Niemcy: Luka w urnie wyborczej?
Nigdy wcześniej w Niemczech nie było tak żywego zainteresowania technicznym przebiegiem liczenia głosów, jak przed ostatnimi wyborami parlamentarnymi. Czy sfałszowanie elekcji do Bundestagu byłoby możliwe?
Niespodzianek nie było. Mimo nieustającego huku medialnych armat i całkiem zdolnego kontrkandydata Angela Merkel niebawem rozpocznie swoją czwartą kadencję jako szefowa niemieckiego rządu.
I choć wynik chadeków nie należy do najlepszych, nikt nie podejrzewa, że jest on skutkiem m.in niecnych czynów rosyjskich hakerów. Wszak ubiegłoroczne wybory prezydenckie w USA, których władze zarzucały Moskwie, że poprzez cyberataki próbowała wpłynąć na przebieg amerykańskiej kampanii, sprowokowały dyskusję, czy podobne ingerencje są także możliwe nad Szprewą.
Przodownik demokracji
Można podać kilka przesłanek wskazujących, że te przedwyborcze obawy były uzasadnione. W 2014 r. został zaatakowany komputer Marieluise Beck, posłanki Die Grünen, znanej skądinąd z celnych, krytycznych wypowiedzi pod adresem Kremla. Doniosłym echem odbiły się nadto wydarzenia z wiosny 2015 r., kiedy niemiecki kontrwywiad podejrzewał rosyjskich hakerów o ataki na Bundestag i stołeczną centralę partii CDU. Wedle prasowych zapewnień Rosjanom udało się wówczas przechwycić hasła administratora całego systemu komputerowego parlamentu. Rządowi eksperci jako sprawców wskazali użytkowników należących do grupy APT28 bądź Sofacy Group, działających na polecenie rosyjskiego rządu.
Uważni niemieccy obserwatorzy mieli już dość materiału, by pokusić się o własne kwerendy na temat tego, jak dochodzi do hakerskich włamań, przecieków itd. Czy prócz celowej dezinformacji i manipulacji przebiegu kampanii hakerzy mogą także sfałszować sam wynik wyborczy? Czy system liczący głosy jest niezawodny? Jak on działa i kto go wytworzył?
W sierpniu szerokim strumieniem popłynęły na łamy niemieckich gazet przecieki o tym, jak mała grupa studentów informatyki z Darmstadt samodzielnie rozszyfrowała oprogramowanie „PC-Wahl”, którego niemieckie komisje wyborcze używają przy liczeniu głosów już od niemal 30 lat. Zaledwie miesiąc przed wyborami do Bundestagu młodzi specjaliści IT z Hesji zakłócili więc błogi spokój Niemców, przekonanych, że w ich kraju elekcje przebiegają bezpiecznie.
Przebieg wyborów
Ustrój polityczny w RFN ma charakter federalny, toteż wybory przebiegają w sposób zdecentralizowany. Po zamknięciu lokali pierwsze wyniki wpływają do okręgu wyborczego (Wahlbezirk), a następnie do obwodu wyborczego (Wahlkreis). Stamtąd trafiają do przewodniczącego komisji wyborczej danego landu, a potem do komisji na szczeblu federalnym, której przewodniczy Sarreither. Główna odpowiedzialność za zgodny z przepisami przebieg wyborów leży więc przede wszystkim po stronie krajów związkowych bądź – jeszcze niżej – gmin. Tam bowiem są opróżniane urny, same głosy zaś zapisywane w systemie i zliczane za pomocą wspomnianego programu „PC-Wahl”.
Jeden ze studentów z Darmstadt przyjrzał się temuż procederowi bliżej, z zamiarem odtworzenia wyborów na przykładzie Hesji. Łatwość, z którą to wykonał, zaskoczyła nawet laików. Na podstawie materiałów podsuniętych przez „wujka Google’a” dość szybko znalazł najistotniejsze elementy oprogramowania, które nigdy nie powinny być dostępne dla zwykłych użytkowników. Nabyć mogą je wszak wyłącznie instytucje związane z administracjami samorządowymi. Na tym jednak jeszcze nie koniec. Na stronie internetowej producenta „PC-Wahl” umieszczony jest link intranetu, czyli usług dostępnych tylko dla upoważnionych do użytku organów. Załączniki te zabezpieczone są hasłem, lecz młodzi informatycy szybko doń dotarli, bo doradzająca heskim gminom (i przy okazji dostarczająca im owe programy) firma „ekom21” opublikowała na swoich stronach instrukcję obsługi, zawierającą wszystkie potrzebne dane dostępowe. Dzięki temu studenci mogli bezproblemowo ściągnąć części programu i z chirurgiczną precyzją obnażyć jego dalsze nieprawidłowości.
„PC-Wahl” jest typowym programem kalkulacyjnym, sumującym głosy w szpaltach i tabelach. Natomiast zliczone wyniki są zapisywane w odrębnym pliku, który z kolei nie jest zabezpieczony żadnym kluczem. I w takiej niepewnej postaci dane krążą w systemie, zanim trafią do głównej Komisji Wyborczej. W tym czasie hakerzy mogą z nimi uczynić co zechcą, a sama komisja jest pozbawiona instrumentów weryfikujących ich autentyczność – tłumaczy 29-letni Martin Tschirsich.
Odkryte przez studenta nieprawidłowości nie wyczerpują jeszcze problemu. Przed każdymi wyborami gminy, korzystające z „PC-Wahl”, są zobowiązane do zaktualizowania swoich programów. Najnowsze wersje znajdują się w witrynie wytwórcy „PC-Wahl” i są (teoretycznie) zabezpieczone hasłem, które jednak znowu można znaleźć w sieci. Kłopot polega na tym, że wówczas nie byłaby to już manipulacja w jednym czy dwóch okręgach wyborczych, lecz obejmująca potencjalnie cały obszar republiki.
– Posiadając to łatwe do znalezienia hasło przytomny informatyk może włamać się na serwer producenta „PC-Wahl” i zamieścić tam zhakowaną wersję programu. Sfałszowane wyniki zalałyby wtedy cały system – wyjaśnia Tschirsich.
Medialny lincz
Co ciekawe, Ingo Höft, członek partii Piratenpartei, już w 2009 r. ostrzegał, że „PC-Wahl” zawiera liczne błędy, apelując o większą transparentność dla zwykłych użytkowników.
– Hasła dostępowe do aktualizacji powinny być pilnie strzeżone, ale sam kod źródłowy powinien być otwarty, tak aby wyborcy wiedzieli, w jaki sposób system przetwarza ich dane – żądał wtedy niemiecki polityk.
Höft wymusił co prawda w sądowym postępowaniu na jednej z nadreńskich gmin weryfikację przebiegu wyborów przy użyciu „PC-Wahl”. Władze wydały jednak potem deklarację, że oprogramowanie działa sprawnie i skutecznie. Przez następne lata nikt już o nic nie pytał, a przy każdych kolejnych wyborach większość niemieckich obywateli znów żyła w poczuciu bezpieczeństwa. Do sierpnia 2017 r., kiedy sprawą zajęli się studenci z Darmstadt.
Bodaj nigdy wcześniej w Niemczech nie było tak żywego zainteresowania technicznym przebiegiem liczenia głosów, jak przed ostatnimi wyborami parlamentarnymi. W sieci zaroiło się od uściślających pytań, a na łamy gazet wciskały się krzyczące nagłówki o kolejnych teoriach spiskowych.
– Muszę ze wstydem przyznać, że nie mieliśmy pojęcia o nieprawidłowościach w systemie. Ale przecież w przypadku ewentualnej manipulacji gminy posiadają jeszcze wszystkie karty do głosowania. Jeśli system by zawiódł, to zawsze można powtórnie zliczyć oddane głosy – bronił się Gerhard Bennemann, szef komisji wyborczej w gminie Büdingen.
Podobny ton zabrzmiał w ustach Volkera Berningera, twórcy programu „PC-Wahl”. – Znaleźliśmy się w kłopotliwej sytuacji, ale dzięki informacjom pana Tschirsicha mogliśmy usunąć ostatnie błędy. Teraz tylko genialny umysł będzie mógł rozszyfrować nasz program, choć nawet wtedy mamy jeszcze w komisjach wszystkie „krzyżyki” na papierze – argumentował Berninger.
Dmuchać na zimne
Rewelacjami płynącymi z Technicznego Uniwersytetu w Darmstadt zajęli się także hakerzy z hamburskiego Chaos Computer Club (CCC), potwierdzając z grubsza doniesienia studentów.
Program „PC-Wahl” ignoruje wszelkie zasady bezpieczeństwa – oceniał przed wyborami Linus Neumann.
Najnowsza wersja wykorzystuje inteligentne algorytmy i weryfikacje, co czyni ją absolutnie bezpieczną – bronił się zaś Berninger.
A jednak już pierwsza z planowanych aktualizacji, mających wyplenić ostatnie błędy w oprogramowaniu, nie spełniła pokładanych w niej nadziei.
– Znowu znalazłem poważne luki, pozwalające okrężną drogą rozszyfrować program i zmanipulować wyniki. To trochę tak jak w bloku mieszkalnym, gdzie wszystkie mieszkania są wprawdzie zamknięte na cztery spusty, ale poczucie bezpieczeństwa jest złudne, bo do każdego zamku i każdego mieszkania pasuje ten sam klucz – tłumaczy Neumann.
A ponieważ sam twórca programu nie jest w stanie ocalić swojego „dziecka” przed nadużyciami, to w sukurs przyszli mu eksperci z CCC – trzy dni przed wyborami. Tymczasem Federalny Urząd Bezpieczeństwa i Technik Informacyjnych (BSI) wolał przed wyborami dmuchać na zimne, apelując o lepszą komunikację między gminami.
– Ostatnie wydarzenia w USA i we Francji, gdzie hakerzy uzyskali dostęp do tajnych dokumentów Clinton i Macrona pokazują, że nie tylko niemiecki system jest dziurawy. Cyfrowy świat ma wiele wrażliwych punktów, czasem warto jeszcze poniekąd działać tradycyjnie i analogowo – zaznaczał w mediach Arne Schönbohm, szef BSI.
Wojciech Osiński, Berlin
