Il metodo Mercuri per il voto elettronico

Posted on January 17, 2008 by claudio

Prendo spunto dalle discussioni recenti sul voto per le primarie nel New Hampshire. A quanto pare si sono diffuse voci sul fatto che i risultati delle primarie in quello Stato sarebbero state “hackerate”, ovvero ne sia stata manipolata la parte automatizzata. C’è addirittura un video su Youtube. I dubbi deriverebbero da una discrepanza considerevole fra i risultati dei conteggi fatti a mano e quelli fatti a macchina. Una volta tanto sembra non si stia parlando di voto elettronico ma di scrutinio elettronico. La maggior parte delle voci è concorde nel dire che una manipolazione “elettronica” del voto non è possibile perché le schede cartacee sono ancora lì, pronte per essere ricontate. Così qualche candidato ha cominciato a chiedere di ricontarle. Prima di discutere la questione del cosidetto “paper trail”, vorrei sottolineare come in questo periodo negli USA, in Italia e nel mondo è difficile sentire parlare di elezioni senza sentire accuse di brogli. In questo clima, la credibilità del processo di voto è critica, come anche la capacità di dimostrare agli elettori non che i brogli non ci sono stati, ma che non sono stati possibili. Ricordo di nuovo le accuse di manipolazioni dei conteggi complessivi alle ultime politiche italiane: il fatto che ci siano stati un conteggio e una raccolta manuali e che le schede fossero disponibili per la verifica ha fatto sì che alla fine i dubbi siano stati sostanzialmente fugati. In questo periodo, passare a sistemi di voto in cui l’elettore si deve fidare della parola di un tecnico (“le macchine non sono manomesse, ve lo garantisco io anche se non siete in grado di capire il perché”) mi sembra particolarmente inopportuno; è importante che l’elettore sia in grado di comprendere di persona perché il suo voto è conteggiato correttamente. Parliamo comunque adesso del paper trail, ovvero della traccia cartacea del voto, e ne parliamo in riferimento al metodo di voto che più di tutti esemplifica questo concetto, ovvero il metodo Mercuri.

Ultimamente mi è capitato in più di un’occasione di discutere di questo metodo, e quindi ho pensato che valga la pena di parlarne in modo un po’ più approfondito. Il nome del metodo deriva da Rebecca Mercuri, che lo ha concepito nella sua tesi di Ph.D. Si tratta di un sistema cosiddetto di Voter Verified Paper Audit Trail, traccia cartacea verificata dal votante. Il metodo Mercuri è alla base di molti dei sistemi di voto elettronico attualmente studiati e con caratteristiche di sicurezza decisamente migliori della maggior parte di quelli attualmente in uso. È stato concepito da Rebecca Mercuri, una ricercatrice di Harward.

La sostanza del metodo è questa. Un computer permette all’elettore di esprimere il proprio voto, ma quando il voto è espresso, anziché registrarlo semplicemente, stampa una scheda cartacea; la scheda cartacea viene mostrata all’elettore attraverso un vetro, in modo che la possa verificare ma non manipolare. Se l’elettore conferma che quello sulla scheda è il voto che ha espresso, allora la scheda viene lasciata cadere in un’urna e il voto viene (anche) registrato in memoria. In caso contrario, la scheda viene distrutta e l’elettore può correggere la propria scelta. In questo modo l’elettore è garantito del fatto che ha visto una scheda cartacea con il suo voto correttamente registrato andare nell’urna, come nel voto tradizionale, scheda che potrà essere usata per verifiche a campione o per un riconteggio. Questo metodo apparentemente è ideale: l’elettore può avere tutto il supporto possibile dalla macchina per evitare errori (preferenze dove non ci vanno ecc.), la scheda è stampata e quindi molto più anonima di quelle scritte a mano, il conteggio è veloce come per il voto elettronico, il conteggio manuale è possibile, togliendo criticità a quello elettronico e alla sua manomissione, e durante il riconteggio manuale gli scrutatori non hanno la possibilità di manomettere le schede con segni o simili, dato che sarebbero riconoscibili rispetto alla stampa originale. Idealmente, protegge anche dalle fotocamere dei cellulari, dato che l’elettore può fotografare la scheda e poi eliminarla. In realtà è da vedere se il fatto di scartare una scheda, evento che difficilmente non è rilevabile da chi è nei locali in cui avviene il voto, non viene rilevato come tentativo di barare nel voto di scambio. Per migliorare ulteriormente la protezione in questo senso, visto che adesso sono comuni anche le videocamere nei cellulari, il fatto che scheda e schermo siano sempre in posizioni fisse permette probabilmente di realizzare le postazioni di voto in modo che il voto rimanga comunque segreto ma nello stesso tempo l’elettore sia almeno parzialmente in vista, in modo che se si mette a fare cose strane possa essere individuato. Ad esempio, il pulsante per accettare il voto potrebbe essere in vista, cosa che renderebbe complesso filmare e accettare il voto contemporaneamente; non dimentichiamo che il problema del voto filmato con il cellulare per garantire il voto di scambio non è un problema destinato a sparire da solo, ma anzi a peggiorare. Infine, la scheda bianca potrebbe comunque essere marcata come tale, evitando il rischio che possa essere “votata” successivamente (problema se non sbaglio ventilato alle ultime politiche italiane).

