Domanda:
Il sistema di petizioni elettroniche del Parlamento britannico è affidabile?
Matteo Umili
2016-06-27 12:48:43 UTC
view on stackexchange narkive permalink

Negli ultimi giorni, ho sentito spesso parlare della petizione per "ripetere" (praticamente) il referendum sulla Brexit e ho notato che si tratta di una petizione online.

Ho notato che il modulo "firma petizione" richiede solo nome, indirizzo email e codice postale, quindi riceverai un'e-mail per confermare la tua firma.

Questo sistema è sicuro? Qualcuno non può semplicemente creare un bot che riempirà il modulo continuamente (e confermerà l'e-mail) utilizzando ogni volta un indirizzo diverso? Guardando la pagina sulla privacy, sembra anche che non abbia nemmeno un sistema captcha e la verifica dell'email è l'unico "sistema" per prevenire i bot.

Ultimo ma non da ultimo non ha un sistema per garantire che il firmatario sia britannico.

In una nota a margine, questo non è un sistema di petizioni solo per un secondo voto sulla Brexit.È un sistema utilizzato per qualsiasi domanda che i cittadini britannici vogliano sollevare in parlamento.
Breitbart (prendere con un pizzico di sale anche se ancora plausibile) collegato a uno script pastebin che utilizzava la meccanizzazione di Python e creava automaticamente account di posta elettronica usa e getta e firmava la petizione con loro.Ha vari screenshot di persone su Twitter che ne incoraggiano l'uso / distribuiscono codici postali.Sfortunatamente lo script è stato rimosso ma è stato replicato su http://archive.is/pzULl
C'è anche il problema interessante che chiunque può acquistare una copia elettronica del registro elettorale del Regno Unito che contiene i nomi e gli indirizzi di tutti gli iscritti al voto in modo da poter inviare loro materiale di marketing diretto (a meno che tu non abbia chiesto la rimozione del tuo nome).Falsificare le iscrizioni non sarebbe difficile, soprattutto se tu o il tuo datore di lavoro aveste una copia di questo database ...
La sicurezza non è sì o no e la risposta dipende dalle minacce che consideri nell'ambito, quindi sarebbe più utile se dichiarassi il tuo modello di minaccia.Consulta il nostro [help / on-topic]: "La sicurezza è un argomento molto contestuale: le minacce ritenute importanti nel tuo ambiente possono essere irrilevanti in quello di qualcun altro e viceversa. [...] Per ottenere le risposte più utili dovrestidicci: [...] * chi utilizza la risorsa che stai cercando di proteggere e chi pensi possa volerne abusare (e perché) * quali misure hai già intrapreso per proteggere quella risorsa * quali rischi pensi di dover ancora mitigare ".
Matt e PyRulez - una discussione sui pro e contro del voto cartaceo e elettronico può avvenire su [chat] - non qui nei commenti.
Dato che circa 30.000 voti provenivano da indirizzi IP associati alla Città del Vaticano (Pop. 800), offrirò un cauto "no".
È interessante notare che di recente ho notato in un'altra occasione che il corrispondente portale di petizioni online per gli Stati Uniti non sembra nemmeno adottare misure contro le firme di frode.Ancora di più: non è presente la casella di controllo "Sono un cittadino statunitense" e anche i Termini e condizioni * non * richiedono che il firmatario sia cittadino statunitense, residente negli Stati Uniti o in alcun modo affiliato agli Stati Uniti
La mia ipotesi è che il fatto che il sito web delle [petizioni parlamentari del Regno Unito] (https://petition.paragraph.uk/petitions/229963) sia attualmente "fuori uso per manutenzione" suggerisce fortemente che sono stati sopraffatti da un diluvio di "falsi,firme basate su bot.Il paese è presumibilmente diviso 50/50 sulla questione Brexit, quindi è semplicemente ridicolo supporre che oltre 1 milione di persone abbia improvvisamente voluto firmare questo nel giro di poche ore, mentre l'altra parte ha impiegato settimane per raggiungere anche * la metà * di quel numero(o la maggior parte dei "che lasciano" in realtà è apatica e / o troppo stupida per usare Internet?).
Solo FYI.È probabile che questo argomento riceva maggiore attenzione a seguito di un'altra petizione di alto profilo che ha ricevuto oltre 2 milioni di sostenitori in 36 ore.
@FumbleFingers: il fallimento sembra essere correlato al sotto-provisioning piuttosto che a un DoS intenzionale.Lo schema del numero di firme finora è coerente con una distribuzione virale e le posizioni da cui provengono le firme sono in gran parte coerenti con le aree che ti aspetteresti che fossero.Le modifiche al codice per (ad esempio) ridurre la frequenza degli aggiornamenti del contatore e le modifiche a una suddivisione JSON per circoscrizione sembrano averlo mitigato nel frattempo.
@JamesSnell: Mentre scrivo (19 ore dopo il primo commento) il sito è di nuovo attivo, questa petizione ha oltre ** 3,1 milioni ** di firme, quasi dieci volte il numero di coloro che hanno firmato il più lungo "Leave with no deal" (es.- * in realtà * vattene, poiché l'unico affare in offerta è [BRINO] (https://www.euronews.com/2018/02/26/translating-brexicon-knowing-your-bremoaner-from-your-brino)).Questo riflette livelli incredibilmente alti di attività da parte di "cattivi attori", oppure sono costretto a supporre che le persone che sostengono lo status quo siano molto più "attiviste" di quelle che vogliono un cambiamento sociopolitico.Controintuitivo.
@FumbleFingers - Non credo sia appropriato suggerire a coloro che desiderano rimanere nell'UE di rifiutare il cambiamento socio-politico.Vedono che i veri problemi che la comunità di sostegno al congedo solleva più spesso in realtà derivano dalle azioni dei governi britannici.In quanto tale, commettere seppuku internazionale non farà che peggiorare le cose.
Nove risposte:
Rory Alsop
2016-06-27 13:24:26 UTC
view on stackexchange narkive permalink

