انتخابات روسیه در کشاکش امنیت سایبری و «باگ» امنیتی

انتخابات از ارکان اساسی دموکراسی محسوب می‌شود و تاکنون مقامات کشورهای مختلف تلاش فراوانی داشته‌اند تا از هرگونه تقلب در آن ممانعت کنند. یکی از ظرفیت‌هایی که توجه زیادی به آن شده، فناوری است. در همین راستا برخی کشورها ترجیح می‌دهند حداقل بخشی از انتخابات‌های خود را به‌صورت الکترونیک انجام دهند و روسیه هم از این قاعده مستثنی نیست. هرچند به نظر می‌رسد دولت روسیه در تازه‌ترین تلاش خود با شکست مواجه شده چرا که محققان امنیتی، یک باگ بزرگ در سیستم رأی‌گیری الکترونیک مسکو یافته‌اند.

یک انتخابات پردردسر

کمتر از یک ماه به انتخابات دومای محلی مسکو(Moscow City Duma) باقی مانده و قرار شده است که این انتخابات به‌صورت الکترونیک برگزار شود. سیستم رأی‌گیری الکترونیک مسکو مبتنی بر بلاک چین فعالیت می‌کند و درواقع می‌توان گفت که نخستین نمونه در نوع خود محسوب می‌شود. این سیستم توسط وزارت فناوری اطلاعات روسیه و بر مبنای پلتفرم بلاک چین اترئوم (Ethereum-based voting system) توسعه یافته است.

اما ماجرای شکست این سیستم چیست؟ طراحان این سیستم که مدعی نفوذناپذیری آن بودند، در ماه جولای با قرار دادن کد منبع آن روی پلتفرم «گیت هاب»، از متخصصان امنیت سایبری خواستند که همه تلاش خود را برای شکستن امنیت سایبری این سیستم به کاربگیرند. ظاهراً فعالان این عرصه بسیار به‌ کار خود ایمان داشتند و معتقد به شکست‌ناپذیری آن بودند چرا که یک جایزه 15هزار دلاری هم برای یابنده «باگ» احتمالی در نظر گرفتند. اما چند روزی بیشتر نگذشت که محققان فرانسوی موفق به یافتن این «باگ» شدند و البته این جایزه بزرگ را از آن خود کردند. گفتنی است که حالا دیگر انتخابات دومای محلی پایتخت روسیه به یک معضل تمام عیار برای حکومت این کشور تبدیل شده چرا که بسیاری از نامزدهای رد صلاحیت شده دومای شهری مسکو از مخالفان ولادیمیر پوتین، رئیس جمهوری این کشور هستند. این موضوع اعتراضات بسیاری را در روسیه به‌دنبال داشته و به همین دلیل هم این انتخابات از حساسیت بسیاری برخوردار شده است.

هک سیستم رأی‌گیری در کمتر از 20 دقیقه

«پیریک گادری» یکی از استادان دانشگاه Lorraine و از محققان INRIA، مؤسسه پژوهشی فرانسوی در زمینه علوم دیجیتال، دریافت که می‌تواند کلیدهای خصوصی این سیستم رأی‌گیری را بر پایه کلیدهای عمومی آن، محاسبه کند. به این ترتیب با دستیابی به کلیدهای خصوصی موفق شد تا به سیستم وارد شود. وی مدعی است که می‌توان در کمتر از 20 دقیقه به همه اطلاعات کسانی که رأی می‌دهند دسترسی پیدا کرد و البته احتمال دستکاری در رأی مردم و تغییر نتیجه انتخابات به نفع یک گروه و جناح خاص نیز چندان دور از ذهن نیست.

وی همچنین فعالان این عرصه در مسکو را به‌دلیل استفاده از سیستم امنیتی سایبری ضعیف در این سیستم رأی‌گیری ملامت کرد و یادآور شد که در این سیستم، مقامات روسی از نسخه‌ای از رمزگذاری با نام scheme ElGamal encryption استفاده کرده‌اند که کلیدهای آن امنیت بالایی ندارند و هکرها با استفاده از فناوری‌های نوین می‌توانند در مدت زمانی کوتاه، آن را رمزگشایی کنند و به همه اطلاعات کاربران دسترسی داشته باشند که این یک افتضاح تاریخی محسوب می‌شود.

این استاد دانشگاه یادآور شد: هکرها برای ورود به این سیستم رأی‌گیری رمزگذاری شده کار سختی ندارند و با استفاده از یک کامپیوتر خانگی استاندارد و با کمک نرم افزارهای رایگان موجود در بازار که در دسترس عموم مردم قرار دارد می‌توانند از موانع امنیتی این سیستم عبور کنند.

البته«گادری» ماه قبل نیز با انتشار گزارشی، نسبت به امنیت سایبری این سیستم هشدار داده و در توئیتی نوشته بود:«سیستم رأی‌گیری الکترونیک پارلمان مسکو که بر پایه بلاک چین فعالیت می‌کند کاملاً ناامن است و براحتی برای هکرها قابل دسترسی است». حالا با انجام عملی این هک درستی نگرانی‌های این فعال عرصه امنیت سایبری اثبات شد. وی البته یادآور شد پروتکل‌های این سیستم رأی‌گیری به زبان انگلیسی در دسترس وی قرار ندارد و بدون خواندن پروتکل نمی‌توان به طور دقیق از عواقب دسترسی هکرها به این سیستم صحبت کرد هرچند می‌توان حدس‌هایی زد. اما آنچه می‌دانیم اینکه چنین رمزگذاری ضعیفی حتماً بین برگه‌های رأی و اطلاعات کاربران می‌تواند ارتباطی برقرار کند. در بدترین سناریو آرای همه رأی دهندگان که از این سیستم استفاده می‌کنند به محض رأی دادن در اختیار عموم قرار می‌گیرد و عملاً این رأی مخفی نخواهد ماند.«گادری» ادامه داد: به محض شناسایی کلیدهای خصوصی توسط هکر، هرگونه اطلاعات رمزگذاری شده موجود در سیستم در اختیار هکر قرار می‌گیرد و سریع‌تر از آنچه که تصورش را می‌کنید رمزگشایی می‌شود که این به معنای دستکاری و تقلب در انتخابات و همچنین به حراج گذاشته شدن اطلاعات کاربران خواهد بود درواقع براحتی حریم خصوصی نقض می‌شود و کاربران در مقابل هکرها بی‌دفاع می‌مانند.

اما آیا این سیستم رأی‌گیری برای افرادی خاص در نظر گرفته شده بود؟ در پاسخ باید گفت در ابتدا بسیاری تصور می‌کردند که استفاده از سیستم رأی‌گیری الکترونیک مبتنی بر اینترنت و فناوری بلاک چین، تنها محدود به افراد اهل روس است که در زمان انتخابات در سفر هستند. برخی دیگر نیز معتقد بودند این سیستم برای افرادی طراحی شده که از محدودیت‌ها و ناتوانی‌های جسمی رنج می‌برند ولی واقعیت این است که جامعه هدف این سیستم رأی‌گیری به این افراد محدود نمی‌شود و هرکسی که پیش از این برای شرکت در انتخابات الکترونیکی مبتنی بر بلاک چین ثبت‌نام کرده است می‌تواند در 8 سپتامبر(17 شهریور) از این سیستم بهره بگیرد. به هرحال اگر در ماه آینده این سیستم رأی‌گیری الکترونیکی در مسکو به‌صورت رسمی مورد استفاده قرار بگیرد می‌تواند یک رکورد را برای روسیه به ثبت برساند چرا که این نخستین بار است که یک سیستم رأی‌گیری الکترونیک بر پایه بلاک چین به طور قانونی در یک انتخابات رسمی در جهان مورد استفاده قرار می‌گیرد و فقط به نمونه آزمایشی ختم نشده است.

تلاش برای افزایش امنیت سایبری

البته حالا مقامات روس با پذیرفتن این شکست تصمیم دارند تا مشکل را برطرف کرده و از کلیدهای خصوصی قوی تری بهره بگیرند. آنها اذعان کرده‌اند که طول رشته‌های بلاک چین آنها کوتاه بوده به همین دلیل هم امنیت آن تأمین نشده و حالا برای برطرف کردن مشکلات موجود، در زنجیره‌های بلاک چین خود از 1024 کلید اختصاصی استفاده خواهند کرد که قطعاً کار هکرها را بسیار سخت می‌کند. البته دانشمندان فرانسوی این کار را نیز محکوم به شکست می‌دانند و معتقدند که مقامات روس باید به عددی دوبرابر فکر کنند وگرنه باز هم شکست آنها محتوم است. این محققان عدد 2048 را پیشنهاد می‌دهند تا از حمله‌های هکری ممانعت شود.

این سیستم رأی‌گیری الکترونیکی قرار است 8 ماه سپتامبر (17 شهریور)عملاً وارد فاز اجرایی شود و در کنار سیستم‌های سنتی و رسمی رأی‌گیری در این کشور، به مدت 12 ساعت فرصت رأی‌گیری الکترونیک را در اختیار مردم مسکو قرار دهد. به محض قرار گرفتن این سیستم در فاز اجرایی، کاربران می‌توانند از طریق تلفن همراه یا کامپیوترهای خانگی خود در این رفراندوم شرکت کنند و رأی خود را بدون حضور در پای صندوق‌های رأی و تنها با کمک اینترنت به صندوق بیندازند.

مقامات روس معتقدند با استفاده از این سیستم، رأی آنها به‌صورت کاملاً محرمانه روی سیستم بلاک چین اترئوم ثبت می‌شود؛ موضوعی که حالا محققان فرانسوی کاملاً خلاف آن را ثابت کرده و یادآور شده‌اند که این سیستم بلاک چین سطح امنیتی بالایی ندارد و حریم خصوصی کاربران در معرض خطر است. حال باید منتظر ماند و دید کاربران در مسکو چه واکنشی نسبت به این موضوع نشان می‌دهند و چند درصد آنها حاضر به رأی دادن در چنین سیستم ناامنی خواهند بود.