Frage:
Ist das E-Petitionssystem des britischen Parlaments vertrauenswürdig?
Matteo Umili
2016-06-27 12:48:43 UTC
view on stackexchange narkive permalink

In den letzten Tagen habe ich oft von der Petition gehört, das Brexit-Referendum (praktisch) zu "wiederholen", und ich habe festgestellt, dass es sich um eine Online-Petition handelt.

Ich habe festgestellt, dass für das Formular "Petition unterschreiben" nur Name, E-Mail-Adresse und Postleitzahl erforderlich sind. Anschließend erhalten Sie eine E-Mail zur Bestätigung Ihrer Unterschrift.

Ist dieses System sicher? Kann nicht jemand einfach einen Bot erstellen, der das Formular kontinuierlich ausfüllt (und die E-Mail bestätigt) und jedes Mal eine andere Adresse verwendet? Auf der Datenschutzseite scheint es auch nicht einmal ein Captcha-System zu geben, und die E-Mail-Überprüfung ist das einzige "System", das Bots verhindert.

Last but Nicht zuletzt gibt es kein System, um sicherzustellen, dass der Unterzeichner Brite ist.

Nebenbei bemerkt ist dies kein Petitionssystem nur für eine zweite Brexit-Abstimmung.Es ist ein System, das für jede Frage verwendet wird, die britische Bürger im Parlament stellen möchten.
Breitbart (mit einer Prise Salz nehmen, obwohl immer noch plausibel) verknüpft mit einem Pastebin-Skript, das Python Mechanize verwendet und automatisch Wegwerf-E-Mail-Konten erstellt und die Petition mit ihnen unterschrieben hat.Es gibt verschiedene Screenshots von Leuten auf Twitter, die zur Verwendung / Ausgabe von Postleitzahlen ermutigen.Leider wurde das Skript jetzt entfernt, aber es wurde unter http://archive.is/pzULl gespiegelt
Es gibt auch das interessante Problem, dass jeder eine elektronische Kopie des britischen Wahlregisters kaufen kann, die die Namen und Adressen aller zur Abstimmung registrierten Personen enthält, damit Sie ihnen Direktmarketing-Artikel senden können (es sei denn, Sie haben darum gebeten, dass Ihr Name entfernt wird)..Falsche Anmeldungen wären nicht schwer, insbesondere wenn Sie oder Ihr Arbeitgeber eine Kopie dieser Datenbank hätten ...
Sicherheit ist nicht Ja oder Nein, und die Antwort hängt davon ab, welche Bedrohungen Sie als im Umfang befindlich betrachten. Daher wäre es hilfreicher, wenn Sie Ihr Bedrohungsmodell angeben.Siehe unsere [Hilfe / zum Thema]: "Sicherheit ist ein sehr kontextbezogenes Thema: Bedrohungen, die in Ihrer Umgebung als wichtig erachtet werden, können für andere Personen keine Rolle spielen und umgekehrt. [...] Um die hilfreichsten Antworten zu erhalten, sollten SieErzähl uns: [...] * Wer nutzt das Asset, das Sie schützen möchten, und wer möchte es möglicherweise missbrauchen (und warum)? * Welche Schritte haben Sie bereits unternommen, um diesen Vermögenswert zu schützen? * Welche Risiken müssen Sie Ihrer Meinung nach noch mindern? "
Matt und PyRulez - eine Diskussion über die Vor- und Nachteile von Papier und elektronischer Abstimmung kann auf [Chat] stattfinden - nicht hier in Kommentaren.
Angesichts der Tatsache, dass rund 30.000 Stimmen von IP-Adressen stammen, die mit der Vatikanstadt in Verbindung stehen (800 Einwohner), werde ich ein vorsichtiges "Nein" sagen.
Interessanterweise habe ich kürzlich bei einer anderen Gelegenheit festgestellt, dass das entsprechende Online-Petitionsportal für die USA auch keine Maßnahmen gegen Betrugssignaturen zu ergreifen scheint.Noch mehr: Es gibt kein Kontrollkästchen "Ich bin ein US-Bürger", und selbst die Allgemeinen Geschäftsbedingungen verlangen nicht, dass der Unterzeichner US-Bürger, US-Einwohner oder in irgendeiner Weise mit den USA verbunden ist
Meine Vermutung ist die Tatsache, dass die Website des [britischen Parlaments] (https://petition.parliament.uk/petitions/229963) derzeit "wegen Wartungsarbeiten nicht verfügbar" ist, was stark darauf hindeutet, dass sie von einer Flut von "Fälschungen" überwältigt wurden.bot-powered "Signaturen.Das Land ist angeblich 50/50 über die Brexit-Frage gespalten, daher ist es nur lächerlich anzunehmen, dass über 1 Million Menschen diese innerhalb weniger Stunden unterschreiben wollten, während die anderen Seiten Wochen brauchten, um sogar die Hälfte dieser Zahl zu erreichen(oder sind die meisten "Abgänger" tatsächlich apathisch und / oder zu dumm, um das Internet zu nutzen?).
Nur zu deiner Information.Dieses Thema wird wahrscheinlich nach einer weiteren hochkarätigen Petition, die in 36 Stunden mehr als 2 Millionen Unterstützer erhalten hat, mehr Aufmerksamkeit erhalten.
@FumbleFingers - Der Fehler scheint eher auf eine Unterversorgung als auf ein absichtliches DoS zurückzuführen zu sein.Das Muster in der Anzahl der Signaturen stimmt bisher mit einer viralen Verteilung überein, und die Standorte, von denen die Signaturen stammen, stimmen weitgehend mit den Bereichen überein, die Sie erwarten würden.Code-Optimierungen, um (zum Beispiel) die Häufigkeit von Zähleraktualisierungen zu verringern, und Änderungen an einer JSON-Aufschlüsselung nach Wahlkreisen scheinen dies in der Zwischenzeit gemildert zu haben.
@JamesSnell: Während ich schreibe (19 Stunden nach dem ersten Kommentar), ist die Website wieder online. Diese Petition hat mehr als 3,1 Millionen Unterschriften - fast das Zehnfache der Zahl, die das viel länger laufende "Leave with no Deal" (dh "Leave with no Deal") unterzeichnet haben- * tatsächlich * gehen, da das einzige Angebot [BRINO] ist (https://www.euronews.com/2018/02/26/translating-brexicon-knowing-your-bremoaner-from-your-brino)).Dies spiegelt entweder ein erstaunlich hohes Maß an Aktivität von "schlechten Schauspielern" wider, oder ich bin gezwungen anzunehmen, dass Menschen, die den Status Quo unterstützen, weitaus "aktiver" sind als Menschen, die gesellschaftspolitische Veränderungen wollen.Nicht intuitiv.
@FumbleFingers - Ich halte es nicht für angebracht, denjenigen, die in der EU bleiben möchten, vorzuschlagen, gesellschaftspolitische Veränderungen abzulehnen.Sie sehen, dass die echten Probleme, die die Urlaub unterstützende Gemeinschaft am häufigsten aufwirft, tatsächlich auf die Maßnahmen der britischen Regierungen zurückzuführen sind.Als solches wird das Begehen von internationalem Seppuku die Sache nur verschlimmern.
Neun antworten:
Rory Alsop
2016-06-27 13:24:26 UTC
view on stackexchange narkive permalink

Die Petitionsseite ist lediglich ein Mechanismus, um festzustellen, ob möglicherweise genügend Personen vorhanden sind, um etwas zu unterstützen, und wenn ja, dass etwas im Parlament erörtert wird.

Es gibt einige Checks and Balances (z Beispiel 80.000 gefälschte Stimmen wurden identifiziert und entfernt), aber hier besteht kein Bedarf an starkem Vertrauen, da in keiner dieser Petitionen entschieden wird.

Für die Wiederholung des Referendums zum Europäischen Ausstieg Es gibt rund 4 Millionen Unterzeichner, und selbst bei einem gewissen Grad an Betrug weiß die Regierung bereits, dass dies etwas ist, über das sie diskutieren müssen.

Zusammenfassend: Kann man dem für diesen Zweck erforderlichen Maß vertrauen? Fast sicher. Kann man darauf vertrauen, dass es keinen Betrug gibt? Nein.

