دارپا با سرمایهگذاری ۱۰ میلیون دلاری، سیستم امن و متنباز رأیگیری توسعه میدهد
فعالان حوزههای مختلف امنیتی و سیاسی، از سالها پیش تلاش میکنند تا سیستمهای امن و تأییدشده، برای انتخابات با موضوعات مختلف پیادهسازی شود. آنها میخواهند رأیدهندهها و نمایندهها از عدم دستکاری در نتایج انتخابات مطمئن شوند.
مؤسسهی تحقیقات پیشرفتهی دفاعی آمریکا (دارپا) در جدیدترین فعالیت خود در حوزهی رأیگیری، احتمالا نگرانی همهی فعالان امنیتی و سیاسی را برطرف خواهد کرد. آنها قراردادی ۱۰ میلیون دلار امضا کردهاند تا یک سیستم رأیگیری امن طراحی و ساخته شود که به ادعای خودشان دربرابر هک و نفوذ، امن خواهد بود.
اولین مدل از سیستم مورد نظر دارپا، توسط شرکتی در اورگان بهنام Galois طراحی خواهد شد که از سالها پیش بهعنوان یکی از مشهورترین پیمانکارهای دولتی در توسعهی سیستمهای امن شناخته میشود. سیستم جدید، از نرمافزار رأیگیری کاملا متنباز بهره میبرد که در مقابل نرمافزارهای بستهی کنونی قرار میگیرد که توسط بسیاری از پیمانکاران برنامههای انتخاباتی، استفاده میشوند. هیچکس در خارج از سیستمهای رأیگیری آن پیمانکارهای سنتی، مجوز آزمایش نرمافزارهای بستهی آنها را ندارد.
نکتهی مهم دیگر در توسعهی سیستم جدید رأیگیری آن است که روی سختافزار متنبازی پیادهسازی میشود که در مدت یک سال گذشته، با فرایندهای تحقیق و توسعهی متعدد طراحی و ساخته شد. بهعلاوه، سیستم رأیگیری بهگونهای طراحی میشود تا نتایج بهصورت کاملا روشن به اطلاع رأیدهندهها برسد و آنها مجبور نباشند تنها به اظهارات مقامات دربارهی نتایج اعتماد کنند.
دارپا و گالویس نمیخواهند مردم بدون آزمایش و تحقیق، امنیت سیستم رأیگیری مورد نظر آنها را تأیید کنند. چنین رویکردی، اکنون توسط سیستمهای رأیگیری انجام میشود و روشی برای آزمایش امنیت آنها وجود ندارد. کدهای منبع سیستم جدید، بهصورت آزاد در اختیار عموم قرار خواهد گرفت. بهعلاوه، نمونههای اولیه از آن در جریان Def Con Voting Village تابستان امسال و سال آینده به نمایش گذاشته میشود. هکرها و متخصصان امنیت حرفهای میتوانند کدها را بررسی و هر روزنهی نفوذ در آن را کشف کنند. بهعلاوه، تیمهای توسعهدهنده با چند تیم دانشگاهی در سال آینده همکاری میکنند تا سیستم مورد نظر را در محیطهای رسمی آزمایشگاهی بررسی کنند.
لینتون سالمون، یکی از مدیربرنامههای Microsystems Technology Office دارپا که نظارت بر پروژه را بر عهده دارد، در یک مصاحبهی تلفنی دربارهی پروژه گفت:
کنفرانس Def Con فرصتی عالی محسوب میشود اما هکرهای آنجا، آن مقدار جزئیات فنی که ما نیاز داریم را در اختیارمان قرار نمیدهند. دانشگاهها، اطلاعات بیشتری ارائه میکنند. البته، آن رویکرد هم نقاط ضعفی دارد و افراد زیادی پروژهی ما را نمیبینند.
سیستمی که گالویس توسعه میدهد، برای فروش ارائه نخواهد شد. البته نمونههای اولیهای که آماده میشوند، برای شرکتهای فعلی عرضهکنندهی سیستمهای رأیگیری بهصورت رایگان عرضه میشود. آنها میتوانند سیستم را بهصورت رایگان استفاده کرده و حتی آن را شخصیسازی کنند. با چنین رویکردی، شرکتهای آن صنعت بدون هزینههای هنگفت تحقیق و توسعه، صاحب یک سیستم رأیگیری امن خواهند شد.
