image

Onderzoekers hekelen veiligheid software die stemmen optelt

maandag 30 januari 2017, 18:59 door Redactie, 16 reacties

Verschillende onderzoekers hekelen de veiligheid van de software die in Nederland bij de verkiezingen wordt gebruikt voor het optellen van de stemmen. Hoewel het stemmen via het rode potlood plaatsvindt, gebeurt het tellen via speciale software.

De veiligheid van de software laat echter te wensen over. "De gemiddelde iPad is beter beveiligd dan het Nederlandse verkiezingssysteem", aldus onderzoeker Sijmen Ruwhof, die de software op verzoek van RTL Nieuws analyseerde. De resultaten van Ruwhof werden door beveiligingsonderzoeker Ger Schinkel gecontroleerd. Ook Herbert Bos, hoogleraar Systems & Network Security aan de Vrije Universiteit Amsterdam, schrikt van de kwaliteit van de software: "Als een student dit programma bij mij inlevert krijg hij een hele dikke onvoldoende. Het is dramatisch."

Een ander punt van kritiek is dat er geen eisen zijn gesteld aan het platform waarop de Ondersteunende Software Verkiezingen (OSV) moet draaien. De software wordt door de Kiesraad op cd-roms naar de gemeente gestuurd. Als de computer waarop de software wordt geïnstalleerd met malware besmet is geraakt en over een internetverbinding beschikt, kunnen aanvallers de uitslag manipuleren. De Kiesraad laat in een reactie weten dat de OSV-software door een extern bedrijf zal worden onderzocht.

Onlangs liet minister Plasterk al weten dat het ministerie van Binnenlandse Zaken en de Kiesraad in aanloop naar de verkiezingen gemeenten en hoofdstembureaus zullen wijzen op de instructies die gelden voor het gebruik van de software en het belang van de naleving van de instructies. In het geval er aan de verkiezingsuitslag wordt getwijfeld kan die volgens Plasterk worden gecontroleerd via de tellingen van de stembureaus. Op zijn eigen website geeft Ruwhof een overzicht van de meer dan 20 gevonden kwetsbaarheden.

Reacties (16)
30-01-2017, 19:20 door Anoniem
Pretty amateurish blog post about the 20 issues. If I just focus on a few of the so called 'high risks':

4 High: The voting software-application can be installed on any computer. “The Dutch Electoral Council has not set up any security baseline for this”. No baseline is high risk, seriously? Using this thought e.g. all internet banking websites are also insecure because you can use it on any PC. Google is also a high risk website, you can use it on every PC.

8 High: The insecure, old and deprecated SHA1 hash algorithm is used everywhere in the software. I agree that is deprecated. But high risk? If I give you a sha1sum, can you calculate collision for me?

9 High: The voting software stores voting results in an unencrypted XML file. What’s the issue of using unencrypted files for public data? Non-issue if integrity is adequately verified.

13 High: Non encrypted USB sticks are used. What’s the issue of using unencrypted USB thumb drives? Non-issue if e.g. digital signatures over hash for integrity is used.

14 High: Custom USB sticks can be used and these sticks can be loaded with malicious software. What’s your point? Every USB thumb drive can contain malware.

23 High: Voting results are sent via an unencrypted e-mail over the internet. See 13.

IMHO your risk rating is at least pretty questionable, it seems that you do not understand basic security concepts.

