Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Veiligheidsrapport verkiezingssoftware: manipulatie uitslag in potentie mogelijk

Door , 52 reacties

Beveiligingsbedrijf Fox-IT heeft zijn onderzoek naar de veiligheid van de OSV-verkiezingssoftware gepubliceerd. Daarin concludeert het dat manipulatie van de uitslag tot de mogelijkheden behoorde. In een brief laat minister Plasterk weten de rekenfunctie van de software toch in te zetten.

De Kiesraad heeft vrijdag het uitgevoerde onderzoek gepresenteerd. Daarin schrijft het Nederlandse beveiligingsbedrijf dat 'de in het onderzoek geïdentificeerde technische en procedurele kwetsbaarheden maken dat een manipulatie in potentie ongemerkt plaats kan vinden'. Daarbij is de mate van invloed afhankelijk van de grootte van de stembureaus en kieskringen, maar 'kan aanmerkelijk zijn en tot zetelverschuivingen leiden' in het geval van de kieskringen. De gebrekkigheid van de software, die eind januari al aan het licht kwam, wordt daarmee door het rapport bevestigd. De OSV-software wordt sinds 2009 gebruikt.

Zo kwamen enkele problemen in risicocategorie 'hoog' naar voren. Daaronder valt het gebruik van verouderde software die daardoor kwetsbaar is, waaronder Java 1.6.0_45 en versie 4.2.3 van JBoss. Ook werd de integriteit van de eml-bestanden, met daarin onder andere de stemtotalen, onvoldoende geverifieerd. Zo werden alleen de eerste vier karakters van de hashwaarde gecontroleerd bij het importeren van deze bestanden. Dit maakt het voor een aanvaller eenvoudiger een vervalst bestand aan te leveren. Daarnaast bleek de integriteitscontrole van de OSV-software op cd-rom niet te deugen en was het mogelijk om kwaadaardige code in de software te verbergen.

Fox-IT doet in het rapport enkele aanbevelingen, zoals de verbetering van de beveiliging van de OSV-software, het toepassen van het 'vierogenprincipe' en de verhoging van de transparantie van het verkiezingsproces. In een Kamerbrief laat minister Plasterk weten dat hij kennis heeft genomen van de bevindingen en dat daaruit voort zou vloeien dat 'functionaliteiten van OSV wel bruikbaar zijn als rekenhulpmiddel mits, net als was voorzien voor het gebruik van een spreadsheet als rekenhulpmiddel, gewaarborgd is dat het papieren proces leidend is'. Daarmee komt de minister terug op het eerdere standpunt dat de software helemaal niet gebruikt zou worden.

In aanvulling op het gebruik van de software als rekenhulpmiddel wordt in alle stappen van het telproces het totaal aan stemmen handmatig geteld. Daarnaast gelden de veiligheidsmaatregelen die Plasterk twee weken geleden had aangekondigd, waaronder het werken onder 'vier ogen' en de eis dat de systemen voor de rekenhulpmiddelen niet aan het internet zijn aangesloten. Uit het onderzoek van Fox-IT blijkt op dat punt dat bijvoorbeeld de Kiesraad van een OSV-laptop gebruikmaakte, die onder meer voor updates met het internet werd verbonden.

Door Sander van Voorst

Nieuwsredacteur

03-03-2017 • 18:15

52 Linkedin Google+

Reacties (52)

Wijzig sortering
Alle mens gemaakte objecten hebben kans op potentiŽle fouten of kunnen gemanipuleerd worden. Daarbij ook software, daar kun je bugs vinden, of iets wat te manipuleren is. De veiligste manier blijft altijd nog papier en pen. Zonder internet of tel machines(indien meerdere natelling is het geen probleem). Natuurlijk heb je ook nog omkoping of andere vormen van manipulatie. Maar software moet je goed afwegen of het veilig is voor het doel waarvoor je het wil gebruiken.
Bij papieren biljetten kun je natuurlijk ook biljetten toevoegen of zoek maken. Het tellen is niet het enige proces dat te beÔnvloeden is.
Ik zei ook niet dat papier niet gemanipuleerd kan worden :-) "Natuurlijk heb je ook nog omkoping of andere vormen van manipulatie."
Ben ik de enige die dit erg zorgelijk vind? Ik bedoel, valt nog te achterhalen of er fraude werd gepleegd bij de vorige verkiezingen?

Misschien dat we dit jaar welk eerlijkheid krijgen want zolang de OSV-software niet stenger beveiligd is ligt fraude (manipulatie van stem) op de loer.

[Reactie gewijzigd door mugen4u op 3 maart 2017 19:19]

Op zich valt het te controleren als je de uitslag van alle stemlokalen weet. Bij het tellen van de stemmen mag iedereen aanwezig zijn en mag je ook vragen naar de uitslag van het stemlokaal.

Maar wat nog belangrijker is. Op de avond van de verkiezingen geeft elke gemeente de uitslag door aan bijvoorbeeld de NOS en aan de kiesraad. Wanneer de uitslagen van de NOS verschilt met die van de kiesraad moet een van beide partijen zich even achter de oren krabben.
Digi D stemmen een optie?
Nee, want daarmee kun je weer niet waarborgen dat een stem anoniem is.
Dat kun je wel. Digid is namelijk alleen authenticatie en authorizatie.

Digid geeft dus alleen aan dat je stemmen mag en dat je dit nog niet hebt gedaan. Wat je dan precies stemt is voor digid niet duidelijk en wie je bent is voor het stem systeem niet bekend.

Alleen... hoe ga je controleren dat jouw stem daadwerkelijk klopt.
Nee, want daarmee kun je weer niet waarborgen dat een stem anoniem is.
Zou niet weten waarom het anoniem moet zijn , als ze het willen weten kunnen ze het toch achterhalen.
Als je dat al niet begrijpt, kun je je beter eens inlezen hoe verkiezingen en democratie werken. Maar als je dat teveel moeite is: in de wet staat dat stemmen anoniem moet zijn.
Het gaat erom dat je je stem kan uitbrengen zonder dat iemand weet wat je stemt. Daardoor zorg je ervoor dat niemand naast je staat en je dwingt een bepaald stem uit te brengen EN dat niemand je geld geeft om een bepaald stem uit te brengen omdat ze niet weten of je dan gewoon het geld neemt en stemt op een ander.

Dit is 1 van de basis-vereisten voor een democratische verkiezing en de grote reden waarom het wenselijk is dat de overweldigende meerderheid in persoon komt stemmen.
Nee. Niets ICT is veilig.
Verschillen zullen er altijd zijn tussen de voorlopige en de definitieve uitslag.
Maar als je twijfel wilt zaaien zorg je dus dat de voorlopige uitslag afwijkt. Dit is een mondeling proces zonder enige controle. Dus ik bel bijv de verkiezingsdienst van het ANP op met de uitslag van Den Bosch of Leeuwarden. Volgens mij is de verwarring al gezaaid als later of eerder een andere uitslag van die gemeente is binnen gekomen. Dan hebben we de poppen aan het dansen.
Ben ik de enige die dit erg zorgelijk vind?
Nee, maar onze stem telt helaas niet in onze overheid die <sarcasme> echt altijd fantastisch scoort op ICT gebied.</sarcasme>

Ik snap niet waarom de stemmachines uit de race gehaald zijn die kaartjes met je stem produceren. Ik bedoel, de eerste initiele telling kan super snel uitgevoerd worden en is 99% nauwkeurig denk ik. En de handmatige telling dient altijd achteraf alsnog met de hand en veel-ogen plaats te vinden.
Omdat in het verleden als is aangetoond dat stemcomputers niet te vertrouwen zijn, of eigenlijk dat de overheid weer gewoon enorm blundert met ICT.

Er zijn nooit spelcomputers geweest die kaartjes met je stem produceren in Nederland, dat was het voorstel nadat aangetoond was dat die anderen stemcomputers totaal onveilig zijn (ze waren te manipuleren) en zijn af te luisteren. Tevens gaan gemeenten zeer onzorgvuldig om met het beheren van de apparatuur (waardoor het mogelijk was ze te manipuleren)
Een stem computer kan niet door mij als stemmer worden gecontroleerd, en daarmee of mijn stem juist wordt geteld. Ik kan tevens de streepjes code niet lezen op het printje, dus er staat wel partij X/persoon Y maar wie zegt mij dat het klopt.

Er is totaal geen noodzaak tot een snelle telling, behalve zodat de politieke elite dezelfde dag het feestje kan vieren. Daarnaast is computer stemmen al duurder, dat is al aangetoond.

Als iemand nou eens met een goede argumenten voor stemcomputers komt, maar die zijn er gewoon niet (behalve het is sneller). Je moet alleen iets automatiseren als het zin heeft en uit kan (meestal geld bespaard of andere baten heeft)
Ik heb ook het gevoel dat een eenvoudig geprint stemkaartje veel zou helpen, anders dan die ontzettend onhandige stemformulieren die we nu hebben. Die kun je machinaal tellen.
@jeanj: het handmatige tellen is wel degelijk een groot probleem. Het gebeurt door de bezetting van het stembureau die al de hele dag in touw is geweest en dus hondsmoe. Het kost uren, is lastig en een bron van fouten. Geef je eens op als stembureau-lid, daar is groot gebrek aan, je bent er een dag mee kwijt en levert je iets van §75 op.
Voor de telmachines en de printers en de software stel je een spec op, meer fabrikanten mogen leveren. De software is super-simpel en direct controleerbaar (juiste kaartje cq juiste aantal moet eruitrollen).
1) stemmen op een computer die een leesbaar kaartje uitprint (en meer niet)
2) die doe je in de stembus
3) kaartjes in de stembus worden einde stemdag machinaal geteld
4) een statistisch significant aantal (of eventueel alle) stembussen laat je hertellen met een andere telmachine (en bij voorkeur ook van een ander fabrikaat); uitkomsten moeten matchen. Uitkomsten autoriseer je met meer getuigen.
5) op off-line computers bereken je de uitslag, en die publiceer je op een website in een excel-achtig spreadsheet die voor eenieder te controleren is. Bijvoorbeeld: je kunt bij de stemmen op partij A steeds verder doorklikken tot je de stemmen op stembureau-niveau kunt zien. De complete uitslag is van de site te downloaden (en te controleren).
6) je vraagt alle voorzitters van de stembureaus te checken of de uitkomsten voor hun specifieke stembureau kloppen bij wijze van kruiscontrole.

Lijkt me simpel en redelijk voordelig te implementeren. En volledig open en vooral controleerbaar.
Ik ben er nog nooit bij een telling geweest, maar de stem bureaus hebben meerdere leden die elkaar afwisselen. Daarnaast komen er aparte stemmen tellers (in ieder geval bij grote gemeenten), in Amsterdam betalen ze ongeveer 37 euro (voor 3 uur werk)
Een stembureau lid zou § 250 ontvangen volgende deze link

We hebben al gezien bij autos dat men instaat is om sjoemel software te maken, software die bij testen andere (wenselijke) waardes geeft dan bij daadwerkelijk gebruik. Dus ja sjoemelen is erg super simpel, denk aan een (test)stem voor 7:30 als goed weergeven, een stem na 7:30 lekker mee sjoemelen.

Ik zeg niet dat het handmatig proces perfect is, echter de problemen die je "oplost" door elektronisch te stemmen wegen niet op tegen het feit dat er niet meer gegarandeerd kan worden dat je stem echt goed wordt uitgebracht, doordat het elektronisch stem proces dat niet kan waarborgen.

Misschien lukt het om iets te verzinnen waarbij stemcomputer 100% gegarandeerd kunnen worden (ik denk het overigens niet), maar dan zal elektronisch stemmen door deze maatregelen erg duur worden. En elektronisch stemmen nu is al duurder dan handmatig, dus qua kosten, blijven we beter bij papier.

[Reactie gewijzigd door jeanj op 7 maart 2017 08:20]

Het 'sjoemelen'-voorbeeld dat jij hier noemt, is dus gewoon een extra stem uitbrengen. Behalve dat het peanuts is (een enkele stem maakt nauwelijks verschil), is het a) fraude waaraan alle stembureaumedewerkers moeten meewerken (immers, de telling klopt anders niet meer met het aantal kiezers dat is komen opdagen), dus er zijn dan 'teveel' printkaartjes uitgedeeld, en b) zou bij een handmatig proces op dezelfde manier mogelijk zijn, dus dat maakt geen verschil.
Als je mijn post goed had gelezen, had je gezien dat ik alleen voorstel om het tellen (van een leesbaar uitgeprint telkaartje) goed ťn controleerbaar te automatiseren, niet het stemmen zelf.
Net zoals ze nu niet zomaar kiesformulieren mogen uitreiken, mogen ze ook niet zomaar printbare telkaartjes uitreiken.
Je kritiek gaat dus mank.
Sjoemelen door een extra stem uit te brengen gaat opvallen, doordat het aantal stemmers anders is als de opkomst zoals je aangeeft. maar dat is ook niet wat ik bedoel

Verder neem je aan dat er wordt gesjoemeld in de computer die het kaartje uitprint. Er kan ook gesjoemeld worden in de tweede fase, de tel computer.

Sjoemelen door 1 op de 10 stemmen voor de PVV naar de VVD te laten gaan, dat valt minder op. En dat op alle (tel)computers in Nederland.

Wat je met je voorstel bereikt is dat het proces van tellen sneller gaat, tegen hogere kosten. Of de kwaliteit van het tellen (ook belangrijk) hierdoor significant hoger wordt moet eerst nog maar eens worden aangetoond. Want ga je het kaartje open en bloot in de stem bus doen, nee want dan kan iedereen die om je heen staat zien wat je stemt. En wat gebeurd er als iemand het biljet vouwt of beschadigd (denk aan die punch stembiljetten bij Gore-Bush in de VS, die zouden ook automatisch geteld worden).

Ik eindig mijn kritiek met als laatste punt dat de kosten hoger zullen liggen, en helaas ga je daar niet op in.

Ik ben niet perse tegen, maar ik zie de noodzaak nog niet echt, en niemand heeft deze nog kunnen aantonen
Geld maar met name tijdsbesparing maakt directere democratie mogelijk. Het gaat niet alleen om de telling, maar ook de aanloop ernaar toe natuurlijk. Al geldt dat alleen als je online zou kunnen stemmen. Streepjescode vervangen door een afkorting, camera erop die je live kan meekijken.
De overheid scoort niet slechter dan de rest van de samenleving. Overal wordt aangerommeld. Dat is waar deze website op draait. Artikelen over alles wat er mis gaat. Nooit opgevallen?
Stemmachines kunnen de opmaat zijn om op de lange termijn handmatige controle af te schaffen. Wie denkt er dan nog aan de potentiŽle gevaren? De stemcomputer kan immers 'geen fouten maken' en 'is veel sneller' en wat dacht je van 'het is veel goedkoper'.

Snelheid en kosten zijn echter helemaal geen factoren van belang als het gaat om de fundatie van onze democratie. Het enige wat dan telt is overmatige bezorgdheid om de menselijke controle koste wat het kost te behouden. Keuze voor een (gedeeltelijke) stemcomputer kan zeer grote gevolgen hebben op de lange termijn.
Je moet oppassen met de definitie stemmachine.

Of wellicht moet men er een andere naam aan geven. Iets van 'stem*telmachine'. Het moet namelijk, zoals eerder genoemd, nooit leading worden. Handmatige telling is de norm rn moet de norm blijven. Een telmachine kan wellicht een hertelling afdwingen als er te grote verschillen blijken te zijn, maar daarna is en blijft handmatig de juiste.

Je noemt een (gedeeltelijke) stemcomputer een opmars. Ik zeg dat het potlood alleen al een opmars is.

Wellicht bij een telmachine keuze een stemmachine in de grondwet verbieden? Ik heb daar niks op tegen.
Inderdaad.
De handmatige telling is dan eigenlijk een hertelling. Een controle.
Je moet het omdraaien. De automatische telling is een controlle op de (leading!) handmatige telling.

Hetgeen dat leidend is, kan nooit een controlle zijn. Als er verschil blijkt te zijn, gelden die handmatige resultaten.
in elk proces zal je wel loopholes vinden die kans op fraude mogelijk maken, zo ook in het volledig analoge systeem van voordien.
Vast wel... maar als er *loopholes* bekend zijn is het zeer kwalijk als de schouder een keer wordt opgehaald en de enige reactie van het nivo "tja" is.

En je zorg er op die manier ook voor dat naderhand iedereen de uitslag in twijfel kan gaan stellen... Dat is ook niet echt iets wat je wilt, tenzij je er een duidelijk belang bij hebt... (wat denkt u daarvan meneer Plasterk? ).

[Reactie gewijzigd door rboerdijk op 3 maart 2017 18:29]

Focus on the software, focus on the software!
Ik vind het vooral vrij zorgelijk dat een BRITS bedrijf als FOX_IT (onderdeel van NCC Group) ons daarvoor moet waarschuwen en niet een onafhankelijke Nederlandse overheidsdienst zelf.
Overheid en ICT in 1 zin, en dan ook nog de slager zijn eigen worst laten keuren?
Beter van niet, zeker wanneer het over verkiezingen gaat.
Overheid, ICT en verkiezingen passen prima in 1 zin, zolang het proces transparant is en door externe te controleren is.

Nu controleert een een Brits bedrijf, onze verkiezingen. Wie zegt ons, dat de Britten niet en bepaald belang hebben bij een bepaalde uitslag.

nieuws: Onderzoek naar 'staatshack' Belgacom strandt
Er is wel eens waar geen bewijs gevonden door FOX-IT*.

*Toen nog een Nederlands bedrijf
Omdat de overheid hier helemaal niet toe in staat is. En al zouden ze het kunnen, je wilt dit door een externe partij laten valideren.
Omdat de overheid hier helemaal niet toe in staat is.
Dat was exact mijn punt.
En al zouden ze het kunnen, je wilt dit door een externe partij laten valideren.
En je zou evenzo bij een externe partij (zeker bij een buitenlands bedrijf als FOX_IT/NCC) een overheidsoganisatie nodig moeten hebben die de resultaten goed kan valideren.
Dat het Brits is, is toch niet relevant voor het onderzoek dat ze doen? (Bovendien bestaat die situatie ook nog niet zo lang.)
Niet dat het Brits is, wel dat het buitenlands is. Het zou heel naief zijn om te denken dat een Brits bedrijf wat ook nog eens gelinieerd is aan een Britse geheime dienst geen belangen kan hebben en bijvoorbeeld een Russisch of Chinees bedrijf wel.

Losstaande of de Nederlandse overheid het onderzoek wel goed kan beoordelen, met name ook de resultaten.
Volgens mij moeten we gewoon naar een Blockchain voting systeem. Zoiets: https://followmyvote.com/
Klinkt leuk, maar er zit 1 groot nadeel aan vast. Je kunt achteraf in de chain zien waarop je gestemd hebt. Stel je voor dat je onder druk (of een leuke vergoeding) gevraagd wordt op een partij te stemmen, dan kun je dit bewijzen. Daarmee verloopt een verkiezing niet eerlijk.
En als de uitslag niet bevalt om wat voor reden dan ook, doen we wel een harde fork.
De clients die niet de update hebben gekregen mogen niet meer mee doen.

/edit
Ik verwijs hier naar.
nieuws: Ethereum-community voert hard-fork uit

[Reactie gewijzigd door wica op 3 maart 2017 20:06]

Het lijkt mij interesant klein schalig zowel op de oude manier als via Blockchain of eventueel andere moderne technieken te gaan stemmen.

Zelf zou ik persoonlijk zeer fijn vinden als er gemakkelijk vanuit huis en exact op de door jouw gewenste tijdstip kunt stemmen.

Ben erg benieuwd naar de bevindingen.
Er lag al een gedegen analyse in de vorm van eh afstudeerscriptie. Nee, laten we het naar dunnetjes overdoen. Nu het veel geld kost, is het plotseling wel acceptabel.
Zijn er al mensen bezig met de voorbereidingen om die dingen te hacken? (puur ethisch hacken uiteraard....) Misschien kunnen we op tweakers een topic starten? Hebben we meteen genoeg operatives. Wie doet er mee?

Maken we een minipartij gewoon de grootste van NL. Bijvoorbeeld de Piratenpartij. Dat geeft dan wel aan dat er gerommeld is toch? Aangezien 99,9% van de bevolking niets te verbergen heeft etc.

[Reactie gewijzigd door gubyan op 3 maart 2017 19:23]

Piratenpartij is ook een puur ethische partij - mijn stem heb je! :P
Zo werden alleen de eerste vier karakters van de hashwaarde gecontroleerd bij het importeren van deze bestanden
Hoe verzin je het als developer? Dan begrijp je echt werkelijk niet waar je mee bezig bent. Helaas, blijft dit soort shit de trieste werkelijkheid in ontwikkelaarsland.
Ik zocht hier al naar, maar is er misschien een ontwikkelaar die hier de logica van kan uitleggen? Want dit lijkt zo raar dat er waarschijnlijk een logische verklaring voor moet zijn, of er klopt iets niet in het persbericht.
Als je een hashwaarde uitrekent, dan moet er een bijzondere reden zijn als je er dan specifiek voor kiest om alleen de eerste 4 karakters te vergelijken, daar moet je dan namelijk specifiek moeite voor doen.
Beveiligingsinbreuken zijn quasi altijd mogelijk - hoe leuk toch (en voorspelbaar).
md5 gebruiken voor de password hashes zonder salt? En ook echt alleen de eerste 4 karakters gebruiken voor de hash van de emo bestanden. Is het niet gewoon handiger om platte tekstbestanden te pakken en iets van pgp? Gewoon een simpel ini bestandje met het aantal stemmen moet echt wel werken.

Doet me denken aan die stemmachines van Diebold, die waren ook zo overengineered.
Ik vraag me af hoe je ooit digitaal stemmen anoniem kan krijgen. Volgens mij is er altijd een trace terug naar de stemmer. Hoe wil je anders voorkomen dat iemand 2 of 3x stemt?

[Reactie gewijzigd door shiptronic op 3 maart 2017 21:03]

Volgens mij is er altijd een trsce terug naar de stemmer. Hoe wil je anders voorkomen dat iemand 2 of 3x stemt?
Heb jij dan meerdere stempassen ? Hoe kom je daar aan ? Ik kan maar 1x stemmen, met potlood of op de stemmachine in de kerk verderop.
Fraude met stemmen zal altijd blijven. Je moet alleen voorkomen dat stemfraude in zo'n mate aanwezig kan zijn dan het een uitslag kan beinvloeden.

In het verleden hebben ook politieke organisaties zich schuldig gemaakt aan het kopen van stemmen (stemkaarten.) Ook een vorm van verkiezingsfraude.

Op dit item kan niet meer gereageerd worden.


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*