image

Plasterk: Verkiezingssoftware kende kwetsbaarheden

vrijdag 3 maart 2017, 16:39 door Redactie, 4 reacties

De manier waarop de Ondersteunende Software Verkiezingen (OSV) bij vorige verkiezingen werd gebruikt kende kwetsbaarheden, zo heeft minister Plasterk van Binnenlandse Zaken aan de Tweede Kamer laten weten. Eind januari onthulden onderzoekers al allerlei problemen met de verkiezingssoftware.

Een onderzoek dat de Kiesraad naar de software liet instellen bevestigt dat de wijze waarop OSV bij eerdere verkiezingen is gebruikt kwetsbaarheden kent. Zo draait de OSV-software op sterk verouderde ondersteunende software. "Dit is in ieder geval van toepassing op software componenten zoals de gebruikte Java-versie en de gebruikte Jboss-versie", aldus de onderzoekers. Ze stellen dat de software lekken kan bevatten die niet meer door de leverancier zullen worden opgelost en dat de software zodoende kwetsbaar blijft. Ook blijkt er een "poort" aanwezig te zijn die via het netwerk benaderbaar is en niet direct noodzakelijk lijkt te zijn voor het correct functioneren van de software.

Voor wat betreft de beveiliging van de OSV-webapplicatie zijn verschillende technische kwetsbaarheden gevonden die de beveiliging in gevaar kunnen brengen. Doordat de software op een "stand-alone systeem" of afgeschermd netwerk moet worden gebruikt is de mogelijkheid om de kwetsbaarheden uit te buiten beperkt, merken de onderzoekers op. "Wanneer de OSV-omgeving echter benaderbaar is, bijvoorbeeld doordat deze op enigerlei wijze gekoppeld is aan de reguliere kantooromgeving, dan is de impact van de tekortkomingen aanzienlijk groter."

Zo wordt er onder andere geen gebruik gemaakt van beveiligde verbindingen, is er onvoldoende validatie van (gebruikers)invoer, worden wachtwoorden onveilig opgeslagen, is de integriteitscontrole van EML-bestanden ontoereikend, wordt beleid met betrekking tot de sterkte van gebruikerswachtwoorden niet afgedwongen en zijn verschillende gangbare maatregelen die te maken hebben met beveiligingshygiëne niet geïmplementeerd, zo stelt het onderzoeksrapport (pdf).

Plasterk besloot eerder al om de OSV-software niet bij de aankomende Tweede Kamerverkiezingen te gebruiken. Wel mogen gemeenten computers voor het optellen van de stemmen gebruiken. "Het rekenhulpmiddel wordt alleen gebruikt op computers die niet met het internet zijn verbonden", laat de minister aan de Tweede Kamer weten. Daarnaast geldt voor alle stappen het vier ogen principe. Dat wil zeggen dat wat er wordt ingevoerd, en uitgerekend altijd door iemand anders wordt gecontroleerd en geverifieerd. Verder worden er geen usb-sticks gebruikt om de uitkomsten over te brengen.

"Het proces van het totaliseren van de uitgebrachte stemmen dient transparant en controleerbaar te zijn. Dat is het geval als het papieren proces in alle stappen die moeten worden doorlopen om de uitslag te berekenen, daadwerkelijk leidend is", schrijft Plasterk (pdf). Als extra controle op de juiste werking van de gebruikte rekenhulpmiddelen zal daarom in alle stappen van het proces het totaal van de uitgebrachte stemmen per partij handmatig en zonder gebruik van een digitaal rekenhulpmiddel worden uitgerekend.

Reacties (4)
03-03-2017, 19:12 door Anoniem
Het gelijk van Plassterk & c.s.

Even samenvattend

Deze schoonheidsfoutjes qua security waren een paar jaar geleden nog niet iets waar men over nadacht.
Lekken in Java en het gebruik van oude Java software was toen heel gewoon, sterker nog dat was de standaard.
Net zoals het ontbreken van beveiligde verbindingen, monitoring van poortbeheer etc.

