בחירות לא חשאיות: כשחברי כנסת לא מבינים באבטחת מידע (2)

לא מזמן דיברתי כאן על הבעיות של מרצ עם אבטחת מידע: באותו המקרה מרצ רצתה לארגן עצומה אינטרנטית ולצורך כך ביקשה מהחותמים על העצומה את הססמא לחשבון הדואר האלקטרוני שלהם כדי לבצע שליחה בשמם. בעיית האבטחה לא עמדה בראש סדר העדיפויות של המפלגה, וזו הגיבה כאן בבלוג כי "בהתייעצות מוקדמת עם מתכנתי ווב המתנדבים אצלנו הם הבטיחו לנו כי הכול כשורה. אך כאמור אנו בתהליך ביקורת". בעקבות ביקורת ציבורית הוחלט להפסיק עם ההתנהגות הבעייתית הזו.

אבל, מרצ היא רק דוגמא אחת למה קורה כשפוליטיקאים בוחרים לבצע החלטות בצורה שהם לא מבינים בה. אתמול היה לי את התענוג לשבת עד חצות הליל במוסד לבירור עתירות במפלגת העבודה בדיון של מספר עתירות שונות. בתמצית, כל העתירות הוגשו כנגד החלטה של ועדת הבחירות המרכזית של מפלגת העבודה לקיים הצבעה בבחירות למזכירי מחוזות באמצעות האינטרנט. בחירות אלה הן אזוטריות יחסית, ולא משמעותיות בגודלן: מדובר על בחירות בהן מועצות סניף בוחרות מי יהיה מזכיר המחוז, שהוא תפקיד סמלי וייצוגי (ומהווה, לעיתים, מקפצה לכנסת). העותרים, אזי נגר, דוד מגן ושמוליק מזרחי, השתייכו כנראה למחנות שונים במפלגת העבודה (אני לא יודע מי מהם קשור למי, אבל זה לא נראה במיוחד כאילו מדובר בחונטה אחת).

תהליך ההצבעה שהוצג במפלגה הוא כזה:

המצביעים, יקבלו לביתם במהלך השבוע הבא דף הנחיות וקוד סודי אשר ישמשו אותם לצורך ההצבעה באינטרנט.  כאמצעי זהירות נוסף, בנוסף לקוד הסודי, ידרשו החברים להזין פרט זיהוי נוסף, אשר לא יופיע במכתב – והוא 6 הספרות האחרונות של אמצעי התשלום אשר שימש אותם לתשלום אגרת הבחירות.  חבר שלא יקבל את הקוד הסודי לביתו או לא זוכר את פרטי אמצעי התשלום שלו– יוכל לפנות במהלך יום הבחירות למרכז תמיכה טלפוני (03-7283606), ולאחר שזהותו תאומת יקבל במישרין את הקוד שמשמש להצבעה.  המערכת תאפשר הצבעה אחת מכל בית. במקרים חריגים, בהם חברים מספר בני משפחה, יש לפנות ביום הבחירות למרכז התמיכה לצורך מתן אישור הצבעה חריג.

כלומר, הדרך של מפלגת העבודה לאמת אדם באמצעות האינטרנט ולוודא שהוא מי שמצביע, יש עליו להשתמש בשני אמצעי זיהוי: קוד זיהוי שנשלח לו בדואר (רגיל, כזה שכל אחד יכול לגנוב לו מהתיבה) ושש ספרות אחרונות של כרטיס האשראי (שהוא פרט שלא קשה לדלות על אנשים אם אתה, נניח, עובד בפיצירה שכונתית, או אפילו רק גנבת מאגר מידע קטן).

עכשיו, יש כאן עוד נושא קטן ופעוט: אחת הסיבות לכך שבחירות נערכות בקלפי, כאשר יש ועדת קלפי שבודקת את תעודת הזהות של מי שמצביע, ושהוא מצביע לבד, כאשר אף אחד לא מסתכל על מה שהוא מצביע, היא כדי למנוע קבלני קולות. כלומר, בשיטה שמפלגת העבודה מציעה, קבלן הקולות השכונתי ילך לכל הבוחרים, יאסוף את הטפסים שלהם מהבית (בהסכמה, כמובן) יפתח את הדפדפן שלו ויצביע בשמם (כן, הוא יצטרך להתנתק בין הצבעה להצבעה, כדי להחליף כתובת IP, תהליך של דקה וחצי).

