Vrij Nederland: Ook al stemmen we met potlood, de verkiezingen zijn toch te hacken

Op de Hack In The Box hackersconferentie liep ik zonder het te weten Gerard Janssen tegen het lijf – journalist bij Vrij Nederland. Hij schreef het volgende uitvoerige verhaal erover in de krant:

Tekst: Gerard Janssen
Beeld: Nina Limarev / Shop Around
Leestijd: 11 tot 14 minuten

Ik spreek Ruwhof bij Hack In The Box, een conferentie die eerder deze maand werd georganiseerd in de Beurs van Berlage. Security professionals uit de hele wereld laten er zien hoe de dreigingen van nu eruitzien. Hijskranen, chemische fabrieken en zelfs satellieten zijn te hacken. Regelmatig klinkt er hoongelach uit een van de zalen. Als er één wereld is waarin de werkelijkheid de fictie overtreft, dan is het wel de wereld van de computerbeveiliging en de hackers. Een dagje Hack In The Box en je hebt genoeg materiaal voor drie seizoenen Homeland.

Rop Gonggrijp verdient een standbeeld. Niet alleen in Nederland, maar ook in Duitsland. Gonggrijp was in de jaren tachtig al een hacker. Hij is de oprichter van internetprovider XS4ALL en van hackersmagazine Hack-Tik. Het was ook Rop Gonggrijp die in 2006 de stichting ‘Wij vertrouwen stemcomputers niet’ oprichtte. Aan het einde van dat jaar liet hij op televisie zien hoe makkelijk een stemcomputer te hacken was. In mei 2008 besloot de Tweede Kamer daarop dat verkiezingen met potlood en papier moeten worden gedaan.

Gonggrijp demonstreerde zijn hack ook op het congres van de Chaos Computer Club (CCC), een groot hackersnetwerk in Duitsland. Ook in Duitsland wordt daarom nog met het potlood gestemd.

Het lijkt vreemd dat we met dank aan een oude hacker nog steeds met potlood en papier stemmen. Maar hoe meer mensen van computers begrijpen, hoe groter de liefde voor parallelle processen die niet van computers afhankelijk zijn. Tijdens de vierjaarlijkse zomerkampen van de Duitse Chaos Computer Club leggen de hackers bijvoorbeeld een infrastructuur voor buizenpost neer, gegarandeerd niet af te luisteren door de NSA. Een oude hacker knikt instemmend als hij bij een brug een mechaniek ziet waarmee de brug ook handmatig dichtgedraaid kan worden.

Hoe meer mensen van computers begrijpen, hoe groter de liefde voor parallelle processen die niet van computers afhankelijk zijn.

‘Vroeger stond bij iedere brug een brugwachter die een brug open of dicht kon zetten,’ zegt ethisch hacker Sijmen Ruwhof, ‘dat kon natuurlijk goedkoper. Nu kun je door een druk op de knop honderden bruggen openzetten vanuit één centraal punt. Wat als een kwaadwillende hacker al die bruggen openzet en de aansturingssoftware kapot maakt?’

Ik spreek Ruwhof bij Hack In The Box, een conferentie die eerder deze maand werd georganiseerd in de Beurs van Berlage. Security professionals uit de hele wereld laten er zien hoe de dreigingen van nu eruitzien. Hijskranen, chemische fabrieken en zelfs satellieten zijn te hacken. Regelmatig klinkt er hoongelach uit een van de zalen. Als er één wereld is waarin de werkelijkheid de fictie overtreft, dan is het wel de wereld van de computerbeveiliging en de hackers. Een dagje Hack In The Box en je hebt genoeg materiaal voor drie seizoenen Homeland.

DUISTERE KRACHTEN
De hackerswereld, zoals je die aantreft bij Hack In The Box, heeft iets van Star Wars. Aan de ene kant zijn er de vrijheidsstrijders die vechten voor open internet en privacy: de oude vrienden van Gonggrijp die verbonden zijn aan initiatieven als The Internet Archive, een internetversie van de oude bibliotheek in Alexandrië. Of Mitch Altman, die met zijn haar in regenboogkleuren al decennia soldeerworkshops geeft op honderden hackersconferenties en de geestelijk vader is van het internationale hackersmotto ‘No leaders and only one rule: be excellent to each other’.

