseň r. 2013 v roli nezávislých pozorovateľov zblízka sledovať priebeh estónskych volieb cez Internet a ako uvádzajú vo svojej správe, boli svedkami častých odchýliek od stanovených postupov (aj pri aktualizácii servera!), ignorovania chybových hlásení ktoré potenciálne indikovali neoprávnené zásahy do systému (!), náhlych zmien v prevádzkových procedúrach, a pod. Analýzou videozáznamov zverejnených volebnou komisiou zistili ďalšie porušenia základných bezpečnostných postupov – či už zadávanie prístupového hesla priamo pred kamerou, alebo príprava distribúcie volebného softvéru pre voličov na „nečistom“ počítači (!). Skrátka, značný rozdiel medzi želaným (plánovaným) stavom a skutočnosťou… Takýmto spôsobom sa oslabuje kontrola nad pôvodne možno aj dobre navrhnutými procedúrami, čo vytvára priestor na úspešný útok, ktorého súčasťou môže byť aj niektorý z „vnútorných“ pracovníkov zabezpečujúcich prevádzku volebného systému.

Poučenie je jednoduché, logické, a predsa často zabúdané – to, že niečo bolo doteraz bezpečné, ešte nezaručuje, že to bude bezpečné aj naďalej … a to sa netýka len systému volieb cez Internet, ale asi každého zložitejšieho systému, ktorého bezpečnosť je dôležitá.

Popisovaný prípad je zaujímavý aj z iného pohľadu – pekne totiž ilustruje limity práce a analýz v podaní špecialistov informačnej bezpečnosti. Tí totiž môžu celkom dobre analyzovať riziká „technického“ charakteru, resp. riziká pre jednotlivú organizáciu, ale dosť ťažko môžu kvalifikovane odhadovať riziká iného charakteru, resp. pre úplne inú kategóriu analyzovaného systému. V prípade estónskeho systému napríklad aká je šanca, že iný štát, alebo kriminálne zoskupenie s potrebnými zdrojmi, bude mať záujem zmanipulovať výsledky volieb v celej krajine. Na to, či už naozaj je potrebné rátať s možnosťou útokov z kategórie „state sponsored“ musia odpovedať bezpečnostní špecialisti iného druhu – takí, ktorí majú lepší prehľad o medzinárodnej politike či o organizovanej kriminalite. Aj to ukazuje, že keď ide o záujmy krajiny, informačná bezpečnosť sama osebe nestačí, ale je potrebné uvažovať v iných kategóriach. Práve tam by malo byť miesto pre kybernetickú bezpečnosť.

Jozef