Mos e bëni votimin elektronik! Nuk ka siguri!

I nderuar z.Kryeredaktor

Ne shqipetare te diaspores ne Itali, te shoqates “Albanian for EU” jemi shume te shqetesuar qe po flitet per votim elektronik ne Shqiperi.

Ne date 20 shkurt 2020 ne tryezen e marveshjes per Reformen Zgjedhore, eshte ne program diskutimi per votimin elektronik (teknologjine). Jemi kunder votimit elektronik; nuk eshte i sigurt, nuk e ben dot Shqiperia te sigurt, mund te hackohet me menyra te ndryshme dhe qe nuk lene gjurme. Auditi i votave leter (paper trail) nuk e zgjidh problemin, vetem e komplikon. Votimi elektronik pervecse ka kosto te larte financiare, ka shume rreziqe serioze per kompromentim.

Me poshte detaje:

Nje nga skenaret me te thjeshte te hackimit sipas nje artikulli te New York Times (1): Makinat e votimit elektronik off-line (te cilat edhe pse off-line mund te hackohen me shume menyra), para votimit duhet te programohen – kjo eshte pika me delikate. Ato lidhen me kompjuterat dhe server te firmes private qe jep makinat elektronike te votimit (kompjuter e server te cilet mund te jene te hackuar dhe te futin virus te makinat off-line). Ai qe programon makinat off-line, ai i firmes private, mundet vete ai te fute virusin (malware) qe funksionon vetem diten e zgjedhjes dhe pasi ben ndryshimet ne vota, vete-shkaterrohet. Ne testime para votimit nuk punon – del testimi ok. Po te kontrollohet programi code pas votimit nuk gjendet virus – eshte vetëshkaterruar.

Virus te ketij tipi mund ta shkruaje edhe nje student (thote ne artikullin te New York Times (1) profesori – I have freshmen who can do this). Paper trail – jane votat leter qe te jep makina elektronike. Audit – kontroll me sample, behet duke numeruar nje pjese te votave leter dhe duke i krahasuar me votat elektronike. Partia politike qe do paguaje, do korruptoje firmen private, punonjes te firmes qe ben programimin ose hacker te jashtem, e di sa vota fiton ne zona te caktuara. Do te programohet virusi te beje ndryshime te vogla, vetem ne masen e duhur.

Pra nese auditi kap ndryshime do te jene te vogla. Pasi audit del me probleme, Partia politike qe ka hackuar do pretendoje indinjim te thelle per “manipulim qe po i vjedh fitoren”: do mbushe bulevardin me protestues. Do filloje nje kontestim pa fund ku nuk do te gjendet e verteta.

Shembull per votimin elektronik per ne mund te jete vetem SHBA, sepse nuk ka vende te tjera te zhvilluara demokratike qe bejne votim elektronik. Rusia dhe satelitet e saj jane pjese e OSCE (OSBE) – ODHIR. Rusia ben votim elektronik. Prandaj ODHIR pranon idene e votimit elektronik. Vendet e BE, vendet e zhvilluara te OSBE, nuk bejne votim elektronik.

Per zgjedhjet amerikane te 2016, 12 oficere te inteligjences ruse, u identifikuan dhe akuzuan nga Grand Jury ne SHBA, jo vetem per hackimin e Democratic Party, por edhe per hackime te kompanive qe japin teknologji per votime (2). The Intercept botoi dokument qe tregoi qe e hackuar nga ruset ishte firma e votimit elktronik VR Systems (3).

Ka sh artikuj, ne gazetat e medha serioze, qe flasin per pasigurine e votimit elektronik, probleme qe kane ne SHBA dhe qe nuk i zgjidhin dot. Gjen shume artikuj, mjafton te besh search “electronic voting” dhe The New York Times, ose The Gardian ose The Intercept ose te tjera gazeta. Duhet te lexosh disa dite dhe shume artikuj qe te krijosh idene se si eshte situata ne SHBA ku a demokraci,  ka diskutime publike dhe ka ekspertize qe te vlersojne votimin elektronik. Ne nuk kemi ekspertize, nuk duhet ta bejme votimin elektronik sepse paraqit rreziqe te shumta.

1. Kryeminister, pas kerkesave te perseritura te oposites, ka thene qe do te behet votimi elektronik “me makina votimi off-line … eshte i sigurt”. Jep pershtypjen sikur te qenurit off-line garanton siguri, por kjo nuk eshte e vertete.

