0.
לעולם אל תסמוך על מכונה ואל תבטח בה: דחיית הפריימריס בעבודה בשמונה ימים היתה מתבקשת לאחר שורת התקלות שהתרחשו. מפלגת העבודה דחתה היום את הליך ההצבעה בגלל כשלי מחשב, אבל בפועל הכשלים היו כשלי אנוש: הבחירה במערכת הצבעה אלקטרונית שתכשל היא הבחירה השגויה כאן. לכן, השאלה האמיתית היא האם היה ניתן למנוע את התקלות האלו או לפחות לחזות אותן מראש? מפלגת העבודה ואנשיה ידעו על התקלות; לא רק הפארודיה בסדרה "משפחת סימפסון" היתה רמז מטרים, אלא גם במערכת הבחירות שהסתיימה לא מזמן בארה"ב הזהירו מפני תקלות מסוג זה וכן בבחירות של 2004. אבל עדיין, למרות כל הכשלים, מעדיפים אנשים להכנע ל"קדמה" ולנסות לדחוף בחירות באמצעים אלקטרוניים, בחירות שהם יודעים שחשופות לזיופים בצורה קלה יותר.
1.
לעולם אל תבטח במכונה: מפלגת העבודה בחרה בדרך בחירות שפוגעת לא מעט בזכות לבחור ולהבחר. הבעיה העיקרית בהצבעה אלקטרונית (מלבד הפגיעה האינהרנטית בפרטיות) היא שאין גיבוי של מספר הקולות שנספרים, בניגוד לפתקי ההצבעה במקרה של הצבעה אמיתית. המחשב רק רושם את השעה והמועמד לו הצבעת, וזהו. מאמר מקיף שנכתב בIllinois Business Law Journal סוקר את שלל הבעיות ומסביר מדוע המערכות להצבעה אלקטרונית שקיימות כיום אינן עונות על כשלי האבטחה הקיימים. מכונות ההצבעה חשופות לפריצות בצורה קלה יחסית, ומבלי להשתמש בכלים מסובכים או ידע טכנולוגי (כשהפורץ חוטף איומי תביעה זו תמיד ברכה). העובדה שהמערכות משוחררות בקוד קנייני ולא פתוח מגדילות את הסיכונים הקיימים בהן, הן לפריצה והן לזיוף, כיוון שאף אחד לא יודע מה המכונות רושמות או איך הן עובדות.
2.
כמו כן, לא מעט חשדות לבריתות פוליטיות בין יצרני מכונות ההצבעה למועמדים מעלות את החשש שמכונות ההצבעה לא עובדות בצורה מהימנה שכן אין דרך אמיתית לגלות מה קורה שם.
3.
לעולם אל תקשיב למכונה: אולם, למרות הכל, משרד הפנים מעוניין לדחוף הצבעה אלקטרונית. הדמוקרטיה, לדבריו, היא לא שיקול ביחס לעלות והחסכון מאותו הנושא. כמובן שמתמונת הקלפי בYnet אתם יכולים להבין מהי רמת האבטחה הדרושה כאן. הקלפי היא מחשב PC שניתן להשתלט עליו מרחוק בקלות יחסית, וניתן להחדיר באמצעותו מידע או לשבש את פעילותו. הקלפי מתקשרת, ככל הנראה, עם מחשב אחר ומעבירה לו את המידע. בסך הכל, פריצות.
4.
שבוע ארכה קיבלו חלק מהמועמדים. אני מקווה שבשבוע הזה יוציאו לא מעט שלדים מהארון שלהם.
אני לא מומחה לאבטחת מידע, אבל מההתרשמות שלי מהקלפי של מפלגת העבודה – הרבה יותר קשה לזייף הצבעות בקלפי ממוחשבת מאשר בקלפי רגילה.
כל מה שצריך בקלפי רגילה זה לתפוס רגע שהיושב ראש לא שם לב, להכניס פתקים למעטפות, לדחוף לתיבה ולמחוק שמות של אנשים שאתה יודע שלא יגיעו להצביע מהרשימה.
בקלפי ממוחשבת – אתה צריך לדעת את כל הפרטים של אדם שלא יגיע להצביע (כולל ת.ז.), אתה צריך לדעת בוודאות שלא יגיע להצביע בקלפי אחר, ואז להכניס את שמו למחשב בזמן שאין הצבעה ושאף אחד אחר לא שם לב.
הרבה יותר מסובך.
או שאתה הולך ומזין משהו קטן במחשב שם או לוחץ כמה פעמים על כפתור.
הקדמת אותי… הייתי עסוק בביביהו….
אפשר לעשות משהו?
אפשר לרדת מהארץ,
אפשר גם להתקין מערכות מבוססות קוד פתוח ולדאוג לכך שיהיה לכל אדם אישור על ההצבעה שלו, כמו גם מערכת שיוצרת עקבות נייר.
צריך לדאוג שהמערכות תהינה יותר מאובטחות והכל.
מחכה שמישהו יגיד שזה הכל קונספירציה כדי שלפואד יהיה עוד זמן להריץ את הקמפיין שלו.
הנה הצעה: האזרח נכנס אל מאחורי הפרגוד, שם יש מחשב. הוא בוחר במועמד והמחשב מדפיס לו פתקית עם חתימה דיגיטלית. את הפתקית הוא מכניס לתיבה לעיני חברי ועדת הקלפי. בסוף היום צריכה להיות התאמה של 100% בין הקולות הרשומים במחשב ואלה שבקלפי.
א.
אלמלא הייתי חושש מרמת האוריינות הממוחשבת של פואד, הייתי מאמין שיש מצב.
ב.
אבל אז הספירה האלקטרונית מיותרת, כי בסופו של יום צריך להתאים בין התוצאות.
אכן, קוד פתוח הוא תנאי הכרחי אך לא מספיק לקיום של הצבעה בטוחה.
דרומי, איך לעזאזל אתה יכול לדעת מי לא יבוא להצביע?
הבעיה הבסיסית (לוגית) בהבצעה אלקטרונית היא שבניגוד לביצוע של עסקאות ברשת, אי אפשר (או לא רוצים לאפשר) מצב של יכולת איכזור המידע – לא רוצים שמישהו יהיה בעל גישה לאפשרות של שחזור השאלה מי הצביע לאיזה מומעד.
אולי 2 מפתחות יכולים לעזור בנושא הזה?
בקשר לשינוי קל של הנתונים – אולי לכתוב את זה על מדיה של כתיבה חד פעמית ?
יש מסמך ארוך באתר משרד האוצר (כמובן , בישראל כל משרד עוסק בדברים שלו, ולכן משרד האוצר אחראי גם לחינוך וגם לשקיפות ולדמוקטריה ולכל שאר הדברים במדינה) על זה – כולל לקחים ובעיות – הצרה שהוא לא הכי מעודכן.
דרור,
אתה רוצה שיהיה מסמך המעיד על ההצבעה, אתה פשוט לא רוצה שיהיה אפשר לשייך אותו למצביע. כלומר, אתה צריך לתת לכל אזרח פתק אחד, שהוא יסמן ואחרי הסימון ישאר הפתק, אבל לא הקשר לאזרח.
לכן, מדיה חד פעמית לא עוזרת, כמו גם מפתח ציבורי (אפשר תמיד לשייך) אלא צריך הליך כפול שמאפשר הצבעה לא אנונימית שעוברת אנונימיזציה.
עדיין אז צריך לאפשר לקבל את התוצאות המקוריות, כלומר לנהל לוג של מי הצביע מתי ולאפשר לבחון שאותה הצבעה אכן התקיימה.
לגבי השאלה "מי לא בא להצביע", זה פשוט מאוד: כל מי שאתה יודע שנמצא בחו"ל, כל מי שמעל גיל מסוים, כל מי שאתה יודע שלא יגיע בכל מקרה.
יהונתן – צריך לדעת את הפרטים מראש, להזין את תעודת הזהות במחשב הקלפי, לרשום אותה בדף רישום המצביעים, וללכת להצביע במחשב ההצבעה.
דרור – חצי שעה לפני שעת הסגירה אתה יכול להניח בסבירות מספקת שאנשים – במיוחד מבוגרים – לא יגיעו. בקלפי ממוחשבת זה לא עובד – אתה לא יודע האם הם הצביעו בקלפי אחרת, למשל.
יהונתן (2) – הספירה האלקטרונית לא מיותרת. אפשר לפרסם את תוצאותיה, ולאמת אותן אחר כך עם הספירה הידנית.
דרומי,
לא. אתה לא צריך את הפרטים האלה; אתה חודר לבסיס הנתונים ומוסיף כמה קולות שבא לך.
אני לא מבין כלום בזיוף בחירות – לא אלקטרוניות ולא רגילות. רק עדות.
עשר וחצי בבוקר בקריית יובל בירושלים, הקלפי נפתחת אחרי חצי שעה של תקלות
לפני בתור עמדו שני חברי מפלגה שגם מוכרים לי מן העבר כמובילי "מעגל" בית מדרש חילוני-דתי למבוגרים באוריינטציה שמאלית המתקיים מדי שבוע בבי"ס בקטמונים.
הבעל הצביע ורץ ללמד (מכללת ספיר ואחווה), האישה נותרה וחיכתה שגם המחשב שלה יעלה, ופתאום סגן היו"ר מתחיל להגיד שהבעל לא סיים את הליך ההצבעה שלו ולכן זה לא נקלט (לה כמובן אסור להשלים את ההצבעה). הוא שיחק קצת במחשב ואמר שהוא לא יודע מה לעשות. אח"כ גם האישה הלכה.
אני לא חושב שהיתה לאיש כוונת זדון (לפי הכיפה השחורה על ראשו נראה לי שהוא בכלל עובד כ"א המועסק ע"י טלדור), אבל די ברור שהצבעתו של האיש שטרח והלך לקלפי נזרקה לפח (בלי קשר לכך שקולות כולנו הלכו לפח).
ואם יש כוונת זדון – אני יצאתי עם רושם לא מקצועי שקל מאוד מאוד למחוק רשומות של אנשים מסוימים מן המחשב בטענה ש"היתה תקלה".
זאת במיוחד כאשר "המשקיפים" הם פעילי המפלגה הוותיקים שלא מבינים בגרוש במחשבים ובאבטחת מידע (אלו אותם בטלנים שישבו וראו ב-28 מרץ 2006 את המשחק של הפועל ירושלים בכדורסל בסניף המפלגה בקריית יובל שנמכר לבנק לאומי בעוד אני מרים טלפונים בטירוף ומאיץ אנשים להצביע אמת).
מסקנה? אין לי – אבל אני נוטה ליהונתן.
אכן הכשלון הזה מצטרף לשורה של כשלונות נוראיים בבחירות ממוחשבות, בעיקר בארה"ב, עם קלות הפריצה והשיבוש של מחשבי ההצבעה. אני לא חושב שזה לא אפשרי לביצוע, כי אני מכיר מערכות מורכבות, מסובכות וקריטיות פי כמה וכמה. לכן אני מתקשה למצוא הסבר לכשלים החוזרים ונשנים האלה.
רואה שחורות, כנראה בגלל שאף אחד לא רואה את הקוד אז אפשר לחסוך על הבטחה.
אני משתשע ברעיון שמישהו ישנה את ההצבעות במסד הנתונים ויציב את פינוקיו בראש המפלגה, אולי זה גם ישים סוף לשטות הזאת.
יהונתן, כמה שנים מקבלים בכלא על פריצה למערכת ושינוי התוצאות ?
יוחאי,
שלוש או חמש שנים, תלוי בסוג של הפעילות.
כמה הערות:
הספקתי להצביע בפריימריס ביום שלישי לפני שהבחירות בוטלו. להפתעתי, ההצבעה הייתה פשוטה מאוד ונוחה. להפתעתי הרבה יותר, אחרי שסיימתי להצביע, התבקשתי לחתום על פרוטוקול. הרי לך אישור על ההצבעה.
שנית, ר"ש, בבחירות המוניציפליות הייתי מזכיר קלפי. מתברר שגם בבחירות עם פתקי נייר לא נדרשים מאה אחוזי התאמה. במהלך היום מנהלים כמה רשימות מקבילות שעוקבות אחרי מי שהצביע. בסוף, המספר היחיד שחשוב הוא כמה פתקים הוצאו מהקלפי. אפילו אם המספר לא תואם את אחת או את כל הרשימות שנוהלו במהלך היום. למעשה, יש בזה הגיון מסוים. גם אם אתה יודע שקיים פגם- נגיד שני קולות עודפים- אין לך שום יכולת לבודד את הקולות המסויימים המזוייפים. אני מניח שאם הפגם הוא מאוד גדול, אז פוסלים את כל הקלפי או משהו כזה, אבל גם בכך ישנה בעייתיות רבה.
שלישית, דרומי, להשיג את מספרי הזהות זו דווקא בכלל לא בעיה. לכל אחד ואחד מהמועמדים (בכל בחירות שהן) יש את כל ספר הבוחרים של אותם הבחירות, כולל מספרי תעודת הזהות. בהצבעה ממוחשבת, אפילו, אין צורך לדעת שהבן אדם לא מתכנן להצביע. כל מה שאתה צריך לעשות הוא להצביע בשמו לפניו. כשהוא יגש להצביע, תתקבל הודעת שגיאה על כך שהוא כבר הצביע.
ולמעוניינים, אצלי יש דיסקוס קטן על האספקטים הטכניים של פאשלת ההצבעות.
רינה מצליח מדברת הערב בחדשות של שש בערוץ 2 מעמדת התרגול בפריימריז של "קדימה".
משפט המחץ "אין טעויות, אין זיופים, והתוצאות מגיעות הרבה יותר מהר".
וואלה.
(ההדגשה שלי, הציטוט הוא בערך, חוץ מהקטע המודגש).
יהונתן,
"הקלפי היא מחשב PC שניתן להשתלט עליו מרחוק בקלות יחסית"
זה לפני שהוא עבר הקשחה או אחרי?… הוא בכלל אמור להיות חסום ברמת הרשת (ספק האינטרנט) לגישה מרחוק למי שלא ברשת.
כך שמבחינת אבטחה, אם זה עובר בדיקה או שניים מקצועיות חיצוניות, הן אפליקטיבית והן תשתיתית, כשזה מבוצע לפי הכללים עם גיבויים וכד', מה שנותר זה רק את החלק האנושי שכל מחשב מלווה ע"י 3 אנשים כמו בקלפי רגילה שצריך לוודא שמישהו פיזית לא משתולל.
לכל בעיה אפשר למצוא פתרון. אני לא מזלזל במהלך, צריך אכן לבצע אותו בזהירות ובשבע עיניים (שזה 4 אנשים שלאחד מהם הוציאו עין..) אבל כן כדאי ורצוי להתקדם.