image

CCC: Software voor Duitse verkiezingen is onveilig

donderdag 7 september 2017, 12:43 door Redactie, 1 reacties
Laatst bijgewerkt: 07-09-2017, 15:33

De software die tijdens de Duitse parlementsverkiezingen wordt gebruikt om stemmen te tellen is onveilig, zo stellen hackers van de Chaos Computer Club (CCC) aan de hand van eigen onderzoek (pdf). Volgens het onderzoek zijn zoveel problemen en kwetsbaarheden in de PC-Wahl-software aanwezig, dat het vertrouwen in een juiste verkiezingsuitslag in het geding is.

Voor hun onderzoek keken de hackers of de software bestand is tegen externe aanvallen. Ze ontdekten verschillende praktische scenario's om de uitslagen in kiesdistricten te manipuleren. Met name de kwaliteit van de software laat te wensen over. "Elementaire principes van it-beveiliging zijn niet nageleefd. Het aantal kwetsbaarheden en hun impact overtrof onze ergste verwachtingen", zegt Linus Neumann van de CCC.

Zo is de toegang tot de servers voor de verspreiding en werking van PC-Wahl slecht beveiligd. Daarnaast worden er geen digitale handtekeningen en encryptie gebruikt voor het uitwisselen van verkiezingsresultaten en maakt het updatemechanisme van PC-Wahl het mogelijk om systemen via een muisklik te compromitteren. Ook de beveiliging van de updateserver laat te wensen over. "Gegeven de eenvoudige aard van deze aanvallen is het verstandig om te veronderstellen dat ook anderen van deze kwetsbaarheden weten", aldus de CCC.

De hackergroep stelt dat veiligheid, correctheid en traceerbaarheid tijdens verkiezingen centraal moeten staan, niet hoe snel stemmen kunnen worden geteld. Kiezers moeten daarnaast alle resultaten kunnen controleren en afhankelijkheden, waarbij gemanipuleerde software of gehackte computers de verkiezingen kunnen beïnvloeden, moeten worden vermeden. Een ander belangrijk punt is dat software die in verkiezingen gebruikt wordt niet geheim mag zijn. De broncode moet voor iedereen toegankelijk zijn. Dat geldt ook voor audits van de software en verkiezingssystemen. Verder pleiten de hackers voor het herschrijven van oude verkiezingssoftware naar een veilige programmeertaal en het onderwijzen van gebruikers van de software over it-dreigingen.

Update

De Duitse overheid laat in een reactie weten dat het in samenwerking met de softwarefabrikant en verkiezingsfunctionarissen aanbevelingen heeft gedaan om het versturen van de voorlopige verkiezingsresultaten via de verkiezingssoftware beter te beveiligen.

Reacties (1)
08-09-2017, 00:52 door Anoniem
De update van de Duitse overheid gaat verder dan alleen het verbeteren van de beveiliging van het versturen van de voorlopige verkiezingsresultaten. Er staat vermeld dat er ook stappen worden ondernomen om het verkiezingssysteem te testen op beveiliging.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.