We moeten niet met de ogen van nu naar het verleden kijken.
Naar de maatstaven van nu is het niet netjes maar we moeten ook weer niet overdrijven,
het valt allemaal reuze mee en we moeten ook een beetje vertrouwen hebben.
De overheid met Plassterk voorop hebben het beste met ons voor.
Heb vertrouwen.

Claudia en Rutte zeggen het ook, het is een fantastsich land en het is best fantastisch geregeld allemaal.
Niet zo zeuren.
Dus, het is bekend en toegegeven, het valt heel erg mee, en nu over tot de orde van de dag.

Waar waren we gebleven,
oja, hackwet, tapwet..
best lastig die beveiliging tegenwoordig.
Gaan we weer selectief afschaffen,
na de verkiezingen,
straks.
04-03-2017, 14:11 door Anoniem
Door Anoniem:Het gelijk van Plassterk & c.s.
13000000 kiezers en na 8 jaar maar 1 die openlijk kritiek had op de slechte beveiliging van de democratie. 13000000 kiezers die het dus niets kan schelen tot iemand een eerste stap doet. Dat is het gelijk.
04-03-2017, 18:34 door Anoniem
Door Anoniem:
Door Anoniem:Het gelijk van Plassterk & c.s.
13000000 kiezers en na 8 jaar maar 1 die openlijk kritiek had op de slechte beveiliging van de democratie. 13000000 kiezers die het dus niets kan schelen tot iemand een eerste stap doet. Dat is het gelijk.

Nee dat is niet zo
Denk aan wijvertrouwenstemcomputersniet, bits of freedom,.. en meer clubs die altijd privacy kritisch geweest zijn.
De jongen die de software voor rtl heeft bekeken is overigens niet de originele melder aan rtl en het rapport wat steeds aangehaald wordt is weer door een ander geschreven en ook voorgelegd aan verantwoordelijke stemraad die het niet belangrijk vond.
Het gelijk van plassterk is onder meer wel het stug negeren en doordrukken waar hij kan omdat hij de baas is en de kritische oppositie niet. Het geluid is er steeds wel maar het wordt genegeerd.
05-03-2017, 02:03 door Anoniem
Door Anoniem: Nee dat is niet zo
Denk aan wijvertrouwenstemcomputersniet, bits of freedom,.. en meer clubs die altijd privacy kritisch geweest zijn.
Die keken allemaal niet verder dan de stemcomputer. Geen van die clubs heeft ooit kritiek gegeven over het gebruik van telsoftware toen de stemcomputers niet meer gebruikt werden. Hadden ze allemaal geen aandacht voor.
De jongen die de software voor rtl heeft bekeken is overigens niet de originele melder aan rtl en het rapport wat steeds aangehaald wordt is weer door een ander geschreven en ook voorgelegd aan verantwoordelijke stemraad die het niet belangrijk vond.
Tel nog eens: 1 persoon tipt RTL en dan is er pas aandacht en komt er verder onderzoek. Het originele rapport heeft dan ondertussen al 5 jaar liggen te verstoffen zonder dat iemand het nodig vond om publiek kritiek te geven over een van de meest fundamentele onderdelen van het stemproces vol met lekken.
Het gelijk van plassterk is onder meer wel het stug negeren en doordrukken waar hij kan omdat hij de baas is en de kritische oppositie niet. Het geluid is er steeds wel maar het wordt genegeerd.
Bij het stemmen is de democratie de baas. Als je geen vertrouwen in het stemproces hebt dan heb je de keuze om een beter systeem te eisen of niet te stemmen. De kiesraad en plassterk kunnen veel keuzes maken, maar 13 miljoen kiezers, die negeerden massaal stelselmatig dat ze behalve stemrecht ook recht op controle van het kiessysteem kunnen uitvoeren. 13 miljoen kiezers en een paar daarvan komt na 8 jaar en tal van stemmingen later eens met openlijke kritiek op de telsoftware.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.