هکرها در کمین انتخابات الکترونیکی/ چرا نباید به انتخابات کاملاً آنلاین روی آورد؟

به گزارش خبرنگار گروه علم و فناوری خبرگزاری آنا، سازوکار الکترونیکی کردن انتخابات معمولاً مزایایی را در هر مرحله از فرایند انتخاباتی از برگزاری، توزیع، رأی دادن، جمع‌آوری و شمارش آرا به همراه دارد. همچنین معایبی نیز وجود دارد که از جمله می‌توان به احتمال نقص وسایل یا بروز خطا در هر یک از قطعات الکترونیکی یا برنامه‌های نرم‌افزاری اشاره کرد. در گزارش دولت ایالات متحده تحت عنوان «انتخابات الکترونیک؛ فرصت‌ها و چالش‌ها» آمده است که تجزیه‌وتحلیل انتخابات الکترونیکی نشان می‌دهد «مسائل امنیتی» بزرگ‌ترین مانع از گسترش این روند فناوری هستند.

تأمین امنیت صددرصدی رأی‌گیری آنلاین هم‌اکنون ممکن نیست

محققان دانشگاه ملبورن در استرالیا، در آزمایش‌های خود دو بار نقص امنیتی گسترده‌ای را در سیستم‌های رأی‌گیری آنلاین استرالیا کشف کردند. در ایالات متحده آمریکا مباحث مرتبط با ناامنی دستگاه‌های الکترونیکی انتخابات از زمان انتخابات ریاست جمهوری ۲۰۱۶ بیش از هر زمان دیگری مطرح شد. ولز در سال‌های اخیر برای برپایی یک رأی‌گیری امن و آنلاین سخت تلاش می‌کند. کشور استونی نیز برای انتخابات ملی خود قبل از هر کشور دیگری از رأی‌گیری آنلاین استفاده کرده است.

نقطه‌نظر کارشناسان امنیتی در مورد رأی‌گیری آنلاین

کارشناسان امنیت شبکه معتقدند رأی‌گیری آنلاین شکننده‌تر از سایر سرویس‌های آنلاین مانند بانکداری الکترونیکی است و حمله به آن آسان‌تر است. ارزان‌ترین و ساده‌ترین راه برای حمله به سیستم رأی‌گیری آنلاین، ایجاد ازدحام با ترافیک ساختگی مانند حملات DDoS است. برای جلوگیری از چنین حملاتی، ارائه‌دهندگان سرویس‌های انتخاباتی معمولاً از خدمات کاهش توزیع انکار سرویس(DDoS) مانند Cloudflare یا Imperva Incapsula استفاده می‌کنند.

در عین حال برخی دیگر معتقد هستند هر چند به‌کارگیری چنین سرویس‌هایی برای بسیاری از شرکت‌ها و سازمان‌ها مقرون به صرفه است اما احتمالاً برای اطمینان از یک انتخابات بی‌شبهه نامناسب به نظر می‌رسد. علت این امر این است که هر سرویسی که قصد کاهش یا جلوگیری از حملات DDoS را دارد مجبور است از ترافیک شبکه جاسوسی کند.

در حقیقت هر انتخاباتی که اینترنتی باشد در برابر حملات سایبری آسیب‌پذیر است، مگر اینکه برگزارکنندگان به کل یک شبکه خصوصی کمابیش نظامی را برای برگزاری انتخابات تدارک ببینند.

همانطور که می‌دانید مهاجم در حملات DDoS می‌کوشد با ایجاد ترافیک ساختگی در مقیاس بالا در دروازه‌های ورودی یک بستر نرم‌افزاری ازدحام ایجاد کند. این بدان معناست که برنامه اصطلاحاً ضدبدافزار باید کل ترافیک بین کاربر و سرور را رمزگشایی کند تا مشخص شود کدام ترافیک خوب و کدام ترافیک بد است. به عبارت دیگر تأمین‌کنندگان امنیت انتخابات به طرز طنزی باید برای انجام برقراری امنیت، در قالب یک پروکسی لایه انتقال (TLS) عمل کنند و یک «حمله مرد میانی» ( Man-in-the-middle attack) را انجام دهند (البته با مجوز) تا در برابر حملات DDoS که با هدف مخدوش کردن عملکرد رأی‌گیری آنلاین صورت می‌گیرد مقابله کنند.

چرا همه چیز سست است؟

نام فناوری رمزگذاری که باعث می‌شود HTTPS به درستی کار کند TLS نام دارد. این پروتکل در شرایط عادی، محرمانه بودن ترافیک را از دستگاه رأی‌دهنده به سرور تضمین می‌کند. کلید رمزگذاری TLS روی سرورهای سراسر جهان قرار دارد برای اینکه یک سرویس DDoS مبتنی بر cloud به‌درستی کار کند، هر کسی که بتواند یکی از این سرورها را هک کند و کلید TLS را بدزدد، یک قدم بزرگ به تغییر تعداد آرا در انتخابات یا از کار انداختن سازوکار انتخاباتی نزدیک می‌شود!

دقیقاً این مشکل در انتخابات ایالتی غرب استرالیا در ۲۰۱۷ دیده شد. آنها کلید رمزگذاری TLS را در سرورهای مراکز داده در کشورهایی مانند ژاپن، لهستان و چین ردیابی کردند. از آن بدتر اینکه برنامه اینترنتی رأی‌گیری آنلاین، کلید TLS را با ده‌ها وب‌سایت غیرمرتبط در کشورهایی مانند فیلیپین، لیتوانی و آرژانتین به اشتراک گذاشت.

در حقیقت هر انتخاباتی که اینترنتی باشد در برابر حملات سایبری آسیب‌پذیر است، مگر اینکه برگزارکنندگان به کل یک شبکه خصوصی کمابیش نظامی را برای برگزاری انتخابات تدارک ببینند. از سوی دیگر خارج شدن داده محرمانه زیرساختی می‌تواند به این فرایند لطمه بزند.

این موضوع یک چالش واقعی است زیرا شما با رأی دادن بر روی برگه کاغذی می‌توانید از لحاظ فیزیکی همه چیز را لمس کنید و نسبت به اعتبار انتخابات اطمینان کسب کنید اما با رأی‌گیری آنلاین چنین چیزی حاصل نمی‌شود.

از همین روست که نحوه عملیات رأی‌گیری و نتایج آنلاین انتخابات، سایه‌ای را بر مشروعیت انتخابات می‌گستراند و بدین ترتیب صحت انتخابات در تاریکی قرار می‌گیرد.

تجربه امنیتی استونی

هیچ کشوری در جهان به اندازه کشور کوچک استونی تجربه رأی‌گیری آنلاین ندارد. استونی که در سایه همسایه بسیار بزرگتر خود روسیه قرار دارد از ۲۰۰۵ رأی‌گیری آنلاین را در تمامی انتخابات دولتی اتخاذ کرده است. محققان با نگاهی دقیق به سیستم رأی‌گیری آنلاین این کشور، نه تنها متوجه مشکلات امنیتی در نرم‌افزار آن شدند حتی امنیتِ عملیات انتخابات را غیرمنطقی یافتند(برای مثال در فیلم رسمی ستاد انتخابات این کشور که روند انتخابات را توصیف می‌کرد رمزهای عبور wi-fi روی دیوار قرار گرفته بود).

بیشتر بخوانید:

یک تعریف ساده از انتخابات الکترونیک/ نگاه بدبینانه به تلفیق فناوری در سیستم رأی‌گیری

سیستم‌های رأی‌گیری الکترونیکی در دنیا/ هندی‌ها چطور در سرنوشت کشورشان شریک می‌شوند؟

راه دراز سیستم رأی‌گیری الکترونیکی تا جهانی شدن/ بررسی همه مشکلات آنلاین شدن انتخابات

نظر شما را به این قسمت از گزارش کارشناسان امنیتی که انتخابات استونی را مورد بررسی قرار داده بودند، جلب می‌کنیم: «سیستم رأی‌گیری اینترنتی استونی دارای چنان آسیب‌پذیری جدی امنیتی است که تیم بین‌المللی متشکل از کارشناسان مستقل توصیه می‌کند که باید بلافاصله آن را متوقف کرد... یک تیم متخاصم می‌تواند با قدری تلاش کنترل این فرایند را به منظور دستکاری نتایج انتخابات به دست بگیرد.»

برای مثال هکرهایی از روسیه در ۲۰۰۷ با حمله گسترده DDoS به استونی حمله کردند. به گزارش گاردین ‌اهداف اصلی حمله وب‌سایت‌های دولتی، احزاب سیاسی، خبرگزاری‌های مهم و دو بانک بزرگ کشور بودند. با این وجود تاکنون کمیته انتخابات ملی استونی یافته‌های محققان امنیتی را رد کرده است. این کمیته در بیانیه‌ای در این رابطه اعلام کرد: «ما معتقدیم که رأی‌گیری آنلاین به ما امکان می‌دهد تا به سطحی از امنیت برسیم که فراتر از برگه‌های رأی‌گیری است.»

در مجموع می‌توان نتیجه گرفت که برقراری انتخابات کاملاً الکترونیک(آنلاین) با فناوری‌های فعلی به طور صددرصدی قابل اتکا نیست.

انتهای پیام/۴۱۶۰/پ