אמצעי אבטחה

מבוא

עמוד זה מציג את שכבות האבטחה השונות המובנות בפלטפורמת ההצבעה הדיגיטלית של VoteClick.

הסקירה נפתחת בתוצאות מבחני חדירות שנערכו למערכת באמצעות כלי אבטחה מתקדמים, שבהם קיבלה הפלטפורמה את הדירוג הגבוה ביותר A+:

נציג את שיטת האימות הייחודית שפיתחנו, המאפשרת זיהוי מאובטח של הבוחר – ללא צורך בסיסמאות או קודים. שיטה זו משולבת בדרכים למניעת גניבת זהות הבוחר:

נמשיך בתיאור האמצעים המבטיחים את סודיות ההצבעה, את מניעת ההצבעה הכפולה, ואת ההגנה מפני ניסיונות הונאה – כולל מצד מנהלי ההצבעה עצמם:

לסיום, נסקור את מערכות ההגנה החיצוניות שלנו – כגון פיירוול חכם המוגן באמצעות CloudFront של AWS – שמגינות מפני התקפות מסוג DDoS, XSS, והזרקת SQL:

דירוג A+ בבדיקת SSL Labs

מערכת VoteClick קיבלה את הציון המרבי A+ בבדיקת האבטחה של SSL Labs, שירות מוערך מבית חברת האבטחה Qualys.

הבדיקה מאמתת את תקינות ההגדרות הקריטיות של הצפנת התקשורת בין המשתמשים לשרתי המערכת.

תמונת מסך - תוצאת בדיקת SSL labs

דירוג A+ בבדיקת Security Headers

מערכת VoteClick קיבלה את הציון המרבי A+ באתר SecurityHeaders.com

הבדיקה מאשרת שהמערכת מיישמת את כל כותרות האבטחה הנדרשות (HTTP Security Headers) — בהתאם לסטנדרטים המחמירים ביותר.

תמונת מסך - תוצאת בדיקת Security Headers

דירוג A+ בבדיקת Mozilla Observatory

מערכת VoteClick קיבלה את הציון המרבי A+ באתר בבדיקת האבטחה של Mozilla Observatory - שירות מוערך שבודק את יישום כותרות האבטחה החשובות ביותר (כגון CSP, HSTS, X-Frame-Options ועוד).

דירוג זה מעיד על כך שהמערכת מיישמת באופן מלא את תקני האבטחה המומלצים להגנה על פרטיות המשתמשים ועל שלמות המידע.

תמונת מסך - תוצאת בדיקת Mozilla Observatory

אימות זהות בהקלקה בודדת

כל בוחר מקבל הזמנת הצבעה, הכוללת קישור מאובטח.

בתוך הקישור מוטמע מפתח הצבעה לשימוש חד פעמי, ייחודי לכל בוחר.

בהקלקה של הבוחר על הקישור, הוא מעביר אל VoteClick את המפתח, ובכך מאפשר את זיהויו.

להלן התייחסות לאימות זהות הבוחר על בסיס מספר תעודת זהות

איור טביעת אצבע

מנגנונים למניעת גניבת זהות

גניבת זהות מתרחשת כאשר אדם לא מורשה מקבל גישה למפתח ההצבעה הייחודי של הבוחר.

ישנן שתי שיטות להשיג את המפתח: ניחוש או העתקה.

VoteClick מטפלת בכך באמצעים הבאים:

  1. אורכו של מפתח ההצבעה נקבע כך, שיכיל מספר עצום של צירופים, שהופכים את האפשרות לנחש את ערכו, ללא ריאלית.
  2. השימוש בהצפנת SSL מגן מפני יירוט וקריאה בלתי חוקית של ערך המפתח.

המספר המדוייק של הצירופים הוא 62 בחזקת 10, כלומר:

839,299,365,868,340,224

שמירה על חשאיות ומניעת הצבעות חוזרות

חשאיות ההצבעה ומניעה של הצבעות כפולות, מושגות בפעולה אחת פשוטה, והיא: מחיקת מפתח ההצבעה של הבוחר לאחר הצבעתו.

אמצעי זה מבטיח את חשאיות ואמינות תהליך ההצבעה, ומעניק לבוחרים את הביטחון, שהצבעתם מאובטחת וזהותם מוגנת.

איור פח אשפה

ההסבר לכך מובא להלן:

הצבעה חשאית

מחיקת מפתח ההצבעה מרשומת ההצבעה של הבוחר (שם נשמרות בחירותיו), מנתקת את הקשר בין זהות הבוחר לבין בחירותיו, ולא מאפשרת לקשר ביניהן. בכך מושגת חשאיות ההצבעה.

מחיקת מפתח ההצבעה ושמירת בחירות הבוחר, מתבצעות בפעולה אחת*, ולכן אין פרק זמן, ולו הקצר ביותר, שבו ניתן לקשר בין המצביע לבין בחירותיו.

מניעת הצבעות כפולות

מחיקת המפתח הופכת אותו הלכה למעשה למפתח חד פעמי. הבוחר לא יוכל לעשות בו שימוש נוסף, ובכך נמנעות הצבעות כפולות.

איתור ומניעת הונאות מצד גורמים פנימיים

המערכת מאפשרת למשקיפים לזהות התערבות זדונית של מנהלי ההצבעה, באופן בו היא מנוהלת או בתוצאותיה.

להלן תיאור הכלים לניטור מהלך ההצבעה:

1. תגים לזיהוי הצבעה פיקטיבית

המערכת מייצרת תג זיהוי ייחודי לכל הצבעה, ומציגה אותו, הן בטופס ההצבעה, והן בעמוד התוצאות.

הבוחרים יכולים לבדוק שלא השתתפו בהצבעה פיקטיבית (phishing), על ידי וידוא התאמה, בין תג הזיהוי המוצג בטופס ההצבעה, לבין זה המוצג בעמוד התוצאות.

2. בקרה בזמן אמת באמצעות יומן הצבעה אוטומטי

המערכת מתעדת כל פעולה משמעותית ביומן ההצבעה, מרגע תחילתה ועד לנעילתה. עם פעולות אלה נמנות: הוספה, מחיקה ועריכה של בוחרים.

היומן הוא חלק מתוצאות ההצבעה, ובכך מאפשר בקרה אחר פעולות המנהלים.

3. איתור נסיונות זיוף של פרטי הבוחרים

המערכת מתעדת את כתובות האימייל ומספרי הטלפון, שאליהם נשלחו הזמנות ההצבעה, ומציגה אותם בקובץ התוצאות.

כך ניתן יכולים המשקיפים לוודא, שלא זויפו פרטי הבוחרים.

4. אימות מהימנות התוצאות

תוצאות ההצבעה זמינות בשני פורמטים:

AWS: שילוב של פיירוול ו-CloudFront להגנה מרחבית

כדי להגן ביעילות מפני המגוון הרחב של איומי האינטרנט הנפוצים בנוף הדיגיטלי של ימינו, VoteClick מסתמכת על כלי אבטחה מתקדמים המסופקים על ידי Amazon Web Services (AWS).

אנו מיישמים אמצעי הגנה למניעת התקפות מניעת שירות מבוזרות (DDoS), כמו גם התקפות סקריפטים בין-אתרים (XSS) והתקפות הזרקת SQL.

כדי להשיג הגנה חזקה זו, VoteClick משתמש בשני כלים מרכזיים של AWS:

  1. CloudFront
  2. Web Application Firewall

לוגו CloudFront