Analiza i metody poprawy bezpieczeństwa wyborów Internetowych Adam Wierzbicki Krzystof Pietrzak 25/09/2007 Polish-Japanese Institute of Information Technology 1
Plan prezentacji System SERVE Analiza bezpieczeństwa SERVE i zagrożenia wyborów Internetowych Specyfikacja wymagań wobec systemów wyborów Internetowych System estoński Propozycja Polski Młodych Zastosowanie maszyn wirtualnych Podsumowanie 2
System SERVE Secure Electronic Registration and Voting Experiment SERVE Producent: Accenture Zleceniodawca: US Department of Defense Federal Voting Assistance Program Budżet: 22 mln. $ Zakończenie prac: 2004 rok 3
Użytkownicy SERVE Zagraniczni pracownicy DoD Planowana próba systemu '2004: Docelowo: Dla porównania: wybory '2000 (USA): SERVE to realny system wyborów elektronicznych 100.000 głosów 6.000.000 głosów 100.000.000 głosów 4
Alicja idzie na wybory! Rzut oka na SERVE Rejestracja w SERVE Urząd ds. wyborów MS Windows IE lub NN Ciasteczka Javascript Java ActiveX SSL/TCP Centralny serwer WWW 5
Rzut oka na SERVE c.d. 1. Rejestracja on-line 2. Głosowanie Local Election Official (LEO) Urzędnik z lokalnego okręgu wyborczego Alicji 3. Pobranie anonimowych głosów Baza danych zarejestrowanych wyborców 6
Analiza bezpieczeństwa SERVE "Analyzing Internet Voting Security", Communications of the ACM, październik 2004, vo. 47, no. 10, str. 59-64 D. Jefferson, A. Rubin, B. Simons, D, Wagner +4 innych (współautorów opinii dla Pentagonu) www.servesecurityreport.org 7
Rekomendacje raportu "... zalecamy natychmiastowe "... we recommend shutting down the development wstrzymanie of SERVE immediately, prac nad andsystemem not attemptingserve anything i nie like podejmowanie it in the future until the podobnych security problems prac of w the PC and the Internet are resolved." przyszłości, dopóki problemy z bezpieczeństwem komputerów osobistych i Internetu nie zostaną rozwiązane." 8
Wynik raportu Prace nad systemem SERVE zostały wstrzymane w styczniu 2004, po publikacji raportu. System nie został użyty w wyborach 2004. Dlaczego? 9
Plan prezentacji System SERVE Analiza bezpieczeństwa SERVE i zagrożenia wyborów Internetowych Specyfikacja wymagań wobec systemów wyborów Internetowych System estoński Propozycja Polski Młodych Zastosowanie maszyn wirtualnych Podsumowanie 10
Ogólne zagrożenia wyborów Selektywne pozbawianie głosu Naruszenie poufności głosu Sprzedaż/kupno głosów Fałszowanie rejestracji wyborców Fałszowanie wyników głosowania Działania mogące zmienić wynik wyborów 11
Ataki cyfrowe na systemy wyborów elektronicznych Zablokowanie usługi (DoS) selektywne pozbawienie głosu zablokowanie wyborów Podszywanie się i atak pośrednika naruszenie poufności głosu fałszowanie głosu Wirusy/robaki selektywne pozbawianie głosu naruszenie poufności głosu fałszowanie głosu 12
Ataki cyfrowe na systemy wyborów elektronicznych Nowe własności ataków cyfrowych: na dużą skalę spoza granic kraju niepostrzeżone 13
Problemy specyficzne dla systemów wyborów elektronicznych Zamknięte oprogramowanie Zbyt pobieżne badanie oprogramowania podczas certyfikacji Zagrożenie atakami wewnętrznymi (ze strony programistów) Brak niezależnych ścieżek audytu wyborów (możliwości sprawdzania wyniku) 14
Kto może atakować wybory? Krajowe organizacje polityczne Inne kraje Terroryści Przestępcy Indywidualni hakerzy (studenci kierunków ICT ;) 15
Ataki wewnętrzne i niezależny audyt wyborów Jedyne zabezpieczenie przeciwko atakom wewnętrznym: sprawdzenie głosu przez wyborcę Co robić z błędami z liczeniu głosów? Obliczanie głosów w hierarchiach Niezależny audyt na każdym poziomie hierarchii 16
Poufność Urzędnik LEO ma możliwość częstego sprawdzania głosów może wywnioskować, jak głosują wyborcy Na serwerze, przez krótki czas, głos jest odszyfrowany żeby z niego usunąć dane osobowe administrator może to wykorzystać Włamanie na serwer SERVE ujawniło by wiele głosów: centralny punkt awarii 17
