Э-выборы в Эст-Индии

:

Казалось бы, что общего может быть между совсем небольшой — с населением менее полутора миллионов человек — балтийской республикой и огромной державой Азии с народонаселением в тысячу раз большим, достигшим уже порядка 1,3 миллиарда? А общим между ними оказывается то, что Эстония и Индия — это на сегодня две самых (по мнению их властей) «передовых на планете демократии» страны в деле электронного голосования.

Случилось так, что в мае 2014 года обе страны провели у себя общенациональные — и по определению тотально компьютеризированные — выборы в органы власти. Эстония, как и все прочие государства Европы, выбирала своих членов Европарламента. Ну а в Индии, о чем широкая публика наверняка должна быть в курсе, на своих парламентских выборах граждане страны привели к власти партию-альтернативу BJP — вместо опостылевшего, похоже, уже всему народу Индийского национального конгресса.

В Прибалтике далеко не первый год эстонские избиратели не просто массово голосуют по-новому, с помощью смарт-карт и компьютеров вместо допотопных урн и бюллетеней, но и могут делать это из любой точки мира. Ибо Эстония, как свидетельствуют факты, является первой в мире страной, реально практикующей выборы любого уровня через Интернет и телефоны мобильной связи.

Что же касается Индии — «крупнейшей на этой планете демократии» с числом зарегистрированных избирателей свыше 800 миллионов, то здесь электронные машины голосования с «прямой записью» выбора (то есть на основе безбумажных технологий) применяются уже свыше десятка лет и ныне тотально охватывают все избирательные участки страны.

#

Особо следует подчеркнуть, что Избирком Индии внедрял свои EVM — электронные машины голосования — очень энергично и чрезвычайно настойчиво. При этом руководство данной госструктуры всегда абсолютно уверенно и безапелляционно утверждало, что EVM — это в высшей степени надежная технология, полностью защищенная от любых хакерских атак и манипуляций с голосами избирателей.

Однако предоставлять машины голосования для независимого их исследования специалистами — на предмет (не)безопасности — индийский избирком почему-то упорно не желал. Откуда именно росло это нежелание, было, конечно же, ясно — никакая компьютерная техника, реально применяемая на практике, по самой природе своей не может быть абсолютно защищенной от злоупотреблений. Более того, если говорить конкретнее о компьютерах для голосования, реально применяемых в мире, то, как только дело доходит до их независимого анализа экспертами, сразу же обнаруживаются гигантские дыры в защите технологии. Дефекты, позволяющие, по сути, умелым злоумышленникам делать с результатами выборов все, чего они только ни пожелают.

Именно по этой причине, как известно, во множестве стран Европы и во многих штатах США, поначалу активно начавших внедрять компьютеры для безбумажного голосования, затем решили отказаться от этой идеи. Ибо слишком уж велики тут риски и практически невозможны гарантии правильного учета голосов — когда нет никакого «бумажного следа» для перепроверки итогов...

Поэтому совсем неудивительно, что когда международная группа из видных специалистов по электронным машинам голосования в 2010 году (не совсем официальным путем) все же добралась до анализа индийских EVM, то обнаружены там были не просто бреши, а гигантские дырищи в безопасности системы — предоставляющие, само собой, возможности для самых разнообразных махинаций с голосами избирателей (подробности по-английски можно найти на сайте indiaevm.org или — по-русски — в материале «Голос недоверия»).

Особый интерес во всей истории с хакингом «абсолютно доверяемой» машины голосования вызывает то, каким образом отреагировали на эти открытия официальные власти Индии. Если совсем вкратце, то все результаты экспертов были категорически отвергнуты избиркомом как сомнительные и недостоверные. Ну а чтобы впредь подобная самодеятельность не повторялась, против исследователей-хакеров были запущены вполне конкретные репрессии.

Главный участник проекта от индийской стороны, инженер-компьютерщик Хари Прасад в августе 2010-го был арестован полицией и посажен (к счастью, ненадолго) за решетку — по очевидно сфабрикованному обвинению в «краже» той машины голосования, которую он с коллегами исследовал на предмет уязвимости. Другой главный участник исследования, Алекс Хэлдерман из США (известный американский хакер и профессор информатики в Мичиганском университете) столкнулся с откровенной неприязнью со стороны госвластей Индии в декабре 2010-го, когда прилетел для участия в технической конференции в Гуджарате. Дальше аэропорта «дюже умного» ученого теперь не пустили. Не предоставив никаких объяснений своим действиям, индийские чиновники просто посадили Хэлдермана на обратный самолет и отправили прочь из страны...

