Il sistema di petizione elettronica del Parlamento del Regno Unito è affidabile?

Naviga le tue risposte
52

Negli ultimi giorni, ho sentito spesso della petizione di (in pratica) "ripetere" il referendum sulla Brexit e ho notato che è un petizione online .

Ho notato che il modulo "petizione di segno" richiede solo nome, indirizzo email e codice postale, quindi riceverai un'email per confermare la tua firma.

Questo sistema è sicuro? Non è possibile che qualcuno crei un bot che riempirà il modulo continuamente (e conferma l'e-mail) utilizzando un indirizzo diverso ogni volta? Guardando la pagina sulla privacy , sembra anche che non abbia nemmeno un sistema captcha, e la verifica via email è l'unica " sistema "per prevenire i bot.

Ultimo ma non meno importante non ha un sistema per garantire che il firmatario sia britannico.

    
posta Matteo Umili 27.06.2016 - 09:48
fonte

9 risposte

78

Il sito delle petizioni è puramente un meccanismo per vedere se ci possono essere numeri abbastanza alti per supportare qualcosa, e in tal caso, qualcosa sarà discusso in Parlamento.

Ci sono alcuni pesi e contrappesi (ad esempio 80.000 falsi voti sono stati identificati e rimossi) ma non c'è bisogno di un strong livello di fiducia qui, dato che nessuna di queste petizioni è stata decisa.

Per il rifacimento del referendum sull'uscita europea, ci sono circa 4 milioni di firmatari, e anche con qualche livello di frode, il governo sa già che è qualcosa di cui hanno bisogno di discutere.

In sintesi: è possibile attendersi il livello richiesto per questo scopo? quasi certamente. Si può avere fiducia nel non avere frodi? No.

    
risposta data 27.06.2016 - 10:24
fonte
18

Commenti generali

Puoi essere sicuro al 100% che ogni firma provenga da una persona reale? No. Puoi prendere alcune precauzioni per rendere più difficile l'imbroglio? Sì.

Ecco alcune cose che il governo britannico potrebbe fare (non so se lo fanno effettivamente):

  • Richiede un CAPTCHA riuscito dopo che X tenta lo stesso IP.
  • Limite di velocità per IP. Certo, cinque persone nella stessa famiglia potrebbero voler iscriversi, o 10 persone nella stessa rete aziendale dopo averne parlato a pranzo. Ma se ottieni 100 firme in uno schema costante, puoi essere abbastanza sicuro che qualcuno sta provando a gonfiare i numeri.
  • Effettua la geolocalizzazione dell'IP e la correlazione con il codice postale inserito. La maggior parte delle persone lo farebbe da casa senza un VPN o un proxy. Se ottieni il 90% delle firme corrispondenti, puoi essere abbastanza sicuro che la maggior parte di esse sono legittime.
  • Cerca lo schema nei dati. Se durante l'orario di due ore c'è uno strano picco di registrazione e queste registrazioni hanno caratteristiche diverse da altre, potrebbe essere perché qualcuno ha noleggiato una botnet durante quel periodo di tempo.
  • Quando la petizione raggiunge un limite, scegli una selezione casuale di firmatari e prova a verificarli. Questo potrebbe essere fatto ad es. inviandoli via e-mail e chiedendo loro di chiamare da un numero di telefono del Regno Unito elencato sul nome utilizzato nella petizione. Questo ti darebbe una stima del limite superiore su quanto grande percentuale di firme sia falsa.

Un attaccante astuto con una botnet potrebbe superare queste cose? Forse, ma alza la barra.

Case study

Stu-W collegato a uno script Python utilizzato per firmare automaticamente la petizione. Lo script ha una serie di punti deboli che potrebbero essere facilmente utilizzati per filtrare i falsi:

  • Il codice postale è un codice codificato costante nello script (SW1A 0AA). Anche se i singoli utenti dovessero cambiarlo, un numero elevato se le firme dallo stesso codice postale in un breve periodo sarebbero un regalo scarno.
  • Le e-mail utilizzate sono generate con il modulo tempmail di Python, che è solo un wrapper per temp-mail.ru servizio. Quindi filtrare solo i domini da loro utilizzati farebbe il trucco.
  • Il nome è solo un gruppo di caratteri randomizzati come "ûqv knzõâ".
  • Tutti i post saranno dello stesso indirizzo IP. Quindi basta limitare la velocità o filtrare gli IP con più di X firme in Y time dal database.
  • Non vi è alcun tentativo di impostare un'intestazione User-Agent credibile.

In altre parole, questo script è piuttosto stupido. Anche se potrebbe essere usato per firmare la petizione, ciò non significa che le firme ovviamente false non saranno filtrate in seguito. Solo perché l'invio non significa che verrà conteggiato.

    
risposta data 27.06.2016 - 10:46
fonte
15

Non so se questo è il modo in cui sono fatte le cose in Gran Bretagna, ma è così che si fanno le cose nei Paesi Bassi ogni volta che una petizione viene presentata al governo:

  • Viene preso un campione casuale di firme;
  • Queste firme sono verificate (penso che chiamino le persone per chiedere se hanno firmato);
  • il rapporto risultante di valid: firme non valide viene quindi applicato all'intera petizione.

