Schlagwortarchiv für: Cybersecurity

How to explore the Darknet

The darknet is the dark side of the internet. It offers opposition and whistleblowers the possibility of secure communication, but it is also used for illicit trafficking in drugs, weapons and identity cards. Researchers of the BFH are investigating this marketplace and analyzing the sales, as our author Emmanuel Benoist writes.

We are a team of the RISIS institute of the BFH-TI, and we are conducting research on the Darknet markets. We use all possible traces, from crawling of the web site to blockchain analyze of the Bitcoin transactions to evaluate the transactions on the Darknet.

Hashish, MDMA, Cocaine, counterfeited notes, credit card numbers or fake passports, Darknet markets offer plenty of illegal goods. Forensic investigators and researchers want to know exactly what happends on those networks. We want to see what is sold, who are the sellers, what is their turnover, and how the markets work. Therefor, we need to gather data about the exchanges and to analyze them to measure the turnover of the different Darknet markets and sellers.

Bitcoin is the method of payment

Sellers and buyers on Darknet markets use mainly crypto-currencies like Bitcoin. Since the blockchain of Bitcoin is totally public, anybody can see any transaction done using Bitcoin. The researchers have tried to follow money transfer from one person to a market and then to a seller. Even in Bitcoin, where all the transactions are publicly accessible, this is not possible since anybody can create as many Bitcoin accounts as they want. So in reality, buyers and sellers do use anonymization techniques (for instance tumblers) to hide the sources and destinations of transactions. Persons active in the Darknet will try not to reuse the same account twice, they will create new accounts each time the anonymity could be endangered. Following transactions directly is hence not possible.

By visiting the sites, we can see the mass of offers. On Dream Market, the largest of the Darknet markets, there are 86’000 offers for drugs, more than 60’000 digital goods (data, ebooks, hard core pornography, tutorials for hackers, \dots), and around 6000 offers for services (fraud, fake IDs, counterfeit notes, \dots). Having an overview and finding the best sellers and what they sell is not possible. The amount of pages is way too large to be covered manually.

BFH’s RISIS department developed systems to visit automatically all pages of the most important Darknet markets. We faced difficulties, since markets do use anti-crawling measures. We have to solve captchas at the login (sometimes even before the login). We have to limit the number of visits per minute, otherwise, the site will kick our user out, or even ban this account for a long time.

Figure 1: Statistics showing the transactions per hour on Wall Street Market

We are looking for information on the turnover of the different sellers and the quantity of goods they sell. This information is normally not accessible directly. We can evaluate with different means the different turnovers. Reputation mechanisms play a central role in Darknet markets, where each buyer should evaluate the seller for each transaction. On some sites, this is mandatory, on other ones, this is only optional. Afterward, any user can see the number of transactions of a user and the number of evaluations, the buyers can also read the evaluations of items directly. Crawling the pages gives us access to that information: for each seller, their reputation, their number of transactions and for each item the different reviews. We will use this information to try to evaluate the turnover of sellers. We use the following figures: for each item sold, the number of comments; for each a user, the number of transactions and the number of comments. Using a simple proportional calculation, we can guess the number of transactions for each item. Since we know the price of the items, we can evaluate for each item the turnover. We can find for each market and each category, which sellers and which items have the larges turnover. We have found that reputation plays a central role and that a small number of actors play a central role in each of the categories, and that most of the big sellers are active mainly in one single category.

When most transactions take place

We have seen that following Bitcoin transfers is useless because of the different anonymization techniques used by Darknet users. We found a solution to mark transactions. On some Darknet markets, to compensate the lack of trust, people use multisig transactions. A multisig transaction is created by three persons (vendor, buyer, market) using their public keys. It needs the use of two of the corresponding private keys to release the money, since two of the tree persons need to sign the corresponding transaction. The Darknet market «Wall Street Market» offers this possibility. We succeeded in following some keys that are reused. With some more investigations, we found some addresses used to collect the fees payed for each transaction. We can now see all the transactions of this market and analyze them. We have the turnover of this market for all Bitcoin transactions. We can make statistics to see at what time or which day the more transactions are done. The statistic presented hereunder shows that the transactions are not evenly distributed over the day. The transactions are overrepresented during the day time in Europe with a peek in the evening. This contradicts our first intuition, where we supposed that a large part of the transactions are done on the west coast of the USA (since everything in the IT-world starts on the west coast). We were surprised to see that according to the actual values of the transactions, the largest part of the transactions is done in the European time zone.

Further research needed

We are looking for more information. Some transactions are using another cryptocurrency Monero. Monero has been designed for its privacy preserving properties. Following transactions in Monero will be much more difficult than in Bitcoin. We are still investigating to see if some information can be leaked out of Monero. We also need long time data to show trends in the Darknet market industry.

PDF erstellen

Ähnliche Beiträge

Es wurden leider keine ähnlichen Beiträge gefunden.

Die angebliche Sicherheitslücke im Genfer E-Voting – eine Kritik an der TV-Berichterstattung

Am 2. November behauptete das Schweizer Fernsehen in mehreren News-Sendungen, das Genfer E-Voting-System sei geknackt worden. Dabei recherchierte das Fernsehen unsorgfältig und berücksichtigte die Warnungen von zwei Schweizer Hochschulprofessoren nicht. Es beherzigte auch die Stellungnahme des Kantons Genf nicht gebührend und erlaubte einem Vertreter des Chaos Computer Clubs, offensichtliche Falschaussagen über die SRF Kanäle zu verbreiten. Unser Autor zeigt die Versäumnisse der Medienschaffenden auf und stellt die Ereignisse in ihren Kontext.

Offenbar fahren Vertreter des Schweizer Chaos Computer Clubs CCC eine Kampagne gegen die Pläne, E-Voting in der Schweiz flächendeckend einzuführen. In zahlreichen Zeitungen erschienen im Laufe des Jahres negative Artikel zum Zustand der beiden hiesigen, etablierten E-Systeme. Während die Printmedien inzwischen differenzierter berichten, spitzte das SRF am 2. November den negativen Befund sogar zu.

Inszenierter Angriff unter Laborbedingungen

Volker Birk vom CCC demonstrierte in der Hauptausgabe der Tagesschau vom 2. November einen Angriff unter Laborbedingungen. Der vorgestellte Angriff erlaubt es unter Umständen, ein einzelnes Opfer beim erstmaligen Aufruf des Genfer E-Voting-Systems auf eine präparierte Seite umzuleiten. Das Opfer hat gute Möglichkeiten, diese Umleitung zu verhindern. Der Angriff funktioniert nämlich nicht, wenn das Opfer die URL vollständig abtippt, die URL nach dem Aufruf nochmals überprüft oder das Sicherheitszertifikat kontrolliert, was in der Anleitung ausdrücklich empfohlen wird.

Abbildung 1: Der gefälschte Server ist an der URL leicht zu erkennen (Quelle: SRF)

Auf das briefliche Abstimmen übertragen, hat die Angreifer einen eigenen präparierten Briefkasten an einem öffentlichen Ort platziert. Sie warten nun die gesamte dreissigtägige Stimmperiode lang darauf, die einzelnen StimmbürgerInnen zu diesem falschen Briefkasten umzuleiten: Die StimmbürgerInnen sollen die ausgefüllten Stimmunterlagen in den gefälschten Briefkasten einwerfen. Sofern das Opfer angesichts der Umleitung zu einem gefälschten Briefkasten keinen Verdacht schöpft, erhält der Angreifer so Zugriff auf das Stimmmaterial. Er kann dann das Stimmgeheimnis des Opfers brechen.

Es ist nicht auszuschliessen, dass ein einzelnes Opfer auf diesen Angriff hereinfallen würde. Es ist auch denkbar, dass fünf, zehn, fünfzig oder gar hundert StimmbürgerInnen parallel angegriffen würden und sich von einem gefälschten Briefkasten übertölpeln lassen könnten. Aber je grösser die Zahl, desto wahrscheinlicher wird es, dass jemand Verdacht schöpft – zumal es nur bei Opfern funktioniert, die zum ersten Mal online abstimmen. Alle anderen würden den gefälschten Briefkasten aufgrund einer Sicherheitswarnung sofort erkennen.

Das alles ändert nichts daran, dass der Angriff technisch funktioniert. Und auch wenn der Angriff nicht skalieren wird, ohne bemerkt zu werden, so könnten die Gegenmassnahmen durch den Kanton Genf doch noch etwas optimiert werden. Dies wird in diesem Artikel erläutert.

Steigerung der Fehlinterpretation

Die gravierenden Fehler in der Berichterstattung passierten während der Recherche und bei der Interpretation im Fernsehstudio: Die Interpretation war unpräzise und schoss über das Ziel hinaus.

1. Im Newsflash

In einem am frühen Abend des 2. Novembers publizierten Newsclips suggeriert das Fernsehen bereits die Möglichkeit zur Manipulation der Abstimmung: «Eine Auslandschweizerin […] will beim eidgenössischen Urnengang vom 25. November elektronisch abstimmen. Dafür benutzt sie das E-Voting-System des Kantons Genf, der dies anderen Kantonen zur Verfügung stellt. Sobald sie die Adresse evote-ch.ch/lu in ihren Webbrowser eingegeben hat, wird sie auf eine gefälschte Seite umgeleitet. Eine Seite, die Hacker präpariert haben – um an die Stimmabsichten der Frau zu gelangen, oder noch schlimmer: um ihre Stimme zu manipulieren.» Aber manipuliert wurde einzig der Aufruf des Browsers. Von der Möglichkeit, die Stimme zu manipulieren, kann keine Rede sein, denn das verhindern weitere Sicherheitsmassnahmen. Diese Unterscheidung macht der Beitrag erst weiter unten im Text. Dort gelingt auch eine Einordnung des Angriffes und ein separater Kasten erklärt den LeserInnen, wie sie sich schützen können.**

2. In der Tagesschau

In der Hauptausgabe der Tagesschau des 2. Novembers nahm der Sprecher die Idee der Manipulation auf und leitete wie folgt ein: «Hacker konnten bei einem Test ein grosses System manipulieren». Und dann weiter «Zu den Recherchen von SRF, dass es Hackern gelungen ist, das Genfer E-Voting-System zu manipulieren…»Während der Newsclip also noch behauptete, es bestehe die Möglichkeit, eine einzelne Stimme zu manipulieren, wurde daraus in der Tagesschau eine Manipulation des Gesamtsystems.

3. In der Sendung 10vor10

Auch 10vor10 machte es nicht besser. Hier sprach man von einem klaffenden Loch und dass es gelungen sei, das E-Voting-System zu knacken: Die Begriffe «klaffendes Loch», «knacken» und «manipulieren» in Bezug auf das E-Voting-System des Kantons Genf lassen ein massives Sicherheitsproblem vermuten. Und für die Masse des Fernsehpublikums ist kaum ein anderer Schluss möglich, als dass Resultate von Abstimmungen manipuliert werden könnten. Dies ist aber nicht der Fall. Denn wie oben erläutert, würde das flächendeckende Umleiten den StimmbürgerInnen sehr schnell auffallen.

Ferner scheitert die Manipulation der Stimmen an persönlichen Prüfcodes, die man gemäss Benutzerführung während des Abstimmens auf dem E-Voting-System überprüfen soll. Es ist durchaus denkbar, dass einzelne Stimmbürger und Stimmbürgerinnen diesen Schritt unterlassen. Aber die Aufforderung, den Code zu kontrollieren, wird vom E-Voting-System sehr deutlich gemacht. Man muss sich also mit Absicht an dieser Aufforderung vorbeiklicken und früher oder später wird jemand der expliziten Aufforderung nachkommen. Der oder die Erste, die hier einen Fehler entdecken und melden, würden sofort eine weitreichende Untersuchung auslösen und die Wahlkommission käme zum Zuge. Der Fehler könnte natürlich auch darin bestehen, dass ein Angreifer diese Aufforderung verschwinden lässt. Das ist für einen Angreifer technisch gut machbar. Aber hier wiederholt sich das Muster: Ein einzelnes Opfer wird eventuell keinen Verdacht schöpfen, aber der Angriff skaliert nicht, da dann unweigerlich jemand darauf aufmerksam wird und Alarm schlagen wird. Dieser Prozess liefe dann identisch ab, wie es bei Manipulationen von Stimmen beim brieflichen Abstimmen und Wählen üblich ist: Es wird eine formelle Untersuchung eingeleitet und die Wahl gegebenenfalls für ungültig erklärt.*

Fehler bei der Recherche

Wie konnte es zu dieser Fehlleistung durch die FernsehjournalistInnen kommen? Wenden wir uns zunächst der Recherche zu. Hier wurde der Angriff nicht selbst durchgespielt, sondern man liess sich den ersten Teil des Angriffs, die Umleitung, durch die Vertreter des Chaos Computer Clubs demonstrieren. Da Zeit natürlich knapp ist, ist dieses Vorgehen verständlich. Tatsächlich wurden aber die einfach überprüfbaren Behauptungen von Birk nicht kontrolliert, sondern unhinterfragt übernommen und im Wortlaut ausgestrahlt. So etwa die Behauptung, der Kanton Genf habe gar keine Massnahmen zur Abwehr des Angriffes unternommen. Das ist nachweislich falsch. Hätten die Medienschaffenden diese Behauptung selbst zum Beispiel mit Hilfe der bei Sicherheitsforschern beliebten Shodan Datenbank überprüft, wäre ihnen sofort aufgefallen, dass das Genfer E-Voting-System während der Wahlperiode den sogenannten HSTS-Standard unterstützt, der genau diesen gezeigten Angriff erschwert. Und auch die vom Fernsehen auf der Webseite publizierte Stellungnahme der Genfer Staatskanzlei weist darauf hin, dass der Kanton sehr wohl Massnahmen ergriffen hat.

Auch dies veranlasste die JournalistInnen nicht dazu, über die Bücher zu gehen. Das ist nicht die einzige Fehlleistung. Im oben verlinkten Beitrag erklärt Birk den Angriff: «Die Idee ist folgende: Der Wähler möchte sich mit dem Server des Kantons Genf verbinden. Und wir leiten ihn um auf den Server des Angreifers, ohne dass der Wähler eine Möglichkeit hat, das zu bemerken.» Die gefälschte URL ist dann aber wenige Sekunden später gut im Bild zu erkennen (Abbildung 1) und auch der Unterschied in der Darstellung des Sicherheitszertifikats sticht ins Auge. Birk bestätigt darin, dass man den erfolgreichen Angriff an der URL sehe. Der offensichtliche Widerspruch zwischen der behaupteten Unmöglichkeit der Unterscheidung und dem Hinweis auf den sichtbaren Unterschied wurde von den Journalisten nicht erkannt, nicht thematisiert und auch nicht aufgelöst. Das heisst, die falsche Behauptung von Volker Birk wurde kommentarlos verbreitet.

Nachgefragt via Twitter

Auf Twitter auf diese Fehlaussage hingewiesen, reagierte Volker Birk so:

Abbildung 2: Chatverlauf, Quelle: Twitter

Volker Birk findet, die gefälschte URL sei für Stimmbürger unauffällig  und meint, die Umleitung an sich sei ja nicht verdächtig und antwortete auf Nachfrage mit einem Meme aus der Muppet-Show.

