Martin @ Blog

Gisterenavond heb ik het volgende artikel geschreven voor Tweakers.net.

De actiegroep ‘Wij vertrouwen stemcomputers niet’, waar onder andere Xs4all-oprichter Rop Gonggrijp initiatiefnemer van is, heeft de huidige stemcomputers die in Nederland worden gebruikt onderzocht. Hieruit bleek dat deze apparatuur niet veilig genoeg is voor de komende verkiezingen.

De actiegroep heeft via een gemeente de beschikking gekregen over een Nedap/Groenendaal ES3B-stemcomputer die momenteel in 90% van de Nederlandse gemeenten wordt gebruikt voor verkiezingen. Volgens Eén Vandaag is het onderzoek naar de veiligheid van de stemcomputer door ‘Wij vertrouwen stemcomputers niet’ het eerste onafhankelijke onderzoek in Nederland. De belangrijkste conclusie is dat de veiligheid van de stemcomputer voornamelijk gebaseerd is op het ontnemen van de fysieke toegang tot de stemcomputer doormiddel van inferieure sloten en ‘security by obscurity’. Zodra een hacker bij de hardware kan, is het een koud kunstje om de verkiezingsuitslag te manipuleren, zo blijkt uit het onderzoeksrapport.

Dit toegang tot de hardware is ook een van de zwakste punten van de huidige stemcomputers. De hardware is namelijk afgesloten met een slot dat kan worden geopend met een standaard sleutel die door iedereen eenvoudig kan worden besteld bij sleutelleveranciers. Bovendien is deze sleutel voor alle stemcomputers in Nederland hetzelfde. Overigens is het slot ook eenvoudig te openen met een paperclip. Om serieuze verkiezingsfraude te plegen is het echter noodzakelijk om een flink aantal stemcomputers te manipuleren. Dit blijkt echter ook niet onrealistisch, omdat bijvoorbeeld in Rotterdam 400 stemcomputers in één ruimte zijn opgeslagen zonder cameratoezicht, bewakers of een alarmsysteem. Dit laatste is overigens niet conform de wet, die strenge beveiliging eist.

[bullet] Nedap ES3B

De Nedap-stemcomputer is gebaseerd op een standaard 68000-processor en voor het uitlezen van de stemcomputer wordt een Windows XP-programma gebruikt op een reguliere pc. Om tijdens de verkiezingen eventuele problemen met de stemcomputer op te lossen is er een zogenaamde ‘maintenance mode’ waarin het onder andere mogelijk is om het geheugen van de stemcomputer uit te lezen. Deze maintenance mode is normaliter alleen toegankelijk voor werknemers van Nedap en daarom beveiligd met een wachtwoord. Dit blijkt echter een zeer eenvoudig wachtwoord te zijn dat hardcoded in het systeem is opgeslagen. Dankzij deze maintenance mode bleek het redelijk eenvoudig te zijn om de werking van het apparaat te ontrafelen.

De actiegroep ontwikkelde Nedap PowerFraud waarmee het mogelijk is om vrijwel ongemerkt de verkiezingsuitslag te beïnvloeden. Hoewel door de regering wordt geclaimd dat het onmogelijk is om frauduleuze software te installeren tijdens de productie van de stemcomputer, omdat dan de kandidatenlijst nog niet bekend is, wordt door Nedap PowerFraud bewezen dat dit wel degelijk mogelijk is. De software kan een vooraf bepaald percentage stemmen naar een bepaalde partij laten gaan door eenvoudigweg te kijken naar de naam van een partij waar de ‘gestolen’ stemmen naar toe moeten, zodra de kandidaatlijsten worden ingevoerd. Door de duur van een verkiezing bij te houden kan de software ook testen of het om een echte verkiezing gaat of een testverkiezing. Verdere verbetering van Nedap PowerFraud zal detectie van frauduleuze software nog ingewikkelder maken, zo beweert de actiegroep. Onder andere door verbetere detectie van testverkiezingen en door de mogelijkheid om de werking van de software te beïnvloeden door de stemknoppen. Het vervangen van de stemsoftware is overigens vrij eenvoudig door het vervangen van een enkele EPROM-chip, dat mede door de lage kwaliteit sloten niet erg ingewikkeld is en binnen een minuut kan worden gerealiseerd.

[bullet] Mogelijke oplossingen

Een snelle oplossing voor de problemen met de stemcomputer is er niet, aldus de actiegroep. Het detecteren van onjuiste software is mogelijk door een hash van het geheugen te maken en deze te controleren. Dit is wel geïmplementeerd in de huidige stemcomputers, maar de manier van hashing is van zeer lage kwaliteit en daardoor eenvoudig te manipuleren. Het zou eventueel mogelijk zijn om door middel van een extern apparaat de inhoud van de EPROM’s te controleren zonder deze te verwijderen. Fysieke beveiliging van de apparaten zou een goed begin zijn, maar dit kan niet voorkomen dat er fraude wordt gepleegd door ‘insiders’. De bewakers die de apparaten moeten beveiligen zijn namelijk weer extra insiders die bovendien ruime mogelijkheden hebben om de stemapparatuur te manipuleren. Ook een zegel zou de fysieke beveiliging kunnen verbeteren, maar dit zegel moet wel van dermate hoge kwaliteit zijn dat ‘vervalsing’ goed te detecteren is. De regering heeft overigens eind september aangekondigd dat alle stemmachines een zegel zullen krijgen.

Een ander probleem dat de actiegroep aan het licht bracht is de mogelijkheid om doormiddel van een eenvoudige scanner en een TomTom-navigatieapparaat te detecteren op welke partij op een bepaald moment wordt gestemd. Deze detectie kan plaatsvinden op een afstand van maximaal 25 meter van de stemcomputer. De detectie is mogelijk dankzij elektromagnetische golven die de stemmachine uitzendt. Deze elektronische ‘lekkage’ wordt veroorzaakt door de controllers die het display van de stemcomputer aansturen. Volgens de actiegroep is het verrassend dat er geen eisen worden gesteld aan de elektrische straling die het apparaat produceert.

De conclusie van de actiegroep is dat de huidige stemcomputers onveilig zijn om een democratische gang van de verkiezingen te waarborgen. De problemen liggen echter vooral bij de eisen die de overheid stelt aan de stemapparaten, aangezien de Nedap-stemmachines aan alle eisen voldoen die de overheid stelt. Overigens is Nederland niet het eerste land waar de problemen met stemcomputers aan de orde worden gesteld. Ierland, die dezelfde stemcomputers gebruikt, heeft al besloten om voorlopig het gebruik van de stemcomputers te staken als gevolg van vergelijkbare bevindingen door veiligheidsexperts in dat land. Nedap stelt in een reactie op zijn site dat de betrokkenen die het onderzoek hebben gedaan, constateren dat de stemmachine precies doet wat hij moet doen. Volgens Nedap zou de naam van de actiegroep dan ook moeten worden veranderd van ‘Wij vertrouwen stemcomputers niet’ in ‘Wij vertrouwen mensen niet’. Op de vraag of de stemmachines te manipuleren zijn, reageert Nedap met de opmerking ‘alles is te manipuleren’.

[bullet] Nedap Chess

Om te bewijzen dat de stemcomputers in Nederland gewoon ‘standaard computers’ zijn, onwikkelde de actiegroep een schaakspel voor het systeem. Dit initiatief werd ook gemotiveerd door een opmerking van de directeur Jan Groenendaal van het bedrijf Groenendaal dat de software voor de stemcomputers heeft ontwikkeld. Hij stelt in een persbericht (PDF) over de actiegroep: ‘De bewering dat je met onze stemmachine ook kunt schaken zou ik graag eens gedemonstreerd zien. […] Wij begrijpen dat er bezwaren kunnen zijn tegen inzet van op normale PC’s gebaseerde stemmachines […] onze stemmachine is echter een zgn. Dedicated Special Purpose Machine, d.w.z. uitsluitend gemaakt om mee te stemmen en verder niets.’ Nedap Chess is inmiddels realiteit en dankzij de vele knoppen op een vlakke plaat is het zelfs mogelijk om met normale schaakstenen te schaken. De grootste uitdaging bleek om ‘Tom Kerrigan’s Simple Chess Program’, de software waarop Nedap Chess is gebaseerd, in het geheugen van 16KB te krijgen. Wel geeft de actiegroep toe dat door de beperkte rekencapaciteit de schaakprestaties van de stemcomputer niet al te hoog zijn.

This entry was posted on Friday, October 6th, 2006 at 12:50 and is filed under Uncategorized. You can follow any responses to this entry through the RSS 2.0 feed. Both comments and pings are currently closed.