Maarten Boone, securityexpert bij Zerocopter, heeft kwetsbaarheden in een module van de Ondersteunende Software Verkiezingen (OSV2020) gevonden waardoor aanvallers op de server van de leveranciers kunnen inloggen. De problemen zijn inmiddels opgelost, zo heeft de Kiesraad bekendgemaakt.
Volgens de NOS hadden kwaadwillenden verkiezingsuitslagen kunnen manipuleren als het beveiligingslek niet was gedicht. Gemeenten gebruiken een andere module van OSV2020 om de totalen van stembureaus bij elkaar op te tellen. Het tellen zelf gebeurt handmatig. Uit niets is gebleken dat met uitslagen bij eerdere verkiezingen is gerommeld.
De Kiesraad bevestigt dit lek in de module die politieke partijen kunnen gebruiken om hun kandidatenlijsten op te stellen en vervolgens in te dienen bij de Kiesraad. Boone ontdekte de kwetsbaarheden in de installatiesoftware. In deze installer zijn inloggegevens gevonden van de leverancier. Ook was het pad te vinden naar de private sleutel op het interne netwerk van de leverancier plus de gebruikersnaam en het wachtwoord hiervan. Deze gevonden kwetsbaarheden samen leverden een risico op voor de integriteit van de software. De kwetsbaarheden zijn verholpen voordat politieke partijen de software konden downloaden in het licht van de Tweede Kamer-verkiezingen op 22 november a.s.
HackDefence
De Kiesraad heeft de beveiliging van de software waarmee kandidatenlijsten worden opgesteld, laten testen door een onafhankelijke partij, HackDefence. Deze organisatie concludeert dat de eerder gevonden kwetsbaarheden zich niet meer voordoen. Wel zijn er drie bevindingen, met risico hoog, midden en laag. De Kiesraad heeft deze drie bevindingen door de leverancier van de software laten oplossen.
Zerocopter heeft een blogpost geschreven over het verholpen lek. Daarin worden de technische aspecten beschreven.
“Kwetsbaarheden in de installatiesoftware. In deze installer zijn inloggegevens gevonden van de leverancier. Ook was het pad te vinden naar de private sleutel op het interne netwerk van de leverancier plus de gebruikersnaam en het wachtwoord hiervan.”
Ondersteunende Software Verkiezingen 😛
Toch maar Open Source dan ?
https://tweakers.net/nieuws/194908/kiesraad-vindt-geen-onregelmatigheden-bij-gebruik-van-osv-verkiezingssoftware.html :
https://www.kiesraad.nl/verkiezingen/adviezen-en-publicaties/formulieren/2022/1/31/broncode-osv2020-u-gemeenteraadsverkiezing-2022
Broncode is beschikbaar : Gecomprimeerd 13.6 MB …
Zou best die code willen reviewen, maar deze ochtend beetje druk ;-). Misschien wel use case voor blockchain, als de overhead dat toelaat. Je wilt wel kunnen herleiden als maar niet tot een persoon.
Een tweaker schrijft :
Even snel door de “code” heen gekeken. Die archive is alleen source code, het is echt absurd veel “code” die echt alle afgrijselijke “enterprise software” kenmerken bevat.
45MiB aan source code. Veel van de code is in het Duits zonder commentaar. Het ruikt enorm naar gegenereerde code.
Ga maar in 45MiB aan onleesbare Java code zoeken naar achterdeuren.
Dino die altijd te druk is om code te reviewen gelooft nog altijd heilig in de transparantie van open source, ik ben mijn geloof daarin kwijt geraakt toen iemand me uitlegde hoe je de boel kunt belazeren met verkiezingen. Use case voor blockchain is de spijker op de kop slaan want één stem zonder een binding aan de persoon gaat om een anonimiteit met controleerbaarheid. Als de telmachine van de uitgebrachte stemmen met potlood en een binding naar het proces 45Mib nodig heeft dan ben ik benieuwd naar het aantal controle stappen hierin.