Eerder vandaag riepen we al dat de verkiezingsuitslagen gemakkelijk te manipuleren waren. Maar tot onze grote schrik ontdekten we dat het niet alleen gemakkelijker was dan we dachten, maar dat de kiesraad hier al enkele jaren van op de hoogte was. Schande!
Bij onze kleine collegaatjes van de NOS werd om een reactie gevraagd van de kiesraad en deze reageerde door te zeggen:
De Kiesraad laat op dit moment de beveiliging van het OSV-programma onderzoeken en benadrukt dat dat onderzoek al in gang was gezet voor het verhaal van RTL Nieuws
Heel fijn. Maar een paar klikken verder op het internet kunnen we dankzij de WOB de testrapporten lezen van de gebruikte OSV software. Al in 2015 adviseerde de firma SQSÂ die de OSV software test het volgende aan de kiesraad:
Aanbevelingen
We adviseren de procedure voor het vaststellen van de authenticiteit van aangeleverde verkiezingsgegevens te versterken en ervoor te zorgen dat de programmatuur strikter controleert op authenticiteit. Uitgezocht moet worden of technieken voor authenticatie van programmatuur toegepast kunnen worden op de informatie-uitwisseling van OSV. Het foutief gebruik van de software kan verder verbeterd worden door toepassing van uitgebreidere beveiligingstechnieken en door in de programmatuur meer gebruik te maken van technieken voor defensief programmeren.
Dit rapport was uitgebracht na het testen van de OSV software voor de provinciale verkiezingen van 2015. Nu zou je verwachten dat hier direct, nog voor de verkiezingen, werk van gemaakt is. Dus openen wij met een gerust hart de testuitslagen van de OSV software voor de uitslagen van het Oekraïne referendum van 2016… pagina 1.
Aanbevelingen
De beschrijving van de functionele werking van de code in de sources kan verbeterd worden om de
traceerbaarheid van functionaliteit – met name voor de kritische functies – te verbeteren.
We adviseren de procedure voor het vaststellen van de authenticiteit van aangeleverde verkiezingsgegevens te
versterken en ervoor te zorgen dat de programmatuur strikt controleert op authenticiteit. Uitgezocht moet
worden of technieken voor authenticatie van programmatuur toegepast kunnen worden op de
informatie-uitwisseling van OSV. Het foutief gebruik van de software kan verder verbeterd worden door toepassing van uitgebreideren beveiligingstechnieken en door in de programmatuur meer gebruik te maken van technieken voor defensiefnprogrammeren.
Kortom, er is nog niets aangepast of gewijzigd!
Hoe onveilig de software is lezen we verderop in het rapport. (Nogmaals, dit gaat dus over de software die afgelopen jaar gebruikt is tijdens het referendum.)
4.10 Authenticiteit programmatuur
Het is mogelijk de authenticiteit van de programmatuur vast te stellen. De methodiek voor het vaststellen van de authenticiteit van OSV is niet aangepast. De conclusie uit de eerdere toets blijft daarmee gehandhaafd. Dat wil zeggen dat de authenticiteit van de programmatuur voorafgaand aan de installatie kan worden vastgesteld. De controle op authenticiteit van de programmatuur wordt niet afgedwongen. Ook wordt run-time de authenticiteit niet geverifieerd. Daardoor is het – in theorie – mogelijk dat een gebruiker een aangepaste versie van de software op een computer installeert en daarmee de
referendumuitslag beïnvloedt.
Daarmee willen ze zeggen dat je ‘theoretisch’ de software, die je hier extra gratis kan downloaden, met wat kennis van Java zou kunnen manipuleren en dat de software dan geen foutmelding geeft.
Duidelijk. Leve minister-president Reet!