(Май 2010)
Очередная весьма поучительная история вокруг электронных систем безбумажного голосования на этот раз непосредственно касается Индии. Или «крупнейшей на данной планете демократии», как не без гордости говорят о своем государстве сами индийцы.
Уже многие годы важнейшей особенностью выборов в Индии является то, что в подавляющем своем большинстве голоса избирателей отдаются без бумажных бюллетеней — с помощью машин голосования, работающих по технологии «электроники прямой записи» или кратко DRE (Direct Recording Electronics).
Хотя к настоящему времени избирательные машины типа DRE уже многократно и убедительно дискредитированы в научно-исследовательской литературе по компьютерной безопасности, официальные избирательные органы Индии упорно продолжают настаивать, что их техника — обычно именуемая EVM (от Electronic Voting Machine) —несмотря ни на что продолжает оставаться полностью надежной и безопасной.
В качестве примера «аргументов», которые при этом выдвигаются в защиту технологии, можно привести слова из сравнительно недавнего заявления для прессы, сделанного Избирательной комиссией Индии в августе 2009: «Сегодня Комиссия в очередной раз всецело подтверждает свою веру в непогрешимость аппаратуры EVM. Эти устройства полностью защищены от злоупотреблений, как это было и всегда».
Если же говорить о позиции лично главы нынешнего индийского избиркома, Навина Чавлы (Navin B. Chawla), то он в апреле 2010 в одном из интервью охарактеризовал электронные машины голосования как «совершенные» и не нуждающиеся ни в каких «технологических усовершенствованиях».
Уже по одним лишь этим заявлениям всякому человеку, мало-мальски сведущему в устройстве и работе компьютеров, станет понятно, что аргументы властей вряд ли имеют под собой хоть какую-то техническую основу и гораздо больше похожи на бездоказательные пропагандистские лозунги (ни один из реально применяемых компьютеров не может быть «полностью защищен от злоупотреблений», не говоря уже о «совершенстве»).
Тем не менее, дабы обосновать свои заявления, официальные люди государства обычно напирают на конструктивную простоту аппаратов EVM, которые действительно устроены намного проще, нежели большинство других машин DRE, нашедших применение в Америке, Европе и прочих регионах мира.
Но в то же время — как и всегда с техникой DRE — подробности об устройстве индийских EVM принято утаивать будто строго охраняемый секрет. Так что вплоть до последних месяцев эти машины никогда не подвергались сколь-нибудь тщательному независимому анализу на предмет безопасности.
Ныне, однако, устоявшаяся ситуация радикально изменилась, поскольку интернациональная группа авторитетных экспертов сумела-таки раздобыть индийский аппарат голосования EVM, всесторонне изучила безопасность машины без разрушающих методов анализа и опубликовала весьма нелицеприятную статью об итогах своих изысканий.
Ядро команды аналитиков составили три человека. Индиец Хари Прасад (Hari K. Prasad, на фото в центре) является директором NetIndia, фирмы ИТ-исследований и разработок, которая довольно давно выразила сомнения по поводу безопасности EVM. В 2009 году Центризбирком Индии публично призвал Прасада и его компанию продемонстрировать слабости EVM, однако в самую последнюю минуту власти отказались предоставить специалистам доступ к избирательным машинам.
Другой член нынешней команды, американец Алекс Хэлдерман (Alex Halderman, на фото слева), давно известный в интернет-сообществе как хакер, в свое время очень успешно вскрывавший всевозможные виды защиты аудио- и видеоконтента от копирования, ныне является профессором информатики Мичиганского университета и видным экспертом по безопасности систем электронного голосования.
Третий участник — голландский специалист Роп Гонгрейп (Rop Gonggrijp, на фото справа), был одним из ведущих активистов инициативной группы, которая в итоге добилась официального запрета на применение DRE-машин голосования в Нидерландах.
Кроме этих трех экспертов, в работе исследовательской группы участвовали еще полдюжины аналитиков — студенты Хэлдермана из Мичиганского университета и инженеры Прасада из NetIndia.
В своей итоговой статье авторы работы показывают, что хотя простое устройство EVM действительно делает машину менее уязвимой для целого ряда угроз, стоящих перед прочими и уже исследованными ранее компьютерами DRE, эта же самая особенность — простота — делает EVM весьма уязвимой для другого комплекса чрезвычайно опасных атак.
В частности, исследователями продемонстрированы две практичные атаки с физическим воздействием на аппаратное обеспечение EVM. Во-первых, авторы показывают, каким образом нечестные члены администрации, обеспечивающей выборы, или же вообще некие внешние злоумышленники могут изменять результаты голосования путем подмены определенных частей машины на поддельные компоненты, имеющие точно такой же внешний вид.
Подобного рода атаки оказываются намного проще в осуществлении именно из-за простоты и дешевизны минималистичного дизайна машин EVM. Хуже того, технически эта атака проста настолько, что даже не требует соучастия никого из сотрудников избирательного участка.
В своей второй демонстрации исследователи показывают, как злоумышленники могли бы использовать портативные аппаратные устройства для того, чтобы извлекать и изменять зарегистрированные голоса избирателей, хранящиеся в чипе памяти машины. Иначе говоря, это не только позволяет злоумышленникам изменять исход выборов, но и компрометирует тайну голосования.
Технически данная атака является прямым следствием того, что аппараты EVM для внутренней защиты накапливаемых данных голосования не используют даже самой элементарной криптографии. Показано, что подобная атака может быть осуществлена сотрудником местной избирательной комиссии таким образом, что ее не удастся выявить ни избирательным властям национального уровня, ни сотрудникам фирмы-изготовителя EVM.
В своей работе исследователи особо подчеркивают, что хотя изготовители EVM и представители избиркомов всячески стараются удержать конструкцию машины в секрете, такого рода усилия способны составить лишь минимальную помеху потенциальным злоумышленникам.
К настоящему времени на территории страны используется около 1,4 миллиона аппаратов EVM, а преступникам требуется доступ всего лишь к одной из таких машин, чтобы разработать атаки, которые будут применимы и ко всем остальным аппаратам.
Поскольку самим исследователям пришлось добывать машину для анализа не прямым официальным путем, а с помощью «обходного маневра», они абсолютно уверены, что целеустремленным преступникам понадобится даже меньше усилий, чем им, для получения подобного доступа.
В заключение работы авторы отмечают, что помимо уже сделанного, просматривается и множество других возможностей для манипуляций индийскими EVM — как с участием нечестных сотрудников избирательных участков, так и без них.
В зависимости от конкретных условий на местах и предпринимаемых мер физической безопасности для машин, масштаб и особенности манипуляций с избирательной техникой могут меняться, однако совершенно очевидно одно — ни простота этих машин, ни тайна их конструктивного устройства не способны обеспечить им безопасность.
В итоге же делается вывод, что используемая в Индии аппаратура безбумажного голосования EVM не является, как это декларируют власти, защищенной от злоупотреблений и очевидно уязвима для целого ряда серьезных атак.
Именно по причине их небезопасности, напоминают авторы, использование аналогичных устройств голосования DRE к настоящему времени прекращено в американских штатах Калифорния и Флорида, в государствах Ирландия, Нидерланды и Германия.
В свете этих обстоятельств, считают исследователи, индийским избирательным властям следовало бы немедленно пересмотреть применяемые ныне процедуры безопасности и проинспектировать все уже задействованные в выборах EVM на предмет подделок компонентов и злоупотреблений.
В дальнейшем же, заключают авторы, ради движения вперед, Индии следовало бы рассмотреть вопрос о принятии такой системы голосования, которая способна обеспечивать более высокий уровень безопасности и прозрачности — такой, в частности, которая задействует для контроля бумажные бюллетени.
Кроме того, непременно следует подчеркнуть отнюдь не национальный, а международный уровень рассматриваемой проблемы. В статье отмечается, что изготовители индийских EVM уже экспортируют их в целый ряд других стран, включая Непал, Бутан и Бангладеш. Другие государства, вроде Маврикия, Малайзии, Сингапура, Намибии, Шри-Ланки и Южной Африки сейчас рассматривают вопрос о принятии систем голосования, аналогичных индийской.
Применительно же к России и прочим республикам бывшего СССР картина выглядит лишь немного иначе — здесь избирательные комиссии последние годы все больше ориентировались на DRE-машины американского (или европейского) производства.
Однако, при всех различиях в сценариях внедрения DRE, итог оказывается по сути один и тот же. Как только до анализа подобных машин удается добраться независимым исследователям, тут же демонстрируется, что подобной техникой легко злоупотреблять — причем практически не оставляя за собой следов.
На сегодняшний день нет ни одной проанализированной DRE-машины, которая могла бы противостоять подделке результатов выборов. Однако при этом остается множество стран, где эту принципиально скомпрометированную технологию по-прежнему пытаются внедрять. Иначе говоря, приверженность к технологиям DRE ныне можно считать своего рода «индикатором неискренности» (скажем так) властей той или иной конкретно взятой страны.
Со всеми подробностями об исследовании индийской машины голосования EVM можно ознакомиться на посвященном этой работе сайте IndiaEVM.org [http://IndiaEVM.org].
kiwi arXiv 