Błąd na błędzie, czyli wybory po polsku


Kod w internecie

Ale zakłócenia funkcjonowania systemu PKW to nie wszystko – jeszcze bardziej niepokojące są sygnały o fatalnym zabezpieczeniu zarówno samego systemu, jak i innych elementów infrastruktury informatycznej Państwowej Komisji Wyborczej. Okazało się np., że kod źródłowy tzw. kalkulatora (tzn. aplikacji klienckiej, z której korzystali członkowie komisji wyborczych) był dostępny w internecie już dzień przed wyborami – aplikacja była dostępna, ktoś po prostu skorzystał z techniki odwracania (reverse engineering) i pozyskał kod. Samo to nie stanowiło jeszcze poważnego zagrożenia, jednak dokładna analiza kodu dawała odpowiednio zorientowanej osoby całkiem konkretną wiedzę o tym, jak działa cały system przesyłania protokołów i podstawę do kombinowania jak można zakłócić ów proces i ewentualnie w niego ingerować.

Na razie nie ma żadnych dowodów, że coś takiego faktycznie nastąpiło (tzn. zakłócenie funkcjonowania właściwie nastąpiło, ale powód wydaje się zdecydowanie bardziej prozaiczny – wyjaśniamy to powyżej), jednak samo to, że scenariusze te są realne, budzi najwyższy niepokój. Budzi też pytanie, czy naprawdę ktoś z PKW wierzył, że niewielka łódzka firma bez większego doświadczenia w podobnych projektach będzie w stanie praktycznie z dnia na dzień (bo nie oszukujmy się, w kilkanaście tygodni to można napisać grę na smartphone’a, nie poważny system bazodanowy) będzie w stanie zrealizować tak poważne zlecenie i stworzy sprawnie funkcjonujący system będący de facto podstawą zliczania głosów w wyborach powszechnych w blisko 40 milionowym kraju? Pozwalamy sobie wątpić… co nie najlepiej świadczy o merytorycznym przygotowaniu członków PKW (ale również o obowiązujących w Polsce przepisach przetargowych, które w znacznym stopniu komplikują sytuację).

Włamanie do PKW

Na wadliwie działającym oprogramowaniem i publikacji kodu źródłowego informatyczne problemy PKW się zresztą nie kończą – żeby było jeszcze ciekawiej, we wtorek okazało się, że ktoś zdołał włamać się na serwer PKW.gov.pl i wykraść z niego m.in. dane pracowników oraz podwykonawców działających na zlecenie Państwowej Komisji Wyborczej (o tym również poinformował Niebezpiecznik.pl). Włamywacze przejęli – i częściowo udostępnili w internecie – m.in. dane osobowe, adresy e-mail, hasła (w postaci hasha hasła MD5), loginy oraz klucze (aczkolwiek nie wiadomo, do czego one służą).

Zaprawiona trwającym od kilkudziesięciu godzin kryzysem PR-owym PKW całkiem szybko wydała oświadczenie również w tej sprawie – przyznano w nim, że do włamania na stronę pkw.gov.pl faktycznie doszło, ale jednocześnie zastrzeżono, że owa witryna jest w 100% odseparowana od systemów odpowiedzialnych za analizę i gromadzenie protokołów wyborczych. W to jesteśmy skłonni uwierzyć (nikt przy zdrowych zmysłach nie stworzyłby takiego systemu), jednak jest to kolejny dowód na to, jak nonszalancko w POKW traktuje się kwestię bezpieczeństwa oprogramowania, tworzenia i testowania rozwiązań krytycznych dla funkcjonowania tej instytucji i realizowania jest konstytucyjnych zadań.

Swego czasu zdarzało nam pisać o tym, jak nowe technologie informatyczne zdołały usprawnić proces głosowania w kilku krajach, nieco bardziej niż Polska zaawansowanych technologicznie – w niektórych regionach jest to już tak powszechne, że tamtejsi dziennikarze pisząc o kłopotach PKW w Polsce w tonie alarmistycznym informują o „zhakowaniu polskich e-wyborów”. To przesada, tak źle nie jest, problem na szczęście dotyczy nie samego głosowania lecz tylko mechanizmu przesyłania protokołów do centrali PKW – najbardziej podstawowe zliczanie głosów w Polsce wciąż odbywa się ręcznie (co swoją drogą nie znaczy, że jest odporne na manipulacje i „ataki” – ale to już temat na inny tekst). Pozostaje nam więc ten jeden jedyny raz cieszyć się, że jesteśmy nieco zapóźnieni informatycznie – wyobraźmy sobie, co działoby się, gdyby PKW w sposób opisany powyżej próbowała przeprowadzić prawdziwe e-wybory, z głosowaniem przez Internet, logowaniem itp…