Sprzedaż/kupno głosów Łatwa do zautomatyzowania Wyborca sprzedaje hasło lub klucz prywatny Lub wyborca zgadza się na instalację zmodyfikowanego komponentu ActiveX Obie czynności są niezauważalne! 18
Skala ataków na SERVE Wybory tradycyjne: "fizyczne" trudności w organizacji ataków dostęp do lokali wyborczych wożenie wyborców fałszowanie dokumentów Wybory elektroniczne: brak ograniczeń ataków! Jeden napastnik może wpłynąć na dziesiątki tysięcy głosów 19
Zestawienie słabości SERVE Zagrożenie Wymagane umiejętności Konsekwencje Realistyczne? Środki zaradcze Atak DoS małe (selektywne) pozbawianie głosu powszechne w Internecie łamigłówki Koń trojański blokujący głosowanie małe pozbawianie głosu Wiele sposobów na blokowanie dostępu do WWW kontrola oprogramowania komputera Kampania na stronach WWW małe niezgodny z prawem wpływ na wyborcę Bardzo łatwe w dzisiejszym WWW Wymaga nowych regulacji prawnych 20
Zestawienie słabości SERVE Zagrożenie Wymagane umiejętności Konsekwencje Realistyczne? Środki zaradcze Podszywanie się pod SERVE małe naruszenie poufności, pozbawienie głosu Spoofing serwerów WWW nie jest trudny. nie ma Sabotaż przeglądarki małe pozbawianie głosu Przykład: zmiania praw dostępu do ciasteczka. Nie ma zabezpieczeń przed wszystkimi sposobami 21
Zestawienie słabości SERVE Zagrożenie Wymagane umiejętności Konsekwencje Realistyczne? Środki zaradcze Atak wewnętrzny na serwery systemu średnie kompromitacja wyborów Wiele podobnych przykładów nie ma w architekturze SERVE Kopowanie/ sprzedawanie głosów małe zakłócenie wyborów całkowicie Nie ma 22
Zestawienie słabości SERVE Zagrożenie Wymagane umiejętności Konsekwencje Realistyczne? Środki zaradcze Wirus średnie lub duże kradzież głosów, naruszenie poufności, tak Programy antywirusowe pozbawienie głosu Koń trojański szpiegujący lub zmieniający głosy wysokie naruszenie poufności, kradzież głosów oceniając po powszechności spyware, tak Uważna kontrola oprogramowania komputera 23
Środowisko głosowania komputery Komputery osobiste wyborców są słabo chronione Automatyzacja ataków, masowa skala Proste ataki: wyłączenie cookies/activex/javy Głosowanie z kafejek internetowych, miejsca pracy: spyware! 62% korporacji w USA szpieguje stacje robocze pracowników 24
Środowisko głosowania - oprogramowanie Niebezpieczeństwo "tylnych drzwi" PCAnywhere, BackOrifice Mała odporność na wirusy/robaki, włamania przestarzałe systemy operacyjne Spyware: obecnie najpowszechniejsze niebezpieczeństwo w Internecie popularne programy antywirusowe często go nie wykrywają! 25
Wirusy i robaki '2001: Code Red: 360.000 hostów w 14 godzin '2003: Slammer: atakował nawet bankomaty coraz trudniejsze do analizy: SoBig.F: okazał się koniem trojańskim wysyłającym spam przed wyborami, mogą powstać zupełnie nowe wirusy testowane najnowszym oprogramowaniem antywirusowym 26
Ataki poprzez serwer WWW Włamanie na serwer, umieszczenie pułapki np. na stronę partii, kandydata w wyborach Atak na przeglądarkę wyborcy, uniemożliwiający głosowanie w ten sposób, osiągane jest selektywne pozbawianie głosu 27
Podszywanie i atak pośrednika Cel: naruszenie poufności, kradzież głosów Po odkryciu głosu, pośrednik może przekierować klienta do prawdziwego serwera SERVE, o ile głos mu się podoba W przeciwnym wypadku, pośrednik dalej symuluje serwer SERVE: wyborca się nie zorientuje, że został pozbawiony głosu 28
Zablokowanie usługi (DoS) luty '2000: masywne ataki DoS na strony CNN, Yahoo, E-Bay źródło: 1 nastolatek spoza USA 3 tygodnie w 2001 roku: 10.000 różnych ataków DoS 2003: wybory elektroniczne w Kanadzie: przerwane w dniu wyborów z powodu ataku DoS! 29
Zablokowanie usługi (DoS) Możliwość selektywnego ataku na obszary geograficzne o określonych preferencjach politycznych np. na ich serwery DNS Bezpośredni atak na serwer SERVE Co zrobić? Można tylko unieważnić wybory! 30
Plan prezentacji System SERVE Analiza bezpieczeństwa SERVE i zagrożenia wyborów Internetowych Specyfikacja wymagań wobec systemów wyborów Internetowych System estoński Propozycja Polski Młodych Zastosowanie maszyn wirtualnych Podsumowanie 31
