Hoe onze verkiezingen de afgelopen 26 jaar gehackt konden worden

Sijmen RuwhofFreelance IT Security Consultant / Ethisch Hacker

Zaakgericht werken voor de Overheid

• Gestart met hacking in 1997: 20 jaar geleden

• Sinds 2005 professioneel: 12 jaar geleden

• 650+ beveiligingsonderzoeken uitgevoerd

Als freelance hacker legaal inbreken bijoverheidsorganisaties, banken enhigh-profile bedrijven

Wie is Sijmen Ruwhof?

Bedrijven waar ik zoal voor werk

• Automatisering stemproces:

–1991: Introductie stemcomputers

–2009: Introductie stemoptelsoftware

–2017: Afgelopen verkiezingen

• Lessons learned

• Zaakgericht werken

Agenda

Introductie van stemcomputers

“We willen af van al dat logge papier. Kunnen we dat process niet automatiseren?”

1991

1991-2009

Kiesraad: “Veiligheid is belangrijk en daarom hebben we ook TNO

ingehuurd. Maak je geen zorgen dus.”

1991-2009

• Amsterdam was één van de laatste steden die digitaal ging

• Rop Gonggrijp woonde in Amsterdam

2006

• 2006: Rop in EenVandaag: “Frauderen met een stemcomputer is vreselijk makkelijk. Dit is in feite een brakke oude huiscomputer.”

• 2006: AIVD: “Nu je het ons vraagt, ja hij heeft wel een punt”

Stemcomputer zo lek als een mandje

• 2006: Gemeentes: “We geloven dat ze veilig zijn en willen ze nog steeds blijven gebruiken.”

• 2006: Minister: “De leverancier belooft het te kunnen oplossen, dus het komt goed!”

“Wij vertrouwen stemcomputers niet”

• 2006: Rop start een rechtzaak

• 2007: Rechter: “Rop heeft gelijk”

• 2008: Overheid: “Jammer, nu moeten we weer terug naar pen en papier”

“Wij vertrouwen stemcomputers niet”

2009-nu

2009-nu

2009-nu

Fast forward naar januari 2017 >>>

“We hebben gehoord dat verouderde cryptografie wordt gebruikt in het stemproces.

Wat is hier de impact van Sijmen?”

RTL Nieuws

“Wordt software gebruikt?! Waar dan?

We stemmen toch op papier?

Mijn eerste reactie

RTL Nieuws vertelt:

• Stemmen met potlood en papier

• Handmatig stemmen tellen

• Maar dan..

2009-2017

• Gemeentes vullen stemtotalen in computerprogramma in

• USB-stick met uitslag wordt naar kiesdistrict gereden

2009-2017

1. Lokaal stembureau : paper

2. Centraal stembureau : digitaal

3. 20 kiesdistricten : digitaal

4. Kiesraad : digitaal

2009-2017

“Dit kan niet waar zijn!”

Mijn eerste reactie

YouTube-video

YouTube

• Eén hoofd webserver

• Via intern gemeentenetwerk inloggen op stemoptel webapplicatie

Risico’s:

• Geen beveilgde HTTPS verbinding actief

Client-server architectuur

• Geen beveiligingsbeleid

• Geen beveiligingscontroles

• Bring your own computer en USB-stick

Bring Your Own Device

Maar! “WiFi moet uitgeschakeld zijn”

Met internet verbonden computers

• AutoRun

• BadUSB

• RubberDucky

USB stick aanval

Controlecode wordt geprint

SHA1 hash vergelijken

Mail de verkiezingsuitslagen maar

• Ontwerpfase: Geen IT security expert / hacker geraadpleegd

• Testfase: Geen security testen uitgevoerd

• Gedeeltelijk open source

• Logs niet centraal verzameld

• Geen inbraakpreventiesysteem actief

• Geen geautomatiseerde security en fraude monitoring ingeregeld

• Integriteit OSV is moeilijk te valideren, te omzeilen en optioneel

• …

De lijst gaat door

• Drie uur aan YouTube-video’s en PDF-documentatie later

• Conclusie: “Zeer eenvoudig te hacken”

• RTL valideert het onderzoek en publiceert het op Tv

Samenvattend

• Negeren: Initieel kregen journalisten geen contact.

• Ontkennen: Naar journalisten:“Vertrouw ons, het is veilig”

• Dreigen: Naar journalisten: “We zullen wel zien voor wie dit een probleem gaat worden”

Antwoord Kiesraad

• Student Maarten Engberts bleek in 2011 ook ernstige lekken in het systeem te hebben aangetoond, maar werd genegeerd (!)

• Maarten ging daarom full disclosure

• De software werd nog steeds niet aangepast

Problemen jaren genegeerd

• 2 dagen na publicatie: Plasterk verbiedt OSV

• Gemeentes reageren boos: “Dit kan opgelost worden”

Reacties op publicatie

Reacties op publicatie

• Plasterk: “Wow, wat een reacties! Heb het al druk en deverkiezingen komen eraan. Vooruit, Excel mag wel.”

“OSV is inderdaad erg onveilig”

Fox-IT is ingehuurd

• Gemeentes: “Excel? We willen OSV terug!”

• Leverancier: “We kunnen het oplossen. Geen USB sticks meer enoffline werken. Gebruik SHA256. Dan is het weer veilig.””

• Plasterk: “Oké, doen. Tevens mag OSV dan alleen voor tijdelijkeuitslag gebruikt worden.”

Reacties op publicatie

Veel verbeteringen zijn inmiddels doorgevoerd:

• Op de dag van de verkiezingen voorlopige uitslag met OSV

• Na paar dagen definitieve uitslag na handmatig optellen

• Resultaten van lokale stemlokalen gepubliceerd in lokale kranten en op websites

• Er zijn hier en daar hertellingen uitgevoerd

Huidige status

• Stemproces kon van 1991 tot 2017 gehackt worden: 26 jaar

• We hebben geen idee of er gehackt is. Nooit op gecontroleerd enkon ook niet: geen logs bijgehouden.

• Stemtotalen worden na 3 maanden vernietigd.

Terugkijkend

Ondertussen

• Digitaal

• Centrale opslag van klant- en zaakdossiers

• Webapplicaties

• Internet-facing

• Interactie met burgers

• En dus: Zeer reële kans om een keer gehackt te worden!

Zaakgericht Werken

• Betrek IT security specialisten vroegtijdig

• Zet IT security hoog op managementagenda

• Stel hackrisicoanalyses op

• Voer security-by-design en privacy-by-design in

Veilig software ontwikkelen en beheren

• Creëer security awareness

• Laat IT-personeel security cursussen volgen

• Richt specifieke security monitoring in (IDS, IPS, SOC, SIEM)

• Test regelmatig of gehackt kan worden

• Richt betrouwbare logging in en voer hier audits op uit

Veilig software ontwikkelen en beheren

sijmen.ruwhof.net

twitter.com/sruwhof