Использование уязвимостей интернет-голосования: косвенные признаки и факты

Притча во языцех, что нынешние российские системы интернет-голосования вместе с сопутствующими процедурами работают в непрозрачном варианте, многие процессы не регламентированы и неконтролируемы участниками избирательного процесса. Если исходить из законодательно-закрепленных принципов проведения выборов, то такие системы (в их нынешнем виде) не могут и не должны применяться на выборах. Тем более для неограниченных категорий избирателей. 

Несмотря на фактический режим черного ящика, можно фиксировать косвенные признаки и факты, подтверждающие использование тех или иных уязвимостей, приводящих к искажению результатов волеизъявления.

Опубликованные неестественные результаты интернет-голосования по Москве, а также скандал с задержкой подсчета и публикации результатов ДЭГ без официального объяснения причин заставляют вернуться к разговору о рисках интернет-голосования. 

В двух словах — что заставляло думать о возможностях вброса виртуальных избирателей, через систему доступа к Госуслугам и про несанкционированное использование переголосования?

• максимально непрозрачный формат комиссий ДЭГ и процедур именно в части возможности проверки списка избирателей ДЭГ;
• противоестественный процент переголосования на тесте в конце июля (это могло быть тестом технологии);
• праймериз «Единой России» в конце мая, на которых через mos.ru проголосовали под полмиллиона москвичей, на 95% виртуальных, проголосовавших статистически неестественным образом (это могло быть нагрузочным тестом для технологии).

Сами официально опубликованные результаты такие: около 2 млн москвичей проголосовали офлайн и около 2 млн проголосовали дистанционно. Что составляет более 50% от общего числа избирателей Москвы (примерно 7,5 млн). При том, что зачистка кандидатов в Москве была проведена намного тщательнее, чем в 2016 году на прошлых выборах, когда явка в Москве составила около 35%. Но тогда голосование прошло чисто. Не было массовых фальсификаций на надомном голосовании, а возможность вбросить виртуальных избирателей через интернет-голосование отсутствовала в принципе.

По результатам голосования на избирательных участках в девяти московских округах из 15 получали кандидаты «Умного голосования». Онлайн-голосование перевернуло результаты во всех этих округах в пользу административных кандидатов. 

Неестественны и корреляции голосов кандидатов и офлайн/онлайн по округам. Но об этом не здесь.

По пересечению ряда признаков можно сделать вывод, что до 5-10% общего числа голосов избирателей могли составить голоса виртуальных избирателей, вброшенные через электронное голосование. До 5% (пока это совсем качественная оценка) в среднем могли вбросить через надомное голосование. На 5-10% могла увеличиться явка за счет новых технологий мобилизационного админресурса и за счет протестной мобилизации.

Зафиксируем известную совокупность фактов и наблюдений, отмеченных в ходе голосования и подведения итогов

Алексей Венедиктов сообщает, что около 0,3 млн электронных избирателей (из 2 млн) якобы переголосовали. Это порядка 15% от всех проголосовавших электронно. Неофициально назывался еще больший процент, однако визуальная статистика на сайте московской ДЭГ показывает гораздо меньший процент, что вызывает дополнительные подозрения.

В текущих условиях это социально малообъяснимо. Принуждаемые бюджетники мало осведомлены о такой опции, которая была завуалирована противоречивой терминологией. Энтузиастов испытателей — на 3-4 порядка меньше. Больше никому она казалось бы не нужна.

По сообщению observer.mos.ru публичные данные ДЭГ по Москве появились только в понедельник 20 сентября около 18:00. Официально результаты были подписаны УИК ДЭГ чуть раньше во второй половине понедельника.

Полуофициальные и единственное адекватно звучащее объяснения затягивания подсчета ДЭГ — перегрузка системы блокчейна и расшифровки при обсчете переголосованных бюллетеней. Однако на прошедших в мае и августе нагрузочных тестах московская система не испытывала аналогичных трудностей и не давала такой прогноз при масштабировании нагрузки до масштаба реального голосования.

Официальные результаты подведены до записи расшифрованных голосов в блокчейн. Это конечно нонсенс. Откуда взялись цифры, внесенные в протокол, подписавшая их комиссия УИК ДЭГ не могла знать и проверить даже теоретически.

Более того, в одном округе ошиблись в переданных комиссии таблицах. Протокол по УИК ДЭГ в 201 округе пришлось позже переписывать. 

Неофициально обещали добавить расшифрованные бюллетени позже. А их отсутствие объяснили той самой перегрузкой. Якобы они подсчитаны и учтены и позже станут доступны публично.

Однако есть примеры, не укладывающиеся в подобное объяснение:

Если часть расшифрованных бюллетеней не внесена в блокчейн по вине перегрузки при расшифровке, тогда должны отсутствовать более поздно проголосованные бюллетени.

Можно проверить в observer. mos. ru по одномандатным округам (нажать кнопку «Подробнее») два бюллетеня со следующими rawTxHash:

• fc0370c786fcf9aff887dd5591a00e5a21bd41a85c907c50658e477589300982 (принят в 11:22)
• 268dddff0e61dc7b8e472972610f4d4fc5243b9cd0ec56ea994024a6e4d17ce6 (принят в 17:16)

Голосование этими бюллетенями проводилось в последний день, с разницей в 6 часов.

Первый бюллетень, принятый системой в 11:30 воскресенья, (по состоянию на 1:30 вторника) не расшифрован или не выложен в блокчейн.

Второй бюллетень, принятый системой в 17:15 воскресенья, расшифрован и выложен в блокчейн.

Что опровергает гипотезу, что зависание — единственная причина отсутствия части расшифрованных бюллетеней в блокчейне.

Остающиеся в живых СМИ оказались не готовы публиковать подробную информацию о рисках системы голосования до дня голосования, потому сложно дать публичную ссылку и сказать «А, мы предупреждали!»

Тем не менее все (кроме торможения расшифровки) возможные риски ДЭГ были описаны ранее.

В частности могли привести к массовым искажениям следующие схемы 

● в списке голосующих ДЭГ могли быть виртуальные избиратели 

(По разным оценкам до 0,5 млн, чтобы было не так заметно. То есть не более 5-7% от общего количества избирателей.) Такая оценка согласуется с масштабом ситуаций, когда некоторые избиратели, приходившие на офлайн участки, удивлялись, найдя в книгах избирателей особые отметки о своем прикреплении к ДЭГ.

Наблюдатели на офлайн-участках провели несколько выборочных проверок выписанных на ДЭГ в книгах избирателей, выявили незначительные количественные несоответствия. Масштабных расхождений таким образом поймать пока не удалось, но для уверенного утверждения следовало сделать на порядок больше проверок.

● мог быть проведен некорректный подсчет переголосованных бюллетеней

На данный момент корректность механизма переголосования выведена из-под контроля участников процесса. Будем выяснять. Но затяжка подсчета до появления более-менее полной информации с офлайн участков косвенно может свидетельствовать в пользу вклада этой технологии.

● за часть проголосовавших избирателей злоумышленники могли ПЕРЕголосовать без их ведома 

Система голосования в этот раз была настроена таким образом, что избиратель не получал подтверждений на почту и в личный кабинет о факте своего голосования или переголосования. При этом СМС-подтверждение личности может быть обойдено через штатный функционал систем ДЭГ. В частности это вызывает дополнительные подозрения на схему с недетектируемым переголосованием.

Возможность переголосования — обязательна для любой нормальной системы интернет-голосования. Особенно в российских условиях, где распространено административное подконтрольное голосование. Однако его корректность должна быть проверяемой со стороны как минимум избирательной комиссии ДЭГ. Чего в этот раз не было.

В связи с отсутствием расшифрованных версий части принятых бюллетеней снова стоит проверить гипотезу возможной подмены части голосов. Здесь для проверки нужна дополнительная информация, которую надеюсь своевременно предоставит ДИТ.

Потрясающая зарисовка про элементы прозрачности

Для УИК ДЭГ в этот раз была сделана специальная «нода наблюдателя» — внешняя нода блокчейна (без права записи). Наличие такой ноды в теории частично позволяет проверить исполнение блокчейном правил записи в блокчейн.

В ходе голосования монитор ноды запрещали фотографировать и подходить без сотрудника ДИТ.

После завершения голосования в 20:00 воскресенья и до начала записи расшифрованных голосов (и, возможно ключа расшифрования) ноду наблюдателя по неизвестным причинам отключили от блокчейна. Сначала несколько часов обещали найти неполадку, а затем просто сказали, что ФСБ отозвало сертификат ноды наблюдателя. 

Что-а? При чем тут ФСБ!? Зачем отозвало?

На офлайн-участках наблюдалась еще одна распространенная путаница. Немало москвичей, которым пришел отказ на заявку в ДЭГ, приходя на обычные участки находили себя вычеркнутыми в книгах избирателей... в связи с участием в ДЭГ. 

По новым правилам (спасибо ЦИК), таким людям должны были отказать в выдаче бумажного бюллетеня. Большая часть из этих людей в итоге избирательного права лишились (ибо добиваться своих прав в вышестоящих комиссиях или тем более документально фиксировать отказ были готовы немногие из них).

В плане доверия к системам ДЭГ, ситуация печальная

Совокупность видимых фактов, подогреваемая однонаправленным вектором вероятного искажения, порождает не просто подозрение, а уверенность в том, что ДЭГ таки начали использовать для «корректировки» волеизъявления. 

Если бы то был только технический сбой/перегрузка компонента системы, чтобы сделали добросовестные администраторы: рассказали бы публично о причинах инцидента. И как можно скорее вывалили бы достаточное для проверок объем сопутствующей технической информации, подделать за короткое время которую было бы затруднительно. Вместо этого по полной включилась разноголосая пропаганда, стандартно зашумляющая тему и дезориентирующая обывателя. Есть что скрывать?