Pretty amateurish blog post about the 20 issues. If I just focus on a few of the so called 'high risks':

4 High: The voting software-application can be installed on any computer. “The Dutch Electoral Council has not set up any security baseline for this”. No baseline is high risk, seriously? Using this thought e.g. all internet banking websites are also insecure because you can use it on any PC. Google is also a high risk website, you can use it on every PC.

8 High: The insecure, old and deprecated SHA1 hash algorithm is used everywhere in the software. I agree that is deprecated. But high risk? If I give you a sha1sum, can you calculate collision for me?

9 High: The voting software stores voting results in an unencrypted XML file. What’s the issue of using unencrypted files for public data? Non-issue if integrity is adequately verified.

13 High: Non encrypted USB sticks are used. What’s the issue of using unencrypted USB thumb drives? Non-issue if e.g. digital signatures over hash for integrity is used.

14 High: Custom USB sticks can be used and these sticks can be loaded with malicious software. What’s your point? Every USB thumb drive can contain malware.

23 High: Voting results are sent via an unencrypted e-mail over the internet. See 13.

IMHO your risk rating is at least pretty questionable, it seems that you do not understand basic security concepts.

Don’t understand me wrong, the application looks crappy and instructions are even worse but IMO you’re over exaggerating or don not understand many issues / decribe them correctly.

Heel vroeger werden de lokale uitslagen opgestuurd per post. Geschreven brieven met namen en getallen. Die waren verzegeld en er stonden stempels op. Maar ja, zegels en stempels, haha. Later kregen we telex en telefoon met natuurlijk altijd nog papier, zegels en stempels. Dat was al beter maar nog steeds ruimte voor manipulatie. Tot voor zeer kort werd dat vervangen door email en papier met zegels en stempels. Al weer iets lastiger, maar nog steeds (theoretisch) ruimte voor manipulatie. Nu hebben alle gemeenten een progje waar ze het invoeren en dat stuurt de uitslagen door naar een centrale server. En nog steeds wordt dat gevolgd door papier met zegels en stempels. Alweer een stuk lastiger, de zaak moet wel met elkaar blijven kloppen. De Ruwhofs van deze wereld proberen op een wel heel goedkope manier opdrachtjes te krijgen voor vast wel veel geld.

Te zot voor woorden.

De comment die ik ook op zijn blogartikel heb geplaatst (maar niet zichtbaar is, want hij moet 'm zelf eerst goedkeuren. Als ik zo'n artikel zou schrijven, zou ik het ook niet laten verschijnen.)

---

The instruction video using a simple, quick to type password is a medium risk? The use of SHA1 a high risk?! There isn’t even a preimage attack on md5, let alone sha1. The *only* real vulnerabilities that I can see here is 1) using a foreign company and 2) not using special computers for the purpose. The rest are all “you might not want to do it this way” remarks, but few of them are actually big risks, let alone medium or high risks. I agree that it all looks unprofessional and you might want to call attention to the issues that you correctly address, but don’t get carried away.

Also, really? “High: Custom USB sticks can be used and these sticks can be loaded with malicious software.” In that case “not placing the computer in a SCIF” is a risk; “allowing anyone but the king to use the computer” is a risk; “connecting an uncertified keyboard to the computer” is a risk… I mean, duh, anyone can put a virus on a USB stick, but what would you have them use then? Floppies? Same issue. SD cards? same issue. Hard disks? Same issue. QR codes? Same issue (you can technically embed software in there, it just won’t get executed, just like software on the USB stick won’t get executed). You have to stop somewhere.

The whole credibility of this article falls down on overreacting and the valid points get lost among the others.

Tsja wat moet je hier nou op zeggen, wat een prutswerk is dit zeg.
Op zijn minst zou je verwachten dat xmlsigning (https://www.aleksey.com/xmlsec/ bestaat al een tijdje) ergens wordt toegepast. XML sigining is een must tijdens transport van de USB stick.

Het gebruik van browsers zou niet mogelijk moeten zijn, dat moet met een standalone programma, container of virtual machine worden opgelost.

