November 3-án, az Egyesült Államok 59. elnökválasztásának napján került ki a hekk.blog-ra a Hogyan törjünk fel amerikai szavazógépeket? című, az elektronikus szavazási rendszer informatikai biztonságával foglalkozó rövid bejegyzésünk.

Akkor még nem lehetett tudni (csak esetleg sejteni), hogy mekkora (egyébként nem feltétlenül informatikai biztonsággal kapcsolatos) botrány kerekedik ki a választásból, sőt még most sem tudjuk, mi lesz ebből az egészből.

A Twitter például sorozatosan tiltja le (vagy korlátozza) azokat a bejegyzéseket, amik szerintük félrevezetők, a választási eredmények szerintük megalapozatlan megkérdőjelezéséről szólnak. Ez alól még az Amerikai Egyesült Államok regnáló elnöke sem kivétel:

A hackelést Rachel Tobac, a SocialProof Security vezetője mutatta be a 2018-as DEF CON konferencia Voting Village szekciójában, és az erről szóló rövid videót a saját Twitter profilján publikálta (ez lett beszúrva az említett blogposztba).

Azonban a választás másnapjának reggelén, a botrányok eszkalálódásakor lezárta a profilját, a bejegyzései (és így az említett videó is) már csak a jóváhagyott követői számára láthatók. Követőivel mindössze ennyi információt közölt:

Csak remélni tudjuk, hogy tényleg minden rendben van... Megkerestük Rachelt, és amennyiben további információkhoz jutunk, a bejegyzést frissítjük.

Míg a magyarországi választásokon hagyományos rendszerben, papír alapon szavazunk, az Egyesült Államokban már jó régóta – így a 2020. november 3-i elnökválasztáson is – elektronikus szavazási rendszer működik. Persze nálunk is jelen van pl. a szavazatok (hagyományos összeszámlálása utáni) összesítésénél a választási informatika, de az USA-ban már a szavazatok leadása is elektronikus eszközök segítségével történik.

Ezt praktikusan (leegyszerűsítve) úgy kell elképzelni, hogy a nyomtatott szavazólapokra történő ikszelgetés, majd a szavazólap urnába dobása helyett az Egyesült Államokban sok helyen egy speciális, általában érintőképernyős tablettel felszerelt célszámítógép (úgynevezett voting machine) nyomogatásával adhatók le a szavazatok. Az elektronikus szavazógépek ugyan internetre nincsenek csatlakoztatva, de helyi hálózatba vannak kötve, összekapcsolva a helyi választói regisztrációs adatbázissal.

Az emberi erővel történő szavazatszámlálás helyett pedig a szavazókör zárásakor gombnyomásra előáll egy Excel tábla az eredményekkel. Az eljárás részletei persze bonyolultabbak, de a mai világ híreit követve nem kell IT biztonsági szakembernek lenni ahhoz, hogy az ember kockázatokat érzékeljen egy ilyen típusú szavazási folyamat lebonyolításával kapcsolatban.

Miközben pár nap múlva, 2020. november 3-án itt a következő amerikai elnökválasztás, illegális fórumokon egyesek az amerikai választópolgárok részletes adatait tartalmazó óriási méretű adatbázisokkal üzletelnek. Ezen adatbázisok általában tartalmaznak a választó személyes adatain kívül olyan érzékeny információkat is, mint például a párthovatartozás.

A Trustwave kiberbiztonsági cég SpiderLabs elit hackercsoportja pár nappal ezelőtt futott bele egy 186 millió(!) rekordot tartalmazó, az ellenőrzéseik szerint hiteles választói adatbázisba. Ez a szám önmagában is óriási, de ha hozzávesszük, hogy 2020-ban az amerikai választókorú népesség kb. 255 millió fő (és mondjuk a várható részvétel olyan 50-60% körül mozoghat), akkor még inkább érzékelhető, hogy itt gyakorlatilag máris több, mint az összes aktivizálható választóról van szó.

Talán konkrétan azt a masszív 186 milliós adatbázist, amit a SpiderLabs talált pár napja, már nem is lehet olyan könnyen elérni, de részleteiben még most is könnyedén megtalálható az internetnek nem is a legeldugottabb zugaiban.