Online stemsysteem waterschappen vatbaar voor sabotage

Er zijn diverse ernstige beveiligingsproblemen gevonden bij het systeem dat de waterschappen wilden gebruiken voor internetstemmen, zo blijkt uit een woensdag vrijgegeven onderzoeksrapport.

Eind augustus verwezen de waterschappen de plannen om voor de komende verkiezingen gebruik te maken van het Rijnland Internet Election System, oftewel 'Ries', naar de prullenmand, naar aanleiding van een rapport van IT-beveiligingsbedrijf Fox-IT. Het systeem wist in 2006 nog de de Public Service Award van de VN in de wacht te slepen, terwijl het systeem twee jaar eerder al werd ingezet om ruim een miljoen inwoners van Rijnland via internet te laten stemmen voor het nieuwe algemeen bestuur van het hoogheemraadschap. Nederlanders die in het buitenland wonen, konden Ries bij de Tweede Kamerverkiezingen van 2006 gebruiken om hun stem uit te brengen.

Het onderzoeksrapport van Fox-IT, dat woensdag is gepubliceerd, toont echter dat het voor kwaadwillenden op diverse manieren mogelijk is om de uitslag te beïnvloeden, het verkiezingsproces te saboteren en uiteindelijk zelfs te herleiden welke persoon op wie heeft gestemd. Zo kan een gemiddelde pc ruim binnen een etmaal een geldige stemcode genereren. "De informatie die hiervoor nodig is, wordt voorafgaand aan de stemperiode gepubliceerd, waarna de berekening kan starten. Aangezien de stemperiode twee weken duurt zou een kiezer die over de juiste software beschikt minimaal 16 geldige stemmen kunnen uitbrengen op een kandidaat naar keuze", schrijft het beveiligingsbedrijf in zijn rapport. Met meer pc's kunnen uiteraard nog meer stemmen worden uitgebracht en een botnet zou zelfs de gehele uitslag kunnen bepalen.

Ook lukte het de onderzoekers van Fox-IT om via internet toegang te krijgen tot diverse beheerschermen, zodat ze de verkiezingen konden stopzetten en de database met uitgebrachte stemmen konden uitlezen en manipuleren. Verder gebruikt Ries voor de versleuteling van de uitslag, inclusief de Burgerservicenummers, 2T DES-encryptie, waarbij twee sleutels gebruikt worden die elk een lengte hebben van 56 bits. Het Amerikaanse Nationaal Instituut voor Standaarden en Technologie verwacht echter dat computers tegen 2030 krachtig genoeg zijn om deze encryptie te kraken. Probleem daarbij is dat de uitslagen als referentielijst gepubliceerd zouden worden om zo na de
verkiezingen te kunnen bepalen op wie er gestemd is. Tegen 2030 zou het dus waarschijnlijk mogelijk zijn geweest om na te gaan wie op wie gestemd heeft, als de waterschappen het gebruik van het Ries-systeem hadden doorgezet en het ministerie van Verkeer en Waterstaat akkkoord was gegaan.

Door Olaf van Miltenburg

Nieuwscoördinator

Feedback • 11-09-2008 13:59 29

11-09-2008 • 13:59

29

Lees meer

Kwart van kiezers Estland stemt via internet
Kwart van kiezers Estland stemt via internet Nieuws van 7 maart 2011
Esten kunnen in 2011 via mobieltje stemmen
Esten kunnen in 2011 via mobieltje stemmen Nieuws van 13 december 2008
Elcomsoft-software kan wpa2 snel kraken door gebruik gpu
Elcomsoft-software kan wpa2 snel kraken door gebruik gpu Nieuws van 11 oktober 2008
Ophef over telsysteem Waterschapsverkiezing na verbod op internetverkiezingen
Ophef over telsysteem Waterschapsverkiezing na verbod op internetverkiezingen Nieuws van 23 september 2008
Waterschappen zien af van verkiezingen via internet
Waterschappen zien af van verkiezingen via internet Nieuws van 22 augustus 2008
Stemsysteem waterschapsverkiezingen blijkt vatbaar voor misbruik
Stemsysteem waterschapsverkiezingen blijkt vatbaar voor misbruik Nieuws van 1 juli 2008
Voor het eerst internetstemmen bij parlementsverkiezingen
Voor het eerst internetstemmen bij parlementsverkiezingen Nieuws van 19 november 2006
Internetstemmen levert hoogheemraadschap VN-prijs op
Internetstemmen levert hoogheemraadschap VN-prijs op Nieuws van 26 april 2006
Ruim een miljoen Nederlanders kunnen online stemmen
Ruim een miljoen Nederlanders kunnen online stemmen Nieuws van 27 september 2004
Rijnland voert internetstemmen in voor hele regio
Rijnland voert internetstemmen in voor hele regio Nieuws van 14 oktober 2003
Meer producten en artikelen
Netwerk en systeembeheer Internettoegang Internet Beveiliging Nederland

Reacties (29)

-Moderatie-faq
29
26
9
6
0
4
Wijzig sortering
jrfloor 11 september 2008 15:26
Het is onmogelijk om digitaal stemmen veilig te doen. Je mist altijd controle over een erg belangrijk stuk van het process, de locatie waar er gestemd wordt. Hoe voorkom je dat mevrouw de Vries gewoon zonder probleem stemt zonder dat meneer de Vries afkijkt of zelfs voor haar stemt? Kan niet zonder stemhokjes. Dus je mag best digitaal stemmen...op een stemmachine in een stemlokaal.
mashell @jrfloor11 september 2008 16:15
Maar meneer de Vries mag ook gewoon voor mevrouw de Vries stemmen, zij kan hem machtigen. Die hele machtigingsprocedure is ook alleen maar omdat die mensen achter de tafel in het stem bureau weten dat meneer gemachtigd is door mevrouw. In het kader van minder bureaucratie is online stemmen juist optimaal, kunnen mensen dat zelf regelen. Stemmen ronselaars zijn zo wel lastiger te bestrijden, maar "elk voordeel heb zijn nadeel" volgens de grote filosoof. Wat weegt zwaarder? Het gemak om actief deel te nemen aan de democratie of het waarborgen van de integriteit daarvan?
pmeter @mashell12 september 2008 01:24
Jrfloor bedoelt dat met digitaal stemmen vanuit huis het voordeel van het stemhokje wegvalt dat gegarandeerd is dat iemand anders je niet dwingt om op een bepaalde manier te stemmen.
Quinz 11 september 2008 14:22
En eens te meer blijkt de overheid niet in staat om IT op de juiste manier in de zetten voor de democratie. Hoog tijd voor een ministerie van ICT. Zodra deze kostenpost wordt gecentraliseerd zal het een stuk vloeiender lopen. En zal ICT echt gaan bijdragen...

Want het blijft belachelijk dat er bij de Tweede Kamerverkiezingen gebruik is gemaakt van dit systeem.

Het zal toch echt veiliger kunnen dan wachtwoorden en gebruikersnamen. Kijk naar hoe banken het hebben opgelost met telebankieren. Het lijkt me wel wat als burgers een apparaatje krijgen waarop BSN en PIN moeten worden ingevoerd en vervolgens een stemsite kan worden benaderd.

@PolarBear
Nederlanders die in het buitenland wonen, konden Ries bij de Tweede Kamerverkiezingen van 2006 gebruiken om hun stem uit te brengen.

In het bericht

@Teddie (wat hebben jullie met beren ;))
Dat schoot idd ook door mijn hoofd, maar digid werkt nog steeds op een andere manier als telebankieren. Namelijk met gebruikersnaam + ww.

[Reactie gewijzigd door Quinz op 23 juli 2024 08:19]

PolarBear @Quinz11 september 2008 14:30
Want het blijft belachelijk dat er bij de Tweede Kamerverkiezingen gebruik is gemaakt van dit systeem
Waar lees je dat?
En eens te meer blijkt de overheid niet in staat om IT op de juiste manier in de zetten voor de democratie.
Aan de andere kant is het ook belachelijk dat het bedrijf wat dit ontwikkeld heeft niet in staat is geweest een veilige applicatie op te leveren.
Nvidiot @PolarBear11 september 2008 15:46
Want het blijft belachelijk dat er bij de Tweede Kamerverkiezingen gebruik is gemaakt van dit systeem

Waar lees je dat?
Uit het bericht:
"Nederlanders die in het buitenland wonen, konden Ries bij de Tweede Kamerverkiezingen van 2006 gebruiken om hun stem uit te brengen."
dietmertan.com @Quinz11 september 2008 15:10
Het lijkt me wel wat als burgers een apparaatje krijgen waarop BSN en PIN moeten worden ingevoerd en vervolgens een stemsite kan worden benaderd.
DigiD :)
Anoniem: 238416 11 september 2008 16:16
Een case study hierover wordt door Fox IT op 12 november in de Jaarbeurs Utrecht verzorgd. Dit gebeurt op de jaarlijkse Infosecurity beurs.

Case studieprogramma Infosecurity.nl
Zaal 9
11.00 - 11.30 uur Beïnvloeden van internetverkiezingen Fox IT

Meer informatie op www.infosecurity.nl.