Tatsächlich wäre es möglich, dass zahlreiche unbedarfte Wähler die Umleitung und das Sicherheitszertifikat ignorieren. Aber sobald eines der beiden auch nur einem einzigen Wähler beim Befolgen der Anleitung auffällt, wird er dies dem Kanton mit hoher Wahrscheinlichkeit melden und eine Untersuchung des Betruges würde eingeleitet.

Aussagen zweier Experten verkürzt

Diese beiden Falschaussagen zum Fehlen von Schutzmassnahmen und zur Unmöglichkeit, den Betrug zu erkennen, hätten den Fernsehredakteuren auffallen und die gesamte Stossrichtung des Berichts in Frage stellen müssen. Denn es mangelte auch nicht an Warnungen, den Befund vorsichtig zu interpretieren.

Neben der Genfer Staatskanzlei befragten die Journalisten in der Sendung auch Professor Eric Dubuis von der Berner Fachhochschule: Er bestätigte, dass der gezeigte Laborangriff technisch funktioniert, weist aber darauf hin, dass die Prüfcodes einer Manipulation der Stimme des Opfers einen Riegel schieben. Dass Dubuis auch darauf hinwies, dass der Angriff nicht flächendeckend skaliere und deshalb nicht überbewertet werden sollte, fand in der Sendung keinen Platz.

Abbildung 3: Prof. Eric Dubuis der Berner Fachhochschule: der Angriff skaliere nicht in die Breite (Quelle: Twitter)

Auch ein zweiter Fachhochschuldozent, Professor Peter Heinzmann von der Hochschule für Technik Rapperswil, wurde von den JournalistInnen befragt. Seine schriftliche Antwort liegt der Redaktion vor und weist ebenfalls darauf hin, dass es in der Fläche nicht funktionieren könne sowie die behauptete Manipulationsmöglichkeit nicht unter Beweis gestellt worden sei. Diese Warnungen schlug das Fernsehteam aber in den Wind und übernahm die Formulierungen derE-Voting-Kritiker des CCC. Darüber hinaus interpretierte es den erfolgreichen Laborangriff schwerwiegender als der CCC selbst. So wurde die Staatskanzlei des Kantons Genf in ausgesprochen schlechtem Licht dargestellt.

Fazit

Weshalb hier das Genfer E-Voting in seiner Gesamtheit als unsicher und manipulierbar präsentiert wurde, erschliesst sich mir nicht. Vermutlich war die Story «CCC-Hacker machen Beamte lächerlich» so knackig, dass man sie beim SRF nicht mehr aufgeben wollte.

Die NZZ reagierte rasch aber zurückhaltend auf die Enthüllungen des Fernsehens. Weitere Zeitungen brachten kleinere Meldungen. Sie blieben aber weit hinter den vollmundigen Anschuldigungen des Fernsehens zurück. Daher man darf annehmen, dass die Zeitungsredaktionen die Fehler erkannten, oder den vehementen E-Voting-Kritikern des CCC nicht mehr jede Behauptung abnehmen.

Damit ist der Sachverhalt an sich geklärt. Tatsächlich gibt es aber weitere Unstimmigkeiten in den Beiträgen, denn auch technisch ist nicht alles so einfach, wie es im Fernsehen gezeigt wurde. Und dann wären da noch die Optimierungen, von denen das E-Voting-System profitieren könnte. Diese Punkte werden hier detailliert besprochen.


Updates

Wir haben den mit * markierten Abschnitt über die Prüfcodes nach einem Hinweis unseres Lesers Danilo B. präzisiert.

Wir haben den mit ** markierten Satz über den Newsflash nach Massgabe des Autors präzisiert.

PDF erstellen

Ähnliche Beiträge

Es wurden leider keine ähnlichen Beiträge gefunden.

Welche Fehler bei Brief- und elektronischer Wahl passieren

Die briefliche Stimmabgabe etablierte sich vor gut dreissig Jahren in der Schweiz in mehr und mehr Kantonen. Es war schwer vorstellbar, dass sich ein fremdes Land in eine Schweizer Volksabstimmung einmischen könnte. Die neutrale Schweiz besass ein besonderes Renommee, das sie vor so einem Zugriff schützte. Und auch das Unterfangen selbst hätte eine breit angelegte Verschwörung bedungen, was als wenig praktikabel galt.

Mittlerweile arbeitet die Schweiz aber auf die flächendeckende Einführung eines zusätzlichen elektronischen Stimmkanals hin und auch zwischenstaatliche Einmischungen erscheinen nicht mehr länger ausgeschlossen. Tatsächlich monieren die Kritiker, dass E-Voting Systeme sich nicht vor ausländischen Geheimdiensten schützen lassen, ja dass die entsprechenden Systeme schon bei Ihrem Aufbau mit Malware infiziert, durch staatliche Stellen unterwandert und deshalb komplett ferngesteuert seien. Dies sei umso gravierender, da die elektronische Stimmabgabe mit zentralen IT Systemen arbeite und Angriffe aus diesem Grund besonders leicht skalieren würden. Kurz gesagt: Ein Angreifer braucht nur in einen einzigen Computer erfolgreich einzudringen und er kann Resultate einer Wahl beliebig manipulieren: Aus 65% Nein werden 54% Ja und niemand bemerkt den Schwindel.

Dem gegenüber erscheinen die traditionellen Stimmkanäle, die Wahl an der Urne und die briefliche Stimmabgabe, als robuster und quasi manipulationssicher. Diese Eigenschaften werden vor allen an der manuellen, dezentralen Auszählung der Stimm- und Wahlzettel durch vertrauenswürdige, lokale Stimmzähler und Stimmzählerinnen festgemacht.

Aber ist dem wirklich so? Ist E-Voting zentralisiert und unsicher und ist die briefliche Stimmabgabe dezentral und sicher vor Manipulation? Ich glaube diese vermeintlichen Gewissheiten stehen auf unsicheren Füssen. Sie sollten im Rahmen einer umfassenden Diskussion hinterfragt werden.

Gute analoge Welt?

Tatsächlich beruhen unsere Vorstellungen der traditionellen Stimmkanäle auf Erinnerungen an eine analoge Welt in der Computer noch keinen Platz hatten: Die Wahlregister wurden auf Karteikarten geführt und sie wurden per Briefpost an die Staatskanzlei geschickt. Eine mittelständische Schweizer Druckerei druckte die Wahlzettel. Staatliche Beamte der PTT sortierten die Briefumschläge und verteilten sie anschliessend. Nach dem Ausfüllen der Stimmzettel durch die Stimmbürger stempelte sie der Posthalter auf der Poststelle von Hand und sie gelangten ohne die Gemeinde jemals zu verlassen, also ohne Umweg über ein digitalisiertes Briefsortierzentrum, direkt in die Hände des Gemeindekanzlisten, wenn der Briefträger die Post persönlich auf der Gemeindeverwaltung vorbeibrachte. Der Beamte nahm die Umschläge entgegen und warf sie in die mit einem Bleisiegel verschlossene Wahlurne. Am Wahlsonntag zählten Stimmzähler und Stimmzählerinnen die Stimmen von Hand und übermittelten das Ergebnis darauf fernmündlich an die Staatskanzlei; gefolgt vom amtlich beglaubigten Ergebnis auf dem Briefweg.

Es würde sich lohnen, die einzelnen Schritte einer Papierwahl in der modernen Welt Schritt für Schritt nachzuzeichnen und zu überprüfen, welche zentralen und welche dezentralen Komponenten dieses System heute ausmachen. Wie robust ist dieser Prozess im Lichte eines potentiellen staatlichen Angriffes wirklich? Meines Wissens hat sich diese Mühe noch niemand gemacht und uns fehlt ein entsprechender Überblick. Auch mir fehlt in diesem Artikel der Platz hierzu. Aber überlegen wir es uns wenigstens für das Beispiel der Auszählung von Listenwahlen.

Digitale Hilfsmittel erleichtern Auszählen

Das Auszählen von Wahlzetteln, namentlich solchen die panaschiert und kumuliert wurden, ist ein aufwändiges und fehleranfälliges Unterfangen. Um diese Fehler zu vermeiden verwenden Schweizer Gemeinden oftmals nützliche kleine Programme, die es erlauben, die Listen oder die fünfstelligen Kandidatennummern abzutippen und die Software spuckt dann das amtliche Ergebnis für eine Gemeinde aus. Die Zeitersparnis ist enorm und ich bin sicher, dass auch Zählfehler damit seltener werden.

Allein, diese digitalen Hilfsmittel sind nicht sicherheitstechnisch zertifiziert und sie sind wohl auch nicht im Hinblick auf staatliche Angreifer hin programmiert worden. Das ist aber noch nicht per se eine Schwäche, denn die Schweiz ist ein föderales Land, Wahlen und Abstimmungen laufen unter der Hoheit der Kantone, diese delegieren die Auszählung in der Regel an die Gemeinden und diese Dezentralisierung garantiert einen hohen Schutz vor Angriffen. Es gilt also das oben eingeführte Argument des Schutzes durch Dezentralisierung.

Leider müssen wir aber annehmen, dass zahlreiche Gemeinden dieselbe Software verwenden, dass sie auf denselben Windows-PCs läuft, dass sie alle mit dem Internet verbunden sind, die Benutzer täglich auf ähnlichen Internet-Seiten surfen und damit denselben Wasserloch-Angriffen (Drive-By Downloads) ausgesetzt sind. Und ferner dürften die Informatik-Budgets der meisten Schweizer Gemeinden kaum ausreichen, um fremden staatlichen Akteuren Paroli zu bieten, selbst wenn wir vom fehlenden Know-How im Bereich der Cybersecurity absehen.

Sicherheit dank dezentraler Struktur

Dazu kommt, dass fortschrittliche Kantone Online-Dienste an bieten, auf denen die Stimmzähler die einzelnen Stimmzettel online erfassen können und das zentrale System errechnet dann die Stimmen für die einzelnen Gemeinden des Kantons. Ich nehme an, eine Übermittlung der Resultate der Gemeinde an die Staatskanzlei erübrigt sich damit. Aber sicherheitstechnisch habe ich Vorbehalte gegenüber solchen Lösungen.

Das alles bedeutet, dass die vermeintliche dezentrale Auszählung der Wahlzettel in der Schweiz deutlich zentrale, digitale Komponenten aufweist. Diese Systemteile wurden nie offiziell flächendeckend eingeführt, aber auch nie aktiv verhindert oder doch zumindest einer sicherheitstechnischen Kontrolle unterworfen wurde. Es macht nämlich einen grossen Unterschied, ob ich hunderte von Wahlkommissionen in eine Verschwörung einbeziehen muss, oder dasselbe Ziel erreichen kann, wenn ich mich in die Entwicklung einer einzigen Softwarefirma einschalten kann.

Es liesse sich leicht zeigen, dass die meisten anderen Schritte der brieflichen Stimmabgabe ähnlich zentralisierte Systembestandteile aufweisen und damit ähnliche Manipulationsmöglichkeiten zulassen. Die Vorstellung, dass die traditionellen Stimmkanäle dank der dezentralen Auszählung manipulationssicher sei, greift also zu kurz. Dazu kommt das lange unterschätzte Problem der ungültigen Stimmen die bei Wahlen oft im zweistelligen Prozentbereich liegen was nüchtern betrachtet ein grosses Fragezeichen hinter die Resultate setzt. Auch haben mehrere Kantone eingeräumt, dass Gemeinden regelmässig fehlerhafte Zahlen liefern, was namentlich dann auffällt, wenn Ja- und Nein-Stimmen bei einer Abstimmung vertauscht werden. Weniger schreiende Fehler dürften aber unerkannt bleiben, wenn die Resultate nicht mathematisch plausibilisiert werden. Das wiederum ist in einigen Kantonen etabliert aber durchaus uneinheitlich und nicht fleckendeckend. Beim E-Voting ist die Situation anders, da diese Fehler vom System ausgeschlossen werden können.

Manipulatoren nutzen jede Schwachstelle

Manipulationen von Wahlen, namentlich von ein paar Dutzend Stimmzetteln, kommen in der Schweiz immer wieder vor. Allein der Umfang der aufgedeckten Fälle ist gering und die Folgen sind vom politischen System akzeptiert. Ich glaube auch nicht, dass grosse Manipulationen in der Schweiz bereits passiert sind. Aber technisch und vom Ablauf her betrachtet ist es bei der Briefwahl und selbst der Abstimmung an der Urne denkbar und wir sollten uns dessen bewusst sein, wenn wir über die vermeintlichen Schwächen von E-Voting sprechen.

Gemeinhin pflegen Angreifer die Zielsysteme dort anzugreifen wo ein Angriff am einfachsten und vielversprechendsten erscheint. Die Wahl des Stimmkanals, der angegriffen wird, scheint dabei nebensächlich: Ein Angreifer wird sich nicht auf E-Voting einlassen, wenn es einfacher ist, die Briefwahl zu manipulieren oder die Stimmenden über Social Media in ihrer Entscheidung zu beeinflussen (was international gemäss dem zurzeit laufenden Diskurs bereits der Fall zu sein scheint).

Ziel der E-Voting Verteidigungsmassnahmen muss es deshalb sein, die initialen Kosten für einen Angriff so weit in die Höhe zu treiben, dass sie einem Angreifer als zu teuer und zu aufwändig erscheinen. Die Schweizerische Bundeskanzlei nimmt dazu aktiven Einfluss auf die Architektur und die implementierten Sicherheitsmassnahmen der beiden verbleibenden Schweizer Systemanbieter. Im Fall des dritten, inzwischen ausgestiegenen Anbieters, einem Konsortium von mehreren Kantonen scheute sie auch nicht davor zurück, auf architektonische Schwächen des Systems hinzuweisen. Der Entwickler der Software zog sich darauf zurück und das Konsortium brach auseinander. Das heisst, die Bundeskanzlei nimmt sehr aktiv Einfluss auf die Implementation des elektronischen Stimmkanals, während sie bei den beiden etablierten Stimmkanälen kein entsprechendes Mandat besitzt und die Sicherheit allein in den Händen der Kantone und Gemeinden liegt.

Individuelle Verifizierbarkeit

Als sehr wichtige E-Voting Sicherheitsmassnahme gilt die individuelle Verifizierbarkeit. Damit kann ein Stimmbürger oder eine Stimmbürgerin überprüfen, ob die eigene Stimme tatsächlich übermittelt und korrekt in der Wahlurne abgelegt wurde. Diese Überprüfung geschieht mit Hilfe von individuellen Zahlencodes, die auf den gedruckten Stimm- und Wahlunterlagen angebracht sind. Stimmen die Zahlencodes mit der Antwort des E-Voting Servers überein, dann besteht Gewissheit, dass die Stimme korrekt angekommen und registriert worden ist. Dies ist mithin eine Bestätigung, welche die elektronische Stimmabgabe auf eine höhere Sicherheitsstufe hebt, als es die briefliche Stimmabgabe besitzt, wo wir nie sicher sein können, dass die Stimme nicht zwischen Briefkasten und Wahlurne verloren ging oder gestohlen wurde.
Kritiker werden einwenden, dass immer nur eine Minderheit diese Überprüfung vornehmen werde. Das greift aber zu kurz. Denn statistisch gesehen braucht es nur eine sehr kleine Gruppe von Stimmbürgern und Stimmbürgerinnen, die bei einem Prüfsummenfehler Alarm schlagen und eine Manipulation wird auffliegen.

Als technisch sehr aufwändig erweist sich die Umsetzung der nächsten Sicherheitsanforderung, der universellen Verifizierbarkeit. Dabei verlangt die schweizerische Bundeskanzlei von den Systemanbietern, dass sie jeden Schritt der elektronischen Stimmabgabe und der Auszählung von mehreren unabhängigen Systemkomponenten kontrollieren und protokollieren lassen. Ein erfolgreicher Angriff bedingt es demnach, dass nicht nur die E-Voting Server, sondern dass gleichzeitig auch die Kontrollkomponenten übernommen werden. Dieser parallele Angriff muss dabei so präzise koordiniert werden, dass er gleichzeitig passiert und komplett unerkannt bleibt. Diese Anforderung erhöht die Schranke für einen Angreifer stark. Wie schwierig ein Angriff tatsächlich wird, hängt aber massgeblich davon ab, wie unabhängig und wie heterogen die Kontrollkomponenten ausgestaltet werden. Hier würde es sich meines Erachtens anbieten, genau hinzusehen, Transparenz einzufordern und konstruktiv mitzudiskutieren.

Diese Transparenz ist auch im Sinne der Bundeskanzlei. Mit der angestrebten Etablierung des E-Votings als equivalenten dritten Stimmkanal fordert sie die Offenlegung des Quellcodes der Wahlsoftware. Ferner haben sich die beiden Systemanbieter dazu verpflichtet, öffentliche Intrusion Tests durchzuführen. Die genauen Parameter sind noch nicht bekannt, aber beide Massnahmen haben das Ziel, das Vertrauen in den elektronischen Stimmkanal zu fördern. Dieses Vertrauen kann aber nur wachsen, wenn Experten sich wirklich die Zeit nehmen und nach Lücken im Quellcode und in den etablierten Systemen suchen. Bekanntlich ist Sicherheit kein Zustand, sondern ein Prozess und dieser Prozess will von einer kritischen Öffentlichkeit aktiv begleitet werden.

Zusammenfassend lässt sich sagen, dass der Aufbau eines sicheren E-Voting Systems sehr hohe Anforderungen stellt. Die Bundeskanzlei legt die sicherheitstechnische Latte für E-Voting zu Recht sehr hoch und die beiden Schweizer Systemanbieter leisten aus meiner Sicht sehr gute Arbeit den Anforderungen gerecht zu werden. Ob es reicht, das Parlament und das Stimmvolk von der Qualität dieser Arbeit zu überzeugen, wird sich aber erst noch weisen müssen.


ModSecurity

Neben den kryptographischen Stimmprotokollen mit der im Text beschriebenen Verifizierbarkeit kommen beim E-Voting zahlreiche weitere Sicherheitssysteme zum Einsatz. Dabei verfolgen die Systemanbieter einen „Security in Depth” Ansatz, der die Systeme durch mehrere Sicherheitsschichten vor Angriffen schützt. Als einer der ersten Sicherheitsschichten setzen die beiden Schweizer Systemanbieter, der Kanton Genf und die Schweizerische Post, auf die Open Source Web Application Firewall ModSecurity. Sie ist in beiden Fällen mit den Sicherheitsregeln des OWASP ModSecurity Core Rule Set Projekts bestückt.


Literatur

Folini, Christian; Morel, Denis: E-Voting in der Schweiz – Herausforderungen und Schutzprinzipen In: Bartsch, Michael; Frey, Stefanie (Hrsg.): Cybersecurity Best Practices Lösungen zur Erhöhung der Cyberresilienz für Unternehmen und Behörden, Wiesbaden 2018.

PDF erstellen

Ähnliche Beiträge

Es wurden leider keine ähnlichen Beiträge gefunden.

Wenn Bots ihre eigene Sprache entwickeln

Das Internet of Things (IoT), die Cloud oder intelligente Roboter und Sensoren werden unser Leben und unsere Arbeit tiefgreifend verändern. Maschinen und Bots erkennen aus grossen Datenmengen Muster und ziehen ihre – zum Teil auch falschen – Schlüsse daraus. Über die Möglichkeiten und Risiken der künstlichen Intelligenz schreibt unser Autor.

Als «Internet of Things» (IoT), oder zu Deutsch: «Internet der Dinge», werden technische Geräte bezeichnet, welche mit einem Netzwerk wie z.B. dem Internet oder Cloud-Diensten verbunden sind und über dieses miteinander kommunizieren oder Informationen zur Verfügung stellen. Ein solches IoT-Gerät kann beispielweise eine Webcam, ein Netzwerk-Speicher (NAS) oder ein Sensor einer Heizung sein, der mit einem Server für den Datenaustausch verbunden ist. Des Weiteren befinden sich aber auch «intelligente Lichtschalter», Kühlschränke oder Smart-TV’s darunter, die mit einer Netzwerkschnittstelle an ein internes Netzwerk oder Internet angeschlossen sind.

Zuhause angreifbar

Diese Art von «intelligenten respektive smarten» IoT-Geräten wie beschrieben, werden in Scharen und hoher Geschwindigkeit ans Internet angeschlossen. Dadurch steigt exponentiell nicht nur die Anzahl der Kommunikationsteilnehmer im Internet, sondern auch die Anzahl der Gefahrenquellen verwundbarer Geräte, welchen von kriminellen Hackern missbraucht werden können. Oftmals werden IoT-Geräte verwendet, um massenhaft Spam und Phishing E-Mails zu versenden oder Angriffe zu initiieren, indem mehrere solcher Geräte in einen Verbund, . in ein Bot-Netzwerk zusammengeschlossen werden, um einen zielgerichteten Angriff auf ein prominentes Ziel durchzuführen. Ein noch grösseres Gefahrenpotenzial geht von IoT Geräten aus, auf welche über das Internet mit Standard-Zugangsdaten (Benutzername und Passwort) zugegriffen werden kann. Solche Geräte können grundsätzlich von jedem gefunden werden, beispielsweise mit einem Port-Scan oder einer Suchmaschine wie Google oder Shodan aber auch von Programmen, die auf künstlicher Intelligenz basieren.

Anders als bei früheren industriellen Umwälzungen können sich IoT Geräte, Sensoren, Maschinen und Roboter heute auch «menschliche» Fähigkeiten aneignen, von denen man einst dachte, sie seien nicht durch künstliche Intelligenz (KI) ersetzbar. Das Zauberwort heisst maschinelles Lernen aufgrund generierter Daten und klassifizierten Informationen. Bereits heute werden diese Milliarden von Datensätzen in künstlichen, neuronalen Netzwerken (ANN) verarbeitet und ausgewertet.

Politik ist überfordert

«Ich denke, dass es weltweit einen Bedarf für vielleicht fünf Computer gibt» – diesen Satz soll IBM-Chef Thomas J. Watson 1943 gesagt haben. Der deutsche Trendforscher Matthias Horx prophezeite 2005, dass in fünf bis sechs Jahren niemand mehr von Facebook reden wird. Damals hatte das US-amerikanische Unternehmen Facebook weltweit ca. 6 Millionen Nutzer. Im Juli 2017 verkündete CEO Mark Zuckerberg, dass das soziale Netzwerk mehr als zwei Milliarden Menschen seine Plattform nutzen. Also knapp 25 bis 30 Prozent der Weltbevölkerung verfügt über einen Benutzer-Account bei Facebook und füttert Tag für Tag das soziale Netzwerk mit Informationen und persönlichen Daten wie Fotos und Videos.

Der Anhörungsmarathon von Facebook-Chef Mark Zuckerberg im US-Kongress nach dem jüngsten Datenskandal mit Cambridge Analytica in London hat den Eindruck bestätigt, dass die Politik keine Antwort hat auf technische Herausforderungen. Die Politik ist überfordert mit Themen wie Datenschutz oder ethischen Grundsätzen im Umgang mit Künstlicher Intelligenz. Beispielweise hat Google seit 2017 für das sogenannte Projekt «Maven» dem US-Verteidigungsministerium Technologie basierend auf künstlicher Intelligenz geliefert. Die Technologie aus dem Projekt soll das Videomaterial, das unbewaffnete US-Überwachungsdrohnen aufzeichnen, effizienter als bisher nach militärisch bedeutungsvollen Objekten absuchen. Das, so fürchten Kritiker, könne der Beginn einer neuen Art von elektronischer Kriegsführung sein, in der Maschinen und nicht mehr Menschen resp. 0 oder 1 entscheiden, wer und was ein militärisches Ziel sei. Nach diversen Mitarbeiterprotesten ist Google aus dem US-Militärprojekt «Maven» ausgestiegen. Es gibt erhebliche Bedenken bei der KI und der Ethik – wie weit wollen wir gehen?

Bots entwickeln eigene Codewörter

Die US-Militärforschungseinrichtung DARPA führte erste Hacking Turniere durch, wo Computer autonom ohne Menschen Systeme aufspüren und nach Schwachstellen untersuchen, diese ausnutzen und zugleich eine Update resp. Patch auf binary code Ebene selbstständig entwickeln. Diese Art von Technologie kann für Militärs und Terroristen ebenfalls interessant sein und in den falschen Händen grossen Schaden anrichten.

Forscher bei Facebook haben ein AI-System abgeschaltet, als sie realisierten, dass sich zwei Bots in einer Sprache «unterhielten», die für das Forscherteam nicht verständlich war. Den beiden Bots – «Bob» und «Alice» – wurde Englisch beigebracht und trainiert, doch sie entwickelten mit der Zeit eine eigene, «effizientere Sprache». Was für die Facebook Forscher wie zusammengewürfelte Wortabfolgen klingt, hatte für die Bots eine tatsächliche Bedeutung. AI-Bots weichen von verständlicher Sprache ab und erfinden selbständig Codewörter. Das Grundproblem bei der Entwicklung von künstlicher Intelligenz verdeutlich dieser Fall sehr gut und zeigt auf, dass im Endeffekt noch nicht verstanden wird, wie «Künstliche Intelligenz» effektiv denkt und dass in diese internen, komplexen Prozesse von AI-Bots noch nicht hineingesehen werden kann.

Risiken – obskur oder real?

Auch die Risiken bei Künstlichen Intelligenz (KI) dürfen nicht unterschätzt werden. Heute schlägt die KI uns Urlaubsziele vor, macht Wetterprognosen und gibt Staumeldungen an. Das Geld der Pensionskassen wird durch eine KI an den Finanzmärkten angelegt. Beim Online-Shopping wird die passende Ware aufgrund unseres Kaufverhaltens angezeigt und beim Online-Dating die vermeintlich beste Partnerin oder den vermeintlich besten Partner in Form eines Treffers (Match) eruiert. Kriminelle Hacker bedienen sich ebenfalls dieser Technologie.

Wollen wir das wirklich und welche Institutionen überwachen die Algorithmen? Was würde passieren, wenn plötzlich die Algorithmen und KI ihr Wissen gegen unseren Willen einsetzen. Ein unkontrolliertes Ausmass an Risiken wäre die Folge – sind wir als Menschen ab diesem Zeitpunkt überhaupt in der Lage, adäquate Gegenmassnahmen einzuleiten und können wir ohne Weiteres einfach den Stecker ziehen oder ist es dann zu spät – sind obskure Skynet-Szenarien wie aus dem Film Terminator mit Arnold Schwarzenegger nur Fiktion oder irgendwann bald Realität?

PDF erstellen

Ähnliche Beiträge

Es wurden leider keine ähnlichen Beiträge gefunden.

Wie E-Voting die Demokratie gefährden kann

E-Voting wird als zusätzliche Wahlmöglichkeit zu Urne und Brief etabliert – so hat es der Bundesrat entschieden. Doch wie sicher sind unsere Abstimmungen? Die Bundeskanzlei glaubt, dass sie mit der individuellen Verifizierbarkeit beim E-Voting CH das gröbste Sicherheitsproblem gelöst hat. Doch dabei hat sie den Menschen als Hauptschwachstelle vergessen, schreibt unser Gastautor René Droz.

Abstract

Dass Cybermächte und auch -kriminelle in der Lage sind, unsere Computer via Internet zu Hunderttausenden unter Kontrolle zu bringen und so Applikationen abzuändern, kann heute nicht mehr ernsthaft bezweifelt werden. E-Voting CH setzt auf die Kompetenz der Bürgerinnen und Bürger, die die Theorie der Codeüberprüfungen kennen sollten und nicht gutgläubig den möglicherweise manipulierten Anweisungen auf dem Bildschirm folgen. Dies ist jedoch keine realistische Annahme. Das Stimmvolk hat Anspruch darauf, vom Staat geschützt zu werden, auch vor all den anderen Bürgerinnen und Bürgern, die ihre Stimme aus Unachtsamkeit einer kriminellen oder ausländischen Organisation überlassen. Ausserdem gibt es weitere nachhaltige Insider-Risiken, die nicht einmal annähernd kalkulierbar sind, so lange nicht absolute Transparenz aller Vorgänge herrscht, die zur Auszählung führen. Manipulationen wären zwar theoretisch detektierbar, wenn alle Vorgaben für diesen Zweck wirklich umgesetzt wären. Dies zu prüfen ist eine kaum handhabbare Herausforderung, zumal einmal gemachte Voraussetzungen jederzeit ändern können. Ein Restrisiko bleibt, dass die Manipulationen nicht aufgedeckt werden. Im wahrscheinlichsten Fall eines Angriffes auf den ungeschützten Heimcomputer ist das Ausmass aus Ressourcengründen nie so akkurat festzustellen, dass man das Gesamt-Ergebnisses mit Sicherheit als rechtens beweisen oder widerlegen könnte. Willkür tritt zudem dann auf, wenn aufgrund von Meldungen oder einzelnen Untersuchungen offiziell der Schluss gezogen würde, dass die Wahl wiederholt werden müsse, bzw. dass für eine Manipulation des Endergebnisses zu wenige Beweise vorlägen. Sollte das mehrmals vorkommen, so wird die Demokratie zur Farce. Willkür und auch schon geringste Zweifel an der Korrektheit der Abstimmungsergebnisse werden das Vertrauen der Bürgerinnen und Bürger in unseren Staat tief erschüttern. Wer will das in unserem Land?

Urvertrauen in die staatlichen Organe gefährdet

Die Gefährdung der Demokratie ist grundlegend von der Tatsache abhängig, ob wir einem Abstimmungsergebnis zutrauen können, dass es authentisch ist. Es gibt technische Risiken, die dazu führen können, dass es das nicht ist. Es gibt ein gesellschaftliches Risiko, dass wir aufgrund der technischen Risiken – vielleicht schon bevor sie eintreten – nicht mehr an die Funktionsfähigkeit der Demokratie glauben. Das Urvertrauen in die Institutionen unseres Staates stellt aber einen unverzichtbaren Wert dar. Die Verwaltung könnte jetzt nämlich versucht sein, einen allfälligen Schaden durch Manipulationsversuche an der Abstimmung bzw. Wahl kleinzureden, weil sie nicht in der Lage ist, genaue Fakten zu liefern. Willkürliche Entscheidungen, ob eine Wahl wiederholt werden muss, führen zu berechtigtem Unmut bei Volk und Politik. Man könnte sogar Manipulationen glaubhaft vortäuschen, um Abstimmungswiederholungen zu erreichen. Aufgrund unklarer Fakten werden politische Gruppierungen alles behaupten können. Es steht nichts weniger als der Frieden im Land auf dem Spiel.
Das technische Risiko für eine Manipulation wird bestimmt durch den Anreiz eines Gegners, entsprechenden Schaden zufügen zu wollen (bzw. Nutzen daraus zu ziehen), sowie aufgrund seiner Fähigkeiten, es tun zu können. Die Schweiz in ihren politischen Entscheidungen zu beeinflussen, dürfte einen sehr grossen Anreiz auslösen. Wir müssen deshalb damit rechnen, es mit den besten Gegnern zu tun zu bekommen: Geheimdienste von ausländischen Mächten, die die Cyberbedrohung zu ihrem militärisch-strategischen Potential rechnen und auch kriminelle Organisationen mit entsprechenden Netzwerken und finanzkräftigen Kunden irgendwelcher Art. Alles was möglich ist, wird via Darknet und Bitcoin in der Anonymität und im quasi rechtsfreien Raum gemacht werden.

Die fünf grössten Risiken

Folgenden Risikokatalog der technischen Risiken einer Manipulation kann man zusammenstellen:

  1. Cybercrime Outsider benutzerseitig: Angriff auf die Station des Abstimmenden
  2. Cybercrime Outsider Zentrale: Angriff auf die Ballot-Auszählungsprozedur, die Ergebnisanzeige und die Prüfprozeduren durch eine Cyberattacke via Internet
  3. Manipulation durch einen Insider in der Zentrale: Gleichartiger Angriff durch einen Insider via Administrator Zugang. Einspeisung eines Fremdprogrammes und Löschung aller Spuren dafür
  4. Diebstahl der Voting Codes durch Insider oder Outsider via Internet, via Druckzentrale oder elektronisch am Netz der Code erstellenden Computer
  5. Abfluss des Stimmgeheimnisses durch Eingriffe in den Heimcomputer des Abstimmenden

Bei den besten Outsidern weiss man, dass ihre Fähigkeiten sich nicht nur auf bekannte Schwachstellen und deren Exploits (alle benötigten Codes)  in den Betriebssystemen und Browsern stützen, die gerade noch nicht behoben sind, sondern dass es zudem einige unbekannte Schwachstellen in den Systemen gibt, welche (vorerst) nur Eingeweihte mit Zugang zu geheimen Informationen von Herstellern und Geheimdiensten bereits kennen. Solche Angriffe gab es selbst in der Bundesverwaltung, und sie wurden erst nach Jahren zufällig entdeckt. Auch der deutsche Bundestag und das amerikanische Verteidigungsdepartement waren schon betroffen.

Ohne genaueste Überprüfungen der technisch-betrieblichen Sicherheits-Bedingungen lässt sich bei Insidern nur eines sicher sagen: Das Risiko kann nicht wirklich kalkuliert werden, vor allem nicht, wenn man die dynamischen Umgebungsparameter eines Informatik Centers mit ins Kalkül zieht, wie Software-Migrationen und -Updates, Hardwarewechsel, Zutritts- und Notfallregelungen, Personalüberprüfungen, personelle Wechsel bei Verantwortlichen, Betreibern, Lieferanten, Reinigungspersonal etc.

Beim Risiko 1, bei dem die Station des Abstimmenden angegriffen wird, kann man jetzt schon die Wahrscheinlichkeit attestieren, dass es sicher passieren wird. Die Frage ist nur: wann? Der Gegner wird sich erst formieren, wenn es attraktiv und erfolgversprechend genug ist, er wird dann keine mehrjährige Testphase brauchen. Auf dem Handy lädt man z.B. eines Tages eine neue E-Voting App, mit der man ein Foto der Codes machen muss, um die mühsame Code-Eingabe zu ersparen. Die App kann dann gleich auch selbst abstimmen und einem vorgaukeln, sie hätte das abgestimmt, was man eingegeben habe. Der verwendete Trojaner im Computer wird vielleicht nicht die Abstimmungscodes simulieren können, aber er kann z.B. verhindern, dass auf dem User-PC die Verifikation oder die Bestätigung der Verifikations-Kontrolle durchgeführt werden kann, und das abhängig davon, was man abstimmen wollte. Einige Stimmberechtigte werden das merken, die meisten aber nicht. Einige werden die Hotline anfragen. Die Antwort dort wird immer die gleiche sein: «Die Briefwahl ist für Sie noch offen». Aber selbst bei diesen Leuten wird es einige geben, die die Zeit, die Lust oder die Möglichkeit nicht mehr haben, die Stimme mit dem Brief oder an der Wahlurne abzugeben, und das sind z.B. insbesondere die Auslandschweizer. So entsteht ein nicht vernachlässigbares Potential an entweder manipulierten oder verhinderten Stimmen. Sie können nicht erfasst werden, denn sie werden sich nicht alle melden und sich als vermeintliche „Digital-Idioten“ outen.

Risiko 2 und 3 – also Angriffen auf die Ballot-Auszählungsprozedur, die Ergebnisanzeige und die Prüfprozeduren durch eine Cyberattacke via Internet bzw. die Manipulation Insider Zentrale – sind Varianten des Angriffs auf die Auswertezentrale.

Aufgrund der Tatsache, dass nur ganz wenige Leute die Prozeduren genau kennen, die für die Ergebnisermittlung relevant sind, ergeben sich folgende Probleme:

  1. Wie kann ein Angriff überhaupt erkannt werden, wenn dieser auf die Überprüfungshilfsmittel erfolgt, auf die sich der Betreiber verlässt?
  2.  Wie kann ein Angriff verhindert werden, der vom (vielleicht einzigen) Fachmann aus selbst erfolgt?

Natürlich könnte man mit aufwendigen organisatorischen Prozessen alle diese Fälle abzufangen versuchen. Es darf aber aufgrund gemachter Erfahrungen in realen IT-Umfeldern bezweifelt werden, dass bei Kantonsverwaltungen überall genügend Know-How zur richtigen Zeit an der richtigen Stelle ist. Der dafür nötige Ressourcenaufwand würde wohl nicht geleistet werden (können).

Beim Risiko 4, dem Diebstahl der Voting-Codes durch Insider oder Outsider via Internet, können Unberechtigte eine Stimme abgeben, klugerweise in den letzten möglichen Augenblicken der Abstimmung, denn nur dann bleibt es erfolgreich und unbemerkt, falls der Originalbesitzer des Voting-Codes zu den Nichtwählern gehört. Auch das gibt ein beachtliches Potential an gefälschten Nichtwählerstimmen. Eine daraufhin festgestellte „erhöhte Stimmbeteiligung“ könnte sogar als Rechtfertigung für E-Voting interpretiert werden. Es ist aufgrund des Abstimmgeheimnisses unmöglich, diese Stimmen zu zählen. Der Verlust der Codes könnte zwar eines Tages bekannt werden, das muss aber nicht zwingend sein.

Risiko 5, der Abfluss des Stimmgeheimnisses durch Eingriffe in den Heimcomputer des Abstimmenden wurde soeben von einem Studenten in der Praxis nachvollzogen . Nicht der Staat muss verdächtigt werden, Abstimmungsdaten für andere Zwecke als die Auszählung zu missbrauchen. Aber alle anderen hätten mit ein wenig krimineller Energie und etwas Know-How die Möglichkeit, dies zu tun. Was sie damit anfangen würden, bleibt Objekt der Spekulation.

PDF erstellen

Ähnliche Beiträge

Es wurden leider keine ähnlichen Beiträge gefunden.

Le Darknet et ses dangers

Les sites de marché du Darknet proposent tous types de biens et services illégaux (drogue, faux papiers, contrefaçons, données, blanchiment d’argent). Sur ces sites, les utilisateurs sont très sensibles à leur anonymat et à leur sécurité. L’absence de cadre législatif a été compensée par la mise en place de technologies de protection: Tor et le Bitcoin pour l’anonymat, le développement d’une identité virtuelle spécifique au Darknet (sur plusieurs sites) pour augmenter la fiabilité des vendeurs, la mise en place de mesures de sécurité drastiques pour protéger les ordinateurs. Ces mesures peuvent être adaptées dans l’Internet publique pour améliorer la sécurité et la protection de la sphère privée.

Il existe une partie d’Internet qui n’est pas accessible avec un navigateur normal. C’est le Darknet et on y trouve toute sorte de biens illégaux. On peut y acheter de la drogue, des faux papiers, des contrefaçons, des numéros de cartes de crédit ou des malwares. Pour accéder à cette partie d’Internet, les utilisateurs prennent beaucoup de précautions, car ils sont conscients des dangers encourus.

Le premier danger est de se faire identifier. Vu l’aspect illégal des biens échangés, les acteurs (vendeurs, acheteurs, opérateurs de marchés) souhaitent garder leur anonymat. C’est pourquoi ces sites ne sont pas opérés sur l’Internet public. On utilise un réseau crypté, souvent Tor (The Onion Router), conçu pour anonymiser les communications, et un navigateur spécifique, par exemple le Tor-browser. Les sites ont un nom de domaine spécifique (en .onion pour Tor) qui ne correspond pas à une adresse sur Internet (adresse IP), mais à une adresse dans le réseau crypté. La police ne peut donc pas localiser le site à l’aide de son adresse IP. Comme tous les utilisateurs utilisent le réseau crypté, leur adresse IP aussi reste cachée.
Les paiements doivent aussi rester anonymes. Les utilisateurs effectuent donc tous leurs paiements avec une crypto-monnaie (généralement Bitcoin).
Comme pour se faire livrer, un utilisateur doit donner une adresse physique, il y aurait un risque, lorsque la police arrive à prendre le contrôle du site qu’elle puisse accéder à toutes les coordonnées des utilisateurs. C’est pourquoi, les communications entre clients et vendeurs sont toujours chiffrées. Le client utilise la clé publique que le vendeur publie sur sa page, pour encrypter les informations qu’il envoie au vendeur. Seul le vendeur possède la clé privée permettant de déchiffrer le message. L’adresse de l’acheteur n’est donc connue que du vendeur, qui s’engage à l’effacer dès que possible.

Le vendeur et l’acheteur étant anonymes, ils ne peuvent pas porter plainte.
Le second danger encouru, est pour un utilisateur de se faire tromper par son partenaire. C’est le cas du vendeur qui ne livre pas, ou qui livre un produit de mauvaise qualité, ou de l’acheteur qui ne paie pas. Le vendeur et l’acheteur étant anonymes, ils ne peuvent pas porter plainte. Il n’existe aucun tribunal sur le Darknet. Des mécanismes ont donc été mis en place pour éviter ces cas. Les sites ont mis en place des systèmes de réputation qui permettent à un acheteur d’évaluer la transaction qu’il a faite. La réputation d’un utilisateur dépendra comme sur les sites de e-Commerce du chiffre d’affaire et de la notation des acheteurs. Là où le Darknet diffère de l’Internet classique c’est que la « réputation » est transférable d’un site à un autre. Comme les sites sont régulièrement saisis et désactivés par la police, toute la réputation établie sur un site A pourrait disparaître avec ce site. Ce n’est pas le cas. Un autre site B recopie la réputation des vendeurs du site A. Il reste juste à vérifier que les utilisateurs avec le même pseudonyme sont bien les mêmes. Cela est fait grâce à la clé publique du vendeur (utilisée pour communiquer de façon chiffrée comme on l’a vu ci-dessus). Elle sert de carte d’identité du Darknet et reste la même sur tous les sites. Si le même pseudonyme utilise la même clé publique, c’est que c’est la même personne, on peut donc transférer sa réputation. Cela permet à un nouveau site de démarrer avec des vendeurs ayant déjà une bonne réputation.
Pour sécuriser le transfert d’argent, on dispose de deux mécanismes. Soit on utilise un tiers de confiance (escrow en anglais), le site par exemple, auquel l’acheteur vire l’argent à la commande et qui libère cet argent lorsque la transaction est finalisée. Soit on utilise un mécanisme du Bitcoin le multisig. Dans une transaction de ce type, trois personnes (le vendeur, l’acheteur et le site) créent ensemble un compte Bitcoin vers lequel de l’argent est viré. Ensuite pour disposer de l’argent deux des trois personnes doivent donner leur accord. En temps normal lorsque l’acheteur finalise la transaction, le site donne son accord et le vendeur peut disposer de son argent. En cas de problème, le site reste l’arbitre de la transaction. En cas de défaut du site, l’acheteur et le vendeur peuvent toujours accéder à leur argent.

Visiter un site du Darknet avec un ordinateur non spécifiquement dédié et renforcé serait suicidaire.
Le troisième danger est sans doute d’être victime d’une cyber-attaque. Les acteurs du Darknet ont tous des intérêts très divergents. Les opérateurs de sites peuvent vouloir détruire les sites concurrents. Ils sont aussi victimes de tentatives de chantage. Les attaquants bombardent les sites de requêtes et les font exploser sous la charge, cette attaque est connue sous l’acronyme anglais DDoS (Distributed Denial of Service). La stratégie de contournement est de disposer en permanence de nombreux points d’accès et de pouvoir couper ceux qui sont attaqués assez vite. Les documents envoyés (pdf, programmes, etc.) peuvent aussi être utilisés pour propager des malwares. Les personnes travaillant sur ces sites étant tous des criminels et certains étant des cyber-criminels, ils disposent du savoir faire pour propager de tels programmes. D’autres acteurs sont aussi très dangereux pour les utilisateurs du Darknet, ce sont les forces de renseignement et de police qui essaient continuellement de pénétrer et/ou de démanteler ces sites. Ils ont les moyens de développer des malwares de qualité et ont un intérêt très élevé à venir à bout de ces sites. Visiter un site du Darknet avec un ordinateur non spécifiquement dédié et renforcé serait suicidaire. Les personnes actives sur le Darknet utilisent toutes un browser spécifique (le Tor-browser) et devraient aussi utiliser un système sous forme de machine virtuelle dans laquelle contenir une éventuelle contamination. Cette machine virtuelle doit être uniquement utilisée pour l’usage du Darknet et réinitialisée très régulièrement.

« Crime as a Service ».
Le Darknet est un vrai danger pour la société. Il est utilisé par des criminels pour le trafic de drogue, le trafic de faux papier, le trafic de fausse monnaie. Mais il permet surtout une nouvelle forme de crime, le « Crime as a Service ». Les criminels ne sont plus dans une structure intégrée, mais chacun ne s’occupe que d’une tâche dans la chaine cyber-criminelle (découverte de failles de sécurité, écriture d’un exploit, maintenance d’une tool de déploiement de malwares, maintenance d’un bot net, location du botnet, blanchiment d’argent). Chacun vend ses services sur le réseau et peut se concentrer sur son cœur de métier.
Le Darknet nous donne à voir un écosystème hyper sécurisé, dans lequel les solutions techniques et organisationnelles sont poussées à leur maximum pour sécuriser les transactions malgré un environnement très inhospitalier. Les mécanismes mis en place sur le Darknet sont adaptables dans les environnements à haut risque et pour lesquels des niveaux d’anonymat et de sécurité sont nécessaires. On voit cependant que même des personnes avec une très haute motivation et de bonnes connaissances techniques arrivent à se faire attraper. La sécurité et l’anonymat complet sont très difficiles à obtenir.

PDF erstellen

Ähnliche Beiträge

Es wurden leider keine ähnlichen Beiträge gefunden.