dimecres, 26 de febrer del 2014

IniciativaVerds denuncia el descontrol i la facilitat de manipulació de la modalitat de votació telemàtica en la consulta "Tria el teu projecte".

IV emplaça a l’Ajuntament a invalidar les votacions realitzades a través de la web, en el procés de participació ciutadana "Tria el teu projecte"
IniciativaVerds han estat advertits per algú amb voluntat de demostrar la manca de garanties del procés, de la facilitat amb què les votacions poden ser manipulades, emprant senzillament una sèrie de números de DNI publicats en el BOIB i suplantant la identitat dels titulars.

[Imatge extreta de Última Hora]

El sistema d’enquesta “controlada” implantat en el servidor de l’Ajuntament per dur a terme la consulta popular compta amb un únic requisit per a l’identificació del votant: la introducció del nombre del DNI.

Però el número de DNI no és una dada secreta. Si heu comés una infracció, rebut una beca, sol·licitat una subvenció, aprovat unes oposicions o realitzat qualsevol altre tràmit amb l’administració pública, el vostre nombre DNI ha estat publicat al BOIB, al costat del vostre nom, i és, per tant, una dada molt fàcilment localitzable emprant els cercadors d’internet. A tall d'exemple, dues publicacions amb aquests tipus de dades, ben fàcilment localitzables:

  1. Anunci al BOIB núm. 67 (Extraordinari), de dia 15 de maig de 2012, de "Declarar incurs en constrenyiment els deutes tributaris de la relació assenyalada";
  2. Anunci al BOIB núm. 136, de 3 d'octubre de 2013, de "Exposició pública per a notificar el títol executiu i la providéncia de constrenyiment a diversos deutors".

El sistema emprat en aquesta consulta digital, llençada sense cap formalitat ni reglament consensuat, sense cap discussió prèvia ni al plenari municipal, ni amb el conjunt de la ciutadania, deixa les portes obertes a la manipulació, tant dels resultats de la votació com de les estadístiques de participació. De fet, ben bé podrien ja haver estat manipulades, sense la necessitat de tenir grans coneixements informàtics, pels mateixos que ens han advertit de la facilitat amb què es pot votar fent servir identitats falses corresponents a DNI publicats pel mateix ajuntament d'Artà, per exemple al BOIB.

Actualment, els únics sistemes considerats aptes per a garantir l’identitat personal en una pàgina web són l´ús de la signatura digital, DNI electrònic o constrasenya personal encriptada. Ni tan sols el registre de la IP, emprat en qualcunes enquestes no oficials per controlar que hi hagi una única votació per ordenador, no pot ser un mètode vàlid en una consulta ciutadana oficial, ja que és comú que membres de la mateixa família comparteixin un únic ordenador, o que s’accedeixi a la xarxa emprant ordenadors públics.

Després de criticar la precarietat de tot el procés, la mancança de planificació, de regulació, i d’informació als ciutadans, i a la vista d’aquest greu error en el disseny del sistema informàtic, IniciativaVerds demana a l’equip de govern que anul·li el procés que ha començat, i que apliqui seriositat, esforç i compromís en el desenvolupament de temes tan importants com són la transparència i la participació ciutadana.

1 comentari:

Anònim ha dit...

He vist publicat a al diari el tema de votacions a sa Web de s'ajuntament. I hi he de remarcar dues coses més que us poden resultar interessants:

1.-El servidor web que empleen (Internet Information Services 6) correspon a Windows server 2003 (té 10 anys!!) i només té actualitzacions greus importants. Amb altres paraules, la màquina que executa el programari en sí ja és insegura. A part de que s'ha de tenir una llicència Windows, ja no es fan Service Packs des de 2009 (es pot veure a aquesta plana http://support.microsoft.com/lifecycle/search/default.aspx?sort=PN&alpha=Windows+Server+2003&Filter=FilterNO ) i només hi ha "soporte extendido" o amb altres paraules, et permeten descarregar actualitzacions i ses coses més greus.

2.-Referent als DNI, si han posat un sistema que comprova en sí es número i s'edat, no resultaria molt difícil crear un bucle amb els 99.999.999 DNIs d'Espanya i saber així quins corresponen a Artà. I per fer això no fa falta se un hacker tampoc, amb 10 línies de programació es pot fer.

3.-SQL injection: Quan un passa un paràmetre cap al servidor, si no es tracta correctament, es pot obtenir informació que està emmagatzemada. Per exemple un sql injection és que comprovis un DNI d'una persona i tu pots demanar altres camps (per exemple nom i llinatges). El programa d'enquestes que s'emplea (limesurvey), el novembre de l'any 2013 va sortir un BUG important que permet fer sql injection: http://packetstormsecurity.com/files/124157/LimeSurvey-2.00-Build-131107-Cross-Site-Scripting-SQL-Injection.html
Si no tenen sa versió al dia, no seria molt difícil obtenir un llistat complet d'habitants d'Artà.

Tot això és informació molt tècnica, però un administrador de sistemes ha de saber aquestes coses...

PD: Per cert, i a nivell de protecció de dades s'ha mirat???