Slik kan de hacke evalget

Slik kan de hacke evalget

Norske forskere hevder de kan overvåke hva du stemmer og forkaste stemmen din.

Forskere ved Høgskolen i Molde (HIM) og Universitetet i Bergen (UIB) har funnet en måte å trikse med den norske evalg-løsningen. I en test av 158 høgskoleelever, hvorav 25 it-studenter, var det ingen som så noe feil med det manipulerte stemmesystemet de hadde laget. Også 400 elever fra videregående gikk fem på.

Det skal legges til at det hele var en del av et simulert valg, så ingen av deres reelle stemmer har blitt manipulert.

- Uten særlig arbeid kan vi lage et system som overvåker hva du stemmer og som forkaster stemmen din, sier Kai A. Olsen fra UiB.

Han har, sammen med kollega Hans Fredrik Nordhaug fra Høgskolen i Molde, analysert det komplekse norske evalg-systemet. Blant annet består det av et kodekort med personlige pinkoder for hvert parti som skal verifisere at korrekt stemme er gitt til korrekt parti. I systemet sendes koden på tekstmelding til velgeren, slik at vedkommende kan sammenligne med kodekortet.

Å få fatt på alle kodene nordmenn besitter hadde blitt uhyre komplisert for hackere. Å organisere et slikt angrep ville kostet skjorta eller krevd storstilt konspirasjon, har Kommunal- og regionaldepartementet (KRD), ansvarlig departement for stemmesystemet, tidligere uttalt.

Gikk fem på

Men det finnes enklere metoder, mener de norske forskerne.

Det Olsen og Nordhaug, har gjort, er å omgå sikkerhetssystemet på finurlige måter, deriblant via sosial manipulering, nettfiske og en skreddersydd form for «ondsinnet programvare» som ikke trenger være installert på stemmerens datamaskin.

Olsen og Nordhaug ser at brukeren er det svakeste ledd, og utnytter dette faktum. Når velgeren har stemt et gitt parti, blir han eller hun bedt om å bekrefte sitt valg. I «skurkesystemet» til forskerne bes det i bekreftelsen også om den hemmelige partikoden fra kodekortet. «Vennligst bekreft ditt valg ved å skrive inn koden for dette partiet. Du finner koden på baksiden av stemmekortet.» Angrepet er it-faglig sett en form for nettfiske, såkalt phishing, i kombinasjon med sosial manipulering.

Alle de nevnte studentene på høyere utdanning gikk fem på og så ingenting galt med systemet. De 400 elevene fra videregående prøvde en versjon av angrepet som ligger på internett. Alle gjorde som de ble bedt om. Tastet inn koden. Begge gruppene hadde før eksperimentet fått se en offisiell valganimasjon fra KRD som forklarte prosessen, med særlig vekt på hvordan pinkodesystemet fungerer.

Rett forbi kontrollsystem

Da er det heller ikke vanskelig for skurkesystemet å sende denne pinkoden til brukerens mobiltelefon for «verifisering». Men i kulissene kan stemmen forkastes eller endres i KRDs systemer. Hvis stemmen endres vil brukeren motta en reell sms fra KRD, med ny verifiseringskode til partiet skurkene vil ha opp og frem.

Dette kan fra skurkenes side avverges ved hjelp av ondsinnet programvare på smarttelefonen eller ved bruk av sosial manipulering - «på grunn av tekniske problemer og kommunikasjonsproblemer kan det hende du mottar ekstra sms-er etter du har stemt. Vennligst ignorer disse» eller noe i den duren. En tredje måte er at et virus på brukerens pc rett og slett endrer stemmerens telefonnummer som brukes i bekreftelsesøyemed hos KRD.

For en med onde hensikter vil det være mye enklere å benytte simpel sosial manipulering heller enn å tvinge et virus inn på så mange norske pc-er som mulig. For eksempel ved å bruke en falsk url, slik som forskernes www.evalg-stat.no. KRDs egentlige URL er www.evalg.stat.no.

- Poenget er at vår falske nettside vil kunne være helt lik den offisielle, og vil kunne sende deg samme SMS melding som det offisielle systemet. Det du ser at vi gjør er å be velgeren taste inn den "hemmelige" partikoden. Det er et brudd på ideen med valgsystemet, den koden skal brukes for en sluttsjekk. Men koder er jo til for å tastes inn, og når en blir bedt om det - ja så taster alle i vei, sier Olsen.

En del stemmere følger lenker fra andre sider, antar forskerne, og påpeker at disse andre sidene, som ikke nødvendigvis er under departementenes paraply, har blitt hacket før og kan bli hacket igjen. Dermed kan skurkene snike inn en slik trikse-nettadresse som evalg-stat.no.

Eller enda enklere, å sende en «offisiell» epost til ofrene med den falske nettadressen.

Stiller spørsmål

Derfor mener altså forskerne det blir en enkel sak å fiske ut bekreftelses-pinkoden, sende den i retur og forkaste stemmen. De brukte kun «et par timer» på å lage skurkeløsningen evalg-stat.no.

- Med litt mer innsats kan vi også endre på stemmen din. Da må vi ha en prosess mot deg og en mot valgsystemet, sier Olsen.

Årsaken til at brukeren er lett å lure, er at systemet brukes såpass sjeldent. Det er valg annethvert år, og bruk av systemet annethvert år gir ikke nødvendigvis nok erfaring med bruksmønsteret til å oppdage når noe ikke er som det skal.

Et storskala-angrep ville nok kjapt blitt oppdaget, mens et småskala-angrep, for eksempel rettet mot noen småkommuner, fort kunne gått under radaren, mener forskerne.

- Ved bruk av det norske evalg-systemet har vi vist at det er mange risikoer forbundet med internettstemming, selv i dyre og antatte sikre systemer. Det er absolutt verdt å stille spørsmål ved om fordelene ved internettstemming, hvis det er noen, kan være i motbalanse til risikoene, skriver forskerne i sin oppsummerende rapport, som ble sendt Computerworld etter at forskerne kom over en tidligere artikkel der amerikanske hvithatt-hackere slaktet den daværende skissen til norsk evalg-system.

Forskernes artikkel er sendt Communications of the ACM.

- Ikke tatt på senga

Seniorrådgiver i Kommunal- og regionaldepartementet Christian Bull forteller at departementet absolutt ikke ble tatt på senga av forskernes betraktninger. Ifølge Bull er det menneskelige aspektet absolutt med i risikovurderingen som er tatt, den er vurdert som «akseptabel» i forbindelse med forsøket - men ikke nødvendigvis i forbindelse med full utrulling.

Ettersom evalget gjennomføres i forhåndsstemmeperioden har departementet alltids mulighet til å vurdere og iverksette tiltak, og i ytterste konsekvens avbryte om de får indikasjoner på fusk. Bull forteller at det er nok for departementet at én eneste velger aner ugler i mosen og ringer inn for at departementet skal slå alarm og ta affære.

- Vi tror folk som stemmer i et faktisk valg vil være mer oppmerksomme enn i en slik simulering, så vi stiller spørsmål ved metodene i forsøket, sier han, men understreker at han setter pris på alle tilbakemeldinger.

Bull påpeker at det er forskjell på å gjennomføre et forsøk i ti kommuner, slik departementet har gjort i år, sammenlignet med fullskala.

- Og om evalg-systemet skal rulles ut i større skala har vi også litt ekstratiltak i ryggsekken, sier Bull.

Han viser til en episode i 2009 der en «litt vel ivrig student» satt opp en nettside for evalg. Da tok det ikke lang tid før Bull fikk en epost om dette.

- Det endte med at en litt overrasket student fikk en telefon fra Kriops, forteller Bull, som legger til at det ikke ble foretatt noen anmeldelse.