Don’t understand me wrong, the application looks crappy and instructions are even worse but IMO you’re over exaggerating or don not understand many issues / decribe them correctly.
30-01-2017, 19:58 door Anoniem
Heel vroeger werden de lokale uitslagen opgestuurd per post. Geschreven brieven met namen en getallen. Die waren verzegeld en er stonden stempels op. Maar ja, zegels en stempels, haha. Later kregen we telex en telefoon met natuurlijk altijd nog papier, zegels en stempels. Dat was al beter maar nog steeds ruimte voor manipulatie. Tot voor zeer kort werd dat vervangen door email en papier met zegels en stempels. Al weer iets lastiger, maar nog steeds (theoretisch) ruimte voor manipulatie. Nu hebben alle gemeenten een progje waar ze het invoeren en dat stuurt de uitslagen door naar een centrale server. En nog steeds wordt dat gevolgd door papier met zegels en stempels. Alweer een stuk lastiger, de zaak moet wel met elkaar blijven kloppen. De Ruwhofs van deze wereld proberen op een wel heel goedkope manier opdrachtjes te krijgen voor vast wel veel geld.
30-01-2017, 20:06 door [Account Verwijderd]
Te zot voor woorden.
30-01-2017, 21:11 door Anoniem
De comment die ik ook op zijn blogartikel heb geplaatst (maar niet zichtbaar is, want hij moet 'm zelf eerst goedkeuren. Als ik zo'n artikel zou schrijven, zou ik het ook niet laten verschijnen.)

---

The instruction video using a simple, quick to type password is a medium risk? The use of SHA1 a high risk?! There isn’t even a preimage attack on md5, let alone sha1. The *only* real vulnerabilities that I can see here is 1) using a foreign company and 2) not using special computers for the purpose. The rest are all “you might not want to do it this way” remarks, but few of them are actually big risks, let alone medium or high risks. I agree that it all looks unprofessional and you might want to call attention to the issues that you correctly address, but don’t get carried away.

Also, really? “High: Custom USB sticks can be used and these sticks can be loaded with malicious software.” In that case “not placing the computer in a SCIF” is a risk; “allowing anyone but the king to use the computer” is a risk; “connecting an uncertified keyboard to the computer” is a risk… I mean, duh, anyone can put a virus on a USB stick, but what would you have them use then? Floppies? Same issue. SD cards? same issue. Hard disks? Same issue. QR codes? Same issue (you can technically embed software in there, it just won’t get executed, just like software on the USB stick won’t get executed). You have to stop somewhere.

The whole credibility of this article falls down on overreacting and the valid points get lost among the others.
30-01-2017, 21:25 door Anoniem
Tsja wat moet je hier nou op zeggen, wat een prutswerk is dit zeg.
Op zijn minst zou je verwachten dat xmlsigning (https://www.aleksey.com/xmlsec/ bestaat al een tijdje) ergens wordt toegepast. XML sigining is een must tijdens transport van de USB stick.

Het gebruik van browsers zou niet mogelijk moeten zijn, dat moet met een standalone programma, container of virtual machine worden opgelost.

Verder het gebruik van ietwat verouderde systemen (Vista!! WTF) is uit den boze.

Mijn handen jeuken om hier een gedegen oplossing voor te bouwen waar een ethical hacker best wel ff moeite mee geeft.
30-01-2017, 21:38 door Anoniem
Door Anoniem: Heel vroeger werden de lokale uitslagen opgestuurd per post. Geschreven brieven met namen en getallen. Die waren verzegeld en er stonden stempels op. Maar ja, zegels en stempels, haha. Later kregen we telex en telefoon met natuurlijk altijd nog papier, zegels en stempels. Dat was al beter maar nog steeds ruimte voor manipulatie. Tot voor zeer kort werd dat vervangen door email en papier met zegels en stempels. Al weer iets lastiger, maar nog steeds (theoretisch) ruimte voor manipulatie. Nu hebben alle gemeenten een progje waar ze het invoeren en dat stuurt de uitslagen door naar een centrale server. En nog steeds wordt dat gevolgd door papier met zegels en stempels. Alweer een stuk lastiger, de zaak moet wel met elkaar blijven kloppen. De Ruwhofs van deze wereld proberen op een wel heel goedkope manier opdrachtjes te krijgen voor vast wel veel geld.
Precies, het wordt weer verschrikkelijk uit verband getrokken. Uiteraard is er een mogelijkheid om iets te manipuleren omdat geen enkele beveiliging waterdicht is maar om de huidige methode een drama te noemen slaat nergens op.
Er zitten heel veel controles onderweg in het proces ingebouwd, ook de handmatige tellingen worden gecontroleerd, dat een hacker weel heel erg gedreven moet zijn om van de PVDA ineens de grootste partij te willen maken. Zou de PVDA wel willen maar helaas gaat dat, ook door tussenkomst van een hacker, niet gebeuren. Indien er twijfels of bezwaren zijn worden gewoon alle stembiljetten opnieuw handmatig geteld.
30-01-2017, 23:29 door Anoniem
Ik ga op reis en ik neem mee...

