Elektroniczny system liczenia głosów w Niemczech nie jest odporny na cyberataki
Korespondencja z Berlina
Mimo najgorszego w historii wyniku partii ludowych CDU i SPD oraz sukcesu AfD mało kto za Odrą podejrzewa, że na rezultat ostatnich wyborów parlamentarnych mogłyby wpłynąć ataki „zagranicznych hakerów”. Jednak ubiegłoroczne wybory prezydenckie w USA i zarzuty, że inne kraje poprzez cyberataki próbowały sterować przebiegiem amerykańskiej kampanii, sprowokowały pytania, czy podobne ingerencje są możliwe w Niemczech. Zresztą samej Angeli Merkel tuż po zwycięstwie Trumpa wyrwała się uwaga, że scenariusz cyberataków nie jest taką fantastyką. – Być może będzie to odgrywało jakąś rolę w niemieckiej kampanii – stwierdziła kanclerka w listopadzie 2016 r. podczas spotkania z norweską premier Erną Solberg.
Hakerskie włamania
Czy te obawy były uzasadnione? Niektórzy twierdzą, że tak, wskazując wydarzenia z nieodległej przeszłości. W 2014 r. zostały zaatakowane konta Marieluise Beck, posłanki Zielonych, znanej z krytycznych wypowiedzi na temat autorytarnych rządów. Wiosną 2015 r. zaś niemiecki kontrwywiad podejrzewał hakerów spoza Niemiec o ataki na Bundestag i centralę partii CDU. Specom od cyberprzestępczości udało się wówczas przechwycić hasła administratora całego systemu komputerowego parlamentu. Rządowi eksperci wskazali jako sprawców osoby działające na polecenie obcego państwa.
Dziś ci sami eksperci wprawdzie podkreślają, że zagraniczni hakerzy nie mieli większego wpływu na niemiecką kampanię wyborczą, ale zgadzają się, że należy zadać sobie pytanie np. o bezpieczeństwo i niezawodność systemu liczącego głosy. Jeszcze w styczniu 2017 r. Dieter Sarreither, szef Federalnego Urzędu Statystycznego (StatBA) odpowiedzialnego za organizację wyborów do Bundestagu, zapewniał, że hakerzy nie mają w Niemczech najmniejszych szans. – Zaostrzyliśmy środki bezpieczeństwa, które wykluczają wszelkie manipulacje w systemie – powtarzał. Tymczasem w sierpniu, zaledwie miesiąc przed wyborami do Bundestagu, mała grupa studentów informatyki z Darmstadtu rozszyfrowała oprogramowanie PC-Wahl, którego niemieckie komisje wyborcze używają przy liczeniu głosów od niemal 30 lat.
Wygoogluj sobie program
Ustrój polityczny w RFN ma charakter federalny, toteż wybory przebiegają w sposób zdecentralizowany. Po zamknięciu lokali pierwsze wyniki wpływają do okręgu wyborczego (Wahlbezirk), a następnie do obwodu (Wahlkreis). Stamtąd trafiają do przewodniczącego komisji wyborczej danego landu, a potem do komisji na szczeblu federalnym, której przewodniczy Dieter Sarreither. Główna odpowiedzialność za zgodny z przepisami przebieg wyborów spoczywa więc przede wszystkim na krajach związkowych albo – jeszcze niżej – na gminach. Tam bowiem są opróżniane urny, a same głosy zapisywane w systemie i zliczane za pomocą wspomnianego programu PC-Wahl. Jeden ze studentów z Darmstadtu przyjrzał się bliżej temu procesowi, z zamiarem odtworzenia wyborów na przykładzie Hesji. Na podstawie materiałów podsuniętych przez wyszukiwarkę Google dość szybko znalazł najistotniejsze elementy oprogramowania, które nigdy nie powinny być dostępne zwykłym użytkownikom. Nabyć je mogą wszak wyłącznie instytucje związane z administracją samorządową. Na tym jednak nie koniec. Na stronie internetowej producenta PC-Wahl umieszczony jest link z intranetem, czyli usługami tylko dla upoważnionych organów. Załączniki te są zabezpieczone hasłem, lecz młodzi informatycy szybko do nich dotarli, bo doradzająca heskim gminom (i dostarczająca im programy) firma Ekom21 opublikowała na swoich stronach instrukcję obsługi, zawierającą wszystkie potrzebne dane dostępowe. Dzięki temu studenci mogli bezproblemowo ściągnąć części programu i z chirurgiczną precyzją obnażyć jego dalsze nieprawidłowości. – PC-Wahl jest typowym programem kalkulacyjnym, sumującym głosy w tabelach. Natomiast zliczone wyniki są zapisywane w odrębnym pliku, niezabezpieczonym żadnym kluczem. I w takiej niepewnej postaci dane krążą w systemie, zanim trafią do głównej komisji wyborczej. W tym czasie hakerzy mogą z nimi zrobić, co zechcą, a komisja jest pozbawiona instrumentów weryfikujących autentyczność rezultatów – tłumaczy 29-letni Martin Tschirsich.
Odkryte przez studenta nieprawidłowości to nie wszystko. Przed każdymi wyborami gminy korzystające z PC-Wahl muszą zaktualizować swoje oprogramowanie. Najnowsze wersje znajdują się na witrynie wytwórcy programu i teoretycznie są zabezpieczone hasłem, które… można znaleźć w sieci. Wówczas byłaby to manipulacja już w nie jednym czy dwóch okręgach wyborczych, lecz na całym obszarze Niemiec. – Mając to łatwe do znalezienia hasło, przytomny informatyk może się włamać na serwer producenta PC-Wahl i umieścić tam zhakowaną wersję programu. Sfałszowane wyniki zalałyby wtedy cały system – wyjaśnia Tschirsich.
Większa transparentność
Przed tym, że PC-Wahl zawiera liczne błędy, już w 2009 r. ostrzegał Ingo Höft, członek lewicowej Piratenpartei, lecz długo nie chciano go słuchać. Co prawda, w postępowaniu sądowym wymusił na jednej z nadreńskich gmin weryfikację przebiegu wyborów, w których używano PC-Wahl, jednak władze wydały potem oświadczenie, że oprogramowanie działa sprawnie i skutecznie, a Höft jest osamotnionym narwańcem politycznym.
W następnych latach nikt już o nic nie pytał, a większość niemieckich obywateli wierzyła w niezawodność systemu wyborczego. Tak było do sierpnia 2017 r., kiedy to sprawą zajęli się studenci z Darmstadtu. Bodaj nigdy wcześniej nie było w Niemczech tak żywego zainteresowania technicznym przebiegiem liczenia głosów jak przed ostatnimi wyborami parlamentarnymi. W sieci zaroiło się od uściślających pytań, a gazety pełne były teorii spiskowych. – Ze wstydem przyznaję, że nie mieliśmy pojęcia o nieprawidłowościach w systemie. Ale przecież w przypadku ewentualnej manipulacji gminy mają jeszcze wszystkie karty do głosowania. Jeśli system by zawiódł, zawsze można powtórnie zliczyć oddane głosy – broni się Gerhard Bennemann, szef komisji wyborczej w gminie Büdingen. Podobnie wypowiadał się Volker Berninger, twórca programu PC-Wahl. – Znaleźliśmy się w kłopotliwej sytuacji, ale dzięki informacjom pana Tschirsicha mogliśmy usunąć ostatnie błędy. Teraz tylko genialny umysł będzie mógł rozszyfrować nasz program, choć nawet wtedy mamy jeszcze w komisjach wszystkie krzyżyki na papierze – argumentuje. Sęk w tym, że aby zachwiać zaufaniem niemieckich wyborców, nie trzeba wcale sfałszować wyników, wystarczy zasiać wątpliwości. Skoro bowiem sam twórca PC-Wahl nie jest w stanie wykrztusić z siebie nic poza: „tylko genialny umysł może rozszyfrować”, dopuszczając w jakimś stopniu możliwość manipulacji, zaufanie się kruszy. Wyobraźmy sobie następujący scenariusz: po ostatnich wyborach media obiega informacja, że AfD nie przekroczyła progu wyborczego i znalazła się poza parlamentem. Po ponownym (czasochłonnym, gdyż odręcznym) liczeniu okazuje się jednak, że ultraprawicowa partia otrzymała tak jak dwa tygodnie temu ok. 12% głosów, stając się trzecią siłą w Bundestagu. Komisje wyborcze czekałby wówczas medialny lincz.
Inteligentne algorytmy
Rewelacjami płynącymi z Technicznego Uniwersytetu w Darmstadcie zajęli się także hakerzy z hamburskiego Chaos Computer Club (CCC), potwierdzając z grubsza doniesienia studentów. – Program PC-Wahl ignoruje wszelkie zasady bezpieczeństwa – oceniał przed wyborami Linus Neumann. – Najnowsza wersja wykorzystuje inteligentne algorytmy i weryfikacje, co czyni ją absolutnie bezpieczną – bronił się Berninger. Tymczasem już pierwsza z planowanych aktualizacji, mających zlikwidować ostatnie błędy w oprogramowaniu, nie spełniła zadania. – Nadal znalazłem rażące luki, pozwalające okrężną drogą rozszyfrować program i zmanipulować wyniki. To trochę tak jak w bloku mieszkalnym, gdzie wszystkie mieszkania są wprawdzie zamknięte na trzy kłódki, ale do każdego zamka i każdego mieszkania pasuje ten sam klucz – ripostuje Neumann.
Trzy dni przed wyborami w sukurs producentowi programu liczącego głosy przyszli eksperci z CCC. – PC-Wahl ma wiele zalet, teraz mamy nadzieję, że zdołaliśmy usunąć jego wady – mówił Neumann już bardziej pojednawczo, wysyłając pod adresem twórców systemu podobne napomnienia jak swego czasu Höft. Federalny Urząd Bezpieczeństwa i Technik Informacyjnych (BSI) wolał mimo to dmuchać na zimne, apelując przed wyborami o lepszą komunikację między gminami. – Ostatnie wydarzenia w USA i we Francji, gdzie hakerzy uzyskali dostęp do tajnych dokumentów Hillary Clinton i Emmanuela Macrona, pokazują, że nie tylko niemiecki system jest dziurawy. Świat cyfryzacji ma wiele wrażliwych punktów, czasem warto jeszcze działać tradycyjnie i analogowo – zaznaczał Arne Schönbohm, szef BSI, w wywiadzie dla RP-online.
Fake news
Wcale jednak nie trzeba być hakerem, aby zmanipulować wybory. Każdy z nas jest w stanie infekować sieć sensacjami pozostającymi w całkowitej rozbieżności z rzeczywistością. Jak Niemcy walczą z fake newsami?
– Uważnie obserwowaliśmy, co się dzieje podczas kampanii, ale ze świecą szukać w sieci tak kłamliwych informacji jak w innych rzekomo demokratycznych krajach – twierdzi Simon Hegelich, profesor politologii z Monachium. Jednocześnie przyznaje, że w następnych latach cyfryzacja zmieni oblicze demokracji. – Jeśli ktoś będzie potrzebował dowodów, że cyfryzacja nie zawsze ma pozytywny wpływ na demokrację, przyszłość ich dostarczy. Rozzuchwalonych anonimowością trolli będzie coraz więcej. Musimy się na to przygotować.
Nie chodzi tylko o zatruwaną fake newsami kampanię, lecz np. o sam dzień głosowania. Wybory odbywają się, dajmy na to, w pogodny dzień, a na Twitterze krąży informacja, jakoby ze względu na słoneczną pogodę lokale wyborcze były otwarte do godz. 22, a nie – jak wcześniej zapowiadano – do godz. 18. Wielu wyborców zamiast postawić krzyżyk, pocałowałoby klamkę. – Jesteśmy przygotowani na podobne scenariusze. Zarówno systemy w organach federalnych, jak i konta posłów na portalach społecznościowych zostały dodatkowo zabezpieczone. Jednak oni sami też powinni zadbać o swoje bezpieczeństwo, np. używając zaszyfrowanych komórek. My chętnie w tym pomożemy – mówi Schönbohm.
Skądinąd niemieccy politycy traktują trolli bezlitośnie, wnosząc m.in. inicjatywy ustawodawcze. Od października media społecznościowe będą płacić wysokie grzywny za nieusuwanie nielegalnych treści w ciągu 24 godzin. Bundestag przyjął ustawę bez uwzględnienia uwag zgłaszanych przez krytyków. Nowe prawo ochoczo wspierał minister sprawiedliwości z ramienia SPD Heiko Maas, którego długo obrzucano w internecie obelgami, m.in. ze względu na jego otwartość wobec imigrantów.
Warto jednak zapytać, gdzie zaczyna się kłamliwa propaganda, a gdzie cenzura. Owszem, komentarze w sieci często są przesycone skrajną pogardą. Czasem wszakże zaskakuje łatwość, z jaką niemieccy rządzący określają niewygodną dla nich prawdę mianem fake newsa. Tak czy inaczej, parafrazując słowa byłego piłkarza Gary’ego Linekera „Na końcu mecz i tak wygrywają Niemcy”, należałoby powiedzieć: „Na końcu i tak wygrywa Merkel”. Niezależnie od tlącego się wciąż sporu o cyberataki pani kanclerz najwyraźniej znów przekonała wyborców o bezalternatywności swoich rządów.
Odpowiedz na treść artykułu lub innych komentarzy