Schneier: Tecnologia e sicurezza del voto elettronico
Articolo tratto da CryptoGram di novembre:
La scorsa settimana, nel 13esimo Collegio Elettorale, il margine di
vittoria è stato di soli 386 voti in un totale di 153.000. Vi sarà un
riconteggio obbligatorio dei voti, gestito da funzionari legali, ma non
sarà comprensivo dei circa 18.000 voti che sembra siano spariti nel
nulla. Le macchine per il voto elettronico non li hanno inclusi nei loro
conteggi finali, e non vi è alcun backup che si possa utilizzare per il
riconteggio. Il collegio elettorale sceglierà un vincitore da mandare a
Washington, ma non perché si è certi che la maggioranza abbia votato per
lui. Può darsi di sì, come può darsi di no. Non vi è modo di saperlo.
Le macchine per il voto elettronico rappresentano una grave minaccia per
elezioni giuste e precise, una minaccia che dovrebbe preoccupare ogni
cittadino americano, sia egli Repubblicano Democratico o indipendente.
Dato che le elezioni sono computerizzate, sono sufficienti le azioni
deliberate o accidentali di pochi per mandarle a monte. La soluzione:
schede cartacee, che possono essere verificate dai votanti stessi e
riconteggiate se necessario.
Per comprendere la sicurezza delle macchine per il voto elettronico,
occorre prima considerare la sicurezza delle elezioni in generale. Lo
scopo di ogni sistema di voto è quello di catturare le diverse volontà
espresse da ogni votante e di raccoglierle tutte in un conteggio finale.
Nella prassi, si tratta di un trasferimento che avviene mediante una
serie di passaggi. Quando ho votato, la scorsa settimana, ho trasferito
la mia volontà su una scheda cartacea, la quale è stata poi trasferita
ad una macchina per tabulazioni attraverso uno scanner; a fine giornata
i funzionari elettorali hanno passato i conteggi automatici individuali
ad una struttura centralizzata che li ha combinati in un unico risultato
che ho poi visto in televisione.
Tutti i problemi delle elezioni non sono altro che errori introdotti in
uno qualsiasi di questi passaggi, siano essi voti nulli per privazione
di diritti elettorali, schede non chiare, macchine guaste, o voti
fraudolenti. Anche durante operazioni normali, ognuno di tali passaggi
può introdurre degli errori. Per garantire una precisione del voto,
pertanto, è necessario 1) ridurre al minimo il numero di passaggi, e 2)
aumentare l’affidabilità di ogni passaggio.
Molta della nostra sicurezza elettorale è basata sulla sicurezza per
conflitto di interessi. Ogni passaggio, a eccezione della compilazione
della scheda anonima da parte del votante, viene osservato da un
rappresentante di ogni maggiore partito politico; ciò garantisce che
qualsiasi imbroglio di parte, ma anche un eventuale errore in buona
fede, non sfugga agli altri osservatori. Non è un sistema perfetto, ma
funziona benissimo da un paio di secoli a questa parte.
Il voto elettronico è come un iceberg: le vere minacce si nascondono ben
al di sotto del livello dell’acqua. Le macchine per il voto elettronico
prive di supporto cartaceo aggirano il processo di sicurezza menzionato
poco sopra, permettendo a uno sparuto gruppo di persone, o addirittura a
un singolo hacker, di influenzare un’elezione. Il problema è il
software, programmi che non vengono mostrati e che non possono essere
verificati da un team di giudici elettorali Repubblicani e Democratici,
programmi che possono modificare drasticamente i conteggi finali. E
visto che tutto quel che rimane alla fine della giornata elettorale sono
tali conteggi elettronici, non vi è modo di verificare i risultati o di
effettuare un riconteggio. I riconteggi sono importanti.
Questa non è teoria. Negli Stati Uniti vi sono stati finora centinaia di
casi documentati di macchine per il voto elettronico che hanno distorto
i voti ai danni di candidati di entrambi i partiti: macchine che hanno
perso voti, macchine che hanno scambiato i voti dei candidati, macchine
che hanno registrato un numero maggiore di voti a favore di un candidato
rispetto al numero totale degli elettori, macchine che non hanno
registrato alcun voto. Mi piacerebbe credere che in tutti questi casi si
è trattato di errori e non di frodi deliberatamente perpetrate, ma la
verità è che non è possibile distinguere le due cose. E questi sono
soltanto i problemi in cui ci si è imbattuti: quasi certamente ve ne
sono stati molti altri passati inosservati perché nessuno stava
prestando attenzione.
Ciò è al tempo stesso un fenomeno nuovo e sconcertante. Nella maggior
parte dei casi, nell’arco della storia, la frode elettorale su vasta
scala non si è potuta attuare con facilità: occorrono azioni davvero
pubbliche o un governo estremamente corrotto, o entrambe le cose. Ma il
voto elettronico è diverso: un solo hacker può influenzare un’elezione.
Può svolgere il suo lavoro di nascosto prima che le macchine vengano
inviate ai vari seggi elettorali. Può condizionare le macchine per il
voto di un’intera regione. E può cancellare completamente le proprie
tracce, scrivendo codice che si autoelimina dopo le elezioni.
E tutto questo presume macchine per il voto ben progettate. Quelle
vendute da compagnie come Diebold, Sequoia Voting Systems ed Election
Systems & Software sono molto peggio. La qualità del software è
mediocre. Le macchine sono protette da chiavette come quelle dei
minibar negli alberghi. I conteggi dei voti vengono archiviati in file
facilmente modificabili. Le macchine possono essere infettate da virus.
Certo software per il voto gira sotto Microsoft Windows, con tutti i
bug, i crash e le vulnerabilità che tale sistema operativo comporta.
L’elenco delle pratiche di sicurezza inadeguate è lunghissimo.
Le aziende produttrici delle macchine per il voto ribattono sostenendo
che tali attacchi sono impossibili da attuare poiché le macchine non
vengono mai lasciate incustodite (non è vero), che le schede di memoria
su cui vengono conservati i voti vengono controllate accuratamente (non
è così), e che tutto viene sorvegliato (falso anche questo). Sì,
mentono, ma soprattutto non stanno comprendendo il problema.
Non dovremmo, e non dobbiamo, accettare macchine per il voto che magari,
un bel giorno, potranno essere sicure se e solo se viene eseguita alla
lettera una lunga sequenza di procedure operative. Abbiamo bisogno
invece di macchine per il voto che siano sicure a prescindere da come
vengono programmate, maneggiate e utilizzate, e di cui ci si possa
fidare anche se sono distribuite da un’azienda di parte, o da una
società con possibili legami con il Venezuela.
Sembra un compito impossibile, ma in realtà la soluzione è
sorprendentemente semplice: occorre utilizzare le macchine per il voto
elettronico come generatrici di schede cartacee. Si voti con
qualsivoglia interfaccia touch-screen; la macchina non registrerà né
conserverà i conteggi di come le persone hanno votato: emetterà
semplicemente una scheda cartacea. Il votante potrà controllarla per
verificare che sia tutto a posto, poi la scheda verrà processata da una
seconda macchina, uno scanner. Essa produrrà un veloce conteggio
iniziale, mentre la scheda cartacea rimarrà a disposizione in caso sia
necessario un riconteggio. E allo stesso modo si possono conteggiare le
schede di backup e i voti di chi non ha potuto recarsi a votare e ha
inviato il voto per posta.
Si potrebbe anche eliminare del tutto le macchine per la generazione del
voto elettronico e segnare a mano le schede come si fa in Minnesota. O
indire un’elezione totalmente basata sull’invio dei voti a mezzo posta,
come avviene nell’Oregon. Ancora una volta, la chiave di tutto sono le
schede cartacee.
La carta? Certo, la carta. Una pila di carta è molto più difficile da
alterare che non dei numeri nella memoria di un computer. Gli elettori
possono vedere il proprio voto su carta, a prescindere da quel che
accade all’interno del computer. Ma soprattutto nessuno ha problemi a
comprendere e maneggiare la carta. Le bollette del telefono cellulare e
gli addebiti errati sulla carta di credito ci creano sempre qualche
difficoltà, ma qual è stata l’ultima volta che abbiamo avuto problemi
con un biglietto da 20 dollari? Sappiamo come si conta la carta. Le
banche non fanno altro che contarla. Sia il Canada che il Regno Unito
contano schede elettorali cartacee senza problemi, stesso dicasi per gli
svizzeri. Lo possono fare anche gli Stati Uniti. Oggi, fra i vari crash
informatici, worm e hacker, una soluzione low-tech è la più sicura.
Le macchine per il voto sicure sono solamente uno dei componenti di
unelezione onesta e corretta, ma ne rappresentano una parte sempre più
importante. Sono il punto in cui un aggressore scrupoloso può commettere
frode elettorale nella maniera più efficace (e sappiamo tutti che
cambiare i risultati di un’elezione può valere milioni di dollari). Ma
non dobbiamo dimenticarci di altre tattiche di dirottamento:
indirizzare le persone al seggio sbagliato o riferire una data sbagliata
per il giorno delle elezioni, eliminare votanti registrati dalle liste
elettorali, sistemare un numero troppo ridotto di macchine per il voto
nei seggi elettorali, o rendere oneroso il procedimento di registrazione
per votare. (Per quanto possa sembrare strano, i voti di chi non ha i
requisiti per votare non rappresentano un problema negli Stati Uniti,
malgrado la retorica politica sostenga il contrario; tutti gli studi
condotti a riguardo mostrano che il numero di tali voti è così basso da
essere insignificante. E l’obbligo di presentare un documento d’identità
con foto causa in realtà più problemi di quanti ne risolva.)
Il voto è una questione percettiva al pari di una problematica
tecnologica. Non basta che il risultato sia matematicamente preciso:
ogni cittadino deve anche confidare nella sua correttezza. Nel mondo, le
persone protestano o insorgono dopo un’elezione non quando il loro
candidato ha perso, ma quando ritengono che il loro candidato abbia
perso ingiustamente. Per una democrazia è essenziale che un’elezione
determini con accuratezza un vincitore e al tempo stesso convinca il
perdente in maniera soddisfacente. Negli Stati Uniti stiamo perdendo il
fattore percettivo.
L’attuale gruppo di macchine per il voto elettronico fallisce in
entrambi i fronti. I risultati del 13esimo Collegio Elettorale della
Florida non sono né precisi né convincenti. Come democrazia, meritiamo
qualcosa di meglio. Dobbiamo rifiutarci di votare usando macchine per il
voto elettronico che non producono una scheda cartacea verificabile dal
votante, e dobbiamo continuare a fare pressioni sulle nostre entità
legislative affinché si implementi una tecnologia di voto che funzioni
realmente.
Questo articolo è originariamente apparso su Forbes.com.
< http://www.forbes.com/home/security/2006/11/10/voting-fraud-security-tech-security-cz_bs_1113security.html>
