Defcon toont (opnieuw) kwetsbaarheid van stemmachines aan
Afgelopen weekend vond in Las Vegas Defcon, de grootste hackersconferentie ter wereld, plaats. Daarbij kregen hackers de kans om Amerikaanse stemmachines te kraken, met succes.
Defcon is al meer dan twintig jaar een hoogmis voor ethische hackers. Ze kunnen er hun bevindingen demonstreren, maar ook ter plaatse aan de slag gaan om hun kunsten te tonen.
Sinds vorig jaar heeft de organisatie ook een ‘voting village’ georganiseerd waar bezoekers met afgedankte Amerikaanse stemmachines aan de slag kunnen. Zo kunnen onontdekte bugs en kwetsbaarheden aan het licht komen, maar ook technieken om de verkiezingen te beïnvloeden.
Een van de aanwezigen kon een stemmachine, weliswaar na een paar uur werk, omvormen tot jukebox, meldt CNN. Daarbij kon hij toegang krijgen tot het besturingssysteem (Windows 4.1) en dat vervangen door Linux waarna hij zijn eigen laptop kon aansluiten.
De organisatoren willen ook aandacht voor de (overheids)websites die de verkiezingsuitslagen aankondigen. “Maar het is jammer genoeg zo makkelijk om een website te kraken, dat hackers het te saai zouden vinden,’ vertelt organisator Jake Braun aan CNN. Mede daarom bieden ze een kopie van de sites aan voor kinderen tussen 6 en 11.
Dat bleek niet zonder succes. Een meisje van 11 wist een replica van de uitslagenwebsite van Florida op slechts tien minuten te kunnen kraken. De jonge deelnemers kregen volgens Buzzfeed daarbij instructies over hoe ze een SQL-injectie moesten uitvoeren. Een techniek die vaak gebruikt wordt om sites te manipuleren.
De VS houdt haar adem in voor de midterm elections in november. Enerzijds is er de beïnvloeding via social media met misleidende berichten. Anderzijds is er het risico dat de stemcomputers, de database met kiezers of het rapporteren van de stemmen op een of andere manier wordt beïnvloed.
Door afgedankte stemmachines te kraken wil Defcon aandacht voor de problematiek. Het is al het tweede jaar dat het dat doet. Vorig jaar kon een deense securityspecialist zo aantonen dat hij een stemmachine met aanraakscherm kon manipuleren, een aanval die hij kon uitvoeren vanaf 300 meter afstand. Naast de jukebox-transformatie kon een andere hacker dan weer demonstreren hoe ze op amper twee minuten tijd zonder hulpmiddelen admin toegang kreeg tot een stemmachine.
‘Niet realistisch’
Maar de opzet van Defcon krijgt ook kritiek. Niet omdat de hackers stemmachines kraken, wel omdat de opzet niet realistisch zou zijn. Zo zegt NASS, de vereniging van topambtenaren uit de verschillende Amerikaanse staten dat dergelijke pseudo-opstellingen de werkelijkheid niet reflecteren.
“Conferentiebezoekers voorzien met onbeperkte fysieke toegang tot stemmachines, waarvan de meesten niet langer worden gebruikt, repliceert niet de manier waarop de staat of lokale overheiden fysiek en digitaal beveiligen met de verkiezingen,” klinkt het in een verklaring.
De organisatie zegt hetzelfde over de verbindingen van de machines. ‘Veel staten gebruiken unieke netwerken en op maat gemaakte databases met nieuwe en aangepaste securityprotocols.”
Fout opgemerkt of meer nieuws? Meld het hier