Wymagania wobec wyborów Internetowych Tylko uprawnieni wyborcy mogą głosować Uprawnieni wyborcy mogą oddać najwyżej jeden głos, który będzie liczony w wyniku wyborów Głosowanie jest anonimowe Wszystkie poprawne głosy zostaną uwzględnione w obliczeniu wyniku. Musi istnieć możliwość powtórzenia obliczenia. Musi istnieć możliwość sprawdzenia wyniku wyborów przez niezależnych audytorów. Wyniki wyborów muszą pozostać poufne do zakończenia wyborów. System głosowania musi umożliwić wszystkim uprawnionym wyborcom oddanie głosu w wyborach Internetowych. 32
Plan prezentacji System SERVE Analiza bezpieczeństwa SERVE i zagrożenia wyborów Internetowych Specyfikacja wymagań wobec systemów wyborów Internetowych System estoński Propozycja Polski Młodych Zastosowanie maszyn wirtualnych Podsumowanie 33
System Estoński Podobnie jak w SERVE: głosowanie przez Internet przed terminem wyborów tradycyjnych Uwierzytelnienie za pomocą PKI Certyfikaty w dowodach osobistych wyborców Możliwość powtórnego głosowania Głos oddany w wyborach tradycyjnych unieważnia głos oddany przez Internet Możliwość unieważnienia wyborów Internetowych w wypadku nieprawidłowości Głosy nie są odszyfrowywane podczas sprawdzania ważności głosu tylko na końcu, podczas podliczania głosów 34
Plan prezentacji System SERVE Analiza bezpieczeństwa SERVE i zagrożenia wyborów Internetowych Specyfikacja wymagań wobec systemów wyborów Internetowych System estoński Propozycja Polski Młodych Zastosowanie maszyn wirtualnych Podsumowanie 35
Propozycja Polski Młodych Pierwsze artykuły: styczeń 2007 Bardziej zarys propozycji legislacyjnej, niż propozycja systemu wyborów Internetowych Naiwne uwierzytelnienie przez hasła (jak w SERVE) Brak procedur anonimizacji, podliczania, przechowywania głosów Opis systemu kończy się na złożeniu głosu Głosowanie w dzień wyborów tradycyjnych 36
Propozycja Polski Młodych Szeroka krytyka propozycji: P. Waglowski (Vagla.pl) prof. Kutyłowski opinia dla stowarzyszenia Polska Młodych Internet Society Poland Pomimo to... propozycja nadal popierana na portalu stowarzyszenia i w mediach brak odniesienia do głosów krytycznych lub propozycji poprawy bezpieczeństwa 37
Plan prezentacji System SERVE Analiza bezpieczeństwa SERVE i zagrożenia wyborów Internetowych Specyfikacja wymagań wobec systemów wyborów Internetowych System estoński Propozycja Polski Młodych Zastosowanie maszyn wirtualnych Podsumowanie 38
Użycie maszyn wirtualnych Wiele wad SERVE jest spowodowanych podatnościami środowiska głosowania: komputerów osobistych wyborców Nie można polegać na zabezpieczeniach systemów przez wyborców Rozwiązanie 1: Live CD wada: brak uniwersalnego systemu, konieczność instalacji driverów do różnych łącz sieciowych zbyt trudne w obsłudze dla niedoświadczonych użytkowników 39
Użycie maszyn wirtualnych Rozwiązanie 2: stosowanie bezpiecznych maszyn wirtualnych Możliwość przekazania podpisanego, zaszyfrowanego obrazu maszyny wirtualnej Maszyna wirtualna posiada wbudowane klucze kryptograficzne i może nawiązać bezpieczne połączenie Dostępne zarówno niedrogie komercyjne, jak i darmowe maszyny wirtualne OpenSource Pozostałe możliwości ataku na środowisko głosowania: przejęcie kontroli nad klawiaturą/myszką obserwacja ekranu i ujawnienie głosu 40
Plan prezentacji System SERVE Analiza bezpieczeństwa SERVE i zagrożenia wyborów Internetowych Specyfikacja wymagań wobec systemów wyborów Internetowych System estoński Propozycja Polski Młodych Zastosowanie maszyn wirtualnych Podsumowanie 41
Podsumowanie Zagrożenia analizowane w raporcie SERVE są w większości nadal aktualne Dodatkowo, waga ataków DoS okazuje się jeszcze większa Możliwa jest poprawa bezpieczeństwa środowisk wykonania oprogramowania wyborów Internetowych Użycie maszyn wirtualnych to jedna z możliwości Zwiększa to bezpieczeństwo, lecz nie eliminuje wszystkich zagrożeń 42