www.drokzid.net

Im Februar 2008 soll in Hamburg zum ersten Mal mit einem neuen "Digitalen Wahlstift" gewählt werden. Das funktioniert so, dass die Wähler weiterhin wie gewohnt mit einem Stift auf einem Papier ihre Stimmen ankreuzen. Der Unterschied zum herkömmlichen Wahlverfahren ist jedoch, dass der Stift durch, auf dem Blatt verzeichnete, Muster aufzeichnet, wo auf dem Papier der Wähler seine Kreuze macht. Der Stift wird anschließend in eine Auslesestation gesteckt, um das digitale Kreuz vom Stift über ein Kabel auf einen Laptop zu übertragen. Im Laptop werden dann die Kreuze zu Stimmen umgerechnet. Auf dem Laptop wird übrigens Windows XP als Betriebssystem laufen. Am Wahlende wird aus den gespeicherten Kreuzen ein Ergebnis errechnet, welches dann über einen Drucker ausgegeben wird.

In 17(!) der 1300 Hamburger Wahllokale werden Stichprobenzählungen durchgeführt. Bei einer Differenz zwischen der Stichprobenzählung und den digital ermittelten Stimmen zählen nicht, wie vom Wähler erwartet, die Stimmzettel, sondern die vom Computer ermittelten Ergebnisse. Damit wird dem Wähler eine Papierwahl vorgegaukelt, welche in Wirklichkeit eine reine computergestützte Wahl, ohne jegliche Nachprüfungsmöglichkeit für den Wähler, ist.

Der Chaos Computer Club hat zur beispielhaften Illustration der vielfältigen Angriffsmöglichkeiten gegen den Wahlstift einen trojanischen Wahlstift entwickelt, der äußerlich nicht als solcher erkennbar ist. Solch ein Stift kann sowohl von Wählern als auch von an der Wahlvorbereitung und -durchführung beteiligten Personen unbemerkt ins Wahllokal mitgebracht und statt dem echten Wahlstift in die Auslesestation gesteckt werden. Der manipulierte Stift überträgt dann nicht nur digitale Stimmkreuze zum Auswertungscomputer, sondern agiert als ein sogenanntes Trojanisches Pferd zum Einschleusen von Schadsoftware. Sobald der Stift in die Auslesestation gesteckt wird, aktiviert sich ein Manipulationsprogramm, welches automatisch auf das Zielsystem übertragen und dort ohne Zutun des Bedieners ausgeführt wird. Das Programm kann nun problemlos Manipulationen auf dem Auswertungslaptop vornehmen, indem es beispielsweise die Position der digital gespeicherten Stimmkreuze verändert, das Endergebnis verfälscht, speichert und ausgibt.

Die Ignoranz gegenüber der Innentäter-Gefahr entlarvt das konzeptionell falsche Herangehen an computerisierte Wahlvorgänge. Es erinnert an einen Flugzeugbauer, der bei der Konstruktion mal eben die Erdanziehung vergisst und sich nachher wundert, dass das Flugzeug nicht abheben kann.

Um die technische Sicherheit des digitalen Wahlstift Systems zu belegen soll nun eine Prüfung durch die Physikalisch-Technische Bundenanstalt (PTB) erfolgen. Die PTB hatte schon die Wahlcomputer der Firma NEDAP für Deutschland als sicher eingestuft, welche in den Niederlanden gerade aufgrund von Sicherheitsbedenken komplett aus dem Verkehr gezogen wurden.

In einer ausführlichen Stellungnahme über die Sicherheitsrisiken von NEDAP-Wahlcomputern hat der CCC außerdem vor ein paar Monaten darauf hingewiesen, dass clevere Geschäftemacher höchstwahrscheinlich versuchen werden, die Wahlcomputer billig an deutsche Gemeinden zu verkaufen, mit dem Argument, sie seien hier ja noch zugelassen.

An sich halte ich das System der Trackbacks für eine gute Sache. Eine Funktion des Trackbacks, ist in der Blogosphäre jedoch sehr umstritten, weil sie einerseits zwar Spam verhindert aber andererseits auch die fortschreitenden Assoziationen der Blogosphäre schwächt.

Diese Funktion nennt sich Trackback Validation und bewirkt, dass ein Artikel nur Trackbacks von dem bezugnehmenden Artikel eines anderen Weblogs empfängt, wenn in diesem auch ein Link auf den Ursprungsartikel enthalten ist. Die meisten Softwareprodukte, welche zur Verwaltung von Weblogs eingesetzt werden, implementieren dieses Verhalten standardmäßig in ihre Trackback Komponenten.

Sehr wenige Softwareprodukte hingegen implementieren die Trackback-Funktionalität so, wie es die offizielle Trackback-Spezifikation vorsieht, und zwar ohne eine automatisierte Filterung von empfangenen Trackbacks. Das Content Management System Drupal ist eines dieser besagten Produkte.

Leider exisiert kein Modul, welches das vorhandene Trackback Modul in Drupal um die Funktionalitäten der Trackback Validation erweitert. Will man trotzdem in den Genuss kommen müssen lediglich einige Änderungen in der Datei modules/trackback/trackback.module vollzogen werden. Dazu wird eine Funktion in die Datei eingefügt, welche auf der bezugnehmenden Seite nach der verlinkten URL der Artikelseite sucht.

/**
* Sanity-checks trackback by making sure the URL contains link back
*/
function trackback_sanity_check_link($url, $timeout = 30) {
  global $base_url;
  // Fetch trackback link page (using timeout)
  $c = curl_init();
  curl_setopt($c,CURLOPT_URL,$url);
  curl_setopt($c,CURLOPT_HEADER,0);
  curl_setopt($c,CURLOPT_FOLLOWLOCATION,1);
  curl_setopt($c,CURLOPT_RETURNTRANSFER,1);
  curl_setopt($c,CURLOPT_TIMEOUT, $timeout);
  $data=curl_exec($c);
  curl_close($c);
  // If page contains base_url return TRUE
  return stripos($data,$base_url)!==FALSE;
}

Anschließend wird die schon vorhandenene Funktion trackback_receive am Anfang mit einer kleinen Abfrage ausgestattet, welche den Link des Trackbacks, mittels der neuen Funktion, auf einen Backlink überprüft.

   if (!trackback_sanity_check_link($trackback->url)) {
      if (!module_invoke('throttle', 'status')) {
        sleep(variable_get('spam_ip_filter_sleep', 30));
      }
      return;
    }

Ich hoffe dass ich durch die Verwendung dieser Funktion dem massiven Trackback-Spam entgegenwirken kann ohne damit nachhaltig der Blogosphäre zu schaden. ^^

Update: Mir wurde soeben über die Kommentarfunktion von jemandem mitgeteilt, dass er ein Trackback Validation Modul für Drupal veröffentlicht hat.