Rendere sicure le elezioni di Bruce Schneier

Rendere sicure le elezioni

di Bruce Schneier
CTO, IBM Resilient
schneier@schneier.com
https://www.schneier.com

da Crypto-gram del 15 Maggio 2018

Le elezioni servono a due scopi. Il primo ed ovvio scopo è quello di scegliere accuratamente il vincitore. Ma il secondo è altrettanto importante: convincere il perdente. Nella misura in cui un sistema elettorale non è accurato in modo trasparente e verificabile, fallisce in questo secondo scopo. I nostri sistemi elettorali [NDR: elettronici, in USA] stanno fallendo e dobbiamo risolverli.

Oggi conduciamo le nostre elezioni sui computer. I nostri elenchi di registrazione sono in banche dati informatiche. Votiamo su macchine per il voto informatizzato. E i nostri tabulati e rapporti sono fatti su computer. Lo facciamo per molte buone ragioni, ma un effetto collaterale è che le elezioni ora hanno tutte le insicurezze intrinseche nei computer. L’unico modo per proteggere in modo affidabile le elezioni sia dalla malizia che dall’incidente è usare qualcosa che non sia hackerabile o inaffidabile su larga scala; il modo migliore per farlo è quello di eseguire il backup di tutto il sistema possibile con la carta.

Recentemente, ci sono state due dimostrazioni grafiche di quanto sia pessimo il nostro sistema di voto computerizzato. Nel 2007, gli stati della California e dell’Ohio hanno condotto audit delle loro macchine per il voto elettronico. I team di esperti hanno riscontrato vulnerabilità sfruttabili in quasi tutti i componenti esaminati. I ricercatori sono stati in grado di alterare in modo indiscutibile i tagliandi di voto, cancellare i registri di controllo e caricare malware sui sistemi. Alcuni dei loro attacchi potrebbero essere implementati da un singolo individuo senza un accesso maggiore di quello un normale operatore di seggio; altri potrebbero essere fatti a distanza.

L’anno scorso, la conferenza degli hacker di Defcon ha sponsorizzato un Voting Village. Gli organizzatori hanno raccolto 25 pezzi di equipaggiamenti di voto, incluse macchine per il voto e registri elettronici di voto. Alla fine del week-end, i partecipanti alla conferenza avevano trovato il modo di compromettere ogni apparecchiatura di prova: caricare software dannoso, compromettere i riscontri di voto e i registri di controllo o causare guasti all’apparecchiatura.

È importante capire che questi non erano attaccantiben finanziati da qualche stato nazione. Questi non erano nemmeno accademici che avevano studiato il problema per settimane. Si trattava di hacker annoiati, senza esperienza con le macchine per il voto, che giocavano in squadre in un fine settimana.

Non dovrebbe sorprendere il fatto che le apparecchiature per il voto, incluse le macchine per il voto, i database di registrazione degli elettori e i sistemi di tabulazione dei voti, siano inaccettabili. Sono computer – spesso computer antichi che eseguono sistemi operativi non più supportati dai produttori – e non hanno alcuna tecnologia di sicurezza magica a cui il resto del settore non è a conoscenza. Se non altro, sono meno sicuri dei computer che generalmente usiamo, perché i loro produttori nascondono ogni difetto dietro la natura proprietaria delle loro apparecchiature.

Non siamo solo preoccupati di alterare il voto. A volteè sufficiente causare guasti diffusi, o anche solo seminare sfiducia nel sistema. E un’elezione i cui risultati non sono attendibili o credibili è un’elezione fallita.

I sistemi di votazione hanno un altro requisito che rende la sicurezza ancora più difficile da raggiungere: il requisito per un voto segreto. Poiché dobbiamo separare in modo sicuro il sistema di registri elettorali che determina chi può votare dal sistema che raccoglie e classifica i voti, non possiamo usare i sistemi di sicurezza disponibili per le banche e altre applicazioni di alto valore.

Possiamo effettuare operazioni bancarie online in modo sicuro, ma non possiamo votare online in modo sicuro. Se potessimo eliminare l’anonimato – se tutti potessero verificare che il loro voto fosse calcolato correttamente – allora sarebbe facile ottenere il voto. Ma questo porterebbe ad altri problemi. Prima che gli Stati Uniti avessero il voto segreto, la coercizione degli elettori e l’acquisto di voti erano diffusi.

Non possiamo, quindi dobbiamo accettare che i nostri sistemi di voto non sono sicuri. Abbiamo bisogno di un sistema elettorale resiliente alle minacce. E per molte parti del sistema, questo significa carta.

Iniziamo con i registri degli elettori. Sappiamo che sono già stati presi di mira. Nel 2016, qualcuno ha cambiato l’affiliazione di partito di centinaia di elettori prima delle primarie repubblicane. Questa è solo una possibilità. Un attacco ben eseguito che cancella, ad esempio, uno su cinque elettori a caso – o cambia i loro indirizzi – causerebbe il caos il giorno delle elezioni.

Sì, dobbiamo rafforzare la sicurezza di questi sistemi. Abbiamo bisogno di una migliore protezione di computer, reti e database per le varie organizzazioni di elettori statali. Dobbiamo anche proteggere meglio i siti web di registrazione degli elettori, con un design migliore e una migliore sicurezza di Internet. Abbiamo bisogno di maggiore sicurezza per le aziende che costruiscono e vendono tutte queste attrezzature.

Backup multipli e non modificabili sono essenziali. Un record di ogni aggiunta, cancellazione e modifica deve essere memorizzato su un sistema separato, su supporti di sola scrittura come un DVD. Copie di quel DVD, o ancora meglio, una stampa su carta dei voti degli elettori, dovrebbero essere disponibili in ogni seggio elettorale nel giorno delle elezioni. Dobbiamo essere pronti a tutto.

Successivamente, le macchine per il voto stesse. I ricercatori di sicurezza concordano sul fatto che il gold standard è un voto cartaceo verificato dagli elettori. Il modo più semplice (e meno costoso) per raggiungere questo obiettivo è il voto a scansione ottica. Gli elettori contrassegnano a mano le schede cartacee; vengono inseriti in una macchina e contati automaticamente. Quel ballottaggio cartaceo viene salvato e funge da vero record finale in un riconteggio in caso di problemi. Le macchine touch-screen che stampano un voto cartaceo da rilasciare in un’urna possono anche funzionare per gli elettori disabili, a condizione che il voto sia facilmente leggibile e verificato dal ballottaggio.

Infine, i sistemi di tabulazione e reporting. Anche in questo caso abbiamo bisogno di più sicurezza nel processo, ma dobbiamo sempre usare quelle schede cartacee per controllare i dati sui computer. Un audit manuale, post-elettorale e che limiti il rischio, deve variare il numero di schede esaminate in base al margine di vittoria. Condurre questo audit dopo ogni elezione, prima che i risultati siano certificati, ci dà la certezza che il risultato elettorale è corretto, anche se le macchine per il voto e i computer di tabulazione sono stati manomessi. Inoltre, abbiamo bisogno di un migliore coordinamento e comunicazioni quando si verificano incidenti.

È fondamentale concordare queste procedure e politiche prima di un’elezione. Prima del fatto, quando qualcuno può vincere e nessuno sa chi può cambiare il proprio voto, è facile concordare una sicurezzaforte. Ma dopo il voto, qualcuno è il presunto vincitore – e quindi tutto cambia. La metà del paese vuole che il risultato rimanga in piedi e la metà lo vuole invertire. A quel punto, è troppo tardi per accettare qualsiasi cosa.

