Verkiezingsuitslag te hacken door lekke telsoftware

Verkiezingsuitslag te hacken door lekke telsoftware
30 januari 2017 om 17:29
Laatste update: 26 april 2018 om 23:53

Hackers kunnen de uitslag van de verkiezingen manipuleren. Het probleem is de verouderde, lekke software waarmee de stemmen worden geteld.

Dat stellen beveiligingsexperts en een hoogleraar tegen RTL Nieuws. Toch wordt de uitslag van de Nederlandse verkiezingen sinds 2009 op deze kwetsbare software gebaseerd. "De Chinezen en Russen kunnen eenvoudig met de uitslag rommelen", zegt hacker Rop Gonggrijp, wiens onderzoek er tien jaar geleden voor zorgde dat de stemcomputer werd vervangen door het rode potlood. Volgens hem is de stemcomputer ingeruild voor een computer die stemmen telt.

Als je in Nederland stemt, dan worden stemmen met de hand geteld in het stembureau. Daar worden de resultaten op een onbeveiligde usb-stick gezet en vervolgens ingeleverd bij een regiopunt waar een computer staat die alle stemmen optelt. Dit proces wordt nog twee keer herhaald: voor de twintig kieskringen en uiteindelijk het centraal stembureau. 

'Het is dramatisch'

De software is volgens beveiligingsonderzoeker Sijmen Ruwhof, die als ethisch hacker wordt ingehuurd door grote banken en overheidsinstanties om hun online beveiliging te testen, sterk verouderd en op allerlei punten lek. "De gemiddelde iPad is beter beveiligd dan het Nederlandse verkiezingssysteem", aldus Ruwhof, die de software op verzoek van RTL Nieuws heeft onderzocht. Ruwhofs bevindingen zijn gecheckt door beveiligingsonderzoeker Ger Schinkel.

Herbert Bos, hoogleraar Systems & Network Security aan de Vrije Universiteit Amsterdam, is ook geschokt: "Als een student dit programma bij mij inlevert krijg hij een hele dikke onvoldoende. Het is dramatisch."

Windows XP

Het grootste probleem met het systeem is dat er geen eisen worden gesteld aan de computer waarop de software, genaamd Ondersteunende Software Verkiezingen (OSV), draait. De stembureaus krijgen een cd-rom met de software opgestuurd en mogen het programma op een computer naar keus installeren. 

De OSV-software kan bijvoorbeeld worden geïnstalleerd op een tien jaar oude laptop met Windows XP (krijgt sinds april 2014 geen updates meer) die met het internet is verbonden. De combinatie van verouderde software en een internetverbinding maakt het voor hackers makkelijk om op de computer in te breken en daar malware te plaatsen.

"Het verwerken van stemmen op mogelijk onveilige systemen is onverantwoord en een groot risico voor de democratie", zegt Schinkel.

Stemresultaten aanpassen

Als malware wordt geïnstalleerd - via een internetaanval of onbeveiligde usb-stick - dan kan het de stemresultaten in de OSV-software aanpassen. Zodra de cijfers in het programma zijn ingeladen, kunnen hackers de resultaten naar eigen wens aanpassen en een partij bijvoorbeeld een zetel meer of minder geven. 

De software werkt met een simpele cijferlijst, een soort Excel-bestand, dat tijdens het invoeren tijdelijk wordt opgeslagen. Dit bestand is niet beveiligd en de OSV-software waarschuwt niet als de cijfers worden gemanipuleerd. De uiteindelijke uitdraai van de gefraudeerde resultaten oogt legitiem, ook voor de volgende partij die de resultaten weer inlaadt.

Minister Ronald Plasterk van Binnenlandse Zaken beweerde vorige week nog dat het stemproces niet te hacken is: "Het stemmen door de kiezer en tellen van de stemmen die door de kiezer worden uitgebracht gebeurt sinds 2007 weer helemaal handmatig."

"Langs digitale weg hacken van het stemmen en van het tellen van de stembiljetten in het stemlokaal is dus niet mogelijk", zo schrijft hij in een reactie op Kamervragen van Tweede Kamerlid Kees Verhoeven (D66). 

Onderzoek

De kwetsbare OSV-software berekent al acht jaar alle Nederlandse verkiezingsuitslagen. Naast de Europese en nationale verkiezingen is de software ook gebruikt voor het Oekraïne-referendum, een mogelijk interessant doelwit voor voor zowel de Russische als Oekraïense inlichtingendiensten.

In reactie laat de Kiesraad weten dat de beveiliging van het OSV-programma door cybersecuritybedrijf Fox-IT wordt onderzocht. Dit is het eerste beveiligingsonderzoek dat plaatsvindt sinds de ingebruikname van de software.

"De discussie over hacks en manipulatie van het verkiezingsproces in het buitenland heeft onze aandacht voor de beveiliging van OSV verscherpt, en is voor ons aanleiding geweest maatregelen te nemen en OSV kritisch door te laten lichten en zo nodig te verbeteren", aldus de woordvoerder van de Kiesraad.

Handmatige telling

De uitgebrachte stemmen worden bij de komende Tweede Kamerverkiezingen met de hand nageteld door middel van een 'representatieve steekproef', zo bevestigt de woordvoerder van de Kiesraad. Daarmee moet softwarematige fraude worden voorkomen.

De Kiesraad heeft, ondanks herhaaldelijk aandringen van RTL Nieuws, geen antwoord op de vraag wat deze steekproef precies inhoudt. Ook op de vraag of dit ooit eerder is gebeurd, kwam geen antwoord.

Lees ook:

Top 5 beveiligde usb-sticks

Lees meer over:

Deel via