Pericolo per i sistemi di voto elettronico

Nell'era dell'informazione, i dati sono diventati da tempo una merce. Le aziende finanziano le loro "offerte gratuite" con pubblicità mirata. Ma non sono solo i dati a valere in denaro su Internet. Si può guadagnare anche dalle interazioni digitali. Le aziende stanno già pagando gli utenti per svolgere determinati compiti online. Le possibilità vanno dai post a pagamento sulle piattaforme di social media e dai commenti a Chi siamo alle recensioni di prodotti o clienti pagate ma non riconoscibili. In termini tecnici, questo segmento di business è noto come crowdturfing.

Poiché dietro i commenti del crowdturfing si celano profili di persone reali, questi appaiono autentici a terzi e sono difficili da identificare come falsi per i gestori delle rispettive piattaforme. Tuttavia, ci sono anche degli svantaggi: Gli utenti acquistati devono essere istruiti, pagati e l'esecuzione dell'azione a pagamento deve essere monitorata. Il pagamento, a sua volta, apre più o meno la relazione tra acquirente e venditore. Con il progetto TEEvil, i dottorandi Ivan Puddu, Daniele Lain, Moritz Schneider e Sinisa Matetic hanno sviluppato un processo che compensa questi svantaggi combinando due tecnologie esistenti.

Sala dati protetta

Una delle tecnologie utilizzate è il TEE o Trusted Execution Environment. Il TEE decide di creare un ambiente di runtime (contenitore) più sicuro per le applicazioni nei processori disponibili in commercio, in cui i dati contenuti nel contenitore sono protetti da qualsiasi accesso. Ciò consentirebbe alle persone di rendere accessibili a terzi i propri dati sanitari senza che questi lascino il proprio computer. Possono anche specificare quali dati possono essere utilizzati da chi e per quanto tempo - una caratteristica positiva della TEE. L'idea dei dottorandi è stata quella di combinare i TEE con le criptovalute per garantire l'anonimato in entrambe le direzioni. Ciò consente di effettuare transazioni completamente segrete, in cui né il mittente né il destinatario possono essere identificati. Anche l'importo rimane segreto.

Identità in affitto

Il sistema sviluppato dai dottorandi dell'ETH consente ora di affittare alcune azioni su determinate piattaforme, come i post su Facebook o, più seriamente, i voti espressi su una piattaforma di e-voting. Anche se l'azione è svolta da una terza parte, ha luogo sul computer del venditore. "In questo caso, il venditore sta effettivamente affittando la propria identità digitale, ed è per questo che si parla di leasing di identità", spiega Schneider. L'aspetto complicato è che il gestore della piattaforma non può sapere se l'utente sta compiendo l'azione in prima persona o se il suo account è stato affittato. Inoltre, il proprietario può contare sul fatto che l'affittuario può eseguire solo le manipolazioni precedentemente definite.

Vulnerabile agli abusi

Con il loro lavoro, i dottorandi vogliono evidenziare non solo le opportunità ma anche i rischi che derivano dal collegamento di un contenitore sicuro di dati personali con una criptovaluta. "Ad esempio, c'è il rischio che queste tecnologie possano essere utilizzate per diffondere fake news, manipolare le opinioni o influenzare i risultati delle votazioni", avverte Moritz Schneider. ? quindi importante che gli operatori dei social network o delle piattaforme di voto elettronico siano consapevoli che, con sufficiente energia criminale, la tecnologia da loro decisa può essere trasformata in uno strumento di manipolazione con uno sforzo relativamente ridotto. "Gli operatori delle piattaforme sociali hanno fatto grandi progressi nell'identificare ed eliminare i bot, cioè gli attori non umani. Tuttavia, questi sistemi non sono preparati per gli account autentici ma acquistati", sottolinea Schneider.

"Ogni nuova tecnologia ha il potenziale per creare vantaggi e causare danni", avverte l'ETH professor Srdjan Capkun. Egli dirige il System Security Group, di cui fanno parte anche i due dottorandi. I TEE e le criptovalute possono essere combinati per creare mercati digitali anonimi in cui i voti digitali possono essere scambiati allo stesso modo dei like di Facebook. Con un sistema come TEEvil, inoltre, sarebbe praticamente impossibile dimostrare con certezza giuridica un'interazione illegale, anche se ci fossero ragionevoli motivi di sospetto. "Dobbiamo tenere d'occhio TEE come potenziale porta d'ingresso per intenzioni manipolative", afferma Capkun. "Vediamo TEEvil come un modello che mostra in modo eclatante dove abbiamo un problema con la tecnologia di oggi che deve essere risolto".