een usb stick met een plain txt bestand.
en nog één,
en nog één,
en nog één,
en nog één,
en nog één,
en nog één,
...,
..,

Tot we een hele berg ervan bijelkaar hebben
en na veel klassiek prikken en omdraaien
staan dan alle plain verzamelde data van
vervoerde en natuurlijk (hatsjoekuch) volstrekt niet onderweg gemanipuleerde en gewisselde data
dan plots op een centrale compu die dan netjes met die supersoftware aan het rekenen gaat.

Om daarna het adembenemende resultaat te bewonderen en te aanbidden
zonder het ooit nog met een handgeteld resultaat c.q. dubbelcheck te vergelijken.

Je hoef niet bang te zijn dat wilders wint.
Gaat niet gebeuren.
echt niet.
Dat is dan weer de mooie keerzijde van dit systeem.
De voorstanders van meer automatisering zullen winnen.
En dat is de ai(v)vd (met slaafhondjes pvda, d66, cda).

Het ad was wat scheutiger en noodzakelijk sappiger met de informatie van dit summum van Hollandse voorbeeld van ICT.
http://www.ad.nl/binnenland/verkiezingsuitslag-te-hacken-systeem-zo-lek-als-een-mandje~adb3d357/
31-01-2017, 03:31 door Anoniem
Door Anoniem:
4 High: The voting software-application can be installed on any computer. “The Dutch Electoral Council has not set up any security baseline for this”. No baseline is high risk, seriously? Using this thought e.g. all internet banking websites are also insecure because you can use it on any PC. Google is also a high risk website, you can use it on every PC.
In een democratie zou je natuurlijk graag deze software geinstalleerd willen zien op een pc die al besmet is.

8 High: The insecure, old and deprecated SHA1 hash algorithm is used everywhere in the software. I agree that is deprecated. But high risk? If I give you a sha1sum, can you calculate collision for me?
Mee eens.

9 High: The voting software stores voting results in an unencrypted XML file. What’s the issue of using unencrypted files for public data? Non-issue if integrity is adequately verified.
Eens.

13 High: Non encrypted USB sticks are used. What’s the issue of using unencrypted USB thumb drives? Non-issue if e.g. digital signatures over hash for integrity is used.
Eens

14 High: Custom USB sticks can be used and these sticks can be loaded with malicious software. What’s your point? Every USB thumb drive can contain malware.
Omdat iets kan maakt het nog niet tot een gewenste situatie. Er zou alleen data opgeslagen mogen worden op vertrouwde opslagmiddelen. Dus niet op een willekeurige USB thumb drive.

23 High: Voting results are sent via an unencrypted e-mail over the internet. See 13.
Eens.

IMHO your risk rating is at least pretty questionable, it seems that you do not understand basic security concepts.

Don’t understand me wrong, the application looks crappy and instructions are even worse but IMO you’re over exaggerating or don not understand many issues / decribe them correctly.
Waarschijnlijk een combinatie samen met de matige Engelse tekst. En op basis van een paar filmpjes aandacht zoeken in plaats van de software echt te testen. Begrijpelijk dat iemand een punt wil maken om de democratie te verbeteren, maar breng het dan degelijk als je toch niet aan responsible disclosure wil doen. Het nivo is nu niet hoger dan een student een verslag maakt van een filmpje om punten te halen.
31-01-2017, 08:51 door Anoniem
Het ZOVEELSTE voorbeeld dat "overheid" en IT niet samengaat. En als de "overheid" zou moeten werken volgens de aatstaven van een bedrijf waren ze allang failliet. Oorzaken zijn o.a. buroctatie en onkunde.
31-01-2017, 10:32 door Anoniem
Het wordt opgeblazen als de stemcomputers, maar het gaat hier om iets heel anders. Het betreft een simpele tel-applicatie, een veredeld kladblok, waarbij de brondata (de papieren stembiljetten) gewoon beschikbaar zijn als controle. Dat is bij een stemcomputer wel anders: iemand heeft op een knopje gedrukt en het enige bewijs is een bitje in een computer en er is geen "paper trail" om dat achteraf te controleren.

