Plasterk: Verkiezingssoftware kende kwetsbaarheden
De manier waarop de Ondersteunende Software Verkiezingen (OSV) bij vorige verkiezingen werd gebruikt kende kwetsbaarheden, zo heeft minister Plasterk van Binnenlandse Zaken aan de Tweede Kamer laten weten. Eind januari onthulden onderzoekers al allerlei problemen met de verkiezingssoftware.
Een onderzoek dat de Kiesraad naar de software liet instellen bevestigt dat de wijze waarop OSV bij eerdere verkiezingen is gebruikt kwetsbaarheden kent. Zo draait de OSV-software op sterk verouderde ondersteunende software. "Dit is in ieder geval van toepassing op software componenten zoals de gebruikte Java-versie en de gebruikte Jboss-versie", aldus de onderzoekers. Ze stellen dat de software lekken kan bevatten die niet meer door de leverancier zullen worden opgelost en dat de software zodoende kwetsbaar blijft. Ook blijkt er een "poort" aanwezig te zijn die via het netwerk benaderbaar is en niet direct noodzakelijk lijkt te zijn voor het correct functioneren van de software.
Voor wat betreft de beveiliging van de OSV-webapplicatie zijn verschillende technische kwetsbaarheden gevonden die de beveiliging in gevaar kunnen brengen. Doordat de software op een "stand-alone systeem" of afgeschermd netwerk moet worden gebruikt is de mogelijkheid om de kwetsbaarheden uit te buiten beperkt, merken de onderzoekers op. "Wanneer de OSV-omgeving echter benaderbaar is, bijvoorbeeld doordat deze op enigerlei wijze gekoppeld is aan de reguliere kantooromgeving, dan is de impact van de tekortkomingen aanzienlijk groter."
Zo wordt er onder andere geen gebruik gemaakt van beveiligde verbindingen, is er onvoldoende validatie van (gebruikers)invoer, worden wachtwoorden onveilig opgeslagen, is de integriteitscontrole van EML-bestanden ontoereikend, wordt beleid met betrekking tot de sterkte van gebruikerswachtwoorden niet afgedwongen en zijn verschillende gangbare maatregelen die te maken hebben met beveiligingshygiëne niet geïmplementeerd, zo stelt het onderzoeksrapport (pdf).
Plasterk besloot eerder al om de OSV-software niet bij de aankomende Tweede Kamerverkiezingen te gebruiken. Wel mogen gemeenten computers voor het optellen van de stemmen gebruiken. "Het rekenhulpmiddel wordt alleen gebruikt op computers die niet met het internet zijn verbonden", laat de minister aan de Tweede Kamer weten. Daarnaast geldt voor alle stappen het vier ogen principe. Dat wil zeggen dat wat er wordt ingevoerd, en uitgerekend altijd door iemand anders wordt gecontroleerd en geverifieerd. Verder worden er geen usb-sticks gebruikt om de uitkomsten over te brengen.
"Het proces van het totaliseren van de uitgebrachte stemmen dient transparant en controleerbaar te zijn. Dat is het geval als het papieren proces in alle stappen die moeten worden doorlopen om de uitslag te berekenen, daadwerkelijk leidend is", schrijft Plasterk (pdf). Als extra controle op de juiste werking van de gebruikte rekenhulpmiddelen zal daarom in alle stappen van het proces het totaal van de uitgebrachte stemmen per partij handmatig en zonder gebruik van een digitaal rekenhulpmiddel worden uitgerekend.
Even samenvattend
Deze schoonheidsfoutjes qua security waren een paar jaar geleden nog niet iets waar men over nadacht.
Lekken in Java en het gebruik van oude Java software was toen heel gewoon, sterker nog dat was de standaard.
Net zoals het ontbreken van beveiligde verbindingen, monitoring van poortbeheer etc.
We moeten niet met de ogen van nu naar het verleden kijken.
Naar de maatstaven van nu is het niet netjes maar we moeten ook weer niet overdrijven,
het valt allemaal reuze mee en we moeten ook een beetje vertrouwen hebben.
De overheid met Plassterk voorop hebben het beste met ons voor.
Heb vertrouwen.
Claudia en Rutte zeggen het ook, het is een fantastsich land en het is best fantastisch geregeld allemaal.
Niet zo zeuren.
Dus, het is bekend en toegegeven, het valt heel erg mee, en nu over tot de orde van de dag.
Waar waren we gebleven,
oja, hackwet, tapwet..
best lastig die beveiliging tegenwoordig.
Gaan we weer selectief afschaffen,
na de verkiezingen,
straks.
Nee dat is niet zo
Denk aan wijvertrouwenstemcomputersniet, bits of freedom,.. en meer clubs die altijd privacy kritisch geweest zijn.
De jongen die de software voor rtl heeft bekeken is overigens niet de originele melder aan rtl en het rapport wat steeds aangehaald wordt is weer door een ander geschreven en ook voorgelegd aan verantwoordelijke stemraad die het niet belangrijk vond.
Het gelijk van plassterk is onder meer wel het stug negeren en doordrukken waar hij kan omdat hij de baas is en de kritische oppositie niet. Het geluid is er steeds wel maar het wordt genegeerd.
Denk aan wijvertrouwenstemcomputersniet, bits of freedom,.. en meer clubs die altijd privacy kritisch geweest zijn.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
