Немецкий портал Heise online разместил на своих страницах заметку, в которой рассказывается о выводах международной группы независимых экспертов, исследовавших систему электронных выборов в Эстонии. Общее мнение: система имеет серьёзные проблемы с безопасностью.
Перевод экспертного анализа разместил в «Живом Журнале» Антон Клотц - известный русскоязычный блогер из Германии.
Эксперты рекомендуют Эстонии вернуться к выборам на бумаге
Менее чем за две недели до выборов в Европарламент 12 мая интернациональная группа независимых ИТ-экспертов и указала на фундаментальные риски в эстонской системе э-выборов. Эксперты считают проблемы с безопасностью настолько тяжёлыми, что рекомендуют моментально отключить эту систему и возвратиться к выборам с бумажными бюлетенями.
Эстония первая и пока единственная страна, которая допускает голосование через интернет во время политических выборов и других голосований. Приблизительно 20-25% избирателей используют эту возможность. Система разработанная отечественными фирмами используется при парламентских и муниципальных выборах и найдёт применение 25-ого мая при выборах в Европарламент.
Слабая безопасность функциональности, недостаточная прозрачность
Приёмы для обеспечения безопасности функциональности слабы, противоречивы, недостаточно прозрачны для достоверного пересчёта, а также программа имеет значительные дыры для нападений снаружи, так звучит вердикт группы возглавляемой Алексом Халдерманом (Alex Halderman) из университета Мичиган, а также исследователям компьютерной безопасности Харри Хурсти (Harri Hursti), Джейсон Киткэт (Jason Kitcat) от Open Rights Group и наблюдательницей за выборами Мэгги Мэкэлпайн (Maggi MacAlpine). Все четверо принимали участие как наблюдатели за выборами при эстонских муниципальных выборах.
«Мы не видели законченный, полностью документированный процесс к использованию серверов для этих онлайн-выборов, - отметил Хурсти. - Эти компьютеры могут быть легко инфильтрированы криминальными субъектами или иностранными хакерами, и тем самым будет скомпроментирована безопасность всей системы». Говоря проще, важные программы скачиваются через незащищённые подключения к сети, секретные пароли и пин-коды задаются при снимающей камере и программа выборов раздаётся избирателям на их незащищённые компьютеры.
Слепое доверие
«Избирательным серверам и компьютерам избирателей избирательная система Эстонии доверяет вслепую, - подводит итог критике Алекс Хальдерман - обе системы могут быть атрактивной целью для нападающего работающего для чужого государства».
Вместе с двумя докторантами эксперт по э-голосованию университета Мичиган построил в лаборатории систему эстонского голосования, с программным обеспечением которое использовалось при выборах 2013ого года и испробовал различные варианты атак. В одном случае на компьютере избирателя был установлен Malware (вредоносная программа), которая несмотря на защиту с элекронной ID-Карточкой и верификацией через смартфоне, смогла незаметно украсть голоса. В другом случае можно показать, как рассказывает Хальдерман, что атаки с помощью Malware возможен и на сервер, который считывает голоса, что-бы изменить официальный итог в нужное направление. Результаты исследований можно найти на странице Estoniaevoting.
Очень тревожно читаются итоги расследования. Эстонские админы системы выборов снимали процесс настройки системы для местных выборов 2013. При этом снималось, как программное обеспечение для э-выборов собиралось на компьютере, на котором также игрался онлайн-покер, то есть вероятность заражения на таком компьютере достаточно велика. Текстовый редактор для программирования программ был скачан через незащищённую сеть, это означает, что версия эдитора могла быть скомпроментирована.
Собранная система была переправлена на сервер с помощью USB-флэш, на котором находились другие данные, которые могли заразить сервер. Камера снимала моменты когда задавался root-пароль, то есть главный пароль всей системы. На стене висел пароль для WiFi-сети, который тоже снимался. Все фотографии можно увидеть здесь. Самая главная проблема в том, что эти съёмки были проведены самими администраторами, то есть они сами не понимали, что то что они снимает не отвечает элементарным требованиям компьютерной безопасности.