Programišiai populiariojoje sąmonėje yra tapatinami su Holivudo personažais: pasineriama į mokslinės fantastikos diskusijas apie visagalius interneto dievukus, galinčius sustabdyti elektrines, atjungti vandentiekį, pavogti milijardus dolerių iš didžiausių bankų sąskaitų ir įžūliai atskleisti visas Pentagono paslaptis. Mokslinė fantastika nesustoja ir ties internetiniu balsavimu. Programišiai tariamai gali sugadinti balsus, įkelti tūkstančius dirbtinių balsų ir dar atskleisti kiekvieno balso savininko tapatybę. Gandai ir tautosaka dažnai neturi šaltinio, dangstomasi fraze ‘pats mačiau, pats regėjau’, tačiau nei programišių tapatybės, nei jų metodai nėra įvardinami.
Taip, pripažįstu, iš principo įmanoma sustabdyti elektrines ir sužinoti Prezidentės paslaptis. Bet šiuos scenarijus nulemia ne techninės galimybės ir jų fundamentalūs trūkumai, o netinkamas arba nepilnas jų panaudojimas. Pradėsiu nuo paprasčiausios, bet didžiausios baimės - programišiai užkrečia rinkėjų asmeninius įrenginius, o virusas nubalsuoja už rinkėją jam nežinant. Ar tai realu?
Rinkėjo kompiuteris
Ne kiekvienas rinkėjas yra IT specialistas ir neprivalo žinoti, kaip tinkamai apsaugoti savo kompiuterį. Vartotojas gali turėti neatnaujintą operacinę sistemą, neatnaujintą arba neįdiegtą antivirusinę programinę įrangą ir suteikti administratoriaus teises kenkėjiškoms programoms. Esant tokioms „idealioms” sąlygoms, kenkėjiškos programos gali manipuliuoti vartotojo sistema ir tokiu būdu atsiranda balso slaptumo panaikinimo rizika, kurią sukelia keylogger tipo virusas, arba balso pakeitimo rizika, kurią sukelia bot’as (angl. Bot - kenkėjiška programa, leidžianti hakeriui valdyti svetimus įrenginius), laukiantis kol vartotojas identifikuos save, ir tada užpildantis biuletenį rinkėjo vardu. Šios abi rizikos yra išsprendžiamos dviem paprastais ir iš vartotojo ekspertinių žinių nereikalaujančiais būdais.
Pirmas ir labai paprastai pritaikomas metodas yra reikalavimas iš VRK sistemos pusės vartotojo kompiuteriui turėti naujausią interneto naršyklės versiją, atnaujintą antivirusinės programinės įrangos duombazę ir tą pačia dieną atliktą sistemos branduolio skenavimą. Patenkinus reikalavimus, rinkėjas toliau gali tęsti balsavimo procesą ir sėkmingai balsuoti. Neatitikus reikalavimų, vartotojas naršyklėje gautų perspėjimą, kad jo sistema yra nepakankamai apsaugota, ir būtų pasiūlyta pakeisti įrenginį. Tokiu būdu ne tik užtikrinamas kenkėjiškų programų neutralizavimas prieš atiduodant balsą, bet ir vykdoma aktyvi atsako sistema balsavimo metu, kuri didintų rinkėjų pasitikėjimą.
Antras būdas yra taikomas mažinti bot tipo virusų keliamas rizikas. VRK internetinė aplikacija gali stebėti rinkėjo įvesčių srautą, klaviatūros klavišų paspaudimo intervalus, pelės judėjimo seką ir taip atskirti, ar įvestis atlieka tikras rinkėjas, ar bot’as. Šį metodą puikiai įdiegė, išreklamavo ir naudoja duomenų talpyklos tiekėjai www.mega.co.nz ir jį galima išbandyti mokymosi platformoje www.coursera.org. Šis būdas formaliai yra vadinamas įvesties entropija. Tai yra būdas užtikrinti, kad kompiuteriu naudojasi būtent tas rinkėjas, kuriam priklauso balso teisė, o ne kompiuterinis virusas ar net kitas asmuo, pavogęs ar nupirkęs daugybę identifikacijos priemonių (asmens tapatybių kortelių ar mobilių parašų).
Naudojant šiuos du būdus ir kitas papildomas kibernetinės saugos priemones galima sumažinti pašalinių programų keliamas rizikas, ir tokiu atveju rinkėjų IT kompetencijos stoka, kritikų ir hakerių nelaimei, yra įveikiamas iššūkis.
Middle-man tarp VRK ir rinkėjo bei gremlinai tinkle
Sąmokslo teorija paprasta – nenuovokus rinkėjas, o gal net ir žinomas politikas prisijungia prie viešo bevielio ryšio (Wi-fi) tinklo, kurį yra užvaldęs middle-man – tinklo hakeris. Hakeris visus duomenis, siunčiamus iš prisijungusių įrenginių į tinklą, išsaugo savo laikmenoje ir taip rinkėjo elektroninis biuletenis dar prieš patenkant į VRK serverį yra atvaizduojamas hakerio kompiuteryje. Tokiu būdu įmanoma sukelti ne tik abejones sistemos saugumu, bet net ir politinę krizę.
