מרשתנט

תמיד כל מי שראה את הלינוקס שלי שואל אותי: עפר, אתה שכל הזמן מספר לנו כמה שליונקס זה מגניב ויש אפקטים תלת מימדיים מגניבים שאפשר לראות את את כל החלונות המגניבים שלך בקוביה מגניבה ותלת מימדית ומגניבה, למה אתה, שכל הזמן אומר את זה, לא משתמש בשום מנוע תלת מימדי שיכביד את המשימות על שולחן העבודה שלך?

ואני תמיד עונה: כי אני לא צריך את השטויות האלה. מה כואב לי לראות את החלונות שלי בדו מימד? מה כואב לי שהחלון לא גמיש? מה כואב לי שאני לא יכול לעשות שזה יראה כאילו יורד לי גשם על המחשב בלחיצת כפתור? למה לי לעשות זום אין לתוך המסך? איזו סיבה לעזאזל יש לי לכתוב כתובות אש על המסך?

אז יש לי תשובה: כי זה פאקינג כיף.

אתמול שידרגתי את המערכת שלי למנדריבה 2008 שיצא זה לא מכבר, וכשהסתכלתי לראות מה חדש גיליתי פתאום שהכניסו לי קומפיז פיוז’ן בדלת האחורית. אמרתי, אני? קומפיז פיוז’ן? למה? והתשובה: כי סימנתי בהתקנה לעדכן את כל החבילות וגם לשים את כל מה שחדש. וגם אמרתי לו להעתיק את כל הדיסק ואז התחרטתי על זה כי זה פאקינג דיסק DVD ולוקח שעה להעתיק אותו לדיסק הקשיח וגם הוא תופס סתם 4 ג’יגה. אבל ככה זה הנאיביות.

לפני שהיד המהירה על ההדק שלי באה למחוק את הקומפיז פיוז’ן אמרתי נו, מאז ניסיתי את בריל לפני איזה מליון שנה ולא ממש התלהבתי עברה לפחות שנה. בטח זרמו קצת מים מעופשים בירקון. ובכל זאת אני עם מחשב ששווה 7000 שקל (זה נייח שיהיה ברור) עם כרטיס מסך שעלה לא מעט, הוא בטח יתמודד עם המעמסה.

ביד בוטחת הפעלתי את הקומפיז פיוז’ן החדש שלי ועשיתי לוג אאוט ולוג אין. ראיתי שהוא מבקש ריסט, אמרתי לו שילך להזדיין וכיביתי והדלקתי בעצמי את הX. אני לא מכבה את הביטורנט בשביל שום קומפיז פיוז’ן שבעולם.

אחרי שהביטורנט כבה לי, מה שהיה ברור שיקרה, כי הוא הופעל מתוך הX, הדלקתי מחדש את הX והנה הקומפיז פיוז’ן החדש שלי. בהתחלה הזזתי את הקוביה. אמרתי, נו, קוביה, על מה הרעש. כולה קוביה. אז לקחתי חלון דפדפן וגיליתי שאני יכול לגרור אותו הצידה על הקוביה. מגניב. אז גיליתי שאני יכול להשאיר אותו חצי על פאה אחת של הקוביה וחצי על הפאה השניה. מגניב.

אמרתי, נבחן את הקוביה שלנו. על פאה אחת פתחתי פרק של חברים ועל השניה פרק של סיינפלד. על שתי הפאות הנותרות (משום מה למעלה ולמטה אפשר לשים תמונה אבל לא לפתוח דסקטופים חדשים, שזה חבל) העמסתי את כל התוכנות שהצלחתי, כולל חלון פיירפוקס עם כמות טאבים כזאת שהטאבליין נראה כמו מסרק. הוספתי תוכנות עד שראיתי שהmeminfo מלא, ואז החזקתי קונטרול אלט והתחלתי לסובב את הקוביה בכל הכח. וואלה לא מגמגם. נו, היה שווה לשים יותר מידי כסף על מחשב שאני לא צריך לפני שנה רק בגלל זה. אח”כ התחלתי לחפור באפשרויות של הקומפיז פיוז’ן, אחרי כמה דקות כבר הייתי בקיא בכל רזי קיצורי הדרך המקשיים והשטויות של קומפיז פיוז’ן והשימוש החל להיות קל ואינטואיטיבי, אשכרה מצאתי תוכלת מעשית בשטויות היפות, כמו לעשות זום אין לתוך המסך, לגרור את העכבר לפינה הימנית כך שכל החלונות על הדסקטופ נפרשים לי מול העיניים (הרבה יותר נוח מאלט טאב), שלא לדבר על כתיבת כתובות אש על המסך.

