34C3 Vorspannmusik Herald: So, ums ganz schnell zu machen, mein bester Freund - Hallo, Silvan! - sagte zu dem Thema, was hinter uns an der Wand steht: "Der geilste Hack und geilste Arschtritt seit der Post". So sehe ich das auch. Linus, Thorsten, Martin, zum PC-Wahl-Hack. Applaus Linus: Schönen guten Abend, wir freuen uns, dass ihr hier seid, um uns zuzuhören. Ich bin der Linus. Meine Hobbys sind Reiten, Schwimmen, Lesen und Hacken. Thorsten: Ich bin Thorsten und ich mach gern Sachen kaputt. Martin: Und ich bin Martin, heute aus Darmstadt und ich bin interessierter Bürger. Applaus L: Vielen Dank. Das ist dein Applaus, Martin. Wir haben ein Wahlprogramm mitgebracht. Wir führen kurz das Thema ein. Wir stellen euch ein paar Angriffs- Szenarien vor, setzen uns dann mit einigen Versuchen auseinander, diese zu fixen und kommen zu einem Fazit. Zunächst stellt sich ja überhaupt die Frage: Wofür braucht man eine Wahl-Software? Gewählt wird doch auf Stift und Papier? Nun, die Wahl muss organisiert werden, sie muss erfasst werden und sie muss ausgewertet werden. Am Ende muss da eine Zahl stehen und das Problem, was hier zu lösen gilt, ist 70 Wahllokale - 70.000 Wahllokale bundesweit bei so einer Bundestagswahl, 16 Bundesländer mit eigenen Regelungen und da dann eben Gemeinde-Wahlbezirke, die ihre Schnellmeldungen an einen Gemeindewahlleiter geben, der Gemeindewahlleiter übermittelt sie einen Kreiswahlleiter. Der wiederum ermittelt sie... übermittelt sie an den Landeswahlleiter und dann irgendwann mit allen diesen möglichen Ergebnissen sitzt der Bundeswahlleiter und sagt, so und so lautet das vorläufige Ergebnis. Das macht der meistens wenige Minuten nach Ende der Wahl, aber wenige Stunden danach kommen dann die vorläufigen Ergebnisse. Das ist quasi die Schnellmeldung. Wenn die Wahl ausgezählt wird mit Papertrail und das Ganze irgendwie übermittelt wird, dann haben wir einfach mal zwischen Gemeindewahlbezirk und Gemeindewahlleiter nen Tag und so weiter. Das summiert sich locker auf über zehn Tage, bis es wirklich das amtliche Endergebnis gibt. Deswegen machts natürlich Sinn, hier eine Software einzusetzen. Da wir aber in einem föderalen Staat leben, hat dann jedes Bundesland seine eigene Vorliebe, der Bundeswahlleiter hat ne Vorliebe und dann können die Gemeinden teilweise sich auch noch etwas aussuchen. Wir haben eine dieser Softwares angeschaut, und zwar die Software PC-Wahl, die laut Hersteller- Angaben in allen Flächenbundesländern bei allen möglichen demokratischen hohen Akten zum Einsatz kommt, und laut Hersteller verantwortlich ist für bis zu 33 Millionen Stimmen. Aber was wir euch heute erzählen, trifft größtenteils auch auf Alternativen zu, wie dieses Programm IVU-Elect, das von unseren Kollegen in den Niederlanden schon auseinandergenommen wurde, oder den Vote- Manager oder das Produkt mit dem vertrauensvollen und wohlklingenden Namen OK-Wahl. In Quality-Land ist alles okay. Natürlich haben sich Leute schon darüber Gedanken gemacht, wie kommen wir denn an diese Wahl-Software, was ist das denn da? Da rechnen Computer Ergebnisse zusammen und dann wird das irgendwie bekanntgegeben. Da hätte ich doch mal Interesse, diese Software anzuschauen. Da hat sich ein junger Mann bis vor das Landesverfassungsgericht geklagt. Das hat die Beschwerde zurückgewiesen, denn also eine Überprüfung durch die Öffentlichkeit wäre hier nicht vorgesehen, es reicht, wenn der Landeswahlleiter sich das anschaut. So viel Transparenz haben wir dazu. T: Außerdem versteht's sowieso keiner. L: Das versteht eh keiner. Und das zu hacken... Wieso sollte jemand eine Wahl hacken? Wir haben diese Wahl... diese Software in unsere Finger bekommen. Und das sind jetzt... Also, das sind Hersteller-Screenshots, die hätten wir auch anfertigen können. Und unsere erste Reaktion, als wir jetzt diese Software vor uns hatten... T: Das passt auch zu dem Logo, das ist nicht selbstgebaut. Applaus L: Es war einfach von vornherein klar, das wird jetzt nicht angenehm. Lachen L: Und ich würde sagen, einen Punkt kann man dieser Software auf jeden Fall geben. Das Risiko, dass sie gehackt wird, ist immer noch viel geringer, als dass man sie fehlbedient oder wahnsinnig wird beim Versuch. Lachen L: Hier sieht man, wie so ne Gemeindewahl angelegt werden kann, das ist ganz intuitiv. T: Angenehmes User-Interface. L: Hier sieht man, wie so die Erststimmen ausgezählt werden. Nicht zu übersehen, hier, das User-Interface, das die noch nicht ausgezählten Bereiche in rot färbt, dass man sieht, ist noch