#

Ну а далее жизнь распорядилась так, что ныне, в 2014-м, все тот же самый специалист Алекс Хэлдерман оказался и одним из лидеров группы независимых экспертов (из США, Великобритании и Финляндии), которые всерьез проанализировали систему электронных выборов в Эстонии. И есть какая-то мощнейшая ирония в том, что в совершенно других условиях Северной Европы уже известная нам «индийская» схема повторилась чуть ли не один в один. То есть и здесь хакеры-исследователи обнаружили в расхваливаемой властями системе тучу серьезнейших дыр и возможностей для махинаций, настоятельно порекомендовав отказаться от слабой технологии, а избирком в ответ полностью отверг итоги анализа, попутно поставив под сомнение как компетентность экспертов, так и чистоту их намерений.

Единственное, никаких историй с арестами и депортациями, к счастью, на этот раз не повторилось. Во-первых, потому что теперь наученные опытом исследователи благоразумно не стали включать в свой состав никого из эстонских граждан. Ну а во-вторых, Эстония — это все-таки далеко не Индия...

#

Самой, пожалуй, поучительной страницей во всей истории с анализом эстонской системы э-выборов является ее заключительная фаза.

Иначе говоря, после того, как 12-13 мая 2014 года уже произошли ключевые события конфликта (появление в Интернете сайта https://estoniaevoting.org, где исследователи опубликовали итоги своего анализа, сопутствующие этому публикации в мировой прессе и быстрая ответная реакция со стороны национального избиркома Эстонии), появился еще один материал, наиболее сконцентрированный и информативный для понимания общей картины.

Речь идет об «Ответе» исследователей на официальное «Заявление» избиркома, где методично процитированы все пункты в документе эстонских властей и столь же методично — для сопоставления — дана альтернативная точка зрения аналитиков на поднятые проблемы. Таким образом, для всех, кто интересуется темой электронных выборов, будет явно полезно познакомиться с этим документом поподробнее (наиболее интересные пункты избиркома переведены дословно, ответы хакеров — для улучшения понимания нюансов — пересказываются с несколько большим количеством деталей).

#

(Итак, то, что говорит о своей системе э-выборов национальный избирком Эстонии, дается курсивом, все остальное — ответы и результаты хакеров.)

Эта система была использована в шести голосованиях (муниципальных, национальных и европейских) вообще без каких-либо инцидентов, которые повлияли бы на итоги выборов.

Проведенное экспертами исследование практически демонстрирует и доказывает, что на таких выборах, где применяется эстонская система электронного голосования, какая-либо хорошо обеспеченная ресурсами и финансами атакующая сторона вроде серьезной государственной спецслужбы (типа российской) могла бы невыявляемо похищать голоса избирателей и манипулировать итогами выборов. Принимая во внимание дефекты используемой системы, экспертиза настаивает: Избирательная комиссия в принципе не способна неопровержимо доказать, что эти шесть голосований, проведенных до настоящего времени, никак не были «подправлены». Аналогично нельзя этого доказать будет и впредь — если продолжать опираться на ту же самую конструкцию системы.

Этот момент — одна из фундаментальных проблем эстонской конструкции, которая критично зависит от сложного программного обеспечения, отвечающего за отчетность о голосах избирателей и невидимо хранящего эти данные внутри «черных ящиков» серверов — недоступно для аудита и перепроверки. Ключевым преимуществом голосований на основе бумажных бюллетеней является то, что послевыборные аудит и верификация, использующие надежные технологии проверки, позволяют обеспечивать очень высокий уровень доверия к целостности и подлинности результатов. (О современных компьютерно-криптографических методах для обеспечения целостности и честности выборов на основе бумажного следа — см. материал «За честные э-выборы». О том, что инциденты «хакерского типа» на прежних эстонских выборах все же отмечались, можно почитать в материале «Индикатор неискренности».)

Эстония проводила свои онлайновые голосования в уникальном духе прозрачности: каждый аспект в процедурах онлайновых голосований полностью задокументирован, эти процедуры строго проверялись, а видеозаписи, документирующие все проведенные процедуры, выложены в Интернет.

Экспертиза всячески, тепло и сердечно приветствует шаги властей к прозрачности, однако этих шагов совершенно недостаточно. Ибо для специалистов, понимающих суть процесса, вполне очевидно, что видеозаписи отнюдь не охватывают все критично важные процедуры, проводимые при подсчете голосов. Более того, даже в тех случаях, когда ключевые процедуры фиксируются видеозаписью, на самом деле только часть этих действий попадает в кадр. Потому что работает одна камера, а для выполнения нужных действий используются два компьютерных экрана одновременно.

Дабы наглядно продемонстрировать суть проблемы, исследователи смоделировали с ПО для голосования именно такой «театр под запись». То есть видеокамеры фиксируют для наблюдателей, что все идет «как надо», а на самом деле за сценой невидимые злоумышленники делают с итогами выборов все, что им нужно...

В добавление к раскрытию каждого из аспектов нашего голосования для наблюдателей, мы опубликовали в Интернете исходный код нашего ПО для выборов.

Данный момент в аргументации избиркома, пожалуй, надо выделить особо — как наиболее лицемерный, и даже более того, по сути просто лживый. Эксперты всегда знали, что в Интернете опубликован далеко не весь код эстонского ПО для выборов. Причем уже после нынешней публикации, 13 мая 2014 года, на встрече экспертов с Тарви Мартенсом, «отцом» эстонской системы интернет-голосования, и его коллегами из избиркома, было еще раз подтверждено, что исходный код для двух критично-важных подсистем ПО — как для «клиента голосования», так и для программы «лог-сервера» — никогда открыто не публиковался.

Более того, избирком признает, что никогда и не собирался раскрывать исходный код этих элементов. Несмотря на то, подчеркнем еще раз, что это — по собственному признанию избиркома — фундаментально важные элементы для проведения собственно выборов и для защиты их безопасности.

Таким образом, заявление о том, будто исходный код ПО опубликован в онлайне, — это как минимум очень неполное заявление. Однако даже это еще не все. Экспертам по защите информации хорошо известно, что доступность исходного кода — хотя и является важным базовым требованием для прозрачности подобной системы — это никоим образом не достаточная мера для гарантирования ее безопасности и правильности.

Мы полагаем, что онлайновое голосование позволяет нам достигнуть такого уровня безопасности, который даже выше, чем это возможно при бумажных бюллетенях.

Явно не без ехидства эксперты отмечают, что «Избирательному комитету не удалось ни продемонстрировать, ни доказать именно это примечательное утверждение». В действительности, как показано в техническом отчете экспертизы и наглядных демонстрациях, независимый и подробный анализ системных процедур, конструкции и доступного исходного кода эстонской системы продемонстрировали прямо противоположное. Что данная система предоставляет такой уровень безопасности, который не просто ниже, а намного ниже, чем у правильно организованных выборов на основе бумажных бюллетеней.

1. Эти исследователи не обнаружили никаких новых векторов атак, которые не были бы уже учтены в конструкции нашей системы в целом.

Экспертиза категорически не согласна с данным пунктом. В частности, указывается, что то ли умышленно, то ли по неведению, но избирком неверно интерпретирует атаку с клиентской стороны, которую продемонстрировали им хакеры, как атаку с использованием кейлоггера (программы регистрации нажатия клавиш). На самом деле в этой атаке кейлоггер совершенно не требуется.

2. Это невыполнимо — эффективно устроить описанные исследователями атаки для того, чтобы изменить результаты голосования.

Здесь экспертизе опять приходится иронизировать: «Это просто удивительно, как избирком может делать столь сильное заявление, если учесть, что в том же самом документе, через несколько строк, они жалуются: «На данный момент мы можем дать лишь предварительные ответы на предположения, опубликованные исследователями, поскольку они не поделились с нами полными результатами своей работы». Мы не считаем, что для избиркома это разумно — с такой вот решимостью сразу же отвергать наше исследование, одновременно признавая, что у них нет полных подробностей на данный счет»

Попутно эксперты честно признают и сожалеют, что не сумели заранее опубликовать настолько много подробностей своего анализа, сколько хотелось бы, и настолько быстро, как хотелось бы. Однако исследователи чувствовали себя «этически обязанными» проинформировать Эстонию о выявленных проблемах в системе э-голосования обязательно до того, как эта система будет использована на выборах в Европарламент.

3. Избирательный комитет имеет множество механизмов для предотвращения сбоев, для защиты системы и выявления атак против выборов или для манипуляций их результатами.

Для независимой экспертизы как было, так и остается совершенно неясным, насколько продуманными или эффективными могут быть эти провозглашаемые меры — потому что избирком Эстонии не раскрывал и не будет раскрывать никаких подробностей относительно конкретных типов применяемой им защиты выборов.

Давно известный и многократно скомпрометированный подход типа «Безопасность через неясность» — что известно всем специалистам по защите информации — никогда не был и по сути своей не может быть сколь-нибудь надежной основой для выстраивания обороны.

Если бы в эстонском избиркоме действительно доверяли этим своим мерам защиты, отмечают хакеры, то власти разъяснили бы их и для экспертизы и для тех граждан, которым служат. В этом контексте специалисты особо подчеркивают, что те атаки, которые они описывают в своем отчете, — это результаты архитектурных слабостей эстонской системы. И эти атаки в реальной жизни оказалось бы практически невозможно выявить, если бы их проводили продвинутые злоумышленники на уровне государственных спецслужб.

4. Тот веб-сайт, что создали исследователи (estoniaevoting.org), содержит многочисленные ошибки в фактах и деталях, а кроме того, не предоставляет технических подробностей относительно предполагаемых уязвимостей в нашей системе.

В своей реакции на данный пункт команда экспертов с готовностью отвечает, что они «были бы счастливы исправить любые ошибки или факты неверного понимания». Но, увы, к великому сожалению, эстонский избирком предпочел не уточнять, что же конкретно имелось в виду под недостатками на веб-сайте исследователей. 

Короче говоря, эксперты подчеркивают в заключение, что всегда открыты для обсуждения и исправления любых ошибок. А также искренне надеются на продолжение дискуссии в обществе относительно проблем электронного голосования. Ибо большие проблемы здесь вполне очевидны, а как их исправлять — тоже, в принципе, ясно.

#

#Эпилог 1, индийский: Суд постановил

Вскоре после «нехорошей истории» с хакингом объекта национальной технологической гордости Индии под названием EVM, главная в Индии оппозиционная партия BJP (Bharatiya Janata Party — только что пришедшая к власти) начала развернутую атаку против электронных машин голосования. И было видно, что борьба с сомнительной в своей надежности технологией находит поддержку в обществе.

Главным же итогом этой борьбы стало то, что в октябре 2013 года Верховный суд Индии принял решение, в соответствии с которым Избирательная комиссия и центральное правительство обязаны принципиально модернизировать электронные машины голосования, поэтапно оснастив их системой VVPAT, или Voter Verifiable Paper Audit Trail, то есть системой «проверяемого аудитом бумажного следа избирателя».

В масштабах Индии быстро сделать это невозможно, но модернизация системы уже началась. Так что на парламентских выборах весной 2014-го некоторые участки уже работали по-новому. Ибо компьютеры для учета голосов — это, спору нет, хорошо и правильно. Но вот бумажный след для проверки все равно быть должен.

#

#Эпилог 2, эстонский: Символ веры

Как сообщила 15 мая 2014 года канцелярия президента Эстонии, глава государства Тоомас Хендрик Ильвес на выборах в Европарламент проголосовал через Интернет — «отдав свой голос посредством э-голосования из рабочего кабинета президента».

«Это подходящее решение для Эстонии — знаменитого и признанного э-государства... Для меня э-голосование — это не только удобство, но и выражение доверия к одной из лучших в мире IT-систем, выражение доверия к Эстонии», — отметил президент Ильвес.

Блажен, кто верует, тепло ему на свете...

Вот только ни к защите компьютеров и сетей, ни к безопасности э-выборов подобная вера в «систему и нацию», увы, никакого отношения не имеет.

Индийцы, например, это уже поняли.

Дополнительное чтение по теме:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.