Cel za każdym razem był ten sam: manipulowanie liczbą głosów. Czy został zrealizowany? Niewykluczone. Osoby odpowiedzialne za funkcjonowanie strony milczą.
Nowa wersja paszportu związana jest z obchodami 100-lecia polskiej niepodległości. Dokument wejdzie do obiegu najwcześniej po wakacjach. Rząd postanowił, że o jego wyglądzie częściowo zdecydują obywatele. W ubiegłym roku przedstawiono 26 motywów graficznych, które mogłyby się na nim znaleźć. Połowa została wybrana „odgórnie” – m.in. godło II RP, Grób Nieznanego Żołnierza czy order Virtuti Militari. Pozostałych 13 miało zostać wyłonionych głosami internautów – przy czym tylko sześć, z najlepszym wynikiem, trafi do nowego paszportu. Właśnie w tym celu powstała rządowa strona ZaprojektujPaszport.gov.pl.
Z naszych ustaleń wynika, że co najmniej dwukrotnie była ona obiektem „cyberataków” (jak określają to sami urzędnicy). Doszło do nich w sierpniu ubiegłego roku, gdy głosowanie już trwało.
Pierwszy incydent odnotowano w nocy z 7 na 8 sierpnia, a o sprawie MSWiA poinformowała Polska Wytwórnia Papierów Wartościowych (PWPW), która nadzorowała stronę, a niedługo zajmie się produkcją paszportów. Zidentyfikowano fałszywe głosy, sztucznie nabite najprawdopodobniej przez boty, i usunięto je na podstawie danych pozyskanych z Google Analytics. Zablokowano też adresy IP, z których głosowano na więcej niż jeden motyw w czasie sekundy. Wprowadzono również dodatkowe zabezpieczenie strony w postaci recatpcha, które polega na tym, że użytkownik musi np. rozpoznać fragment zniekształconego tekstu z obrazka i w ten sposób dowieść, że jest żywym człowiekiem, a nie botem.
W piśmie do MSWiA przedstawiciele PWPW przypominają, że decyzję o niezabezpieczaniu strony podjął ówczesny wiceminister spraw wewnętrznych Tomasz Zdzikot, argumentując ją „potrzebą pokazania strony jako przyjaznej wobec osób o różnych stopniach niepełnosprawności”. Obecnie Zdzikot jest wiceszefem Ministerstwa Obrony Narodowej. Mimo przesłanych przez nas pytań nie ustosunkował się do zarzutów.
Dodatkowe zabezpieczenia na niewiele się jednak zdały, bo już 26 sierpnia doszło do kolejnego ataku. Z korespondencji między PWPW a MSWiA wynika, że „zmanipulowano liczbę głosów w taki sposób, że prawie wszystkie motywy uzyskały dodatkowe głosy” i że „w rezultacie doprowadzono do wyników niemalże ex aequo” (motywy miały po ok. 100 tys. głosów). Do odsiania podejrzanych głosów znów użyto narzędzia Google Analytics.
Do namierzenia sprawców zaangażowano ekspertów z Wyższej Szkoły Policji w Szczytnie. Ustalono, że ataki przeprowadzano z adresów IP m.in. w Kijowie i Mariupolu (Ukraina), Bazylei (Szwajcaria), Budapeszcie (Węgry) czy Bukareszcie (Rumunia).
Te informacje mogą mieć niebagatelne znaczenie, bo sprawa nowego paszportu odbiła się szerokim echem w naszej części Europy. Władze Ukrainy stanowczo zaprotestowały przeciwko umieszczaniu w polskim paszporcie motywu Cmentarza Orląt Lwowskich, dlatego Mariusz Błaszczak chciał wymienić go na postać Antosia Petrykiewicza, najmłodszego kawalera orderu Virtuti Militari. Z kolei władzom Litwy nie podobał się motyw Ostrej Bramy w Wilnie (zamieniony na inskrypcję z grobu Marii Piłsudskiej).
Część ekspertów, z którymi rozmawialiśmy, zastanawia się, czy cyberataki i napięcia z Litwą i Ukrainą wokół wyglądu polskiego paszportu nie są ze sobą powiązane. – Być może ktoś poprzez manipulację głosami chciał nas skłócić z sąsiadami albo ktoś, komu motywy się nie podobały, chciał nas do nich zniechęcić – sugeruje nasze źródło.
O sprawę cyberataków i pewności co do tego, czy wyniki głosowania można w tej sytuacji uznać za wiążące, zapytaliśmy PWPW oraz MSWiA. Państwowa spółka odmówiła komentarza, powołując się m.in. na bezpieczeństwo produktów, usług i współpracy z kontrahentami. Ministerstwo odesłało nas do ogólnych informacji o kampanii „Zaprojektuj z nami Polski Paszport 2018”.
W sumie na propozycje motywów oddano – jak oficjalnie podało MSWiA – ponad 763 tys. głosów. Największym uznaniem internautów cieszył się Kopiec Czynu Niepodległościowego, tzw. Mogiła Mogił (ponad 87 tys. głosów). Sama strona ZaprojektujPaszport.gov.pl już nie istnieje.
Takie działania nie wymagają specjalistycznej wiedzy (Andrzej Nowak, konsultant bezpieczeństwa w Niebezpiecznik.pl)
Manipulacje w internetowym głosowaniu to nie tyle cyberatak, ile po prostu zautomatyzowane klikanie w linka oddającego głos. Nie wymaga to żadnej specjalistycznej wiedzy ani przełamywania żadnych zabezpieczeń.
Każde głosowanie przez internet, bez skutecznej weryfikacji tożsamości głosującego (np. przez podpis na ePUAP lub kwalifikowany podpis elektroniczny), jest skazane na ryzyko manipulacji. Organizator – tu strona rządowa – może jedynie minimalizować negatywne skutki poprzez odfiltrowywanie tych głosów, które postrzega jako anomalię. Nigdy jednak nie będzie to w pełni rzetelne działanie.
Coś, co organizator mógł zakwalifikować jako głosy oddane przez boty, mogło być w rzeczywistości głosowaniem kilku osób z jednej firmy (ten sam adres IP, oddanie głosu w kolejnych sekundach) i mamy tzw. false positive oraz zafałszowanie wyniku głosowania. Z drugiej strony coś, czego organizator nie usunął z wyników, bo wyglądało naturalnie, mogło być wynikiem działania botów. Dziś każdy może za darmo skorzystać z dziesiątek VPN, setek serwerów proxy lub użyć sieci Tor, aby co chwilę zmieniać swój adres IP i oddawać kolejne głosy.
Jednocześnie trudno jest mi sobie wyobrazić, w jaki sposób narzędzie w postaci Google Analytics miałoby pomóc w odfiltrowaniu złego ruchu, skoro narzędzie to nie prezentuje adresów IP osób odwiedzających stronę (ze względu na ochronę ich prywatności).
Manipulacje w internetowym głosowaniu to nie tyle cyberatak, ile po prostu zautomatyzowane klikanie w linka oddającego głos. Nie wymaga to żadnej specjalistycznej wiedzy ani przełamywania żadnych zabezpieczeń.
Każde głosowanie przez internet, bez skutecznej weryfikacji tożsamości głosującego (np. przez podpis na ePUAP lub kwalifikowany podpis elektroniczny), jest skazane na ryzyko manipulacji. Organizator – tu strona rządowa – może jedynie minimalizować negatywne skutki poprzez odfiltrowywanie tych głosów, które postrzega jako anomalię. Nigdy jednak nie będzie to w pełni rzetelne działanie.
Coś, co organizator mógł zakwalifikować jako głosy oddane przez boty, mogło być w rzeczywistości głosowaniem kilku osób z jednej firmy (ten sam adres IP, oddanie głosu w kolejnych sekundach) i mamy tzw. false positive oraz zafałszowanie wyniku głosowania. Z drugiej strony coś, czego organizator nie usunął z wyników, bo wyglądało naturalnie, mogło być wynikiem działania botów. Dziś każdy może za darmo skorzystać z dziesiątek VPN, setek serwerów proxy lub użyć sieci Tor, aby co chwilę zmieniać swój adres IP i oddawać kolejne głosy.
Jednocześnie trudno jest mi sobie wyobrazić, w jaki sposób narzędzie w postaci Google Analytics miałoby pomóc w odfiltrowaniu złego ruchu, skoro narzędzie to nie prezentuje adresów IP osób odwiedzających stronę (ze względu na ochronę ich prywatności).