De kwestie
Stemapparaten zijn in het verleden vaak aan de tand gevoeld. In Amerika is de hard- en software van de fabrikant Diebold erg populair, en deze wordt daarom nogal eens onder de loep gelegd. De universiteit van Princeton heeft de hand weten te leggen op een een model uit de AccuVote-TS-serie van 2002 en is eveneens begonnen met een grondig onderzoek. Via een technisch rapport en bijhorende demonstratievideo lieten de onderzoekers weten dat de machine allesbehalve veilig is gebleken. Ten eerste was het relatief eenvoudig om de stemgegevens te benaderen en te wijzigen. Ondanks het feit dat die op meerdere plekken staan opgeslagen en in enkele gevallen versleuteld zijn, hebben de wetenschappers een virus weten te ontwikkelen dat de stemmen voor de ene kandidaat oversluisde naar de andere. Daarnaast was het virus volgens Princeton moeilijk te detecteren, omdat het onder andere de beschikbare testroutines zonder interventie liet verlopen en het zichzelf liet wissen aan het einde van het stemproces.
Ten tweede waren er verschillende manieren gevonden om het virus te introduceren aan het elektronische stemkastje. Als de hacker fysieke toegang heeft tot het apparaat kan hij of zij - hetzij met een gedupliceerd sleuteltje, hetzij met een loper - een deel van het kastje openmaken en een memorycard invoeren. Bij de eerstvolgende boot van de computer controleert deze het medium op bepaalde bestanden. Door de aanwezigheid van twee files kan de hacker de bootloader overschrijven of Windows Verkenner starten na de opstartprocedure. Infectie kan plaatsvinden door de bootloader te overschrijven met een kwaadaardige variant, maar de aanvaller moet deze vooraf wel hebben bemachtigd en hebben aangepast. Een eenvoudigere methode is om een Windows CE-programma te schrijven en dit middels Verkenner vanaf de memorycard te starten of naar de flashschijf te kopiëren. Als de hacker zich heel 1337 voelt, kan hij of zij het hele apparaat openschroeven en een geprepareerde EPROM-chip op het moederbord plaatsen, waarvan vervolgens wordt opgestart.
Een alternatieve manier om een stemcomputer te infecteren is middels een virus dat doorgegeven wordt aan de memorycards waarmee de apparaten standaard worden uitgerust. Als een of meerdere AccuVote-machines ver voor het voorbereidingsproces worden geïnfecteerd, kan door het wisselen tussen verschillende geheugenkaarten bij administratieve handelingen een aanzienlijk aantal besmette apparaten deelnemen aan de uiteindelijke verkiezing. Het virus van de onderzoekers was in staat om zichzelf naar iedere memorychip te kopiëren die in een stemmachine werd gestopt, waarna de chip een nieuwe computer kon infecteren als deze met kaart en al werd opgestart. Deze procedure wordt nogal eens toegepast bij het updaten van de kasten met een nieuwe firmware van Diebold. Stemcomputers met een aangepaste bootloader kunnen de upgradekaart infecteren, waarna deze vervolgens weer andere kasten besmet.
De conclusie
Op basis van deze bevindingen, samen met enkele andere kwetsbaarheden, hebben de onderzoekers geconcludeerd dat de machines van Diebold niet veilig zijn voor gebruik. Ondanks het feit dat het gaat om verouderde systemen, denken ze dat ook de nieuwere apparaten in zekere mate vatbaar zijn voor de gesuggereerde aanvallen en daarom ongeschikt zijn voor gebruik in de aankomende verkiezingen in november. Ze namen eveneens de tijd om een eerdere claim van Diebold aan te halen. In 2003 beweerde het dat 'de onfeilbaarheid van de software bewezen is. [...] De suggestie dat kwaadaardige code geïnjecteerd kan worden in het systeem heeft geen gegronde argumenten.' Princeton adviseert de autoriteiten om skeptisch te blijven over stemkasten en pas dit soort beweringen te accepteren als deze zijn bevestigd door onafhankelijke partijen met volledige toegang tot de hardware en de broncode.
De reactie
Kort nadat de wetenschappers hun resultaten online publiceerden, kwam Diebold met een persbericht. Hierin sprak het bedrijf schande van het onderzoek en beweerde dat het 'naar alle maatstaven - zowel academische als vanzelfsprekende - onrealistisch en onnauwkeurig is.' Volgens de fabrikant is het model zeer verouderd en verkregen via een dubieuze leverancier. Daarbij wordt deze versie volgens zijn administratie niet meer gebruikt bij verkiezingen. De software is twee keer voorzien van een ingrijpende software-update, die extra beveiliging heeft toegevoegd, waaronder een verbeterde encryptiestandaard van 128 bits, gesigneerde memorycards, SSL-encryptie voor de modemverbindingen en dynamische wachtwoorden. Daarnaast claimt Diebold dat de wetenschappers de veiligheidsprotocollen omtrent stemmingen volledig in de wind slaan. 'Elektronische machines worden beveiligd met stickers en veiligheidszegels die elke vorm van geknoei met het apparaat direct zichtbaar maken.' Het is dan ook niet verwonderlijk dat het bedrijf het persbericht afsluit met de mededeling dat Diebold het volledig oneens is met de conclusies die op basis van het onderzoek getrokken worden.
De reflectie
Dit persbericht heeft bij Tim Lee van het Technology Liberation Front (TLF) nogal wat stof doen opwaaien. Ten eerste valt de analist over het wantrouwen omtrent de oorsprong en versie van de AccuVote-machine. Volgens hem is het niet de schuld van Princeton dat het niet eenvoudig is om aan een actueel model te komen van de stemkasten. De argumentatie over de beveiligingstape en -zegels snijdt weliswaar hout, maar Lee merkt op dat het niet foolproof is. Een infectie kan bijvoorbeeld al hebben plaatsgevonden ver voordat een machine wordt voorzien van de zegels en de tape. Daarnaast is het, gezien de korte tijd die nodig was om de kwaadaardige software te installeren en de eenvoud waarmee toegang werd verkregen tot de juiste ingangen, niet ondenkbaar dat ook deze procedure omzeild kan worden. Daaraan voegt een lezer als commentaar toe dat volgens een recente blogpost van een stemopzichter soms de tape verbroken wordt om noodmaatregelen te nemen, zoals een herstart van het apparaat. Al met al zijn de mensen bij TLF niet tevreden met het persbericht van de fabrikant. Lee besluit zijn redevoering met de samenvatting dat hij pas gerustgesteld is als onafhankelijke partijen de nieuwste versie van de AccuVote-TS aan diepgaande analyses mogen onderwerpen. Diebold mag misschien wel de waarheid spreken, maar dan moet eerst bewezen worden dat de problemen zijn verholpen met de updates. '"Trust us" just doesn't cut it when it comes to the integrity of our voting system.'