כלומר, מערכת ההצבעות של מפלגת העבודה (שאפשר לראות כאן) היא כזו שלא מאפשרת בחירות חשאיות ואישיות: אכן, יכול להיות שהמערכת לא יודעת מי הצביע לאיזה מועמד (ובכך מונעת זיופים על ידי המערכת עצמה) אבל היא לא כזו שמאפשרת גם למנוע קבלני קולות, או מצב שאדם גונב את טפסי ההצבעה ומצביע בשם אדם אחר. על כך העיד ארוכות אמש בעתירה גיא מזרחי, כאשר הסביר שני דברים משמעותיים: הראשון הוא שמועמד פלוני יכול להודיע לכל הבוחרים שלו להצביע בשעה מסוימת, ולאחריה להתחיל עם מתקפת DDoS (התקפת מניעת שירות מבוזרת) כך שאף אחד אחר לא יוכל להצביע לאף אחד מהמועמדים. השני הוא שמי שממש רוצה יכול להשתיל סוסים טרויאינם על המחשב של המצביעים (מדובר על קבוצה מצומצמת) ולשנות את ההצבעה שלהם בזמן אמת.

אלה הם רק שניים מהתרחישים האפשריים שגיא הציג אמש והסיבה מדוע אי אפשר לקיים בחירות באמצעות האינטרנט בצורה הזו; הדבר לא אומר שכל בחירות אלקטרוניות הן פסולות, אלא שבצורה הנוכחית הן נתונות לזיופים ולקבלנות כולות.

למרות כל זאת, החליט הבוקר המוסד לבירור עתירות של מפלגת העבודה לדחות את העתירות ולאפשר את המשך הבחירות (החלטה 43/12 של המוסד לבירור עתירות). ההחלטה הקצרה קובעת כי "הבאנו בחשבון כי קיים פוטנציאל לסיכון בעריכת בחירות באופן זה. יחד עם זאת, לא השתכנענו כי גם בשיטת הבחירות הנהוגה כיום ניתן לנטרל סיכונים מסויימים … לאחר ששמענו את עדויותיהם של המומחים שדיברו בפני ההרכב, אנו ממליצים בפני המוסדות הרלוונטיים לבחון האם יש מקום לשפר את המערכת שנבחרה. כפי שהוצע במסגרת הדיון. בעיקר אנו מדגישים את החשיבות שבהנגשת הקלפי הנודדת למקסימום בוחרים".

מה שמדהים כאן הוא השיח של "הטכנולוגיה חייבת להמשיך להתקדם". כלומר, המפלגה טוענת שיש לצעוד עם הקדמה. ואכן, חלק ניכר מהעותרים (שככל הנראה אני לא משתייך למחנה הפוליטי שלהם) הם ותיקי המפלגה, כאלה שטענו כי לאוכלוסיות מסוימות אין נגישות לרשת ולכן הדבר פוגע בזכותם לבחור (ואני מסכים איתם). אבל, כאן הדיון הוא לא טכנופובי אלא ההפך: הדיון הוא על כיצד לאמץ את הטכנולוגיה, וכיצד לא לגרום לכך שמי שיכול להשתלט על הבחירות יעשה זאת.

צריך לזכור שמה שמתאים לכוכב נולד לא תמיד מתאים לבחירת נציגים במערכת דמוקרטית שאמורה לקבוע עבור הציבור נהלים, חקיקה ותקנונים.

קצת עצוב לי שכך המפלגה מתנהלת, כי זה מסביר, בסופו של דבר, מדוע המאגר הביומטרי הצליח לעבור.

16 תגובות ל-“בחירות לא חשאיות: כשחברי כנסת לא מבינים באבטחת מידע (2)

  1. רק הערה לגבי החלפת איפי, בימינו זה הרבה יותר קשה ממה שהיה פעם. להרבה מנויים יש בכלל איפי קבוע, וגם מי שלא, לא מספיק להתנתק לכמה דקות כדי שיוחלף. לפעמים צריך להתנתק ליממה ויותר. אחרת בחיבור מחדש מקבלים את אותו איפי.
    מה שהקבלן שלך כן יכול לעשות, זה להתחבר דרך פרוקסי. אבל רוב הפרוקסי הם בחו"ל, ולכן אפשר בקלות לחסום אותם.
    אבל אתה צודק שהצבעה דרך האינטרנט לא מעשית כמו שהוא בנוי.

  2. ש עליו להשתמש בשני אמצעי זיהוי: קוד זיהוי שנשלח לו בדואר (רגיל, כזה שכל אחד יכול לגנוב לו מהתיבה) ושש ספרות אחרונות של כרטיס האשראי (שהוא פרט שלא קשה לדלות על אנשים

    חברות אשראי גם נוהגות כך לצורך פתיחת חשבון אינטרנטי לצורך קבלת מידע.
    בהוט כל מה שצריך הוא את ארבע הספרות האחרונות של אמצעי התשלום (מופיע על המעטפה שנשלחת בדואר).

    אני חס וכרפס לא רוצה לומר כי זו סיבה טובה לאפשר את מה שנראה שהוחלט רק להצביע על כך שהשיטות הבעיתיות קיימות גם בגופים "מודרניים" יותר (או שמתיימרים להיות שכאלו).

  3. דוקא מה שמתאים לכוכב נולד עשוי להתאים פה מאוד – הצבעה בסלולרי היא הצבעה שיותר קשה לזייף מאחר שיותר קשה לזייף מספר שולח של SMS.

    DOS לא צריך להיות שיקול פה מאחר שאם אכן יש מקפה פשוט מאריכים את זמן ההצבעה וחוץ מזה לא מסובך לחסום DOS כאשר מראש לא צריך לאפשר גישה לכל הרשת.

    יש דרכים לעשות את ההליך הזה בצורה מאובטחת, אבל בעיקרון שימוש בדפדפן רגיל נראית לי כמו הדרך הלא נכונה גם מבחינה טכנולוגית (האם הם בודקים את הליך ההצבעה בכל כל כל כל הדפדפנים?).

    מה שאולי פספסת זה שהלך פה לאיבוד עיקרון חשאיות הבחירות מאחר שכל הצבעה מזוהה.

  4. מה שקרה אתמול הוא שהסיכון – הקטן להערכתי הלא מבוססת – לזיופים גבר על גרימת אי-נוחות רבה למצביעים ולהקטנת שיעור ההצבעה. בערד לא נפתחה קלפי, מי שהיה חשוב להם נסעו לבאר שבע (זה כמו מתל-אביב לבנימינה, למי שלא יודעים). התוצאה, 50% הצבעה, אמנם חריג בין הסניפים, אבל סטטיסטית סניף ערד הוא לנו מה שחשוב.
    אני משער שהבחירות אתמול היו אמורות להיות מבחן מעשי (pilot) לבחירות לרשימה לכנסת.
    המסקנה, לאור הפסיקה, היא שכנראה הבחירות לרשימת המועמדים לא תהיינה "מהבית" אלא בקלפיות. יהיה צורך למקם קלפי בכל ישוב. אם ירצו לערוך בחירות ממוחשבות, מול צג מגע, כמו אתמול יהיה צורך למצוא בכל אתר מקום עם נגישות טובה לרשת.
    נסיון העבר – לפני שנים אחדות – להשתמש במודמים סלולריים כשל אז והבחירות נדחו בשבוע ונעשו בשיטה הישנה, טפסי נייר.
    לוח הזמנים הקצר יהיה השיקול הגובר. התוצאה אינה ברורה כעת, אבל כמעט ודאי שהעלות גם למצביעים וגם למפלגה תהיה גבוהה יותר ושיעור ההצבעה נמוך יותר.

    הערה למרק, עקרון החשאיות יכול להישמר דרך ניתוק מהלך הזיהוי ממהלך הספירה, זה כמו הצבעה במעטפות כפולות בבחירות הכלליות.

    מה שמראה שהחיים הם לא פשוטים.
    וליהונתן, אישית, ב ה צ ל ח ה!

  5. יעקב, מאחר שכל נסיון הצבעה עובר תהליך זיהוי חד ערכי השרת תמיד יודע מי הצביע עבור מי. אתה בעצם אמור לסמוך שלמרות שהמידע קיים איש לא יעשה בו שימוש וזו ציפיה מאוד נאיבית לדעתי.

  6. בגדול כן:
    אמצעות כרטיסים חכמים: לכל מצביע ינתן כרטיס חכם (לא ישלח בדואר) שיאפשר לזהותו אותו על ידי אחד מהשניים: או ביומטריה (שמאוחסנת על הכרטיס) כדי להבטיח שהוא באמת המצביע, או קוד אישי אחר.

    הבעיה שבמקרה כזה חשאיות הבחירות לא נשמרת: אין שום דרך להבטיח שקבלן הקולות השכונתי לא עומד ומסתכל על המצביע ואז נותן לו את התשורה עבור ההצבעה.

    כדי למנוע את כל הדברים האלו, הקימו ועדות קלפי ובודקים שההצבעה חשאית.

  7. לא צריך ביומטרי – אם יש לך כרטיס חכם (שאולי יכול להיות "סתם" אפליקציה על הפלאפון) אז אתה רשאי להצביע. לקבל את הכרטיס החכם זה כמו לקבל מעטפה בקלפי – אף אחד לא מאמת אותך שוב כשאתה מכניס את המעטפה לתיבה ובדומה אין צורך בזיהוי נוסף אחרי שכבר קיבלת את הכרטיס החכם

  8. גם אם גונבים לי את תעודת הזהות, או אוספים אותה בשביל להצביע בשבילי. בגלל זה אני חושב שפלאפון הוא פיתרון טוב יחסית כי אף אחד לא יתן אותו בקלות וסביר להניח שיהיה קשה לגניבה.

    אולי באמת צריך כרטיס עם קורא טביעת אצבע, אבל לא בשביל אימות אלא לצורך שמירת hash של מי שעושה שימוש במכשיר למניעת הצבעות כפולות בדי אדם אחד. אז מי שרוצה לאסוף כרטיסים יצטרך לזייף טביעות אצבע שזה אפשרי אבל מצריך עבודה.

  9. מרק, תקן אותי אם אני טועה, אבל אתה לא אמור להגיע עם תעודת הזהות? במקרה כזה, הדרך היחידה שבה אפשר להצביע במקומך זה אם מי שמחזיק בתעודת הזהות שלך דומה לך (או אם את בדואית רעולת פנים ולא מתעקשים איתך על הזדהות אפקטיבית).

  10. או אם במאה שעריים מתרחשת תחיית מתים ביום הבחירות, או אם לחברי ועדת הקלפי דוחפים קצת מזומן….

    וכמובן שתמיד ניתן לזייף קלפי ודיווח ובכך לעקוף את כל הצורך בהתחזות.

  11. שלום ותודה לכל מי שסייעו בידי לחדד את החשיבה שלי בעניין.
    העניין העיקרי בדיון הוא שכאשר המצביע אינו מופיע בפני אנשים שיזהו אותו ואינו מצביע כשהוא לבדו מאחורי פרגוד אין שום ודאות מי הצביע.
    לא יועילו כרטיסים חכמים ושאר ירקות.
    אם מישהו ירצה מאוד הוא יוכל להשפיע על הבחירות.
    צריך להודות שיש מוטיבציה למישהם אכן "לגנוב" את הבחירות.

    השתמשתי במילה "לגנוב" מפני שאני רוצה להקביל גניבת בחירות לגניבת כסף.

    ברשת מתבצעות ברצף עסקות כספיות רבות שאנשים עושים מבתיהם. המוטיבציה לגנוב את הכסף הזה, יש להניח, קיימת אצל הרבה יותר אנשים מאשר אלה שרוצים לגנוב בחירות. גם התמורה לגניבת כסף היא מיידית, זו אינה בבחינת "שלח לחמך" של בחירת פוליטיקאי מושחת ככל שיהיה.

    איך אתם, חרדי זיוף הבחירות מסבירים את השיעור הלא גדול של גניבת כסף בעסקות?
    האם משהו שונה בין הצבעה מהבית לבין רכישת עכבר למחשב, או מכונית, או כל דבר אחר (תרומה למתמודד למשל)?

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *