19 Estland, online paradijs

Hoofdstuk uit 'Vertrouw ons nou maar', boek over de stemcomputer en digitaal stemmen in Nederland. Uitg.: Boom, 2016

Waarin een veelgeprezen systeem voor stemmen via internet aan alle kanten blijkt te rammelen en de betrokkenen dat niet willen weten.

Tot zover de stand van zaken wat betreft stemmen via internet in Nederland. Maar is het wel nodig zo moeilijk te doen? Er zijn toch landen die het 'gewoon' doen, online stemmen? Bewijzen die niet dat het kan?

    Om te beginnen: zoveel landen die online stemmen zijn er niet. Het zijn er vijf à tien, afhankelijk van wat je meetelt. Canada, Estland, Frankrijk en Zwitserland doen het al enige tijd op serieuze schaal. Verschillende landen, zoals Nederland, hebben het geprobeerd en zijn ermee gestopt.

    Laten we meteen maar kijken naar het land dat geldt als glanzend voorbeeld van de toepassing van digitale technologie in het algemeen en van elektronisch stemmen in het bijzonder: Estland. In dit land heeft iedere burger een smartcard die hem identificeert bij contacten met de overheid, bij financiële transacties en ook bij het stemmen. Alleen in Estland kan iedereen die wil online stemmen. Een groeiend deel van de bevolking maakt er gebruik van en de rest stemt op papier bij het stembureau.

    Estland is in 2002 begonnen het systeem te ontwikkelen. In 2004 was de eerste proef. In 2005 werd de mogelijkheid voor het eerst geboden in officiële verkiezingen; 1,9 procent van de kiezers maakte er toen gebruik van. Bij de parlementsverkiezingen in 2015 was dat toegenomen tot iets meer dan 30 procent.

In 2013 bezocht een groep experts op het gebied van e-voting onder leiding van de Amerikaanse hoogleraar Alex Halderman Estland om er het online stemmen daar te onderzoeken. Ze kregen toegang tot de mensen en tot de locaties waar het werk achter de schermen werd gedaan. Dat was een mooi gebaar van de regering en er sprak zelfvertrouwen uit.

    Het draaide erop uit dat het team op 12 mei 2014 een persconferentie gaf, kort voor de Europese verkiezingen die later die maand gehouden werden, om zijn zorgen uit te spreken over de geconstateerde gebreken. Op dat voor de overheid ongelukkige moment raadden deze experts aan dat Estland er onmiddellijk mee zou ophouden, gezien de 'grote risico's'. De problemen werden opgesomd in een rapport van elf pagina's.

    Wat waren die risico's? Te veel om op te noemen eigenlijk. Het stemgeheim zou kunnen worden aangetast. Vandalen zouden de verkiezingen in het honderd kunnen laten lopen. De belangrijkste dreiging was volgens de onderzoekers dat de stemmen anders werden uitgebracht dan de burger bedoelde, of anders werden geteld dan ze waren uitgebracht.

    Dankzij het feit dat belangrijke delen van de software openbaar waren (alweer een op zichzelf goede stap van de Estse overheid), kon de groep in Haldermans lab aan de Universiteit van Michigan de Estse verkiezingen simuleren. Zo konden ze aantonen dat via malware op pc's van burgers of op de servers die de verkiezingen besturen, de uitslag kon worden gemanipuleerd, met grote kans dat dit niet zou worden gedetecteerd.

    'Volgens sommige onderzoeken is 30 procent van de pc's over de hele wereld met malware geïnfecteerd,' stelt Haldermans promovendus Travis Finkenauer in een videoreportage van het lab. 'Zo'n pc is vaak onderdeel van een ‘botnet’ van duizenden besmette pc's. De maker van de malware kan op al die pc's alles installeren wat hij maar wil.' Haldermans team wist in het gesimuleerde systeem verschillende aanvallen succesvol uit te voeren. Bij een hiervan werd de stem direct bij het uitbrengen al veranderd. Een andere methode maakte gebruik van de mogelijkheid die in Estland bestaat om een stem die via internet is uitgebracht, te herroepen (dit zou een garantie zijn tegen gedwongen stemmen: een gedwongen stem kan altijd worden gecorrigeerd). Halderman slaagde erin malware te maken die een volgende keer dat een Est zijn smartcard gebruikt bij zijn pc, de eerder uitgebrachte stem herroept zonder dat hij dit in de gaten heeft.

    Een ander aangrijpingspunt zijn de servers die de stemmen in ontvangst nemen. De server die de gecodeerde stemmen decodeert en telt, is het meest vanzelfsprekende doelwit. Die is dan ook in het geheel niet met de buitenwereld verbonden  alweer een verstandige maatregel van de Esten. De gecodeerde stemmen worden op een dvd gebrand en zo overgebracht van een server die wel op internet is aangesloten. Er zijn verschillende manieren om toch malware op de telserver te krijgen. Zo doet de Estse overheid voor elke verkiezing een aanbesteding om servers aan te schaffen. Wie de verkiezingen wil beïnvloeden installeert malware in de firmware (de chip die het opstarten uitvoert) van zijn servers en doet een zeer aantrekkelijke aanbieding. Ook de dvd die de gecodeerde stemmen overbrengt, kan een route zijn. Halderman heeft een heel recept daarvoor ontwikkeld dat begint met het infecteren van het besturingssysteem dat op de servers wordt geïnstalleerd. Dergelijke strategieën worden uiteraard vergemakkelijkt als een insider op de hand is van de aanvallers. En hoe dan ook is het knoeien met stemmen digitaal makkelijker op grote schaal te doen. Weinig mensen kunnen met weinig moeite zeer grote hoeveelheden stemmen beïnvloeden.

    Wie zou dat wíllen doen? De vraag is in dit boek eerder gesteld. Op landelijk niveau kunnen het, afhankelijk van de politieke kwesties van het moment, bijvoorbeeld grote bedrijven of belangenorganisaties zijn. In het geval van Estland zou het het buurland Rusland kunnen zijn, waarvandaan al eerder grote digitale aanvallen zijn gekomen. Of bijvoorbeeld de Amerikaanse geheime dienst NSA, waarvan al bekend is dat hij met zijn vingers aan de firmware van elektronische apparaten zit. Rusland zou Rusland-vriendelijke partijen kunnen bevoordelen, de NSA pro-Amerikaanse partijen. Haldermans rapport noemt met nadruk staten als mogelijke daders, en refereert aan de Stuxnet-affaire, waarbij de geheime diensten van de VS en Israël malware wisten te krijgen op Iraanse computers die niet met internet waren verbonden. Het is belangrijk te bedenken dat Halderman zijn persconferentie gaf pal voor de Europese verkiezingen. Het ging dus niet over Estland zelf, eventuele aanvallers hadden via deze verkiezingen toegang tot het Europees Parlement.

    Het gaat er niet om te suggereren dat zo'n aanval op til is. Het gaat erom dat het verkiezingsproces zo robuust moet zijn dat je je hierom geen zorgen hoeft te maken. Volgens Haldermans delegatie zijn de internetverkiezingen in Estland niet zo robuust. Tegen de genoemde aanvallen ontbreekt de beveiliging, zo die al mogelijk zou zijn. Zoals Verdonk, Klooster & Associates in hun onderzoek voor BZK al waarschuwden, is het nagenoeg onmogelijk een verkiezingsproces te beschermen tegen mogelijke malware op digitale apparaten die door de burgers zelf worden beheerd.

    De kans dat aanvallers erdoor komen, is mede afhankelijk van het veiligheidsniveau bij degenen die voor de digitale verkiezingen verantwoordelijk zijn. Hier was nogal wat op aan te merken, stelde Halderman. In de eerste plaats signaleerden zijn mensen en hij opvallend onveilig gedrag, nota bene in de officiële video's die over de internetverkiezingen zijn gemaakt door de Estse overheid. Installatiesoftware voor de servers wordt door verkiezingsmedewerkers gedownload van een openbare website via een onbeveiligde (niet-geëncrypte) verbinding. Een pc waarop zichtbaar een pokerprogramma en bittorrent-software (vaak gebruikt voor illegaal downloaden) zijn geïnstalleerd, wordt gebruikt voor het prepareren van de software die burgers voor de verkiezingen moeten installeren. Malware die op deze manier in het installatieprogramma zou belanden, zou per definitie op alle computers van kiezers terechtkomen. Ook waren sleutels van beveiligde ruimtes zichtbaar in beeld, wat bewezen mogelijkheden opent om werkende kopieën te maken met bijvoorbeeld een 3D-printer. Niet alles op pr-video's geeft de werkelijkheid weer, maar als er altijd correcte procedures zouden worden gevolgd, zou het erg vreemd zijn als men juist in de video de zaken minder rigoureus zou aanpakken.

    Met eigen ogen zagen Haldermans reisgenoten ongecodeerde dvd's met backups en gegevens van kiezers in persoonlijke rugzakken meegenomen worden, zodat bij verlies gevoelige gegevens op straat terecht zouden komen. Na het tellen van de stemmen bleek de dvd-brander van de telserver niet te werken en besloot Tarvi Martens, de geestelijk vader van het internetstemmen in Estland, om het bestand met de getelde stemmen dan maar via usb-stick te transporteren. Dit bleek een persoonlijke, eerder gebruikte stick te zijn waar ook andere bestanden op stonden. Naar protesten uit eigen kring werd door Martens op dat moment niet geluisterd. Op een avond ging een van de delegatieleden uit eten met het hoofd van de beveiliging. De mannen dronken daarbij twee flessen wodka, waarna de chef beveiliging het wachtwoord van de systeembeheerder prijsgaf. O ja, en ten kantore van genoemde Tarvi Martens hangt het wifi-wachtwoord gewoon aan de muur in het zicht van toevallig voorbijkomende camera's.

    Ook hier kunnen we nog eens de vraag stellen: moet je over al die details moeilijk doen? Het antwoord is ja, want de belangen zijn te groot, de invloed die door een gat in de beveiliging verkregen kan worden is dat ook, en als de deur openstaat, is het niet de vraag of er een inbreker naar binnen loopt maar wanneer. 'Dit is normaal voor een ict-systeem van de overheid,' verklaart Halderman in een lezing over de veiligheidsproblemen in Estland. 'Maar dit is niet zomaar een ict-systeem van de overheid. Dit is het systeem dat bepaalt wie de baas wordt in Estland. [...] Het is een kwestie van nationale veiligheid, geen probleem van overheids-ict.' En als je het niet kunt opbrengen een goed doortimmerd digitaal verkiezingsproces op te tuigen, val dan gewoon terug op papier. Ja, je kunt een paar stemmen laten verdwijnen, maar papier is inherent veel veiliger omdat het zichtbaar is.

    In hetzelfde jaar dat Halderman en zijn medewerkers hun onderzoek publiceerden, studeerde Ruud Verbij af aan de Universiteit Twente op een scriptie over digitaal stemmen. Hij onderzocht onder andere de prijzen van malware, botnets en dergelijke op de criminele markt en rekende uit hoe duur het zou zijn om de Estse verkiezingen te beïnvloeden. Een zetel 'kopen' in het parlement zonder serieuze kans op ontdekking zou ongeveer 40.000 dollar kosten. Alleen de verkiezingen verstoren door op de laatste verkiezingsdag de servers uit te schakelen met een DdoS-aanval, kostte slechts 8000 dollar.

    Hoe reageerden de Esten op de bevindingen van Halderman? Zoals je zou vrezen. Tarvi Martens vond dat er helemaal geen probleem was, zoals hij Haldermans team liet weten in aanwezigheid van zijn advocaat. De beveiligers van de verkiezingen deelden de onderzoekers mee dat alles in orde was aangezien de juiste mensen steeds wonnen. Halderman in zijn lezing: 'Ik vroeg hoe het zou zijn als door een vreselijke vergissing de verkeerde mensen een keer wonnen, als ze hen allemaal zouden ontslaan en verder alles bij het oude zouden laten? Ze keken heel moeilijk en zeiden: dat zou niet zo mooi zijn.' En de premier, Taavi Rõivas, verklaarde op tv dat hij Haldermans mensen op Facebook had opgezocht zodat hij nu wist dat ze voor zijn tegenstanders werkten. De verkiezingsautoriteiten vroegen zich in het openbaar af waarom iemand stemmen zou willen stelen als hij ook geld zou kunnen stelen. Het Estse Computer Emergency Response Team, een soort waarschuwingsdienst voor computergevaren, maakte bekend: 'In de praktijk zijn computerrisico's geëlimineerd', en: Halderman en zijn mensen ‘zijn hier niet om hun technische gaven maar om de boodschap die ze politiek goed uitkomt, hoewel ze technisch niets kunnen'. Ontkennen, bagatelliseren, verdacht maken: de standaardreacties van verantwoordelijken die niet begrijpen, niet willen weten of niet willen toegeven wat er aan de hand is. Verschillende officials gaven te kennen dat Halderman geen gelijk kon hebben omdat het altijd goed was gegaan. (In de eerste plaats klopt deze logica niet, in de tweede plaats was het nu juist onderdeel van Haldermans verhaal dat eventueel bedrog heel makkelijk onontdekt kon blijven.)

    De wetenschappelijke publicatie van het team van experts was complimenteus over verschillende aspecten van het Estse systeem, bijvoorbeeld het gebruik van encryptie en het openbaarmaken van de software (hoewel de 'client' die bij de kiezers thuis moet worden geïnstalleerd, niet open source was). Ook de bereidheid tot veranderen werd geprezen: in de tien jaar dat het systeem bestond, waren diverse veiligheidsvoorzieningen toegevoegd, zoals een server die logs bijhoudt en een verificatie-app voor smartphones die voor een tweede authenticatielaag zorgt. Het zijn echt geen knoeiers, daar in Estland. Evengoed hebben ze om iets te kunnen maken dat in de praktijk zou werken, compromissen moeten sluiten, zoals het uitgangspunt dat de centrale servers te vertrouwen zijn. Uit het rapport: 'Zeker, extra bescherming zou kunnen worden toegevoegd om specifieke aanvallen te voorkomen. Maar het tegenhouden van elke geloofwaardige aanval zou een onbeheersbare mate van complexiteit toevoegen.' Dit lijkt sterk op wat Nederland heeft ontdekt met de stemcomputer: prima betaalbaar zolang je genoeg voorzorgen en veiligheidsmaatregelen achterwege laat. En peperduur zodra je het echt verantwoord probeert te doen.

Zijn gedreven en uiterst verteerbare lezing, die ook online staat, besluit Halderman als volgt: 'Ik wil een stemsysteem waarbij noch jij, noch ik, noch Tarvi Martens, Vladimir Poetin of de NSA zich zomaar naar binnen kan hacken om de verkiezingsuitslag te dicteren. We willen democratie! Grootschalige fraude zou op zijn minst even moeilijk moeten zijn als op papier. Het zal tientallen jaren duren voordat dat mogelijk is, en er zullen fundamentele vorderingen voor nodig zijn.'

Reacties

Een reactie posten

Populaire posts van deze blog

Verkeerd in goede staat Herbert Blankesteijn Lezing jaarcongres Genootschap Onze Taal 12 november 2005 'Als de oostwitrussische agrariër in deze gefingeerde dicteetekst door UEdele was geboekstaafd volgens midden-twintigsteëeuwse spellingconventies en aldus was terhandgesteld aan de gesoigneerde journaalpresentator, zou het gekunstelde aardrijkskundige adjectief alleen al een vijfvoudig foutenfestival verwezenlijken.' Zó heb ik het ooit geleerd (oostwitrussische) en als ik het goed heb begrepen moet het nu zó (Oost-Wit-Russische). Vijf fouten in één woord. En als ik het mis heb, illustreert dat alleen maar beter wat ik wil zeggen, namelijk dat er geen touw meer aan vast te knopen valt als je om de haverklap de regels verandert, in dit geval de regels van de spelling. Ik kom hier niet voor een potje Taalunie-meppen, ik kom hier verkondigen dat het goed is om regels te hebben, en als je ze hebt om dan ook duidelijk de begrippen goed en fout te hanteren en te verdedigen. Ik wil be
Meer lezen

De huis-, tuin- en keukenmonteur

  Herbert Blankesteijn, NRC Handelsblad 8-5-'93 Mijn autoradio heeft een gebruiksaanwijzing. De afstemknop werkt niet meer. Pal onder die knop komt een lusje uit het apparaat tevoorschijn en om zenders te zoeken moet je aan een van beide kanten van dat lusje trekken. Hoe is dat zo gekomen? Op zekere dag zocht ik al rijdend een zender en merkte niet dat ik het einde van de schaalverdeling had bereikt. Ik draaide de knop door en voelde opeens dat hij lam was geworden. Radio onbruikbaar. Thuis heb ik het zaakje opengeschroefd. Ik zag dat de knop met een doodsimpel touwtje de afstemeenheid bediende. Ik had het dunne koord stukgedraaid. Toen ik de eindjes aan elkaar had geknoopt was het touw te kort geworden. Met een hete schroevedraaier heb ik toen maar een gat in de kunststof behuizing geprikt en het touwtje naar buiten gepulkt. Om te voorkomen dat het weer naar binnen zou schieten heb ik er nog een zware moer aan geregen. De bediening door de lus heen en weer te tre
Meer lezen

Véértig in z'n 5

NRC, 18-8-2007 Van de overheid moeten we tachtig rijden in z'n vijf. Maar wat betekent dat? I s de 'vijf' de voordeligste versnelling als je tachtig moet rijden? Of is tachtig de zuinigste snelheid, en des te meer wanneer je de vijfde versnelling gebruikt ? Wat is precies de beste combinatie van snelheid en versnelling? Een onderzoek. De meeste mensen hebben geleerd op te schakelen van één naar twee bij zo'n twintig km per uur. Naar de derde gaan ze bij veertig, naar de vierde bij zestig en uiteindelijk komt bij een kilometer of tachtig de vijf in beeld. Schakel je per ongeluk bij twintig naar z'n vier, dan merk je dat de motor dat niet leuk vindt. Omgekeerd, in de tweede versnelling haal je niet de snelheden die je in z'n vier wel bereikt. Iedere versnelling heeft een ideale snelheid. Maar waar ligt die precies? En is de zuinigste snelheid in de vijfde versnelling zuiniger of minder zuinig dan de zuinigste snelheid in de vierde? Om deze vrag
Meer lezen