nicht soweit. Und hier haben wir einen Check, wo dann so'n paar Summen verglichen werden und gesagt wird: "Hier, die Zahlen, die ihr da addiert habt, die kommen nicht so ganz zusammen." Das heißt, man muss dann, wenn die Zahlen nicht ganz stimmen, noch so lange ein bisschen daran herum korrigieren, bis alle Felder grün sind. Aber es gibt ein Betriebssicherheitskonzept. Und Sicherheit ist ja so das, wofür wir uns interessieren, da haben wir gedacht, ah gucken wir mal. T: Die interessieren sich offenbar auch für Sicherheit. L: Die interessieren sich für Betriebssicherheit, also die richtige Schuhwerk, Helm und so weiter. Ist auch klar, das brauchen wir auch, Schutzhandschuhe. Nein, Spaß beiseite. Der Hersteller wirbt mit einem indexfreien Datenbankkonzept. Und ich dachte, "Boah, Wahnsinn, indexfreie Datenbank! Was ist das?" Ja, es werden Dateien in einen File- System geschrieben. T: Irre. Lachen L: Und die werden redundant geschrieben, denn die gleichen Daten werden in zwei verschiedenen Formaten in unterschiedliche Ordner geschrieben. Das ist redundante Speicherung. Und man kann das auch sogar synchronisieren. Also, die Datei- Synchronisationsfunktion ermöglicht es, eine oder mehrere Kopien einer Wahlergebnisdatei mit dem Original automatisch abzugleichen. Und ich dachte, "Boah, Syncing-Konflikte und so bei einer Wahl will man echt nicht haben." Dachten die sich auch, die legen einfach die Dateien alle auf ein SMB-Share und dann geht's rund. Lachen Kommen wir... Applaus L: Also, man könnte, also böse Zungen behaupten, wir haben uns das nur angeschaut, weil es uns einfach auf den Geist gegangen ist, ein Jahr lang nur damit belästigt zu werden, dass irgendwie Russland die Wahl hacken würde, und dann haben wir halt gedacht, dann schauen wir doch mal wie. Wichtig ist nochmal einmal zu betonen: Es gibt zwei Übermittlungsmodi, das vorläufige Endergebnis - und das ist das, wovon wir heute sprechen - und es gibt noch das amtliche Endergebnis, was zehn Tage später veröffentlicht wird. Alles, was wir euch jetzt erzählen, trifft nur zu für das vorläufige Ergebnis. Das amtliche Endergebnis bei der Bundestagswahl 2017 kam 18 Tage später raus. Da fragt man sich natürlich, wie kommt denn so'n Hacker dazu, sich das anzuschauen. Und das erklärt am liebsten Martin, der interessierte Bürger. M: Ja, also mich hat's schon interessiert, aber man kommt natürlich nicht so direkt da drauf. Es müssen schon günstige Umstände vorliegen. Das eine war die Bundestagswahl und das andere war die Existenz eklatanter Probleme bei diesem Wahlprogramm hier. Das Erste, was wir festgestellt haben, war: Solche Wahldaten, haben wir vorhin gesehen, werden übertragen in so ner Kette von der Gemeinde auf den Kreis auf das Land und so weiter. Und was passiert denn einem Wahlabend, wenn wir in der Gemeinde sitzen: Der Gemeindewahlleiter bekommt die Ergebnisse von den ganzen Wahllokalen. Dann starten die Helfer des Wahlleiters in der Gemeinde ihr PC-Wahl-Programm. Und das wird alles von so ner SMB-Share gestartet, aus dem Netzwerk heraus und dann tippen sie fleißig die Schnellmeldungen ein, die aus den Wahllokalen eingehen. Die Ergebnisse, die sie dann sammeln, die müssen irgendwo hin. Die werden hochgeladen ins Internet auf nen FTP- Server. Da steht ein FTP-Server und der sammelt die ganzen Ergebnisse der einzelnen Gemeinden ein. Und der steht im Internet und in Hessen – ich komme aus Darmstadt, deswegen Hessen, einzige Ursache – wird der von der ekom21 betrieben, lokaler IT-Dienstleister dort, kommunaler, und ekom21 hatte dem interessierten Bürger die Anleitung zur Verfügung gestellt, wie man diese Daten hochlädt; waren auch die Passwörter drinne, waren Konfigurationsdateien mit eben entsprechenden Daten, die einem ermöglicht haben, im Sinne der Bürger- Transparenz, diesen Prozess komplett nachzuvollziehen. Lachen, Applaus So, was braucht es dafür, um jetzt hier diesen Prozess anzugreifen. Nun man braucht Google, man muss zum Beispiel nach "Wahl Bundestagswahl Hessen" googeln, Texteditor, um diese Dateien sich anzusehen und dann noch, ja ein Debugger ist vielleicht ganz hilfreich, wenn man ein bisschen tiefer einsteigen möchte. Und all das ermöglicht dann Zugang auf diesen FTP- Server. Und wir haben uns angeschaut und da liegen tatsächliche Ergebnisse drauf von Wahlen, die reichen bis viele Jahre zurück, kleinere Wahlen, Bürgermeisterwahl, Landeswahlen, Bundestagswahlen. Da stehen die Zugangsdaten für diesen Server, die hatten wir dann auch in der Hand. Kleines Problem: Diese IP ist ne lokale Adresse. Da brauchte man dann noch Zugangsdaten für das VPN. Lachen, Applaus L: Das Schöne daran ist ja, die Bundestags- wahl 2017 war offenbar nur ein Test. Lachen M: Gut. Und damit hatten wir Hessen. War alles erledigt. Nein, nicht ganz. Was fehlt? T: Naja, es gibt ja da noch so'n paar andere Angriffsszenarien, also nicht nur die Möglichkeit auf dem FTP-Server Zugriff zu erlangen, um da irgendwelche config- Daten und Dokumentation einzusehen. Z.B. eben diesen Updatemechanismus: Wie verteilt dieses ganze System die Updates, an die verschiedenen Wahlbezirke wo diese Software am Einsatz ist. Und ja wir haben gelernt, dass das ein durchaus spannendes Feld ist mit den Updates. Wir haben im großen bösen Internet einmal diesen Webserver, auf dem Dokumentation liegt, auf dem die Webseite des Herstellers liegt, wo auch die Updates für die Software liegen. Und wir haben zum Zeitpunkt, als wir uns mit dem ganzen Kram beschäftigt haben, gesehen: Wir haben mindestens vier Schwachstellen auf diesem auf diesem Webserver gefunden, die es uns erlaubt haben, auch Dateien zu modifizieren auf diesem Server. Das heißt, wir konnten auch oder könnten auch Update- Dateien überschreiben oder austauschen durch eigene Updates, also eigene PC-Wahl- Software. L: Der Vorteil Updates auszuliefern ist einfach, man muss nicht für 16 Bundesländer die Passwörter googeln, sondern kann das einfach zentral ausliefern. T: Genau. So, das ist also viel einfacher. Aber da hat der Herr Berninger, der Entwickler dieser Software, der in den Neunzigern angefangen hat, diese Software zu entwickel ... M: Achtzigern! L: Achtzigern! M: In den Achtzigern! T: ... in den 80ern, der hat halt gesagt: Man braucht sehr viel Gehirnschmalz, um diesen Verschlüsselungs- und Kompressions- Algorithmus zu knacken, den er sich da ausgedacht hat. Er hat natürlich dafür gesorgt, dass man das nicht so ohne weiteres austauschen kann. Das heißt dieses Update-Paket pcw10dat1.010 ist eine verschlüsselte Datei. In dieser verschlüsselten Datei findet sich ein ZIP- Archiv und in diesem ZIP-Archiv findet sich noch ne Datei, irgendwie... Naja, also man braucht sehr viel Gehirnschmalz. Haben wir dann mal zerhackt. Hier sehen wir so'n Ausschnitt aus nem bisschen Code, den wir einmal aus dem ... wir haben diese Software mal gegen gegen den Disassembler geworfen, mal die großen Gummihandschuhe ausgepackt und in Delphi- Code gewühlt. Da lag dann so'n Schlüssel rum und so ne tolle Verschlüsselung- Methode. Dann haben wir halt einfach ein eigenes Tool gebaut, was diese Pakete entpacken kann, sodass wir dann in dieser Verzeichnisstruktur eigene Dateien reinpacken können und dann kann man mit dem eigenen updatedecrypt-Tool kann man dann zum Beispiel diese studio.exe – das ist die eigentliche Kernsoftware, die dann da läuft, also PC Wahl ist studio.exe, das ist dieses wundervolle UI, was wir da gerade gesehen haben – das kann man patchen, so dass zum Beispiel Wahlergebnisse vertauscht werden oder andere böse Dinge tut und anschließend kann man mit dem Tool, was wir dann gebaut haben, eine neue Update-Datei erstellen. Da nimmt man dann einfach nen anderen command line switch – Laser geht nicht, Laser geht doch, da – minus c ist create neues Update-Paket und das könnte man dann auf diesen Server im großen bösen Internet stellen. Das würde dann an die PC-Wahl- Systeme verteilt werden, ohne dass wir da was dazu beitragen müssen. Wir haben den Code auf GitHub gepackt, dann könnt ihr das mal benutzen. Applaus L: Also das Geniale ist natürlich: Wenn ich ne Verschlüsselungsroutine habe und die mitliefere in dem Programmm – er muss ja nunmal seine Softwareupdates entschlüsseln – dann war das jetzt nicht ganz so schwer das nachzubauen. Wieviel Gehirnschmalz brauchten wir da? T: 300 Gramm. L: 200 Gramm, kann auch 180 gewesen sein. T: Ungefähr. Wollen wir nicht so kleinlich sein. Was wollen wir also machen, wenn wir so diese studio.exe patchen, dann wollen wir – da ja die Kommunikationswege verschlüsselt sind. Wir haben ja von unserer Regierung gelernt: Da muss man, wenn man abhören will, natürlich an der Quelle anzapfen, weil die böse Crypto macht immer sonst alles so kompliziert. Bei der Manipulation ist das ähnlich. Deswegen haben wir diese Quellen-TKM, also Telekommunikations-Manipulation, da platziert bevor die Kryptografie ansetzt. Und wir wollen hier - das ist jetzt ein Ausschnitt, diese Daten, die wir hier sehen, das sind so XML-Daten, die dann vom PC an die nächste höhere Ebene gesendet werden. Und