Kommentare sind nicht für eine ausführliche Diskussion gedacht.Dieses Gespräch wurde [in den Chat verschoben] (http://chat.stackexchange.com/rooms/41749/discussion-on-answer-by-rory-alsop-is-the-uk-parliament-e-petition-system-trustw).
Anders
2016-06-27 13:46:36 UTC
view on stackexchange narkive permalink

Allgemeine Kommentare

Können Sie 100% sicher sein, dass jede Unterschrift von einer realen Person stammt? Können Sie einige Vorsichtsmaßnahmen treffen, um das Betrügen zu erschweren? Ja.

Hier sind einige Dinge, die die britische Regierung tun könnte (keine Ahnung, ob sie es tatsächlich tun):

  • Fordern Sie ein erfolgreiches CAPTCHA nach X Versuchen von derselben IP an
  • Ratenlimit nach IP. Sicher, fünf Personen im selben Haushalt möchten sich möglicherweise anmelden, oder zehn Personen im selben Unternehmensnetzwerk, nachdem sie sich beim Mittagessen darüber unterhalten haben. Wenn Sie jedoch 100 Signaturen in einem stabilen Muster erhalten, können Sie ziemlich sicher sein, dass jemand versucht, die Zahlen aufzublasen.
  • Führen Sie eine Geolokalisierung der IP durch und korrelieren Sie mit der eingegebenen Postleitzahl. Die meisten Leute würden dies von zu Hause aus ohne VPN oder Proxy tun. Wenn 90% der Signaturen übereinstimmen, können Sie ziemlich sicher sein, dass die meisten von ihnen legitim sind.
  • Suchen Sie in den Daten nach Mustern. Wenn die Anmeldung innerhalb von zwei Stunden merkwürdig ansteigt und diese Anmeldungen andere Merkmale aufweisen als andere, kann dies daran liegen, dass in diesem Zeitraum jemand ein Botnetz gemietet hat.
  • Wenn die Petition ein Limit erreicht, wählen Sie a zufällige Auswahl der Unterzeichner und versuchen Sie, diese zu überprüfen. Dies könnte z.B. indem Sie ihnen eine E-Mail senden und sie bitten, von einer britischen Telefonnummer aus anzurufen, die unter dem Namen aufgeführt ist, den sie in der Petition verwendet haben. Dies würde Ihnen eine Schätzung der Obergrenze geben, wie viel Prozent der Signaturen gefälscht sind.

Könnte ein intelligenter Angreifer mit einem Botnetz diese Dinge überwinden? Möglicherweise, aber es legt die Messlatte höher.

Fallstudie

Stu-W, verknüpft mit einem Python-Skript, das automatisch verwendet wird die Petition unterschreiben. Das Skript weist eine Reihe von Schwachstellen auf, die leicht zum Herausfiltern der Fälschungen verwendet werden können:

  • Die Postleitzahl ist eine Konstante, die fest im Skript codiert ist (SW1A 0AA). Selbst wenn einzelne Benutzer dies ändern würden, wäre eine große Anzahl von Signaturen aus derselben Postleitzahl in kurzer Zeit ein totes Werbegeschenk.
  • Die verwendeten E-Mails werden mit dem Python-Modul tempmail generiert, das nur ein Wrapper für den Dienst temp-mail.ru ist. Das Herausfiltern der von ihnen verwendeten Domains würde also den Trick tun.
  • Der Name besteht nur aus einer Reihe zufälliger Zeichen wie "ûqv knzõâ".
  • Alle Beiträge stammen aus derselben IP Adresse. Begrenzen Sie also einfach die Rate oder filtern Sie IPs mit mehr als X Signaturen in Y-Zeit aus der Datenbank heraus.
  • Es wird nicht versucht, einen glaubwürdigen User-Agent -Header festzulegen.

Mit anderen Worten, dieses Skript ist ziemlich dumm. Auch wenn es zur Unterzeichnung der Petition verwendet werden könnte, bedeutet dies nicht, dass die offensichtlich gefälschten Unterschriften später nicht herausgefiltert werden. Nur weil Sie einreichen, heißt das nicht, dass Sie gezählt werden.

Vorsicht vor IP-Geolokalisierung!Die meisten großen Unternehmen haben einen einzigen Verbindungspunkt zum echten Internet, und da es sich um eine Firewall handelt, wird nur diese IP verwendet, selbst wenn sich der tatsächliche Benutzerstandort am anderen Ende des Landes befindet.
@SergeBallesta Ich sage nicht, dass alle Fälle, in denen die Geolokalisierung nicht übereinstimmt, herausgefiltert werden sollten.Ich schlage vor, dass es als Überprüfung der Gesundheit des gesamten Datensatzes verwendet werden könnte.
Die Postleitzahl ist nicht nur eine Konstante, sondern auch die Postleitzahl des Parlaments selbst!Soweit ich weiß, lebt dort eigentlich niemand.
Das Python-Skript sollte als Proof of Concept behandelt werden.Es ist durchaus möglich, eine bessere Randomisierung zu erstellen und Anforderungen mithilfe eines Botnetzes zu senden, um eine gute Verteilung der IP-Adressen zu erreichen.
@siimsoni Daher mein erster Satz.Wenn die Konversation in den Kommentaren korrekt ist, wurde sie tatsächlich verwendet.
@crazyscot Eigentlich befindet sich das Speaker's House (Wohnung) im Elizabeth Tower.
Ich stehe korrigiert!
Es ist auch erwähnenswert, dass die Petitionsseite jetzt ihren E-Mail-Adressfilter geändert hat, um "Plusadressierung" zu blockieren.Ich vermute, dass einige automatisierte Anmeldungen diese Methode auch verwendeten und (zum Beispiel) Google Mail-Konten skripten.
user2428118
2016-06-27 15:42:29 UTC
view on stackexchange narkive permalink

Ich weiß nicht, ob die Dinge in Großbritannien so gemacht werden, aber so wird es in den Niederlanden gemacht, wenn eine Petition bei der Regierung eingereicht wird:

  • Eine Zufallsstichprobe von den Signaturen wird genommen;
  • Diese Signaturen werden überprüft (ich glaube, sie rufen Leute an, um zu fragen, ob sie unterschrieben haben);
  • das resultierende Verhältnis von gültigen: ungültigen Signaturen wird dann angewendet auf die gesamte Petition.

Wenn genügend Unterschriften auf der Petition gültig sind, muss die Petition vom Parlament berücksichtigt werden.

Da die Der Schwellenwert für Petitionen im Vereinigten Königreich liegt bei 10.000, die von der Regierung zu berücksichtigen sind, und bei 100.000, die für die Debatte berücksichtigt werden sollen. Nur 0,3% (Gegenleistung) / 2,7% (Debatte) von 3.677.062 Unterschriften müssten gültig sein.

Nimmt sich das Team / die Agentur / die Regierung nach der Probenahme die Zeit, um einen größeren Teil der Stimmen (oder sogar alle) für eine bessere Genauigkeit zu testen, oder akzeptieren sie die Probe normalerweise so, wie sie ist?Ich würde annehmen, dass die Stichprobe normalerweise sowieso nah genug ist
Walfrat
2016-06-27 12:51:14 UTC
view on stackexchange narkive permalink

Für das Verwaltungstool:

Ich sehe einen interessanten Punkt: Es gibt eine Karte, die die Verteilung auf die Stimmen zeigt: http://petitionmap.unboxedconsulting.com/?petition=131215.

Wir können hier sehen, dass die Stimmen im ganzen Land abgegeben wurden und die Verteilung der Bevölkerungsdichte zu folgen scheint (mehr Stimmen zu London, ...). Ein ausgeklügelter Bot hätte das nachahmen können, aber so schnell? Dies scheint unwahrscheinlich.

Hierfür müssen weiterhin 4 Milliarden verschiedener E-Mail-Adressen angegeben werden. Die meisten Anbieter führen Überprüfungen durch. Wenn Sie eine oder zwei E-Mail-Domänen verwenden, die nicht häufig verwendet und vor Bots geschützt sind, können Sie diese Stimmen dennoch erkennen und verwerfen.

Außerdem handelt es sich um ein Regierungswerkzeug Es kann einige Überprüfungen geben (Verbot der Proxy-IP durch Erkennen einer Menge derselben IP, ...), aber ich kenne sie nicht.

Ich denke also, dass diese Petition mit dem Regierungstool vertrauenswürdig erscheint Da in Anbetracht der E-Mail-Adressen so viele Stimmen generiert werden, scheint es schwierig zu sein, die Postleitzahl in der kurzen Zeit seit den ersten Ergebnissen zu verteilen.

BEARBEITEN: Beantworten von DW-Kommentaren: Da das OP gewinnt Wenn das Regierungsinstrument in Bezug auf die eine Petition mit 4000000 Stimmen zuverlässig ist, was ich in diesem Fall gesagt habe, ist es definitiv zuverlässig. Gefälschte Stimmen werden gut genug gefiltert, um nicht so repräsentativ zu sein.

Wenn Sie nun um 10.000 Stimmen gebeten haben, ist es möglich, dass gefälschte Stimmen zu repräsentativ sind, um vertrauenswürdig zu sein.

Kommentare sind zwar interessant, aber nicht für eine ausführliche Diskussion gedacht.Dieses Gespräch wurde [in den Chat verschoben] (http://chat.stackexchange.com/rooms/41709/discussion-on-answer-by-walfrat-is-the-uk-parliament-e-petition-system-trustwort).
Diese Antwort scheint die gestellte Frage nicht zu beantworten.Die Frage, die gestellt wurde, lautet: "Ist das Petitionssystem gegen Angriffe geschützt?".Diese Antwort scheint zu versuchen, die Frage zu beantworten: "Scheinen die Ergebnisse einer bestimmten Petitionsaktion vertrauenswürdig zu sein?"- aber das ist eine andere Frage.
@D.W.Nun, was ich am Ende sage, ist, dass die Petition zum Petitionssystem, von dem das OP diese Frage gestellt hat, in Bezug auf die Fakten vertrauenswürdig genug zu sein scheint.Wie Rory sagte, können Sie ungefähr 10 Tausend gefälschte Stimmen haben, aber die Regierungsinstrumente scheinen fair genug Zuverlässigkeit für Petitionen mit 4000000 Stimmen zu bieten, um vertrauenswürdig zu sein.Wenn Sie nun um 10.000 Stimmen gebeten haben, würde ich sagen, dass es möglicherweise genug falsche Stimmen gibt, um nicht so zuverlässig zu sein.
gbjbaanb
2016-06-27 14:29:15 UTC
view on stackexchange narkive permalink

Sie können die Postleitzahl nicht mit dem IP-Standort abgleichen. Ich verwende Plusnet in Großbritannien und es wird in Dundee (mehrere hundert Meilen von mir entfernt) angezeigt, wenn ich meinen Standort nach Standort überprüfe. Daher kann es nicht zum Überprüfen verwendet werden.

Ebenso benötigen Sie nicht Millionen von E-Mail-Adressen, nur eine mit vielen Aliasnamen - vorausgesetzt, die E-Mail-Adresse wird tatsächlich überprüft.

Ich bezweifle, dass die Petitionsseite unter Berücksichtigung der Betrugsüberprüfung erstellt wurde, da die Petitionen bis vor kurzem hauptsächlich triviale Angelegenheiten betrafen. Es ist wahrscheinlich nur ein einfaches Webformular, das eine E-Mail-Antwort und einen Duplikatprüfer für Postleitzahl und Namen verwendet (mehrere Personen könnten am selben Ort wohnen).

paj28
2016-06-27 16:18:22 UTC
view on stackexchange narkive permalink

Sie können den Namen und die Postleitzahl anhand des Wählerverzeichnisses überprüfen. Wenn sie sagen, dass 80.000 betrügerische Namen entfernt wurden, sind dies wahrscheinlich diejenigen, die nicht übereinstimmen (ich weiß das nicht genau).

Dies ist jedoch fehlerhaft, weil viel von s> das Wählerverzeichnis ist öffentlich.