Il sito delle petizioni è puramente un meccanismo per vedere se ci possono essere numeri sufficienti per sostenere qualcosa e, in tal caso, che qualcosa verrà discusso in Parlamento.

Ci sono alcuni controlli ed equilibri (per esempio, sono stati identificati e rimossi 80.000 voti falsi) ma non è necessario un forte livello di fiducia, poiché nessuna di queste petizioni decide nulla.

Per la ripetizione del referendum sull'uscita dall'Europa, ci sono circa 4 milioni di firmatari e, anche con un certo livello di frode, il governo sa già che è qualcosa di cui devono discutere.

In sintesi: ci si può fidare del livello richiesto a questo scopo? quasi certamente. Ci si può fidare di non avere frodi? No.

I commenti non sono per discussioni estese;questa conversazione è stata [spostata in chat] (http://chat.stackexchange.com/rooms/41749/discussion-on-answer-by-rory-alsop-is-the-uk-parommunity-e-petition-system-trustw).
Anders
2016-06-27 13:46:36 UTC
view on stackexchange narkive permalink

Commenti generali

Puoi essere sicuro al 100% che ogni firma provenga da una persona reale? No. Puoi prendere alcune precauzioni per rendere più difficile imbrogliare? Sì.

Ecco alcune cose che il governo britannico potrebbe fare (non ho idea se lo faccia effettivamente):

  • Richiedi un CAPTCHA di successo dopo X tentativi dallo stesso IP .
  • Limite di velocità per IP. Certo, cinque persone nella stessa famiglia potrebbero voler iscriversi, o 10 persone sulla stessa rete aziendale dopo averne parlato a pranzo. Ma se ottieni 100 firme in uno schema costante, puoi essere abbastanza sicuro che qualcuno stia cercando di aumentare i numeri.
  • Esegui la geolocalizzazione dell'IP e correlalo al codice postale inserito. La maggior parte delle persone lo farebbe da casa senza una VPN o un proxy. Se ottieni il 90% delle firme corrispondenti, puoi essere abbastanza sicuro che la maggior parte di esse sono legittime.
  • Cerca pattern nei dati. Se si verifica uno strano picco nelle iscrizioni durante due ore e tali iscrizioni hanno caratteristiche diverse rispetto ad altre, potrebbe essere perché qualcuno ha affittato una botnet durante quel periodo di tempo.
  • Quando la petizione raggiunge un limite, scegli una selezione casuale di firmatari e prova a verificarli. Questo potrebbe essere fatto ad es. inviandogli un'e-mail e chiedendo loro di chiamare da un numero di telefono del Regno Unito indicato nel nome che hanno utilizzato nella petizione. Questo ti darebbe una stima del limite massimo su quanto grande percentuale delle firme sono false.

Un utente malintenzionato intelligente con una botnet potrebbe superare queste cose? Forse, ma alza l'asticella.

Case study

Stu-W collegato a uno script Python utilizzato per firma la petizione. Lo script ha una serie di punti deboli che potrebbero essere facilmente utilizzati per filtrare i falsi:

  • Il codice postale è una costante codificata nello script (SW1A 0AA). Anche se i singoli utenti lo cambiassero, un numero elevato se le firme dallo stesso codice postale in breve tempo sarebbero un regalo morto.
  • Le email utilizzate sono generate con il modulo tempmail di Python, che è solo un wrapper per il servizio temp-mail.ru. Quindi filtrare semplicemente i domini da loro usati farebbe il trucco.
  • Il nome è solo un gruppo di caratteri casuali come "ûqv knzõâ".
  • Tutti i post sarebbero dallo stesso Indirizzo IP. Quindi basta limitare la velocità o filtrare gli IP con più di X firme nel tempo Y dal database.
  • Non c'è alcun tentativo di impostare un'intestazione User-Agent credibile.

In altre parole, questo script è piuttosto stupido. Anche se potrebbe essere utilizzato per firmare la petizione, ciò non significa che le firme ovviamente false non verranno filtrate in seguito. Solo perché invii non significa che verrai conteggiato.

Attenzione alla geolocalizzazione IP!La maggior parte delle grandi aziende ha un unico punto di connessione a Internet reale e, poiché si tratta di un firewall, verrà utilizzato solo questo IP, anche se la posizione effettiva dell'utente si trova dall'altra parte del paese.
@SergeBallesta Non sto dicendo che tutti i casi in cui la geolocalizzazione non corrisponde dovrebbero essere filtrati.Sto suggerendo che potrebbe essere usato come controllo di integrità sul set di dati nel suo insieme.
Non solo il codice postale è una costante, è il codice postale del Parlamento stesso!Nessuno vive davvero lì, per quanto ne so.
Lo script Python dovrebbe essere trattato come una prova di concetto.È del tutto possibile creare una migliore randomizzazione e inviare richieste utilizzando una sorta di botnet per avere una buona distribuzione degli indirizzi IP.
@siimsoni Da qui la mia prima frase.Tuttavia, se la conversazione nei commenti è corretta, è stata effettivamente utilizzata.
@crazyscot In realtà, la Speaker's House (appartamento) è lì, nella Elizabeth Tower.
Sono corretto!
Vale anche la pena notare che il sito delle petizioni ha ora modificato il filtro degli indirizzi email per bloccare "più indirizzamento".La mia ipotesi è che alcune iscrizioni automatiche utilizzassero anche quel metodo e scripting (ad esempio) account Gmail.
user2428118
2016-06-27 15:42:29 UTC
view on stackexchange narkive permalink

Non so se è così che vanno le cose in Gran Bretagna, ma è così che vanno le cose nei Paesi Bassi ogni volta che viene presentata una petizione al governo:

  • Un campione casuale delle firme viene preso;
  • Queste firme sono verificate (penso che chiamino le persone per chiedere se hanno firmato);
  • il rapporto risultante di firme valide: non valide viene quindi applicato all'intera petizione.

Se un numero sufficiente di firme sulla petizione è valido, la petizione deve essere presa in considerazione dal parlamento.

