Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Onderzoeker vindt weer ernstige lekken in telsoftware gemeenteraadsverkiezingen

De telsoftware voor de gemeenteraadsverkiezingen bevat ondanks wijzigingen nog steeds beveiligingslekken, volgens de ethische hacker Sijmen Ruwhof. De software heeft onder andere geen integriteitscontrole.

Ruwhof nam de software, met de naam Ondersteunende Software Verkiezingen, of OSV, opnieuw onder de loep, nadat hij vorig jaar al een grote hoeveelheid kwetsbaarheden in de software had aangetroffen. Dit keer vond hij alsnog 49 veiligheidsproblemen, waarvan hij er een 'kritiek' vond en op 9 andere de aanduiding 'hoog risico' plakte.  Onder andere bij controle en detectie ging het mis, vertelt hij tegen RTL: "Er zit geen integriteitscontrole in, geen fraudedetectie en geen inbraakdetectie: de verkiezingssoftware vindt alles prima."

Hij ondervond dat van de vorig jaar aangetroffen kwetsbaarheden er zestien nog steeds niet waren verbeterd en negen slechts deels waren aangepakt. Onder andere bevatten OSV Program 4 en 5 nog een verouderde JBoss-versie uit 2008 en een kwetsbare Java SE-versie van 2013. Ruwhof kreeg bij zijn werk onder andere hulp van beveiligingsspecialisten Rop Gonggrijp en Arjen Kamphuis en van Herbert Bos van de VU Amsterdam. Die laatste zegt: "De broncode van OSV is slecht geschreven, alleen daarom al zou deze afgeschaft moeten worden."

De kwetsbaarheden openen de mogelijkheid dat de OSV-server binnengedrongen wordt om de stemmen in de database en in de te printen pdf aan te passen. De OSV-telcomputer mag niet meer op internet aangesloten worden, maar de manipulatie kan ook ruim van tevoren of door een kwaadwillende beheerder bij een gemeente uitgevoerd worden. Omdat de OSV-servers niet monitoren op fraude, hoeft de manipulatie niet aan het licht te komen.

Dat de beveiliging nog niet op orde is, is des te kwalijker omdat er wel meer op de software wordt vertrouwd. De aanvankelijk toegezegde maatregelen om het stemmen te controleren, met aanwezigheid van minstens twee personen en additioneel handmatig tellen, zijn namelijk teruggedraaid, mede omdat de software veiliger zou zijn gemaakt. Een nieuw onderzoek door Fox-IT om dat te bevestigen is er echter niet geweest.  "We moeten het nu eenmaal met deze software doen" volgens secretaris-directeur Melle Bakker van de Kiesraad.

Hij wijst erop dat burgers zelf de uitslag achteraf kunnen controleren als gemeenten uitslagen online zetten. De Kiesraad heeft gemeenten gevraagd de uitslagen op internet te publiceren maar niet bekend is welke gemeenten dat doen.

Door Olaf van Miltenburg

Nieuwsco÷rdinator

13-03-2018 • 20:15

104 Linkedin Google+

Submitter: AnonymousWP

Reacties (104)

Wijzig sortering
Maar waarom moeten er nou toch zo nodig computers gebruikt worden bij verkiezingen? Goed, hebben we de stemcomputers in de ban gedaan omdat ze onveilig waren, zitten we nu weer met onveilige computers om de stemmen te tellen. |:( En om wat? Zodat we een paar uur eerder de uitslag hebben? In de politiek, waar verder alles toch al zo tergend traag gaat? Wat winnen we nou met die paar uren, of desnoods dagen?

We hebben al eeuwenlang een zo goed als waterdicht systeem: papieren stemmen handmatig tellen. Ja, fouten zijn mogelijk, en waarschijnlijk zelfs gebruikelijk, maar fouten hebben de neiging elkaar teniet te doen. En frauderen met papieren stemmen op zo'n grote schaal dat het de uitslag be´nvloedt, en zonder dat het uitlekt? Succes daarmee.

In het eeuwenoude systeem kan iedereen gewoon zelf bij het tellen aanwezig zijn, of zelfs zichzelf aanmelden om aan het tellen mee te doen. Een stem- en/of telcomputer is een zwarte doos die je maar moet vertrouwen.

En kom nou niet met "maar het is open source" of dat soort onzin. Zelfs experts hebben de grootste moeite om een computersysteem te bedenken (laat staan bouwen) dat van begin tot eind verifieerbaar is. En dan nog moet je een expert zijn, want de gemiddelde kiezer kan geen broncode lezen, of controleren dat die broncode ook daadwerkelijk is wat er op de computer draait.

Blockchain kan waarschijnlijk wel helpen met het verificatieproces, maar met transparantie? Ik betwijfel het.

Ik zou niet op Tweakers zitten als ik een aversie tegen computers of automatisering had. Maar laten we stemmen nou gewoon lekker met pen en papier blijven doen, en het tellen gewoon met de hand. Het werkt toch?

[edit] Relevante en obligate video van Tom Scott.

[Reactie gewijzigd door hlvnst op 13 maart 2018 23:09]

Sommige uitslagen zijn wel erg flauw hoor. Er staat in de handleiding van de applicatie dat OSV alleen op een network-gapped computer mag werken. Dat die eis niet gecontroleerd wordt at runtime vind ik inderdaad erg kwalijk, maar een opmerking maken dat er verschillende browser of OS versies ondersteund worden vind ik erg flauw. Vooral omdat je weet dat het om een overheidsproduct gaat waar het niet altijd realistisch en wenselijk is om op de allerlaatste software te draaien.

Dat bijvoorbeeld de database-file lokaal draait zonder wachtwoord is onhandig, maar als je toegang hebt tot de database heb je ook toegang tot de machine en dus kun je het wachtwoord sowieso ontfutselen. Wat kwalijker is, is dat er geen checksums gemaakt worden van databasemutaties. Waarschijnlijk wordt de applicatie daar trager van, maar daar is vast iets op te bedenken.

Wat ik persoonlijk kwalijker vind is dat er van veel stappen uitgegaan wordt van menselijke goedkeuring en geen automatische goedkeuring. Bijvoorbeeld bij de EML uitslag mail check, waar een gebruiker zelf de checksum moet controleren. Of dat er een degelijk wachtwoord gekozen moet worden, maar niet afgedwongen wordt.

Alhoewel ik niet al te pessimistisch wil zijn, zou het waarschijnlijk ten goede komen om zulke software open source te hebben. Dan worden issues hopelijk wel wat sneller opgepakt, aangezien ze dan transparant zijn, alleen ben ik dan weer sceptisch ten opzichte van de response tijd van de overheid.
Die database vertraging, waar hebben we het helemaal over. In een gemiddeld stembureau worden niet meer dan 10000 stemmen geteld, verdeeld over een 900 kandidaten bij de laatste tweede kamer verkeizingen. Het probleem is niet die 900 hashes die berekend moeten worden, of die hash over die 900 hashes of tellingen. Het probleem is hoe je zorgt dat je de integriteit van je data vasthoudt.
Dat kan met checksum validatie alleen moet de checksum dan wel via een ander kanaal komen, en de stemmingsuitslag verifieerbaar zijn.
Het komt er zowat op neer dat je een tweedekamerverkiezing prima in een blockchain kunt vastleggen (nee niet die van bitcoin) en volledige traceerbaarheid hebt, zonder dat de identiteiten van de mensen die gestemd hebben gelinked kunnen worden aan het stemresultaat en toch per stembureau de resultaten kunt terugvinden in de einduitslag.
Waarom is software als deze niet open source?

Edit: deze repo? https://github.com/ties/k...nde_software_verkiezingen

Ah, hier meer: https://www.kiesraad.nl/a...e+adviezen+en+publicaties

[Reactie gewijzigd door Ultimation op 13 maart 2018 20:46]

Het is al jaren open source, maar tot vorig jaar heeft niemand Řberhaupt de moeite genomen er naar te kijken.
Het is jammer dat de media nodig was om de minister te overtuigen.

Een lijst met alle verkiezingen waar het mogelijk is geweest om de software te manipuleren tot deze in 2017 op het allerlaatste moment niet meer gebruikt mocht worden:
  • 2011 - Provinciale Staten
  • 2012 - Tweede Kamer
  • 2014 - Gemeenteraad
  • 2014 - Europees Parlement
  • 2015 - Provinciale Staten
  • 2016 - Referendum
Ik ging misschien iets te ver door te stellen dat niemand de moeite heeft genomen om naar de broncode te kijken, maar als je van het kastje naar de muur word gestuurd zonder hoger op te gaan dan heeft het in ieder geval geen effect gehad. Ik hoop vooral niet dat er in de tussentijd mensen zijn geweest die het ˇˇk hebben ontdekt en hier misbruik van hebben weten te maken. Het is in ieder geval wel duidelijk dat de beloning vanuit de Kiesraad nul is, terwijl andere partijen misschien wel interesse hebben in zulke bevindingen.
Je gaat hier voorbij aan een belangrijk principe van de democratie. Stemmen moet anoniem. Daarom mag er ook niemand met je mee het stemhokje in. Thuis kun je zoiets niet garanderen.
DigiD is voor authenticatie, net zoals legitimeren in het stemlokaal. Daadwerkelijk stemmen gebeurd annoniem.
Je ID laten zien in het stemlokaal is onschuldig zolang er niet iemand het nummer van je ID overschrijft.

Als je inlogt met DigiD is het vrijwel onmogelijk om geen link tussen je DigiD token en de stem die je uitbrengt te leggen. Je moet het token checken op het moment dat je de stem accepteert en valideert en dus weet je welk BSN welke stem uitbrengt. Het enige wat je op dat moment zou kunnen redden is een systeem wat er voor kiest om die relatie (geldig token en geldige stem) niet vast te leggen.

Dan ben je dus afhankelijk van beweringen van de overheid of ze dat wel of niet doen.

We hebben deze discussie omdat de overheid andere beweringen gedaan heeft die nu weer niet waar blijken.

[Reactie gewijzigd door burne op 13 maart 2018 23:12]

Daar is ongeveer alles mis mee wat er mis kan zijn: geen anonimiteit, geen controle mogelijk op stemmen onder dwang.
We hadden dit eerder bij het EPD (wie hoor je er nog over?, hoeveel mensen hebben uiteindelijk geen toestemming gegeven?)
Je kan in veel gevallen gewoon niet anders. een van de voorwaarden om in behandeling genomen te worden bij veel klinieken is dat je toestemming geeft om je gegevens in een EPD op te slaan. En met die voorwaarde ga je impliciet akkoord als je een behandeling aanvraagt. De voorwaarden staan natuurlijk allemaal netjes op de website....

Wat betreft de betrekking op de verkiezing software:
De risico's van automatisering moeten dan ook wel erg groot om daar bovenuit te komen.
Het is allemaal heel simpel, als ÚÚn handteller sjoemelt met de uitslag dan zal dit een zeer kleine kans krijgen om invloed te hebben op de totale uitslag. Daarnaast zijn er veel handmatige controles die dit risico minimaliseren.

Wanneer je gebruik maakt van software hoeft er maar ÚÚn kwetsbaarheid in te zitten en je kunt zo de gehele verkiezingen be´nvloeden. Die centralisatie geeft veel gemak maar ook heel veel risico's die je bij een belangrijk goed zoals democratische verkiezingen niet zomaar ten grabbel wilt gooien.
De gemeenten mogen de uitslagen van hun eigen stemlokalen hoe ze maar willen op hun eigen website publiceren, maar bijvoorbeeld ook in een plaatselijk krantje. Een krantje lijkt me slimmer, want zodra het is geprint kan er weinig meer aan veranderen.

Als je bij het "vaststellen van de uitslag" aanwezig bent geweest en de dag erna in de krant een andere uitslag ziet staan, kan je aan de bel trekken en gaat justitie een onderzoek uitvoeren en handmatig de stemmen van je gemeente natellen.

Als de uitslag alleen op een website van de gemeente komt te staan (of zelfs dat niet) en de lokale systeembeheerder stond toevallig ook op de stemlijst van een partij, zou deze de gok genomen kunnen hebben wat nummertjes aan te passen her en der. Aangezien na drie maanden de papieren stembiljetten vernietigd worden en dat bij digitale manipulatie klein is dat het binnen drie maanden wordt gevonden zonder gedegen aanpak, zou zo iemand daar zeer goed mee weg kunnen komen.

Op dit item kan niet meer gereageerd worden.


Apple iPhone XS Red Dead Redemption 2 LG W7 Google Pixel 3 XL OnePlus 6T FIFA 19 Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True