Мы делали главные деловые СМИ страны, теперь делаем лучше — подпишитесь на email-рассылку The Bell!

Что случилось

Онлайн-голосование проходило 25-30 июня в двух регионах — Москве и Нижегородской области. Всего в системе онлайн-выборов зарегистрировалось больше 1,1 млн человек, проголосовали из них 93% — это больше 10% всех зарегистрированных в двух регионах избирателей.

Доля голосов «за» в онлайн-голосовании оказалась ниже, чем, в среднем по России: 62% в Москве и меньше 60% в Нижегородской области по сравнению с российскими 77,9%. У специалистов по электоральной статистике, которые назвали общий масштаб фальсификаций максимальным в истории российских федеральных голосований, к цифрам онлайн-голосования вопросов не возникло.

Для московских властей онлайн-голосование — гордость: это один из самых масштабных в мире проектов политических выборов на блокчейне. Платформа для них создавалась Департаментом информационных технологий (ДИТ) Москвы для выборов в Мосгордуму в прошлом сентябре в двух тестовых округах, теперь обкатали в масштабах всего города — причем, без больших осечек. Разве что в первый день сайт голосования ненадолго упал, как объяснил ЦИК, из-за наплыва голосующих. Через два дня систему атаковали хакеры, соообщили в мэрии, но на ход голосования это не повлияло, уверяли они.

Но вопросы к платформе все же возникли — в части тайны голосования. Анонимный телеграм-канал «Политрук 2.0» предположил, что сайт голосования может хранить истории запросов от пользователей (они называются «логи»), а значит ДИТ Москвы сможет установить, какой конкретно пользователь в каком бюллетене и как проголосовал. «Единственный способ доказать, что логи не хранятся — предоставить публичный доступ ко всем серверам ЭГ и к полному исходному коду системы. Но доступа к серверам никто не дает, предлагается поверить на слово», — написали авторы телеграм-канала.

После этого сотрудники ДИТ вышли на связь с авторами канала и заявили, что в системе заложены механизмы защиты тайны голосования. Но авторы канала опубликовали свой алгоритм проверки, в которых обратили внимание, что сайты elec.2020og.ru и login.2020og.ru, с помощью которых проходит авторизация пользователей для голосования, собирают куки — данные, которые сайты собирают для опознания пользователей. В них попадает, например, произвольный идентификатор пользователя из букв и цифр, его номер телефона, в них же может оказаться и номер бюллетеня. С помощью этих данных можно отследить и голос человека, который попадает в блокчейн — после того, как он будет расшифрован, его можно будет соотнести с данными пользователя, считают авторы канала.

Есть ли тайна

Возможности проверить описанный алгоритм сейчас нет — сделать это можно было только до окончания голосования, которое завершилось в 19:59 30 июня. Но описанный механизм очень похож на правду, говорит директор департамента анализа защищенности компании Digital Security Глеб Чербов. Все запросы к сайтам голосования сопровождаются отправкой сессионных идентификаторов — тех самых куки, по которым можно постфактум сопоставить результаты уже после их расшифровки, объясняет эксперт. Но сработает это при условии, что все эти данные в полном объеме логировались на серверах системы. Происходило это или нет — нам не известно.

На самом деле именно так работают все web-сервисы, причем для России это нормальная ситуация — на спрашивать пользователя про сбор куки, объясняет гендиректор провайдера Diphost Филипп Кулин. «Ничего сложного для сайта в том, чтобы запомнить номер телефона пользователя и сопоставить с номером бюллетеня внутри своей системы нет, с этим справится администратор уровня студента. И основной вопрос в том, доверяем ли мы ДИТ, что они так не делают или нет», — говорит он. Главная проблема электронного голосования в том, что все программы к ней писал ДИТ Москвы — там нет независимых элементов, и технически они могли собрать любые данные, считает Кулин.

«По логам серверов действительно можно отследить голоса. Но делают это или нет — понять снаружи невозможно», — соглашается руководитель отдела исследований MixBytes Сергей Прилуцкий. Даже сам ДИТ может не знать, происходит это или нет — ведь все государственные сервисы в обязательном порядке обязаны давать доступ к серверам силовым ведомствам, говорит он. «До тех пор, пока вся процедура будет строиться на сайтах, принадлежащих государству, — у электронных голосований по политическим вопросам будут серьезные проблемы с доверием».

Могут — не значит делают

В ДИТ Москвы ситуацию The Bell прокомментировали сжато: «проверить, как проголосовал тот или иной избиратель, невозможно никому. Сопоставить информацию о голосе гражданина и его персональные данные также невозможно», — ответили в департаменте на запрос The Bell.

Наблюдатели за электронным голосованием считают, что ДИТ тайну голосования не нарушал. «У этой системы было две части: одна проверяла ФИО, место жительства и выдала ему случайно сгенерированный код, а вторая ничего не знает про персональные данные и знает только этот случайный код. То есть между системой, которая разрешает голосовать, и системой, которая принимает голос есть разрыв. И без дополнительных средств отслеживания избирателей сопоставить эти данные нельзя. А таких средств в систему ни в каком явном виде в систему заложено не было», — сказал The Bell Олег Артамонов, наблюдатель от Партии прямой демократии, созданной одним из авторов игры World of Tanks Славой Макаровым.

Теоретически, к этим двум частям системы можно «прикрутить» программу, которая будет записывать параметры браузера пользователя и его IP-адрес и сопоставлять, что вот здесь он получил бюллетень, а там через какое-то время проголосовал, признает Артамонов. «Многие эксперты исходят из предпосылки: раз могут, значит сделали. Но эта ситуация не сильно отличается от обычных, бумажных выборов: мы вполне можем повесить над кабинками скрытые камеры и смотреть, что пользователь пишет в бюллетене. Ситуации мало чем отличаются».

Насколько прочно онлайн-голосование теперь войдет в нашу жизнь, сказать пока сложно. После прошлогодних выборов в Мосгордуму главный редактор Алексей Венедиктов, возглавляющий общественный штаб по наблюдению, заявил, что голосование прошло на «четверку», но к будущим выборам система не готова. «Госдума — это вообще не наша вещь», — говорил тогда он. Но не прошло и года, как платформу снова опробовали — на выборах большего масштаба: на электронное голосование в сентябре записалось 11 тысяч человек, в июне через год — больше миллиона.

Выборные технологии

Для тех регионов, где онлайн-голосования не было, но отслеживать и контролировать явку все же хотелось, была задействована другая технология. На прошлой неделе «Медуза» обнаружила, что для контроля явки бюджетников и сотрудников госкорпораций есть своя онлайн-система, расположенная на сайте votely.ru.

Каждому сотруднику присваивался уникальный QR-код, который можно было просканировать на избирательном участке — делали это волонтеры, которые предлагали поучастовать в опросах и лотереях. Для проверки в App Store и Google Play были загружены специальные приложения: «Регистрация участников» и «Просмотр участников». В описаниях к ним говорится, что приложения «предназначены для регистрации и просмотра участников на любом крупном межкорпоративном мероприятии».

В день голосования сотрудники компаний, «ответственные за мобилизацию» (термин из инструкции, которая была доступна на сайте до того, как его закрыли от просмотра), чиновники и руководители предприятий могли следить за явкой в режиме реального времени. В базу с сотрудниками собиралась и информация о тех, кто не проголосовал, вместе с номерами телефонов.

Спустя несколько дней оказалось, что система работает на серверах региональных госструктур. Формально сервис создал некто Иван Валентинович Петров — уроженец города Рыбинска Ярославской области про которого мало что известно.

В адресной строке перед словом votely обычно стоит некая двузначная цифра — она означает регион, по которому с помощью системы планируется следить за явкой. А ряд поддоменов votely.ru расположен на IP-адресах, принадлежащих госструктурам соответствующего региона. Например, 68.votely.ru (68 — код Тамбовской области) расположен на IP-адресе тамбовского областного государственного бюджетного учреждения «Региональный информационно-технический центр», а 21.votely.ru (21 — код Чувашии) — на адресе министерства цифрового развития Чувашии.

Как объяснял «Медузе» разработчик исследовательской лаборатории Censored Planet Леонид Евдокимов, если посмотреть на «обратную запись» (связывает IP-адрес с доменным именем сервера), адреса тамбовского 68.votely.ru, который ведет к бюджетному учреждению, то тот в свою очередь ведет к voting.tambov.gov.ru. При этом tambov.gov.ru — официальный сайт администрации Тамбовской области, а домен gov.ru принадлежит Федеральной службе охраны России и используется правительством. «Для меня это оставляет минимум сомнений в наличии некоторой связи между администрацией Тамбовской области и веб-ресурсом 68.votely.ru», — говорил Евдокимов.