Tisztelt Elnök Úr, Kedves Magyar Péter!

Kiberbiztonsági szakértőkként, korábban a Discord-on is számtalan kritikát fogalmaztunk meg a Talpra Magyarokat, majd a TISZA-t körülvevő informatikai, kiberbiztonsági anomáliák miatt. Leírt, megírt aggodalmaink a közvetlennek tűnő TISZA-kapcsolat ellenére is süket fülekre találtak, ami egyértelműen előre vetítette a Discrord elvesztését is. Az általam alapított: Informatikai, Kiber-, Nemzetbiztonsági, Egészségügyi szakágakra bontott, majd a TISZA érdektelensége miatt végül felszámolt szervezetünk tagjaiból, a TISZA-hoz került egyik kiberbiztonságért felelős csapatvezetővel sem sikerült kapcsolatba lépnem – ami furcsa -, és újabb kérdéseket vet fel. Ezért a kiberbiztonságot, és jellemzően a magyarországi informatikát körülvevő általános felelőtlenség tükrében, kénytelen vagyok nyílt levélben, megfogalmazni az aggályaimat, felhívni a figyelmet egy informatikai kulcselemre, ami nem más mint a:

Választási informatikai rendszer!

Rövid előzményként ajánlom az alábbi tényfeltáró cikket, és az oldal végén mellékelt archívumokat! Ezek rávilágítanak a helyzet abszurditására, és a választási rendszer törvényességét alapjaiban kérdőjelezik meg.  Felhívnám a figyelmét a kormánypárt agonizálásán a Harcosok klubja, és a DPK eredményetelenségére, amelyek inkább látszatintézkedések mint valós szervezések, ám a láthatatlan digitális térben zajlanak. Ennek a látszateredményességére sok mindent rá is lehet húzni, mivel ellenőrizhetetlen.

A választási rendszerhez, annak forráskódjához nincs ugyan hozzáférésünk, de a korábbi hiányos, vagy elmaradt audit előre vetít pár aggasztó dolgot. Éppen ezért elemzést végeztünk egy képzeletbeli választási rendszeren, hogy feltárjuk a lehetséges hibákat, vagyis rámutassunk arra, hogyan változhatnak az eredmények a hatalom javára akkor is, ha jelentéktelen számú szavazatot kapnak. Ezek az

Informatikai kérdések

1. Adatátviteli lánc manipulációja

A szavazókörökből érkező jegyzőkönyvek digitalizálása után, az adatok továbbítása során a központi rendszer felé.

Hogyan lehet manipulálni?!

A szavazókörben a jegyzőkönyv papír alapon készül.
Ez bekerül egy számítógépes rendszerbe (pl. jegyzőkönyv-rögzítő felület).
A továbbítás során, például ha VPN vagy titkosított adatkapcsolat nincs megfelelően biztosítva, proxy vagy man-in-the-middle (MitM) típusú beavatkozással meg lehet változtatni az adatokat anélkül, hogy a helyi rögzítő észrevenné.
Ha a kliensszoftver módosított, akkor az rögzíthet mást, mint amit a képernyőn mutat.

2. Központi adatbázis manipuláció

A Nemzeti Választási Iroda (NVI) központi rendszerében, amely tárolja és összesíti a szavazatokat.

Hogyan lehet manipulálni?

A tárolt adatokat vagy az azokkal dolgozó algoritmust módosítják.
Például: egy szkript lefuttatása, amely a „rendszeren belül” meghatározott keretek közt arányosan átcsoportosít 1-3%-ot bizonyos pártoktól egy kivételezett irányba. Ez különösen nehezen észrevehető, ha:

a feldolgozás zárt rendszerben történik,
nincs független validálás,
az audit logokat is a rendszer generálja.

3. Automatikus újraösszesítő algoritmus módosítása

Az NVI rendszerének központi feldolgozó egységében, ahol a jegyzőkönyvekből statisztikákat, végső eredményeket számolnak.

Hogyan manipulálható?

A szoftverbe rejtett módosítás lehet: pl. „ha párt = X és megye = Y, akkor szavazat = szavazat +1”. AKis mértékű módosítások szinte észrevehetetlenek, de sok körzeten át aggregálva már döntő különbséget okozhatnak.
A feldolgozó algoritmus zárt, nem nyilvános, ezért ezt csak független kód-audit tárhatja fel.

4. Nem elegendő a szavazási rendszer auditja és védelme

Óriási kiberbiztonsági kockázatot jelentenek az adatok elküldésére használt távoli kliensek, és az általuk használt kapcsolat, nem utolsó sorban a Microsoft termékorientáltság, és a kliensek hozzáférhetősége.

Jogi kérdések

2013. évi XXXVI. törvény a választási eljárásról (“Ve.”)

• A választási rendszer működtetése állami szerveken keresztül kell történjen, független, pártatlan szereplők bevonásával.

• A Nemzeti Választási Bizottság (NVB) összetétele szigorúan szabályozott; tagjai nem lehetnek jelöltekhez vagy párthoz köthető személyek, és nyilatkozniuk kell összeférhetetlenség hiányáról Nemzeti Választási Iroda.

• A Nemzeti Választási Iroda (NVI) elnöke nem lehet gazdasági társaság vezetője vagy politikailag érintett személy Jogkódex

Ezek alapján a rendszerfejlesztésben, üzemeltetésben szerepet vállaló cégek vezetői csak akkor működhetnek közre, ha nincs politikai kötődésük, illetve távol állnak a jelölő szervezeteket vagy kormánytól, ami már megkérdőjelezi a törvényességet, hiszen szinte az összes cég aki részt vesz a választási rendszer üzemeltetésében, a FIDESZ-hez köthető!

2023. évi CIII. törvény a digitális államról

• Előírja az elektronikus információs rendszerek biztonságát, a személyes adatok védelmét, és a digitális szolgáltatások független működését parlament.hu net.jogtar.hu.

Ennek alapján a választási rendszer informatikai biztonsági és adatvédelmi követelményeihez független auditálás, külső szakértők bevonása is kikényszeríthető — nem lehet egy politikai hálózat által irányított szereplő a teljes rendszer működtetője.

Biztos vagyok benne, hogy a rendszer teljes áttekintése után további anomáliák tárhatóak fel, de ehhez már most lépni kell, mert egyre kevesebb az idő, hogy minden hiba és probléma orvosolható legyen, és ne legyen többé választási rendszer összeomlás a választás napján! 

Sajnos maga az audit sem nyújt teljes védelmet!

A rendszer jelenlegi gyenge felépítése miatt, esetleg egy párhuzamos verifikációval lehetne javítani a biztonságát, és elhárítani az esetleges ilyen manipulatív kibertámadásokat: Index.hu, 444.hu
Valójában ezekre, csak egy blokklánc alapú rendszer nyújtana kielégítő védelmet, de ennek a fejlesztésére nincs már elegendő idő, és akarat sem volt az elmúlt 15 évben!

Bízom benne, hogy lesz ideje a nyílt levelet elolvasni, és a megfelelő lépéseket időben megtenni, és akadályozzuk meg a polgárháborús helyzet kialakulását!

Tisztelettel:

blackPanther-Projekt
info@blackpanther.hu