Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Onderzoeker vindt weer ernstige lekken in telsoftware gemeenteraadsverkiezingen

De telsoftware voor de gemeenteraadsverkiezingen bevat ondanks wijzigingen nog steeds beveiligingslekken, volgens de ethische hacker Sijmen Ruwhof. De software heeft onder andere geen integriteitscontrole.

Ruwhof nam de software, met de naam Ondersteunende Software Verkiezingen, of OSV, opnieuw onder de loep, nadat hij vorig jaar al een grote hoeveelheid kwetsbaarheden in de software had aangetroffen. Dit keer vond hij alsnog 49 veiligheidsproblemen, waarvan hij er een 'kritiek' vond en op 9 andere de aanduiding 'hoog risico' plakte.  Onder andere bij controle en detectie ging het mis, vertelt hij tegen RTL: "Er zit geen integriteitscontrole in, geen fraudedetectie en geen inbraakdetectie: de verkiezingssoftware vindt alles prima."

Hij ondervond dat van de vorig jaar aangetroffen kwetsbaarheden er zestien nog steeds niet waren verbeterd en negen slechts deels waren aangepakt. Onder andere bevatten OSV Program 4 en 5 nog een verouderde JBoss-versie uit 2008 en een kwetsbare Java SE-versie van 2013. Ruwhof kreeg bij zijn werk onder andere hulp van beveiligingsspecialisten Rop Gonggrijp en Arjen Kamphuis en van Herbert Bos van de VU Amsterdam. Die laatste zegt: "De broncode van OSV is slecht geschreven, alleen daarom al zou deze afgeschaft moeten worden."

De kwetsbaarheden openen de mogelijkheid dat de OSV-server binnengedrongen wordt om de stemmen in de database en in de te printen pdf aan te passen. De OSV-telcomputer mag niet meer op internet aangesloten worden, maar de manipulatie kan ook ruim van tevoren of door een kwaadwillende beheerder bij een gemeente uitgevoerd worden. Omdat de OSV-servers niet monitoren op fraude, hoeft de manipulatie niet aan het licht te komen.

Dat de beveiliging nog niet op orde is, is des te kwalijker omdat er wel meer op de software wordt vertrouwd. De aanvankelijk toegezegde maatregelen om het stemmen te controleren, met aanwezigheid van minstens twee personen en additioneel handmatig tellen, zijn namelijk teruggedraaid, mede omdat de software veiliger zou zijn gemaakt. Een nieuw onderzoek door Fox-IT om dat te bevestigen is er echter niet geweest.  "We moeten het nu eenmaal met deze software doen" volgens secretaris-directeur Melle Bakker van de Kiesraad.

Hij wijst erop dat burgers zelf de uitslag achteraf kunnen controleren als gemeenten uitslagen online zetten. De Kiesraad heeft gemeenten gevraagd de uitslagen op internet te publiceren maar niet bekend is welke gemeenten dat doen.

Door Olaf van Miltenburg

Nieuwscoördinator

13-03-2018 • 20:15

104 Linkedin Google+

Submitter: AnonymousWP

Reacties (104)

Wijzig sortering
Maar waarom moeten er nou toch zo nodig computers gebruikt worden bij verkiezingen? Goed, hebben we de stemcomputers in de ban gedaan omdat ze onveilig waren, zitten we nu weer met onveilige computers om de stemmen te tellen. |:( En om wat? Zodat we een paar uur eerder de uitslag hebben? In de politiek, waar verder alles toch al zo tergend traag gaat? Wat winnen we nou met die paar uren, of desnoods dagen?

We hebben al eeuwenlang een zo goed als waterdicht systeem: papieren stemmen handmatig tellen. Ja, fouten zijn mogelijk, en waarschijnlijk zelfs gebruikelijk, maar fouten hebben de neiging elkaar teniet te doen. En frauderen met papieren stemmen op zo'n grote schaal dat het de uitslag beïnvloedt, en zonder dat het uitlekt? Succes daarmee.

In het eeuwenoude systeem kan iedereen gewoon zelf bij het tellen aanwezig zijn, of zelfs zichzelf aanmelden om aan het tellen mee te doen. Een stem- en/of telcomputer is een zwarte doos die je maar moet vertrouwen.

En kom nou niet met "maar het is open source" of dat soort onzin. Zelfs experts hebben de grootste moeite om een computersysteem te bedenken (laat staan bouwen) dat van begin tot eind verifieerbaar is. En dan nog moet je een expert zijn, want de gemiddelde kiezer kan geen broncode lezen, of controleren dat die broncode ook daadwerkelijk is wat er op de computer draait.

Blockchain kan waarschijnlijk wel helpen met het verificatieproces, maar met transparantie? Ik betwijfel het.

Ik zou niet op Tweakers zitten als ik een aversie tegen computers of automatisering had. Maar laten we stemmen nou gewoon lekker met pen en papier blijven doen, en het tellen gewoon met de hand. Het werkt toch?

[edit] Relevante en obligate video van Tom Scott.

[Reactie gewijzigd door hlvnst op 13 maart 2018 23:09]

Op dit item kan niet meer gereageerd worden.


Apple iPhone XS Red Dead Redemption 2 LG W7 Google Pixel 3 XL OnePlus 6T FIFA 19 Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True