image

Lek in Zwitsers online stemsysteem maakte stemfraude mogelijk

dinsdag 12 maart 2019, 11:08 door Redactie, 6 reacties

Een ernstig beveiligingslek in een online stemsysteem dat Zwitserland wil uitrollen maakte het mogelijk om onopgemerkt stemmen aan te passen. Dat blijkt uit onderzoek (pdf) van een internationale groep onderzoekers en is door de Zwitserse overheid bekendgemaakt.

Via het e-votingsysteem dat door de Zwitserse Post is ontwikkeld kunnen Zwitserse burgers straks via hun smartphone of computer hun stem uitbrengen. De Zwitserse overheid heeft bepaald dat systemen die voor elektronisch stemmen worden gebruikt eerst een publieke penetratietest moeten ondergaan. Van 25 februari tot 24 maart vindt deze publieke penetratietest plaats. In totaal hebben iets meer dan 3.000 onderzoekers zich hiervoor aangemeld, waarvan 36 uit Nederland.

De kwetsbaarheid die de onderzoekers vonden, en volgens Zwitserse Post sinds 2017 bekend was en nu is verholpen, bevond zich in het gedeelte van het systeem dat moet verifiëren dat alle getelde stemmen gelijk zijn aan de stemmen die door de kiezers zijn uitgebracht. Het bleek echter mogelijk om alle legitieme uitgebrachte stemmen te verwijderen en ze door frauduleuze stemmen te vervangen, zonder dat dit werd opgemerkt.

"De kwetsbaarheid is verbazingwekkend", zegt Matthew Green, cryptograaf en hoogleraar aan de Johns Hopkins University, tegenover Vice Magazine. "In normale verkiezingen is er niemand die onopgemerkt met de hele verkiezing kan frauderen, maar in dit systeem is er een partij die dat kan."

Volgens de Zwitserse Post moet een aanvaller eerst controle over de it-infrastructuur van het bedrijf hebben, alsmede hulp van verschillende insiders met specialistische kennis van Zwitserse Post of de kantons. "Hun reactie verbergt dat zij de primaire dreiging in dit scenario zijn", zegt onderzoeker Sarah Jamie Lewis. "Zwitserse Post heeft controle over de eigen it-infrastructuur. Geen verkiezingssysteem zou een backdoor moeten hebben dat mensen die de verkiezingen organiseren de mogelijkheid geeft om de verkiezingsuitkomst onopgemerkt aan te passen."

Green en Lewis vinden dat de Zwitserse overheid het online stemsysteem niet moet uitrollen. De hoogleraar stelt dat het systeem zo ontworpen hoort te zijn dat zelfs wanneer de infrastructuur is gecompromitteerd, de verkiezing veilig is. De onderzoekers denken niet dat de backdoor opzettelijk is toegevoegd. Wel hebben ze grote twijfels aan de audits van het systeem die eerder zijn uitgevoerd en de kwetsbaarheid niet hebben opgemerkt. De Duitse hackerclub CCC wil nu dat de door KPMG uitgevoerde audits openbaar worden gemaakt.

Zwitserse Post heeft laten weten dat het informatie over dit beveiligingslek, alsmede andere gevonden problemen, openbaar zal maken. De Zwitserse overheid heeft het bedrijf opgeroepen om de processen aan te passen zodat dergelijke stemfraude voorkomen kan worden.

Image

Reacties (6)
12-03-2019, 11:20 door Anoniem
Digitaal stemmen...de manier om ongewenst stemgedrag de kop in te drukken!?
12-03-2019, 11:41 door Anoniem
De onderzoekers hebben aangegeven dat ze expliciet NIET met het bug bounty project hebben meegedaan omdat ze de voorwaarde voor openbaarmaking niet wilden accepteren.
12-03-2019, 12:55 door karma4
Duidelijk dat de onafhankelijke controle door alles in onbegrijpelijk IT systemen weg te stoppen onmogelijk is.
Was dat met alle opgelegde beperkingen van te voren al niet bekend? Die paar centen was een schijntje als maakt het op de gewone man indruk.
12-03-2019, 13:16 door Anoniem
Door Anoniem: Digitaal stemmen...de manier om ongewenst stemgedrag de kop in te drukken!?
Omdat het minder omslachtig is dan een stemcomputer met wegschrijf lieg-algoritme + een telefoon in elk stemlokaal die een unieke frequentie oppikt (die de NEDAP stemcomputer per kandidaat genereerde), en doorstuurt naar een eng clubje die de werkelijke uitslag alsnog wil weten (om te voorkomen dat er niet een aankomende volksopstand gecreeerd wordt).
Waarmee (hard feit) er trouwens met simpelweg een scanner -op enige afstand- sowieso al het stemgeheim te breken viel.

Willen we dat gemak? Of willen we dat echt niet?
Nee; online is veel goeierder / kosten-efficienter dan al die rode potloden...
13-03-2019, 00:49 door Anoniem
Zo'n online systeem is prima om te stemmen voor het songfestival of zo.
Voor het uitoefenen van je democratisch stemrecht is het echter totaal ongeschikt. Je stem dien je individueel en in vrijheid te kunnen doen. In een stemhokje dus. Niet willekeurig waar op een pc of telefoon, waar anderen bij kunnen zijn. Dan wordt stemmen onder dwang en handel in stemmen mogelijk en is het essentiële principe van de democratie volledig om zeep.
14-03-2019, 16:39 door Anoniem
Zoals meerdere al hebben gevraagd, welk probleem wordt er opgelost door digitaal te gaan stemmen?

Juist er is helemaal geen probleem, we creeeren alleen maar problemen met dit omzetten. Alsof er niet andere dingen te doen zijn. #morons
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.