Article_top

Красимир Гаджоков

Наближава референдумът по въпроса дали да въведем дистанционно електронно гласуване по Интернет. Медиите бълват статии – и особено коментари – дали и колко сигурен е този начин за упражняване на вота.

Забелязват се огромни приливни вълни от лаици, които може би добросъвестно, но твърде умозрително или повърхностно разсъждават по специфични въпроси, които не са по силите им.

Продължават да се ширят и масово отдавна разбулени, несвързани с електронното гласуване митове. Например, че гласовете се броят от “чували” – тотално невярно: броят се по данни на секционните избирателни комисии. Те от своя страна са ги преброили пред наблюдателите и застъпниците и изпратили протоколите веднага в РИК/ЦИК по факс или емейл.

Сред тази какафония, обаче, има и скептици, базиращи своето отрицателно отношение към е-гласуването на сериозни анализи на независими експерти.

Особено популярни са дискусиите за най-напредналата с електронно гласуване в света държава – Естония. Масово известни – цитирани в западаната преса и в България – са критичните видеопрезентации на професор Дж. Алекс Халдерман към естонската система.

Като старши специалист с над 10 години стаж в областта на информационната сигурност в мултимилиардна канадска компания, това няма как да не привлича моето внимание.

Няма “загадка” какво е моето лично мнение за това може ли да се подобри естонската система или дали може да се направи още по-добра такава. Фактът, че съм един от 42-мата членове на най-големият и най-известен граждански Инициативен комитет в подкрепа на електронното гласуване “Гласувай без граници” с представляващ тенис-легендата Мануела Малеева, говори красноречиво.

Че не само аз съм на това мнение говори и друг факт: във въпросният инициативен комитет сме 15 дългогодишни ИТ-професионалисти и ИТ-предприемачи. Отделно, към ИК има 5-ма експерти по информационни технологии. Няколко от всички тези професионалисти сме специализирани в информационна сигурност.

Безспорно, видеопрезентациите на проф. Халдерман са ефектни. В тях са показани някои съществени слаби страни на естонската система за гласуване.

Но огромна част от откритията за “несигурност” не е толкова в технологиите. Самият професор признава, че естонците са разработили една сложна система с много добър дизайн на сигурността.

Най-големите проблеми, посочвани в най-известните му презентации, са в областта на прилагането на елементарни процедури и правила за оперативна сигурност.

Какво е оперативната сигурност? Това е да има подробни и завършени, описани процедури да се прилагат най-добрите практики в областта на информационната сигурност, съпътстващи изграждането и експлоатирането на една техническа система.

Ето един пример: оставяте ли ключ под изтривалката пред апартамента си? Някои все още го правят. Това е лоша оперативна сигурност: вие знаете, че не трябва да оставяте ключ там, защото е леснодостъпно място и защото е известно, че се прави.

Точно такива са много голямата част от проблеми, които са открили професор Халдерман и неговия екип. Примерите, които той дава, са почти само за липса или неспазване на елементарни процедури и правила.

Някой ще възкликне: след като естонците не са ги спазили, каква е гаранцията че ние ще ги спазим?

Аз бих попитал: а какви са гаранциите, че се спазват механизмите за защита на изборите от манипулации при сегашното (физическо) гласуване? Такива гаранции има точно колкото и при бъдещето електронно гласуване – можете да се убедите от публикацията на Йовко Ламбрев.

Забележете, че голяма част от тези “открития” за несъвършена сигурност в естонския процес на е-гласуване стават известни не защото са открити от проверяващи ии изследователски екипи, а заради доброволна инициатива на самия екип на естонците – да заснемат видео, демонстриращо как работи целият процес. Това, разбира се, не ги оправдава за много от недостатъците – известна поговорка в средите на информационната сигурност е че “скриването не е начин за сигурност.”

Голямата част от списъка на тези недостатъци на оперативната сигурност може да се коригира с елементарни и известни начини на организация – като например избор на множество екипи, които да се контролират взаимно. Други са просто азбучни случаи на пропуски в елементарни процедури за сигурност, каквито например не се допускат в сериозни организации, като най-големи телекомуникационни фирми. Познания и дисциплина да не ги допускат имат не само специалистите по сигурност, но и всички други участници в процеса, дори и не-технически ориентираните.

За да убедим скептиците, че е възможно тези пропуски не са ни най-малко сериозни или фатални и могат да бъдат преодолени, ще трябва да навлезем в технически подробности.

Някой ще възкликне: “Ама това е много сложно!” Да, сложно е. Но е дългогодишна практика, не нещо ново. “Дяволът – както се казва – се крие в детайлите”. “Ангелът също” – бих си позволил да добавя аз.

Ядрените реактори да не би да не са много сложни? А самолетите? При това от спазването на процедурите и правилата за тяхното правилно опериране зависи не просто един вот, а животът на стотици или дори милиони хора.

Затова нека се заемем с примерите на посочените пропуски в оперативната сигурност на естонския процес е-вота и как те могат да бъдат преодолени със стандартни, отдавна известни практики и технологии:

ПРОПУСК 1: “Сървърът, където се разработва софтуера за е-гласуването, е свързан директно към Интернет и така е атакуем както отвън, така и от инсталирането на вреден софтуер (“malware”) който да вкарва несигурност отвътре навън”.

Всяка уважаваща себе си организация има инфраструктура извън сървъра – защитна стена (firewall) и сървър за достъп до Интернет (proxy), през които трябва да се мине, за да се стигне до Интернет. Допълнително, основен принцип на сигурността е вътрешната мрежа на една организация да се сегментира като сървърите и другите важни елементи са на отделен сегмент, разделен с втора защитна стена от останалите компютри на “вътрешната” мрежа.

Основен принцип е както сървърите, така и вътрешната защитна стена по подразбиране да не позволяват връзка към Интернет.

Как ще защитите от някой, на когото му “трябва Интернет”, но е сам на сървъра в момента, от това да пренебрегне правилото и да се свърже директно към Интернет?

Елементарните стандартни практики за това са отдавна разработени:

 - поддържащите сървъри и поддържащите защитни устройства (като защитни стени) да саразлични роли изпълнявани от напълно различни екипи, подчинени на различни мениджъри

 - административната парола за сървъра или защитното устройство (например firewall) се въвежда от няколко души (например 2-ма или 3-ма, а най-добре – два екипа от по 2-ма или 3-ма). Всеки от тези 2-ма или трима знае само част от паролата. Така за да се влезе в режим на администрация на сървъра или устройството, трябва да присъстват всички 2-ма или 3-ма, като всеки последователно въвежда своята част от паролата. (Това е много стар механизъм – използван е за защита срещу злоупотреба за касата на Рилския манастир, например).

Чрез този начин се гарантира с много висока сигурност, че никой няма на своя глава – без да бъде премислен и оценен риска – да промени важни настройки на сървъра и така да застраши сигурността му.

Някой ще опонира, че това е много “тежка” процедура – изисква ангажирането едновременно на твърде много хора. Да, тежка е – но след като искаме възможно най-минималните рисков, трябва да сме готови да платим “цената” за това.

ПРОПУСК 2: “Използван е много слаб хеширащ алгоритъм за проверка интегритета на данни (SHA-1)”

Този пропуск се коригира елементарно (доста учудващо е въобще защо естонците са използвали толкова стар и отдавна обявен за слаб механизъм). Използва се просто много по-неразбиваемия SHA-512 (не струва нищо повече особено – малко повече време на компютъра да изчислява, но няма състезание да се извършва гласуването за микрочастица от секундата, нали?)

ПРОПУСК 3: “WiFi парола за мрежата на системите за гласуване се вижда написана на стената в една от стаите за разработка” (вижда се във видеото, направено от самия естонски екип за да покаже сигурността на процеса на е-вота).

Елементарна сигурност, която може да се гарантира от знаещи мениджъри, както и от взимноконтролиращи се добре обучени екипи..

Също така, от видеото въобще не става ясно дали в тази WiFi мрежа са включени сървърите и компютрите за разработка на софтуера за гласуване – тя би могла спокойно да е само за свързване към Интернет, например.

ПРОПУСК 4: “Ползва се онлайн услуга за дейности, които може да афектират сървърите: конкретно, вижда се как екипа разработва конфигурационни настройки ползвайки онлайн услуга.”

Отново – елементарна оперативна сигурност: ако е нужен Интернет, той се ползва на други компютри на друга мрежа, различна от тази на сървъри и работни станции за разработка , тестване и реализация на системата за е-вота. Пренасянето на информация от едната на другата мрежа може да става с междинни компютри, където да се прехвърля изработеното или сваленото от Интернет, да се сканира и да бъде достъпвано по другата мрежа, като първо компютъра бъде откачен от първата мрежа.

ПРОПУСК 5: “На работните станции за разработка на софтуера за е-гласуване има инсталирани ИГРИ и друг съмнителен софтуер“

Безспорно крайно аматьорско “изпълнение” на естонските колеги. Липса на елементарната практика на сигурността в случая е просто въпиюща – това е правило №1 на сериозно разработване на софтуер въобще от всяка елементарно уважаваща се организация.

Работните станции за разработка на е-вот софтуера трябва да са централно поддържани и “заключени” максимално срещу конфигурационни промени. Те трябва да не са притежание на разработчиците. Изготвящите софтуера не трябва да имат административни права върху тези станции. Софтуер трябва да се инсталира само от друг, отделен екип занимаващ се само с поддръжката им, и то само след изрично поискване и одобряване от мениджмънта. Станциите трябва да бъдат постоянно сканирани за промени в конфигурацията.

Всичко това са масови практики във всяка средна и всички големи фирми.

За проект като този – изискващ максимална степен на сигурност заради твърде голямата цена ако изборите бъдат фалшифицирани заради технологиите – трябва да се инсталира не само стандартния анти-вирусен софтуер, но и софтуер за наблюдение на интегритета (File Integrity Monitor – FIM) на всяка станция.

ПРОПУСК 6: “Ползване Windows компютри за разработка”

Всеизвестно е от десетки години, че – най-вече заради своето широко разпространение: над 90% от лаптопите и десктопите в света са Windows – това е платформата, за която има най-много вируси, “троянски коне” и най-успешни атаки.

Затова сигурността може значително да се подобри с наемане/обучаване на разработчици на платформи като Mac OS X или Linux, които да бъдат “домакин” на “виртуална” Windows система, изпълнявана вътре в тях и единствено ползвана за разработката.

Така ще е много по-сигурно изработването на софтуер за Windows (нали все пак повечето избиратели ще гласуват точно от Windows!), докато в същото време се намали многокатно възможността за атаки и тайно, незабележимо вмъкване на нежелан и опасен софтуер. Много добра и напълно възможна практика би било най-малко всеки ден – а защо дори не всеки час – да се “освежава” (преинициализира) виртуалния Windows от начално, проверено и сигурно копие.

А сървърния софтуер най-добре да бъде разработен на не-Windows система.

ПРОПУСК 7: “Използват се на ЛИЧНИ компютри в работата по софтуера и системата”

Тук едва ли има какво повече да се коментира от вече описаното в Пропуск 4.

ПРОПУСК 8: “ПИН-кодове и пароли за критични части на системата – сървъри, електронни карти – се въвеждат с просто писане с клавиатурата, което може да бъде прихванато от почти всеки троянски кон/вирус.”

Този пропуск се коригира като се въведе задължителна практика – като процедура, както и като технология – да се ползва “виртуална” (изписваща се на екрана графична клавиатура). Тогава ПИН-кода/паролата се въвежда с щракане на мишката върху графичните образи на клавишите на екрана. Така една тайно инсталирана “подслушваща” програма няма да може да “прихване” от кои символи се състоят тези чувствителни информационни елементи.

Огромна част от хората сигурно не знаят, но такъв начин за писане има вграден в Windows, както и в много други системи.

Друг начин – когато е нужно въвеждане на пароли на само текстови екрани (например сървърни конзоли/командни прозорци) е да се ползват не прости пароли, а двойка публичен/частен ключ, защитена с парола. Логването тогава е възможно само ако и ключа е наличен (а той може да е на флаш памет или друг външен носител, които се прикачат към компютъра само в момента на логването/аутентикирането).

Последното не е абсолютна защита, но би спряло огромна част от враждебните подслушващи софтуери да копират и след това да използват ПИН-а/паролата.

ПРОПУСК 9: “Използват се твърде елементарни физически ключове за вратите и шкафовете на ИТ-центъра където са сървърите; много лесно да се копира ако някой го види”.

Отново неясен елементарен пропуск на физическата сигурност: всяка ключалка може да бъде “хакната”, но някои са много трудни и нужното време е много или инструментите – доста скъпи.

Тази заплаха се намалява значимо с ползване на по-сложни ключалки. Но да не забавяме, че ключът въобще е видян само благодарение на видеото, което естонците са направили, в което той попада случайно.

ПРОПУСК 10: “Използва се свързване на външни устройства – като USB флаш памет – към най-важните елементи на системата” (сървърите за приемане и броене на гласове).

Безспорно, на най-критичните елементи на системата могат да бъдат ограничени или изключени (чрез настройки в BIOS или операционната система) свързванията на несигурни устройства. Проблемът специално с флаш памет идва от факта, че така най-ефективно се инсталират “rootkits” (дълбоко “окопани” и трудни за откриване враждебни атакуващи програми). Точно по този начин е бил пренесен специализирания софтуер, с който бяха извадени от строя хиляди центрофуги за обогатяване на уран в Иран преди няколко години.

 

Освен гореизброените, има и още многобройни станали стандартни защитни механизми и идеи, които или не са били реализирани от естонския екип, или не е известно да с ползвани. Ще ги изброя набързо, но съвсем кратко казано те могат да повишат изключително много сигурността на една система за е-гласуване:

 - Програмата за е-гласуване, която се сваля от избирателя, да е на практика специално направена и максимално заключена “виртуална машина” – за да бъде много по-трудно атакувана от компрометиран компютър, от който се гласува

 - Защита на Интернет-свързаните сървъри – освен с обикновени мрежови защитни стени (firewalls) – и с облачно-базирани специализирани защитни стени за уеб-приложения (WAF). Такива услуги спират огромен брой атаки преди още въобще да стигнат до същинския сървър.

 - Динамично “въртене” на IP адресите на Интернет-свързаните сървъри – за да не могат да бъдат атакувани лесно с DDoS атака (“динамична разпределена атака” с цел забавяне или сриване работата на сървърите)

 - Ползването на няколкостотин – а не само няколко – сървъра за гласуване

 - Ползване идеята за “разпределено съхранение на данни” – на практика по пример на “торентите”, като криптирания глас се съхранява на всеки компютър на избирател, инсталирал си софтуера за гласуване; така ще стане абсолютно невъзможно да се подменят гласове на “централния” компютър за броене – както е посочено за слабост в естонската система

 - Ползване на български специалисти за разработката, но на чуждестранни специалисти за контрола, наблюдението и инсталацията на софтуера и техническите системи за е-гласуването

 - Ползване на много голям брой и географски пръснати по целия свят сървъри в специализирани и с висока сигурност информационни центове – за предотвратяване атака на българската Интернет-инфраструктура (единствената сериозна и доказана атака срещу естонското е-гласуване е осъществена точно по тази причина – е всичко е на “едно място”, в мрежата на една държава)

Разбира се, много от предложените решения на пропуските изискват наемането на много добре обучени и с голяма практика специалисти по информационна сигурност. Евтино. Но след като искаме да осигурим много по-голяма степен на сигурност спрямо други дейности с електронни технологии, е само въпрос на воля да го направим.

Като заключение, трябва да не забравяме, че всяка защита на система – техническа или не – е преодолима, защото по дефиниция е несъвършена. Не само заради многобройните непредвидени състояния, в които може да изпадне, но най-вече защото е създадена от несъвършени хора.

Въпросът е рискът да е достатъчно малък, за да е приемлив за обществото.

Ако чакахме всяка технология да бъде “100% сигурна”, щяхме да живеем вероятно още в пещерите.

Текстът е от блога на Красимир Гаджоков. Публикуваме го с позволение на автора.

 
Снимка euinside.eu

Наближава референдумът по въпроса дали да въведем дистанционно електронно гласуване по Интернет. Медиите бълват статии – и особено коментари – дали и колко сигурен е този начин за упражняване на вота.

Забелязват се огромни приливни вълни от лаици, които може би добросъвестно, но твърде умозрително или повърхностно разсъждават по специфични въпроси, които не са по силите им.

Продължават да се ширят и масово отдавна разбулени, несвързани с електронното гласуване митове. Например, че гласовете се броят от “чували” – тотално невярно: броят се по данни на секционните избирателни комисии. Те от своя страна са ги преброили пред наблюдателите и застъпниците и изпратили протоколите веднага в РИК/ЦИК по факс или емейл.

Сред тази какафония, обаче, има и скептици, базиращи своето отрицателно отношение към е-гласуването на сериозни анализи на независими експерти.

Особено популярни са дискусиите за най-напредналата с електронно гласуване в света държава – Естония. Масово известни – цитирани в западаната преса и в България – са критичните видеопрезентации на професор Дж. Алекс Халдерман към естонската система.

Като старши специалист с над 10 години стаж в областта на информационната сигурност в мултимилиардна канадска компания, това няма как да не привлича моето внимание.

Няма “загадка” какво е моето лично мнение за това може ли да се подобри естонската система или дали може да се направи още по-добра такава. Фактът, че съм един от 42-мата членове на най-големият и най-известен граждански Инициативен комитет в подкрепа на електронното гласуване “Гласувай без граници” с представляващ тенис-легендата Мануела Малеева, говори красноречиво.

Че не само аз съм на това мнение говори и друг факт: във въпросният инициативен комитет сме 15 дългогодишни ИТ-професионалисти и ИТ-предприемачи. Отделно, към ИК има 5-ма експерти по информационни технологии. Няколко от всички тези професионалисти сме специализирани в информационна сигурност.

Безспорно, видеопрезентациите на проф. Халдерман са ефектни. В тях са показани някои съществени слаби страни на естонската система за гласуване.

Но огромна част от откритията за “несигурност” не е толкова в технологиите. Самият професор признава, че естонците са разработили една сложна система с много добър дизайн на сигурността.

Най-големите проблеми, посочвани в най-известните му презентации, са в областта на прилагането на елементарни процедури и правила за оперативна сигурност.

Какво е оперативната сигурност? Това е да има подробни и завършени, описани процедури да се прилагат най-добрите практики в областта на информационната сигурност, съпътстващи изграждането и експлоатирането на една техническа система.

Ето един пример: оставяте ли ключ под изтривалката пред апартамента си? Някои все още го правят. Това е лоша оперативна сигурност: вие знаете, че не трябва да оставяте ключ там, защото е леснодостъпно място и защото е известно, че се прави.

Точно такива са много голямата част от проблеми, които са открили професор Халдерман и неговия екип. Примерите, които той дава, са почти само за липса или неспазване на елементарни процедури и правила.

Някой ще възкликне: след като естонците не са ги спазили, каква е гаранцията че ние ще ги спазим?

Аз бих попитал: а какви са гаранциите, че се спазват механизмите за защита на изборите от манипулации при сегашното (физическо) гласуване? Такива гаранции има точно колкото и при бъдещето електронно гласуване – можете да се убедите от публикацията на Йовко Ламбрев.

Забележете, че голяма част от тези “открития” за несъвършена сигурност в естонския процес на е-гласуване стават известни не защото са открити от проверяващи ии изследователски екипи, а заради доброволна инициатива на самия екип на естонците – да заснемат видео, демонстриращо как работи целият процес. Това, разбира се, не ги оправдава за много от недостатъците – известна поговорка в средите на информационната сигурност е че “скриването не е начин за сигурност.”

Голямата част от списъка на тези недостатъци на оперативната сигурност може да се коригира с елементарни и известни начини на организация – като например избор на множество екипи, които да се контролират взаимно. Други са просто азбучни случаи на пропуски в елементарни процедури за сигурност, каквито например не се допускат в сериозни организации, като най-големи телекомуникационни фирми. Познания и дисциплина да не ги допускат имат не само специалистите по сигурност, но и всички други участници в процеса, дори и не-технически ориентираните.

За да убедим скептиците, че е възможно тези пропуски не са ни най-малко сериозни или фатални и могат да бъдат преодолени, ще трябва да навлезем в технически подробности.

Някой ще възкликне: “Ама това е много сложно!” Да, сложно е. Но е дългогодишна практика, не нещо ново. “Дяволът – както се казва – се крие в детайлите”. “Ангелът също” – бих си позволил да добавя аз.

Ядрените реактори да не би да не са много сложни? А самолетите? При това от спазването на процедурите и правилата за тяхното правилно опериране зависи не просто един вот, а животът на стотици или дори милиони хора.

Затова нека се заемем с примерите на посочените пропуски в оперативната сигурност на естонския процес е-вота и как те могат да бъдат преодолени със стандартни, отдавна известни практики и технологии:

ПРОПУСК 1: “Сървърът, където се разработва софтуера за е-гласуването, е свързан директно към Интернет и така е атакуем както отвън, така и от инсталирането на вреден софтуер (“malware”) който да вкарва несигурност отвътре навън”.

Всяка уважаваща себе си организация има инфраструктура извън сървъра – защитна стена (firewall) и сървър за достъп до Интернет (proxy), през които трябва да се мине, за да се стигне до Интернет. Допълнително, основен принцип на сигурността е вътрешната мрежа на една организация да се сегментира като сървърите и другите важни елементи са на отделен сегмент, разделен с втора защитна стена от останалите компютри на “вътрешната” мрежа.

Основен принцип е както сървърите, така и вътрешната защитна стена по подразбиране да не позволяват връзка към Интернет.

Как ще защитите от някой, на когото му “трябва Интернет”, но е сам на сървъра в момента, от това да пренебрегне правилото и да се свърже директно към Интернет?

Елементарните стандартни практики за това са отдавна разработени:

 - поддържащите сървъри и поддържащите защитни устройства (като защитни стени) да саразлични роли изпълнявани от напълно различни екипи, подчинени на различни мениджъри

 - административната парола за сървъра или защитното устройство (например firewall) се въвежда от няколко души (например 2-ма или 3-ма, а най-добре – два екипа от по 2-ма или 3-ма). Всеки от тези 2-ма или трима знае само част от паролата. Така за да се влезе в режим на администрация на сървъра или устройството, трябва да присъстват всички 2-ма или 3-ма, като всеки последователно въвежда своята част от паролата. (Това е много стар механизъм – използван е за защита срещу злоупотреба за касата на Рилския манастир, например).

Чрез този начин се гарантира с много висока сигурност, че никой няма на своя глава – без да бъде премислен и оценен риска – да промени важни настройки на сървъра и така да застраши сигурността му.

Някой ще опонира, че това е много “тежка” процедура – изисква ангажирането едновременно на твърде много хора. Да, тежка е – но след като искаме възможно най-минималните рисков, трябва да сме готови да платим “цената” за това.

ПРОПУСК 2: “Използван е много слаб хеширащ алгоритъм за проверка интегритета на данни (SHA-1)”

Този пропуск се коригира елементарно (доста учудващо е въобще защо естонците са използвали толкова стар и отдавна обявен за слаб механизъм). Използва се просто много по-неразбиваемия SHA-512 (не струва нищо повече особено – малко повече време на компютъра да изчислява, но няма състезание да се извършва гласуването за микрочастица от секундата, нали?)

ПРОПУСК 3: “WiFi парола за мрежата на системите за гласуване се вижда написана на стената в една от стаите за разработка” (вижда се във видеото, направено от самия естонски екип за да покаже сигурността на процеса на е-вота).

Елементарна сигурност, която може да се гарантира от знаещи мениджъри, както и от взимноконтролиращи се добре обучени екипи..

Също така, от видеото въобще не става ясно дали в тази WiFi мрежа са включени сървърите и компютрите за разработка на софтуера за гласуване – тя би могла спокойно да е само за свързване към Интернет, например.

ПРОПУСК 4: “Ползва се онлайн услуга за дейности, които може да афектират сървърите: конкретно, вижда се как екипа разработва конфигурационни настройки ползвайки онлайн услуга.”