سالمون در ارتباط با عرضهی سیستم میگوید که آنها سیستمی برای پیادهسازی در ماشینها یا زیرساختهای دیگر ارائه نمیدهند. بلکه هدف، ارائهی متودولوژی است که توسط دیگران هم قابل استفاده باشد و درنهایت به توسعهی سیستمهای رأیگیری امن و مطمئن بیانجامد.
در صورت موفقیت پروژه، چالشهای متعدد امنیت انتخابات حل خواهد شد
جو کینیری، دانشمند ارشد گالویس است و پروژه را در آن شرکت رهبری میکند. او از سالها پیش در قالب فعالیت در شرکتی مستقل بهنام Free & Fair در حوزهی امنسازی رأیگیریها فعالیت میکرد. جو به کشورهای متعدد هم پیرامون سیستمهای انتخاباتی مشاوره میدهد. بهعلاوه، شرکت تحت مدیریت او با ایالتهای متعدد در آمریکا همکاری کرد تا حسابرسیهای عظیم پس از انتخابات را در آنها پیادهسازی کند. البته، ایدهی توسعهی سیستم امن رأیگیری توسط کینیری ارائه نشد و دارپا را باید شروعکنندهی ایدهی پروژه نامید.
کینیری میگوید دارپا به سیستمی برای نشان دادن قدرت سختافزارهای امن رأیگیری نیاز داشت و باید طرحی پیادهسازی میکردند تا توجه مردم را به آن جلب کند. بهعلاوه، آنها باید پروژههای غیر طبقهبندیشده پیاده میکردند که قابل ارائه به عموم باشد. سالمون در آنباره میگوید که هدف، توسعهی سیستمی باز بود تا همه بتوانند جزئیات آن را بررسی کرده و انتقادات احتمالی پیرامون آن ارائه دهند.
پروژهی فوق، از منابع مالی و تجربههای علمی فراوان DARPA استفاده خواهد کرد. اگر پروژه به موفقیت برسد، چالشهای بسیاری پیرامون سلامت و امنیت انتخابات در نقاط مختلف جهان حل خواهد شد. کینیری میگوید اگر سیستم در حال توسعه، قابل مشاهده توسط همهی مردم نبود، دارپا به آن علاقهمند نمیشد. درواقع، آنها میخواهند پروژهای انجام شود که درنهایت به سود همهی مردم جهان باشد.
کینیری میگوید که شرکت گالویس، دو نوع ماشین رأیگیری خواهد ساخت. نمونهی اول، دستگاهی با صفحهی لمسی خواهد بود که به رأیدهندهها امکان میدهد تا انتخاب خود را ثبت کنند. آن سیستم، وظیفهی جمعآوری و محاسبهی رأیها را ندارد. درعوض، یک برگهی علامتگذاریشده شامل رأی کاربر پرینت میکند و آنها میتوانند پیش از ارائهی رأی به سیستم نهایی محاسبهکنندهی رأیها، آنها را بازبینی کنند. این ماشین، در سال جاری برای نمایش و بررسی به Def Con آورده میشود.
بسیاری از ماشینهای مشابه کنونی، مورد نقد متخصصان امنیتی قرار دارند. آنها بارکدهایی را روی برگه چاپ میکنند که تنها توسط دستگاه دوم قابل اسکن و درک خواهد بود و خود رأیدهنده هیچ درکی از آن ندارد. ممکن است آن بارکدها با تغییری در رأی طراحی شده باشند، درصورتی که سیستم جدید، رأیی قابل خواندن توسط کاربر چاپ میکند. کینیری میگوید آنها تلاش میکنند تا سیستم نهایی، به بارکد وابسته نباشد.
سیستم اسکن اپتیکال، یک رسید با نشانهای رمزنگاریشده از انتخاب رأیدهنده چاپ میکند. پس از انتخابات، کدهای رمزگشایی همهی رأیها روی یک وبسایت منتشر میشوند. درنتیجه، کاربران میتوانند اطمینان حاصل کنند که رأی آنها شمرده شده است. کینیری میگوید رسید چاپشده هیچ ارزش قانونی برای اثبات انتخاب کاربر در رأیگیری ندارد، اما اثبات میکند که رأی او، در شمارش نهایی مشاهده و لحاظ شد. بهعلاوه، انجمنهای عمومی نیز میتوانند با استفاده از همان فهرستهای رمزنگاری، سلامت انتخابات را بهصورت مستقل و بدون وابستگی به سازمانهای اجرایی، بررسی کنند.
کینیری دربارهی بررسی سلامت انتخابات توسط سازمانهای مستقل میگوید:
هر سازمانی که تمایل به بررسی انتخابات داشته باشد، میتواند یک مهندس نرمافزار باهوش با دانش متوسط استخدام کند و سیستمی ساده برای تفسیر آنها توسعه دهد. ما انتظار داریم که سازمانهای متعدد مردمنهاد با تمرکز فعالیت سیاسی، سیستمهای تضمین سلامت انتخاب اختصاصی توسعه دهند تا از نوآوری جدید در آن حوزه، بهره ببرند.
سیستم دومی که توسط شرکت توسعه داده خواهد شد، یک اسکنر اپتیکال است که رأیهای نوشتهشده توسط کاربران را خوانده و بررسی میکند. آن سیستم در Def Con سال آینده نمایش داده میشود.
پروژهی بزرگ سختافزاری دارپا
پیش از آمادهسازی نرمافزار، باید سحتافزار امن زیرساختی را آماده کرد
سیستم رأیگیری پروژهای است که در دل یکی از بزرگترین برنامههای درحالتوسعهی دارپا قرار دارد. برنامهای که با هدف توسعهی سختافزار امن اجرا میشود. آن برنامه بهنام System Integrated Through Hardware and Firmware یا SSITH در سال ۲۰۱۷ شروع به کار کرد و روی توسعهی سختافزارهای امن متمرکز شد. بهعلاوه، طراحی ابزارهایی برای ساخت آن سختافزارها هم در دستور کار برنامه قرار داشت تا سختافزار حاصل، دربرابر حملات نرمافزاری خطرناک، امن بماند.
درحالحاضر، اکثر سیستمهای امنیتی روی بخش نرمافزار همچون سیستمعامل، مرورگر و برنامههای دیگر متمرکز شدهاند. سالمون با اشاره به آنکه اکنون هم تعدادی سیستمهای امنیتی مبتنی بر سختافزار وجود دارند، دربارهی امنیت نرمافزاری و سختافزاری گفت:
بهطور کلی، نرمافزار، حوزهای بود که تاکنون مردم برای حل مشکلات به آن رجوع میکردند، چون قابل تغییر و بهینهسازی محسوب میشود. البته، آن برنامهها عمق زیادی ندارند و برای بهترین کارایی، به انرژی و کارایی بالایی در سیستمها نیازمند خواهد بود. ما میخواهیم آن چالش را در بخش سختافزار حل کنیم. درنتیجه، هرچقدر هم در بحث نرمافزار، آسیبپذیری داشته باشید، هکرها بهخاطر وجود سیستمهای سختافزاری قوی، نمیتوانند از آنها بهرهبرداری کنند.
از نظر سالمون، مشکل اصلی آن است که اکثر سختافزارها در بحث امنیت، ظاهر و خصوصیاتی گولزننده دارند. درواقع، هنوز نمیتوان مرز مشخصی بین قابل قبول بودن یا نبودن آنها از لحاظ امنیتی ترسیم کرد. اگر هکری پس از نفوذ، به ماشینی بگوید که عملکرد خرابکارانه داشته باشد، سختافزار بدون هیچگونه بررسی یا تحلیل دستور صادرشده، تنها آن را اجرا میکند.
سالمون و تیم تحت مدیریتش، تلاش میکنند تا روند سختافزارها را تغییر داده و آنها را از یک تماشاگر صِرف به عضوی عملگر در روند امنیتی تبدیل کنند. او میگوید روند کنونی تنها شروع راه محسوب میشود و چالش آنچنان بزرگ است که حتی یک پروژهی بزرگ دارپا هم نمیتواند بیش از ۲۰ درصد از آن را حل کند.
بهعنوان نمونهای از ساختارهای امنیتی، ماشین رأیگیری خواهد توانست جلوی ورود عملگرهای خرابکارانه را بگیرد. بهعنوان مثال، در آزمایشهای قبلی روی سیستمهای کنونی مشخص شد که یک مجرم میتواند با وارد کردن کارت حافظه به ماشین رأیگیری، ۲۰ رأی یک طرف انتخابات را یک رأی بشمارد. چنین کارهایی با پیادهسازی امنیت سختافزاری، احتمالا غیرممکن خواهد بود.
سالمون در ادامه پیرامون پروژهی در حال کار دارپا میگوید:
هدف ما آن است که سختافزار دربرابر انواع حملات از دنیای خارج، امن باشد. اگر روند مذکور موفق باشد و نرمافزار متصل به آن نیز موفق شود، درنتیجه، افراد نمیتوانند سیستمها را هک کرده و آرا را تغییر دهند. بهعلاوه، رأیدهندهها هم تأییدیهای دربارهی رأی دادن خود دریافت میکنند و همهی آن روندها بهگونهای پیادهسازی میشوند که هکرها نتوانند تغییری در آن ایجاد کنند.
برنامهی امنیتی در حال جریان در دارپا، ۶ تیم درگیر دارد که از دانشگاههای متعدد در آن شرکت کردهاند. بهعلاوه، لاکهید مارتین نیز یک از طرفین درگیر در پروژه محسوب میشود. هریک از تیمها وظیفهی طراحی ۳ پردازندهی امن را بر عهده داشتند. گالویس که عضوی از پروژهی SSITH نیز بود، سیستم امن رأیگیری خود را روی سختافزار طراحیشده توسط آن تیمها نصب خواهد کرد. سپس، برای هر CPU، یک مدل اولیه آماده خواهد شد.
کینیری دربارهی هماهنگی نهایی نرمافزار و سختافزار پروژه میگوید:
سیستم متنباز رأیگیری، روی آن پردازندههای امن نصب میشود. باور ما این است که سیستمهای معمول رأیگیری روی سختافزار معمولی هک میشوند، اما همان سیستمها روی یک سختافزار امن، بهاحتمال بالا نفوذناپذیر خواهند شد.
تیمهای طرف قرارداد دارپا نهتنها پردازندههای امن را توسعه میدهند، بلکه از مزیتهای ایجادشده توسط آنها نیز استفاده میکنند. آنها درحال توسعهی کامپایلرهای جدید C هستند تا بتوانند کل بستهی نرمافزاری روی سیستم را دوباره کامپایل کنند. بسته شامل سیستمعامل، کرنل، همهی کتابخانهها و نرمافزارهای سمت کاربری میشود که به زبان C توسعه یافتهاند. بهعقیدهی کینیری این ترکیب یک رویکرد نرمافزاری و سختافزاری فوق امن ایجاد میکند.
فرایند طراحی پردازندهها، شامل بهینهسازی سختافزارهای موجود میشود
شایان ذکر است توسعههای سختافزاری دارپا در این پروژه، با هدف طراحی مجدد معماری پردازندهها انجام نمیشوند. بلکه آنها تلاش میکنند تا سختافزار موجود را با اهداف امنیتی، بهینهسازی کنند. در نتیجهی چنان برنامههایی، نیاز به طراحی مجدد سختافزار از پایه از بین میرود. البته، همین بهینهسازیها احتمالا در آینده موجب بهبود فرایندهای طراحی معماری پردازنده هم خواهند شد.
جو فیتزپاتریک یک متخصص امنیت سختافزار است که در آموزش متخصصان هک و نفوذ سختافزاری فعالیت میکند. او اعتقاد دارد پروژهی دارپا در صورت موفقیت، یک هدف بلند را در دنیای امنیت سختافزار محقق میکند. جو در مصاحبهای پیرامون پروژه گفت:
من نمیدانم که آیا آنها در حال طراحی معماری پردازندهی جدیدی هستند که دربرابر همهی حملات امن خواهد بود یا نه؛ اما اگر بتوانند پردازندهای طراحی کنند که بتواند عملیات خرابکارانه و مشکوک را از سمت نرمافزار شناسایی کند، قطعا کار خارقالعادهای خواهد بود.
پیتر زاتکو، متخصص امنیت دیگری است که قبلا در دارپا هم مشغول به کار بود. او میگوید پروژهی حاضر و برنامههای دیگر دارپا اهمیت بالایی دارند چون عموما باعث تولد پروژههای جدید هم میشوند. البته او اعتقاد دارد که پردازندههای امن، لزوما همهی چالشهای امنیتی را برطرف نمیکنند. پیتر میگوید باید مسائل امنیتی در پایههای طراحی و ساخت پردازندهها لحاظ شوند.
سوزان گرینهال، مدیر سیاستگذاری یک سازمان ملی سلامت انتخابات است. او امید دارد سیستم تحت طراحی گالویس و دارپا، بتواند چالشهای انتخابات امن و قابل اطمینان را از بین ببرد:
سیستمهای کنونی ضعف بالایی دارند و نمیتوانند با سرعت مورد نیاز برای مقابله با تهدیدات حرکت کنند. گالویس و دارپا تنها در ابتدای کار قرار دارند و خلأ موجود از طرف سازمانهای دولتی را پر میکنند تا آسیبپذیریهای سیستم رأیگیری آمریکا را نشان داده و حل کنند.