هکرها در کمین انتخابات الکترونیکی/ چرا نباید به انتخابات کاملاً آنلاین روی آورد؟
به گزارش خبرنگار گروه علم و فناوری خبرگزاری آنا، سازوکار الکترونیکی کردن انتخابات معمولاً مزایایی را در هر مرحله از فرایند انتخاباتی از برگزاری، توزیع، رأی دادن، جمعآوری و شمارش آرا به همراه دارد. همچنین معایبی نیز وجود دارد که از جمله میتوان به احتمال نقص وسایل یا بروز خطا در هر یک از قطعات الکترونیکی یا برنامههای نرمافزاری اشاره کرد. در گزارش دولت ایالات متحده تحت عنوان «انتخابات الکترونیک؛ فرصتها و چالشها» آمده است که تجزیهوتحلیل انتخابات الکترونیکی نشان میدهد «مسائل امنیتی» بزرگترین مانع از گسترش این روند فناوری هستند.
تأمین امنیت صددرصدی رأیگیری آنلاین هماکنون ممکن نیست
محققان دانشگاه ملبورن در استرالیا، در آزمایشهای خود دو بار نقص امنیتی گستردهای را در سیستمهای رأیگیری آنلاین استرالیا کشف کردند. در ایالات متحده آمریکا مباحث مرتبط با ناامنی دستگاههای الکترونیکی انتخابات از زمان انتخابات ریاست جمهوری ۲۰۱۶ بیش از هر زمان دیگری مطرح شد. ولز در سالهای اخیر برای برپایی یک رأیگیری امن و آنلاین سخت تلاش میکند. کشور استونی نیز برای انتخابات ملی خود قبل از هر کشور دیگری از رأیگیری آنلاین استفاده کرده است.
نقطهنظر کارشناسان امنیتی در مورد رأیگیری آنلاین
کارشناسان امنیت شبکه معتقدند رأیگیری آنلاین شکنندهتر از سایر سرویسهای آنلاین مانند بانکداری الکترونیکی است و حمله به آن آسانتر است. ارزانترین و سادهترین راه برای حمله به سیستم رأیگیری آنلاین، ایجاد ازدحام با ترافیک ساختگی مانند حملات DDoS است. برای جلوگیری از چنین حملاتی، ارائهدهندگان سرویسهای انتخاباتی معمولاً از خدمات کاهش توزیع انکار سرویس(DDoS) مانند Cloudflare یا Imperva Incapsula استفاده میکنند.
در عین حال برخی دیگر معتقد هستند هر چند بهکارگیری چنین سرویسهایی برای بسیاری از شرکتها و سازمانها مقرون به صرفه است اما احتمالاً برای اطمینان از یک انتخابات بیشبهه نامناسب به نظر میرسد. علت این امر این است که هر سرویسی که قصد کاهش یا جلوگیری از حملات DDoS را دارد مجبور است از ترافیک شبکه جاسوسی کند.
در حقیقت هر انتخاباتی که اینترنتی باشد در برابر حملات سایبری آسیبپذیر است، مگر اینکه برگزارکنندگان به کل یک شبکه خصوصی کمابیش نظامی را برای برگزاری انتخابات تدارک ببینند.
همانطور که میدانید مهاجم در حملات DDoS میکوشد با ایجاد ترافیک ساختگی در مقیاس بالا در دروازههای ورودی یک بستر نرمافزاری ازدحام ایجاد کند. این بدان معناست که برنامه اصطلاحاً ضدبدافزار باید کل ترافیک بین کاربر و سرور را رمزگشایی کند تا مشخص شود کدام ترافیک خوب و کدام ترافیک بد است. به عبارت دیگر تأمینکنندگان امنیت انتخابات به طرز طنزی باید برای انجام برقراری امنیت، در قالب یک پروکسی لایه انتقال (TLS) عمل کنند و یک «حمله مرد میانی» ( Man-in-the-middle attack) را انجام دهند (البته با مجوز) تا در برابر حملات DDoS که با هدف مخدوش کردن عملکرد رأیگیری آنلاین صورت میگیرد مقابله کنند.
چرا همه چیز سست است؟
نام فناوری رمزگذاری که باعث میشود HTTPS به درستی کار کند TLS نام دارد. این پروتکل در شرایط عادی، محرمانه بودن ترافیک را از دستگاه رأیدهنده به سرور تضمین میکند. کلید رمزگذاری TLS روی سرورهای سراسر جهان قرار دارد برای اینکه یک سرویس DDoS مبتنی بر cloud بهدرستی کار کند، هر کسی که بتواند یکی از این سرورها را هک کند و کلید TLS را بدزدد، یک قدم بزرگ به تغییر تعداد آرا در انتخابات یا از کار انداختن سازوکار انتخاباتی نزدیک میشود!
دقیقاً این مشکل در انتخابات ایالتی غرب استرالیا در ۲۰۱۷ دیده شد. آنها کلید رمزگذاری TLS را در سرورهای مراکز داده در کشورهایی مانند ژاپن، لهستان و چین ردیابی کردند. از آن بدتر اینکه برنامه اینترنتی رأیگیری آنلاین، کلید TLS را با دهها وبسایت غیرمرتبط در کشورهایی مانند فیلیپین، لیتوانی و آرژانتین به اشتراک گذاشت.
در حقیقت هر انتخاباتی که اینترنتی باشد در برابر حملات سایبری آسیبپذیر است، مگر اینکه برگزارکنندگان به کل یک شبکه خصوصی کمابیش نظامی را برای برگزاری انتخابات تدارک ببینند. از سوی دیگر خارج شدن داده محرمانه زیرساختی میتواند به این فرایند لطمه بزند.
این موضوع یک چالش واقعی است زیرا شما با رأی دادن بر روی برگه کاغذی میتوانید از لحاظ فیزیکی همه چیز را لمس کنید و نسبت به اعتبار انتخابات اطمینان کسب کنید اما با رأیگیری آنلاین چنین چیزی حاصل نمیشود.
از همین روست که نحوه عملیات رأیگیری و نتایج آنلاین انتخابات، سایهای را بر مشروعیت انتخابات میگستراند و بدین ترتیب صحت انتخابات در تاریکی قرار میگیرد.
تجربه امنیتی استونی
هیچ کشوری در جهان به اندازه کشور کوچک استونی تجربه رأیگیری آنلاین ندارد. استونی که در سایه همسایه بسیار بزرگتر خود روسیه قرار دارد از ۲۰۰۵ رأیگیری آنلاین را در تمامی انتخابات دولتی اتخاذ کرده است. محققان با نگاهی دقیق به سیستم رأیگیری آنلاین این کشور، نه تنها متوجه مشکلات امنیتی در نرمافزار آن شدند حتی امنیتِ عملیات انتخابات را غیرمنطقی یافتند(برای مثال در فیلم رسمی ستاد انتخابات این کشور که روند انتخابات را توصیف میکرد رمزهای عبور wi-fi روی دیوار قرار گرفته بود).
بیشتر بخوانید:
یک تعریف ساده از انتخابات الکترونیک/ نگاه بدبینانه به تلفیق فناوری در سیستم رأیگیری
سیستمهای رأیگیری الکترونیکی در دنیا/ هندیها چطور در سرنوشت کشورشان شریک میشوند؟
راه دراز سیستم رأیگیری الکترونیکی تا جهانی شدن/ بررسی همه مشکلات آنلاین شدن انتخابات
نظر شما را به این قسمت از گزارش کارشناسان امنیتی که انتخابات استونی را مورد بررسی قرار داده بودند، جلب میکنیم: «سیستم رأیگیری اینترنتی استونی دارای چنان آسیبپذیری جدی امنیتی است که تیم بینالمللی متشکل از کارشناسان مستقل توصیه میکند که باید بلافاصله آن را متوقف کرد... یک تیم متخاصم میتواند با قدری تلاش کنترل این فرایند را به منظور دستکاری نتایج انتخابات به دست بگیرد.»
برای مثال هکرهایی از روسیه در ۲۰۰۷ با حمله گسترده DDoS به استونی حمله کردند. به گزارش گاردین اهداف اصلی حمله وبسایتهای دولتی، احزاب سیاسی، خبرگزاریهای مهم و دو بانک بزرگ کشور بودند. با این وجود تاکنون کمیته انتخابات ملی استونی یافتههای محققان امنیتی را رد کرده است. این کمیته در بیانیهای در این رابطه اعلام کرد: «ما معتقدیم که رأیگیری آنلاین به ما امکان میدهد تا به سطحی از امنیت برسیم که فراتر از برگههای رأیگیری است.»
در مجموع میتوان نتیجه گرفت که برقراری انتخابات کاملاً الکترونیک(آنلاین) با فناوریهای فعلی به طور صددرصدی قابل اتکا نیست.
انتهای پیام/۴۱۶۰/پ
انتهای پیام/