Drie recente beveiligingsonderzoeken naar software van de Kiesraad laten zien dat er geen ernstige beveiligingslekken zijn gevonden. Wel wijzen de rapporten op verschillende punten die verbeterd kunnen worden.
Geen kritieke kwetsbaarheden in verkiezingssoftware, wel aandachtspunten
Drietal pentesten leveren een aantal verbeterpunten op.
In een recent onderzoeknaar de applicatie Abacus, uitgevoerd door HackDefense, schrijven de onderzoekers dat zij 'over het algemeen positief' zijn over de beveiliging. Er zijn geen bevindingen met een hoog risico vastgesteld. Wel noemen zij meerdere aandachtspunten.
Wachtwoord aanpassen
Zo kan een gebruiker die al is ingelogd zijn eigen wachtwoord aanpassen zonder eerst het oude wachtwoord in te voeren. Ook is er geen grens aan het aantal keren dat iemand achter elkaar een verkeerd wachtwoord kan proberen. Verder noemen de onderzoekers onder meer dat gebruikersnamen nauwelijks beperkingen kennen en dat het mogelijk is om een verplichte wachtwoordwijziging te omzeilen. De beoordeling van de risico’s is mede gebaseerd op de aanname dat gemeenten de applicatie alleen gebruiken in een afgesloten ruimte en op een apart netwerk. Als die omstandigheden niet zouden gelden, zouden sommige risico’s zwaarder wegen.
Gegevens bekijken
Eentweede onderzoek, uitgevoerd door Bureau Veritas, richtte zich op twee andere toepassingen: de PP- en KS-applicaties van OSV2020. Volgens de samenvatting zijn geen ernstige of hoge risico’s vastgesteld. Wel zijn twee zogenoemde 'risiconotities' en één aandachtspunt opgenomen.
Een van die punten is dat de PP-applicatie geen inlog vereist: iedereen die de applicatie kan openen, kan de gegevens bekijken. Een ander punt betreft de controle op de installatiebestanden. Volgens het rapport was die controle onvoldoende om te voorkomen dat installatiebestanden ongemerkt aangepast konden worden. Tegelijkertijd staat in het rapport dat geen aanwijzingen zijn gevonden dat de installatiebestanden onbeveiligde wachtwoorden of schadelijke software bevatten. Bureau Veritas concludeert dat de software voldoende veilig is voor het beoogde gebruik, mits de installatie zorgvuldig gebeurt en via een vertrouwd kanaal wordt verspreid.
Logbestanden
Hetderde onderzoek betreft het Overdrachtsplatform GR2026 en is uitgevoerd door Resillion. Ook hier zijn geen ernstige of hoge risico’s vastgesteld. De belangrijkste bevinding heeft een gemiddeld risiconiveau. Volgens het rapport is het mogelijk om door het toevoegen van een extra technische aanduiding aan een verzoek verkeerde internetadressen in logbestanden te laten opnemen. Dat kan het moeilijker maken om achteraf te achterhalen waar bepaald verkeer vandaan kwam.
Resillion concludeert dat het beveiligingsniveau van het Overdrachtsplatform voldoet aan wat redelijkerwijs van moderne webapplicaties verwacht mag worden. Net als in de andere rapporten staat dat het onderzoek is uitgevoerd binnen een afgebakende opdracht en gedurende een beperkte periode.
Plaats als eerste een reactie
U moet ingelogd zijn om een reactie te kunnen plaatsen.