Varnostni
problemi elektronskih volilnih naprav
Nekateri
primeri odkritih varnostnih ranljivosti elektronskih volilnih naprav
Uporaba elektronskih volilnih naprav, za katere je bilo značilno, da so
bile zaprtokodne (torej javnosti ni bil omogočen dostop do programske
kode, saj so uporabljale lastniško programje), je imela
številne varnostne posledice. Naj naštejemo le nekatere:
- Nekateri volilci v ZDA niso mogli glasovati.
- Nekateri glasovi v ZDA so bili napačno prešteti.
- Marca 2003 je na
FTP strežnik podjetja Diebold vdrl heker in novinarjem ter
aktivistom posredoval 15.000 internih obvestil podjetja, ki dokazujejo,
da je bilo podjetje Diebold z varnostnimi pomankljivostmi seznanjeno,
vendar so sistem kljub temu prodajali še naprej. Zaradi teh varnostnih
pomankljivosti je lahko kdorkoli, ki je imel dostop do glasovalnih
naprav dodajal ali brisal volilne glasove.
- Prihajalo je do primerov privatizacije volitev. Podjetje
Diebold naj bi v zvezni državi Georgiji in brez nadzora državnih
uradnikov prevzelo izvajanje celotnih volitev. Zaradi "časovne stiske"
je podjetje izvedlo vse od namestitve, vzdrževanja in upravljanja
sistemov, izobraževanja volilnih uradnikov ter štetja glasov (Vir: Robert
F. Kennedy: Will The Next Election Be Hacked?).
- Predstavnik podjetja naj bi v nekem okrožju na volilne
naprave namestil neavtoriziran varnostni popravek (Vir: Robert
F. Kennedy: Will The Next Election Be Hacked?).
- Leta 2003 je nek heker na nezaščitenem FTP strežniku
podjetja, ki je skrbelo za informacijsko podporo kalifornijskim
volitvam, našel
programsko opremo, ki jo podjetje Sequoia uporablja v svojih
volinih napravah.
- Organizacija CERT je septembra 2004 objavila
opozorilo, da so v Dieboldovih volilnih napravah našli "varnostno ranljivost v obliki
nedokumentiranega prikritega uporabniškega računa (undocumented
backdoor account), kar omogoča lokalnemu ali oddaljenemu zlonamernemu
uporabniku spremembo volilnih rezultatov".
- V Open Voting Foundation so avgusta 2006 uspeli v pičlih
štirih minutah z nekaj tisočakov vredno opremo, prilagoditi eno od
Dieboldovih volilnih naprav do te mere, da bi se dalo z njo enostavno ponarediti
rezultate volitev;
- Septembra 2006 so Ariel J. Feldman, J. Alex Halderman in
Edward W. Felten na Princeton University pripravili poročilo Security Analysis of the
Diebold AccuVote-TS Voting Machine. V poročilu ugotavljajo,
da je na nekatere Dieboldove volilne naprave mogoče namestiti tim.
"volilni virus", ki omogoča neopazno ponarejanje volitev. Na voljo je
tudi video
prikaz delovanja volilnega virusa.
- Leta 2006 so Wels, Wessling, Gonggrijp in Nemeth iz
nizozemske organizacije "We
don't trust voting computers" predstavili tempest
napad na nizozemske volilne naprave. S pomočjo napada je
mogoče z analizo oddanih elektromagnetnih signalov v oddaljenosti nekaj
metrov ugotoviti kako je glasoval posamezen volilec na volišču.
- Priporočamo tudi ogled dokumentarnega filma Hacking Democracy.
Skupni imenovalec vseh težav se skriva v dejstvu, da omenjene volilne
naprave niso bile ustrezno revidirane in da niso bile odprtokodne
oziroma niso omogočale vpogleda v delovanje sistema. Da dostop do
programske kode dejansko zmanjšuje možnosti pojavljanja varnostnih
ranljivosti dokazuje
primer Avstralije, kjer ob uporabi
odprtokodnih sistemov
za elektronske volitve takih težav niso imeli. Dostop do odprte kode je
tako nujen predpogoj za transparentnost in s tem varnost sistema.
Visokotehnološki napadi
V
nadaljevanju podajamo nekaj povezav na strokovne članke iz področja
informacijske varnosti. Gre za članke o možnih napadih na strojno
opremo. Osnovna ideja napada na strojno opremo je, da napadalec uspe modificirati strojno opremo
(ang. hardware) in ne programske opreme (ang. software). V tako
modificirano strojno opremo lahko vstavi tim. stranska vrata oziroma
nekakšen virus, s katerim lahko vpliva na programsko opremo na
računalniku. Problem takih napadov je, da jih je zelo težko zaznati.
Skratka - zagotavljanje informacijske varnosti mora biti celovito (vključevati tako strojno, kot programsko opremo), predvsem pa je zagotavljanje informacijske varnosti izredno težko in zahtevno opravilo.
Nekateri napadi na strojno opremo:
