Tegenstander digitaal stemmen hackt stembedrijf

Stemmen In de Verenigde Staten is de discussie over het elektronisch stemmen op scherp gezet door een hacker, zo lezen we in de Citizens-Times. Afgelopen maandag werd door het bedrijf VoteHere, dat technologieën voor e-voting ontwikkeld, bekend gemaakt dat enkele maanden geleden een hacker erin is geslaagd toegang te verkrijgen tot het bedrijfsnetwerk. Hoewel er geen schade is aangericht is het goed mogelijk dat de hacker blauwdrukken van de software heeft gekopieerd.

Volgens de directeur van het bedrijf is de dader bij de autoriteiten bekend en mogelijk ook in verband te brengen met inbraken bij andere ontwikkelaars. De inbraken zijn waarschijnlijk aan een politiek motief verbonden; tegenstanders maken gebruik van deze inbraken om op de vermeende onveiligheid van het elektronisch stemmen te wijzen. De directeur wil er echter op wijzen dat deze inbraken weinig te maken hebben met de veiligheid van e-voten, de broncode van de software zal te zijner tijd onder licentie worden vrijgegeven zodat experts mogelijk lekken kunnen opsporen. Het bedrijf heeft ervoor gekozen om de inbraken in de openbaarheid te brengen om te voorkomen dat zij later in verlegenheid kunnen worden gebracht.

IT-banen

Reacties (33)

zion 30 december 2003 17:35

Iets suggestieve titel?

Er word vermoed dat ze de hacker kennen, en het is geenzins zeker dat deze een tegenstander is.

Volgens mij had een titel als "digitaal stembedrijf gehacked" net zo goed gekunt, en was beter op de waarheid gestoeld.

Verder, het feit dat ze dat bedrijf hebben gehacked wil nog niet zeggen dat het e-voten niet veilig is, het bedrijf was niet goed genoeg beveiligd, waardoor de broncode vermeend ontvreemd kon worden. Wat natuurlijk op zijn zachst gezegd knullig is, maar weinig over de beveiliging van e-voting zegt.

Johnny @zion • 30 december 2003 17:39

Maar het zegt wel iets over het veiligheidsbeleid van het bedrijf. Als je je eigen bedrijfsnetwerk niet kan beschermen hoe wil je dan ooit e-voting veilig laten verlopen?

zion @Johnny • 30 december 2003 17:42

het gebeurt vaak in bedrijven die zich met bepaalde dingen bezig houden dat hun eigen zaakjes veel slechter geregeld zijn.

Systeembeheer (bij klanten) met een flut serverpark, netwerkbeheer (bij klanten) met een flut netwerk, en dus vast ook beveiliging met flut beveiliging.

pmeter

@zion • 30 december 2003 18:19

Foldertjes veilig vuurwerk uitgedeeld door SE-Fire....

Mick @zion • 30 december 2003 21:07

Verder, het feit dat ze dat bedrijf hebben gehacked wil nog niet zeggen dat het e-voten niet veilig is, het bedrijf was niet goed genoeg beveiligd, waardoor de broncode vermeend ontvreemd kon worden. Wat natuurlijk op zijn zachst gezegd knullig is, maar weinig over de beveiliging van e-voting zegt.

Toch is iets soortgelijks - het ontvreemden van software-blueprints van een e-voting bedrijf - al eerder gebeurd, waarbij de broncode aantoonbaar 'sjoemelgevoelig' bleek. Op Fok! verscheen van de zomer nl. een opvallend berichtje (waarbij het me verbaasde dat het niet meer aand8 kreeg):

"Stemfraude eenvoudig in VS"
Bij de presidentsverkiezingen in 2004 in de Verenigde Staten kan eenvoudig worden gefraudeerd met de stemmen. Het lijkt er zelfs op dat de elektronische stemmachines zodanig zijn gebouwd dat fraude makkelijk en onzichtbaar wordt gemaakt. Dat zegt Bev Harris, de Nieuw Zeelandse auteur van het boek "Black Box Voting: Ballot Tampering In The 21st Century".
Intern werken de stemmachines met Microsoft Excel. Om onbekende reden worden drie verschillende tabellen bijgehouden met de stemresultaten. De uiteindelijke uitslag wordt uit tabel twee gehaald, terwijl een gedetailleerd overzicht uit tabel één wordt gehaald. Op die manier kan fraude eenvoudig onzichtbaar worden gemaakt. Verder zijn er ook tools voorhanden om met de logfiles van Excel te knoeien. [[url="http://frontpage.fok.nl/news.fok?id=30511"]Fok![/url]], [[url="http://www.scoop.co.nz/mason/stories/HL0307/S00065.htm"]Scoop[/url]]

Wat was er gebeurd: een medewerker van het stemmachinebedrijf (Diebold) was zo snugger geweest het hele zaakje onbeschermd op een FTP site te zetten, waarvan de contents vervolgens zijn gedowned, verspreid & bestudeerd. De resultaten zie je op die Scoop site. Over de veiligheid van e-voting in het algemeen heeft een groep informatici zich al negatief uitgesproken (zie verifiedvoting.org), omdat de resultaten een 'black box' in gaan en derhalve principiëel onverifiëerbaar zouden zijn. Hoe belangrijk dat kan zijn weten we maar al te goed sinds de US elections van 2000.

YaPP @Mick • 30 december 2003 22:23

Intern werken de stemmachines met Microsoft Excel.

geen commentaar!

Eigenlijk vind ik het diep triest. Je kan het weliswaar de functie van een spreadsheet noemen, maar persoonlijk zie ik toch liever dat mijn stem op een andere manier wordt vastgelegd. Op z'n minst een database achtige tool, die ook tegen een stoodje kan.

..om te bedenken dat al die machines dus een compleet OS, inclusief GUI draaien (waarvoor je per machine betaald), met excel om cijfers te turven..

iets zegt me dat dit handiger en veiliger kan.

Sfynx @YaPP • 31 december 2003 00:52

Zoiets moet gewoon op een zover mogelijk gestripte UNIX draaien.

Verwijderd @Mick • 31 december 2003 11:14

Ach, bekijk het es van de andere kant.
Nu kunnen we bij de volgende verkiezingen een betere Amerikaanse president erin hacken! Daar zal de wereld van profiteren.
The land of the free. Programmeer je eigen Amerika

edit: laten we het maar country-modding noemen.

Verwijderd @Verwijderd • 31 december 2003 18:57

LOL

JohnnyV76 30 december 2003 17:12

Wat is de beste manier om mensen te overtuigen dat een systeem niet veilig genoeg is..... idd door het te hacken. Ik vind het een goeie actie hoor!

daaf258 @JohnnyV76 • 30 december 2003 17:18

En wat heeft hij nu gehackt dan? Juist het bedrijfsnetwerk. En niet direct de e-voting software oid.
Dus kan hij nu lekker in z'n uppie (evt. medestanders) gaan zoeken naar veiligheidsfouten. Terwijl de broncode later onder licentie word vrijgegeven.
Vrij nutteloze actie vind ik het.

Olaf van der Spek @daaf258 • 30 december 2003 20:56

En als het bedrijfsnetwerk niet veilig is, waarom zou ik er dan wel op vertrouwen dat het stemnetwerk (internet) veilig is?

daaf258 @Olaf van der Spek • 30 december 2003 21:46

Het internet is ook niet veilig

Maar ik vind je vergelijking een beetje krom. Als de ketting van me fiets breekt is mijn stuur dan ook gelijk niet meer te vertrouwen? Oftewel ik kan beter maar gelijk een nieuwe fiets kopen want stel je voor...

Tader @daaf258 • 31 december 2003 03:08

Helemaal niet nutteloos. Als je dat bedrijfsnetwerk kan hacken duidt dat erop dat je straks dus bij de, ongetwijfeld gecentraliseerde, server kan komen om de boel te saboteren.

Electronisch stemmen, het zou verboden moeten worden. Het eerste systeem dat ik vertrouw moet nog uitgevonden worden.

Pietervs

Bedrijfsnieuws

@Tader • 31 december 2003 11:02

[/off-topic]
Electronisch stemmen, het zou verboden moeten worden. Het eerste systeem dat ik vertrouw moet nog uitgevonden worden.
Het is hetzelfde als met de democratie: zolang ze niets beters hebben uitgevonden zullen we het daar maar mee moeten doen...

[/off-topic]

rashnu @daaf258 • 30 december 2003 17:38

Jep je hebt gelijk,
Alleen zou dit ook kunnen gebeuren op het moment van stemmen. En dan kunnen de resultaten wel eens niet meer kloppen door dat ze handmatig aangepast zijn.
Dit is in het hele bericht niet terug te vinden en dat vindt ik wel een beetje vreemd.

Ximinez @JohnnyV76 • 30 december 2003 17:22

Dat staat er niet.

Er staat dat toegang is verkregen tot het bedrijfsnetwerk. Dat zegt helemaal niets over het stem systeem zelf. Ook al zouden er gegevens omtrent het systeem zijn ontvreemd, dan nog zegt het helemaal niets of de veiligheid van het stem systeem daarmee in het geding is.
Het feit dat het openbaar is, hoe public key cryptografie werkt maakt het gebruik ervan toch ook niet onveilig.

edit:
daaf258 was mij net voor

TheCameleon @Ximinez • 30 december 2003 23:21

Het zegt wel wat over de anier waarop het bedrijf zijn beveiliging regelt. En als het "brak" is in hun eiegn netwerk.. Waarom dan niet in hun software..

Niet echt een exacte voorspellign, maar het trekt wel twijfelaars over de streep in de discussie en geeft tegenstanders een extra argument

YaPP 30 december 2003 19:00

De directeur wil er echter op wijzen dat deze inbraken weinig te maken hebben met de veiligheid van e-voten, de broncode van de software zal te zijner tijd onder licentie worden vrijgegeven zodat experts mogelijk lekken kunnen opsporen.

Uhh dit vind ik wel een hele opmerkelijke opmerking.
- imho schaad dit wel degelijk de veiligheid van e-voten. zojuist heeft deze hacker toch laten zien dat het niet veilig is?

- het vrijgeven van de broncode aan 'experts' zegt imho ook nogal weinig. Ik zie experts nou niet bepaald uren turen op code, om alle buffer overflows eruit te halen (deze zitten vaak in hele kleine dingen)

YCF @YaPP • 30 december 2003 19:06

Als er mensen zijn die - zoals bij de laatste presidentsverkiezingen - uren willen turen naar een ponskaart om te kijken op wie er gestemd is, dan zullen ze ook wel mensen vinden om uren te turen op de code? Het is en blijft natuurlijk amerika.

Verwijderd @YaPP • 30 december 2003 19:43

- imho schaad dit wel degelijk de veiligheid van e-voten. zojuist heeft deze hacker toch laten zien dat het niet veilig is?

hoezo? Is deze hacker binnen gekomen door opzich zelf te stemmen? Of hebben andere mensen dat gedaan en had deze hacker zich kandidaat gesteld?

e-voting kan wel degelijk safe. Je kan mij niet vertellen dan met papiertjes tellen NIET gefraudeerd kan worden.

tweakerbee @Verwijderd • 31 december 2003 06:04

Bush is het levende bewijs dat dat dus wel kan.

BadRespawn 31 december 2003 12:41

Dé site mbt electronisch stemmen in de VS is www.blackboxvoting.com en de bijbehorende research site [url="http://www.blackboxvoting.org,"]www.blackboxvoting.org,[/url] waar ook het gelijknamige boek gratis gedownload kan worden.

En niet te vergeten de uitgelekte interne memo's van de grootste fabrikant van stemmachines, Diebold, waaruit blijkt dat inderdaad goede reden tot ongerustheid is - http://www.house.gov/kucinich/issues/voting.htm.

Ook de stemmachines in Nederland zijn niet boven alle twijfel verheven.
Dezelfde machines ("Powervote" van NEDAP - www.nedap.nl ) worden gebruikt in Ierland. Daar is uit officieel onderzoek gebleken dat de beveiliging van die aparaten nogal te wensen over laat. Het rapport is wel openbaar, maar nooit gepubliceert. Het kan echter wel opgevraagd worden, hier een fragment:

http://www.redbrick.dcu.ie/~afrodite/E-Voting/Report/node18.html

Case study: Nedap/Powervote
There are many voting systems in existence that could have been chosen for this case study, but the one of greatest relevance in Ireland is the system recently adopted by the Irish government.

The Nedap/Powervote system utilises the existing manual authentication process to fulfill requirements 1 and 2 - voter authentication and privacy - as recommended. The rest of the Nedap system is less satisfactory, however.

In March 2002 the Department of the Environment and Local Government (DoELG) requested that Zerflow [28] carry out a security assessment of the Nedap/Powervote voting machines. The Zerflow report [29] which we obtained under the Freedom of Information Act [30] highlights some serious security flaws in the system. The report has not been published, and its findings have been lightly dismissed by the DoELG [31].

(...)

The training guide for polling station staff [32] recommends that staff "occasionally check that the ballot paper/screen has not been interfered with." There is no indication of what will happen if it has been interfered with, and if votes may be compromised.

The second major problem identified by Zerflow is that the backup cartridge is left in the voting machine after polls close. There is a danger that the backup will be altered or wiped while still in the machine. If the primary cartridge is unusable for some reason, it is vital that the backup cartridge has been kept secure.

The very fact that the voting machine has the capability to wipe the contents of the backup cartridge is worrying. Such features should be isolated from publicly accessible parts of the system. If the system contains such obviously bad design decisions, what else might it contain?
(meer..)

El Cid 30 december 2003 17:19

Vindt het vreemd dat er hier in nederland zo weinig over te doen is.
Eigenlijk zou de broncode van de stemmachines die hier massaal worden gebruikt, openbaar moeten zijn.

crazyx @El Cid • 31 december 2003 09:20

Ach, al maken ze het openbaar. Er is nog altijd geen absolute zekerheid dat die code effectief gebruikt wordt in de uiteindelijke stemcomputers.

Het is niet moeilijk om er bv van te maken als 1 partij 10 stemmen krijgt, dat er automatisch 1 stem daarvan naar een andere partij gaat. Er is geen mens dat dat merkt. (het lijkt me dat dat systeem al lang gebruikt wordt in Belgie, anders kan ik niet verklaren waarom sommige partijen zo populair zijn bij ons

)

Pietervs

Bedrijfsnieuws

@El Cid • 31 december 2003 11:01

Eigenlijk zou de broncode van de stemmachines die hier massaal worden gebruikt, openbaar moeten zijn.
Ja en nee. Ja, want dan zien alle paranoia en andere achterdochtige personen dat er niets mis mee is. Nee want er zijn altijd figuren die dan misbruik zullen gaan (proberen te) maken door de code aan te passen en vervolgens allerlei valse claims neer te gaan leggen...

Munters @El Cid • 31 december 2003 13:41

long n[MAXKNOPPEN];
int vrijgegeven = 0;

void nnClick(int knop)
{
if (knop == VRIJGAVEKNOP)
vrijgegeven = 1;
else
if (vrijgegeven){
n[knop]++;
vrijgegeven = 0;
}
}

void onUidraaien ()
{
for (int i = 0; i < MAXKNOPPEN; i++)
printf ("Knop %d heeft %ld stemmen\n", i, n[i]);
}

jprommen

30 december 2003 17:19

Wat een onzin allemaal. Digitaal stemmen moet weer persé 100% veilig zijn, wat natuurlijk niet kan, terwijl gewoon stemmen ook te frauderen valt. Gewoon een machtigingskaart met een zelf verzonnen handtekening vullen en je kan makkelijk voor anderen stemmen hoor, dat wordt echt niet allemaal zo perfect gecheckt. Het enigste wat zo'n systeem moet kunnen is maar een stem per persoon en dat deze slechts eenmaal uitgebracht kan worden met een unieke code. Dan is het minstens even veilig...

BadRespawn @jprommen • 31 december 2003 12:21

Bij electronisch stemmen is het veel moeilijker om te controleren of het wel goed gaat; er is dus makkelijker mee te frauderen.

rhendriks 30 december 2003 17:27

Ik snap niet hoe je vóór electronisch stemmen kunt zijn als er ook maar een mogelijkheid bestaat dat de uitslag gemanipuleerd word (Lees: als het de organisatie die de beveiliging regelt, juist daar steken laat vallen).
Maar goed dat er impulsen zijn zoals deze, zodat daarmee aangetoond is dat het nog veiliger moet dan dat het nu al was.

Verwijderd 31 december 2003 07:15

ook al is dit bedrijf gehacked het neemt niet weg dat er zeker een beter oplossing moet komen voor het stemmen dan ponskaarten in de US.

Voor zoveel miljoen stemmen moet er gewoon een beter systeem komen.
En het lijkt me wel dat een E-vote systeem de toekomst heeft.
Als men met biometrie gaat werken net zoals ze in paspoorten willen gaan doen is er wel een zekerheid intebouwen van wie stemt. Alleen vraag ik me af hoe ze stemmen in volmacht willen beveiligen.

ACoolDude

31 december 2003 12:34

Eventjes off topic maar wil het toch noemen...
Waarom zouden we zowieso stemmen!?
Al 75% van de regels komen uit Brussel, en kiezen wij daar voor de personen die daar zitten? NEE! Dus zo democratisch is het allemaal niet. Je moet maar hopen dat de partij waarvoor je gestemd hebt iemand voorbrengt in Brussel. 't hele democratische systeem wordt een lekkere wassen neus.

Sorry dat dit niet veel te maken heeft met het onderwerp hacken trouwens!

phizzie 30 december 2003 17:13

Fijn, dat is weer een lekkere impuls voor het vergemakkelijken van de digitale stemtechniek...
Sponsoren in de VS en elders zijn hier niet echt happig op...

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (33)

Sorteer op:

Weergave: