image

Verkiezingssoftware OSV doorstaat beveiligingstest securitybedrijf

maandag 19 oktober 2020, 17:19 door Redactie, 17 reacties

De vernieuwde Ondersteunende Software Verkiezingen (OSV2020) heeft een beveiligingstest door een securitybedrijf doorstaan. Er zijn geen grote kwetsbaarheden of risico's in de software aangetroffen, zo heeft de Kiesraad vandaag bekendgemaakt. Ook voldoet het programma aan de in de wet- en regelgeving opgenomen eisen.

De OSV wordt al ruim tien jaar gebruikt bij het berekenen en vaststellen van de verkiezingsuitslagen in Nederland. Het programma OSV2020 is recent technisch vernieuwd. De Kiesraad besloot de beveiliging van de software te laten testen door securitybedrijf Hackdefense, terwijl Expleo toetste of het programma aan de opgenomen eisen voldoet.

De onderzoekers van Hackdefense zijn over het geheel genomen positief over de beveiliging van de applicatie. "Er is duidelijk aandacht besteed aan de veiligheid, en vrijwel alle kritiekpunten uit eerdere testrapporten en onderzoeken blijken te zijn opgelost", zo laten ze in het rapport van de beveiligingstest weten (pdf). Wel hebben ze zestien aanvullende aanbevelingen.

Zo wordt aangeraden om geen standaardwachtwoord te gebruiken, ook niet als dit bij het eerste gebruik moet worden aangepast. Verder wordt geadviseerd om sessies van geblokkeerde gebruikers te beëindigen en de beveiliging van de EML-bestanden te verhogen. De Kiesraad zegt dat het de aanbevelingen meeneemt in de doorontwikkeling van de software voor de Tweede Kamerverkiezing in 2021. Ook laat de Kiesraad de beveiliging na de doorontwikkeling opnieuw onderzoeken.

Eisen

De Kiesraad schakelde Expleo in om vast te stellen of de OSV2020 voldoet aan de in de wet- en regelgeving opgenomen eisen. Ook de onderzoekers van Expleo zijn positief. Bij het testen van de functionaliteit voor de berekening van de verkiezingsuitslag en de bijbehorende zetelverdeling zijn er geen onvolkomenheden tegengekomen.

Wel doet Expleo verschillende aanbevelingen, onder andere op het vlak van de authenticiteit van aangeleverde gegevens. "De controle van authenticiteit van in te lezen gegevens wordt aan de gebruiker gevraagd waarbij onvoldoende wordt afgedwongen dat daadwerkelijke controle plaatsvindt", aldus de onderzoekers. Aangemaakte tellingsbestanden kunnen zonder controle van de hashcode worden ingelezen. Dit is een klein gebrek, zo stelt Expleo, maar kan worden opgelost door de gebruiker een deel van de hashcode in te laten invullen.

Afsluitend stelt de Kiesraad dat gemeenten die OSV2020 gebruiken voor het vaststellen van de uitslag, zich moeten houden aan de voorwaarden voor het gebruik van de software. Iets waar Hackdefense bij de beoordeling van de software van uitging. Zo mag de software alleen worden gebruikt in een geïsoleerde omgeving zonder verbinding met andere netwerken en zonder fysieke of logische toegang voor onbevoegden tot de server. Deze vereisten zijn ook in de gebruikersvoorwaarden opgenomen.

Image

Reacties (17)
19-10-2020, 17:48 door Anoniem
een pak van mijn hart, echt hoor!!
19-10-2020, 17:57 door Anoniem
De controle van authenticiteit van in te lezen gegevens wordt aan de gebruiker gevraagd waarbij onvoldoende wordt afgedwongen dat daadwerkelijke controle plaatsvindt.

Het dunkt mij dat data-integriteit boven aan het lijstje van vereisten zou moeten staan. Hashing van data voor integriteit is een basis element in security.

Het is weer "één oog in het land der blinden is koning".
19-10-2020, 18:28 door botbot - Bijgewerkt: 19-10-2020, 18:31
Ja maar als beveiliging va de applicatie het enige zwake punt was van evoting dan was het ok geweest, maar dat is het bij lange na niet: https://www.youtube.com/watch?v=w3_0x6oaDmI
edit: Ahhh ik zie dat dit niet om e-voting software gaat waarbij de burgers zelf kunnen stemmen, maar andersoortige software voor het vaststellen van de uitslag. Naja. Dat sluit sommige punten in de video nog steeds niet uit denk ik.
19-10-2020, 19:37 door Anoniem
het gaat niet enkel om de software zelf bij verkiezingen . Veel meer om sluitende processen die juist door inzet van software en andere IT middelen minder tot geheel niet sluitend gekregen kan worden.

Bij het testen van de functionaliteit voor de berekening van de verkiezingsuitslag en de bijbehorende zetelverdeling zijn geen onvolkomenheden geconstateerd.
De uitgevoerde testen betreffen volgens de Kiesraad dus het correct berekenen van de uitkomst.
De zwakheid die de regel bevestigt, zoals als beveiliger Arjen Kamphuis, al aan de kiesraad heeft gerapporteerd is juist een veelheid aan bronnen voor input, niet 100% valideerbaar foutloze digitale processen en inteferende / conflicterende input, al dan niet in combinatie met afbouw van de mens inspanningen voor het tellen om de consistentie van technisch niet toegelaten en wel juist uitgebrachte stemmen te valideren.

de software geacht wordt uitsluitend te worden gebruikt in een geïsoleerde omgeving zonder verbinding met andere netwerken en zonder fysieke of logische toegang voor onbevoegden tot de server. Deze vereisten zijn opgenomen in de voorwaarden voor gebruik.


Hackdefense doet een aantal aanbevelingen om de software verder te verbeteren. Zoals het uitsluiten van het gebruik van een standaard-wachtwoord, het beëindigen van sessies van geblokkeerde gebruikers en het verhogen van de beveiliging van de EML-bestanden. De Kiesraad neemt deze aanbevelingen mee in de doorontwikkeling van de software voor de Tweede Kamerverkiezing in 2021. Ook laat de Kiesraad de beveiliging na de doorontwikkeling opnieuw onderzoeken.
Dat zijn vrij standaard inzichten als het gaat om opzetten van authentieke sessies.
Merk hierbij op dat de kwalificaties van de software dus betrekking hebben op stand-alone computer in geïsoleerde omgeving, zonder internet en andere netwerk verbindingen.
Overdracht van bestanden zal dus via veilige opslag media moeten plaatsvinden, dus zonder apparaten met USB stekkers.

Hackdefense oordeelt positief over de beveiliging van OSV2020-U. Er is duidelijk aandacht besteed aan de veiligheid, en vrijwel alle kritiekpunten uit eerdere testrapporten en onderzoeken zijn opgelost, concludeert het beveiligingsrapport. Hackdefense heeft geen grote kwetsbaarheden of risico’s aangetroffen in de software.
Hier rekt de kiesraad vrees ik al de reikwijdte en implicaties van de testen die Hackdefense uitvoerde behoorlijk / te veel op.
Vrijwel alle kritiekpunten betekent dus dat nog altijd niet alle punten zijn doorgevoerd en opgelost.
Ik vraag me af welke dat zijn??


-Zorg dat eventueel aanwezige draadloze communicatiemodules, zoals WiFi en Bluetooth uit zijn (doe dit doormiddel van de instellingen in de BIOS/UEFI van de computer).
-Maak gebruik van een besturingssysteem waarvoor nog steeds (beveiligings)updates beschikbaar worden gesteld.
-Als de computer waarop de OSV2020 software wordt geïnstalleerd ook voor andere doeleinden is gebruikt, installeer dan een schoon besturingssysteem.
-Voorzie in hardening* van het systeem, zodat het besturingssysteem zo stabiel en veilig mogelijk is ingesteld voordat OSV2020 wordt geïnstalleerd.
-Installeer op de computer(s) uitsluitend de programmatuur die nodig is voor het gebruik van OSV2020.
*hardening: https://www.informatiebeveiligingsdienst.nl/product/hardening-beleid-voor-gemeenten/
Da's nog maar het begin. IT professionals bij gemeenten die actief voor stembureau's eerdere OSV software faciliteren en instelden meenden dat het beter zou zijn dat de software op een uitgeklede computer zou draaien.
Dus niet zaken als WiFi uitzetten via de Bios, maar zorgen dat er geen WiFi op het moederbord zit dat je gebruikt.

Verder, besef dat alle update mechanismen zijn ontworpen om een 100% trefzekere valkuil te bieden, al dan niet via minder voor de hand liggende cascades.
De assistenten van Michael Hayden van de NSA meldden dat je de updates bios en het OS niet goed tot niet geverifieerd en gevalideerd kan doorvoeren.
De NSA - CIA medewerkers beschreven namelijk dat ze standalone computers in Iran vanuit de VS alsnog gewoon konden hacken in extra restricted access ruimten via updates die links- of rechtsom.
En we willen geen russische hacks of hacks die vanuit andere landen via russische servers naar hier in NL getarget kunnen worden.
19-10-2020, 19:58 door [Account Verwijderd] - Bijgewerkt: 19-10-2020, 20:40
Ik kreeg een hartverzakking toen ik alleen de kop van het artikel zag:
"Och gutte néén toch zeg zeker...17 maart 2021 komt naderbij en het ooit twintig jaar durende gedrens over de s.. stemcomputer wordt weer opgerakeld; uit de gierput van mislukte overheidsprojecten gehengeld (Betuwelijk ehh.. Betuwelijn is er ook zo een) waar straks ook die corona- app in wordt gesche... pardon: geschoven. ;-)

P.s

Beste redactie,
Ik zie nu dat botbot om 18:28 uur in zijn reactie ook aangeeft op het verkeerde been gezet te zijn door de kop van uw artikel.
Misschien een kleine wijziging in de kop van het artikel:
Verkiezingsuitslagsoftware i.p.v. verkiezingssofware.
19-10-2020, 22:29 door [Account Verwijderd]
Als ik zo die broncode eens vlug doorlees, dan vraag ik mij af of ze deze beveiligingstest niet beter door wat Duitsers hadden kunnen laten uitvoeren. Dat in Java alle constanten in ALL_CAPS geschreven moeten worden maakt het er niet heel veel beter op...
19-10-2020, 23:29 door Anoniem
Helaas kan Arjan Kamphuis e.e.a van dit alles nu noch ontkennen noch bevestigen.
Dat is op zich al een voldoende droevig en zorgwekkend iets.

Men is de laatste tijd toch al heel lang meer op andere zaken gericht,
dan het functioneren van een vlekkeloze democratie. :)

#sockpuppet
20-10-2020, 00:11 door Anoniem
Door iatomory: Als ik zo die broncode eens vlug doorlees, dan vraag ik mij af of ze deze beveiligingstest niet beter door wat Duitsers hadden kunnen laten uitvoeren. Dat in Java alle constanten in ALL_CAPS geschreven moeten worden maakt het er niet heel veel beter op...

Nog een belangrijk gemist beveiliging advies dus.
Het advies voor als men überhaupt verkiezing handelingen wil automatiseren t/m 2026 in ieder geval GEEN Java code te gebruiken.
Want veel achterstallig update werk door partijen die Java beheren bij wel gemeldde ernstige hiaten,
Want regelmatig updates moeten doorvoeren betekent ook weer extra risico’s dat de IT in kwestie alsnog gecorrupeerd raakt en kan worden.

Java code vermijden is zo fundamenteel van belang voor iets als verkiezing processen dat die hele OSV zoals Arjen Kamphuis ook rapporteerde voorlopig uberhaupt NIET tot onvolledig betrouwbaar is.
20-10-2020, 06:41 door botbot - Bijgewerkt: 20-10-2020, 06:45
de software geacht wordt uitsluitend te worden gebruikt in een geïsoleerde omgeving zonder verbinding met andere netwerken en zonder fysieke of logische toegang voor onbevoegden tot de server. Deze vereisten zijn opgenomen in de voorwaarden voor gebruik.

Kijk, hier bijvoorbeeld gaat het hele systeem al mank. Zoals gezegd in de videolink die ik eerder postte, wordt terecht gemeld dat bij verkiezingen het gaat om twee zaken:
- Anonimiteit
- Vertrouwen, of beter gezegd: een compleet gebrek aan vertrouwen t.o.v. iedereen. Iedereen kan omgekocht, afgeperst, bedreigt, persoonlijke motieven hebben, incompetent zijn, of allemaal tegelijk: Wat hier dus gebeurd op deze voorwaarde is dat het complete vertrouwen wordt geplaatst in de enkele of paar personen die "bevoegd" zijn om toegang te krijgen tot de computer. Ik vertrouw hen niet. En dat zou niemand moeten doen. Iedereen met enig belang in de verkiezingen zou hierbij moeten kunnen zijn. Hoe minder mensen hierbij kunnen zijn hoe kwetsbaarder de complete opzet van de verkiezingen. Maar omdat het een computersysteem betreft, waarbij in feite door het plaatsen van een USB stick in de computer alles gemanipuleerd kunnen worden (iraanse kerncentrifuges anyone?) dus hoe meer mensen erbij hoe kwetsbaarder. En tegelijkertijd hoe minder mensen erbij hoe kwetsbaarder. Die tegenstrijdigheid alleen al zou ieder geautomatiseerd proces moeten uitsluiten bij verkiezingen. Dan tellen me waar wat langer, en dan wachten we maar wat langer op de uitslag.
20-10-2020, 08:37 door Anoniem
Ik lees in het screenshot: "Zodra OSV2020 de gebruiker 'admin' herkent heeft..."
Wat voor scriptkiddies hebben dat rapport geschreven?
20-10-2020, 09:19 door Anoniem
Eigenlijk is de titel misleidend want als je het rapport leest is het nog steeds gewoon brakke software.
Dat scriptkiddies wat meer moeite hebben ermee is voor de real hackers gewoon easy.
Schandalig dat dit bedrijf met deze misleidende titel naar buiten komt. Lees het rapport zelf maar en kom zelf tot de conclusie dat je deze software absoluut niet wilt inzetten voor stemmen.
Als we dat wel zouden doen is de uitslag van de volgende verkiezing al op voorhand bekend.
Pen en Papier tot deze rommel 100% veilig is in gebruik en niet 80% met wat slappe aanbevelingen.
20-10-2020, 10:10 door botbot - Bijgewerkt: 20-10-2020, 10:11
Door Anoniem: Eigenlijk is de titel misleidend want als je het rapport leest is het nog steeds gewoon brakke software.
Dat scriptkiddies wat meer moeite hebben ermee is voor de real hackers gewoon easy.
Schandalig dat dit bedrijf met deze misleidende titel naar buiten komt. Lees het rapport zelf maar en kom zelf tot de conclusie dat je deze software absoluut niet wilt inzetten voor stemmen.
Als we dat wel zouden doen is de uitslag van de volgende verkiezing al op voorhand bekend.
Pen en Papier tot deze rommel 100% veilig is in gebruik en niet 80% met wat slappe aanbevelingen.

Zo vind ik ook de hele titel van het artikel misleidend: "Verkiezingssoftware OSV doorstaat beveiligingstest securitybedrijf" als je het rapport leest zijn er simpelweg nog 16 dingen die verbeterd kunnen worden. En zijn er ook dingen buiten beschouwing gelaten omdat men ervan uit gaat dat de software alleen gebruikt wordt in een goede omgeving. Er wordt meerdere keren in het rapport gezegd dat: "Ja, dit is wel een kwetsbaarheid, maar omdat de software alleen gebruikt wordt in een netwerk zonder internettoegang is het veilig". Dat is dus een aanname. Assumtions are the mother of all fuckups.

Ze gaan er hierbij voor het gemak van uit dat in alle gemeenten in Nederland de software in een dermate veilige omgeving wordt geinstalleerd en gebruikt waarbij fouten en gevoeligheden in de software niet misbruikt kunnen worden. Terwijl ze dus gewoon wel in de software zitten. "Ze tellen alleen niet mee, want we gaan ervan uit dat...." Nogmaals: "Assumtions are the mother of all fuckups".

Bovendien vergeten ze me te vertellen dat we nu dus maar het vertrouwen moeten plaatsen in de ene of enkele personen die "bevoegd" zijn om toegang tot de computer mogen hebben. Dat gaat rechtstreeks in tegen een van de belangrijkste aspecten van verkiezingen: "Vertrouw niets en niemand". Simpelweg omdat de belangen te groot zijn om een of enkele personen te vertrouwen. Dat is het hele probleem met alle geautomatiseerde zaken bij verkiezingen: Iedereen moet erbij kunnen omdat niemand te vertrouwen is, en tegelijkertijd als iedereen bij een geautomatiseerd process kan komen is dat proces per definitie een onveilig proces want beinvloedbaar / hackable / etc.
20-10-2020, 10:13 door MathFox
Waar je het over de betrouwbaarheid van het verkiezingsproces hebt moet je niet alleen kijken naar het OSV programma, maar ook naar alle processen er omheen. Ieder resultaat wordt afgedrukt op een manier waardoor er een handmatige controle van de (deel-)resultaten mogelijk is.
En vergeet ook niet dat er naast de telling door de kiesraad ook door de media resultaten verzameld (en geteld) worden... Het is in Nederland lastig om de verkiezingsresultaten ongezien te manipuleren. Kansen liggen er meer in het voortraject; de mening van de kiezer met "fake news" manipuleren.
28-10-2020, 12:36 door Anoniem
@ 20-10-2020, 06:41 botbot uur.

Uitstekende punten!
de software geacht wordt uitsluitend te worden gebruikt in een geïsoleerde omgeving zonder verbinding met andere netwerken en zonder fysieke of logische toegang voor onbevoegden tot de server. Deze vereisten zijn opgenomen in de voorwaarden voor gebruiker
Gebruikers wijzen op bepaalde voorwaarden ellimineert op zichzelf niets. Geen specifiek risico als dit in elk geval.
Kan ik nog aan toevoegen dat bij verkiezingen in 2010 en 2014 de computers in elk geval via remote verbinding werden klaar gezet en voorzien van een zogeachte “schone” installatie.
Dat bracht in elk geval netwerk verbindingen c.q. Usb opslag media met zich mee want de benodigde software (inclusief de OSV) werd NIET langer vanaf een image op een cd roms gedraaid.
En zelfs een cd-rom wordt in systeem kunde als invoer middel / extern raakvlak gezien. Dat wil zeggen dat zelfs cd-roms dezelfde functionele zwakheid als risico met zich meebrengt als netwerk verbindingen, zij het dat cd-roms natuurlijk statische invoer biedt tegenover dynamisch zoals mobiele opslag media en netwerk verbindingen.

Hetgeen dus in de praktijk betekent dat het risico waar de signaal-maatregel voor bedoeld is juist al vanaf de begin van het klaarzetten van de computer met OSV software onvermijdelijk niet reduceerbaar kan zijn en niet vooraf gedetecteerd besmet kan zijn.
Omdat het vooraf ook ongedetecteerd kan plaatsvinden kan je daarvoor ook geen kwalitatieve of kwantitatieve kans aangeven of aannemen.
Hier kan ik nog aan toevoegen dat niet alle computer beheerders die voor de OSV software de installaties plaatsen, in geval van een 100.000+ Inwoners-gemeente checkten of bij de netwerk installatie van het OS (windows in dat geval) alle WiFi waren uitgeschakeld en na installatie vergaten of alle geheugen-data-injectie mogelijkheden daadwerkelijk op uitgeschakeld waren ingesteld.

Groot fundamenteel en niet te overbruggen probleem die installatie mogelijkheden van een “schone”
“standalone” computer. Vormt zo niet een veel onoverkomelijk probleem onder de onderkende / beschreven risico’s.
15-03-2021, 11:14 door Anoniem
Hoe zit het met de OCR software en apparatuur die de stemmen ook zou moeten tellen?
Hoe goed is die geverifieerd op kwetsbaarheden, borgingen voor afwezigheid van optredende fouten, afdrukken van aantallen en subtotalen op papier?
Werkt de OCR software met een calibrerend algoritme en handmatige correctie functionaliteit en hoe is die uitgeleerd en foutloos op de dag dat ze worden ingezet tot en met dagen dat controle tellingen of hertellingen moeten plaatsvinden?
Doet de scan software ook een check op het totaal en subtotalen van geldige stemmen, blanco stemmen en ongeldig verklaarde stemmen? Zo ja, hoe moet de ocr weten dat het stembiljet (niet) is afgekeurd?
Zo nee, gebeuren de controles elders (voor of na het invoeren van stembiljetten in de ocr/het tel apparaat ?

Staat de stemmen scanner in alle tel-lokaties, alle stemlokalen en ook standalone en afzonderlijk in een andere ruimte dan waar de software draait om de stem-totalen vast te leggen ten behoeve van de einduitslag?
16-03-2021, 22:25 door Anoniem
De kwetsbaarheden waar de Kiesraad het bedrijf Hackdefense naar liet zoeken heeft de kiesraad op oktober 2020 gepubliceerd.
Hierbij werd gekeken naar versie 1.0 en 1.2.
De OSV software (OSV2020-U versie 1.3.9) die in februari 2021 door de kiesraad is gepubliceerd.
In december 2020 kwamen juist ook nog via kamervragen aan minister Ollongren faalfactoren bij gebruik van de OSV software naar voren.
OOK laat de kiesraad bij haar instructievideo's van 2021 op Youtube zien dat er een onbeperkt aantal computers in het netwerk van de OSV server kan worden gekoppeld.
Hoe komt dat nou neer op de vermeldde eis in de risico rapportages dat het potentiële aanvalsoppervlak zo klein mogelijk gehouden wordt.
Er kunnen dus feitelijk 300 computer of meer aan de server software worden gehangen.
Dat is per definitie bepaald geen klein aanvalsoppervlak!!
Ze waren dus meer bezig met lijstjes nalopen dan vanuit een integraal inzicht evidente omissies compleet krijgen.
Was natuurlijk ook niet belangrijk bij de gunning voor beheer en onderhoud van verkiezing software.
Het zelfstandig nadenken over alle relevante risico's hebben ze gewoon over de schutting gegooid, naar 1 of ander cyber denk club.
Verder bevatten de xsd bestanden regels die gifjes en andere bestandformaten met plaatjes toelaten.
Terwjil van die formaten bekend is dat ze weer mailcieuze en soms heel lastig in browsers af te vangen code bevatten en dus gewoon onopgemerkt verwerkt kunnen worden.
De xsd's voor .eml bestanden (met versie 1.2) betreft in de kern bestanden uit 2005 beste mensen!
Nadien hebben de uitwerkers van de bestanden nog tal van nieuwere versies dan 1.2 uitgewerkt en zijn er uiteindelijk mee gestaakt omdat het bedrijf dat ze uitbracht failliet ging.

Tot zover dus de checks & balances van de kwetsbaarheid onderzoeken van de verkiezingen.
Ondertussen hebben ze zich al quasi vastgelegd dat de komende 20 jaar ook elektronisch geteld moet gaan worden.
Dit terwijl de basics nog steeds niet volledig onder de knie zijn.
17-03-2021, 15:34 door Anoniem
Wat was dit voor ‘n beveiligingtest als het aantal computers dat op de geinstalleerde server software “meer dan 25 telstations” dus ongelimmiteerd als optie heeft terwijl een belangrijke security eis is “het aanvalsoppervlak moet zo klein mogelijk zijn”???
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.