Security Analysis of the Estonian Internet

Voting System
SCI - Paper Review

ISI
 1. Titlul și autorul articolului
Titlul articolului ales este ‘Security Analysis of the Estonian Internet Voting System’, al cărui autori sunt
Drew Springall, Travis Finkenauer, Zakir Durumeric, Jason Kitcat, Harri Hursti, Margaret MacAlpine și J.
Alex Halderman, ei fiind de la University of Michigan, Ann Arbor, MI, U.S.A.

2. Sumar al articolului
Estonia este prima țară care a introdus votul online în 2005. Deși locuitorii Estoniei apreciază acest
sistem și locuitorii altor țări și-ar dori să poată vota online, există persoane care nu sunt de acord cu
această metodă de votare, principalele motive fiind cele legate de securitate.
Autorii articolului și-au propus să determine gradul de securitate al sistemul de vot online al Estoniei
și să găsească eventualele probleme. Folosind diverse metode, ei reușesc să găsească vulnerabilități
de care persoanele rău intenționate se pot folosi pentru a schimba rezultatele voturilor în favoarea
unor anumiți candidați.
Conducerea țării refuză să creadă că rezultatele sunt adevărate. Ei sunt convinși că votul online este o
metodă sigură. În plus, prim-ministrul Taavi Rõ ivas și președintele Toomas Hendrik susțin că rezultatele
experimentului au fost influențate de rivalii politici.

3. Elemente pozitive ale articolului

Apreciez modul de desfășurare al experimentului și modul de prezentare al acestuia în articol. Pașii
urmați sunt clar definiți: analiza teoretică a sistemelor implicate în procesul de vot digital, observațiile
făcute în timpul vizitei în Estonia în perioada alegerilor din octombrie 2013, testarea sistemului în
laborator. Vizita în Estonia este un aspect pozitiv deoarece au putut vedea în timp real cum decurg
alegerile, cum funcționează sistemul și au putut vorbi atât cu autoritățile responsabile de procesul de
vot digital, cât și cu inginerii care au dezvoltat sistemul. Autorii observă fiecare pas, identifică
problemele și pun întrebări celor responsabili când consideră că ceva nu este în regulă. Vor să
determine dacă acea problemă a fost observată până în acel moment și dacă există o soluție pentru
rezolvarea ei.
Articolul este ușor de înțeles și adresat unui public larg. Diagramele sunt clare și ajută la o mai bună
înțelegere a modului de funcționare al sistemului.

4. Comentarii principale
Abordarea este una sistematică. Primele părți ale articolului analizează din punct de vedere tehnic, pe
rând, fiecare sistem care participă în procesul de vot digital.
Primul sistem analizat de autori este cel care implementează cărțile de identitate inteligente din
Estonia, existența acestuia fiind o condiție necesară pentru posibilitatea implementării votului online.
Sistemul Mobile-ID este amintit, el având același scop, însă folosește cartele SIM speciale. 9% dintre
estonieni au folosit acest sistem pentru a vota în 2013. Deși procentajul este destul de mare și sistemul
poate aduce probleme suplimentare de securitate votului online, autorii nu analizează Mobile-ID
deoarece nu au acces la infrastructura externă.
Atenția este apoi orientată către infrastructura serverului de I-Voting. Autorii au avut acces la codul
serverului care este făcut public cu 2-3 săptămâni înaintea alegerilor. Ei identifică patru mașini care
alcătuiesc serverul, fiecare având un rol bine determinat.
Este descris pas cu pas procesul de vot, explicând atât acțiunile utilizatorului, cât și operațiile executate
de aplicația client și de serverul de vot. Explicațiile sunt însoțite de diagrame clare care ajută la o mai
bună înțelegere a procesului. Acestea sunt singurele diagrame din articol.
Se face trecerea de la partea teoretică la cea practică a experimentului. Autorii descriu experiența lor
din timpul alegerilor. Deși întâmpină diverse probleme și regulile pentru ei se schimbă zilnic, aceștia se
adaptează și își finalizează cercetarea. Consider că nu e util să se plângă de problemele pe care le-au
întâmpinat în timpul experimentului deoarece nu reprezintă scopul articolului și nu este un lucru care
ar trebui menționat într-un articol științific.
Ei identifică probleme în proceduri, amintind o parte dintre ele: update-urile trebuie realizate în
prezența a minim două persoane însă ei observă că sunt realizate de un singur angajat, la întâmpinarea
unor erori se preferă ignorarea lor sau repornirea serverului, deși ar fi fost de preferat ca problemele
să fie rezolvate, etc.
Sunt analizate video oficiale pentru a găsi probleme pe care nu le-au putut vedea în timpul alegerilor.
Imaginile din pagina 6 ar fi trebuit puse la finalul articolului, în secțiunea Anexe. Ocupă mult spațiu și
distrag atenția cititorului.
Pasul următor îl reprezintă analiza codului pentru identificarea problemelor. Se găsesc vulnerabilități
care permit un atac de tipul denial-of-service prin care o persoană rău intenționată poate dezactiva
votul timp de 75 minute, dar și vulnerabilități shell-injection care permit executarea operațiilor în
terminalul serverului.
Următoarea parte a articolului descrie experimentele autorilor din laborator. După alegeri, aceștia au
instalat o copie a sistemului de vot digital, putând astfel realiza orice operații asupra sistemului fără
niciun risc și fără a pune în pericol integritatea rezultatelor votului.
Sistemul folosește aceeași parametri ca cel din timpul alegerilor, setările fiind făcute conform
documentelor oficiale publicate. Problema întâmpinată a fost faptul că unele componente ale
sistemului lipseau, autorii fiind nevoiți să le înlocuiască.
Următoarele paragrafe descriu atacurile realizate în laborator. Ele sunt grupate în funcție de ținta
atacului: atacuri server și atacuri client. Fiecare categorie are o parte introductivă în care sunt
prezentate modurile în care se poate realiza atacul, scopul atacului, efectele atacului precum și
prevederile legale în cazul atacului. Urmează descrierea experimentului realizat de autori în cadrul
fiecărui atac, descriind procesul, instrumentele folosite, operațiile executate. Astfel, atacurile de tip
client-side au fost Ghost Click Attack și Bad Verify Attack, iar atacurile server-side au fost Injecting
malware, Defeating integrity checking, Vote-stealing payload. Aici lipsesc rezultatele obținute,
concluziile fiecărui tip de atac, problemele pe care le poate cauza succesul unui atac în perioada
alegerilor. Din acest punct de vedere, articolul lui Epp Maaten [2] este mai bun. Deși analizează la nivel
teoretic problemele pentru ca articolul e scris înainte de implementarea sistemului, el expune
vulnerabilitățile clar.
Înainte de a prezenta atacurile, era utilă o expunere a riscurilor așa cum au făcut Manon de Vries,
Wouter Bokslag [3].
Penultimul capitol prezintă avantajele acestui sistem și punctele tari, acestea fiind: infrastructura
națională a cărților de identitate inteligente, transparența prin publicarea codului sursă al sistemului
de vot digital. Lipsește însă o expunere a avantajelor sistemului comparativ cu votul tradițional. O astfel
de comparație este realizată de Manon de Vries, Wouter Bokslag [3].
Concluziile expun opinia autorilor care sugerează Estoniei să renunțe la sistemul de vot online
deoarece are probleme de securitate pe care ei le-au identificat cu ușurință.

5. Dezavantaje/lipsuri ale articolului

Autorii prezintă tipurile de atacuri realizate în laborator și descriu modul în care au fost realizate, dar
nu amintesc nimic de rezultatele obținute. Mi se pare incomplet articolul din acest punct de vedere. În
opinia mea, subcapitolele care descriu atacuri ar fi trebuit să aibă următoarea structură: descrierea
atacului, scopul atacului, descrierea modului în care autorii au realizat atacul și al instrumentelor
folosite, rezultatele obținute.
În plus, câteva diagrame sau grafice ar fi fost de ajutor pentru înțelegerea rezultatelor.
Se sugerează renunțarea la sistemul de vot digital, însă problemele sunt vag amintite. Ar fi fost
necesară o expunere mai amplă a problemelor, insistând pe efectele negative pe care le pot avea
asupra voturilor. De asemenea, consider că ar fi fost mai util să ofere sfaturi referitoare la rezolvarea
problemelor și soluții care ar fi putut fi implementate. Sunt informații utile care lipsesc cu desăvârșire.
În mod clar aveau un impact mai mare decât sugestia făcută de a renunța la sistem.
Capitolul 6 Discussion aduce o notă pozitivă articolului, creând impresia că, deși există probleme, sunt
câteva avantaje care balansează existența problemelor. Acest capitol ar trebui reformulat pentru a nu
mai transmite sentimente eronate. În plus, acest capitol este mai lung decât capitolul 7 Conclusion
unde sunt prezentate problemele.

6. Concluzii generale
Articolul îl consider ca fiind de calitate medie. Apreciez modul de abordare al cercetării, faptul că au
acționat pe mai multe planuri: teoretic și practic, atât în mediul real, cât și în mediul de laborator.
Problema este faptul că se pune accent pe partea teoretică, vizita autorilor în Elveția, scăpând din
vedere rezultatele obținute. Se creează impresia că, deși există probleme, ele nu sunt atât de grave.
Nu se oferă soluții și nici rezultate clare.

Bibliografie
[1] Jason Kitcat, Harri Hursti, Margaret MacAlpine, J. Alex Halderman , Security Analysis of the
Estonian Internet Voting System, 2014.
[2] Epp Maaten, Towards remote e-voting: Estonian case, 2003.
[3] Manon de Vries, Wouter Bokslag, Evaluating e-voting: theory and practice, 2016.