בקיצור, עברתי, ואני ממליץ בכל הלשונות (יש לי אחת על כל פאה של הקוביה. שגם אליה התרגלתי, לפני זה לא הייתי עובד על דסקטופים שונים, אבל המעבר פה הוא יותר פשוט: גוררים את החלון הצידהו לא צריך להתעסק עם תפריטים).

ואסור לשכוח דברים חשובים: במשך חצי מכתיבת הפוסט הזה ירד לי גשם על המסך

זכיתי לכבוד גדול (שממש לא ציפיתי לו, לא חשבתי שעומר טרן קורא את הבלוג שלי) ועומר טרן ענה לפוסט שלי. אז שאני לא אחזיר טובה?

בסופו של דבר המסקנות של שנינו זהות (חוץ בעניין הקוד הפתוח, שאליו אגיע בסוף), אך הוא חולק על כל אחד מהדברים שאמרתי נו, אף אחד לא מושלם (חוץ ממני כמובן ).

טרן מציג תסריט שבו אדם מוחק את עצמו ממאגר טביעות האצבעות ומצביע מספר פעמים בלתי מוגבל. מה שטרן שוכח הוא שיש לנו שני מאגרים: מאגר ההצבעות (מספר הפעמים שהצביעו לכל מפלגה) ומאגר המצביעים (מספר טביעות האצבעות שהצביעו). כלומר גם אם בן אדם מצביע כמה פעמים המערכת תצביע על כך שהיו זיופים, כלומר במקרה שתוצאות הבחירות הוטו בצורה דרסטית ע”י מחיקה חוזרת ונשנית של טביעות אצבעות מהמאגר הארצי או ע”י הוספת קולות דרך פריצה למערכת המקומית בקלפי ניתן יהיה לדעת שזה קרה ובמקרה הגרוע ביותר לקיים בחירות חוזרות.

דבר נוסף שעומר תוקף אצלי הייתה ההצעה שלי לא לשמור לוג של זמני ההצבעה שמוצלב עם ההצבעה למפלגה. אני לא מבין מה הבעיה פה: הרי גם היום לא ניתן לשדך את הנתונים האלה כי המעטפות מתערבבות בקלפי. אתה יכול להגיד שמעטפה שנמצאת למטה הגיעה קודם. אבל אתה לא יכול לדעת למי הצביעו מתי. גם לגבי מי הצביע מתי אי אפשר לדעת כי ברשימה של הקלפי מסומן רק מי הצביע ולא מתי הוא הצביע.

עם זמן הספירה של שעה: אני חושב שכן. אני לא יודע אם עומר טרן נכח פעם בתהליך ספירת קולות אבל אני כן. התהליך לוקח בכל קלפי כשעתיים, בהם הקולות מוצאים אחד אחד, כל אחד מחברי הועדה והמשקיפים בוחן את הפתקים והם נספרים ברשימה כפולה. אח”כ כל המעטפות והפתקים מועברים לועדת הבחירות האיזורית, שם התהליך מתבצע עוד פעם ואם יש סתירה בין הספירות הוא מתבצע פעם שלישית. משם התוצאות כבר מוזנות למחשב (שם האוטומציה כבר נמצאת). בכל מחוז מבין השישה שיש בארץ יש מטה בחירות איזורי, נסיעה בתוך המטה לא לוקחת יותרמ שעה להערכתי ולמחשב לא יקח יותר מידי זמן לסכם את התוצאות. אולי הקלפיות מאילת יגיעו מעט יותר מאוחר למטה שבבאר שבע, אז שיקימו מטה גם באילת, ושיהיה שעתיים.

לגבי הביקורת של טרן על הקטע עם טביעות אצבע: בזה אני באמת לא מבין. אבל גם אם למדינה יש מאגר טביעות אצבע ניתן יהיה לדעת מי הצביע. המידע הזה זמין גם בשיטה הקיימת: בכל קלפי יש רשימה של מי מחברי הקלפי הזו לא הצביע. בכל מקרה ממני לא לקחו בצו הראשון טביעת אצבע, אבל יכול להיות שיקחו במהלך השירות. לגבי תקינה של טביעות אצבעות אני באמת לא יודע ולא מבין, אבל יש שימוש ברחבי העולם בטביעות אצבעות, אין צורך להמציא את הגלגל.

אך הטענה הכי חזקה של עומר טרן היא זו שמחלישה את הבסיס לכל השיטה שלי: שזה שהתחנות נפרדות לא אומר שבסליקה הסופית קוד שיוזרק לאחת התוצאות לא יגרום לשינוי תוצאות הבחירות. מה שטרן שוכח הוא שגם אם במערכת הסליקה המרכזית הוחדר וירוס, מכל הקלפיות שלא הותקפו יצא מידע נכון והוא נמצא על מדיית ROM, כך שאין דרך לשנות אותו, כלומר אם יתגלה שיש אי התאמה בין מספר המצביעים למספר הקולות ניתן יהיה למצוא מאיפה נכנס ה”וירוס“ ולסכם את כל שאר התוצאות. ניתן גם לשקם את התוצאות מהמדיה הפגומה אם היא נעשתה בשיטות מסויימות, לדוגמא: אם היא נצרבת בזמן אמת (כלומר, ברגע שהבן אדם הצביע המידע נצרב לדיסק) אז לפני הקוד שהוחדר אליו ואחרי הקוד שהוחדר אליו נמצאות תוצאות אמת (למרות שאי אפשר לסמוך על התוצאות שנמצאות אחרי הקוד. מה שכן, אם המערכת רצה גם היא מתוך ROM ומבוצע לה ריסט לאחר כל הצבעה לא ניתן לגרום לה נזק ארוך תווך בעזרת חומרה).

ועכשיו לעניין הקוד הפתוח: הסוגיה פה היא בכלל לא סוגיית אבטחה אלא סוגיה משפטית. על תהליך הבחירות להיות שקוף ב100% ולכל אזרח במדינה צריכה להיות שמורה הזכות לדעת כיצד הוא מתבצע. אם הוא מתבצע בתוך מערכת שלציבור אין גישה לקוד שלה אנחנו לא יודעים מה קורה בפנים, כלומר תהליך הבחירות אינו גלוי וידוע לציבור כפי שהוא צריך להיות. בכל מקרה, תהליך פעולה של מכונה יכול להיות מופשט בהרבה צורות כך שכל הדיוט יבין אותה. אם הוא יהיה פתוח ומתועד כמו שצריך, מספיק לקרוא את התיעוד ולא את הקוד על מנת להבין כיצד פועלת מכונת ההצבעה, אך צריך להיות קוד גלוי שיוכל להיבחן ע”י מי שיחפוץ בכך.

Well, thats it!

מקווה שלא שיעממתי אתכם יתר על המידה

עומר טרן כתב פוסט בבלוגו (המומלץ ביותר) בתגובה לפוסט ישן של קלינגר (אני ממשיך את הזנב הארוך…) בנושא מערכות הצבעה אלקטרוניות והאבטחה שלהן, וחשבתי לשחרר את מחשבותי בנושא.

