“Es gibt keinen Wahlcomputer-Hersteller, dessen Geräte nicht gehackt worden wären”
- Constanze Kurz
Ein weiteres Beispiel dazu wurde diese Woche publiziert.
Forscher in den USA haben vor kurzem erfolgreich den Wahlcomputer AVC Advantage der Firma Sequoia gehackt und die Ergebnisse dazu jetzt veröffentlicht. Bemerkenswert daran ist, dass dieses Modell bereits einen eingebauten Schutz gegen Code Injection Angriffe hat. Um das Gerät dennoch manipulieren zu können, hat man sich der relativ neuen Methode des return-oriented programming bedient. Dabei werden quasi Programme gegen sich selbst verwendet.
[Es] werden Teile des normalen Programmcodes der Maschine genutzt, die sich als geeignet für einen Missbrauch im Sinne des Angreifers erweisen. Um das Wahlgerät zu manipulieren, werden entsprechend zusammengestellte Blöcke des eigentlich maschineneigenen Codes eingeschleust. Wie das Team experimentell zeigen konnte, reichen wenige Minuten Zugriff auf den Wahlcomputer in der Nacht vor dessen Einsatz aus, um das Gerät so zu präparieren, dass es am Wahltag unbemerkt die Abstimmung manipulieren kann. Wird das Gerät danach normal ausgeschaltet, verwischt das die Spuren des Hacks. Eventuell ist der Angriff sogar praxisrelevant, da in den US-Bundesstaaten New Jersey und Louisiana Modelle im Einsatz sind, die dem im Experiment gehackten Gerät ähnlich sind.
[pressetext.com]
Beteiligt daran waren Forscher der University of California in San Diego, University of Michigan und der Princeton University.
Die folgenden 2 Videos erläutern den ganzen Hergang und die Durchführung nochmal etwas genauer:
Auf der gerade laufenden Hacking at Random in Holland, demonstrierte der CCC die TEMPEST-Sicherheit von Nedap-Wahlcomputern. TEMPEST steht für Temporary Emanation and Spurious Transmission und bezeichnet die elektromagnetische Abstrahlung von elektrischen Geräten.
Die Demonstration erfolgte allerdings an einem niederländischen Wahlcomputer, wobei die Messwerte eines deutschen Gerätes über den Beamer präsentiert wurden.
[...] Auch Wahlcomputer senden elektromagnetische Strahlen aus, die mit einer entsprechenden Antenne noch aus einigen Metern Entfernung gemessen werden können. Live demonstrierte dies der CCC-Techniker Bogk mit einem Scanner, der die Signale akustisch aufnahm. Eine Erklärung, wie man nach den Erkenntnissen des Physikers van Eck eine solche Strahlung messen und interpretieren kann, bildeten den zweiten Teil des Referats, bei dem anschließend Messergebnisse eines deutschen Geräts “von der Folie” kamen – eine deutsche Nedap-Maschine, die der CCC zuvor analysiert hatte, durfte den Angaben zufolge nicht zum Hackertest reisen. Der CCC will jedoch ein Video nachliefern, das zur Messung gedreht wurde.
Zu dem Thema TEMPEST gab es vor kurzem auch eine Chaosradio-Sendung, die hier nachgehört werden kann. Dabei ging es eher allgemein um die elektromagnetische Abstrahlung von elektrischen Geräten und wie dies für bestimmte Zwecke ausgenutzt werden kann.
Auf die weitere Entwicklung in Österreich werde der Karlsruher Spruch keine Auswirkungen haben, “weil die Rechtslage bei uns eine andere ist”, betonte der stellvertretende Bundeswahlleiter Gregor Wenda. [..] Denn anders als in Deutschland gibt es im Nachbarland kein Öffentlichkeitsprinzip im Sinne eines Jedermannsrechts, der Stimmabgabe und -auszählung beiwohnen zu können;
Zum Thema Sourcecode-Review, die in Österreich nur eine Alibi-Aktion war, meldeten sich ebenfalls andere zu Wort:
Gerald Krummeck, Leiter der Prüfstelle der atsec information security, [..] wünscht sich, dass solche Systeme, wenn sie eingesetzt werden, öffentlich sind. “Closed Source schützt nicht nur Intellectual Property, sondern auch schlechte Programmierung”.
Ein ausführlicher Bericht ist auf heise.de zu finden.
Nach Angaben des für die Wahlcomputer zuständigen Ministeriums für Umwelt, Denkmalschutz und kommunale Angelegenheiten werden die im Jahre 2003 angeschafften Wahlgeräte nicht länger gelagert und nun entsorgt. Die Republik Irland hatte die Maschinen für das gesamte Land angeschafft, dann aber nie verwendet. Nach öffentlicher Kritik an der mangelnden Transparenz und Überprüfbarkeit elektronischer Wahlen hatte die Regierung eine Kommission für Elektronische Wahlen eingesetzt, die sich schließlich gegen den Einsatz der Geräte aussprach. Die irischen Wahlcomputer sind mit den auch in den Niederlanden und Deutschland nicht mehr eingesetzten Geräten weitgehend baugleich.
Irland ist nach Deutschland und Finnland dieses Jahr nun ein weiteres europäisches Land, das sich gegen E-Voting entscheidet.
Russen können über eine Java-Applikation ihr Parlament ab 2011 per Handy (das sogenannte “m-voting”, also “mobile voting”) wählen (derStandard berichtet):
Um an der Wahl per Handy teilzunehmen, muss der Wahlberechtigte eine Telefonnummer bekannt geben. Am Wahltag wird ihm ein spezielles Java-Programm auf das Telefon zugesandt. Diese Software ermöglicht es dem Wähler, seine Stimme abzugeben. [..] Die Technologie sei zwar einfach, jedoch nicht vergleichbar mit jenen Abstimmungsmethoden, die beispielsweise beim Eurovisions-Songcontest zum Einsatz komme, stellt der Chef der Wahlkommission klar.
In Indien hingegen wird hingegen vom 16. 4. bis zum 13. 5. mittels Wahlcomputer abgestimmt werden (ulrichwiesner.de berichtet):
Seit 1998 setzt die Indische Wahlkommission Wahlcomputer ein, die sie gemeinsam mit zwei staatseigenene Unternehmen entwickelt hat. Bei den letzten Unterhauswahlen im Jahre 2004 kamen etwa eine Million der rund 300 US$ teuren, batteriebetriebenen DRE-Geräte zum Einsatz
Ein DRE-Gerät ist ein direct-recording electronic (DRE) E-Voting-System, das die Stimme direkt am Gerät aufzeichnet, z.B. Touchscreen-Wahlmaschinen. Der Begriff kommt aus den USA, wo es eine Reihe von Problemen mit diesen Geräten gab, im deutschsprachigen Raum verwenden wir den Ausdruck “Wahlcomputer”.
Die Zeitschrift DuD (Datenschutz und Datensicherheit) hat in ihrer Ausgabe 2/2009 den Schwerpunkt “Elektronische Wahlen” mit acht Beiträgen zum Thema. Leider gibt es keine elektronische Version, allerdings kann man das Einzelheft bei Vieweg bestellen.
Die Sicherheitsanalyse der Nedap-Wahlcomputer ist auch im Heft enthalten, dazu ein launiger Artikel von Dieter Richter et al., dem verantwortlichen Zertifizierer der Physikalisch-Technischen Bundesanstalt (PTB) in Deutschland, dessen Arbeit kürzlich seitens des Bundesverfassungsgerichts kritisch “gewürdigt” wurde.
Auch nach dem wegweisenden Urteil des Gerichts ist die neue Situation in Sachen Wahlcomputer offenbar noch nicht so ganz in den Köpfen und Herzen der PTB-Mitarbeiter angekommen. Nach einer Litanei an diesmal etwas vorsichtiger vorgetragenen Argumenten, warum Wahlcomputer gar nicht so unsicher und manipulationsanfällig seien, wie Kritiker behaupten, heißt es im Artikel dann über die Prüfung der Computer durch die PTB:
Bisher sind die Prüfungen so gründlich durchgeführt worden, dass seit dem Ersteinsatz der Nedap-Wahlgeräte im Jahre 1999 keine Fehler oder Zustände bekannt geworden sind, die den Bestimmungen der Bundeswahlgeräteverordnung entgegenstehen. [1]
Und da fragt man sich wie immer bei Black-Box-Systemen: Woher wissen die Autoren das?
Gut, dass wir diese Black Boxes in Deutschland los sind! :}
[1] Heike Schrepf, Norbert Greif, Dieter Richter: Wahlgeräte in Deutschland, DuD 2/2009, S. 89.
Die Futurezone berichtet über die Ungültigkeit des E-Voting-Experiments bei Finnischen Regionalwahlen 2008. Der spanische Anbieter Scytl war an diesem Wahlsystem beteiligt und liefert auch die zentrale Software-Komponente für die kommenden ÖH-Wahlen. Das finnische System unterscheidet sich vom ÖH-Wahlsystem insofern, dass in Ö mit Bürgerkarten-Authentifizierung über das Internet gewählt werden kann, während in Finnland in Wahllokalen Wahlcomputer eingesetzt wurden.
Der Finnische Oberste Verwaltungsgerichtshof entschied, dass die Regionalwahlen in jenen Gemeinden wiederholt werden müssen, die das experimentelle E-Voting-System eingesetzt haben. Die Wiederholung kostet geschätzte 130.000 € – zusätzlich zu den Einsatzkosten von E-Voting.
Die Wahlen müssen nun auf Papier wiederholt werden, weil es im System nachweisbar zum Verlust von 232 Stimmen kam. Das repräsentiere eine Fehlerrate von knapp über zwei Prozent. Das Oberste Verwaltungsgericht befand auch die an die User ausgelieferte Dokumentation des E-Voting-Systems als unzureichend. Das habe zu Bedienungsfehlern geführt. Es habe aber auch einen Fehler im E-Voting-System gegeben. Die Vorbereitungen zum E-Voting seien nicht gesetzeskonform gewesen und die Wahlen damit ungültig, zitiert “Helsingin Sanomat” das Gericht. Die Fehler hätten die Ergebnisse der Wahlen beeinflussen können.
..
Das Justizministerium wird bis Mitte des Jahres nun einen Bericht zum Thema E-Voting erstellen, der der Regierung vorgelegt werden soll. Das Gericht hat nicht darüber entschieden, ob E-Voting mit den bestehenden finnischen Gesetzen konform ist.
Letzte Woche gab es gleich zwei größere Meldungen aus den USA zu der Unzuverlässigkeit und Unsicherheit von Wahlcomputern.
Die erste Meldung kommt von techdirt. Im US-Bundesstaat Kentucky kam es demnach zu Manipulationen:
The details suggest that there were two parts to the vote changing. First, there was traditional vote buying — where they paid people to vote in a certain way. However, the second involved actually changing voters’ votes on ES&S e-voting machines.
It didn’t involve any hacking or direct security flaws — but the elections officials made use of the confusing user interface and process of the e-voting machines to trick voters into leaving before their votes had been cast.
Man hat also die verwirrende Nutzeroberfläche der Wahlcomputer ausgenutzt, um die Wähler in dem Glauben zu lassen, sie hätten ihre Stimme bereits abgegeben.
[via netzpolitik] Auch auf heise.de “Erster dokumentierter Fall von E-Voting-Betrug“
.
Die zweite Meldung dreht sich um den Fall Premier Elections Soultions (Diebold), wo fehlerhafte Audit-Longs bemängelt werden. Dazu fand vergangene Woche eine Anhörung statt, wie das Wired-Blog Threat Level berichtet:
Premier Election Solutions (formerly Diebold Election Systems) admitted in a state hearing Tuesday that the audit logs produced by its tabulation software miss significant events, including the act of someone deleting votes on election day.
The company acknowledged that the problem exists with every version of its tabulation software.
Ein Video von der Anhörung gibt es auch, inklusive ein paar kurzer Highlights, die in schriftlicher Form festgehalten wurden.
"Ich war am INSO Sommer-Fest, und der erste, der mir über den Weg rennt, ist der Krimmer". -- ein auf diesem Fest eingeladener(Anmerkung: Der Herr Grechenig, "Berater fuer das Ministerium" ist vom INSO)[Reposted from tubasis]
recht ausführliche zusammenfassung von erkenntnissen zum bei der öh-wahl verwendeten system. #evoting #verletzlichkeit http://www.heise.de/ct/E-Voting-ist-in-Oesterreich-nicht-unbedingt-geheim--/artikel/138049
Verfasst von marc 
