DEFCON-videoreportages Stemapparaat dat in 18 staten wordt gebruikt, is in 2 minuten gehackt

Temidden van een klimaat van onzekerheid over Amerikaanse verkiezingsfraude, vijanden en nepnieuws, heeft een bijeenkomst van hackers tijdens de 26e jaarlijkse DEFCON-conferentie in Vegas afgelopen weekend iedereen eraan herinnerd dat de Amerikaanse verkiezingsinfrastructuur schrikbarend gevoelig is voor bijbedoelingen, een verontrustende nieuwe videoshow.

Een deelnemer aan de jaarlijkse Las Vegas-hackerconventie heeft het afgelopen weekend op Twitter een video gedeeld die laat zien hoe een stemmachine die volgens de hackers in 18 staten wordt gebruikt, binnen twee minuten kan worden gecompromitteerd zonder speciaal gereedschap of geavanceerde kennis.

De Twitter-gebruiker die de tutorial heeft gepost, is Rachel Tobac, de CEO van SocialProof Security, een service die de social engineering-beveiliging van een bedrijf beoordeelt en werknemers informeert over hoe een hacker informatie kan verzamelen om ongeautoriseerde toegang tot het systeem te krijgen. Tobac is een DEFCON pro als het gaat om het illustreren hoe gemakkelijk het netwerk van een bedrijf gehackt kan worden door een paar telefoontjes, maar haar zoektocht naar verkiezingsinfrastructuur leverde haar meer algemene erkenning op - de tweet was meer dan 1,62 miljoen keer vanaf maandagmiddag bekeken.

In de video legt Tobac uit dat het eenvoudig is om de administratieve functies van het stemapparaat te gebruiken door de kap met een ontgrendelingsknop te verwijderen, de kaartlezer los te koppelen, het slot te pakken om de machine aan te zetten - wat volgens haar kan worden gedaan met een balpen - en druk op de felrode "aan" knop. Nadat de machine opstart, wordt een "beveiligde stemterminal" op het scherm geladen. Er verschijnt een foutmelding, maar Tobac drukt op "annuleren" en "OK" op het scherm, waardoor ze naar de catalogus met stemgegevens gaat.

De gehackte stemmachine - die een pPremier AccuVote TS of TSX lijkt te zijn (http://www.verifiedvoting.org/resources/voting-equipment/premier-diebold/accuvote-tsx/) - was slechts een van de vele functies in de conferenties Stemmen in de tentoonstelling van het dorp, waaruit bleek hoe onmiskenbaar old-school stemtechnologie gemakkelijk in gevaar kon worden gebracht. De stemmachine is eerder onderzocht, maar nog steeds gebruikt.

"Dit is geen cyberspace-industrie", zei Joke Braun, organisator van Voting Village Wall Street Journal

Afgezien van wetgevers die wetgeving hebben ingevoerd om de veiligheidsmachtigingen voor functionarissen van de verkiezingscommissie te bespoedigen, en enige verontwaardiging bij het grote publiek, heeft het besef van de tekortkomingen de normale gang van zaken niet doorbroken.

Andere headlines die dit weekend naar voren komen uit DEFCON's Voting Village-tentoonstelling, waar hackers experimenteren met het doorbreken van verkiezingsapparatuur, zowel buiten dienst gesteld als nog steeds in gebruik, omvatte een 11-jarig meisje dat een replica van de website van de staatssecretaris in Florida hackde en de resultaten binnen 10 minuten.

Dit is het tweede jaar dat DEFCON heeft geëxperimenteerd met het Stemdorp en nu al hebben de Nationale Vereniging van Staatssecretarissen en ES & S, een van de grootste leveranciers van verkiezingsapparatuur in de VS, beide verklaringen afgegeven die de bevindingen van de hackers in diskrediet brengen. De groepen vinden beide fouten in de zogenaamde "pseudo-omgeving" van het Stemdorp, waar hackers onbeperkte toegang hebben tot de machines die "geen nauwkeurige fysieke en cyberbescherming" repliceren in stemhokjes in het hele land.

Matt Blaze, een organisator van het Stemdorp en een verkiezingsbeveiligingsonderzoeker, vertelt BuzzFeed Nieuws de DEFCON-experimenten bewijzen niet dat er bij een legitieme verkiezing tot dusverre is geknoeid met een bepaalde steminfrastructuur, maar dat de kwetsbaarheden in de systemen van de stemmachines aanleiding moeten zijn voor actie onder verkiezingsambtenaren.

Blaze deelde ook zijn zorgen op Twitter, inclusief de 'overweldigende consensus onder experts' dat papieren stembiljetten, verplichte risicobeperkende audits en meer middelen om back-endsystemen te beschermen zouden moeten worden geïmplementeerd in plaats van de huidige 'onveilige stemsystemen'.

De eerste vraag op @VotingVillageDC deze week: gegeven hoe onveilig stemsystemen zijn, wat moeten we doen? Overweldigende consensus tussen experts:

1 - Papieren stembiljetten (optische microscoop met precinct geteld aantal)

2 - Verplichte risicobeperkende audits

3 - Meer middelen om back-endsystemen te beschermen

- matt blaze (@mattblaze) 13 augustus 2018

Terwijl respondenten op Blaze en Tobac op Twitter alles voorstellen, van blockchain-gebaseerd stemmen tot vrijwel constante inspecties van infrastructuur op de verkiezingsdag, is het duidelijk dat, totdat verkiezingsfunctionarissen de huidige staat van stemmachines afkeuren, een luchtdicht systeem voor massaal stemmen niet aanstaande zijn voor aankomende verkiezingen.