Poiché la soglia per le petizioni del Regno Unito è 10.000 da prendere in considerazione dal governo e 100.000 da considerare per il dibattito, solo lo 0,3% (considerazione) / 2,7% (discussione) di 3.677.062 firme dovrebbe essere valido.

Dopo che tale campione è stato prelevato, il team / agenzia / governo si prende il tempo per campionare una porzione maggiore dei voti (o anche tutti) per una maggiore precisione, o normalmente accettano il campione così com'è?Suppongo che il campione sia in genere abbastanza vicino comunque
Walfrat
2016-06-27 12:51:14 UTC
view on stackexchange narkive permalink

Per lo strumento di governo:

Vedo un punto interessante: c'è una mappa che mostra la distribuzione dei voti: http://petitionmap.unboxedconsulting.com/?petition=131215.

Qui possiamo vedere che i voti sono stati fatti in tutto il paese, e la distribuzione sembra seguire la densità di popolazione (più voti su Londra, ...). Un bot elaborato avrebbe potuto imitarlo, ma così velocemente? Sembra improbabile.

Ciò richiederà comunque di fornire 4 miliardi di indirizzi di posta diversi. La maggior parte dei provider esegue controlli e se utilizzi uno o due domini di posta non ampiamente utilizzati e protetti dai bot, puoi comunque rilevare e scartare quei voti.

Inoltre è uno strumento del governo, quindi può avere un bel po 'di controlli intorno ad esso, (vietare l'IP proxy rilevando molti dello stesso IP, ...) ma non li conosco.

Quindi penso che questa petizione che utilizza lo strumento del governo sembri affidabile poiché la generazione di così tanti voti considerando, gli indirizzi di posta, la ripartizione del codice postale sembra difficile da fare nel breve lasso di tempo che è stato dai primi risultati.

EDIT: Risposta ai commenti DW: poiché l'OP sta vincendo se lo strumento del governo è affidabile riguardo all'unica petizione con 4000000 voti, quello che dicevo c'è in questo caso è definitivamente affidabile, i voti falsi saranno filtrati abbastanza bene da non essere così rappresentativi.

Ora, se hai chiesto 10.000 voti, è possibile che voti falsi siano troppo rappresentativi per essere affidabili.

Sebbene interessanti, i commenti non sono per discussioni estese;questa conversazione è stata [spostata in chat] (http://chat.stackexchange.com/rooms/41709/discussion-on-answer-by-walfrat-is-the-uk-parommunity-e-petition-system-trustwort).
Questa risposta non sembra rispondere alla domanda che è stata posta.La domanda che è stata posta è: "il sistema di petizioni è sicuro contro gli attacchi?".Questa risposta sembra cercare di rispondere alla domanda: "i risultati di una particolare campagna di petizione sembrano essere affidabili?"- ma questa è una domanda diversa.
@D.W.Bene, quello che sto dicendo alla fine è che la petizione sul sistema di petizioni da cui l'OP ha posto questa domanda sembra essere abbastanza affidabile riguardo ai fatti.Come ha sottolineato Rory, puoi avere circa 10mila voti falsi, ma gli strumenti del governo sembrano fornire un'affidabilità abbastanza equa da rendere affidabile la petizione con 4000000 voti.Ora, se chiedessi circa 10.000 voti, direi che è possibile che ci siano abbastanza voti falsi per non essere così affidabili.
gbjbaanb
2016-06-27 14:29:15 UTC
view on stackexchange narkive permalink

Non puoi abbinare il codice postale alla posizione IP, utilizzo Plusnet nel Regno Unito e risulta essere a Dundee (a diverse centinaia di miglia di distanza) da me quando controllo la mia posizione in base alla posizione. Quindi non può usarlo per controllare.

Allo stesso modo, non hai bisogno di milioni di indirizzi email, solo 1 con molti alias - supponendo che l'indirizzo email sia effettivamente controllato.