Ja disa shtjellime tonat me poshte:

1- Shembulli i nje rasti klasik te infektimit me virus off-line per te realizuar deme. 2- Menyrat se si mund te hack-ohen makinat elektronike te votimit off-line. 3- Sa mundesi ka qe te gjendet virusi (malware). 4- Interesi i firmave private qe do te ofrojne sherbimin e votimit elektronik ne raste hack-imi. 5- Shembuj te problemeve te votimit elektronik ne SHBA.

1 – Shembull klasik i hackimit off-line eshte Stuxnet, nje virusi (sakte quhet malware), i cili u gjet rastesisht i perhapur ne bote, por qe nuk arrihej te kuptohej cfare funksioni bente. Pse e kishin perhapur? Nje analize e thelle me shume pune te specializuar e firmes Norton-Symantec gjeti qe funksioni i ketij malware ishte te godiste impjantin e pasurimit te uraniumit ne Natanz ne Iran, i cili ishte off-line (quhet ne gjuhe teknike me air gap).

Me vone nje funksionar amerikan ne pension ka pranuar qe ai ishte qellimi, qe autoret ishin amerikane dhe izraeliane, dhe qe arriten te vonojne gati dy vjet programin nuklear iranian, per te dhene kohe qe, te detyruar nga pesha e sanksioneve, iranianet te benin marreveshje. Stuxnet ishte i programuar te shkaterronte here pas here centrifugat Siemens te pasurimt te uraniumit duke ja rritur shpejtesine e rrutullimit.

Ne monitore te kompjuterit rrezultonte cdo gje sipas parametrave. Centrifugat thyheshin, specialistet nuk kuptonin. Blinin centrifuga te reja, prape thyheshin. Jane thyer rreth nje mije centrifuga. Hipotizohet se si arrit Stuxnet ne kompjuterat e Natanz: u perhap ne mase neper kompjutera ne bote, deri sa infektoi nje pene usb te nje punonjesi qe e futi usb ne nje nga kompjuterat e centralit. Stuxnet me efekt worm, shumezohet, kaloi nga nje kompjuter te tjetri deri sa gjeti centrifugat.

2 – Nga informacionet tona, menyrat se si mund te kompromentohen makinat elektronike te votimit off-line, se si mund te vendoset malware qe ben kalim automatik te votat nga nje parti te tjetra, jane keto me poshte. Cfare mund te beje fizikisht nje person te makina: Menyra me e lehte, nese makina eshte e ndezur dhe ka nje porte usb, sd-card etj., duke futur per pak nje usb, kalon malware ne makine. Nese makina eshte e fikur dhe e mbrojtur ndezja me password, sulmi qe behet quhet “evil maid attack”: vihet malware nga nje person me aftesi teknike, i cili e hap makinen, lidh elektroda te qarqet dhe ndrron nje nga firmware p.sh. te CPU, te hard disk, te RAM ose skedes grafike, duke inkorporuar malware-in.

Makinat mund ti kompromentoje nje nga anetaret e personelit te firmes qe ofron sherbimin e votimit elektronik ose vete firma nese korruptohet. Malware mund te jete i programuar qe te funksionoje vetem ne daten e votimit; nese behen testime me makinen e votimit nje dite para ose nje dite pas votimit, rezulton cdo gje ne rregull.

Malware ne makina mund ti vendosin organizata shteterore te cilat kane aftesi te larta teknike (hacking) te kombinuara me agjenture ne terren – keto quhen sulme APT – advanced persistent threat, sulme qe kane gati gjithmone sukses. APT e ofrojne si sherbim edhe firma private te specializuara.

Makinat mund te jene te korruptuara ne fabrike (quhet supply chain attack): aty ku prodhohen vihet nje malware i cili njeh vetem zgjedhjet shqiptare dhe di te zevendesoje nje parti shqiptare me nje tjeter. Ne Kine me ligj, cdo biznes eshte i detyruar te bashkpunoje me organet e sigurise te shtetit. SHBA thote qe shteti Kinez ka nen kontroll pajisjet Huawei, prej kohesh keshillon mosperdorimin e tyre. SHBA, Australia dhe Zelanda e Re kane ndaluar Huawei te marre pjese ne infrastrukturat e tyre te internetit 5G.

Besojme se ka edhe menyra te tjera kompromentimi te makinave te votimit off-line, te cilat ne qe nuk jemi eksperte nuk i dime.

3 – Firma qe njihet si me e mira ne bote per Cybersecurity eshte Norton-Symantec. Drejtuesi i saj ka bere nje here deklaraten qe software i tyre antivirus, ne rastet me te mira, mendohet se mbron nga 40% te viruseve qe qarkullojne ne bote. Pra qe te gjendet nese nje makine eshte e kompromentuar me malware, duke angazhuar nje firme sherbimi cybersecurity, eshte shume e veshtire, sepse malware rrine te fshehur (rootkit, nuk i fshin dot as me reset, prape aktive) dhe sepse shpesh viruset (malware) jane zero-day (te panjohur nga komuniteti i cybersecurity).

Te vertetosh qe zgjedhjet jane manipuluar mund te jete e pamundur. Manipulimi nuk do te lere gjurme. Prestigjozja Electronic Frontier Foundation shkruan:  “A skillful attack can tamper with voting machines and then delete itself, making it impossible to prove after the fact that an election suffered interference.” Ka malware qe pasi funksionojne vete-shkaterrohen per te mos lene asnje gjurme.

4 – Firma qe do te ofroje sherbimin e votimit elektronik do te demonstroje sa “i mrekullueshem” eshte ai dhe nuk do te tregoje per problemet qe mund te kete, sepse te tille ka interesin e fitimit. Ne cdo skandal hackimi ka dale qarte qendrimi mohues i firmave private te kompromentuara. Firmat qe penetrohen nga hacker mundohen me te gjitha menyrat qe te fshehin faktin sepse humbasin reputacion dhe business, madje mund te edhe te falimentojne. Ne rastet e rralla kur skandali del ne publik, firmat perpiqen me shpjegime te minimizojne faktet. Pra firma qe do te ofroje votimin elektronik edhe po te marre vesh qe ka makinat me malware (gje qe eshte shume e rralle dhe e veshtire), do ta mbaje te fshehte, nuk do ta tregoje, megjithese zgjedhjet jane manipuluar.

Nje fakt tjeter i njohur eshte qe firmat mundohen te ulin kostot duke shpenzuar pak ose edhe aspak, per cybersecurity. Shpenzime monetare per cybercicurity jane te domosdoshme per te mbrojtur ne menyre te vazhdueshme cdo sistem informatik nga vulnerabilities qe kohe pas kohe zbulohen ne code, por edhe me gjithe kete mbrojtje, siguria vetem rritet, nuk mund te behet asnjehere e plote. Eshte nje lufte pa fund midis sulmuesave hacker dhe mbrojtesve cybersecurity.

5 – Disa shtete ne SHBA perdorin votimin elektronik. Ne dy konferencat e famshme te cybersecurity dhe hacking, Black Hat dhe Defcon, cdo vit researchers tallen duke demonstruar si hack-ohen makinat e votimit amerikane. Ne nje artikull ne bbc.com lexova para nje viti, qe per keto arsye Britania e Madhe nuk do ta beje kurre votimin elektronik. Electronic Frontier Foundation shkruan “The evidence is clear: there are numerous ways to exploit and tamper with voting machines currently in use in the United States.”

Electronic Frontier Foundation jep nje shembull hacking te konferences Defcon: “ they demonstrated how easy it is to gain administrative access, which lets someone change the settings – or even the ballot – in under two minutes. The researches concluded that because it takes the average voter about 6 minutes to cast a vote, this indicates one could realistically hack a voting machine in the polling place on Election Day within the time it takes to vote.”

Ne ne Shqiperi mund te bejme votim elektronik pasi Britania e Madhe, Gjermania, Franca, Italia dhe shume vende te zhvilluara demokratike, ta kene bere votimin elektronik per me shume se 10 – 15 vjet duke treguar qe ai eshte i sigurt dhe Shqiperia te mendohet a ka mundesi ta aplikoje po aq te sigurt si ata. Por kjo nuk do te ndodhe, sepse ata, mendojme, nuk do te kalojne asnjehere te votimi elektronik.

Mos e beni votimin elektronik! Nuk ka siguri!

*****

Bibliografi, sugjerim per lexim:

1. New York Times: The Crisis of Election Security As the midterms approach, America’s electronic voting systems are more vulnerable than ever. Why isn’t anyone trying to fix them? By Kim Zetter, Sept. 26, 2018 ne tekst me siper perkthimi i ketij paragrafi: any programmer can write code that displays one thing on the screen, records something else and prints out something else as an entirely different result. I have freshmen, by the way, who can do this.
2. Web site i Department of Justice : Grand Jury Indicts 12 Russian Intelligence Officers for Hacking Offenses related to the 2016 Elections.
3. Web site i The Intercept: A swing-state election vendor repeatedly denied being hacked by russians. The new Mueller indictment    says otherwise.

Albanians for EU Forum – FB: Albanians for EU Forum