- Pojawiają się na ten temat mocno clickbaitowe artykuły o tym, że to koniec wyborów, wybory do anulowania itd. To jest luka, ale nie warto popadać w panikę - mówi Mateusz Chrobok, ekspert cyberbezpieczeństwa, pytany o możliwość podszywania się pod inne osoby, dzięki fałszywej aplikacji mObywatel. W rozmowie z Dz mówiliśmy także o dezinformacji, odporność Polski na cyberataki i wadach e-wyborów.
Po sieci krążą informacje, że w czasie niedzielnych wyborów mogą pojawić się próby użycia fałszywych mDowodów. Na czym polega problem?
Obecnie można próbować podszywać się pod innych, używając fałszywej wersji aplikacji mObywatel, którą można kupić za kilkanaście łotych i znaleźć w różnych miejscach — nie tylko w darknecie, ale też np. na Telegramie. Cłonkowie komisji wyborczej mają sprawdzać, czy aplikacja „rusza się” i weryfikować w ten sposób dane: imię, nazwisko, PESEL. Problem polega na tym, że jeśli ktoś ma twoje dane, np. z dużego wycieku, może stworzyć fałszywą aplikację z twoimi danymi oraz zdjęciem i oddać głos za ciebie.
Dz
Pojawiają się na ten temat mocno clickbaitowe artykuły o tym, że to koniec wyborów, wybory do anulowania itd. To jest luka. Uważam, że PKW zrobiła źle, nie zmieniając podejścia - weryfikacja polega na zeskanowaniu statycznego kodu QR przez użytkownika na swoim telefonie i można pokazać na nim później cokolwiek, np. fałszywą tożsamość w podrobionym mObywatelu.
Dlaczego nie warto popadać w panikę? Wyobraźmy sobie co trzeba byłoby zrobić, żeby wykorzystanie tej luki mogło zadziałać w skali i rzeczywiście wpłynąć na wynik wyborów. To musiałyby być setki tysięcy, jeśli nie miliony oddanych głosów. Trzeba by zaangażować setki, jeśli nie tysiące osób, które musiałyby pozyskać te dane i jeździć od komisji do komisji. W przypadku tak wielkiej akcji prawdopodobieństwo, że to się coś nie uda, jest ogromne.
Uważam, że najlepsze co możemy zrobić, to ze spokojem pójść na wybory. Choćby po to, żeby sprawdzić, czy ktoś nie zagłosował w naszym imieniu i jeżeli tak będzie, po prostu to zgłosić, żebyśmy jako społeczeństwo wiedzieli, że dosło do takich incydentów.
Jak usunąć tę lukę do kolejnych wyborów?
W mObywatelu jest bardzo fajna technologia, służąca do weryfikacji drugiej osoby na podstawie kodu QR. Dlaczego jej nie wykorzystujemy? Nie wiem. Być może chodzi o to, że trzeba by ogłosić przetargi na telefony dla komisji. Jestem przekonany, że to nie jest problem technologiczny, tylko problem procesowy, który można rozwiązać. Ta istniejąca metoda, która była już weryfikowana, moim zdaniem świetnie by zadziałała.
Co zagraża naszym wyborom w warstwie cyber?
Przede wszystkim dezinformacja. Na ludzi najłatwiej jest wpływać przez emocje. W dużej mierze odpowiedzialne za to są media społecznościowe. Niedawno na platformie Meta wydano pół miliona łotych na reklamy dotyczące trzech kandydatów w bardzo krótkim czasie, by wpłynąć na tych, którzy te reklamy zobaczą. Beneficjentami są firmy, które pokazują te reklamy — dostają za to pieniądze. Pewnie dopiero po wyborach zakończą się śledztwa, które wyjaśnią, co naprawdę się wydarzyło.
Myślę, że takich doniesień z ostatniej chwili, często bez jasnego źródła, będzie dużo i będzie to kolejna fala dezinformacji próbującej wpłynąć na nasze głosy. Jedna z najsłynniejszych akcji, którą polecam sprawdzić, jest prowadzona przez GRU, czyli rosyjskie służby. Przez cały czas działa ona w Niemczech, w Polsce i w wielu innych miejscach. Nazywa się „Doppelganger”, czyli „zmiennokształtny”. Swego czasu robiłem film na ten temat, żeby wyjaśnić, jak to działa.
Wyobraź sobie, że klikniesz w jakąś clickbaitową reklamę na Facebooku — na przykład o aktorze, który zmarł. Po kliknięciu oni sprawdzają, kim naprawdę jesteś, w jakim jesteś wieku, czy jesteś z Polski, i przekierowują cię na artykuł, który ma wzbudzić emocje — na przykład obrzydzić ci jakiegoś kandydata lub kandydatkę. To mechanizm perswazji, który działa, bo oni mają dużo pieniędzy i mogą na bieżąco dobierać przekaz, by manipulować odbiorcami. Próbują tak działać w wielu krajach Europy.
Możemy temu przeciwdziałać na poziomie państwa? Polska ma w ogóle jakąś strategię walki z dezinformacją w sieci?
Z tego co wiem, w NASK działa jednostka zajmująca się przeciwdziałaniem dezinformacji. Jeśli coś nas niepokoi, można zgłosić to też jako incydent do CERT Polska, przez stronę incydent.cert.pl lub wysyłając SMS na numer 8080. Mam nadzieję, że te służby ze sobą współpracują i że kontaktują się również z innymi instytucjami
A czy nasze systemy są gotowe na cyberataki, np. DDoS?
Z tego co wiemy, atak DDoS na systemy PKW wydarzył się historycznie przez błędy w konfiguracji, ale jestem przekonany, że wyciągnięto z tego lekcję i będziemy lepiej przygotowani. Na chwilę obecną, słuchając tego, co mówią koledzy i koleżanki z branży bezpieczeństwa, naprawdę dobrze sobie radzimy. Bronimy wszystkie elementy infrastruktury krytycznej.
To nie znaczy, że ataków nie ma — są ciągłe próby mające na celu zakłócenie funkcjonowania — ale mam nadzieję, że i tym razem będzie w porządku, a nawet jeśli taki DDoS się zdarzy, mamy zapasowe metody działania — procedury fizyczne. Oczywiście są one wolniejsze, ale jesteśmy w stanie sobie poradzić. Odporność polega właśnie na tym, że nawet gdy jedna rzecz zawiedzie, mamy procedury awaryjne.
Sympatyzujący z Rosją hacktywiści chwalą się, że udało im się „położyć” stronę lotniska na 5 minut, zrobili zrzut ekranu i robią z tego wielką propagandę, że “Poljaki” teraz nie mogą latać, bo oni zablokowali infrastrukturę. Tylko że to było przez 5 minut, zanim zadziałały odpowiednie mechanizmy i potem im się już nie udało. Potrzebują tej propagandy przede wszystkim do użytku wewnętrznego.
Niedawno nagrałeś materiał, w którym wyjaśniasz, problemy związane z wyborami przez Internet. Na pierwszy rzut oka to może nie wydawać się łym pomysłem. Szybkość, wygoda, niższe koszty. Gdzie tkwi haczyk?
Haczyk tkwi w tym, że takie systemy są wygodne, szybkie i teoretycznie można je łatwo stworzyć, ale trudno je audytować i zrozumieć. A przez to wykluczają część społeczeństwa, która nie do końca wie, jak to działa technicznie. Transparentność jest jednym z najważniejszych elementów wyborów — chodzi o to, by nie wykluczać osób, które na przykład nie potrafią skorzystać z aplikacji mObywatel.
Jest kilka problemów, głównie technologicznych, bo na chwilę obecną taki system musiałby być bardzo skomplikowany. Musielibyśmy ufać na słowo osobom, które mówią, że system jest bezpieczny, a nie o to chodzi, by oddać całą władzę w ręce kilku osób, które to rozumieją. Jestem fanem cyfryzacji i ułatwień, ale biorąc pod uwagę doświadczenia z zagranicy — widać, że wpływ na wybory może istnieć. Głosując przez internet możesz pokazać na kogo oddałeś głos, co może ułatwiać ich kupowanie.
Z mojego punktu widzenia to fajny pomysł, ale nie na teraz. Nie mamy jeszcze rozwiązań, które nie dyskryminowałyby osób, które nie zagłosują cyfrowo. Pojawia się mnóstwo problemów. Na przykład co, jeśli ktoś zagłosuje za ciebie cyfrowo, a ty potem zagłosujesz fizycznie? Który głos się liczy — wcześniejszy czy późniejszy? Jest wiele takich kwestii do rozwiązania, więc nie robiłbym tego na hurra.
Główny argument zwolenników e-głosowań jest Estonia, gdzie w poprzednich wyborach, w 2023 roku, ponad połowa społeczeństwa oddała głosy zdalnie, więc ktoś może zapytać, dlaczego udało się tam, a w Polsce ma nie wyjść?
To nie jest dobry przykład, chociaż trzeba im oddać, że są dość transparentni i szybcy we wdrażaniu poprawek do systemu. Pojawiają się jednak kontrargumenty, na przykład dotyczące certyfikatów czy cyfrowych poświadczeń tożsamości, które wykorzystują do potwierdzenia, że ty to rzeczywiście ty. Okazało się, że były tam luki i trzeba było je pilnie wymienić dla 700 tysięcy osób.
Innym problemem, a zarazem cechą ich systemu, jest to, że w trakcie głosowania można zmieniać zdanie i głosować kilka razy. To jest zaprojektowane specjalnie, by dać możliwość zmiany decyzji. Powoduje to jednak ryzyko, szczególnie dla osób, które nie radzą sobie dobrze w świecie cyfrowym — przede wszystkim osób starszych i podatnych na manipulacje. Jeśli ktoś ukradnie ich tożsamość, może też oddać głos w ich imieniu, tuż przed zakończeniem wyborów.
Mam doświadczenie związane z przeciwdziałaniem fraudom, kradzieży tożsamości, deepfake’om i innym metodom umożliwiającym działanie w czyimś imieniu. Te problemy kwitną i jest ich coraz więcej. Uważam, że może pojawić się bardzo dużo takich nadużyć gdzie stawką będą nie tylko pieniądze a wynik wyborów.
Czyli główne problemy to zaufanie i technologia. Czy na horyzoncie jest już jakieś rozwiązanie dla drugiego z nich, może blockchain?
Blockchainowe lobby twierdzi, że blockchain rozwiąże wszystkie problemy. Pytanie tylko jak miałoby to działać. Jeśli blockchain będzie publiczny i każdy będzie mógł sprawdzić rejestr, pojawia się problem, jak zagwarantować tajność wyborów. Oczywiście istnieją metody, takie jak dowody zero knowledge, jednak gdy zacznę opowiadać o takich technologiach, stracimy tu połowę czytelników i większość ludzi będzie musiała po prostu powiedzieć “ok, wierzę na słowo”, bo usłyszy jakieś dziwne, niezrozumiałe dla siebie pojęcia.
A potem i tak pójdzie fama, że to wszystko było ustawione i trudno będzie to obronić. Clickbaitowe teorie o fałszerstwach będą się szybko rozprzestrzeniać. Tę technologię zrozumie garstka osób w Polsce, a obawiam się, że głos ekspertów nie będzie głośniejszy niż krzykaczy niezadowolonych z wyników. Moim zdaniem może to prowadzić do większej destabilizacji, manipulacji i w efekcie osłabienia społeczeństwa obywatelskiego.
Mateusz Chrobok – ekspert cyberbezpieczeństwa, pasjonat nowych technologii, rozwija startupy i edukuje na swoim kanale YouTube. Zawodowo walczy z wyłudzeniami online i zajmuje się cyberbezpieczeństwem. Założyciel platformy edukacyjnej ܳԾ..