Dubito che il sito della petizione sia stato creato pensando alla verifica delle frodi poiché fino a poco tempo fa le petizioni erano per lo più banali. Probabilmente è solo un semplice modulo web che utilizza una risposta e-mail e un controllo duplicati per codice postale e nome (più persone potrebbero vivere nello stesso posto)

paj28
2016-06-27 16:18:22 UTC
view on stackexchange narkive permalink

Possono verificare il nome e il codice postale rispetto alle liste elettorali. Quando dicono che sono stati rimossi 80.000 nomi fraudolenti, mi aspetto che siano quelli che non corrispondono (non lo so per certo).

Tuttavia, questo è sbagliato perché gran parte di s> le liste elettorali sono pubbliche.

Inoltre, la stessa lista elettorale ha una sicurezza estremamente debole.Entrare nelle liste elettorali si riduce essenzialmente a mettere un nome, un indirizzo e una firma su un modulo.Non è possibile verificare il nome, l'indirizzo o anche se la persona è cittadina britannica o meno.
E una correzione: tutta la lista elettorale è pubblica.Puoi scegliere di escludere il tuo nome dall'uso per scopi di marketing, ma chiunque può ispezionare l'intero registro in qualsiasi momento.
Il [modulo] (https://petition.parishment.uk/petitions/131215/signatures/new) richiede solo di essere cittadini britannici o residenti nel Regno Unito.Non essere nelle liste elettorali.Quindi la lista elettorale non può essere utilizzata per eliminare le firme non valide.
@JonBentley - Come posso visualizzare il rotolo non modificato?Non è destinato ad essere pubblico, ma se conosci un modo, sarebbe interessante!
@paj28 È assolutamente destinato a essere pubblico.Puoi visualizzarlo contattando l'ufficio del registro elettorale del tuo distretto.Di solito si trova nella sede del tuo consiglio, nel municipio o forse in una biblioteca.Vedi [qui] (https://www.gov.uk/electoral-register/view-electoral-register) per i dettagli su come visualizzarlo [e qui] (https://www.gov.uk/electoral-register/opt-out-of-the-open-register) per l'opt-out che è ciò che potrebbe causare la confusione.
@JonBentley - La mia libreria locale mostra solo il rotolo aperto.Ero scettico su quello che hai detto, ma sono appena stato al telefono con il mio ufficio elettorale locale e mi lasceranno vedere l'intero elenco - se prendo un appuntamento e vengo di persona.Grazie per la correzione ... Oggi ho imparato :-)
John Keates
2016-06-27 21:21:01 UTC
view on stackexchange narkive permalink

Anche se la risposta sarebbe "no", in questo caso non importa. È tutto in "indicatore". Non è necessario che ci si fidi di essere "guardato".

Se qualcuno votasse su Internet, allora questo sistema sarebbe una pessima idea da usare.

Michael Kay
2016-06-29 12:36:40 UTC
view on stackexchange narkive permalink

Non è solo la sicurezza tecnica che devi considerare. Nessun sistema di voto online è a scrutinio segreto; non c'è modo di eliminare la pressione sociale per votare in un modo particolare. Un membro dominante della famiglia può costringere altri membri della famiglia a firmare o semplicemente utilizzare i loro indirizzi email per farlo da solo.

user2189
2016-06-27 14:14:45 UTC
view on stackexchange narkive permalink

Non puoi renderlo a prova di errore, ma puoi aumentare la quantità di parametri da prendere in considerazione in modo che la percentuale massima di cheat diventi statisticamente insignificante.

Tuttavia, vivo in Francia, sono stato a Galles una volta per una settimana o giù di lì in tutta la mia vita, e ho appena firmato la petizione come londinese che vive a 1 Jamaica St.Il mio browser web non ha il permesso di usare la geolocalizzazione ma non ho usato alcuna VPN o proxy così posso essere individuato Con una o due precauzioni in più, avrei potuto essere considerato un londinese pienamente legittimo, ma sono solo un individuo tra le nostre specie di buchi.

L'affidabilità o meno delle petizioni dipende dalle tue considerazioni statistiche e definizione di affidabilità.



Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 3.0 con cui è distribuito.
Loading...