tisdag, februari 16, 2010

Röstning via internet - nej tack!

I DN rapporteras det att internt valfusk avslöjats inom Piratpartiet. Längre ner i artikeln står följande.

I lördags kväll upptäcktes fusket när partiets medlemsservice kontrollerade röstningen i distriktsledarvalet för Stockholm.

– Då såg vi i röstlängderna att stora block av medlemmar hade registrerats från ett och samma ip-nummer, som sedan röstat i valet. När vi började nysta ytterligare såg vi flera tveksamheter som gick tillbaka till primärvalet i december.Distriktsledarvalet för Stockholm är uppenbart manipulerat, konstaterar PP men det finns alltså indikationer på att även primärvalet – där medlemmarna har fått rösta fram riksdagskandidater – utsatts för valfusk. Där visade det sig att ett 40-tal medlemmar, samtliga registrerade från en och samma ip-adress, hade röstat
Piratpartiets funktionärer har alltså gått in och med hjälp av IP-nummer kontrollerat vem som har röstat och hur. Detta har varit för ett legitimt ändamål, upptäcka, förhindra och utreda valfusk, men det är likväl ett betydande integritetsintrång. Om andra organisationer, t.ex. FRA eller polisen, rotar i IP-nummer skulle nämnda parti bli mycket upprört. FRAs och polisens svar skulle då bli att det gör detta för ett "legitimt ändamål", upptäcka, förhindra och utreda brott. Jag har länge haft uppfattningen att röstning i partiers provval och ordinarie val till kommun, landsting och riksdag ej ska ske via internet eller genom att röstberättigade på annat sätt behöver registrera sig via en dator. Jag tycker Piratpartiets erfarenhet bekräftar denna uppfattning.

Risken för fusk kommer inte att försvinna även om man röstar på traditionellt sätt, vilket exemplet med moderaterna visar. Jag menar dock att moderaternas metod att ringa alla nya medlemmar i Stockholm för att fråga om de betalt sin medlemsavgift själva är mindre integritetskränkande än att lagra och granska IP-nummer.

Uppdatering. I kommentatorstråden har några läsare reagerat på att jag skrivit "Piratpartiets funktionärer har alltså gått in och med hjälp av IP-nummer kontrollerat vem som har röstat och hur." Jag har nu uppfattat att Piratpartiets funktionärer ej kan kontrollera hur enskilda medlemmar röstat utan den aktuella fuskaren har ertappats genom en mer indirekt metod. I enlighet med Christoffer Willenforts kommentar borde det ha stått: "Piratpartiet har efter att ha upptäckt konstig röststatistik funnit att 41 medlemmar och röster registrerats och avgetts från samma IP-adress. Medlemmen som fuskade erkände då vad han gjort".

40 kommentarer:

grey sa...

Vad som gjordes var att konstatera att ett antal röster kom från samma IP-nummer. Vad dessa röstat på lagrades INTE.
Det är INTE samma sak som att spåra nämnda IP-nummer till ett visst abonnemang och till en viss person.

PPs funktionärer har INTE gått in och kollat vad en viss person röstat på eftersom det inte varit möjligt att se.

Mark Klamberg sa...

Grey,
Men de har identifierat vem som har röstat och hur. Hur har fuskaren annars avslöjats?

Ola Nyström sa...

Nu har du övertolkat vad som faktiskt har hänt. Piratpartiet har kontrollerat om en viss IP-adress har röstat flera gånger, det kan vi se i accesslogen till webservern.

Vi kan inte se vem det är bakom den ip-addressen, eller vad personen faktiskt har röstat på så vi inte loggar den informationen av integritetsskäl.

Vi kan bara se att eftersom någon har röstat med falskt registrerade medlemmar så är valet ogiltigt, och måste tas om.

Mark Klamberg sa...

Hur vet ni att det var Hans Alvenkrona som stod bakom IP-adressen och att han röstat på sig själv?

Mark Klamberg sa...

Min poäng är att enskilda delar elektronisk information (t.ex. accesslogg, IP-adress) var för sig kanske inte röjer identitet, men kopplas delarna ihop så kan identiteten röjas. Detta är vad som hänt.

Mattias sa...

Tycker inte det är rösning via Internet som är problemet. Problemet i detta fall ligger ju i att vi inte har verifierade medlemmar. Skulle man i stället ha ett förfarande som kräver att medlemmar verifieras när de går med i PiratPartiet kan röstningen mycket väl hållas via Internet.
Hur man verifierar medlemmar däremot kan diskuteras... någon form av personlig legitimering? Sammarbete med Bank med dosa? Fysisk adress som kontrolleras mot skatteregister och någon roundtrip med brev... ja det finns många alternativ, vet dock inte om något är bra.

Christoffer Willenfort sa...

ok kort teknisk förklaring. (Med risk för felaktigheter eftersom jag endast har officiel info.) Varje person som röstar får en kod. denna kod knyts till rösten. Men IP nummer och medlem har inte knutits till rösten. däremot registreras vilka medlemmar som har röstat och vilket IP de har röstat från.

Så vi har två skilda mängder. KOD+röst och IP + medlemsnummer
(till saken är att PP även registrerar vilket IP som en medlem registreras från.)

Det som triggade undersökningen var att röststatistiken verkade konstig. en medlem hade nästan bara förstaröster och inga andra,tredje,fjärde röster osv.
Se schultse röstning för att förstå


Då misstänkte man valfusk och började undersäka IPnummerna i röstningen och noterade 41 röster från samma IP och att dessa medlemmar även registreras från samma IP. vid detta laget Berättade medlemmen som fuskat att det var han som hållit på med ballotstuffing och avgick frivilligt.

De falska medlemmarna är nu borttagna och jag mistänker att vi komemr att se över metoder för att förhindra att detta upprepas.

Mark Klamberg sa...

Tack för förklaringen,
Ni kommer säkert finna en lösning så att just detta ej ska upprepas.

Samtidigt söker personer som vill fuska nya sätt och ni måste reagera om det händer.

Vad hade hänt om personen som fuskade använt andra, tredje och fjärderöster och haft med sitt namn både högst upp och lite längre ner?

Då måste ni åter igen gå igenom IP-nummer och söka efter onaturliga mönster. Det är sånt jag är skeptisk till, särskilt när det kopplas till politisk verksamhet.

Christoffer Willenfort sa...

Grundproblemet är att vi har för dålig verifiering på våra medlemmar. så vi skall nog koncentrera vår kraft där. om man inte kan skapa fiktiva medlemmar lika lätt så blir incitamentet för fusk lägre och behovet av statistiska analyser på röstningen mindre. Det borde räcka att komma till den punkten där det är lättare att övertala folk att rösta på en än att fuska :) JAg håller på och skriver om detta. återkommer med länk.

Mark Klamberg sa...

Jag uppfattar att PP har en integritetsgaranti genom att IP-nummer inte kan kopplas till individ. Det får mig att tänka på en sak jag skrev om FRA (SvJT 2009 s. 519).

"Jämförelsevis kan konstateras att det finns ingen förpliktelse enligt signalspaningslagen för operatörerna att röja sina abonnenters identitet. Därmed drar jag slutsatsen att FRA avser hantera trafikuppgifter (trafikdata) som anger IP-adress eller telefonnummer, men inte nödvändigtvis abonnentens eller användarens identitet. Med identitet avses namn, fysisk adress och/eller personnummer. Därför har trafikdata en kvalificerad betydelse när vi granskar FRA:s signalspaning."

Mikael Nilsson sa...

Mark:

Vi sparar redan medlemsdata i form av namn, adress och telefonnummer. En IP-adress är i det sammanhanget knappast det stora problemet.

Sedan lagrar vi alltså INTE vem som avlade vilken röst, utan IP-adressen är endast kopplad till medlemskapet.

Jag kan verkligen inte se de problem du framför. Givetvis innehållet ett medlemsregister identifierande information. Det är ju själva syftet.

Mikael Nilsson sa...

För att förtydliga lite mer:

Vi vet alltså inte exakt vilka faktiska röster som är ogiltiga, eftersom rösterna som sådana är avidentifierade. Det enda vi vet är att

1. Det fanns ogiltiga medlemmar, registrerade från samma IP-nummer.
2. En del av dessa har röstat (de är avprickade i röstlängden)

Eftersom vi inte vet HUR de har röstat så var vi tvungna att göra om distriktsledarvalet från början.

enslavedbythestate@gmail.com sa...

Sedan HAR Piratpartiet som policy att kommunledaren ringer upp nya medlemmar och kollar så epostadress och liknande är rätt. Vad som brustit i detta fallet vet jag inte, kanske av nyregistreringar överväldigad kommunledare alternativt slapphet. Men själva mekanismen att ringa upp nya medlemmar finns redan, så det är ingen skillnad mot Moderaterna. Däremot är skillnaden kanske att man kan rösta direkt när man blivit medlem, vilket kanske också är ett av de säkerhetshål som Piratpartiet nu har täppt till.

Min för min del påverkar detta inte förtroendet alls eftersom de går ut med det öppet och rättar till systemet direkt. Jag tror inte Piratpartiet (eller Moderaterna) är några undantag, utan detta sker i alla partier, men det döljs olika väl. I en tillräckligt stor organisation blir det statistiskt omöjligt att slippa undan sin beskärda del av fuskare.

Christoffer Willenfort sa...

mer tankar här. http://blue-green-mess.blogspot.com/2010/02/valfusk-i-piratpartiet.html

Mark Klamberg sa...

Mikael,
Jag ifrågasätter inte att ni frikopplat medlemmarnas identitet från hur de röstar, men likväl har ni lyckats koppla ihop en abnormalitet i röstningen med en individ.

Detta har skett utan att övriga medlemmars röstning röjts och det har skett för ett legitimt syfte.

Med rätt teknisk lösning beträffande omfattande lagring av IP-nummer och personuppgifter går det att förena respekt för personlig integritet och effektiv fuskbekämpning. Det kanske borde vara en tankeställare för oss?

Christoffer Willenfort sa...

Det som hände (vad jag förstått) var att den ansvariga själv meddelade sig. så vi behövde inte rota vidare. Så det enda vi lyckades med var att identifiera 1) konstigheter i medlemsregistret. 2) de konstiga medlemmarna hade röstat.

Daniel Nyström sa...

"men likväl har ni lyckats koppla ihop en abnormalitet i röstningen med en individ."

Jämför en analog röstlängd med flera namn med samma personnummer.

Kan du konkretisera var exakt kritiken ligger?

Mikael Nilsson sa...

Mark, jag förstår verkligen inte problemet som du försöker beskriva. Det måste fattas något.

En person som är medlem i Piratpartiet och som dessutom vill rösta måste ju uppge identifierande uppgifter till partiet. Det är ju en självklarhet.

Att partiet måste vara extremt försiktigt med sådana medlemsuppgifter är också en självklarhet. Liksom att partiet har en demokratisk skyldighet att se till att folk inte fuskar sig till platser i riksdagen.

Det stora problemet är ju inte att vi kopplar en IP-adress till ett medlemsnummer, som sedan i teorin skulle kunna användas till att spåra att en individ bakom IP-numret sympatiserar med Piratpartiet. Det stora problemet är ju att vi sparar namn, adress och telefonnummer på medlemmar i partiet.

Vi för ju redan ett åsiktsregister. Det går inte att komma undan, även om det såklart är frivilligt att gå med och att rösta.

Markus "LAKE" Berglund sa...

Men Mark, att man blir avprickad från en röstlängd när man röstar via internet är väl inte så mycket konstigare än att man blir avprickan när man röstar i en röstlokal?

Att PP dessutom har hittat 40 medlemmar som är registrerade på samma IP-nummer motsvaras väl av att man hittar 40 medlemmar med samma telefonnummer i ett "vanligt" medlemsregister.

Jag måste säga att risken för röstfusk med pappersröster är enormt mycket större.

Jag skrev lite om en annan typ av röstfusk:
Provvalsfusk i Centerpartiet i Uppsala

Det är knappast bättre...

Mark Klamberg sa...

Daniel,
Det finns ingen anledning till kritik om piratpartiets medlemmar redan accepterat att stora mängder IP-nummer lagras i samband med att de registrerar sitt medlemskap och vid omröstning.

Medlemsposter i Folkpartiets medlemsregister är inte kopplat till IP-nummer och det är jag glad för. Man vet inte vem som kan missbruka registret och kontrollera vad man gör på nätet.

Mikael Nilsson sa...

Mark - om du loggar in med dina medlemsuppgifter på folkpartiets webbsida kan du ge dig den på att det loggas.

Daniel Nyström sa...

Jag tror alla medlemmar accepterar att ett medlemsregister innehåller personuppgifter.

Mark Klamberg sa...

Mikael,
Det är troligt att det loggas på folkpartiets hemsida vid inloggning till medlemssidorna, men jag har ännu inte utnyttjat denna för folkpartiets hemsida nya funktion.

Jag har i vart fall tillgång till Östermalmsföreningens del av folkpartiets medlemsregister och där finns inga IP-nummer.

Vi kanske oroar oss för mycket över hur mycket som loggas och inte loggas. Viktigare är kanske hur denna typ av uppgifter används, vilket i vart fall skulle tvinga mig att omvärdera en del tidigare ståndpunkter.

Mikael Nilsson sa...

Piratpartiet har onekligen ett dilemma i medlemsregistret. Det går inte att föra ett sådant register utan att lagra identifierande uppgifter - i praktiken ett åsiktsregister.

Vi har extremt korta loggtider (på en del ställen noll) på i princip alla system, såsom webbsidan och piratepad.

Vi har ett viktigt undantag, och det gäller just medlemsregistreringen, där loggning används för att förebygga fusk av det här slaget.

Nu kan man ju registera sig per post om man vill, eller per telefon, eller på plats på tex dreamhack, så det är ju lätt att komma runt.

Och en del IP-nummer är proxyservrar eller brandväggar som inte säger så mycket.

Den här händelsen har aktualiserat debatten om hur vi verifierar våra medlemmar. Det är en svår balansgång mellan effektivitet (ringa 50.000 medlemmar?), identitetsskydd (BankID funkar inte eftersom man då skulle avslöja sig för tredje part) och nödvändigheten att motverka fusk för att överhuvudtaget kunna verka som parti.

Det är sant att vi sitter på en koppling som säger att "personen med det här IP-numret är pirat, heter NN och bor på [adress]". Men jag kan inte se att vi själva kan göra något med den informationen eftersom vi inte kan samköra den med något annat.

Detta skiljer sig ganska mycket från vad en ISP kan göra med lagrade loggar, tex, eller FRA. Jag ser inte några upenbara paralleller, just eftersom vi inte kan samköra alls. Vi sitter på en atomär bit information som personer frivilligt, medvetet valt att lämna ifrån sig. Faran ligger ju i hur man kan koppla ihop det med något annat.

Jag uppfattar det som att du tycker att partiet hycklar en aning om lagring av IP-nummer. Jag tar till mig att du tycker det finns ett glapp här, och försöker förstå vari problemet kan bestå.

Mark Klamberg sa...

Mikael,
Jag tycker inte att det är hyckleri, min avsikt med detta inlägg var inte att sätta dit piratpartiet.

Syftet var mer att diskutera våndorna med det digitala samhället.

Tor sa...

Det känns spontant som att SMS-bekräftelse kombinerat med manuella kontroller i rimlig omfattning utförd av lokala partiföreträdare borde räcka ganska långt. Att lagra någons telefonnummer en kort tid är mindre integritetskränkande än att lagra IP-numret (när man ändå lagrar namn och annat).

Kruxet är ju bara att vi har en riksdagsmajoritet för att stifta lagar som skulle innebära att alla de SMS som då avslöjar partitillhörighet loggas. :(

blippe sa...

@mark
Om du inte ville "sätta dit" piratpartiet, varför påstår du då saker som: "Piratpartiets funktionärer har alltså gått in och med hjälp av IP-nummer kontrollerat vem som har röstat och hur."

Det är ju en uppenbar lögn.

Patrik Alowersson sa...

En sak att logga IP adresser.

En sak ska man ha klart för sig. På internet där loggas alla IP adresser så fort dom mer eller mindre passerar en server.

Dom lagras på forum så fort du loggar in, så fort du skriver ett inlägg.

Ja tom Mark Klamberg har sitt IP loggat massa gånger när han skriver sina blogg inlägg hos företaget som står för tjänsten.

Det betyder dock inte att dom spårar hans IP.

IP loggas på alla servers/tjänster på nätet av olika skäl. Men det är stor skillnad på att logga IP och att spåra personer via deras IP. Vill du vara anonym kan du köra mot en Proxy så reggas Proxyns IP istället.
Annars är man aldrig anonym på nätet det är ett faktum.

Slutgiltigeten om du verkligen vill veta vem som var bakom ett visst IP vid en given tid måste du gå till dess ISP så dom kan kolla sina loggar vem vems abonnemang som faktiskt använde det IP't just då.

Man får tycka vad man vill om att IP adresser Loggas men det gör dom 99.99% av alla ställen man besöker på nätet. Så fort du går in på en hemsida loggar Webbservern Ditt IP och alla filer ditt IP begär. Du kan inte googla eller ens gå in på aftonbladet än mindre denna blogg innan din IP adress fyller upp ett halvt A4 med vad din Webb Browser har för sig.

Vad Dom gjorde var att dom såg att 40+ användare var reggat på forumet via samma IP vilket är högst osannolikt och sedan röstat via samma IP dessutom systematisk ordning. Det händer inte IRL.

Mäst sannolikt är att dom såg ursprungliga användarkontot reggat på det IP:t och där står ju Personens fulla namn oftast då man sällan kan regga sig anonymt på ett forum. Kan ju ljuga i hop ett falskt namn dock med risk för avstängning från forumet.

Det krävs inget geni för att ta reda på att det var frågan om en och samma användare och vem det var.

Personen har redan vid valet att regga sig som användare på forumet valt att hans Personuppgifter ska kopplas samman med dom IP'n han har när han surfar så du avsäger dig anonymiteten vid det tillfället.

Sitter du och tankar en torrent från en public tracker så finns det inget mer än ditt IP att gå på. Där står inte dit fullständiga namn och var du bor därför dom får gå till domstol med enbart IP adressen och datum för att få rätten att begära ut personuppgifterna bakom IP uddresen från användarens ISP för att få reda på vem han är. Men reggar man sig för en tjänst på nätet så kommer ens personuppgifter i det fallet sammankopplas med dom IP man använder.
Det är skillnad på att frivilligt avsäga sig anonymiteten och att vara anonym medvetet men att intresseorganisationer numera har rätt att ändå begära ut dina uppgifter via din IP.
Du kan som sagt själv välja om ditt IP ska associeras med personuppgifter eller ej. Får använda huvudet lite också.

Kan inte blanda i hop spårning av Anonyma IP addresser som tex vid användande av bittorrent som man ofta kan vara helt anonym och jämföra det med en tjänst där man Accepterat att man måste ange sina personuppgifter så som ett forum eller en Blogg eller ett Email konto eller vad det nu gäller.

Så det är två helt olika saker.

PP spårar inga IP adresser. IFPI och APB gör det däremot.

Många politiker i gammalpartierna kan inte skilja på sådana här begrepp tyvärr och då uppkommer påståenden som dessa.

Skillnad på Äpplen och Päron fortfarande.

PP gjorde rätt och jag är lika mycket Pirat nu som då. Tycker det är bra att han fick avgå från partiet för sån här motarbetar bara alla framgångar PP haft.

Btw nu har dom både mitt namn och IP bloggtjänsten så kan vet dom direkt vem jag är i fall dom vill :D

Mvh Patrik Alowersson

Tor sa...

blippe skrev:
"Det är ju en uppenbar lögn."

Jag skulle nog kalla det för ett uppenbart missförstånd ;)

Hur som helst så hoppas jag att Mark, när han har tid, kommer att göra en liten uppdatering av själva blogginlägget så att det framgår att den där förmodan om att piratpartiet bryter valhemligheten inte stämmer.

Mark Klamberg sa...

Jag har gjort en uppdatering med förhoppningen att denna ger en mer korrekt bild.

Lars-Erick Forsgren sa...

Sorry, trots många och långa förklaringar känns det inte bra. Lämnar dålig eftersmak.

Rick Falkvinge (pp) sa...

Hej Mark,

jag vet inte om det redan framgått av kommentarerna, men vi har alltså inget som helst sätt att se vem som röstat hur -- de avlagda rösterna har ingen koppling till vare sig röstlängden eller IP-adress.

Det vi ser är när flera medlemmar har registrerat sig från samma IP-adress -- något som är ett krav från Ungdomsstyrelsen på Ung Pirat -- och kan se att medlemmar, som har registrerat sig från samma IP, och dessutom nära i tiden, allihop röstar i ett val. Det är extremt ovanligt att elva medlemsnummer i rad röstar i ett val som har 50 deltagare av tiotusen på röstlängden. Då börjar vi gräva djupare.

Rick

Mark Klamberg sa...

Rick,
Jag tycker det du skriver har framkommit av kommentarerna och jag har ingen anledning att ifrågasätta det.

Anonym sa...

Att göra något överhuvudtaget på dagens nät utan VPN och icke sparade loggor på dessa tjänster med skript som skiftar uppgifterna om ditt datorsystem med webbläsare mm är ganska riskfyllt med tanke på vilka som observerar.

MrZero

Max Andersson sa...

Borde det inte vara ganska lätt för en intelligent valfuskare att överlista Piratpartiets kontrollsystem om det fungerar på det sätt som Rick beskriver?

Juristen sa...

@Mark: Trots din uppdatering så står det fortfarande i ditt inlägg att PP skulle ha gått in och kontrollerat vem som har röstat och hur denne röstade. Av de förklaringar som finns bland kommentarerna - och som du säger att du inte ifrågasätter - framgår att någon sådan kontroll inte har ägt rum. Borde du då inte rimligen ändra texten?

Stefan sa...

Mark, jag tycker att ditt resonemang är exakt samma som flera andra har fört.
"Vad spelar det för roll vad FRA gör när folk ändå lämnar ut så mycket om sig själva på Facebook?"

Det är en enorm skillnad på när man kan förvänta sig anonymitet och inte. När jag frivilligt lämnar information om mig själv så kan jag förutsätta att den sparas och används för att identifiera mig på olika sätt. Om jag däremot exvis skickar iväg ett email till moster Agda så är det rimligt att förvänta sig att det enda som sparas är trafikinformation hos sändande och mottagande server och att mellanliggande knutpunkter enbart hanterar så stor del av informationen som behövs för att vidarebefodra trafiken till nästa knutpunkt. Det är helt och fullständigt orimligt att en tredje part som inte är en nödvändig del för att utföra kommunikationen rutinmässigt avlyssnar och sparar information om trafiken.
Det är skillnad på att ha sex och bli våldtagen...

Som tekniker så kan jag inte låta bli att påpeka att det är skillnad på IP-nummer och IP-adress. Använd gärna rätt terminologi så ser det lite bättre ut. Jag gissar att du alltid menar IP-adress och att du aldrig kommer att behöva prata om IP-nummer.

Mark Klamberg sa...

Juristen,
Jag har skrivit en uppdatering i inlägget och väljer att behålla den ursprungliga texten, annars blir majoriteten av kommentarerna på detta inlägg omöjliga att förstå.

Mark Klamberg sa...

Stefan,
Jag håller med dig, det är en skillnad mellan att lämna uppgifterna frivilligt mot att staten tilltvingar sig dessa.

Som jag skrivit ovan, om piratpartiets medlemmar accepterar att partiet i sitt medlemsregister lagrar uppgifter om IP-adresser så har jag ingen kritik.

Jag skulle dock inte vilja att mitt eget parti (fp) lagrade sådana uppgifter i sitt medlemsregister.

Jonas B. sa...

Mark, jag ser inte skillnaden mellan att du loggar in på FP:s websystem med din personliga identitet. Där skapas ju en koppling mellan din IP-adress och vem du är.

Bara för att den inte loggas i medlemsregistret betyder ju inte att den inte kan konstrueras i efterhand så länge informationen finns i loggar etc.

Din kritik bör alltså inte specifik riktas mot Piratpartiet. Jag noterar också att Piratpartiet inte heller har några IP-adressuppgifter i sitt medlemsregister.

Problemet här är naturligtvis att den utlovade kontrollen av anmälda medlemmar i partiet bevisligen uteblivit. Det finns alltså dessutom anledning att misstänka att medlemssiffrorna är något överdrivna, vilket inte är bra för någon.

Annars instämmer jag i Stefans påpekande: Det finns en etablerad terminologi på området. Använd den konsekvent. "IP-adress" är vad du menar, inget annat.