Quali sono i limiti? Il primo è comune a tutti gli apparati elettronici, ovvero le emissioni: il cosiddetto effetto Tempest. In pratica, computer e monitor quando sono attivi emettono delle radiazioni elettromagnetiche, e queste emanazioni variano in funzione di quello che l’apparato sta facendo. Da tempo si sa che è possibile ricevere a distanza anche di decine di metri queste emanazioni e, in molti casi, capire che cosa sta facendo l’apparecchio. In alcuni esperimenti è stata riprodotta fedelmente a distanza l’immagine che appariva in quel momento sul monitor. Per chi pensa che sia fantascienza, suggerisco di leggere questo rapporto su come questo effetto sia stato utilizzato per mostrare una vulnerabilità di alcune macchine per il voto elettronico in Olanda, permettendo di riconoscere a distanza, e con un’apparecchiatura artigianale, quando veniva scelto un certo partito.

Un altro punto di attenzione riguarda l’ordine delle schede e la possibilità di utilizzarlo per riconoscere il voto. Da questo punto di vista bisogna ad esempio fare attenzione che la stampa non possa essere alterata dal software del sistema: basta qualche pixel modificato per permettere di riconoscere la sequenza dei voti in un modo non rilevabile a occhio nudo, e dalla sequenza dei voti e dal registro dei votanti è possibile risalire a chi ha votato chi. Marcature simili potrebbero poi essere già presenti sui fogli, magari in colori tenui per non essere visibili, sullo stile delle marcature che alcune stampanti metterebbero sui fogli per permettere di riconoscerne l’origine. Meglio, la rilevazione di marcature e anomalie dovrebbe essere parte delle verifiche a campione, dato che l’ipotesi è di poter non fidarsi del software del sistema.

Insomma, le possibilità di frode ci sono, ma il sistema sembra offrire molti più appigli di altri nell’affrontarle… una volta individuate 😉 E sembra anche offrire qualche possibilità concreta di ridurre le frodi esistenti, anziché generiche affermazioni sulla “maggiore sicurezza del voto elettronico”. Con qualche difficoltà tecnica: è certamente un sistema più complesso e delicato di molti altri. E naturalmente con alcune cautele, in particolare per quanto riguarda la catena di custodia delle schede votate (secondo il video di Blackboxvoting, tanto per cambiare qui negli USA sono carenti).

Posted in ict, Sicurezza, Varie | Comments Off on Il metodo Mercuri per il voto elettronico

InfoWorld e la campagna "Save XP" (e contro Vista)

Posted on January 16, 2008 by claudio

Non posso non essere impressionato. Che Vista sia stato accolto con poco entusiasmo è evidente: dopo tanti anni di attesa, poche novità, migliorie di sicurezza limitate, costi elevati e poca compatibilità. A un anno di distanza dall’uscita non ho ancora sentito sostanzialmente nessuno (a parte Microsoft) esprimersi con decisione a favore dell’adozione di Vista, e anzi c’è chi l’ha nominato uno dei peggiori prodotti del 2007 e chi ha offerto l’opzione di rinunciare sui nuovi PC al Vista preinstallato e risostituirlo con XP. Nonostante questo, non posso che essere impressionato dall’iniziativa di InfoWord per salvare XP. A prima vista potrebbe sembrare un’iniziativa simile a quelle che all’uscita di XP volevano prolungare la vita di Windows 98. Ma allora, anche se molti sostenevano che non fosse necessario passare a XP e trovassero “spiacevole” avere XP imposto come unica scelta sui nuovi PC, le critiche a XP in sè erano poche, se non per le prestazioni: XP era più pesante di Windows 98 (ma almeno faceva qualcosa in più, mentre Windows 98 era più pesante di Windows 95 facendo esattamente le stesse cose, e Vista è più pesante di XP facendo….).

L’inziativa di InfoWorld è molto più drastica, e lo si può già capire dalla richiesta di mantenere XP “per sempre”: non di supportarlo, ma di mantenerlo in vendita. Una richiesta che chiaramente non ha senso: Microsoft vive essenzialmente della vendita di licenze Windows e Office, il resto delle sue attività l’ultima volta che ho sentito qualcosa al riguardo era marginale o in perdita; se Microsoft non riesce a convincere chi possiede XP a passare a Vista, darà dei grossi dispiaceri agli azionisti.

Ma l’iniziativa di InfoWorld è contornata da altri articoli su Vista: uno che sottolinea i limiti di UAC (ma in realtà parla di quello che il malware può fare senza diritti di amministratore: un problema che non riguarda solo Vista e che è comunque una visione limitata del controllo dell’uso dei diritti di amministratore), un altro che dice che Vista non è “verde” ma che in pratica dice semplicemente che se un’impresa non ha bisogno di passare a un sistema operativo che richiede PC più potenti, è uno spreco fare l’upgrade, anche se con il tempo finirà per essere inevitabile.

Cosa propone InfoWorld? Far “sparire silenziosamente” Vista come a suo tempo Microsoft ha fatto con ME (fallimento storico), e in attesa della prossima versione di Windows mantenere XP. Un paragone che mi sembra non abbia senso: ME è uscito di due anni dopo 98, in un periodo in cui il mercato dei PC era ancora in forte crescita e non vendere ME voleva dire vendere comunque Windows 98; per di più, ME è stato (giustamente) presentato come un restyling di 98, non come una grande innovazione; infine, XP è uscito meno di un anno dopo. Vista è uscito cinque anni dopo XP, presentato come una rivoluzione, e a un anno dall’uscita di Vista non c’è un successore in vista; soprattutto, il mercato dei PC adesso non è il mercato del 2000: non vendere Vista per Microsoft praticamente vuole dire non vendere, direi.

Queste però sono considerazioni banali. Quello che mi colpisce è che una testata come InfoWorld prenda una posizione così netta. Io sono uno di quelli che pensano (cinici?) che una testata di questo tipo non prenda mai posizioni troppo scomode per le grosse aziende che, con la loro pubblicità, le fanno campare. Certo, una campagna di questo tipo farà loro perdere le simpatie di molti sostenitori di Microsoft. L’unica spiegazione che mi viene in mente è che al momento dire che passare a Vista non è una buona idea faccia guadagnare più consensi di quanti ne fa perdere, o quantomeno il bilancio non sia troppo in passivo.

Un’ultima considerazione, più interessante. Se è vero quello che dice InfoWorld (e in buona parte secondo me lo è), allora abbiamo un conflitto fra gli interessi di Microsoft (vendere Vista a tutti i costi) e quelli degli utenti. Questo è esattamente il tipo di conflitto al quale i sostenitori dell’open source fanno spesso riferimento. Se XP fosse open source, Microsoft non lo potrebbe ritirare dal mercato, perché chiunque altro lo potrebbe distribuire. E se Microsoft smettesse di supportarlo, con centinaia di milioni di potenziali utenti nascerebbero imprese in abbondanza per sopperire alla mancanza di supporto dalla casa madre. Certo, con l’open source nessuna azienda potrebbe diventare ricca quanto Microsoft. Al più quanto Red Hat.

Posted in ict, Sicurezza, Varie | 1 Comment

Controllare un aereo dal sedile di un passeggero?

Posted on January 11, 2008 by claudio

Sì, mi sono preso un lungo periodo senza scrivere niente, non solo per le ferie ma anche per attività che dovevo concludere. Ricomincio a scrivere con questa notizia presa da Wired. A quanto pare l’FAA si è accorta che sul nuovo Boeing 787 Dreamliner la rete che permette agli utenti di navigare in Internet durante il volo è connessa ai sistemi di navigazione, comunicazione e controllo dell’aereo. Il rapporto dice anche che le reti di bordo possono avere delle serie vulnerabilità che potrebbero permettere ai passeggeri di accedere ai sistemi di controllo. Il rapporto è accessibile qui, e contrariamente a quando dice Schneier mi sembra abbastanza esplicito sull’esistenza dei problemi, pur non entrando nei dettagli. Questo e questo articolo chiariscono qualche dubbio. Da qui il titolo di questo post: perché portare dell’esplosivo in una scarpa quando si può controllare l’aereo dal sedile di un passeggero? (La risposta è: perché portare l’esplosivo in una scarpa è all’altezza delle competenze del terrorista tipo, manipolare il sistema di controllo probabilmente no, anche se può rappresentare un’ottima trama per un film). Peraltro bisogna sottolineare che il problema è stato rilevato dall’FAA nelle ultime fasi di produzione, prima di certificare l’apparecchio. Naturalmente si tratta dell’aspetto sensazionalistico della questione, ma ci sono altri aspetti meno immediati che vale la pena di considerare. Il primo è che la possibilità di connettere sistemi di misura e controllo offre tali e tante potenzialità  che perdere di vista i rischi associati è facile. Nel futuro vedremo molti casi simili, a partire da quelli ovvi della connessione dei sistemi di controllo industriale alla rete aziendale, passando per casi banali di domotica, per arrivare a situazioni ad alto rischio come la connessione delle apparecchiature elettromedicali alle reti interne degli ospedali o alla connessione alle intranet aziendali dei sistemi di controllo di dighe e simili. Le potenzialità sono alte, i rischi anche. Come sempre, la pressione per sfruttare le potenzialità sarà alta, la capacità di valutare i rischi e poi di gestirli meno.

Tuttavia c’è un altro aspetto che mi lascia più perplesso. Di tutti i contesti in cui mi sarei aspettato  una gestione non corretta di questo tipo di rischio, l’industria areonautica, e la Boeing in particolare, è forse quello in cui me lo sarei aspettato meno. Questo perché è un contesto in cui l’attenzione alla sicurezza e le competenze per gestire i rischi ci sono da tempo. Non mi riferisco alla capacità di trattare i problemi di robustezza, anzi: un’impostazione orientata alla robustezza nel senso tradizionale spesso è fuorviante quando si parla di sicurezza perché non tiene conto della volontà e intelligenza dell’attaccante (tre copie dello stesso apparato sono un’ottima idea dal punto di vista dei guasti ma in generale del tutto inefficaci nei confronti di un attaccante intelligente, che una volta trovata la vulnerabilità non deve fare altro che ripetere tre volte lo stesso attacco). Mi riferisco al fatto che come fornitori del Dipartimento della Difesa USA, l’industria aeronautica e la Boeing in particolare hanno una lunga tradizione nell’affrontare i problemi di sicurezza in senso stretto. Giusto per fare un esempio, Boeing è stata una delle poche aziende ad avere prodotti valutati al livello A1 dei criteri TCSEC, e guarda caso si tratta di un sistema per “Trusted Network Separation“. Come possano essere arrivati ad avere il problema descritto nel rapporto FAA mi sembra un mistero. Il mistero si infittisce leggendo il rapporto dell’FAA. Infatti, come risposta a un problema di questo tipo mi sarei aspettato qualcosa del tipo: “separate completamente la rete dei passeggeri da qualsiasi sistema dell’aereo, o fate a meno di offrire Internet ai passeggeri”. Il rapporto invece ha un tono completamente diverso. Si parla di sistemi di rilevazione delle violazioni che, in caso di necessità, isolino l’area dei passeggeri, oppure dell’indicazione (da parte dell’associazione dei piloti) della possibilità di eseguire l’operazione manualmente. Queste indicazioni non sembrano tener conto del problema più classico dei sistemi di intrusion detection, ovvero che gli interventi a posteriori su una violazione, siano essi automatici o peggio ancora manuali, arrivano generalmente in ritardo. Tuttavia, forse la soluzione del mistero finisce per essere la solita, banale, descritta nel primo dei due articoli di Avionics che ho citato (e che vale la pena di leggere): “By cutting black boxes and wiring, Boeing promises an avionics suite 2,000 pounds (907 kg) lighter than earlier-generation systems. The increased level of integration is meant to help achieve the 787’s touted 20 percent fuel burn reduction and enable enhanced situational awareness and ease of operation and maintenance“. Costi più bassi, funzionalità “enhanced”.

Posted in Sicurezza | Comments Off on Controllare un aereo dal sedile di un passeggero?