Auch das Wählerverzeichnis selbst weist eine äußerst schwache Sicherheit auf.Der Einstieg in das Wählerverzeichnis besteht im Wesentlichen darin, einen Namen, eine Adresse und eine Unterschrift auf ein Formular zu setzen.Es gibt keine Überprüfung des Namens, der Adresse oder auch nur, ob die Person britischer Staatsbürger ist oder nicht.
Und eine Korrektur: Das gesamte Wählerverzeichnis ist öffentlich.Sie können sich dafür entscheiden, Ihren Namen von der Verwendung für Marketingzwecke auszuschließen, aber jeder kann jederzeit die gesamte Rolle überprüfen.
Das [Formular] (https://petition.parliament.uk/petitions/131215/signatures/new) muss nur britische Staatsbürger oder in Großbritannien wohnhaft sein.Nicht im Wählerverzeichnis zu stehen.Das Wählerverzeichnis kann daher nicht verwendet werden, um ungültige Unterschriften zu beseitigen.
@JonBentley - Wie kann ich die unbearbeitete Rolle anzeigen?Es soll nicht öffentlich sein, aber wenn Sie einen Weg kennen, wäre das interessant!
@paj28 Es ist absolut beabsichtigt, öffentlich zu sein.Sie können es anzeigen, indem Sie sich an das Wahlregister Ihres Bezirks wenden.Es befindet sich normalerweise im Hauptquartier Ihres Rates, im Rathaus oder möglicherweise in einer Bibliothek.Weitere Informationen zum Anzeigen finden Sie unter [hier] (https://www.gov.uk/electoral-register/view-electoral-register) [und hier] (https://www.gov.uk/electoral-register/opt-out-of-the-open-register) für das Opt-out, was die Verwirrung verursachen könnte.
@JonBentley - Meine lokale Bibliothek zeigt nur die offene Rolle.Ich war skeptisch gegenüber dem, was Sie gesagt haben, aber ich habe gerade mit meinem örtlichen Wahlbüro telefoniert und sie werden mir die vollständige Liste anzeigen lassen - wenn ich einen Termin vereinbare und persönlich komme.Danke für die Korrektur ... Heute habe ich gelernt :-)
John Keates
2016-06-27 21:21:01 UTC
view on stackexchange narkive permalink

Während die Antwort "Nein" wäre, spielt es in diesem Fall keine Rolle. Alles was es ist, ist in 'Indikator'. Es muss nicht vertrauenswürdig sein, um "angeschaut" zu werden.

Wenn jemand im Internet abstimmen würde, wäre dieses System eine sehr, sehr schlechte Idee.

Michael Kay
2016-06-29 12:36:40 UTC
view on stackexchange narkive permalink

Sie müssen nicht nur die technische Sicherheit berücksichtigen. Kein Online-Abstimmungssystem ist eine geheime Abstimmung. Es gibt keine Möglichkeit, den sozialen Druck zu beseitigen, auf eine bestimmte Weise zu wählen. Ein dominantes Mitglied des Haushalts kann andere Familienmitglieder zum Unterschreiben schikanieren oder einfach ihre E-Mail-Adressen verwenden, um dies selbst zu tun.

user2189
2016-06-27 14:14:45 UTC
view on stackexchange narkive permalink

Sie können es nicht ausfallsicher machen, aber Sie können die Anzahl der zu berücksichtigenden Parameter erhöhen, damit der maximale Prozentsatz an Cheat statistisch unbedeutend wird.

Trotzdem lebe ich in Frankreich Wales einmal in der Woche oder so in meinem ganzen Leben und habe gerade die Petition als Londoner unterschrieben, der in der Jamaica Street 1 lebt. Mein Webbrowser hat keine Berechtigung zur Verwendung der Geolokalisierung, aber ich habe kein VPN oder Proxy verwendet, damit ich entdeckt werden kann Mit ein oder zwei weiteren Vorsichtsmaßnahmen hätte ich als ein völlig legitimer Londoner angesehen werden können, aber ich bin nur eine Person unter unseren Locharten.

Ob Petitionen zuverlässig sind oder nicht, hängt von Ihren statistischen Überlegungen ab und Definition von Zuverlässigkeit.



Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 3.0-Lizenz, unter der er vertrieben wird.
Loading...