Se un numero sufficiente di firme sulla petizione è valido, la petizione deve essere presa in considerazione dal parlamento.

Poiché la soglia sulle petizioni del Regno Unito è di 10.000 per essere considerata dal governo e 100.000 da considerare per il dibattito, solo lo 0.3% (considerazione) / 2,7% (discussione) di 3.677.062 firme devono essere valide.

    
risposta data 27.06.2016 - 12:42
fonte
3

Non puoi associare il codice postale al percorso IP, io uso Plusnet nel Regno Unito e si presenta come a Dundee (a diverse centinaia di miglia di distanza) da me quando controllo la mia posizione in base alla posizione. Quindi non può usarlo per controllare.

Allo stesso modo, non hai bisogno di milioni di indirizzi email, solo 1 con molti alias - assumendo che l'indirizzo email sia effettivamente controllato.

Dubito che il sito della petizione sia stato costruito pensando alla frode poiché fino a poco tempo fa le petizioni erano per lo più banali. Probabilmente è solo un semplice modulo Web che utilizza una risposta e-mail e un duplicato di controllo per codice postale e nome (più persone potrebbero vivere nello stesso posto)

    
risposta data 27.06.2016 - 11:29
fonte
3

Per lo strumento governativo:

Vedo un punto interessante: c'è una mappa che mostra la distribuzione attraverso i voti: link .

Possiamo vedere qui che i voti sono stati fatti in tutto il paese, e la distribuzione sembra seguire la densità della ppopolazione (più voti su Londra, ...). Un robot elaborato potrebbe averlo imitato, ma così veloce? Sembra improbabile.

Ciò richiederà comunque di fornire 4 miliardi di indirizzi email diversi. La maggior parte dei provider esegue controlli e, se si utilizzano uno o due domini di posta che non sono ampiamente utilizzati e protetti dai bot, è comunque possibile rilevare e rigettare tali voti.

Inoltre è uno strumento governativo, quindi possono avere un certo numero di controlli su di esso, (vietare l'IP del proxy rilevando molto dello stesso IP, ...) ma non li conosco.

Quindi penso che questa petizione che usa lo strumento del governo sembra affidabile come generare così tanti voti considerando, gli indirizzi postali, la ripartizione del codice postale sembra difficile da fare nel breve lasso di tempo trascorso dai primi risultati.

EDIT: Risposta ai commenti DW: dal momento che l'OP sta svanendo se lo strumento governativo è affidabile rispetto a una petizione con 4000000 voti, quello che stavo dicendo è che in questo caso è definitivamente affidabile, i voti falsi verranno filtrati bene abbastanza per non essere così rappresentativo.

Ora se hai chiesto un voto di 10k è possibile che i voti falsi possano essere troppo rappresentativi per essere affidabili.

    
risposta data 27.06.2016 - 09:51
fonte
2

Mentre la risposta sarebbe "no", in questo caso non ha importanza. Tutto ciò che è, è in 'indicatore'. Non è necessario essere considerati attendibili.

Se qualcuno dovesse fare voto su Internet, allora questo sistema sarebbe una pessima idea da usare.

    
risposta data 27.06.2016 - 18:21
fonte
1

Non è solo la sicurezza tecnica che devi prendere in considerazione. Nessun sistema di voto online è un voto segreto; non c'è modo di eliminare la pressione sociale per votare in un modo particolare. Un membro dominante della famiglia può prendere in prepotenza altri membri della famiglia nella firma, o semplicemente usare i loro indirizzi email per farlo da solo.

    
risposta data 29.06.2016 - 09:36
fonte
1

Possono verificare il nome e il codice postale contro il rotolo elettorale . Quando dicono che sono stati rimossi 80.000 nomi fraudolenti, mi aspetto che siano quelli che non corrispondono (non lo so per certo).

Tuttavia, ciò è errato perché gran parte il rotolo elettorale è pubblico.

    
risposta data 27.06.2016 - 13:18
fonte
0

Non puoi renderlo a prova di errore, ma puoi aumentare la quantità di parametri da tenere in considerazione in modo che la percentuale massima di imbroglio diventi statisticamente insignificante.

Tuttavia, vivo in Francia, sono stato in Galles una volta per una settimana o giù di lì in tutta la mia vita, e ho appena firmato la petizione come londinese che vive in 1 Jamaica St. Il mio browser non ha il permesso di usare la geolocalizzazione ma Non ho usato alcun VPN o proxy in modo da poter essere individuato. Con una o due precauzioni adeguate, avrei potuto essere considerato un londinese pienamente legittimo, ma io sono solo un individuo tra le nostre specie buche.

Se le petizioni sono affidabili o meno dipende dalle tue considerazioni statistiche e dalla definizione di affidabilità.

    
risposta data 27.06.2016 - 11:14
fonte

Leggi altre domande sui tag

I telefoni trasmettono gli SSID di tutte le reti a cui si sono mai collegati. Come possono essere ottenuti da un aggressore? Protezione CSRF con intestazioni personalizzate (e senza token di convalida)