Nieuws

CDA, SP en VVD wil opheldering over inzet optelsoftware bij verkiezingen

woensdag 11 november 2020, 15:15 door Redactie, 10 reacties

Het CDA, de SP en de VVD hebben minister Ollongren van Binnenlandse Zaken om opheldering gevraagd over het gebruik van de Ondersteunende Software Verkiezingen (OSV2020) bij de komende Tweede Kamerverkiezing. De OSV wordt al ruim tien jaar gebruikt bij het berekenen en vaststellen van de verkiezingsuitslagen in Nederland. OSV2020 is de technisch vernieuwde versie van de optelsoftware.

Bij de verkiezingen wordt door middel van pen en papier gestemd. Vervolgens worden de uitgebrachte stemmen per stembureau opgeteld en de totalen opgeschreven in een proces-verbaal. De processen-verbaal van alle stembureaus worden dan naar het stadhuis gebracht. Daar worden de uitslagen van de processen-verbaal in de OSV2020 ingevoerd. Het programma print vervolgens de uitslag die door de burgemeester wordt ondertekend en zo definitief is.

De stichting Tegen Hackbare Verkiezingen, bestaande uit beveiligingsexperts, ethische hackers en hoogleraren cybersecurity, kwamen maandag met een rapport waarin ze stellen dat de overheid op hackbare computers vertrouwt om in maart 2021 de Tweede Kamer-verkiezingsuitslag uit te rekenen. Buitenlandse inlichtingendiensten en "opportunistische, afgeperste of omgekochte" gemeentelijke systeembeheerders zouden in staat kunnen zijn om de optelsoftware aan te passen en zo de verkiezingsuitslag te manipuleren.

Volgens de stichting zijn computers dan ook niet veilig genoeg om bij een verkiezing te gebruiken en kan het "hackrisico" eenvoudig worden weggenomen door uitgebrachte stemmen handmatig op te tellen. "Om twijfel over de uitslag weg te nemen moet onafhankelijke verificatie van de resultaten verplicht worden", aldus de experts, die stellen dat de kosten van het optellen of laten verifiëren door derden in het niet vallen bij de totale kosten en impact van een gemanipuleerde verkiezing.

Het rapport van de stichting is aanleiding voor CDA, SP en VVD om opheldering aan de minister te vragen. "Bent u het ermee eens dat als de verkiezingssoftware hackbaar blijkt een extra controle moet worden ingesteld, zodat de uitslag boven elke twijfel verheven is? Zo nee, waarom niet?", vraagt SP-Kamerlid Van Raak. Hij vraagt ook aan Ollongren een toezegging om, naast het gebruik van de OSV2020, de uitgebrachte stemmen handmatig op te tellen.

VVD-Kamerleden Van Gent en Middendorp en CDA-Kamerlid Van der Molen willen een reactie van de minister op de waarschuwing van de beveiligingsexperts. "Is het waar dat de uitslag wordt ingevoerd in de optelsoftware, de Ondersteunende Software Verkiezingen (OSV), zonder dat daarop een handmatige controle wordt uitgeoefend? Deelt u de conclusie van de cyberexperts dat hiermee de betrouwbaarheid en de geloofwaardigheid van de verkiezingsuitslag in het geding kan zijn? Zo nee, waarom niet?", zo vragen ze.

Ollongren moet daarnaast haar mening geven over het voorstel van de experts om uitslagen handmatig op de stembureaus na te laten tellen door ambtenaren en welke maatregelen ze neemt om te garanderen dat het proces van de uitslagberekening transparant en controleerbaar is. De minister heeft drie weken de tijd om de vragen te beantwoorden. De Kiesraad maakte maandag bekend dat het de resultaten van de optelsoftware tijdens de herindelingsverkiezingen op 18 november extra gaat controleren

"Relatie tussen recente zerodaylekken in Chrome, iOS en Windows"

NCSC: toename van WhatsAppfraude bij overheidsorganisaties

Reacties (10)

11-11-2020, 15:44 door Anoniem

En kijk naar de USA. Daar zijn na een week er nog niet uit met tellen. Dus wat maken wij ons druk dat het misschien 3 dagen kost om alle stemmen met de hand te tellen (en te controleren).

Flikker dat software weg, en doe met het handje.... 3 dagen wachten op een verkiezingsuitslag maakt ook niets uit als de vorming van de coalitie daarna maanden duurt.

TheYOSH

11-11-2020, 15:48 door Anoniem

Door Anoniem: En kijk naar de USA. Daar zijn na een week er nog niet uit met tellen. Dus wat maken wij ons druk dat het misschien 3 dagen kost om alle stemmen met de hand te tellen (en te controleren).

Flikker dat software weg, en doe met het handje.... 3 dagen wachten op een verkiezingsuitslag maakt ook niets uit als de vorming van de coalitie daarna maanden duurt.

TheYOSH

Mee eens.

11-11-2020, 16:31 door Anoniem

het de resultaten van de optelsoftware tijdens de herindelingsverkiezingen op 18 november extra gaat controleren

WAT ga je extra controleren terwijl je niet meer doorhebt als kiesraad dat je hebt vastgelegd nooit geen Java meer te gaan gebruiken in je software???
Dat zelfs ijskoud de key-generator uit Java elementen is opgebouwd en dat die generator door gebruik te maken van Java elementen op zich al een enorme risico factor is?

Gebruik van RC4 (Arcfour), met ingebouwde sleutel

Dat bijkomend de wijze van genering van keys met behulp van Java code sowieso ook al als onveilig is geclassificeerd door de testers?

RC4-versleuteling wordt niet als veilig beschouwd. Omdat de code niet lijkt te worden gebruikt in de applicatie hebben we deze bevinding geen risico meegegeven.

Wat je niet nodig hebt laat je sowieso niet op een goed beheerde machine staan.
Hiervoor had dus sowieso een risico voorkomende maatregel moeten worden geadviseerd, namelijk dit deel uit de OVS verwijderen!
Maar dat advies liet het bureau achterwege.
En het is nogal karige inschatting om op basis van een enkelvoudige invalshoek te claimen dat met "de code niet gebruikt lijkt te worden" in ruime mate de potentiële mogelijkheden voor compromitteren van de OVS zijn afgedekt.

1.3.1 Aanvalsperspectief
De beveiliging is getest vanuit het perspectief van de insider (een aanvaller met een geldig gebruikersaccount). Omdat we de applicatie zelf hebben geïnstalleerd hebben wij deze zelf aangemaakt. We hebben getest met vijf testaccounts per rol in de applicatie. Er bevonden zich vier rollen in de applicatie; lezen, invoer, verkiezingsleider en beheerder.

Op welke hardware zijn de testen uitgevoerd?
Dat zie ik namelijk niet zo snel terug in de rapporten.
En het is wel gewoon een standaard vraag van een serieuzere applicatie beheerder bij gemeentes die met een software pakket te maken krijgt.
Al naar gelang het moederbord en extra caches en chips zijn de mogelijkheden voor exploits op hardware-access niveau - laag dieper dan de gebruikerstechten waar dit rapport op test - altijd legio divers.
Er is bij eerdere verkiezingen al door computer beheerders doorgegeven aan de burgemeesters dat bij security analyses en gebruik er een selecte set van hardware moet worden genoemd en beschreven.
Niet elk stembureau zal namelijk per definitie de OVS op exact dezelfde hardware installeren.
In Californie wordt er namelijk wel gewoon in hun test-rapporten melding van gemaakt.

Hier zou zeker de kiesraad ook van verkiezing analyses van Californie hebben moeten afkijken wat die bijkomend ook in hun rapporteren opnemen.

SECRETARY OF STATE | STATE OF CALIFORNIA OFFICE OF VOTING SYSTEMS TECHNOLOGY ASSESSMENT
Staff Report
Prepared by:
Secretary of State’s Office of Voting Systems Technology Assessment August 18, 2017

Pagina 7

...... and begin with five (5) pieces of hardware with no software on them. The five pieces of hardware are the Dell PowerEdge R630 server (EMSServer), Dell Precision Tower 3420 (EMSClient1), Dell Precision Tower 3420 (AdjudicationClient1), Dell Optiplex 7440 All in One (ICC1), and Dell Optiplex 7440 All in One (ICC2) with touch screen

Bijkomende is de uitgevoerde test misschien uitgebreid van opzet maar is met een vrij beperkt palet aan scenario-invalshoeken belicht.

Namelijk slechts 1 invalshoek.
Dus geen scenario testen op onvoorziene work-arounds via hardware niveau toegang of op andere niveau's.
Bijvoorbeeld die toegang bieden tot de opslag media, duplicaten na tussentijds optellingen kunnen generen et cetera.
Hetzij doordat de OVS op locaties op andere hardware draait dan waarop is getest.
Maar ook bijvoorbeeld een scenario waarbij bepaalde hardware of software onderdelen die niet erop hoeven staan toch niet worden verwijderd.

the MBP laptop only contains geopolitical information, and does not contain any voter information. The MBP system will generate many different reports, including total number of ballots printed, and number of each ballot style printed.

De test van de Ondersteunende Verkiezing Software is volgens Hackdefense zelf namelijk slechts op 1 van de meerdere behoorlijk STANDAARD invalshoeken gedaan.
De kiesraad heeft in eerdere evaluaties zelf al meer leerpunten getrokken en naar nu dus lijkt die vervolgens nagelaten toe te passen bij testen en security-analyses anno 2019-2020.

11-11-2020, 19:49 door Anoniem

Waarom is dit zo moeilijk?

Er zijn vele statistische methodes die fraude kunnen opsporen. Dit is eerder gebruikt om stemfraude aan te tonen in Rusland.

Kan men niet van alle stembureaus een sample nemen om statistische afwijking aan te tonen. Door bijvoorbeeld elke 5e stem apart te nemen en die handmatig te tellen. Deze sample-groep moet statistisch overeenkomen (binnen marges) met het geautomatiseerd tellen (vanwege Central Limit Theorem). Indien deze groepen afwijken, alles opnieuw handmatig tellen.

11-11-2020, 20:20 door karma4

Het gaat niet om het tellen van de stemmen, het gaat om het optellen van de stemmen van stemlokalen tot een geheel.
Als de stemlokalen de resultaten zouden publiceren dan leidt dat gegarandeerd tot een met van herleidbaarheid waar misbruik van gemaakt wordt. Dat is is voorgekomen het is: - geen peil-.

Je hoeft niet een enkele weg voor het uitvoeren van de optellingen af te lopen. Waarom zou je niet meerdere wegen hanteren.
Ooit als je rekenen leerde, lange geleden was dat nog een vak, leerde je ook kruiscontroles te doen.

12-11-2020, 09:17 door Anoniem

Ze zien de bui al natuurlijk hangen, de 'Gekkies' gaan overweldigend niet stemmen zoals de gevestigde orde wilt dus net als in Amerika moeten ze dan maar de verkiezingen een beetje bijsturen. Fool me once..

12-11-2020, 12:35 door Anoniem

Terwijl de Nederlandse overheid zwaarder en zwaarder promoot dat 2 Factor Authenticatie een goede basis maatregel is voor een veilig computer systeem - onderdeel van de zogenaamde security baselines van Cyber minnend Nederland - dus ook die voor het tellen van stemmen met ICT - schrapt Microsoft deze goed bedoelde maar in de praktijk fop-maatregel.

Zie https://www.security.nl/posting/677577/Microsoft%3A+stop+met+gebruik+van+multifactorauthenticatie+via+sms

13-11-2020, 11:36 door Anoniem

Wat is er mis met: Verkiezingen op datum X en uitslag op datum X+7

Dan weet iedereen waar hij aan toe is en kan er zorgvuldig geteld worden zonder fraude gevoelige apparatuur.

18-11-2020, 17:10 door Anoniem

Stemcomputers zijn een manier van dictators om de boel de flessen. Iedereen die stemcomputers wil is iemand die de democratie wil ondermijnen.. Moet je je alleen nog afvragen wat hun motivatie is...

Niemand heeft interesse in die dingen, maar een vriendje van een vriendje die toevallig die dingen heeft staan enz enz...

Bananenrepublieken zijn minder doorzichtig...
En de zittende overheid wil maar graag die stemcomputers, immers, controle over de stemcomputers is controle over de verkiezingen..

en dan niet achterdeurtjes inbouwen zoals in Amerika, waar stemmen via de post alleen was toegestaan voor overzeesche militairen en met Biden ineens voor iedereen, en ja, als je een briefje kunt onderscheppen, dan heb je zo honderdduizende stemmen gekaapt. Doe je natuurlijk alleen als laatste redmiddel voor het geval je gesnapt wordt, vandaar dat al die staten waar Trump voor stond met 40% ineens de andere kant op gingen... Het viel wel op dat er ineens 250% stemmers waren ten opzichte van vorig jaar. Nog nooit zoveel mensen hadden gestemd... Zou me niets verbazen als er meer mensen gestemd hebben dan er leven in de VS.

23-11-2020, 18:32 door Anoniem

Je ziet precies wat er in Amerika gebeurd met frauderen van de stemmen door SCYTL software, Sidney Powel heeft al aangetoond dat er op grote schaal gefraudeerd is met de verkiezingen, die onder andere in servers in Frankfurt en Barcelaona Spanje opgeslagen stonden. Deze servers zijn in beslag genomen door Amerika. Het heeft alleen het nieuws van Europa nog niet bereikt met wat voor een reden dan ook maar (mag je zelf bedenken) Dit is zo een groot schandaal en het is direct aangetoond hoe gemakkelijk het was om dit te manipuleren en zo doende meer stemmen naar een andere partij om te zetten. Tot mijn verbazing hoeveel landen die software gebruiken, schrok ik (zie link https://www.smartmatic.com/nl/case-studies/all-case-studies/) Als dit in Amerika gebeurd (as we speak) wat is er dan met alle andere verkiezingen gebeurd in al die andere landen? Neem nou België die gebruikt deze software al sinds 2012? Hier moet echt naar gekeken worden, dit zou een dreiging tegen over onze nationale veiligheid kunnen zijn, beseffen wij wel hoe gevaarlijk dit kan zijn?

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer