Een team van de Universiteit van Michigan nam de uitdaging aan van de kiesraad in Washington DC om enkele weken voordat een nieuw e-verkiezingssysteem zou worden gebruikt voor verkiezingen voor een schoolraad, deze te testen op de beveiliging. Op de deze week gehouden RSA 2012 conferentie in San Francisco deed het team uit de doeken hoe het dat aanpakte.

Professor Alex Halderman van de Universiteit van Michigan onderzocht met twee studenten eerst de software, en binnen een paar uur vonden ze een kwetsbaarheid voor shell injection in de op Ruby on Rails gebouwde applicatie. Via de kiessoftware konden ze inloggen op de terminal server die werd gebruikt door de applicatie, wat overigens makkelijk was omdat zowel gebruikersnaam als wachtwoord “admin" bleken te zijn, zo verhaalt The Register.

Bestand met authenticatiecodes

Vervolgens struinden ze de overheidsservers af op zoek naar meer kwetsbaarheden en ze ontdekten dat de camera's die het verkiezingsproces in de gaten moesten houden, niet beschermd waren. Zo konden ze zien wanneer het personeel zijn werkdag afsloot en ze ongestoord met de servers aan de gang konden. Het team vond vervolgens een pdf-bestand met de authenticatiecodes van elke stemgerechtigde in Washington DC voor de komende verkiezingen.

Halderman en zijn team pasten de stembiljetten die ze in het systeem vonden aan, zodat deze op geen van de genomineerde kandidaten stemden. Vervolgens werden fictieve ict-namen ingevuld als kandidaten voor het voorzitterschap van de schoolraad, zoals Skynet en de alcoholistische, kettingrokende robot Bender. Ze veranderden het systeem zo dat als er nieuwe stembiljetten werden aangemaakt, deze automatisch onder de controle van het universiteitsteam zouden komen.

Meer kapers op de kust

Overigens bleek het universiteitsteam niet de enige die graag wilde rondneuzen in het systeem. Halderman ontdekte aanvallen vanuit China, India en de Perzische Golf universiteit, zo beschrijft hij in een omvattend, en met veel technische details, rapport over de zaak. Zijn team wist die aanvallen af te slaan, gebruikmakend van hun positie in het systeem.

De actie van het universiteitsteam werd pas ontdekt nadat een stemmer zich in een emailtje afvroeg wat het afsluitende muziekje nu was als de stem succesvol was uitgebracht. Dat afsluitmuziekje was door het universiteitsteam geplaatst en was voor de systeembeheerders dus onbekend. Na de ontdekking werd het systeem offline gehaald.

E-voting nog niet veilig genoeg

Volgens Halderman toont de actie aan dat e-voting nog niet veilig genoeg is om toe te passen. In 33 Amerikaanse staten worden dergelijke systemen gebruikt. Geen van alle zouden veilig genoeg zijn, zo bleek tijdens RSA 2012. Maar na verkiezingen wordt nooit een forensisch onderzoek ingesteld naar eventuele hackpogingen.