Simovits

Tänk om opinionsmätningarna var rätt men valresultatet fel?

Dagen innan presidentvalet i USA utsågs Hillary Clinton som vinnare. Ett annat resultat vore osannolikt enligt mätningarna. Det samma gällde Brexit-omröstningen. Även omröstningen i Colombia avseende fred med FARC-guerillan slog slint. Även i Sverige har opinionsmätningarna visat sig vara felaktiga. I samtliga fall försöker man hitta rimliga förklaringar, som att mätningarna inte är rättvisande, att mätningarna är slappa, att soffliggare får för sig att rösta, arga vita män och så vidare. Det som ingen verkar beröra, eller som man blundar för, är frågan om opinionsmätningarna var rätt men resultatet fel. För min del är det märkligt att mätningar de senaste åren varit så missvisande.

Utan att ha en djupare kunskap om exakt hur IT-systemstöd fungerar i valsammanhang, så måste de lösa en hel del logistiska problem.

  1. Hantering av kandidater
  2. Hantering av röstlängder
  3. Räkning av röster

För små val sker räkningen manuellt, medan för större val så används rösträkningsmaskiner. Logistiken är både komplicerad och måste även hantera en geografisk spridning. Komplexiteten ger utrymme för sårbarheter. För att klara komplexiteten används det alltid någon form av IT-stöd. I vissa fall är systemen tredjepartsprodukter, medan i andra fall har systemen utvecklats själv.

En främmande makt som bestämt sig för att påverka ett val kan lägga ner energi och resurser på att påverka valresultat genom att på ett långsiktigt sätt manipulera de IT-system som används i samband med ett val. Genom att få kontroll över rösträkningsmaskiner eller servrar skulle valresultat kunna manipuleras.

Frågan är då om hur reell denna risk är? Vi har ett gammalt exempel som visar på att möjligheterna är obegränsade och att risken är stor.

Stuxnetviruset tillverkades av USA och Israel och var det första steget i Cyberkrigföring [Kom Zetter]. Attacken riktade in sig mot Siemens SCADA-utrustningar. Stuxnetviruset fungerade i flera lager och spreds från PC till PC. När viruset detekterade att PCn användes för att administrera Siemensenheter aktiverades mer kod, som kontrollerade de SCADA-enheter som PCn kopplades upp till. Stuxnet-viruset kollade om SCADA-enheterna hade specifika serienummer, och om så var fallet injicerade de kod in i SCADA-enheterna. I detta fallet så styrde SCADA-enheterna centrifuger för anrikning av uran, och den kod som injicerades påverkade varvtalet på ett väl uttänkt sätt så att anrikningen saboterades och att centrifugernas livslängd förkortades. På så sätt hejdades Irans kärnvapenprogram, genom att dels sabotera anrikningen samt att dels höja kostnaderna. Koden som injicerades var liten och obetydlig. Stuxnet kom igenom de olika typer av säkerhetskontrollerna genom att tillverkaren av viruset lyckats stjäla certifikat och signera koden som pålitlig. Även efter Stuxnet var iranierna paranoida för varje fel som uppkom. Att veta om det är en logisk bomb eller bara en bug är svår att urskilja. Efter Stuxnet riktades alla blickar mot SCADA-system som det primära målet för cyberkrigföring. Stuxnet var ingen enkel konstruktion och att ta fram Stuxnet innebar utveckling under flera års tid, och utvecklarna var tvungna att testa lösningen på en uppsatt urananrikningsanläggning för att verifiera funktionaliteten [Kim Zetter]. Stuxnet löste dock inte ensamt problemet med Irans kärnvapenprogram, utan kombinerades med lönnmord, attentat och bombanfall. Stuxnet var bara en del i något mycket större.

En hackerattack mot ett röstningssystem kan inte ensamt vinna ett val. Det krävs att angriparen också lägger ner resurser på att vara opinionsbildare, att angriparen genomför informations- och desinformationskampanjer, samtidigt som denne ger ekonomiskt stöd för att valkampanjer ska lyckas.

Däremot vill man vinna ett cyber-krig mot demokratier så är det värt att lägga ner energi på att angripa de system som används för rösträkning. Genom att låta ogynnsamma partier, kandidater eller alternativ vinna val eller omröstningar kan man sakta bryta ner ett lands förmåga att fungera. För att säkra demokratin behöver vi se cyberkrigföring i ett vidare perspektiv och verkligen se till att bevisa att våra val och omröstningar är säkra.

För att läsa mer se:

Bok som beskriver det första cyberkriget och Stuxnet är Kim Zetters – Countdown to Zeroday.

I USA används röstmaskiner. Dess säkerhet har ifrågasatts vid flertalet tillfällen. Röstmaskiner används bl.a. i de så kallade swing staterna Pennsylvania, Florida och Virginia.
En bra artikel som ifrågasätter säkerheten i röstmaskinerna hittas på:
http://www.politico.com/magazine/story/2016/08/2016-elections-russia-hack-how-to-hack-an-election-in-seven-minutes-214144

Hursti hack som genomfördes 2005 visar hur man kan påverka ett val. https://en.wikipedia.org/wiki/Hursti_Hack

I Wired Magazine finns en artikel med en annan vinkling på hur val kan påverkas genom hacking.
https://www.wired.com/2016/11/trumps-win-signals-open-season-russias-political-hackers/

Publicerat 2016-11-11 Skrivet av Simovits Consulting