Hackers manipulated German voting machine within 60 seconds try

I'm not sure about the quality of German technique (used company was Nedap) yet I believe Diebold might not be eternities better....


Article in German below.
Here a very very rough google translation:

http://translate.google.com/translate?u=http%3A%2F%2Fwww.spiegel.de%2Fnetzwelt%2Ftech%2F0%2C1518%2C487958%2C00.html&langpair=de%7Cen&hl=fr&ie=UTF-8&oe=UTF-8&prev=%2Flanguage_tools


SPIEGEL ONLINE - 12. Juni 2007, 13:15
URL: http://www.spiegel.de/netzwelt/tech/0,1518,487958,00.html
MANIPULIERTER WAHL-AUTOMAT
Chaos-Club hackt Demokratie

Binnen einer Minute haben sich Mitglieder des Chaos Computer Clubs in mehrere Wahlcomputer der Firma Nedap gehackt. "Gravierende Sicherheitsmängel" attestieren sie dem Wahl-Automaten: Sie schafften es sogar, ihn zum Schachcomputer umzuprogrammieren.

"Wenn Deutschland seiner Vorbildrolle für junge Demokratien gerecht werden und sich nicht international zum Gespött machen will, gibt es keine Alternative zum sofortigen Ausstieg aus der Wahlcomputer-Technologie", sagt Andy Müller-Maguhn, Sprecher des Chaos Computer Clubs (CCC).

chaos computer club

Umgepolt: Dieser gehackte Wahl-O-Mat zählt Schachzüge statt Wählerstimmen
Gemeinsam mit niederländischen Hackern hatten Mitglieder des CCC mehrere Wahlmaschinen der Firma Nedap geknackt. Die Modelle sind mit den in Deutschland eingesetzten Wahl-Automaten fast baugleich. Rund 1850 solcher Maschinen wurden nach Angaben des Bundesinnenministeriums bei der letzten Bundestagswahl eingesetzt - laut CCC-Bericht ein enormes Sicherheitsrisiko.

Schon ein durchschnittlich begabter Informatik-Student sei in der Lage, den Wahl-Automaten zu knacken und selbst die Ergebnisse von Bundestags-Wahlen nach Belieben zu manipulieren. Minutiös beschreibt der CCC Manipulations-Methoden in einem 54-seitigen Bericht , der in Kooperation mit der niederländischen Stiftung "Wir vertrauen Wahlcomputern nicht" entstand.

WAHL-MANIPULATION: WENN SICH DEMOKRATIE HACKEN LÄSST


Wahl-Hacking in 60 Sekunden

In dem Bericht wird unter anderem beschrieben, wie der CCC selbst ohne Quellcode-Kenntnisse die genaue Funktionsweise der Nedap-Soft- und Hardware analysieren konnte. Für eine umfassende Manipulation reichen danach 60 unbeaufsichtigte Sekunden in der Nähe der Maschine. In einem Video zeigt die CCC, wie sich Demokratie hacken lässt: Klappe auf, Schrauben lösen und dem Wahl-Automaten einen manipulierten Chip einpflanzen.


SPIEGEL-Informationen zufolge ist dieser Chip vom Original nicht zu unterscheiden. Die Schlüssel zum Öffnen des Geräts könne man bequem übers Internet ordern. Das Papiersiegel auf der Maschine könne man einfach kopieren, nach der Manipulation wird einfach ein neues über die Öffnung gepappt.

Auch um das Gebot der Geheimhaltung ist es laut CCC im elektronischen Wahlverfahren nicht gut bestellt: Via Antenne und Navigations-Gerät könne man aus bis zu 25 Metern Entfernung feststellen, welcher Wähler welche Taste drückt.

Schach statt Demokratie

Um die Manipulation auf die Spitze zu treiben, integrierten die Hacker sogar das Schach-Programm "Tom Kerrigan's Simple Chess" in den Nedap-Wahlcomputer. Um die Bedienung zu erleichtern, wurde auf die eigentlich für die Stimmabgabe verwendeten Tasten ein Schachbrett mit magnetischen Feldern aufgelegt.

Die menschlichen Spielzüge werden dem Computer durch Niederdrücken der Spielfigur auf dem Schachfeld und dadurch erfolgendes Drücken der darunterliegenden Folientaste mitgeteilt. Die Spielzüge des Computers werden im Display des Wahlcomputers angezeigt.

Lakonischer Kommentar der Hacker: "Aufgrund des relativ knappen Speichers musste leider die komplexere Endspiel-Bibliothek im Wahlcomputer weggelassen werden."

Wählen besser per Zettel und Stift

Die Untersuchung mache nach Meinung des CCC insgesamt klar, dass die prinzipiellen Schwierigkeiten bei der Verwendung von Wahlcomputern gravierend sind. Keine der aufgezeigten Manipulationsmöglichkeiten könne auf technischem Wege mit ausreichender Zuverlässigkeit verhindert werden. Im Gegensatz zum traditionellen Wahlverfahren seien computerisierte Wahlen zudem für den Wähler weder nachvollziehbar noch überprüfbar.

Um seinen Untersuchungen Nachdruck zu verleihen, haut der Chaos Computer Club im Fazit PR-technisch ordentlich auf den Putz: Auch für die Bundestagswahl 2005 ließen sich eventuelle Manipulationen nicht mit Sicherheit ausschließen.

Stelle man den geringen Nutzen und die erheblichen Risiken objektiv gegenüber, bleibt nach Ansicht des CCC nur ein Ausweg aus der Misere: Man muss von der Verwendung der unsicheren und manipulierbaren Computersysteme zukünftig absehen und beim nachvollziehbaren und bewährten Wahlverfahren mit Papier und Stift bleiben.

Ssu


CCC-Bericht:Manipulation von NEDAP-Wahlcomputern
http://www.ccc.de/press/releases/2007/20070609/nedapReport54.pdf

darüber debattiert, wenn man schon hier (USA) so viele Probleme als Beispiel gehabt hat.
Ist das der Hursti oder eine andere Gruppe?

Toll ist es aber mit dem Schach Spiel:evilgrin:

Zettel und Stift, sollte ein Standard auf der ganzen Welt sein.


Thanks for this report, I will link this to the ERD later. The 54 page hack report should be filed with other organizations here for reference.

:hi:

but it works for me (pdf file)

on edit: as I am glancing through this document, it it looks like they found very similar vulnerabilities throughout the system. Hardware and software(s)

On the tabulator, which is connected to the internet, runs on a software built upon the operating system Microsoft Windows 2000 - sounds familar

At least it is news in Germany. When the same thing happens in this country it is buried completely...