Verder het gebruik van ietwat verouderde systemen (Vista!! WTF) is uit den boze.

Mijn handen jeuken om hier een gedegen oplossing voor te bouwen waar een ethical hacker best wel ff moeite mee geeft.

Precies, het wordt weer verschrikkelijk uit verband getrokken. Uiteraard is er een mogelijkheid om iets te manipuleren omdat geen enkele beveiliging waterdicht is maar om de huidige methode een drama te noemen slaat nergens op.
Er zitten heel veel controles onderweg in het proces ingebouwd, ook de handmatige tellingen worden gecontroleerd, dat een hacker weel heel erg gedreven moet zijn om van de PVDA ineens de grootste partij te willen maken. Zou de PVDA wel willen maar helaas gaat dat, ook door tussenkomst van een hacker, niet gebeuren. Indien er twijfels of bezwaren zijn worden gewoon alle stembiljetten opnieuw handmatig geteld.

Ik ga op reis en ik neem mee...

een usb stick met een plain txt bestand.
en nog één,
en nog één,
en nog één,
en nog één,
en nog één,
en nog één,
...,
..,

Tot we een hele berg ervan bijelkaar hebben
en na veel klassiek prikken en omdraaien
staan dan alle plain verzamelde data van
vervoerde en natuurlijk (hatsjoekuch) volstrekt niet onderweg gemanipuleerde en gewisselde data
dan plots op een centrale compu die dan netjes met die supersoftware aan het rekenen gaat.

Om daarna het adembenemende resultaat te bewonderen en te aanbidden
zonder het ooit nog met een handgeteld resultaat c.q. dubbelcheck te vergelijken.

Je hoef niet bang te zijn dat wilders wint.
Gaat niet gebeuren.
echt niet.
Dat is dan weer de mooie keerzijde van dit systeem.
De voorstanders van meer automatisering zullen winnen.
En dat is de ai(v)vd (met slaafhondjes pvda, d66, cda).

Het ad was wat scheutiger en noodzakelijk sappiger met de informatie van dit summum van Hollandse voorbeeld van ICT.
http://www.ad.nl/binnenland/verkiezingsuitslag-te-hacken-systeem-zo-lek-als-een-mandje~adb3d357/

In een democratie zou je natuurlijk graag deze software geinstalleerd willen zien op een pc die al besmet is.

Mee eens.

Eens.

Eens

Omdat iets kan maakt het nog niet tot een gewenste situatie. Er zou alleen data opgeslagen mogen worden op vertrouwde opslagmiddelen. Dus niet op een willekeurige USB thumb drive.

Eens.

Waarschijnlijk een combinatie samen met de matige Engelse tekst. En op basis van een paar filmpjes aandacht zoeken in plaats van de software echt te testen. Begrijpelijk dat iemand een punt wil maken om de democratie te verbeteren, maar breng het dan degelijk als je toch niet aan responsible disclosure wil doen. Het nivo is nu niet hoger dan een student een verslag maakt van een filmpje om punten te halen.

Het ZOVEELSTE voorbeeld dat "overheid" en IT niet samengaat. En als de "overheid" zou moeten werken volgens de aatstaven van een bedrijf waren ze allang failliet. Oorzaken zijn o.a. buroctatie en onkunde.

Het wordt opgeblazen als de stemcomputers, maar het gaat hier om iets heel anders. Het betreft een simpele tel-applicatie, een veredeld kladblok, waarbij de brondata (de papieren stembiljetten) gewoon beschikbaar zijn als controle. Dat is bij een stemcomputer wel anders: iemand heeft op een knopje gedrukt en het enige bewijs is een bitje in een computer en er is geen "paper trail" om dat achteraf te controleren.

Als je maatregelen wilt beoordelen moet je je eerst afvragen wat de dreiging is. Wat me duidelijk is geworden na het lezen van Sijmen's blog (het stukje van security.nl is een beetje kort door de bocht) is dat het grootste probleem zit in de instructie voor basis handelingen zoals "doe dit op een 'schone' computer zonder netwerk toegang van buiten", "controleer de hashes", "print altijd een hardcopy zodat je een paper trail hebt". Deze basisvoorwaarden worden niet goed uitgelegd en afgedwongen. En de gemiddelde gebruiker volgt alleen de instructies.
Qua techniek. SHA1 als hash? geen probleem bij een strak geformatteerde file (om een hash collision te krijgen moet je aardig wat tekst veranderen, maar nog steeds hetzelfde er uit zien (voor mensen) of aan bv. XML syntax voldoen (voor computers).
Encryptie? Waarom? Het is openbare informatie: laat het maar leesbaar zijn.


Is dit makkelijk op te lossen? Ja, heel simpel: als iedere gemeente de uitkomst van de tellingen per stemkantoor en voor de totale gemeente publiceren in het plaatselijke krantje (of een landelijk dagblad) dan is alles controleerbaar. De telapplicatie is er dan alleen maar om de resultaten snel beschikbaar te hebben op landelijk niveau.

Immers: wat is belangrijk bij verkiezingen: een integer en transparant en controleerbaar proces, of dat de uitslag binnen een paar uur bekend is?

Onzin. Er zijn net zoveel bedrijven waar het IT gebeuren prutswerk is. Die lopen er echter niet mee te koop zodat het de kranten niet haalt. Het probleem is niet de combinatie IT en overheid, maar dat er twee soorten IT-ers zijn. Goede en prutsers.

De overheid heeft anders heel wat bedrijven ingehuurd die er ook een potje van hebben gemaakt. Ik wil niet direct beginnen over de SVB, maar... nou ja... u voelt 'm wel.

Dit gebeurt ook al.
Naast kranten die de uitslagen publiceren (opgevraagd bij de gemeenten), doen gemeenten dit oa. op hun eigen websites ook.
En bij gemeentelijke- en landelijke verkiezingen zelfs realtime in hun raadzaal (presentatie).

En vergeet de paper-trail niet:
De samenvatting van de stemuitslagen van de stembureaus worden verzameld op het hoofdstembureau, en met een officieel document doorgestuurd naar het regionale verzamelpunt, etc tot alles bij de Kiesraad aankomt.

Controle mogelijkheden te over.

Sorry voor mijn late reactie. Door alle media-aandacht heb ik niet overal even snel op kunnen reageren.


Internetbankieren werkt met geavanceerde JavaScript-code die gedragingen van gebruikers monitort voor fraudepreventie. De OSV software controleert niets van de gebruiker. Op elke computer mag het feitelijk geïnstalleerd worden. Dus ook op onveilige installaties. En dat vind ik een hoog beveiligingsrisico.


Buitenlandse inlichtingendiensten hebben de hardware om SHA1 collisions te genereren. Op het moment dat je beveiliging gebruikt dat het tegen zulke geavanceerde mogendheden moet opnemen, maak je met SHA1 geen schijn van kans.


Integriteit is inderdaad heel belangrijk. Encryptie van het bestand maakt de drempel hoger voor fraude en is een defense-in-depth maatregel.


Digitale hantekeningen is inderdaad de first-line-of-defence. Encryptie een second-line-of-defence.


Klopt ook, maar het risico neemt wel af als de Kiesraad gecontroleerde hardware matig versleutelde USB-sticks met de software meelevert.

Zo werkt het systeem in Duitsland, maar niet in Nederland. In Nederland wordt niet met papier nagerekend als niemand de resultaten van de softwareberekening in twijfel trekt.

Wat is er dan op tegen om dat hier zo te doen, bepaal dat er in een x-aantal gevallen een steekproef wordt gehouden en gecontroleerd. (uiteraard zonder van te voren te zeggen waar en wat). en controleer dan de input van deze telcomputer en de stembriefjes.

Los van verkeerde uitleg en allerlei andere zaken die beter hadden gekund, is het totaal verbieden van deze software een wel heel erg kort door de bocht en duur besluit. Daar draaien de gemeenten en uiteindelijk wij voor op.

En wie zegt overigens dat er met handmatig tellen niks fout kan gaan....