Als een hacker iets vindt, kan hij overlopen naar de dark side en die kennis verkopen. Voor een bedrag met minstens vijf nullen.

Aan de andere kant zijn er de duistere krachten. De bedrijven DarkMatter en Aboob zijn prominent aanwezig met grote stands. Dit zijn bedrijven uit de Verenigde Arabische Emiraten en Saoedi-Arabië die niet alleen de beveiliging van oliemaatschappijen en kritieke infrastructuur verzorgen, maar ook actief op zoek zijn naar zerodays, kwetsbaarheden die niemand anders nog kent en waarmee inlichtingendiensten als een scherpschutter toegang kunnen krijgen tot de telefoons of computers van een strijder in Jemen, een medewerker van Amnesty International of een kritische journalist van de Washington Post.

Als een hacker iets vindt – zoals de recent ontdekte hack waarmee je via het sturen van een WhatsApp-berichtje een telefoon kunt binnendringen – kan hij overlopen naar de dark side en die kennis verkopen. Voor een bedrag met minstens vijf nullen.

In het midden van de Beurs van Berlage zitten jongens en meisjes in groepjes van drie aan tafels. Alsof ze in de klas zitten. Ze doen mee aan een spel dat Capture The Flag heet, een hackcompetitie. Hackers proberen een denkbeeldig land of bedrijf naar hun hand te zetten. Op een elektronisch scorebord is te zien welk team tot nu toe de meeste hacks succesvol heeft voltooid. Het winnende team kan 1500 dollar winnen en een ticket naar de CTF-competitie in Dubai, waar meer dan 100.000 dollar te verdelen is. Speciale beheerders monitoren de netwerken. Het zal niet de eerste keer zijn dat een team met een hopeloze achterstand het scorebord hackt.

EEN HEEL HACKERSLEVEN
Sijmen Ruwhof doet niet meer mee aan CTF’s. Als iemand die weggelopen is uit een fotoshoot voor een Italiaans herenblad loopt hij over het hackersfestival. Om zijn pols een analoog horloge. Hij is een geslaagd ethisch hacker, iemand die in opdracht van een bank soms tienduizenden euro’s budget krijgt en maanden de tijd om hun bank te hacken, zoals Oost Europese-criminelen dat ook zouden doen.

Of hem dat lukt, mag hij niet zeggen. Hij heeft zo’n zeshonderd beveiligingstesten uitgevoerd bij banken, energiecentrales en de overheid. Ruwhof is pas 33 jaar oud maar hij heeft al een heel hackersleven achter de rug. Voor het geld hoeft hij niet meer te werken. ‘Mijn drijfveren om de wereld veiliger te maken zijn alleen maar groter geworden.’

Het begint met een phishingmailtje bij de servicebalie of de koffieleverancier, en het eindigt met het overmaken van miljoenen dollars.

Hij probeert computersystemen te beschermen tegen APT-aanvallen, Advanced Persistent Threats van groepen met grote budgetten die maanden en soms jaren de tijd nemen om met de laatste hackerstechnieken slechte dingen te doen. Criminelen beginnen vaak met een phishingmailtje bij de servicebalie of de koffieleverancier, en het kan eindigen met het overmaken van tientallen miljoenen dollars vanuit de best beveiligde terminal van een bank, zoals de centrale bank van Bangladesh is overkomen in 2016.

Op de website van MITRE, een door de Amerikaanse overheid gefinancierd onderzoeksbureau, is te zien dat er ongeveer tachtig van dergelijke groepen bekend zijn, met namen als Carbanak, Dragonfly en het inmiddels welbekende Cozy Bear.

WHAT THE FUCK!
Als Sijmen ziet dat ik een mediapasje draag, schrikt hij. Hij legt me uit waarom er in de hackersgemeenschap zo’n afkeer is van journalisten. ‘We hebben allemaal zulke stapels geheimhoudingsverklaringen getekend, maar het is ook belangrijk dat we in vertrouwen met elkaar blijven praten om van de laatste ontwikkelingen op de hoogte te zijn. Om bedrijven beter te kunnen beschermen tegen aanvallen. Dit is een veilig gebied voor ons. Hier ontmoet ik mijn collega-hackers. Vrijdenkers. Daar wil ik geen journalist bij hebben die leuk allemaal grappige dingetjes opschrijft. Dat kan ons onze baan kosten.’

Maar dan verandert zijn blik. ‘Waar je trouwens wél over moet schrijven…’ – zijn ogen worden vierkant van woede, ‘…de verkiezingen!’

Twee jaar geleden kreeg Ruwhof een telefoontje van een journalist van RTL Nieuws. Het ging over de verkiezingen. De journalist vroeg of de SHA1-encryptie niet verouderd was.

De stemcomputer was weliswaar buiten de deur gebleven, maar de optelcomputer was ervoor in de plaats gekomen. Ruwhof viel bijna flauw van schrik.

‘Jazeker,’ zei Ruwhof, ‘maar waarom vraag je dat? Het stemmen gaat toch niet met een computer? Alles wordt toch ook met de hand geteld?’

Hij kreeg te horen dat het stemmen zelf weliswaar met de hand ging, maar dat de stemtotalen per gemeente en per kieskring met computers bij elkaar opgeteld werden. Bij de Kiesraad werden alle resultaten uiteindelijk bij elkaar opgeteld. Ook weer met een computer.

De stemcomputer was weliswaar buiten de deur gebleven, maar de optelcomputer was ervoor in de plaats gekomen. Ruwhof viel bijna flauw van schrik. What The Fuck!

47 KWETSBAARHEDEN
Hij besloot er helemaal in te duiken, alsof het verkiezingsproces een bank was, en vond 47 kwetsbaarheden in het proces. De optelsoftware zelf was ook lek. Een hacker met toegang tot een computer kon die makkelijk veranderen.

Een groot item bij RTL4 volgde. Minister Plasterk liet Fox IT een onafhankelijk onderzoek doen en verzekerde daarna op televisie – met hoed op – dat het anders moest. Alle stemmen zouden met de hand geteld worden. Misschien wat overdreven, het ging om ‘exotische scenario’s’, maar dan was er in ieder geval geen twijfel of hackers invloed hadden gehad. De buitenlandse pers pikte het ook op. Nederland ging weer met de hand tellen uit angst voor Russische hackers.

Dus niet.

Het besluit van Plasterk is stilletjes teruggedraaid. De gemeenten vinden het lastig om met de hand alle resultaten uit de stemlokalen bij elkaar op te tellen. ‘Sommigen hebben het ook niet gedaan. Het was lastig en de Kiesraad heeft geconstateerd dat er daarbij ook fouten zijn gemaakt die leiden tot telverschillen,’ zei minister Ollongren in antwoord op Kamervragen.

Het is bijna absurd. Het met de hand reproduceren van de uitkomsten van – mogelijk met malware besmette – computers lukte bij de voorgaande verkiezingen niet en is daarom maar gestopt. Het enige Kamerlid dat door lijkt te hebben hoe vreemd deze redenatie is, is GroenLinks-Kamerlid Nevin Özütok. Ze benoemt dat ook, maar de rest van de Kamerleden zit als gelobotomiseerde muppets in de leegte te kijken. Of naar een smartphone.

Het is een koud kunstje om de leverancier van de software te hacken en de software daar al aan te passen.

Volgens de minister is er geen reden tot zorg, vooral omdat de optelcomputers los staan van het internet. Er is een air gap. Bovendien moeten dezelfde gegevens twee keer in een andere computer ingevoerd worden, in een af te sluiten ruimte, door gebruikers die gelogd worden en een speciaal wachtwoord hebben.

Maar daar schrikken hackers van het kaliber Ruwhof niet van. Allereerst is het een koud kunstje om de leverancier van de software te hacken en de software daar al aan te passen. Het is ook niet moeilijk om de software te kopiëren, aan te passen, zelf cd’s te maken en de cd’s om te wisselen.

DÉJA VU
Inderdaad: de ondersteunende software staat op cd. Veel moderne computers hebben geen cd-drive, dus zal de cd op een usb-stick gekopieerd worden die geïnfecteerd kan zijn. En ook een externe cd-lezer kan geïnfecteerd zijn.

Als aanvallers fysieke toegang kunnen krijgen tot de gemeentecomputers, kunnen ze die met usb-sticks infecteren. Ook kunnen hackers kleine hackgadgets met sim-kaartjes in het netwerk van de computer hangen, waarmee de airgap overbrugd kan worden.

Ten slotte kunnen ze de computer dusdanig bewerken dat het lijkt alsof ze geen wifi-verbinding hebben, maar het toch hebben. Er kan software geïnstalleerd worden die het mogelijk maakt om via computerspeakers met ultrageluid te communiceren. ‘Bij ons is het een basisregel,’ zegt Ruwhof: ‘als wij als hackers direct toegang hebben tot een computer, dan is het game over.’

Het beroemdste voorbeeld is Stuxnet, dat al bijna tien jaar gleden via een usb-stick een air gapped netwerk in een Iraanse nucleaire fabriek infecteerde.

Het contact hoeft ook niet in de dagen voor de verkiezingen plaats te vinden, het kan maanden ervoor zijn gebeurd, wanneer nog niemand in een gemeentehuis aan verkiezingen denkt.

En fysieke toegang is niet eens nodig. Onderzoekers van de Ben-Gurion Universiteit in Israël hebben data uit computers weten te krijgen die niet alleen los stonden van het internet, maar zich ook nog in een kooi van Faraday bevonden, een kooi van geleidend metaal die ervoor zorgt dat er geen elektromagnetische golven kunnen ontsnappen.

‘Als er een wedstrijd is tussen de beste hackers van landen als China en Rusland en de IT-beveiligers van gemeentes, dan kom ik niet kijken. Dat is niet leuk om te zien.’

Dit lijkt misschien aluhoedjes-paranoia. Maar de door Edward Snowden gelekte ANT (Advanced Network Technology)-catalogus met apparatuur die de NSA gebruikt om toegang te krijgen tot computers, is na meer dan vijf jaar nog steeds opzienbarend.

Rop Gonggrijp is ervan overtuigd dat een team hackers van het kaliber waar Ruwhof mee werkt, aan de uitslag van de Nederlandse verkiezingen kan sleutelen. ‘Laat ik het zo zeggen,’ zegt hij, ‘als er een wedstrijd is tussen de beste hackers van landen als China en Rusland en de IT-beveiligers van gemeentes, dan kom ik niet kijken. Dat is niet leuk om te zien.’

Voor hem is het inmiddels een déja vu.

‘Het is iedere keer hetzelfde verhaal,’ zegt hij, ‘Rond de verkiezingen is het even nieuws. De Kiesraad belooft beterschap. De volgende verkiezingen wordt alles beter. Dan is het weer uit het nieuws. En vlak voor de volgende verkiezingen is het weer in het nieuws en dan hebben ze geen tijd om het nog aan te passen, maar de volgende verkiezingen… Dan wordt alles beter.’

ONDERSTEUNENDE SOFTWARE IS LEIDEND
In Duitsland speelde hetzelfde als in Nederland. De hackers van de CCC hielden naar aanleiding van de ophef in Nederland ook de Duitse optelsoftware tegen het licht. Ook daar bleek alles zo lek als een mandje. Nu werd in Duitsland alles gelukkig al met de hand opgeteld. De computers berekenen alleen een voorlopige uitslag. Er is drie weken de tijd om de definitieve uitslag te bepalen. Het tellen met de hand is leidend. De ondersteunende software is ondersteunend. Zoals het bedoeld is.

‘Het is onvermogen van de minister. Ze begrijpt het gewoon niet.’

In Nederland zijn de gemeenten niet bereid om de resultaten van de stemlokalen ook zelf handmatig bij elkaar op te tellen en is de ondersteunende software leidend. Dat dit uitgerekend bij de Europese verkiezingen – bij uitstek verkiezingen waarbij het voor buitenlandse mogendheden interessant is om iets te doen – nog gebeurt, is voor zowel Ruwhof als Gonggrijp bijna niet te begrijpen.

‘Het is onvermogen van de minister. Ze begrijpt het gewoon niet,’ zegt Ruwhof.

Zowel Ruwhof als Gonggrijp gooien er krachttermen tegenaan. Ruwhof verzekert me dat Ronald Prins – die inmiddels lid is van de Kiesraad – dat ook wel eens doet. Via deze oud-Fox IT-baas wordt de Kiesraad nu van binnenuit goed op de hoogte gehouden van de dreigingen en mogelijke oplossingen, die Rop Gonggrijp al meer dan tien jaar geleden netjes op een rijtje heeft gezet.

De Kiesraad heeft weinig macht en kan gemeenten niet dwingen om met de hand na te tellen. En als ze de pers te woord staan, kan de Kiesraad moeilijk zeggen dat de verkiezingsprocedure niet deugt. Een woordvoerder van de Kiesraad verzekert me dan ook dat er geen reden is tot zorg. Ze wijst erop dat alle processen verbaal – de uitslagen met een handtekening en een stempel – van alle tienduizend stemlokalen online komen, zodat iedereen de uitslag na kan rekenen. Daarnaast wordt bij de kieslokalen eerst met de hand op lijstniveau geteld.

Ruwhof is ervan overtuigd dat hij met een budget van honderdduizend euro en drie maanden tijd de Nederlandse verkiezingen kan manipuleren. En ook als bedrog zou uitkomen en een handmatige hertelling noodzakelijk blijkt, zal dat onrust veroorzaken, zeker in combinatie met een nepnieuwscampagne.

Het hackersbrein van Ruwhof ziet ook een manier om nog drie maanden na de verkiezing voor onrust te zorgen. ‘Dan worden de papieren processen verbaal vernietigd. Als je dan gaat sleutelen aan de getallen in de digitale pdf’s op gemeentewebsites, kun je die niet meer vergelijken met de originelen.’ Zo kun je dan na drie maanden beweren dat de verkiezingsuitslag niet klopte. Dat kun je ‘bewijzen’ door alle op openbare gemeentesites gepubliceerde getallen bij elkaar op te tellen.

Waar het om gaat, is dat de chain of trust bij de Nederlandse verkiezingen gebroken wordt. De met de hand getelde resultaten van ieder stemlokaal gaan in een zwarte doos in de gemeente, dan in een zwarte doos bij de kieskring en dan in een zwarte doos bij de Kiesraad.

‘We leven in een tijd waarin niemand meer iets gelooft. Juist nu moet je alles op alles zetten om de verkiezingen volledig transparant te maken.’

Gonggrijp heeft er al vaker lang en diep over nagedacht. Hij stelt voor dat bij iedere omzetting van papier naar digitaal een document wordt gemaakt waarop staat welk getal er in de digitale file terecht is gekomen, inclusief alle opmerkingen over verdwenen stemmen of correcties. Digitaal getekend, door een bevoegde ambtenaar. Deze documenten moeten online komen te staan, zodat alle burgers ook de totalen per gemeente en per kieskring kunnen bekijken en checken.

Op deze manier zou het voor iedereen mogelijk zijn om met een eenvoudig Excel-programmaatje de uitslagen na te rekenen. Daar heb je dan geen geavanceerde telsoftware voor nodig. Het proces is volledig transparant.

‘Het is niet zo makkelijk, en het kost wat,’ zegt Gonggrijp, ‘maar de democratie mag wat kosten. Zeker nu. We leven in een tijd waarin niemand meer iets gelooft. Juist nu moet je alles op alles zetten om de verkiezingen volledig transparant te maken.’

About Sijmen Ruwhof

Independent IT Security Researcher / Ethical Hacker
This entry was posted in e-voting, election hacking, interview. Bookmark the permalink.