De Amerikaanse presidentsverkiezingen zijn in aantocht. Voor een hacker is het lastig om het verkiezingsresultaat direct te beïnvloeden. Maar het systeem kent mogelijk een zwakke plek: het persbureau dat de uitslagen verzamelt en publiceert.
De verkiezingsstrijd tussen Donald Trump en Hillary Clinton nadert zijn climax. Ook vanuit securityperspectief zijn dit interessante verkiezingen. Zo beschuldigt de Amerikaanse regering Rusland van het hacken van interne e-mailsystemen van de Democraten om invloed uit te oefenen op het verkiezingsproces. Hackers die mede bepalen wie de machtigste man of vrouw ter wereld wordt? Een beangstigend idee.
Ethische hackers
De strijd tegen politiek gemotiveerde cybercrime vergt meer dan technologische maatregelen. Er zijn ook mensen nodig die de weerbaarheid tegen aanvallen testen en zwakke plekken in de verdediging aantonen. Deze goedwillende hackers zijn hot. Ethical hacking is dan ook een belangrijk thema op cybersecuritybeurs InfoSecurity. Er is zelfs een Hacking Challenge waar ethische hackers hun vaardigheden kunnen verbeteren.
Mijn collega Sean Sullivan voerde onlangs een fraai staaltje ethical hacking uit rondom de verkiezingen. Even wat achtergrondinformatie: in de VS gaan op 8 november inwoners van maar liefst 3144 county’s naar de stembus. Op die dag worden onder andere ook de zetels voor het Huis van Afgevaardigden en een deel van de senaatszetels vergeven. Het verwerken van al die uitslagen is dus een flinke opgave.
Associated Press
Vervolgens is het aan de media om deze informatie in hapklare brokken met het volk te delen. Associated Press (AP) neemt het voortouw en heeft daarmee een machtige positie. Het persbureau zorgde in juni al voor enige ophef door Clinton als Democratische presidentskandidaat aan te wijzen, terwijl zes staten nog niet hadden gestemd. Aanhangers van haar concurrent Bernie Sanders waren laaiend.
Sean verdiepte zich in de werkwijze van AP op de verkiezingsdag. Op de website van het persbureau staat dat achthonderd medewerkers de uitslagen invoeren in een speciaal verkiezingssysteem. Met de tool F-Secure Riddler zocht hij het systeem op in het deep web. Sean stuitte op twee systemen met de naam AP Vote Count, waarvan één met copyright 2006 en een 2 in de url. Dat wijst erop dat het een verouderd systeem is.
Verouderde server
‘Ik weet niet of dit ook echt het verkiezingssysteem van AP is’, benadrukt Sean. ‘Ik hoop dat ik het verkeerd heb. Maar het is geen goed idee om zo’n verouderde server online te laten staan. Verder is de loginpagina voor iedereen zichtbaar, niet versleuteld en maakt deze geen gebruik van het veilige internetprotocol https. AP Vote Count lijkt ook in New York te worden gehost, zonder beveiliging tegen DDoS-aanvallen.’
Experts zeggen dat het zeer moeilijk is om te frauderen bij de verkiezingen, bijvoorbeeld omdat de stemmen lokaal verwerkt worden en de stemcomputers niet met internet verbonden zijn. Maar misschien kunnen hackers wel inbreken op het AP-systeem en de stemmen manipuleren of het systeem lamleggen. Dan laat de uitslag mogelijk langer op zich wachten, wat tot geruchten over verkiezingsfraude kan leiden.
Verwarring zaaien
Ja, dit zijn speculaties. Maar het is niet ondenkbaar dat politiek gemotiveerde hackers hun pijlen op de media richten. Al is het alleen maar om verwarring te zaaien. Volgens mij kan zoiets in theorie ook in Nederland gebeuren. Hoe dan ook moeten we ethische hackers koesteren. Door kwetsbaarheden in het kiesstelsel bloot te leggen, kunnen zij van grote waarde zijn voor de democratie.
ICT-beurzen
Computable is hoofdmediapartner van de gecombineerde ict-vakbeurzen Infosecurity.nl, Storage Expo en The Tooling Event op 2 en 3 november in Jaarbeurs in Utrecht. F-secure is ook op de beurs aanwezig en te vinden op stand 01.D160. Registreer nu voor gratis toegang.
Bij elke verkiezingen zijn er niet significante ongeregeldheden die al dan niet opzettelijk uitgevoerd worden. Bij vrijwel alle verkiezingen van de laatste 50 jaar zijn er ook mensen vaker dan een keer gaan stemmen of zijn er stemmen uitgebracht door mensen die waren overleden.
Om grootschalige ongeregeldheden op te sporen is de internationale standaard om steekproefsgewijs stemmers te vragen wat zij gestemd hebben en als dit meer dan 2% afwijkt van de uitslag dan is er een zeer sterk vermoeden dat er op grote schaal gefraudeerd is.
Waar je bij deze verkiezingen ook beducht op moet zijn is inderdaad zoals al aangegeven de beeldvorming rondom het proces bevattelijk voor beïnvloeding. Het is dan ook opmerkelijk dat er in de pers zoveel afwijking zit tussen de diverse peilingen. (Als je deze gevallen nader bekijkt dan is er vrijwel altijd sprake van een politieke component.)
Het is een axomia dat stemcomputers inherent onveilig zijn immers kan er aan de kiezer nooit bewezen worden dat er met de gebruikte stemcomputer geknoeid is (meeste stemmers hebben niet de technische kennis om dit te verifiëren). Een van de hoofdredenen waarom destijds onze Eerste Kamer het gebruik van stemcomputers afschoot.
Dat men in de VS toch stemcomputers gebruikt is dan ook tegen beter weten in want het hangt zwaar af van de betrouwbaarheid van de leveranciers en het beheer van deze machines.
Er zijn al diverse gevallen bekend bij stemmers waarbij de stemmer op iemand anders zou gestemd hebben als aangegeven in het stemhokje. Als dit op grote schaal gebeurd dan zou dit zeker opgemerkt moeten worden door de internationale toezichthouders of de diverse burger initiatieven. Immers is het goed bewaken van de betrouwbaarheid van het stemproces cruciaal voor de democratie.
Leuk materiaal voor een spannend boek:
https://en.wikipedia.org/wiki/Smartmatic
http://tinyurl.com/zy3gs2n
(Eigenaar van Curaçao Corporation Company N.V. gevestigd op Curaçao lijkt John Duess te zijn.)
http://wijvertrouwenstemcomputersniet.nl/Nieuwsbrief_Nr._25_-_30_maart_2007
(Curaçao wil Smartmatic stemcomputers aanschaffen)
http://www.bradblog.com/?p=6005
http://www.bradblog.com/?p=5947
(Vliegtuigje gecrashed met Smartmatic oprichter was op weg naar Curaçao).