[Reactie gewijzigd door Anoniem: 238416 op 23 juli 2024 08:19]

Anoniem: 245434 11 september 2008 14:01
Gewoon opheffen de waterschappen. Bij de provincie voegen die club!
Huh, in 2030 is het wellicht mogelijk te achterhalen wat iemand nu stemt? Boeien! Een 5 voor Duits in een oud raport vinden is nog vervelender. Iemand die daar in 2030 zijn computer op los laat is niet goed snik, als de data al geen bit-rot heeft ondergaan.

Kwaadwillenden kunnen de uitslag beinvloeden? Net zo erg als Jeroen Pauw en Matthijs van Nieuwkerk dat doen met hun talkshows, of iets minder erg?

[Reactie gewijzigd door Anoniem: 245434 op 23 juli 2024 08:19]

Poenzkie @Anoniem: 24543411 september 2008 14:30
Waterschappen opheffen en bij de provincie voegen? Weet jij uberhoubt wel wat waterschappen doen? En dat het onmogelijk is om deze bij de provincie te voegen?

Aangezien veel waterschappen op het randje van 2 provincies zitten. Een meer of rivier stopt nu eenmaal niet bij de provincie grens. Dus als je het aan de provincies geeft zal je tegenkomen dat 1 helfd van een meer wel onderhouden is. Maar de andere helft niet omdat het in een andere provincie licht..... Lijkt me niet erg goed he.

En verder doen de waterschappen heel gespecialiseert werk dat ik niet zo een twee drie door de provincie gedaan zie worden. Dan hadden de mensen in de polder al met natte voeten gezetten.
player-x @Poenzkie11 september 2008 15:56
Bij de provincie voegen is ook niet het beste idee maar rijkstwaterstaat is natuurlijk geen slecht optie imho.
Sterker nog rijkstwaterstaat werkt al intensief samen met de waterschapen eenigste wat echt veranderd is dat er geen aparte belasting meer hoeft geheft teworden
En dat er een hele reeks van waterschap bestuurders de laan uit gestuurd kunnen worden, en kantooren samen gevoeg kunnen worden.
(laaste keer dat ik in leiden bij Hoogheem raadschap van rijnland was werd ik ziek van het verspilde geld en kunst die in het kantoor was misbruikt)

want het stemmen op de huidige waterschappen heeft weinig nut meer, met een opkomst van >20% is het zelfs niet meer democreaties te noemen.

Als ik het goed heb heeft het lage opkomstpercentage zelf voordeel voor groot grondbezitters die veel grond hebben die aan de door waterschappen bestuurde waterwegen grenzen.
Daar stemmen in waterschappen afhankelijk zijn aan de hoeveelheid waterschapsbelasting men betaalt.

[Reactie gewijzigd door player-x op 23 juli 2024 08:19]

Remus @player-x11 september 2008 18:14
Wat mij betreft is het beter zoals het nu is. Een waterschap beheert de waterhuishouding van een relatief klein gebied, daardoor is de aandacht geconcentreerd op de belangen voor dat gebied.

Ik zou niet willen dat een grote landelijke organisatie dat moet regelen, want wat krijg je:
1) Geen oog voor de belangen van bewoners en bedrijven
2) 'Hype'-cratie waardoor alleen rekening wordt gehouden met belangen die recent in het nieuws zijn gekomen
3) Versnippering van aandacht

Geef mij maar het oudste democratische systeem van Nederland.
player-x @Remus11 september 2008 20:53
En wat is het verschil met Rijkstwaterstaat ?

Ja er is een groot hoofd kantoor maar elke regio heeft zijn eigen kleinere regio kantoor.

Waterschappen moet nu alleen verantwoording afleggen aan een kiezer die totaal geen aandachtbesteed aan wat ze doen en laten

Ze kunnen zo een beetje naar eigen inzicht belasting heffen, elke regio heeft zijn eigen systeem en ingenieurs.

Nee deze versnippering is goed, ik zal niet zeggen dat rijkstwaterstaat perfect is maar ze doen toch redelijk hun werk zeker als ik het vergelijk met de waterschappen en het buitenland.
Ben zelf ongeveer half jaar uitgeleend aan een waterschap, als ze 4 uurtjes per dag productief waren was het veel.
Anoniem: 201824 @player-x11 september 2008 21:18
Welke overheidsinstantie legt er nu wel een degelijke verantwoording af? Dat zijn er maar weinig. (Dat zou overigens alleen maar nog meer belastinggeld kosten.) De geheven belasting zal ongetwijfeld voor een deel in die kunst gaan zitten waar je het over hebt.
Iets als een dijk verstevigen heeft als vanouds weinig prioriteit. Als vanouds wordt de put gedempt als het kalf al verdronken is. Maar als ze de waterschappen gaan opheffen, nou, zorg dan maar dat je nog droge voeten houdt ;)

[Reactie gewijzigd door Anoniem: 201824 op 23 juli 2024 08:19]

twooggy @Poenzkie11 september 2008 15:44
sterker nog, waterschap Rivierenland loopt dwars door Nederland vanaf de Duitse Grens tot aan Rotterdam
Youri Carma @twooggy11 september 2008 16:35
Sterker nog vroeger hadden Waterschappen het recht de doodstraf uit te spreken wat aangeeft hoe serieus het beheren van het water in Nederland toen geacht werd en vandaag nog natuurlijk - zonder doodstraf dan.
player-x @Anoniem: 24543411 september 2008 14:26
Uhhhh dus jij wild de oudste modern democreaties orgaan terwereld ophefven?

Hmmm persoonlijk geen problemen mee maar het is wel een heel stuk geschiedenis en denk dat er best een hoop mensen zijn die er wel een probleem mee hebben.
(imho zijn de Hoogheem raadschapen niet meer nodig vandaag de dag)
hollandismad @Anoniem: 24543411 september 2008 14:21
Je kan niet weten in wat voor wereld we in 2030 leven. Misschien is er dan wel iemand aan de macht die dit wel interessant vindt of zo. Het is in ieder geval nooit goed dat geheime data in de nabije toekomst in verkeerde handen kan vallen.
Rob Coops
11 september 2008 14:17
Dat dit in 2030 mischine wel gekraakt kan worden lijkt wel het misnt intrestant maar je moet niet vergeten dat we het over een overheids tool praten. Die dingen worden echt nooit geupgrade, mischien een nieuwe grafische saus er overheen maar de core code is heilig en mag niet aangepast worden omdat mensen tegen die tijd geen idee meer hebben waarom het geen dat daar staat ooit zo is geschreven en de overheid durft het niet aan dat aan te passen omdat zij geen idee hebben waar ze het over hebben (per definitie)
En dus zijn de verkiezingen bij de verkiezingen van 2030 meteen te zien wie op wie heeft gestemt.

Hoe dan ook waterschappen wat maakt dat uit gewoon overheid en zou dus gewoon onderdeel van de gemeente moeten worden of eigenlijk de provincie maar goed wie zijn wij. wij mogen alleen stemmen als de hoge heren dat graag willen anders je kop houden en ja knikken.
PolarBear @Rob Coops11 september 2008 14:27
Hoe dan ook waterschappen wat maakt dat uit gewoon overheid en zou dus gewoon onderdeel van de gemeente moeten worden of eigenlijk de provincie maar goed wie zijn wij. wij mogen alleen stemmen als de hoge heren dat graag willen anders je kop houden en ja knikken.
Aan de andere kant, waterschappen hebben een hele duidelijke functie en taak en staan vrij dicht bij de burger qua belevingswereld. En willen we juist niet dat de politiek dichterbij de burger staat?
Anoniem: 231952 12 september 2008 00:55
3 key Triple DES was beter geweest als 2 key Triple DES (k1==k3), AES was beter geweest als 3 key Triple DES.

Maar ze hebben gekozen voor 2 key Triple DES.
AES is er al sinds eind 2001. Nou ja, de keuze van het algorithme had ook nog slechter kunnen zijn moeten we maar denken :) Bijvoorbeeld CRYPTO1 ;)
Youri Carma 18 september 2008 13:52
Die machines zijn ontworpen om te frauderen dat heeft een medewerker in Amerika immers onlangs opgebiecht.

Ik weet echter niet waar deze machines vandaan komen?
PolarBear @Anoniem: 13622311 september 2008 14:16
Kun je dat zakkenvullers eens goed onderbouwen? Welke politici gaan er vandoor met het geld? Ik stel voor dat we die gaan aanpakken.
blouweKip @PolarBear11 september 2008 16:00
Het is een hype tegenwoordig, zeiken over politici (en ondertussen stemmen die zeikerts op de politici die het meeste overeenkomen met het door hun geschetste beeld :P)
Anoniem: 201824 @PolarBear11 september 2008 21:23
Ik denk dat ie bedoelt dat er maar weinig gepresteerd wordt voor het geld dat er verdiend wordt. Ik ken ook iemand die werkt bij een overheidsinstelling, maar daar wordt eenvoudig gedacht over een paar uurtjes eerder naar huis, maar wel evenveel schrijven hoor! Zou ook bijna bij een overheidsinstelling gaan werken.
Anoniem: 28333 @World Citizen11 september 2008 15:09
nou? waarom niet? omdat een totaal andere instantie een sleutel gebruikt die over 20 jaar te kraken is?

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq