it-swarm.com.de

Ist das E-Petitionssystem des britischen Parlaments vertrauenswürdig?

In den letzten Tagen habe ich oft von der Petition gehört, das Brexit-Referendum (praktisch) zu "wiederholen", und ich habe festgestellt, dass es sich um eine Online-Petition handelt.

Ich habe festgestellt, dass für das Formular "Petition unterschreiben" nur Name, E-Mail-Adresse und Postleitzahl erforderlich sind. Anschließend erhalten Sie eine E-Mail, um Ihre Unterschrift zu bestätigen.

Ist dieses System sicher? Kann nicht jemand einfach einen Bot erstellen, der das Formular kontinuierlich ausfüllt (und die E-Mail bestätigt) und jedes Mal eine andere Adresse verwendet? Auf der Datenschutzseite scheint es auch nicht einmal ein Captcha-System zu geben, und die E-Mail-Überprüfung ist das einzige "System", das Bots verhindert.

Last but not least gibt es kein System, um sicherzustellen, dass der Unterzeichner Brite ist.

52
Matteo Umili

Die Petitionsseite ist lediglich ein Mechanismus, um festzustellen, ob möglicherweise genügend Personen vorhanden sind, um etwas zu unterstützen, und wenn ja, wird etwas im Parlament erörtert.

Es gibt einige Checks and Balances (zum Beispiel wurden 80.000 gefälschte Stimmen identifiziert und entfernt), aber hier besteht kein Bedarf an starkem Vertrauen, da in keiner dieser Petitionen entschieden wird.

Für die Wiederholung des Referendums über den Europäischen Ausstieg gibt es rund 4 Millionen Unterzeichner, und selbst bei einem gewissen Grad an Betrug weiß die Regierung bereits, dass dies etwas ist, über das sie diskutieren müssen.

Zusammenfassend: Kann man dem für diesen Zweck erforderlichen Niveau vertrauen? Fast sicher. Kann man darauf vertrauen, dass es keinen Betrug gibt? Nein.

78
Rory Alsop

Allgemeine Kommentare

Können Sie 100% sicher sein, dass jede Unterschrift von einer realen Person stammt? Können Sie einige Vorsichtsmaßnahmen treffen, um das Betrügen zu erschweren? Ja.

Hier sind einige Dinge, die die britische Regierung tun könnte (keine Ahnung, ob sie es tatsächlich tun):

  • Benötigen Sie ein erfolgreiches CAPTCHA nach X Versuchen von derselben IP.
  • Ratenlimit nach IP. Sicher, fünf Personen im selben Haushalt möchten sich möglicherweise anmelden, oder zehn Personen im selben Unternehmensnetzwerk, nachdem sie sich beim Mittagessen darüber unterhalten haben. Wenn Sie jedoch 100 Signaturen in einem gleichmäßigen Muster erhalten, können Sie ziemlich sicher sein, dass jemand versucht, die Zahlen aufzublasen.
  • Führen Sie eine Geolokalisierung der IP durch und korrelieren Sie mit der eingegebenen Postleitzahl. Die meisten Leute würden dies von zu Hause aus ohne VPN oder Proxy tun. Wenn Sie 90% der übereinstimmenden Signaturen erhalten, können Sie ziemlich sicher sein, dass die meisten von ihnen legitim sind.
  • Suchen Sie in den Daten nach Mustern. Wenn sich die Anmeldung während zwei Stunden merkwürdig erhöht und diese Anmeldungen andere Eigenschaften aufweisen als andere, kann dies daran liegen, dass in diesem Zeitraum jemand ein Botnetz gemietet hat.
  • Wenn die Petition ein Limit erreicht, wählen Sie eine zufällige Auswahl von Unterzeichnern aus und versuchen Sie, diese zu überprüfen. Dies könnte z.B. indem Sie ihnen eine E-Mail senden und sie bitten, von einer britischen Telefonnummer aus anzurufen, die unter dem Namen aufgeführt ist, den sie in der Petition verwendet haben. Dies würde Ihnen eine Schätzung der Obergrenze geben, wie viel Prozent der Signaturen gefälscht sind.