טרן מציב דרישות אבטחה מהמערכת ולוקח דרישות שימושיות מסוימות כמובנות מעליהן, אחת מהן שכל אחד יוכל להצביע בכל קלפי.

הדרישה הזאת היא שמסבכת את אבטחת המערכת יותר מכל: מכיוון שהיא זו שדורשת סליקה מיידית של זהות המצביעים (ולא של הקולות). ללא דרישה זו ניתן לוותר על קישוריות כלשהי של המערכת: המצביעים מגיעים לקלפי, נבדקים מול מאגר המידע שלו, ובסוף היום המכשיר צורב דיסק או נלקח בעצמו למקום כלשהו שבו מתבצעת הסליקה. זה יאפשר תוצאות בתוך פחות משעה מרגע סיום הבחירות ויבטל את החולשה האבטחתית הגדולה ביותר שעליה מצביע טרן: ריבוי נקודות הגישה למערכת.

אם רוצים לדאוג שכל אחד יוכל להצביע בכל מקום ניתן ליצור שתי מערכות נפרדות: מערכת סליקת קולות, ע”פ המודל שהצגתי קודם, שתהיה מבוזרת כך שאי אפשר יהיה להרוס את כל הבחירות בכל המדינה על ידי פריצה למערכת אחת, ומערכת לזיהוי מצביעים שתהיה אחראית על כל שאנשים לא יוכלו להצביע פעמיים. גם אם מישהו יפרוץ למערכת הזו הוא יוכל לבטל את ההצבעה של מספר אנשים, הוא יאלץ לגייס מספר רב מאוד של משתפי פעולה שילכו להצביע מספר פעמים על מנת להטות את תוצאות הבחירות.

החיסרון של השיטה הזאת היא שעל ידי הצלבת הזמנים של ההצבעות ושל כניסת הקולות ניתן לקבוע מי המביע לאיזו מפלגה. לדבר הזה יש פתרון פשוט, והוא שלמערכות סליקת הקולות (אלה שמובאות למרכזי ועדת הבחירות בסוף היום) לא יהיה לוג של מתי הוכנס איזה קול (חשוב).

פתרון אלגנטי אחר הוא לא לזהות את המצביעים בכלל. מכיוון שבמדינת ישראל אין מאגר טביעות אצבעות (ואני מקווה שגם לא יהיה) ניתן להעביר למחשב שאחראי על מי שהצביע את טביעת האצבעות. האדם מגיע לקלפי, מראה לחברי הועדה תעודה מזהה כהוכחה שיש לו זכות הצבעה (על מנת למנוע הצבעת קטינים ואנשים שאינם אזרחים), שם את אצבעו על הקורא ששומר את תביעת האצבע שלו (ללא כל פרט מזהה אחר) בודק אותו מול מערכת הזיהוי הארצית ושומר אותו במערכת, כך אם הוא ילך לקלפי אחרת המערכת תזהה שהוא הצביע.

מערכת כזו שומרת על אנונימיות מוחלטת. לאחר הבחירות ניתן להשמיד את המאגר שנוצר. וכך השגנו שתי מטרות:

1. לא ניתן להגיד מי הצביע בחירות, מי הצביע לאיזו מפלגה ובכלל לקשר בין המצביעים להצבעות וכל אחד יכול להצביע בכל מקום
2. הקולות עצמם נמצאים במערכת מבוזרת שגם אם חודרים לתחנה אחת שלה תוצאות הבחירות לא מושפעות בצורה דרסטית.

אני בטוח שניתן לבנות מערכת כזאת שתהיה מאובטחת מספיק. אני לא בטוח שקיימת מערכת כזאת או שישום שלה פשוט, אבל אני לא אוהב את השלילה של טרן ושל יהונתן לגבי הצבעה אלקטרונית. מה שכן, אני מסכים לאמירה של יהונתן שהמערכת חייבת להיות בקוד פתוח (לאו דווקא חופשית) על מנת לשמור על שקיפות תהליך הבחירות.

היה כיף.