Sudomino teorija? Jau bandote piršti žodį Firesheep? Nepasiseks. Visai pamiršote HTTP suporuotą su SSL/TLS protokolu. Užsakykime 50 tūkst. JAV dolerių kainuojantį elektroninių duomenų perdavimo pasitikėjimą užtikrinantį įrankį – šakninį sertifikatą (angl. Root Certificate), kurį norint gauti reikia ne tik turėti piniginių išteklių, bet ir atitikti visas sertifikatą išduodančios šalies numatytas itin griežtas saugumo nuostatas. Tokiu būdu, net jungiantis per viešąjį Wi-fi tinklą duomenys bus tinkamai užšifruoti dar rinkėjo kompiuteryje ir pasieks VRK duomenų bazę be jokios galimybės įsikišti trečiajam asmeniui.
Deja, ir šiuo būdu nepavyktų pavogti biuletenių nepaveikus serverio ar rinkėjo kompiuterio. Įniršis gali nuvesti iki DDoS (angl. Distributed Denial of Service – paskirstytas atsisakymas aptarnauti, kai serveris nesusidoroja su užklausų gausa) atakos, kuri yra santykinai pigi (nuo 15 JAV dolerių už valandą), jų vyksta apie 28 per valandą visame pasaulyje ir atakos užsakovui lengva išvengti atsakomybės, nes darbą atlieka platus tinklas užkrėstų kompiuterių, paverstų į bot’us. DDoS gali sulėtinti arba sustabdyti VRK sistemos darbą. VRK elektroninės sistemos veikla per 1997 m. Lietuvos Respublikos prezidento rinkimus buvo sutrikdyta ir iki šiol viešumoje pasigirsta balsai, teigiantys, kad būtent tuo metu įvyko nelegalus perskaičiavimas ir laimėjimas turėjo būti nepripažintas. Priminsiu, kad nors 1997 m. nebuvo balsavimo internetu, nepaisant to, sustiprėjo nepasitikėjimas technologijomis. Taigi, DDoS išties, o ypač balsavimo internetu, atveju gali sukelti daugybę abejonių, net daugumos nepasitikėjimą, o galbūt kažkam mintyse šmėstels ir rusiško meškino letenėlė. Bet DDoS tampa viso labo tautosaka apie piktuosius gremlinus, jei kuriant internetinio balsavimo sistemą bus išnaudojami egzistuojantys debesų kompiuterijos įrankiai, leidžiantys beveik neribotai išplėsti VRK serverių pajėgumus įvykus atakai. Tokiu būdu DDoS atakos gali būti neutralizuojamos dar prieš joms paveikiant VRK serverius. Sprendimus šiandien pateikia „Microsoft Azure“, „Amazon Web Services“, „Cloudflare“, ir t.t. Šiuos servisus naudoja „Fortune 500“ kompanijos, startuoliai ir dauguma metaduomenų valdytojų, kuriems svarbus duomenų pasiekiamumas be jokių trikdžių.
Taigi naudojant HTTPS protokolą su tinkamu SSL sertifikatu yra užtikrinamas balso slaptumas elektroninio biuletenio perdavimo metu, o šiuolaikinė debesų kompiuterija užtikrina nenutrūkstamą VRK sistemos darbą. Technologiniai sprendimai laimi prieš tautosaką apie nevaldomas bevieles radijo bangas ir priešiškų kompiuterių armijas.
Juoda (o gal rožinė?) dėžė
Ne pirmą kartą girdime legendas apie mistinę juodąją dėžę, šiuo atveju VRK serverį, į kurio bedugnes, anot kritikų, prapuola rinkėjo balsas ir būtent dėl to niekas negali patikrinti balso tikrumo ir jo perdavimo patikimumo. Piktas vilkas šioje pasakoje yra arba „nepakeičiamasis” Vaigauskas, arba visas politikų ar verslininkų papirktas VRK komitetas, kuris „ten jau viduj pasitvarko kaip reikia“. Kol kas VRK neturi asmens, kuris galėtų save vadinti hakeriu, bet leiskime pasakai sužibėti. Na bet kadangi kažkas turi pasakyti, kad Kalėdų senelio nėra, aš sakau, kad juoda dėžė tėra tik pasakos pavadinimas.
