Německý zpravodajský server Zeit Online uveřejnil šokující informaci. Nezávislý expert a po něm navíc dva experti z bezpečnostní skupiny CCC (Chaos Computer Club) objevili kritickou bezpečnostní chybu v německém centrálním volebním systému, který sčítá hlasy z jednotlivých okrsků. V systému je bezpečnostní díra v šifrování doslova na jedno kliknutí, která umožňuje odeslat centrální volební komisi v Berlíně jiné výsledky, než které z okrskové volební místnosti vložil operátor.
Útočník tak může do datového přenosu vložit vlastní data a dokonce je znovu zašifrovat, aby centrální server nic nepoznal. Chyba v softwaru je už delší dobu a není jasné, jestli zahraniční tajné služby v minulosti neovlivňovaly německé volby, např. americká NSA. Že se opravdu jedná o vážnou chybu, to naznačuje i rozhodnutí centrální volební komise, aby jednotliví okrskoví komisaři během voleb nařídili vizuální kontroly volebních lístků a ručně je přepočítávali. A za volebním programem je opravdu mnoho tajemství.
V Německu jsou volby decentralizovány. Z lokálního obvodu, okrsku, míří sečtené hlasy do regionálního sčítacího centra a odtamtud k federální volební komisi v Berlíně. Voliči používají papírové lístky, kde svoji volbu označí křížkem. Sčítání hlasů je však automatické pomocí volebního softwaru PC-Wahl (PC-Volby) vyrobeného německou firmou Vote-IT. Bezpečnostní expert Martin Tschirsich z Darmstadtu, který chybu objevil, upozorňuje na skutečnost, že software již byl použit nejen pro Zemské volby, ale i pro volby do Evropského parlamentu. Skupina CCC upozornila, že software postrádá základní prvky bezpečnosti, chyb je v softwaru daleko více, než kolik jich našel Tschirsich a dokonce je napadnutelný i updatovací server, takže útočník může uměle vyvolat update proces všech volebních sčítacích stanic a podvrhnout jim útočníkův vlastní program. Volby tak postrádají význam ve chvíli, kdy hlasy sčítají napadnutelné stroje. Redakce serveru ZDnet se obrátila na firmu Vote-IT, aby se k věci vyjádřila, ale firma mlčí. Do voleb, které se uskuteční 24. září, se zřejmě už nepodaří odstranit všechny chyby a provést update a aktualizace všech sčítacích strojů.
Německý sčítací software zdaleka není jediným, který má v sobě bezpečnostní díry. Většina sčítacích a skenovacích softwarů pracuje na principu proprietárního řešení, nikde se nepoužívá žádný open software, který by podléhal bezpečnostnímu zkoumání odborníků na veřejnosti. O něco takového ani není zájem, protože pokud volební programy mají bezpečnostní díry, je vždycky možné, pokud to bude třeba, označit výsledek voleb za neplatný s nějakou výmluvou na hackerský útok. Třeba jako v USA, že americké prezidentské volby hackli Rusové. Američané poukazují na bezpečnostní chyby ve svých elektronických strojích, a toho prý Rusové využili. Zaplať Pánbůh za to! Kdyby Američané neměli děravé elektronické stroje, na koho by potom hodili výsledek voleb, že nevyhrál kandidát, který byl dopředu elitami určený? Takhle mají výmluvu, volby byly hacknuté zlými Rusy. A to ještě mohli udělat to, že by volby kvůli tomu zrušili, ale to si neoconi nepřáli.
Obávám se, že tato záložní varianta je ve hře i v Evropě. Pokud by někde dopadly volby katastrofálně proti vůli Bruselu nebo Berlína, hodilo by se to na Rusy, že hacknuli volby a ty by tak byly zrušeny. Všichni si pamatujeme, jak to probíhalo v Irsku. Když Irové odmítli Lisabonskou smlouvu, volby se opakovaly. Pěkně tak, jak to mají neomarxisté rádi. Pokud výsledek je nežádoucí, volby zopakujeme. To samé Rakousko a volba prezidenta. První volby v dubnu 2016 provázely čachry s korespondenčními lístky, aby za každou cenu nevyhrál Norbert Hofer. Manipulace byly tak zjevné, že rakouský nejvyšší soud volby zrušil a nařídil jejich opakování. V nich už přesně podle zadání s přehledem zvítězil ten správný kandidát, sluníčkově naladěný kandidát a neomarxista Alexander Van der Bellen. Když se nepovede volby ošéfovat napoprvé, volby se opakují, anebo je někdo prohlásí za neplatné. V Rakousku to byly rozlepovací koresponďáky, které nedržely zalepené. Stačilo na ně dýchnout teplý vzduch z úst a obálky se rozlepily. To v krámu nekoupíš. V Německu to tak můžou být amatérsky zabezpečené sčítací stroje. Protože jak se říká, volby nerozhodují voliči, ale ti, kteří sčítají hlasy. Hackerský team CCC k tomu napsal níže následující souhrn.
