Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
Hoe onze verkiezingen de afgelopen
26 jaar gehackt konden worden
Sijmen Ruwhof
Freelance IT Security Consultant / Ethisch ...
• Gestart met hacking in 1997: 20 jaar geleden
• Sinds 2005 professioneel: 12 jaar geleden
• 650+ beveiligingsonderzoeken ...
Bedrijven waar ik zoal voor werk
• Automatisering stemproces:
–1991: Introductie stemcomputers
–2009: Introductie stemoptelsoftware
–2017: Afgelopen verkie...
Introductie van stemcomputers
“We willen af van al dat logge papier.
Kunnen we dat process niet automatiseren?”
1991
1991-2009
Kiesraad:
“Veiligheid is belangrijk en daarom hebben we ook TNO
ingehuurd. Maak je geen zorgen dus.”
1991-2009
• Amsterdam was één van de laatste steden die digitaal ging
• Rop Gonggrijp woonde in Amsterdam
2006
• 2006: Rop in EenVandaag:
“Frauderen met een stemcomputer is vreselijk makkelijk.
Dit is in feite een brakke oude huiscom...
• 2006: Gemeentes: “We geloven dat ze veilig zijn en willen ze nog
steeds blijven gebruiken.”
• 2006: Minister: “De levera...
• 2006: Rop start een rechtzaak
• 2007: Rechter: “Rop heeft gelijk”
• 2008: Overheid: “Jammer, nu moeten we weer terug naa...
2009-nu
2009-nu
2009-nu
Fast forward naar januari 2017 >>>
“We hebben gehoord dat verouderde cryptografie
wordt gebruikt in het stemproces.
Wat is hier de impact van Sijmen?”
RTL Ni...
“Wordt software gebruikt?!
Waar dan?
We stemmen toch op papier?
Mijn eerste reactie
RTL Nieuws vertelt:
• Stemmen met potlood en papier
• Handmatig stemmen tellen
• Maar dan..
2009-2017
• Gemeentes vullen stemtotalen in computerprogramma in
• USB-stick met uitslag wordt naar kiesdistrict gereden
2009-2017
1. Lokaal stembureau : paper
2. Centraal stembureau : digitaal
3. 20 kiesdistricten : digitaal
4. Kiesraad : digitaal
2009...
“Dit kan niet waar zijn!”
Mijn eerste reactie
YouTube-video
YouTube
• Eén hoofd webserver
• Via intern gemeentenetwerk inloggen op stemoptel webapplicatie
Risico’s:
• Geen beveilgde HTTPS ve...
• Geen beveiligingsbeleid
• Geen beveiligingscontroles
• Bring your own computer en USB-stick
Bring Your Own Device
Maar! “WiFi moet uitgeschakeld zijn”
Met internet verbonden computers
• AutoRun
• BadUSB
• RubberDucky
USB stick aanval
Controlecode wordt geprint
SHA1 hash vergelijken
Mail de verkiezingsuitslagen maar
• Ontwerpfase: Geen IT security expert / hacker geraadpleegd
• Testfase: Geen security testen uitgevoerd
• Gedeeltelijk op...
• Drie uur aan YouTube-video’s en PDF-documentatie later
• Conclusie: “Zeer eenvoudig te hacken”
• RTL valideert het onder...
• Negeren: Initieel kregen journalisten geen contact.
• Ontkennen: Naar journalisten:“Vertrouw ons, het is veilig”
• Dreig...
• Student Maarten Engberts bleek in 2011 ook ernstige lekken in het
systeem te hebben aangetoond, maar werd genegeerd (!)
...
• 2 dagen na publicatie: Plasterk verbiedt OSV
• Gemeentes reageren boos: “Dit kan opgelost worden”
Reacties op publicatie
Reacties op publicatie
• Plasterk: “Wow, wat een reacties! Heb het al druk en de
verkiezingen komen eraan. Vooruit, Excel ...
“OSV is inderdaad erg onveilig”
Fox-IT is ingehuurd
• Gemeentes: “Excel? We willen OSV terug!”
• Leverancier: “We kunnen het oplossen. Geen USB sticks meer en
offline werken....
Veel verbeteringen zijn inmiddels doorgevoerd:
• Op de dag van de verkiezingen voorlopige uitslag met OSV
• Na paar dagen ...
• Stemproces kon van 1991 tot 2017 gehackt worden: 26 jaar
• We hebben geen idee of er gehackt is. Nooit op gecontroleerd ...
Ondertussen
• Digitaal
• Centrale opslag van klant- en zaakdossiers
• Webapplicaties
• Internet-facing
• Interactie met burgers
• En d...
• Betrek IT security specialisten vroegtijdig
• Zet IT security hoog op managementagenda
• Stel hackrisicoanalyses op
• Vo...
• Creëer security awareness
• Laat IT-personeel security cursussen volgen
• Richt specifieke security monitoring in (IDS, ...
sijmen.ruwhof.net
twitter.com/sruwhof
Hoe de Nederlandse verkiezingen de afgelopen 26 jaar gehackt konden worden
Hoe de Nederlandse verkiezingen de afgelopen 26 jaar gehackt konden worden
Upcoming SlideShare
Loading in …5
×

Hoe de Nederlandse verkiezingen de afgelopen 26 jaar gehackt konden worden

12,119 views

Published on

Beveiligingsonderzoeker en ethisch hacker Sijmen Ruwhof, haalde eerder dit jaar landelijk nieuws toen hij de verkiezingen hackte. Nu spreekt hij op het Zaakgericht werken voor de Overheid congres over hoe je als overheid veilig digitaal kunt werken.

Tijdens de afgelopen verkiezingen is Sijmen, op verzoek van RTL Nieuws, op onderzoek uitgegaan naar de software waarmee de stemmen tijdens de tweede Kamerverkiezingen worden geteld. Uit zijn onderzoek blijkt dat hackers gemakkelijk de boel kunnen saboteren: "De gemiddelde iPad is beter beveiligd dan het Nederlandse verkiezingssysteem", aldus Ruwhof. Hierdoor heeft Minister Plasterk besloten dat de komende verkiezing alle stemmen 100% handmatig geteld gaan worden.

Veilig Digitaliseren
De titel van Sijmen zijn keynote luidt “Hoe onze verkiezingen de afgelopen 26 jaar gehackt konden worden”. In 1991 bereikte ook de digitalisering het verkiezingsproces. Tot 2009 hebben we stemcomputers gebruikt, toen bleek dat deze niet veilig waren zijn we overgegaan op de stemoptelsoftware. Door het onderzoek van Sijmen in samenwerking met RTL Nieuws blijkt dat ook deze software niet veilig is. Wat is er allemaal fout gegaan en wat kunnen we ervan leren? Sijmen zal laten zien hoe digitalisering wel veilig kan.

Published in: Technology
  • Be the first to comment

  • Be the first to like this

Hoe de Nederlandse verkiezingen de afgelopen 26 jaar gehackt konden worden

  1. 1. Hoe onze verkiezingen de afgelopen 26 jaar gehackt konden worden Sijmen Ruwhof Freelance IT Security Consultant / Ethisch Hacker Zaakgericht werken voor de Overheid
  2. 2. • Gestart met hacking in 1997: 20 jaar geleden • Sinds 2005 professioneel: 12 jaar geleden • 650+ beveiligingsonderzoeken uitgevoerd Als freelance hacker legaal inbreken bij overheidsorganisaties, banken en high-profile bedrijven Wie is Sijmen Ruwhof?
  3. 3. Bedrijven waar ik zoal voor werk
  4. 4. • Automatisering stemproces: –1991: Introductie stemcomputers –2009: Introductie stemoptelsoftware –2017: Afgelopen verkiezingen • Lessons learned • Zaakgericht werken Agenda
  5. 5. Introductie van stemcomputers
  6. 6. “We willen af van al dat logge papier. Kunnen we dat process niet automatiseren?” 1991
  7. 7. 1991-2009
  8. 8. Kiesraad: “Veiligheid is belangrijk en daarom hebben we ook TNO ingehuurd. Maak je geen zorgen dus.” 1991-2009
  9. 9. • Amsterdam was één van de laatste steden die digitaal ging • Rop Gonggrijp woonde in Amsterdam 2006
  10. 10. • 2006: Rop in EenVandaag: “Frauderen met een stemcomputer is vreselijk makkelijk. Dit is in feite een brakke oude huiscomputer.” • 2006: AIVD: “Nu je het ons vraagt, ja hij heeft wel een punt” Stemcomputer zo lek als een mandje
  11. 11. • 2006: Gemeentes: “We geloven dat ze veilig zijn en willen ze nog steeds blijven gebruiken.” • 2006: Minister: “De leverancier belooft het te kunnen oplossen, dus het komt goed!” “Wij vertrouwen stemcomputers niet”
  12. 12. • 2006: Rop start een rechtzaak • 2007: Rechter: “Rop heeft gelijk” • 2008: Overheid: “Jammer, nu moeten we weer terug naar pen en papier” “Wij vertrouwen stemcomputers niet”
  13. 13. 2009-nu
  14. 14. 2009-nu
  15. 15. 2009-nu
  16. 16. Fast forward naar januari 2017 >>>
  17. 17. “We hebben gehoord dat verouderde cryptografie wordt gebruikt in het stemproces. Wat is hier de impact van Sijmen?” RTL Nieuws
  18. 18. “Wordt software gebruikt?! Waar dan? We stemmen toch op papier? Mijn eerste reactie
  19. 19. RTL Nieuws vertelt: • Stemmen met potlood en papier • Handmatig stemmen tellen • Maar dan.. 2009-2017
  20. 20. • Gemeentes vullen stemtotalen in computerprogramma in • USB-stick met uitslag wordt naar kiesdistrict gereden 2009-2017
  21. 21. 1. Lokaal stembureau : paper 2. Centraal stembureau : digitaal 3. 20 kiesdistricten : digitaal 4. Kiesraad : digitaal 2009-2017
  22. 22. “Dit kan niet waar zijn!” Mijn eerste reactie
  23. 23. YouTube-video YouTube
  24. 24. • Eén hoofd webserver • Via intern gemeentenetwerk inloggen op stemoptel webapplicatie Risico’s: • Geen beveilgde HTTPS verbinding actief Client-server architectuur
  25. 25. • Geen beveiligingsbeleid • Geen beveiligingscontroles • Bring your own computer en USB-stick Bring Your Own Device
  26. 26. Maar! “WiFi moet uitgeschakeld zijn” Met internet verbonden computers
  27. 27. • AutoRun • BadUSB • RubberDucky USB stick aanval
  28. 28. Controlecode wordt geprint
  29. 29. SHA1 hash vergelijken
  30. 30. Mail de verkiezingsuitslagen maar
  31. 31. • Ontwerpfase: Geen IT security expert / hacker geraadpleegd • Testfase: Geen security testen uitgevoerd • Gedeeltelijk open source • Logs niet centraal verzameld • Geen inbraakpreventiesysteem actief • Geen geautomatiseerde security en fraude monitoring ingeregeld • Integriteit OSV is moeilijk te valideren, te omzeilen en optioneel • … De lijst gaat door
  32. 32. • Drie uur aan YouTube-video’s en PDF-documentatie later • Conclusie: “Zeer eenvoudig te hacken” • RTL valideert het onderzoek en publiceert het op Tv Samenvattend
  33. 33. • Negeren: Initieel kregen journalisten geen contact. • Ontkennen: Naar journalisten:“Vertrouw ons, het is veilig” • Dreigen: Naar journalisten: “We zullen wel zien voor wie dit een probleem gaat worden” Antwoord Kiesraad
  34. 34. • Student Maarten Engberts bleek in 2011 ook ernstige lekken in het systeem te hebben aangetoond, maar werd genegeerd (!) • Maarten ging daarom full disclosure • De software werd nog steeds niet aangepast Problemen jaren genegeerd
  35. 35. • 2 dagen na publicatie: Plasterk verbiedt OSV • Gemeentes reageren boos: “Dit kan opgelost worden” Reacties op publicatie
  36. 36. Reacties op publicatie • Plasterk: “Wow, wat een reacties! Heb het al druk en de verkiezingen komen eraan. Vooruit, Excel mag wel.”
  37. 37. “OSV is inderdaad erg onveilig” Fox-IT is ingehuurd
  38. 38. • Gemeentes: “Excel? We willen OSV terug!” • Leverancier: “We kunnen het oplossen. Geen USB sticks meer en offline werken. Gebruik SHA256. Dan is het weer veilig.”” • Plasterk: “Oké, doen. Tevens mag OSV dan alleen voor tijdelijke uitslag gebruikt worden.” Reacties op publicatie
  39. 39. Veel verbeteringen zijn inmiddels doorgevoerd: • Op de dag van de verkiezingen voorlopige uitslag met OSV • Na paar dagen definitieve uitslag na handmatig optellen • Resultaten van lokale stemlokalen gepubliceerd in lokale kranten en op websites • Er zijn hier en daar hertellingen uitgevoerd Huidige status
  40. 40. • Stemproces kon van 1991 tot 2017 gehackt worden: 26 jaar • We hebben geen idee of er gehackt is. Nooit op gecontroleerd en kon ook niet: geen logs bijgehouden. • Stemtotalen worden na 3 maanden vernietigd. Terugkijkend
  41. 41. Ondertussen
  42. 42. • Digitaal • Centrale opslag van klant- en zaakdossiers • Webapplicaties • Internet-facing • Interactie met burgers • En dus: Zeer reële kans om een keer gehackt te worden! Zaakgericht Werken
  43. 43. • Betrek IT security specialisten vroegtijdig • Zet IT security hoog op managementagenda • Stel hackrisicoanalyses op • Voer security-by-design en privacy-by-design in Veilig software ontwikkelen en beheren
  44. 44. • Creëer security awareness • Laat IT-personeel security cursussen volgen • Richt specifieke security monitoring in (IDS, IPS, SOC, SIEM) • Test regelmatig of gehackt kan worden • Richt betrouwbare logging in en voer hier audits op uit Veilig software ontwikkelen en beheren
  45. 45. sijmen.ruwhof.net twitter.com/sruwhof

×