Kiekvienas rinkėjas gali pasitikrinti savo balsą paprastu mechanizmu. Balsavimo metu, po užkodavimo sha256 arba kritikų labiau mėgstamu pbkdf2 būdu, kiekvienas balsas sugeneruoja unikalią hash reikšmę, liaudiškai pavadinkime tai čekiu. Šios reikšmės be pirminių raktų iškoduoti neįmanoma, o ją hakeriui su dabartiniais superkompiuteriais nulaužti užtruktų bent 10 tūkst. metų ir hakeris vis tiek išaiškintų tik vieną balsą. Tokį saugų čekį po balsavimo gautų kiekvienas rinkėjas. Šio čekio tikrumą, o tuo pačiu balso patikimumą, galima patikrinti. Rinkėjas VRK svetainėje patikrinimo skiltyje po balsavimo įveda savo asmens duomenis, pasirinktą kandidatą ar jų rinkinį, jam išsiunčiamas antras čekis ir sulyginus du gautus čekius užtikrinamas patvirtinimas, kad balsas tiksliai įskaičiuotas serveryje. Balsavęs rinkėjas patikrinimo metu gali pasirinkti kitą kandidatą, gauti klaidos pranešimą, kad reikšmės atitinkančios jo originalų čekį duomenų bazėje nėra – ir tai yra paprasčiausias loginis paaiškinimas, kad pasakos apie juodąją dėžę telieka pasakomis.
O jei tą patikrinimą rinkėjas atliktų per kelias platformas (pavyzdžiui, trumpąja žinute), tai būtų papildomas saugiklis, kad jokia kenkėjiška programa nepaveikė jo balso. Rizika, kad to paties rinkėjo ir kompiuteris, ir mobilus telefonas yra apkrėsti, yra artima nuliui. O jei būtų apkrėsta bent viena platforma – kompiuteris arba mobilusis telefonas – būtų aptiktas duomenų neatitikimas, ir automatiškai siunčiamas įspėjimo signalas VRK. Tokį būdą estai ims naudoti jau 2015 m.
Grįžkime prie juodųjų riterių – VRK narių. Jie paperkami, jiems politikai daro įtaką, jie yra demokratijos priešai – štai kaip mes juos vadiname hakerių pasakoje apie internetinį balsavimą. Tarkime, pasaka vėl žiba visu gražumu. O dar jei prie to šmėsteltų gauruota letenėlė – saldžiausia pasaka prieš miegą. Bet kaip Kalėdų Seneliu netikime, taip ir aš netikiu šia pasaka. Netikiu, nes net VRK nariui ar hakeriui pavogus visą VRK duomenų bazę su visais balsais, niekas nepažeistų rinkėjų teisės į slaptą balsavimą. Iššifruoti sha256, matematiškai pakartotą 5 tūkst. – 20 tūkst. kartų, ar pbkdf2 algoritmą užtruktų 10 tūkst. metų vienam (!) balsui, o atgalinių durų (angl. back-door) nėra, nes tai yra atviro kodo šifravimo algoritmai, kuriuos gali patikrinti bet kuris IT specialistas su pakankamai ekspertinių žinių.
Sakote, kad galima įkelti tūkstančius bevardžių balsų ir taip klastoti rinkimus? Su tuo galima susidoroti klonuojant VRK duomenų bazę debesų kompiuterijos pagalba. VRK narys, gavęs prieigą, vienu metu galėtų redaguoti tik vienos duomenų bazės reikšmes, o joms po redagavimų nesutapus su atsarginėmis kopijomis debesyse, galima automatiškai skelbti šiurkštų rinkimų pažeidimą, stabdyti rinkimus ir nesunkiai išaiškinti, kas tiksliai bandė modifikuoti rinkimų protokolą. Šis principas puikiai veikia virtualios valiutos Bitcoin ekosistemoje. Savo kompiuteryje galima modifikuoti atsisiųsto bitcoin vertę, bet vos pabandžius panaudoti jį rinkoje, duomenų repositorijos pagalba, per 0.001 sekundės išaiškinamas apgaulės atvejis ir gaunamas pranešimas apie klaidingą bitcoin’ą. Toks principas gali būti taikomas ir internetinių balsų patikrinimui.
Paminklas tautosakai
Jau turime visas technines galimybes turėti ir naudotis saugia, slapta ir patikima balsavimo internetu sistema. Šiandienos užduotis yra naikinti tautosaką, susijusią su IT galimybėmis ir pažvelgti į šį demokratijai svarbų veiksmą racionaliais argumentais ir pasvertomis tikimybėmis. Žmonijos gabiausi matematikai, kriptografai, informatikai suteikė mums galimybes apsaugoti asmeninius įrenginius, elektroninius ryšius ir sudėtingas serverio ir duombazių architektūras. Palikime pasakas mūsų vaikų vaizduotėms kurti, o ne glaistyti savo baimes ir neišmanymą. Šiandien mes turime atsakyti į klausimą ar mes galime užtikrinti pasitikėjimą visuomenėje tokia sudėtinga sistema. Tai reikalauja nemažai laiko, švietimo, diskusijų, racionalaus pagrindimo ir visuomenės noro turėti veikiančią, patogią ir saugią balsavimo internetu sistemą.