Als je maatregelen wilt beoordelen moet je je eerst afvragen wat de dreiging is. Wat me duidelijk is geworden na het lezen van Sijmen's blog (het stukje van security.nl is een beetje kort door de bocht) is dat het grootste probleem zit in de instructie voor basis handelingen zoals "doe dit op een 'schone' computer zonder netwerk toegang van buiten", "controleer de hashes", "print altijd een hardcopy zodat je een paper trail hebt". Deze basisvoorwaarden worden niet goed uitgelegd en afgedwongen. En de gemiddelde gebruiker volgt alleen de instructies.
Qua techniek. SHA1 als hash? geen probleem bij een strak geformatteerde file (om een hash collision te krijgen moet je aardig wat tekst veranderen, maar nog steeds hetzelfde er uit zien (voor mensen) of aan bv. XML syntax voldoen (voor computers).
Encryptie? Waarom? Het is openbare informatie: laat het maar leesbaar zijn.


Is dit makkelijk op te lossen? Ja, heel simpel: als iedere gemeente de uitkomst van de tellingen per stemkantoor en voor de totale gemeente publiceren in het plaatselijke krantje (of een landelijk dagblad) dan is alles controleerbaar. De telapplicatie is er dan alleen maar om de resultaten snel beschikbaar te hebben op landelijk niveau.

Immers: wat is belangrijk bij verkiezingen: een integer en transparant en controleerbaar proces, of dat de uitslag binnen een paar uur bekend is?
31-01-2017, 11:22 door Briolet
Door Anoniem: Het ZOVEELSTE voorbeeld dat "overheid" en IT niet samengaat. En als de "overheid" zou moeten werken volgens de aatstaven van een bedrijf waren ze allang failliet. Oorzaken zijn o.a. buroctatie en onkunde.

Onzin. Er zijn net zoveel bedrijven waar het IT gebeuren prutswerk is. Die lopen er echter niet mee te koop zodat het de kranten niet haalt. Het probleem is niet de combinatie IT en overheid, maar dat er twee soorten IT-ers zijn. Goede en prutsers.
31-01-2017, 11:25 door Anoniem
Door Anoniem: Het ZOVEELSTE voorbeeld dat "overheid" en IT niet samengaat. En als de "overheid" zou moeten werken volgens de aatstaven van een bedrijf waren ze allang failliet. Oorzaken zijn o.a. buroctatie en onkunde.

De overheid heeft anders heel wat bedrijven ingehuurd die er ook een potje van hebben gemaakt. Ik wil niet direct beginnen over de SVB, maar... nou ja... u voelt 'm wel.
31-01-2017, 15:24 door Anoniem
Door Anoniem: Is dit makkelijk op te lossen? Ja, heel simpel: als iedere gemeente de uitkomst van de tellingen per stemkantoor en voor de totale gemeente publiceren in het plaatselijke krantje (of een landelijk dagblad) dan is alles controleerbaar. De telapplicatie is er dan alleen maar om de resultaten snel beschikbaar te hebben op landelijk niveau.

Dit gebeurt ook al.
Naast kranten die de uitslagen publiceren (opgevraagd bij de gemeenten), doen gemeenten dit oa. op hun eigen websites ook.
En bij gemeentelijke- en landelijke verkiezingen zelfs realtime in hun raadzaal (presentatie).

En vergeet de paper-trail niet:
De samenvatting van de stemuitslagen van de stembureaus worden verzameld op het hoofdstembureau, en met een officieel document doorgestuurd naar het regionale verzamelpunt, etc tot alles bij de Kiesraad aankomt.