Könnte ein intelligenter Angreifer mit einem Botnetz diese Dinge überwinden? Möglicherweise, aber es legt die Messlatte höher.

Fallstudie

Stu-W verknüpft mit a Python script wird verwendet, um die Petition automatisch zu signieren. Das Skript weist eine Reihe von Schwachstellen auf, die leicht verwendet werden können um die Fälschungen herauszufiltern:

  • Die Postleitzahl ist eine Konstante, die fest im Skript codiert ist (SW1A 0AA). Selbst wenn einzelne Benutzer dies ändern würden, wäre eine große Anzahl von Signaturen aus derselben Postleitzahl in kurzer Zeit ein totes Werbegeschenk.
  • Die verwendeten E-Mails werden mit dem Modul Python tempmail ) generiert, das nur ein Wrapper für den Dienst temp-mail.r ist Das Herausfiltern der von ihnen verwendeten Domains würde den Trick tun.
  • Der Name ist nur eine Reihe von zufälligen Zeichen wie "ûqv knzõâ".
  • Alle Beiträge würden von derselben IP-Adresse stammen. Begrenzen Sie also einfach die Rate oder filtern Sie IPs mit mehr als X Signaturen in Y-Zeit aus der Datenbank heraus.
  • Es gibt keinen Versuch, ein glaubwürdiges User-Agent Header.

Mit anderen Worten, dieses Skript ist ziemlich dumm. Auch wenn es zur Unterzeichnung der Petition verwendet werden könnte, bedeutet dies nicht, dass die offensichtlich gefälschten Unterschriften später nicht herausgefiltert werden. Nur weil Sie einreichen, heißt das nicht, dass Sie gezählt werden.

20
Anders

Ich weiß nicht, ob dies in Großbritannien so ist, aber so wird es in den Niederlanden gemacht, wenn eine Petition bei der Regierung eingereicht wird:

  • Eine zufällige Stichprobe der Signaturen wird gezogen;
  • Diese Unterschriften werden überprüft (ich glaube, sie rufen Leute an, um zu fragen, ob sie unterschrieben haben).
  • das resultierende Verhältnis von gültigen: ungültigen Signaturen wird dann auf die gesamte Petition angewendet.

Wenn genügend Unterschriften auf der Petition gültig sind, muss die Petition vom Parlament berücksichtigt werden.

Da der Schwellenwert für Petitionen im Vereinigten Königreich 10.000 von der Regierung zu berücksichtigen und 100.000 für die Debatte zu berücksichtigen ist, sind nur 0,3% (Gegenleistung)/2,7% (Debatte) von .677.062 Unterschriften = müsste gültig sein.

15
user2428118

Für das Governance-Tool:

Ich sehe einen interessanten Punkt: Es gibt eine Karte, die die Verteilung über die Stimmen zeigt: http://petitionmap.unboxedconsulting.com/?petition=131215 .

Wir können hier sehen, dass die Stimmen im ganzen Land abgegeben wurden und die Verteilung der Bevölkerungsdichte zu folgen scheint (mehr Stimmen zu London, ...). Ein ausgeklügelter Bot hätte das nachahmen können, aber so schnell? Dies scheint unwahrscheinlich.

Dazu müssen weiterhin 4 Milliarden verschiedener E-Mail-Adressen angegeben werden. Die meisten Anbieter führen Überprüfungen durch. Wenn Sie eine oder zwei E-Mail-Domänen verwenden, die nicht häufig verwendet und vor Bots geschützt sind, können Sie diese Stimmen dennoch erkennen und verwerfen.

Darüber hinaus handelt es sich um ein Regierungswerkzeug, so dass sie einige Überprüfungen durchführen können (Proxy-IP durch Erkennen einer Menge derselben IP verbieten, ...), aber ich kenne sie nicht.