I politici che si candidano nelle elezioni non dovrebbero dover discutere le loro sfide in tribunale. Avere elezioni corrette è nell’interesse di tutti i cittadini. Molti paesi hanno commissioni elettorali indipendenti incaricate di condurre elezioni e garantire la loro sicurezza. Non negli Stati Uniti.

Invece, abbiamo rappresentanti di ciascuni partito nei seggi, per tenenrsi d’occhio l’un l’altro. Ciò ha fornito una sicurezza accettabile contro le minacce del XX secolo, ma è totalmente inadeguato per assicurare le elezioni nel 21° secolo. E la convinzione che la diversità dei sistemi di voto negli Stati Uniti fornisca una misura di sicurezza è un mito pericoloso, perché alcuni distretti possono essere decisivi e ci sono così pochi venditori di macchine per il voto.

Possiamo fare di meglio Nel 2017, il Dipartimento per la sicurezza interna ha dichiarato che le elezioni sono infrastrutture critiche, consentendo al dipartimento di concentrarsi sulla loro sicurezza. Il 23 marzo, il Congresso ha assegnato 380 milioni di dollari agli stati per migliorare la sicurezza elettorale.

Queste è un buon inizio, ma non significa essersi spinti abbastanza lontani. La costituzione delega le elezioni agli stati ma consente al Congresso di “fare o modificare tali regolamenti”. Nel 1845, il Congresso stabilì una giornata elettorale nazionale. Oggi, abbiamo bisogno di fissare standard elettorali uniformi e rigorosi.

Questo saggio è apparso originariamente nel “Guardian”.
https: //www.theguardian.com/commentisfree/2018/apr / …

Audit 2007:
http: //www.sos.ca.gov/elections/voting-systems / … 
https://www.eac.gov/assets/1/28/everest.pdf

Defcon Voting Village:
https: //www.defcon.org/images/defcon-25 / …

Votazioni verificate su macchine per votazione antiche:
https: //www.verifiedvoting.org/resources / …

Voto verificato sul voto online:
https: //www.verifiedvoting.org/resources / …

I registri elettorali presi di mira:
https: //www.nbcnews.com/storyline / …

Modifica dell’istanza di affiliazione del partito:
http: //www.pe.com/articles / …

Pubblicazione di Belfer Centre sulla sicurezza elettorale:
https: //www.belfercenter.org/sites/default/files / …

Sicurezza dei siti web di registrazione degli elettori:
https: //gcn.com/articles/2018/03/28 / … 
https://techscience.org/a/2017090601/

Fornitori di macchine per il voto di hacking:
https: //www.csoonline.com/article/3267625/security / …

Nicholas Weaver su sistemi di backup non modificabili:
https: //www.lawfareblog.com / …

La necessità di un ballottaggio cartaceo verificato dagli elettori:
https: //votingmachines.procon.org/view.answers.php? …

La necessità di un controllo limitante il rischio:
https: //www.stat.berkeley.edu/~stark/Preprints / … 
https: //www.verifiedvoting.org/resources / …

Coordinamento e comunicazioni per i funzionari elettorali:
https: //www.belfercenter.org/sites/default/files / …

Eccellenti testimonianze sulla sicurezza elettorale:
http: //www.crypto.com/papers / … 
https: //jhalderm.com/pub/misc / … 
https://www.verifiedvoting.org/wp-content/ uploads / …

Sistemi di voto come infrastruttura critica:
https: //www.politico.com/story/2017/01 / …

Dotazione di bilancio 2018 per la sicurezza elettorale:
https: //www.reuters.com/article / …

Due saggi finali:
https: //slate.com/news-and-politics/2018/02 / … 
https: //www.washingtonpost.com/news/posteverything / …

Ricevi gratuitamente nella tua email il libro

Sentenza di incostuzionalità del voto elettronico della Corte Costituzionale Tedesca

Il voto elettronico è incompatibile con le caratteristiche costituzionali del processo elettorale che deve mantenere la sua natura pubblica e verificabile dal cittadino senza alcuna conoscenza specializzata.