Отново – елементарна оперативна сигурност: ако е нужен Интернет, той се ползва на други компютри на друга мрежа, различна от тази на сървъри и работни станции за разработка , тестване и реализация на системата за е-вота. Пренасянето на информация от едната на другата мрежа може да става с междинни компютри, където да се прехвърля изработеното или сваленото от Интернет, да се сканира и да бъде достъпвано по другата мрежа, като първо компютъра бъде откачен от първата мрежа.

ПРОПУСК 5: “На работните станции за разработка на софтуера за е-гласуване има инсталирани ИГРИ и друг съмнителен софтуер“

Безспорно крайно аматьорско “изпълнение” на естонските колеги. Липса на елементарната практика на сигурността в случая е просто въпиюща – това е правило №1 на сериозно разработване на софтуер въобще от всяка елементарно уважаваща се организация.

Работните станции за разработка на е-вот софтуера трябва да са централно поддържани и “заключени” максимално срещу конфигурационни промени. Те трябва да не са притежание на разработчиците. Изготвящите софтуера не трябва да имат административни права върху тези станции. Софтуер трябва да се инсталира само от друг, отделен екип занимаващ се само с поддръжката им, и то само след изрично поискване и одобряване от мениджмънта. Станциите трябва да бъдат постоянно сканирани за промени в конфигурацията.

Всичко това са масови практики във всяка средна и всички големи фирми.

За проект като този – изискващ максимална степен на сигурност заради твърде голямата цена ако изборите бъдат фалшифицирани заради технологиите – трябва да се инсталира не само стандартния анти-вирусен софтуер, но и софтуер за наблюдение на интегритета (File Integrity Monitor – FIM) на всяка станция.

ПРОПУСК 6: “Ползване Windows компютри за разработка”

Всеизвестно е от десетки години, че – най-вече заради своето широко разпространение: над 90% от лаптопите и десктопите в света са Windows – това е платформата, за която има най-много вируси, “троянски коне” и най-успешни атаки.

Затова сигурността може значително да се подобри с наемане/обучаване на разработчици на платформи като Mac OS X или Linux, които да бъдат “домакин” на “виртуална” Windows система, изпълнявана вътре в тях и единствено ползвана за разработката.

Така ще е много по-сигурно изработването на софтуер за Windows (нали все пак повечето избиратели ще гласуват точно от Windows!), докато в същото време се намали многокатно възможността за атаки и тайно, незабележимо вмъкване на нежелан и опасен софтуер. Много добра и напълно възможна практика би било най-малко всеки ден – а защо дори не всеки час – да се “освежава” (преинициализира) виртуалния Windows от начално, проверено и сигурно копие.

А сървърния софтуер най-добре да бъде разработен на не-Windows система.

ПРОПУСК 7: “Използват се на ЛИЧНИ компютри в работата по софтуера и системата”

Тук едва ли има какво повече да се коментира от вече описаното в Пропуск 4.

ПРОПУСК 8: “ПИН-кодове и пароли за критични части на системата – сървъри, електронни карти – се въвеждат с просто писане с клавиатурата, което може да бъде прихванато от почти всеки троянски кон/вирус.”

Този пропуск се коригира като се въведе задължителна практика – като процедура, както и като технология – да се ползва “виртуална” (изписваща се на екрана графична клавиатура). Тогава ПИН-кода/паролата се въвежда с щракане на мишката върху графичните образи на клавишите на екрана. Така една тайно инсталирана “подслушваща” програма няма да може да “прихване” от кои символи се състоят тези чувствителни информационни елементи.

Огромна част от хората сигурно не знаят, но такъв начин за писане има вграден в Windows, както и в много други системи.

Друг начин – когато е нужно въвеждане на пароли на само текстови екрани (например сървърни конзоли/командни прозорци) е да се ползват не прости пароли, а двойка публичен/частен ключ, защитена с парола. Логването тогава е възможно само ако и ключа е наличен (а той може да е на флаш памет или друг външен носител, които се прикачат към компютъра само в момента на логването/аутентикирането).

Последното не е абсолютна защита, но би спряло огромна част от враждебните подслушващи софтуери да копират и след това да използват ПИН-а/паролата.

ПРОПУСК 9: “Използват се твърде елементарни физически ключове за вратите и шкафовете на ИТ-центъра където са сървърите; много лесно да се копира ако някой го види”.

Отново неясен елементарен пропуск на физическата сигурност: всяка ключалка може да бъде “хакната”, но някои са много трудни и нужното време е много или инструментите – доста скъпи.

Тази заплаха се намалява значимо с ползване на по-сложни ключалки. Но да не забавяме, че ключът въобще е видян само благодарение на видеото, което естонците са направили, в което той попада случайно.

ПРОПУСК 10: “Използва се свързване на външни устройства – като USB флаш памет – към най-важните елементи на системата” (сървърите за приемане и броене на гласове).

Безспорно, на най-критичните елементи на системата могат да бъдат ограничени или изключени (чрез настройки в BIOS или операционната система) свързванията на несигурни устройства. Проблемът специално с флаш памет идва от факта, че така най-ефективно се инсталират “rootkits” (дълбоко “окопани” и трудни за откриване враждебни атакуващи програми). Точно по този начин е бил пренесен специализирания софтуер, с който бяха извадени от строя хиляди центрофуги за обогатяване на уран в Иран преди няколко години.

 

Освен гореизброените, има и още многобройни станали стандартни защитни механизми и идеи, които или не са били реализирани от естонския екип, или не е известно да с ползвани. Ще ги изброя набързо, но съвсем кратко казано те могат да повишат изключително много сигурността на една система за е-гласуване:

 - Програмата за е-гласуване, която се сваля от избирателя, да е на практика специално направена и максимално заключена “виртуална машина” – за да бъде много по-трудно атакувана от компрометиран компютър, от който се гласува

 - Защита на Интернет-свързаните сървъри – освен с обикновени мрежови защитни стени (firewalls) – и с облачно-базирани специализирани защитни стени за уеб-приложения (WAF). Такива услуги спират огромен брой атаки преди още въобще да стигнат до същинския сървър.

 - Динамично “въртене” на IP адресите на Интернет-свързаните сървъри – за да не могат да бъдат атакувани лесно с DDoS атака (“динамична разпределена атака” с цел забавяне или сриване работата на сървърите)

 - Ползването на няколкостотин – а не само няколко – сървъра за гласуване

 - Ползване идеята за “разпределено съхранение на данни” – на практика по пример на “торентите”, като криптирания глас се съхранява на всеки компютър на избирател, инсталирал си софтуера за гласуване; така ще стане абсолютно невъзможно да се подменят гласове на “централния” компютър за броене – както е посочено за слабост в естонската система

 - Ползване на български специалисти за разработката, но на чуждестранни специалисти за контрола, наблюдението и инсталацията на софтуера и техническите системи за е-гласуването

 - Ползване на много голям брой и географски пръснати по целия свят сървъри в специализирани и с висока сигурност информационни центове – за предотвратяване атака на българската Интернет-инфраструктура (единствената сериозна и доказана атака срещу естонското е-гласуване е осъществена точно по тази причина – е всичко е на “едно място”, в мрежата на една държава)

Разбира се, много от предложените решения на пропуските изискват наемането на много добре обучени и с голяма практика специалисти по информационна сигурност. Евтино. Но след като искаме да осигурим много по-голяма степен на сигурност спрямо други дейности с електронни технологии, е само въпрос на воля да го направим.

Като заключение, трябва да не забравяме, че всяка защита на система – техническа или не – е преодолима, защото по дефиниция е несъвършена. Не само заради многобройните непредвидени състояния, в които може да изпадне, но най-вече защото е създадена от несъвършени хора.

Въпросът е рискът да е достатъчно малък, за да е приемлив за обществото.

Ако чакахме всяка технология да бъде “100% сигурна”, щяхме да живеем вероятно още в пещерите.

Текстът е от блога на Красимир Гаджоков. Публикуваме го с позволение на автора.

Коментари

Анонимен's picture
Анонимен

дебелян пеевский

Поредният дълъг буламач от дреболии от самозван "експерт", който може да се обобщи с два реда: "какво като не можем да предложим сигурно гласуване по интернет, щом според нас няма и сигурно хартиено". Проблемът, смешнико, не е в "оперативните проблеми", проблемът е там, че електронното гласуване по интернет нарушава конституцията. В нея има три изисквания: лично, тайно и свободно волеизявление. Естонският модел не задоволява нито едно от трите.
Анонимен's picture
Анонимен

дебелян пеевский

Най-напред, лично. При "хартиено" гласуване, личността на гласуващия се удостоверява от комисия от застъпници на всички партии. При гласуване по интернет, особено от естонски тип с някакъв идентификационен знак, няма посмъртно начин да се установи дали някой е гласувал лично или не. Това не е "оперативен", а принципен проблем.
Анонимен's picture
Анонимен

дебелян пеевский

Второ, тайно. Естонската система не гарантира тайно гласуване. При контролиран екип е тривиално да се свърже подадения глас с подалия го. Теорията, че екипите могат да се разделят по някакъв сложен начин така, че да се контролират един друг е подходяща за друга система, за нашия случай е най-добре или да се предложи протокол, който да осигурява тайна, или да не се предлага нищо. Засега от самозваните "експерти" няма предложения на протокол, който да гарантира такова гласуване. Списалият дългия текст по-горе не си е мръднал пръста дори да препостне нещо от Applied Cryptography на Шнайер. Айде по-сериозно.
Анонимен's picture
Анонимен

дебелян пеевский

Трето, свободно. При "хартиено" гласуване, свободата на гласуване се гарантира от тъмната стаичка. При гласуването от "естонски" тип, у нас ще се получи следното: някой ще събере картите за гласуване на целия контролиран вот и ще гласува от тяхно име от някое "тъмно" място. Някой, вероятно част от екипа, който ще управлява системата, ще е предоставил достатъчно информация, за да бъде измамата неуловима.
Анонимен's picture
Анонимен

дебелян пеевский

Четвърто, глупаците, които пеят по свирката на герберастията за гласуване по интернет, продължават да си въобразяват, че от това ще има увеличение на изборната активност в чужбина. Обаче естонския опит показва друго -- от чужбина електронно гласуват 5% -- колкото сега гласуват българи, и колкото преди са гласували естонци. Драстично увеличение няма. У нас драстично увеличение ще има само в една демографска група -- контролираната, и то ще е значително, защото избягвнето на трите конституционни изисквания с въвеждането на карта за гласуване ше намали значително разходите за манипулация. Това е голям оперативен плюс за мошениците.
Анонимен's picture
Анонимен

дебелян пеевский

Вместо да се гонят илюзорни щуротии, много по-хитро е да се направи така, че гласуването да иска активна регистрация няколко месеца преди изборите. Това е мярка, която ще има голям ефект върху купения вот. Гласуването по интернет е връчване на ключовете към държавното управление на тези, които ще го организират - герберастите. С чувалите.
Анонимен's picture
Анонимен

дебелян пеевский

Малко по "аргументите": 1. "Ядрените реактори да не би да не са много сложни? А самолетите?" -- това е логическата грешка, известна като лъжлива аналогия. Проблемите на електронното гласуване нямат нищо общо с тези на управление на ядрени реактори или самолети. Или пък на онлайн банкиране. 2. "пропуск 1 - пропуск n" -- подбраните "пропуски" са удобни за контракритикуване, но те не засягат основните дефекти на системата -- а именно, че в нея е тривиално осъществимо разкриване на тайната на гласуване и е тривиално да се подмени вотът. Техническите пречки за избягване на шашми от организаторите са нулеви и ЕДИНСТВЕНАТА пречка пред фалшификация са именно ОПЕРАТИВНИТЕ правила, които, както "експертът" признава, са дефектни. Т.е. системата се крепи на честната дума на началниците на администраторите. Еми, вЕрвайте, че нема да ви излъжат. Те баща, те майка, защо им е? И вервайте на глупаци, които ви продават от пиле мляко или, както му викат в кръговете по компютърна безопасност, snake oil. Статията по-горе е именно такова мляко.
Анонимен's picture
Анонимен

Ама това лапе момченце ли е? Мяза на момиченце O_o
Анонимен's picture
Анонимен

а друго нещо не ти ли напраи вчепетление?
Анонимен's picture
Анонимен

Направи ми. Многословен е.
Анонимен's picture
Анонимен

Petkov

административната парола за сървъра или защитното устройство (например firewall) се въвежда от няколко души (например 2-ма или 3-ма, а най-добре – два екипа от по 2-ма или 3-ма). Всеки от тези 2-ма или трима знае само част от паролата. Така за да се влезе в режим на администрация на сървъра или устройството, трябва да присъстват всички 2-ма или 3-ма, като всеки последователно въвежда своята част от паролата. (Това е много стар механизъм – използван е за защита срещу злоупотреба за касата на Рилския манастир, например).

Това е добър пример че трябва да бъдат купени само 3-ма човека а не цяла избирателна комисия от всички.

от гледна точка на закона нито едни администратор няма правата, делегирани в изборния закон или за да бъде еквивалентно представени партиите системните администратори трябва да бъдат от всички партии!
Колкото са партиите, толкова да са администраторите.
И да паролата да бъде системна за всички едновеременно.

/според изборните правила/
Анонимен's picture
Анонимен

Петков

Долните "пропуски" са обикновени глупости и са несъотносими към проблематиката на онлайн гласуване, т.н. фалшифиви пуйки в лова.

ПРОПУСК 2: “Използван е много слаб хеширащ алгоритъм за проверка интегритета на данни (SHA-1)”

Този пропуск се коригира елементарно (доста учудващо е въобще защо естонците са използвали толкова стар и отдавна обявен за слаб механизъм). Използва се просто много по-неразбиваемия SHA-512 (не струва нищо повече особено – малко повече време на компютъра да изчислява, но няма състезание да се извършва гласуването за микрочастица от секундата, нали?)

ПРОПУСК 3: “WiFi парола за мрежата на системите за гласуване се вижда написана на стената в една от стаите за разработка” (вижда се във видеото, направено от самия естонски екип за да покаже сигурността на процеса на е-вота).

Елементарна сигурност, която може да се гарантира от знаещи мениджъри, както и от взимноконтролиращи се добре обучени екипи..

Също така, от видеото въобще не става ясно дали в тази WiFi мрежа са включени сървърите и компютрите за разработка на софтуера за гласуване – тя би могла спокойно да е само за свързване към Интернет, например.

ПРОПУСК 4: “Ползва се онлайн услуга за дейности, които може да афектират сървърите: конкретно, вижда се как екипа разработва конфигурационни настройки ползвайки онлайн услуга.”
Анонимен's picture
Анонимен

Петков

Оф не мога да доизчета тези пълни компютърноподобни глупости отгоре, този човек с качеството си на какъв пише.
То въобще не е наясно нито с системно администриране, нито с разработване на софтуер, нито с юридическите проблеми на тази специфика.
Мисли си, че става дума за сигурност на електронен магазин.
И въобще не коментира човешкия фактор.
Анонимен's picture
Анонимен

Петков

Основното е че система не гарантира присъствието на човека, а регистрира данни изпратени от компютър.
Няма достатъчно сигурна комп. иднтифицираща система с очно, лицево, дактилно, гласово разпознаване, да не говорим, че горните форми са неприложими са масов гласоподавател.
А за идентификация с електронния подпис е смешно и наивно, като от 90-те години, днес масово счетоводителите ползват електронния подпис на шефа си за подаване на данни, примерно в ЕТ фирмите.
Гадно е, нали ;)
Анонимен's picture
Анонимен

Отгоре на всичко и не е морално. Който не си плаща данъците в нашата държава, няма причина и да гласува в нея. Това са ония от босфора и от Чикаго и от всякъде. Ние сме тук, ние живеем тук и работим тук, плащаме данъци тук. Те като какви, трябва да решават съдбата ни? Че имали наш паспорт и какво от това?
Анонимен's picture
Анонимен

Б.С.

С правото, че връщат над милиард евро на година в тая държава. Нелош аргумент, не мислиш ли?
Анонимен's picture
Анонимен

Не.
Анонимен's picture
Анонимен

Красимир Гаджоков, автор

Купуването на вот и контролираното гласуване със заплаха нямат НИЩО общо с вид/технология на гласуване. Те са същите като при сегашното физически (присъствено) гласуване.
Могат да бъдат намалени или да изчезнат само ако хората, поддаващи се на купуване или заплахи, пораснат в собствените си очи и откажат да бъдат купени или да се поддадат на заплаха.
Защо не се купуват гласове в развитите държави? Защото хората не се продават.

Доказателство, че днешната система за гласуване е точно толкова поддаваща се купен/контролиран вот е отдавна изестния начин: избирателя заснема бюлетината с вота си в тайната кабинка със смартфон, и така доказва гласа си пред подкупващия/заплашвашия. Евтино, просто, осъществимо.
Анонимен's picture
Анонимен

Красимир Гаджоков, автор

Аналогията с ядрените централи и самолетите е посочена за да покаже че има къде-къде по-СЛОЖНИ системи, при които ВЪПреКИ че има риск - при това за ЖИВОТА ни - ние продължаваме да ги ползваме.
Друго общо между тях няма, но точно това е много показателно от гледна точка на РИСКА, който сме готови да поемаме в ежедневието.
Анонимен's picture
Анонимен

"Техническите пречки за избягване на шашми от организаторите са нулеви" е крайно невярно твърдение:

1) ако беше така, то в естонските избори - проведени вече няколко пъти - някой щеше да е използвал тези "шашми"; очевидно е практически невъзможно - затова и не са се случили

2) това, че нещо е ВЪЗМОЖНО да стане въобще не означава, че е ДОСТАТЪЧНО ВЕРОЯТНО; възможно е да полетим във въздуха - но вероятността за това е нищожна; в ежедевия си живот ние успяваме , защото се базираме на РЕАЛНИ вероятности, а не само на крайно невероятни ВЪЗМОЖНОСТИ; иначе не ттрябва да излизаме на улицата - защото е ВЪЗМОЖНО да падне керемида от някоя сграда и да не убие ... но дори и у дома има толкова възможности да ни убият или застраша живота ни; въпреки всички тях, ние живеем и вършим нещата

3) "шашми" издава неразбиране и страх от сложността; това , че нещо е сложно и конкретен човек не го разбира, не означава, че то не работ или че е лесно повредимо;
Анонимен's picture
Анонимен

"шашми" издава неразбиране и страх от сложността -- бе я стига дрънка глупости бе, лапацало. "шашми" тука се използва в конкретен и точен смисъл: "мерки за преодоляване на техническите и организационни пречки пред изборната измама при използване на система, подобна на естонската". какво издава това, гадателю?
Анонимен's picture
Анонимен

Красимир Гаджоков, автор

няколко други коментара по коментарите тук:

- В момента референдума в чужбина ще струва 1.5 млн. лева; това е на всеки 4-4.5 години поне (заради избори за НС и президент)

- удостоверяването на самоличността при хартиено гласуване как става? не е вярно, че става И пред застъпниците и наблюдателите; става обикновено само пред ЕДИН член на СИК (другите са заети или с други хора, или с други дейности); и няма особено "удостоверяване" - спокойно може да се гласува с лична карта на друг човек - винаги можете да оправдаете пред комисията че сте се променил (коса, брада, очила) - не че някой въобще ще посмее да се усъмни - така че няма НИКАКВА особена сигурност в сегашното "удостоверяане" на самоличността

- бих бил самозван експерт ако професията ми от 10 години не е "старши консултант по информационна сигурност"; работя в една от 3-те най-големи канадски телекомуникационни фирми, с годишни приходи 11 млрд долара (20% от БВП на България) и това, че тази фирма не е в новините като много други заради това че е била "хакната", се надявам да е резултат и от моите скромни усилия (заедно с тези на екип от още 150 специалисти по сигурността)
Анонимен's picture
Анонимен

Красимир Гаджоков, автор

И ще е хубаво всички да прочитаме Коснтитуцията, преди да я цитрираме невярно:

"Изборите, националните и местните референдуми се произвеждат въз основа на общо, равно и пряко избирателно право с тайно гласуване."

В Конституцията няма "лично" за гласуване в избори. Което не означава, че няма подобн изискван в Изборния закон. Но "лично" ни най-малк оне означава нито "физическо", нито "на място".

Анонимен's picture
Анонимен

Красимир Гаджоков, автор

И от прословутото решение на Коснтитуционния съд:

"Само за себе си електронното гласуване не е противоконституционно, бидейки вид дистанционно гласуване, каквото е отдавна практикуваното в други държави гласуване по пощата; принципно не е в противоречие с международни договори, по които Република България е страна."

....

"Конституционният съд е наясно, че електронното гласуване е адекватна на съвременните реалности възможност, която разширява и улеснява участието на гражданите в изборите, но само ако ефикасно е гарантирана тайната на вота.

За последователното и трайно, а не експериментално въвеждане на електронното гласуване на избори е наложителна стриктна и прецизно синхронизирана правна уредба, чрез която адекватно на конституционните принципи да се реализират избирателните права на гражданите и така изборите да легитимират държавното управление, основаващо се върху вота на избирателите, даден в честно и плуралистично състезание."
Анонимен's picture
Анонимен

дебелян пеевский

"Купуването на вот и контролираното гласуване със заплаха нямат НИЩО общо с вид/технология на гласуване. " -- Глупости. Аксиома е, че в такива случаи става дума за относителната цена на измамата. Колкото е по-евтино да се извърши, толкова по-голяма е вероятността, че ще се случи. Гласуването по интернет в "естонския" му вариант е най-евтиният и безпроблемен механизъм за контролиран вот, който някога е предлаган у нас. "Защо не се купуват гласове в развитите държави? " -- по-интересният въпрос е защо "развитите" държави нямат гласуване по интернет. Защо Щатите, Канада, Англия, Холандия, Франция, Германия и Япония продължават да гласуват като в каменния век, на място?
Анонимен's picture
Анонимен

дебелян пеевский

"от гледна точка на РИСКА, който сме готови да поемаме в ежедневието." -- Ма бива ли такава наивност. При ядрената енергетика и авиацията срещу риска стоят реални ползи - евтина енергия и бърз транспорт. Какво стои срещу рисковете на електронното гласуване? Нищо. Вече можем да съдим от опита на Естония. Няма да видим нито увеличение на изборна активност, нито вот от нашите "образовани и богати" бивши сънародници, като изключим малкото останали в клуба по интереси "Българският Великден". За какво да ручаме жабетата, след като тия същите пари могат да се дадат за нещо по-смислено -- подобряване на процедурата в момента? Гласуването по интернет е "червена треска" (aka red herring), с която Бостан и платените от тях се опитват да ни продадат най-голямата изборна измама евър. Толкоз.
Анонимен's picture
Анонимен

дебелян пеевский

"не е вярно, че става И пред застъпниците и наблюдателите; става обикновено само пред ЕДИН член на СИК (другите са заети или с други хора, или с други дейности); и няма особено "удостоверяване" - спокойно може да се гласува с лична карта на друг човек" -- тоя лъжльо очевидно не е гласувал никога на български избори. айде у лево, кандидат-вени-марковски такъв.
Анонимен's picture
Анонимен

Красимир Гаджоков, автор

Гласувал съм на абсолютно всички избори в България до 1995 (през 1990-а - застъпник за СДС), след това от 2001 - когато за пръв път бяха организаирани в чужбина - пак на всички избори, вкл. президетнски. Бил съм и член на СИК в Торонто, и наблюдател. Така че много добре знам как предминава процеса по удостоверяване самоличността на гласоподавателя. Максимум 2-ма да поглеждат личната карта - при това единия не сравнява човека пред него със снимката, а просто преписва нужните данни от ЛК в избирателния списък.
/// Различно е спрямо България, защото повечето хора в чужбина биват вписвани на място в избирателните списъци - няма ги предварително, както в България.
Анонимен's picture
Анонимен

Пичкоманда

На теория е-гласуване може да бъде сигурно. На практика си говорим за България. Нали се сещате, онази държава, където обществените поръчки се правят, за да се приберат едни пари. Ама вие продължавайте да бълнувате и гласувайте с ДА. После да няма "ние ква я мислихме, тя ква стана".
Анонимен's picture
Анонимен

Красимир Гаджоков, автор

Точно заради изключително чуствителния въпрос поръчката може да бъде направена изрично за чуждестранна фирма.

Най

Следвайте ни

 
 

Още по темата

Още от категорията

Анкета

Кой ще понесе отговорността за НАПлийкс?