Daher denke ich, dass diese Petition, die das Regierungstool verwendet, als vertrauenswürdig erscheint, da es in der kurzen Zeit seit den ersten Ergebnissen schwierig ist, so viele Stimmen zu generieren, wenn man bedenkt, dass Postanschriften und die Aufteilung der Postleitzahl.

EDIT: Antwort auf DW-Kommentare: Da das OP gewinnt, wenn das Regierungsinstrument in Bezug auf die eine Petition mit 4000000 Stimmen zuverlässig ist, ist das, was ich in diesem Fall gesagt habe, definitiv zuverlässig, gefälschte Stimmen werden gut genug gefiltert, um dies nicht zu tun sei so repräsentativ.

Wenn Sie nun um 10.000 Stimmen gebeten haben, ist es möglich, dass gefälschte Stimmen zu repräsentativ sind, um vertrauenswürdig zu sein.

3
Walfrat

Sie können die Postleitzahl nicht mit dem IP-Standort abgleichen. Ich verwende Plusnet in Großbritannien und es wird in Dundee (mehrere hundert Meilen von mir entfernt) angezeigt, wenn ich meinen Standort nach Standort überprüfe. Es kann also nicht verwendet werden, um dies zu überprüfen.

Ebenso benötigen Sie nicht Millionen von E-Mail-Adressen, sondern nur eine mit vielen Aliasnamen - vorausgesetzt, die E-Mail-Adresse wird tatsächlich überprüft.

Ich bezweifle, dass die Petitionsseite unter Berücksichtigung der Betrugsüberprüfung erstellt wurde, da die Petitionen bis vor kurzem größtenteils triviale Angelegenheiten betrafen. Es ist wahrscheinlich nur ein einfaches Webformular, das eine E-Mail-Antwort und einen Duplikatprüfer für Postleitzahl und Namen verwendet (mehrere Personen könnten am selben Ort wohnen).

3
gbjbaanb

Sie können den Namen und die Postleitzahl anhand des Wählerverzeichnis überprüfen. Wenn sie sagen, dass 80.000 betrügerische Namen entfernt wurden, gehe ich davon aus, dass diese nicht übereinstimmen (das weiß ich nicht genau).

Dies ist jedoch fehlerhaft, weil viel von Das Wählerverzeichnis ist öffentlich.

2
paj28

Während die Antwort "Nein" wäre, spielt es in diesem Fall keine Rolle. Alles was es ist, ist in 'Indikator'. Es muss nicht vertrauenswürdig sein, um "angeschaut" zu werden.

Wenn jemand im Internet abstimmen würde, wäre dieses System eine sehr, sehr schlechte Idee.

2
John Keates

Es ist nicht nur technische Sicherheit, die Sie berücksichtigen müssen. Kein Online-Abstimmungssystem ist eine geheime Abstimmung. Es gibt keine Möglichkeit, den sozialen Druck zu beseitigen, auf eine bestimmte Weise zu wählen. Ein dominantes Mitglied des Haushalts kann andere Familienmitglieder zum Unterschreiben schikanieren oder einfach ihre E-Mail-Adressen verwenden, um dies selbst zu tun.

1
Michael Kay

Sie können es nicht ausfallsicher machen, aber Sie können die Anzahl der zu berücksichtigenden Parameter erhöhen, damit der maximale Prozentsatz an Cheat statistisch unbedeutend wird.

Trotzdem lebe ich in Frankreich, war in meinem ganzen Leben ungefähr eine Woche in Wales und habe gerade die Petition als Londoner unterschrieben, der in 1 Jamaica St. lebt. Mein Webbrowser hat keine Erlaubnis, Geolocation zu verwenden, aber ich habe es nicht getan Verwenden Sie ein beliebiges VPN oder einen Proxy, damit ich entdeckt werden kann. Mit ein oder zwei weiteren Vorsichtsmaßnahmen hätte ich als ein völlig legitimer Londoner angesehen werden können, aber ich bin nur eine Person unter unseren Locharten.

Ob Petitionen zuverlässig sind oder nicht, hängt von Ihren statistischen Überlegungen und der Definition der Zuverlässigkeit ab.

0
user2189