Hackeři Computer Chaos Club (CCC) studovali softwarový balíček používaný v mnoha německých zemských státech k zachycení, shromažďování a tabulkování hlasů během voleb, aby zjistili, zda je tento software bezpečný proti vnějšímu útoku. Analýza ukázala řadu bezpečnostních problémů a několik praktických scénářů útoku. Některé z těchto scénářů umožňují změnu hlasů v celém volebním okrsku a na státní úrovni. “PC-Wahl” je používán k zaznamenávání, analýze a prezentaci volebních dat v národních, státních a komunálních volbách po několik desetiletí!
Výsledkem této analýzy je “úplná ztráta” důvěry v tento softwarový produkt. CCC zveřejňuje své závěry ve zprávě o více než dvaceti stranách. Technické detaily a softwary používané k zneužití slabých míst jsou publikovány v úložišti. “Základní principy bezpečnosti IT nebyly dodrženy v tomto softwaru. Množství zranitelných míst a jejich závažnost překročila naše nejhorší očekávání,” říká Linus Neumann, mluvčí CCC, který byl zapojen do studie. Znepokojující zjištění studie spočívá v tom, že potenciální hackerský tým, který je financován některým státem (pozn. Ruskem?), není ani zdaleka nezbytný k tomu, aby někdo ovládl hlasování v Německu. Rozbitý mechanismus aktualizace softwaru “PC-Wahl” umožňuje kompromitovat software doslova jedním kliknutím. Spolu s chybějící bezpečností aktualizačního serveru je úplné převzetí kontroly nad programem lehce proveditelné. S ohledem na triviální povahu útoků by bylo rozumné předpokládat, že nejen CCC si je vědom těchto zranitelností.
“Celý řetězec závažných nedostatků, od aktualizačního serveru, přes samotný software až po výsledky voleb, které mají být vyexportovány, nám dovoluje demonstrovat tři scénáře praktických útoků v jednom”, pokračuje Neumann. Software může být použit k zaznamenání výsledku sčítání ve volební místnosti a k předání výsledků obce. Místní volební orgány používají stejný software pro shromažďování výsledků a předávají je státním volebním orgánům. V některých státech “PC-Wahl” používají také státní volební orgány. Dokumentované útoky mají potenciál trvale ovlivňovat veřejnou důvěru v demokratický proces – dokonce i v případech, kdy by skutečná manipulace byla objevena v řádu hodin nebo dnů. Zda se skutečná manipulace vůbec objeví, závisí na postupech, kterými se v jednotlivých státech řídí – v tomto okamžiku a v důsledku našich zjištění se tyto postupy mění. V Hessensku je nyní nutné ověřit každý přenos pomocí “PC-Wahl” pomocí nějakého nezávislého kanálu.
Zobrazené scénáře útoku a pozoruhodně špatný obecný stav tohoto softwaru zpochybňují bezpečnost i konkurenčních produktů používaných pro tentýž účel. V Nizozemsku se testovala holandská verze jiného výrobku “IVU.elect” používaného v Německu, který testovali Sjoerd van der Hoorn a Sijmen Ruwhof. Výsledky nebyly hezké. “Jednoduše není to pravé tisíciletí, které by tiše ignorovalo problémy s bezpečností informačních technologií při hlasování”, říká Linus Neumann.
“Účinná ochranná opatření jsou k dispozici po celá desetiletí, neexistuje žádný rozumný důvod, proč je nepoužívat.” Vláda, která se pyšní heslem “Industry 4.0” a vlastní politikou kryptování v Německu, by měla propagovat a používat software ve volebním procesu, který má veřejně čitelný zdrojový kód. Volební orgány by neměly být závislé na dodavatelích a na programovacích a bezpečnostních koncepcích z minulého tisíciletí, ale měly by podporovat transparentnost a bezpečnost volebního softwaru podporou nového vývoje a pokročilejším stavem vývoje programů. Smutný stav této části volební infrastruktury je ještě větším důkazem problémů v oblasti vládních IT. Postupy pro zadávání nabídek softwarových projektů se musí změnit.
Primárním cílem analýzy zabezpečení CCC bylo upozornit příslušné orgány na bezpečnostní problémy, které by jim připomněly jejich odpovědnost. Hrubá manipulace s výsledky voleb by měla být nyní obtížnější kvůli zvýšenému povědomí a změněným postupům. Pro nadcházející národní volby v letošním roce by toto odhalení nemělo bránit nikomu, aby šel volit, aby měli svůj počet hlasů (a sledoval večerní sčítání)! Konec citace z webového prohlášení CCC. V jejich zprávě jsou na konci i zdroje a odkazy na samotnou analýzu a použitý software.
Jestliže v důsledném Německu je takový šlendriján ve vztahu k nasazenému softwaru, který sčítá hlasy, potom si představte, jako to asi vypadá v dalších zemích s bezpečností volebních sčítacích strojů a počítačových programů. Můžeme jenom spekulovat, nakolik průkazné jsou nejenom zmanipulované průzkumy veřejného mínění, ale i samotné sčítání hlasů ve volbách. Hlavně, že za všechno může Rusko. USA a Evropa má děravé volební systémy, ale o jejich zabezpečení celé dlouhé dekády nikdo nejevil zájem. Jakmile se to hodí, volby se prohlásí za hacknuté. Není to náhoda, připadá mi to jako kalkul a účel.
(KPa, skn.cz, Foto: skn.cz)
