Het is al vele keren eerder vertoond: computernerds die aantonen hoe gemakkelijk het kan zijn systemen te kraken waarvan we dachten dat onze gegevens er veilig waren. Zulke systemen zijn er in overvloed: van onze eigen PC tot centrale servers voor internetbankieren en persoonsregistratiesystemen bij het gemeentehuis. Keer op keer brengen al dan niet kwaadwillende hackers beveiligingslekken aan het licht. Kortom: alles is te hacken.

Een stemmachine die in België in gebruik is.

Ciudadania Digital CC BY-SA 4.0

Vorige maand was het Rop Gonggrijp, oprichter van Nederlands eerste internetprovider XS4all, die de alarmbellen deed rinkelen. Met zijn actiegroep ‘Wij vertrouwen stemcomputers niet’ liet hij in een documentaire voor het TV-programma EénVandaag zien hoe gemakkelijk het eigenlijk is om de computer te kraken die tegenwoordig aan de basis van onze democratie staat: de stemmachine. Gonggrijp wordt in zijn ‘coalitie van bezorgde burgers’ vergezeld door onder andere softwaredeskundige Peter Knoppers (TU Delft), Maurice Wessling van de digitale burgerrechtenorganisatie Bits of Freedom, en onderzoekster Anne-Marie Oostveen (Rathenau Instituut).

Reverse engineering

Gonggrijps groep wist de hand te leggen op enkele stemmachines van fabrikant Nedap, die de apparaten levert waarop de overgrote meerderheid (ca. 90%) van de Nederlanders zijn stem uitbrengt. Opmerkelijk is dat een gemeente tamelijk probleemloos een compleet stemsysteem (de stemcomputer inclusief geheugenkaarten, bijbehorende kaartlezers en software voor het centraal verzamelen van de uitslagen) ter beschikking stelde. Een andere gemeente verkocht zelfs twee Nedapcomputers en bijbehorende verwerkingsapparatuur.

In vijf weken tijd kregen de computerexperts uit de groep zicht op het apparaat via ‘reverse engineering’ – in goed Nederlands: slim uit elkaar halen. Ze stelden vast hoe de machine werkt en kregen het voor elkaar er nieuwe software voor te schrijven. Het herprogrammeren van de stemmachine was vervolgens niet moeilijker dan het vervangen van een chip in het technische hart van het apparaat, zo liet de EénVandaag documentaire zien. Dat de desbetreffende stemcomputer de verkiezingsuitslag manipuleert is dan vrijwel ondetecteerbaar, zo werd pijnlijk duidelijk.

Een AccuVote stemmachine.

Joebeone CC-BY-2.5

Verouderd systeem

Vanuit de gedachte dat alles te hacken is, kan het weinig verwondering wekken dat fraude met stemcomputers mogelijk is. Relevant is vooral hoe eenvoudig de uitvoering is. Op het eerste gezicht lijkt het vooral te gaan om het simpelweg verwisselen van chips, waar een beetje bandiet met een breekijzer en een schroevedraaier zijn hand niet voor omdraait. Maar om zover te komen is er wel de nodige gespecialiseerde computerexpertise nodig, zo blijkt uit een Engelstalig PDFdocument dat ‘Wij vertrouwen stemcomputers niet’ op de eigen site publiceerde.

Het document beschrijft tot in detail hoe een Nedap ES3B stemcomputer werd ontleed. Het elektronische hart van de stemmachine blijkt een Motorola 68000 processor. Dat is een verouderd processortype dat halverwege de jaren tachtig van de vorige eeuw het puikje van de zalm was in (spel)computers van onder andere Commodore en Atari. In de jaren daarna werd de processor veelvuldig gebruikt in allerlei apparatuur zoals de CD-i speler van Philips. Nedaps stemcomputer bevat verder onder andere 256 kB aan ‘EPROM’ geheugenmodules (2x 128 kB) die de software bevatten en een 8 kB herschrijfbare EEPROM module waarin onder andere machinesettings worden opgeslagen.

Over de manier waarop stemcomputers geprogrammeerd zijn, doen overheid en fabrikanten erg geheimzinnig, juist om het lastig te maken met de machines te knoeien. Zelfs al zou je er bij kunnen, als je niet weet hoe het werkt kun je het niet makkelijk veranderen, zo is het idee. De hackers van ‘Wij vertrouwen stemcomputers niet’ slaagden er evenwel in de werking van de machine te doorgronden zonder precieze kennis van de software-code opgeslagen in de EPROMs. Daarvoor brachten ze onder andere de communicatie tussen de verschillende componenten van de computer in kaart en correleerden dit met een analyse van de binaire inhoud van de EPROMs. De relatieve eenvoud van het haast ‘antieke’ systeem speelde hen daarbij in de kaart.

Ook het vastleggen van de binaire inhoud van de uitneembare geheugenkaart waarop de stemresultaten worden vastgelegd, bleek opmerkelijk eenvoudig. Dit was mogelijk via de ‘onderhoudsmode’ van de ISS-registratiesoftware, bedoeld voor medewerkers van Nedaps verkiezingenhelpdesk. Het eenvoudig te achterhalen wachtwoord voor toegang tot deze mode bleek _GEHEIM_… Via het zorgvuldig ‘afluisteren’ van de elektronische communicatie tussen de PC met het Integraal Stem Systeem en de kaartlezer kregen de hackers de informatie die ze nodig hadden om zelf een programmaatje te schrijven voor het digitaal uitlezen van de geheugenkaart. Dit verschafte inzicht in de manier waarop de stemcomputer partijen, kandidaten en stemmen op de kaart vastlegt.

Nedap PowerFraud

Met het verkregen inzicht in de werking van de stemcomputer togen de hackers aan het werk om nieuwe software te schrijven die de beoogde stemfraude mogelijk zou maken. Dit ‘Nedap PowerFraud’ programma werd vastgelegd in een nieuwe EPROM die – zoals in de EénVandaag documentaire te zien was – eenvoudig te verwisselen is met een orgineel exemplaar uit de Nedap-machine. Via diverse slimmigheidjes zorgden de hackers ervoor dat de elektronica de frauduleuze handelingen pas uitvoert vlak voordat de verkiezing wordt afgesloten. Ze maakten daarbij handig gebruik van de mogelijkheden van de herschrijfbare EEPROM geheugenmodule van het systeem.

Opmerkelijk is dat de techneuten van ‘Wij vertrouwen stemcomputers niet’ het naar eigen zeggen voor elkaar hebben gekregen om ‘Nedap PowerFraud’ zodanig in te richten dat een frauduleuze EPROM al kan worden aangebracht vóórdat deelnemende partijen en kandidatenlijsten bekend zijn. De fraudesoftware is in staat ingevoerde partijnamen te vergelijken met een voorgeprogrammeerde lettervolgorde en stelt aan de hand daarvan de ontvanger van de gestolen stemmen vast.

Hoe de illegaal begunstigde partij bij het voorbereiden van de stemcomputer op de verkiezingen in het systeem wordt ingevoerd – welk lijstnummer de partij krijgt, bijvoorbeeld – maakt dan niet meer uit. De stemmachine kan zo in principe verkiezing na verkiezing blijven frauderen. Hiermee wordt het veelgehoorde argument weerlegd dat geknoei met de stemcomputers bij de producent zinloos zou zijn omdat verkiezingslijsten dan nog niet bekend zijn.

Een stemmachine met ‘jellybuttons’ die geschikter zou zijn voor mensen met een lichamelijke handicap.

CC BY 2.0

CC BY 2.0

Laconiek

De vraag is natuurlijk of het bestaan van de mogelijkheid ook betekent dat deze benut zal worden. Producent Nedap schrijft op zijn website op typisch Achterhoekse laconieke wijze dat de actiegroep van Gonggrijp zich beter ‘Wij vertrouwen mensen niet’ kan noemen. Dat is wat al te kort door de bocht. Het is de verdienste van ‘Wij vertrouwen stemcomputers niet’ dat ze een aantal belangrijke problemen aan het licht heeft gebracht. Behalve de technische fraudemogelijkheid is er ook de kwestie van de toegang tot de machines. In het Nederlandse kiesstelsel moet er op vele stembureaus gefraudeerd worden om tot een significante verstoring van het verkiezingsresultaat te komen. Het aantal stemmen nodig voor een zetel in de Tweede Kamer is afhankelijk van de opkomst, maar loopt al gauw richting de 60.000. Wie die stiekem wil behalen zal heel wat stemmachines moeten aanpassen. Dat blijkt echter een stuk minder lastig dan gedacht.

In Rotterdam, waar het EénVandaag team een bezoek bracht aan de opslagloods in de Waalhaven, bleken 400 stemcomputers via een onbeveiligd dakraam toegankelijk. Burgemeester Ivo Opstelten was dan ook één van de eersten om aan te kondigen dat de beveiliging van de stemcomputeropslag aangescherpt zou worden. De loods krijgt een alarmsysteem dat aangesloten is op de politiemeldkamer. In nieuwe richtlijnen heeft het ministerie van Binnenlandse Zaken en Koninkrijkszaken ook bij andere gemeenten aangedrongen op scherpere beveiliging van de stemcomputers.

Controleerbaarheid

Inmiddels heeft producent Nedap aan de hand van de jongste bevindingen alle ruim 8000 geleverde apparaten gecontroleerd, aangepast en verzegeld, om zo de kans op misbruik te minimaliseren. Dankzij de genomen maatregelen heeft de actie van ‘Wij vertrouwen stemcomputers niet’ er in zekere zin voor gezorgd dat de kiezer op 22 november met méér vertrouwen op de knop kan drukken dan voorheen.

Toch blijft er iets knagen. Het gaat namelijk niet alleen om vertrouwen in het systeem, maar ook om de controleerbaarheid. En in de manier waarop de stemcomputers nu gebruikt worden ligt daar een fundamenteel probleem. Er mag een minimale kans zijn dat er fraude wordt gepleegd, als er sprake is van fraude is die nauwelijks te detecteren en de omvang niet vast te stellen.

Een illustratie hiervan is een incident bij de raadsverkiezingen van 7 maart in de gemeente Landerd in Zeeland. Het openbaar ministerie besloot eind augustus één van de te verkiezen raadsleden te vervolgen omdat deze opvallend veel voorkeursstemmen kreeg op het stembureau waar hij als lid assisteerde. Hoe de man dit precies voor elkaar kreeg is nog onderwerp van onderzoek, al lijkt er niet in technische zin geknoeid met de stemmachines. Maar wat er ook onderzocht wordt, in welke mate precies is gefraudeerd met de uitgebrachte stemmen zal altijd een raadsel blijven. Alleen aan de hand van een enquete achteraf kon worden vastgesteld dat er in het betreffende stemdistrict veel meer voorkeursstemmen waren geregistreerd dan de kiezers zelf hadden uitgebracht (dat wil zeggen: dachten te hebben uitgebracht).

Hardcopy

Van vele kanten wordt nu betoogd dat de betrouwbaarheid van het kiezen per stemcomputer sterk zou verbeteren als de stemcomputer voor iedere kiezers een stembewijs print, dat vervolgens – net als vroeger – ter controle in een stembus gaat. Daarmee heeft iedereen direct de mogelijkheid te controleren of de computer zijn werk goed doet – tenzij hackers natuurlijk ook met de printmodule hebben geknoeid. Maar zelfs als er van fraude sprake blijkt te zijn bevat de stembus altijd het ‘hardcopy’ bewijs van de werkelijk uitgebrachte stemmen.

Natuurlijk is het daarbij van belang in voldoende mate via steekproeven te controleren of de stembusinhoud wel overeenkomt met de optelsom die de stemcomputer heeft gemaakt. Pas als dat het geval is kan de burger voldoende vertrouwen hebben dat de landelijk gepresenteerde verkiezingsuitslag de juiste is, dat grootschalige fraude is uitgebleven en dat de democratie dus niet gehackt is.

En verder….

Verder is er ook nog de kwestie van de 1200 stemmachines waarvan de verantwoordelijke minister Atzo Nicolaï per 1 november het gebruik voor onbepaalde tijd heeft verboden. Dat heeft niets te maken met fraudegevoeligheid, maar met een ander aspect waarop ‘Wij vertrouwen stemcomputers niet’ ook de aandacht vestigde. Het gaat hier om elektromagnetische straling van de displays van de stemcomputers. Opmerkelijk genoeg is vooral Nedaps concurrent SDU hierbij in beeld, hoewel SDU in principe een moderner type stemcomputer produceert dan het door Gonggrijp c.s. doorgelichte Nedap-apparaat. Nog veel meer dan de Nedap machines blijkt het display van de SDU computer straling uit te zenden aan de hand waarvan is vast te stellen welke stem de kiezer heeft uitgebracht. Over de kans dat zoiets gebeurt valt te twisten; het is namelijk lastig in het geniep uit te voeren omdat je als een volleerd geheim agent met richtantennes en detectieapparatuur in de weer moet in de nabijheid van de stemmachine. Maar in principe valt met die machines het stemgeheim niet meer te waarborgen en daarom zijn ze tot nader order in de mottenballen gezet. Het gaat om 35 gemeenten die geen gebruik mogen maken van de Sdu stemmachines. 24 daarvan zullen de kiezers potlood en stembiljet aanbieden, in 11 gemeenten worden Nedap machines geplaatst. Inmiddels is overigens ook duidelijk geworden dat één van de vier typen machines van Nedap niet gebruikt mag worden. De fabrikant levert de betrokken gemeenten vervangende apparaten.