Controle mogelijkheden te over.
02-02-2017, 21:48 door Sijmen Ruwhof - Bijgewerkt: 02-02-2017, 21:48
Sorry voor mijn late reactie. Door alle media-aandacht heb ik niet overal even snel op kunnen reageren.

Door Anoniem: Pretty amateurish blog post about the 20 issues. If I just focus on a few of the so called 'high risks':

4 High: The voting software-application can be installed on any computer. “The Dutch Electoral Council has not set up any security baseline for this”. No baseline is high risk, seriously? Using this thought e.g. all internet banking websites are also insecure because you can use it on any PC. Google is also a high risk website, you can use it on every PC.

Internetbankieren werkt met geavanceerde JavaScript-code die gedragingen van gebruikers monitort voor fraudepreventie. De OSV software controleert niets van de gebruiker. Op elke computer mag het feitelijk geïnstalleerd worden. Dus ook op onveilige installaties. En dat vind ik een hoog beveiligingsrisico.

8 High: The insecure, old and deprecated SHA1 hash algorithm is used everywhere in the software. I agree that is deprecated. But high risk? If I give you a sha1sum, can you calculate collision for me?

Buitenlandse inlichtingendiensten hebben de hardware om SHA1 collisions te genereren. Op het moment dat je beveiliging gebruikt dat het tegen zulke geavanceerde mogendheden moet opnemen, maak je met SHA1 geen schijn van kans.

9 High: The voting software stores voting results in an unencrypted XML file. What’s the issue of using unencrypted files for public data? Non-issue if integrity is adequately verified.

Integriteit is inderdaad heel belangrijk. Encryptie van het bestand maakt de drempel hoger voor fraude en is een defense-in-depth maatregel.

13 High: Non encrypted USB sticks are used. What’s the issue of using unencrypted USB thumb drives? Non-issue if e.g. digital signatures over hash for integrity is used.

Digitale hantekeningen is inderdaad de first-line-of-defence. Encryptie een second-line-of-defence.

14 High: Custom USB sticks can be used and these sticks can be loaded with malicious software. What’s your point? Every USB thumb drive can contain malware.

Klopt ook, maar het risico neemt wel af als de Kiesraad gecontroleerde hardware matig versleutelde USB-sticks met de software meelevert.
02-02-2017, 21:51 door Sijmen Ruwhof
Door Anoniem: [..] Nu hebben alle gemeenten een progje waar ze het invoeren en dat stuurt de uitslagen door naar een centrale server. En nog steeds wordt dat gevolgd door papier met zegels en stempels. Alweer een stuk lastiger, de zaak moet wel met elkaar blijven kloppen.

Zo werkt het systeem in Duitsland, maar niet in Nederland. In Nederland wordt niet met papier nagerekend als niemand de resultaten van de softwareberekening in twijfel trekt.
08-02-2017, 13:37 door Anoniem
Door Sijmen Ruwhof:
Door Anoniem: [..] Nu hebben alle gemeenten een progje waar ze het invoeren en dat stuurt de uitslagen door naar een centrale server. En nog steeds wordt dat gevolgd door papier met zegels en stempels. Alweer een stuk lastiger, de zaak moet wel met elkaar blijven kloppen.

Zo werkt het systeem in Duitsland, maar niet in Nederland. In Nederland wordt niet met papier nagerekend als niemand de resultaten van de softwareberekening in twijfel trekt.

Wat is er dan op tegen om dat hier zo te doen, bepaal dat er in een x-aantal gevallen een steekproef wordt gehouden en gecontroleerd. (uiteraard zonder van te voren te zeggen waar en wat). en controleer dan de input van deze telcomputer en de stembriefjes.

Los van verkeerde uitleg en allerlei andere zaken die beter hadden gekund, is het totaal verbieden van deze software een wel heel erg kort door de bocht en duur besluit. Daar draaien de gemeenten en uiteindelijk wij voor op.

En wie zegt overigens dat er met handmatig tellen niks fout kan gaan....
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.