Quelle: admin.ch
E-Voting: Stimmen lassen sich kaufen
Informatik-Doktoranden der ETH Zürich demonstrieren in einer Studie, wie einfach sich elektronische Stimmen manipulieren lassen.
4. März 2019
Mit digitalen Interaktionen lässt sich im Internet Geld verdienen. Dabei bezahlen Unternehmen Anwender, damit diese im Netz bestimmte Aufgaben ausführen, etwa bezahlte Postings auf Social-Media-Plattformen, Kommentare aber auch bezahlte aber nicht als solche zu erkennende Produkt- oder Kundenbewertungen. Ein Vorgehen, das unter dem Namen Crowdturfing bekannt ist.
Crowdturfing nutzt dabei echte Profile von realen Personen. Einerseits erscheinen die damit getätigten Aktionen, wie etwa Kommentare, dadurch für Dritte real und sind für die Betreiber der jeweiligen Plattform schwer als Fälschungen zu identifizieren. Andererseits entsteht durch die Bezahlung und Ausführung der bezahlten Aktion eine relativ einfach nachzuverfolgende Verbindung zwischen Usern und Auftragsgebern. Die Doktoranden der ETH Zürich Ivan Puddu, Daniele Lain, Moritz Schneider und Sinisa Matetic haben mit ihrem Projekt TEEvil eine Methode entwickelt, die diese Nachteile durch die Kombination zweier bestehender Technologien kompensiert.
Eine der verwendeten Technologien ist TEE (Trusted Execution Environment). TEE bietet eine sicherere Laufzeitumgebung (Container) für Anwendungen auf neueren kommerziellen Prozessoren, bei denen die Daten im Container vor jedem Zugriff geschützt sind. Dies würde es Personen etwa ermöglichen, ihre Gesundheitsdaten für andere zugänglich zu machen, ohne dass die Daten den eigenen Computer verlassen müssen. Die Idee der Doktoranden war es, TEE mit Kryptowährungen zu kombinieren, um die Anonymität in beide Richtungen zu gewährleisten. Dies ermöglicht komplett geheime Transaktionen, aus denen weder Sender noch Empfänger ermittelt werden können. Auch der Betrag bleibt geheim.
Das von den ETH-Doktoranden entwickelte System erlaubt es, bestimmte Aktionen auf Plattformen zu vermieten, wie etwa Facebook-Posts oder aber auch Stimmen, die auf einer E-Voting-Plattform abgegeben werden. Obwohl die Aktion von einem Dritten durchgeführt wird, geschieht sie auf dem Computer des Verkäufers. "Der Verkäufer vermietet in diesem Fall quasi seine digitale Identität, weshalb wir von Identity Lease sprechen", so Moritz Schneider. Das Tückische daran sei es, dass es für den Plattformbetreiber unmöglich ist, festzustellen, ob der Nutzer die Aktion allein durchführt oder ob sein Konto gemietet ist.
"Es besteht zum Beispiel die Gefahr, dass diese Technologien genutzt werden, um Fake News zu verbreiten, Meinungen zu manipulieren oder Abstimmungsresultate zu beeinflussen", warnt Moritz Schneider. Entsprechend wichtig sei es, dass Betreiber von sozialen Netzwerken oder E-Voting-Plattformen wissen, dass die von ihnen zur Verfügung gestellte Technologie mit verhältnismässig wenig Aufwand zu einem Manipulationsinstrument geformt werden kann. "Die Betreiber von sozialen Plattformen haben grosse Fortschritte darin gemacht, Bots – also nichtmenschliche Akteure – zu identifizieren und auszuschalten. Auf authentische, aber gekaufte Accounts sind diese Systeme jedoch nicht vorbereitet", gibt Schneider zu bedenken. Die vollständige Studie ist hier verfügbar. (swe)
Crowdturfing nutzt dabei echte Profile von realen Personen. Einerseits erscheinen die damit getätigten Aktionen, wie etwa Kommentare, dadurch für Dritte real und sind für die Betreiber der jeweiligen Plattform schwer als Fälschungen zu identifizieren. Andererseits entsteht durch die Bezahlung und Ausführung der bezahlten Aktion eine relativ einfach nachzuverfolgende Verbindung zwischen Usern und Auftragsgebern. Die Doktoranden der ETH Zürich Ivan Puddu, Daniele Lain, Moritz Schneider und Sinisa Matetic haben mit ihrem Projekt TEEvil eine Methode entwickelt, die diese Nachteile durch die Kombination zweier bestehender Technologien kompensiert.
Eine der verwendeten Technologien ist TEE (Trusted Execution Environment). TEE bietet eine sicherere Laufzeitumgebung (Container) für Anwendungen auf neueren kommerziellen Prozessoren, bei denen die Daten im Container vor jedem Zugriff geschützt sind. Dies würde es Personen etwa ermöglichen, ihre Gesundheitsdaten für andere zugänglich zu machen, ohne dass die Daten den eigenen Computer verlassen müssen. Die Idee der Doktoranden war es, TEE mit Kryptowährungen zu kombinieren, um die Anonymität in beide Richtungen zu gewährleisten. Dies ermöglicht komplett geheime Transaktionen, aus denen weder Sender noch Empfänger ermittelt werden können. Auch der Betrag bleibt geheim.
Das von den ETH-Doktoranden entwickelte System erlaubt es, bestimmte Aktionen auf Plattformen zu vermieten, wie etwa Facebook-Posts oder aber auch Stimmen, die auf einer E-Voting-Plattform abgegeben werden. Obwohl die Aktion von einem Dritten durchgeführt wird, geschieht sie auf dem Computer des Verkäufers. "Der Verkäufer vermietet in diesem Fall quasi seine digitale Identität, weshalb wir von Identity Lease sprechen", so Moritz Schneider. Das Tückische daran sei es, dass es für den Plattformbetreiber unmöglich ist, festzustellen, ob der Nutzer die Aktion allein durchführt oder ob sein Konto gemietet ist.
"Es besteht zum Beispiel die Gefahr, dass diese Technologien genutzt werden, um Fake News zu verbreiten, Meinungen zu manipulieren oder Abstimmungsresultate zu beeinflussen", warnt Moritz Schneider. Entsprechend wichtig sei es, dass Betreiber von sozialen Netzwerken oder E-Voting-Plattformen wissen, dass die von ihnen zur Verfügung gestellte Technologie mit verhältnismässig wenig Aufwand zu einem Manipulationsinstrument geformt werden kann. "Die Betreiber von sozialen Plattformen haben grosse Fortschritte darin gemacht, Bots – also nichtmenschliche Akteure – zu identifizieren und auszuschalten. Auf authentische, aber gekaufte Accounts sind diese Systeme jedoch nicht vorbereitet", gibt Schneider zu bedenken. Die vollständige Studie ist hier verfügbar. (swe)
Weitere Artikel zum Thema
ETH findet Sicherheitslücken in 5G
11. Oktober 2018 - ETH-Forscher haben den kommenden Mobilfunkstandard 5G unter Sicherheitsaspekten beleuchtet. Der Datenschutz wird zwar im Vergleich zu 3G und 4G verbessert, allerdings stehen wir weiterhin vor Sicherheitslücken. Und dabei geht es nicht nur um das heimliche Auslesen von Ortungsdaten.Artikel kommentieren