da gibt's dann so Partei-IDs, über das Format unterhalten wir uns später noch. Und wir haben gedacht, wir patchen das einfach mal als Proof of Concept so, dass wir die Partei 1 und 2 vertauschen. Das heißt, dass einfach nur die Stimmen vertauscht sind. Das war ein Punkt in den Angriffsszenarien. Wir haben aber noch ein paar weitere. Es gibt diese Dateiformate der INI-Dateien. Das sind Konfigurationsdateien, die von der Software verwendet werden und die vor jeder Wahl zur Verfügung gestellt werden. Die werden dann einfach ausgerollt. Dann werden die Geräte provisioniert und ausgeliefert. Und diese Daten liegen halt auch im Internet und auch in diesem Update-Paket, in dem regulären Update- Paket, da sind also die die config-Dateien mit den ganzen Schlüsseln zu den FTP- Servern. PGP benutzen sie auch irgendwann. Dann sind die Passphrases da auch drinne abgelegt und da sie es den Hackern ja nicht so leicht machen wollen, haben sie das ganze auch verschlüsselt. Das haben wir dann auch mal zerhackt. Da gibt's verschiedene Formate. Sie haben sich nicht irgendwie einfach mal auf ein Verschlüsselungsverfahren festgelegt, sie haben sich mehrere ausgedacht und auch wie sie das dann kodieren: total sinnvoll – oder auch nicht. Hier ist eine Variante, die INI file Encraption #1, wie wir sie genannt haben, wir verzichten hier vollkommen auf einen geheimen Schlüssel. L: Kann man machen! T: Kann man machen. L: Brauchst du halt ne Risikoabnahme. T: Brauchst du halt ne Risikoabnahme. Das ist so der Code, der dann aus dem Disassembler und dem ganzen Durchlesen dieses Binaries rausgefallen ist. Das war auch nicht so der große Spaß mit dem Delphi Code. Dann gibt es noch ne zweite Variante. Den benutzen sie für Passwörter und Usernamen für die PGP-passphrases und für HTTP-basierte Zugriffe. Da haben wir hier ein ganzes Byte Schlüssel. Lachen Immerhin. Applaus Und das wird dann genutzt, um diese config-Daten zu entschlüsseln. Wir haben das auch einfach mal alles durchimplementiert und auch auf GitHub geworfen. Könnt ihr ja mal auschecken. Hier macht jetzt Linus mal kurz noch weiter zu den Formaten. Die sind nämlich dann gar nicht so unwichtig, wenn wir zeigen wollen, wie wir das Ganze auch in der Praxis hacken können. L: Wie Martin ja gerade schon sagte, er hatte Zugriff auf diesen FTP-Server zumindest in Hessen. Und wir können also einmal die Binaries manipulieren, dass sie unterschiedliche Ergebnisse zählen, anders exportieren. Aber wenn man auf den FTP- Server Zugriff hat, kann man natürlich auch seine eigenen Dateien schreiben. Und da haben wir uns dieses XML-Format angeschaut, was irgendwie vorläufiges Endergebnis, Hochrechnungsergebnis markiert hat. Und das war also auch ein hochkomplexes Dateinamen-Konstrukt, das ist das, was dieses indexfreie Datenbank- Konzept bedeutet: Die Dateien haben klare Namen und am anderen Ende wartet ein Server und möchte die dann zählen. Das ist jetzt so ne Wahldatei. Also hier sehen wir die XML-Datei und da steht dann drin: Die Partei mit der ID 0001 erhält so viele Stimmen, die Partei mit der ID soundso soundsoviel Stimmen. Und wenn man sich dieses XML-Dateiformat anschaut, fragt man sich: Was fehlt? Was ich da irgendwie gesucht habe, war irgendsone Form von Signatur oder so, die in irgendeiner Form mal sagt, wer das Ding ausgezählt hat. Was man ja bei dem Papier-Ergebniss schon hätte. Also diese schöne XML-Datei-Format auch wieder eine Zierde für den heiligen Akt der Demokratie. Das haben wir alles zusammen geschrieben. Es war natürlich klar, wir haben das ja vor der Wahl veröffentlicht mit einem ausreichenden Zeitraum von zwei Wochen ... T: Drei fast eigentlich. L: ... Drei Wochen Zeit haben wir gegeben und haben gesagt: Das kriegt ihr doch hin. Wir haben also einen Bericht geschrieben. Wenn wir jetzt nur ein paar Sahne- Filetstücke gezeigt. Der eigentliche Bericht ist 24, 25 Seiten lang. Und haben den also veröffentlicht, haben gesagt, hier, die Software ist unsicher. Und wir haben aber schön darauf geachtet, dass wir nen langen Teil haben, wo drinsteht Fazit Schwachstellen und immer dazugeschrieben, passt auf, folgendes müsst ihr machen. Wir haben da ein paar Wochen dran gesessen, haben das veröffentlicht. Und haben wir gedacht, so jetzt sind endlich fertig. Und dann haben wir abends die Tagesschau geguckt, weil wir sind ja interessierte Bürger, also gucken wir auch die Tagesschau. Und dann hören wir da zu unserer allgemeinen Überraschung. Mitschnitt Tagesschau Bei einem Computerprogramm das bei der Bundestagswahl eingesetzt werden soll sind erhebliche Sicherheitsmängel festgestellt worden. Das ist das Ergebnis einer Untersuchung an der unter anderem der Chaos Computer Club beteiligt war. Die Experten kommen zu dem Schluss, das die Software über viele Kommunen die Wahlergebnisse weiter melden nicht abgesichert sei. Der Bundeswahlleiter sprach von einem ernsten Problem. Inzwischen habe der Hersteller aber nachgebessert. Lachen, Applaus Und ich dachte so: Boah, is echt schnell. Mal gucken. Mal auf die Updateseite schauen und diese Tage - das war die Tagesschau vom 7. September, wo wir veröffentlicht haben. Und wir haben diese letzte Version vom 9. Septem..., vom 5. September als Gegenstand unserer Untersuchung gehabt. Und dachten, naja, das ist aber komisch, wenn es da jetzt Nachbesserungen gab, dann fragen wir uns, wann die passiert sind. Und dann dämmerte es uns, wahrscheinlich meinen die die Nachbesserungen, die der Hersteller gemachthat, während wir ihn vor Veröffentlichung unseres Berichtes über die größten Probleme in Kenntnis gesetzt haben. So gab es dann am 31. August einen Selbsttest der Datei unter Verwendung des traditionsreichen --- und seit irgendwann in den 90er Jahren gebrochenen Hashing- Algorithmuses MD5. Selbst-Check ist auch gut. Also wenn ihr... Ne manipulierte Datei kann natürlich sehr gut sich selber checken. Am 5. September kam die digitale Signatur des Programms und die GPG- Signatur des Payloads und dann sogar noch die digitale Signatur des Installers später. Und jedes Mal, wenn wir das gesehen haben, rutscht uns so'n bisschen das Herz vor Freude in die Hose und haben gedacht: "Jetzt haben sie es geschafft. Sie haben es beseitigt." Und wenige Minuten später war dann irgendwie das Gefühl: "Warum macht ihr das denn so?" Und die Antwort schien mir zu sein: YOLO. Lachen Applaus Aber Spaß beiseite. Wir haben zwei zentrale Dinge gefordert: signierte Software-Updates und signierte Ergebnisdaten. Das kann ja eigentlich nicht so schwer sein. T: Das haben wir wirklich sehr oft und sehr deutlich gesagt, dass man viele dieser groben Probleme natürlich damit in den Griff bekommt, wenn wir erstmal eine Software sicher auf nem System deployed haben und da so'n Vertrauensanker haben, dann können wir schon dafür sorgen, dass diese Software auf dem Weg dahin nicht mehr manipuliert wird. Wir haben wie gesagt gesehen, dass sie da nen Selbsttest eingebaut haben: Dieses studio.exe, das soll sich halt selbst testen. Das hier ist jetzt Teil unseres Patch-Programms, wo man dann z.B. sehen kann, was wir halt noch machen müssen, bevor wir diese Wahldaten manipulieren. Wir müssen den Selbsttest austauschen durch 2 Bytes. Wir müssen eine Funktion einbringen, die dann einfach nur die Stimmen der Partei 1 und Partei 2 austauscht. Und um diese Funktion anzuspringen, brauchen wir dann hier noch ein paar Bytes. Das ist im Grunde genommen alles. Damit haben wir zumindest diesen Selbsttest schon mal beseitigt. Ganz praktisch. Als sie dann später so in diesen Tontauben-Modus übergingen und wir halt irgendwie etwas veröffentlicht haben und sie dann nen Patch rausgebracht haben, hat es bei dem letzten Patch, wo man dann denken kann, jetzt haben sie es aber wirklich mal gemacht, weil das haben die jetzt so oft um die Ohren bekommen, das geht gar nicht anders. Das war irgendwie an nem Tag, da war ich gerade unterwegs, hab gearbeitet und erst abends im Hotel mal die Möglichkeit gehabt, mir den Kram anzugucken, und das ging dann eigentlich doch auch wieder relativ schnell, dass man den Kram aushebeln kann. Das hab ich dann kurz mal so getwittert mit nem Hash über nen Proof of Concept, den ich da schon in der Tasche hatte. Aber ich will es ja immer schön und bunt machen und so greifbar wie möglich machen und auch so unangreifbar wie möglich machen. So sah dann der Software-Updater von PC- Wahl aus, nachdem ich mir den nochmal angeguckt habe. Wir sehen hier ganz deutlich, haben wir jetzt nicht mehr die Umstellung des Update-Systems vom 13.9., sondern schon die Umstellung auf Schad- Software mit Vollbit signierten Installationspaketen. Das hat er dann halt auch gefressen. Jetzt haben wir hier dieses Video und ich glaube, ich muss hier irgendwo drauf klicken. Diese Macs, die können das nicht mit dem Multimedia so richtig. L: Ja, mit Windows hat das immer besser funktioniert. T: Mit Windows wär das nicht passiert. Also hier sehen wir, wie dieses Wahl- Studio bedient wird. Man kann hier auf Versionsinfo klicken, dann wird man gefragt, ob man die digitale Signatur von PC-Wahl überprüfen möchte. Das geht jetzt ein bisschen schnell. Ich rede ein bisschen schneller. Hier gibt es jetzt ein Programmaktualisierung-Software, das ist da mit bei, jetzt gibt's gleich ne Anleitung, wie die Integrität dieses Update-Pakets überprüft werden soll. Schaut mal ganz genau hin - war das schon? Nee. Es ging so schnell. L: Ah kacke, viel zu schnell. T: Ah kacke. So, das ist schon unser modifiziertes Update und hier wird jetzt gezeigt - mach mal Pause oder so... Das ist ihr Verfahren, so signieren sie ihre digitalen..., so signieren sie ihre Update-Pakete. Die wollen, dass man dieses komische pc-wahl-paket.exe mit nem Rechtsklick sich die Eigenschaften anguckt, dann auf digitale Signaturen klickt, dann doppelklicken auf den, auf regio iT gmbh, und dann soll man gucken, ob hier steht, die digitale Signatur gültig. Was dann passiert... L: Allein die Idee, allein die Idee zu sagen, ach ja, signierte Updates, ja, machen wir, aber das zu prüfen, muss der Nutzer machen. 2017, Freunde. T: Warte mal, das geht, das wird ja alles noch viel besser. Was ja dann da passiert, dieses pc-wahl-paket.exe ist jetzt nicht wirklich ein Installer, wie man sich das so vorstellt. Das ist eigentlich ein Hello World-Programm. Wenn man das ausführt, dann geht nur ein Fenster auf und da steht drinne, die Signatur dieses Programms muss gültig sein. Die haben ein executable file-Format als Container benutzt, um dann in den Resources, da haben sie dann ein, da haben Sie dann dieses pcw10 dat 010 embedded und das... ein anderes Programm extrahiert dann aus diesem exe das eigentliche Installer-Paket und installiert das, nachdem man natürlich gesagt hat, jaja, is gültig. Jetzt kannst mal weitermachen hier... Mach du mal. Also sie haben auch hier wieder super verschlimmbessert, hier, ne. Wir sehen, wir machen das jetzt mal wie uns das so befohlen wurde. Wir klicken da jetzt auf digitale Signaturen. Sieht doch top aus oder. L: 1a Signatur. T: Irre. Einfach gültig. Ist ok. So, und jetzt muss man sagen, die Signatur war gültig. Lachen Applaus Und jetzt haben wir, um das natürlich zu demonstrieren, dass wir da jetzt ne eigene Software eingepackt haben, haben wir jetzt mal hier so'n rotes Fenster aufpoppen lassen. Das, was man, was wir mit diesem Studio-Patch produzieren, würde man ja so jetzt gar nicht sehen, was ja auch Sinn der Sache ist. L: Einmal noch drücken. T: Einmal noch drücken. Die signierten Ergebnis-Daten sind ein weiterer Punkt. Sie haben sich entschlossen, die Ergebnisse dieser XML-Dateien zu signieren. Was machen sie? Man hat ihnen irgendwann mal gesagt, nehmt PGP. Man hat ihnen nicht gesagt, managed irgendwie auch die Keys. Es ist völlig unklar, wie die die Keys ausrollen. Wird da irgendwie ein Schlüsselpaar unter allen Bundesländern geteilt. Oder - man weiß es nicht. Wir wissen es nicht. Wir haben es nie herausgefunden. L: Also nur um das Ausmaß hier zu zeigen, wir reden ja von 70.000 Wahllokalen. Und da gerät so'n web of trust dann ja auch ein bisschen an seine Grenzen. T: Wer importiert die ganzen public keys, wenn die sich das tatsächlich selber alles generieren. Zumindest in der Anleitung steht drinne, man soll bitte Kleopatra installieren und dann soll man sich da so'n Schlüsselpaar generieren und dann kann man die Daten signieren. Da steht nichts drinne, so schickt den key irgendwo über nen vertrauenswürdigen Kanal noch an ne zentrale Stelle. Da muss man sich natürlich noch entscheiden, wenn man schon PGP benutzt oder GPG, GnuPG, ob man da jetzt irgendwie GPGME nimmt als library sozusagen, und das in die Software direkt mit reinlinkt oder ob man ein externes Programm aufruft. Sie haben sich für was entschieden? Sie rufen das als externes Programm auf. Das heißt sie erzeugen innerhalb dieser studio.exe einen neuen Prozess. Manche lachen jetzt vielleicht schon. Es gibt hier diese tolle GPG- Kommandozeilen-Option "-- batch -- passphrase", das wird dann gefolgt von der passphrase. Lachen Lacht Nicht zu früh, das wird noch besser. Also, in dem Fall sieht man schon, wenn die PGP aufrufen und dann die passphrase auf der command line übergeben, dann taucht natürlich für die user sichtbar dieser passphrase auch in der Prozessliste auf. Aber es ist halt viel besser. Sie haben nämlich... sie rufen nicht... sie eröffnen... sie erzeugen nen neuen Prozess mit GPG2.exe, nein, sie wollen ja auch wissen, mit welchem key wollen wir jetzt die Dateien eigentlich signieren. Da muss ja in der PC-Wahl-Software auch ein Auswahlmenü angezeigt werden, weil kann ja, können ja mehrere private Schlüssel da sein. Also schreiben sie, erzeugen sie einmal eine batch-Datei, wo sie GPG mit den Parametern aufrufen, um alle privaten Keys anzuzeigen. Das wird in eine Textdatei reingeschrieben. Als nächstes öffnet PC-Wahl diese Textdatei und parst den GPG-Output und guckt da nach, was habe ich eigentlich für private Schlüssel. Danach erzeugen sie eine neue batch-Datei mit dem, was wir gerade eben gesehen haben. Da schreiben sie dann nämlich diese Passphrase und die ganze Command Line, wie man dann Sachen signiert, einmal in die Batch-Datei rein. Das heißt sie erzeugen nicht einfach nur nen neuen Prozess, wo die Passphrase sichtbar ist. Sie schreiben's auch einmal schön aufs Dateisystem im Klartext, damit alle auch in der Zukunft da vielleicht auch nochmal drauf zugreifen können. L: Und die Datei wird natürlich gespeichert und ihr erinnert euch, dass wir, dass die Binary und alle Dateien ohnehin auf'm Fileshare liegen. Das heißt man hat dann auf dem Fileshare die ganzen PGP-Keys samt Passphrases in ner Textdatei stehen. T: Verrückt. Applaus L: Das ist dann einfacher, da den Überblick zu behalten. T: Das ist vielleicht die Lehre aus diesen Ransomware-Erpresser-Trojanern oder so, dass sie da Backups verteilen, wer weiß es. Abgesehen davon haben wir ja schon gezeigt, dass diese Passphrase ja auch noch in den INI-Dateien drinne steht und wie toll das verschlüsselt ist, haben wir ja auch schon gesehen. Ja, nur damit man das vielleicht auch nachvollziehen kann. Auch das ist natürlich selbstverständlich alles auf GitHub. Wir haben nichts zu verbergen. M: Nun, also das haben jetzt nicht nur wir festgestellt, dass das wohl broken beyond repair ist, das haben die auch festgestellt. Zumindest der Landeswahlleiter oder die Landeswahlleiter haben das dann für sich festgestellt. Und was macht man dann, wenn man mit Neuland nicht zurechtkommt? Was ist die Standardantwort? Ausdrucken. Internet ausdrucken. Neuer Wahlerlass, ein geheimer Wahlerlass wurde veröffentlicht. Also jedes Land hat, der Landeswahlleiter kann Wahlerlasse mit Ausführungsbestimmungen veröffentlichen, da steht drin, wie sie es machen müssen, die Gemeinden. Und da steht drin, wenn die Wahlergebnisse hochgeladen wurden auf diesen FTP-Server und dann auf die nächste Ebene und so, dann gehe man doch bitte in das Internet auf die Statistik-Webseite des Statistischen Landesamtes, da wo die Ergebnisse veröffentlicht werden, drucke sich das aus, vergleiche das mal mit dem, was in der Gemeinde abgegeben wurde, Stempel drauf, abheften - und dann hat man die Prüfung gemacht. Also das ist die Antwort auf die Probleme, das sieht dann so in etwa aus. Also alles manuell. Wir gehen wieder zurück in die Steinzeit. L: Man konnte aber noch mehr nuken. Aber wir haben natürlich eigentlich immer noch... wir sind ja... wir wollten ja helfen. Und dann haben wir uns überlegt, als es dann irgendwie mehrere Updates gab und immer wieder so: So, jetzt haben wir aber alles gefixt - und dann Thorsten wollte ja auch irgendwann nochmal was anderes machen und musste dann immer nochmal kurz ne halbe Stunde was reverse engineeren und twittern. Da haben wir gesagt, so geht das nicht weiter, ja, wir wollen wählen. Und dann haben wir gesagt, okay, wir fixen's einfach selber und spenden den Fix für den Updater dem Hersteller als Open Source-Paket. Einfach nur um zu zeigen, es ist möglich. Applaus Und da geht's dann also einfach darum, einfach einen Standard Installer, ist jetzt auch kein großes Hexenwerk, nen Installer zu nehmen, der halt guckt, ob sein Installationspaket signiert ist. Und da muss der Nutzer nicht klicken, sondern der Installer weiß einfach, von welchem Zertifikat das Update signiert sein soll, und prüft einfach, ob das Zertifikat stimmt und der Inhalt. War da sonst noch irgendwas? Nee, ne? T: Naja, so viel muss man da eigentlich nicht machen, damit man das... L: Ja. Also eine kleine Spende, eine große Geste, eine kleine Geste, ein kleiner Schritt für den CCC, ein großer Schritt für PC-Wahl. Aber es war natürlich auch irgendwie klar, dass sie dieses kleine vergiftete, diese kleine vergiftete Spende nicht annehmen würden. T: Ja, das ist auch ganz offen gesagt natürlich jetzt auch kein, kein Software, kein, kein Stück Software, was sie natürlich einfach in ihr Programm einbauen können. Sie benutzen ja diese supermodernen Programmiersprachen - nicht. Ich hab das einfach mal in C-Sharp runtergehackt, weil ich das ganz gerne zum prototypen nehme. Und ich wollte damit zumindest mal demonstrieren, dass man mit sehr einfachen Bordmitteln und abgehangenen Crypto-Libraries durchaus sehr schnell einfach mal so eine Routine hinbekommt, um solche dumpfen Angriffe abzuwehren, aber... L: Der Hersteller merkte natürlich auch, dass er mit seinen Updates irgendwie nicht weiterkommt, unser, unsere Spende konnte er nicht annehmen und ihm war auch klar, das muss jetzt ein Ende haben... Also hat er einfach keine Updates mehr bereitgestellt. T: Yeay... L: So, dann kam einfach die aktuelle, das aktuelle Update für PC-Wahl-Anwender ist nur noch per Individualbezug über die zuständigen Service-Dienstleister erhältlich. Bitte nehmen Sie hierzu mit Ihrem Betreuer Kontakt auf. Man muss wissen, PC-Wahl-Anwender haben einen Betreuer. Applaus Da bin ich ein bisschen fuchsig geworden. Weil es war ja ganz klar, dass dieser Schritt erfolgt ist, weil sie wussten, egal was sie tun, wir machen ihnen das wieder kaputt. Und dafür sind sie in... Also sie hätten natürlich unser Lob annehmen können, aber es war auch klar, äh, unsere Spende. Lob wär dann gekommen. Aber ich mein, in welcher Situation - und das ist jetzt hier wenige Tage vor der Bundestagswahl, ich glaub, ... ne Woche vorher oder sowas. Damit bleiben die alten Versionen dauerhaft verwundbar. Weil es gibt keine Updates mehr online. Es ist auch klar, dass sich jetzt nicht die Leute ihren Betreuer anrufen, also zumindest nicht den PC-Wahl-Betreuer, und es heißt also, alle, die jetzt noch im Feld waren, kriegen keine Updates mehr. Es gibt auch einen erschwerten Update-Pfad. Das heißt, das Problem bleibt bestehen, und während das hier passierte und ich mich darüber aufregte, meldeten sich bei uns Leute: Sag mal, welche Version von PC-Wahl habt ihr irgendwie auseinandergenommen? Wir immer so: "Ja immer die aktuellste." "Ja was is'n die aktuellste?" "Ja die vom 15.9." "Bei uns steht irgendwie was weiß ich, 3.8.2013. Ist das gut?" Lachen Und diese Leuten, denen wurde jetzt einfach gesagt, so nee, ihr kriegt jetzt auch keine Updates mehr, wir sehen das nicht mehr ein. Ich kann mir nichts Unverantwortlicheres vorstellen. Kommen wir zum Fazit. Applaus Rop Gonggrijp und Alex Haldermann haben schon häufiger gesagt: Es ist doch irgendwie Zufall, dass die einzigen bekannten Verfahren, die noch als sicher gelten, die sind, die wir uns noch nicht angeschaut haben. Und wer also wer, wem die Namen etwas sagen, beides langjährig, viel länger als wir, mit dem Thema Elektronische Wahlen und so weiter befasst, international in allen möglichen Ländern. Und ich glaube, man kann sich ihnen hier anschließen. Aber es gibt noch einen weiteren sehr wichtigen technischen Punkt und er betrifft diesen ganzen Verschlüsselungskram. T: Ja, man sollte möglichst darauf achten, nicht gegen die Kerckhoff'schen Prinzipien zu verstoßen, also das müsste eigentlich heutzutage in der heutigen Zeit jedem ein Begriff sein. Wenn man ein kryptografisches Verfahren entwickelt, dass man das eben nicht selber entwickelt, sondern vielleicht auch auf Verfahren setzt, die bekannt sind und abgehangen sind, und dass man darauf achtet, dass dieses gesamte Verfahren nicht plötzlich unsicher wird, nur weil es in die falschen Hände geraten ist. Applaus M: Was wir jetzt gesehen hatten, war die Reaktion des Herstellers. Aber der Kunde ist ja eigentlich der Wahlleiter der Wahl. Amtsinhaber. Und was wir da festgestellt haben, das war gleichermaßen - ich sag mal: erschreckend. Wir sind natürlich nicht direkt an die Öffentlichkeit gegangen. Wir haben erstmal lokal versucht mit den Verantwortlichen zu reden. Wir kommen ja auch aus einer Gemeinde, haben versucht auf die Leute zuzugehen und das erstmal so aus der Sicht der Kommune auch zu besprechen, das Problem, und zu klären. Hier jetzt haben wir nen Wahlleiter aus Hessen, eine Gemeinde, und die Reaktion ist jetzt nur exemplarisch. Hat das sogar vertreten in der Öffentlichkeit. Ja, Manipulation ist wohl möglich. Das haben wir ausreichend demonstriert. Das ist ärgerlich. Aber juckt uns nicht so richtig. Das lässt mich trotzdem kalt. Das ist der Ausdruck, den man eigentlich hätte plakativ nehmen können für den ganzen Vortrag. Zumindest von Seite der Kommune oder der Wahlleiter - Gemeindewahlleiter, Kreiswahlleiter. Das hat uns wirklich überrascht. Zumindest mich. Mich hat das überrascht, damit hab ich nicht gerechnet. Ja, es gibt bessere Passworte als "test". Das hatten wir entlocken können. Das hat er zugestanden. Manipulation der Software sei zumindest störend. Ja. Das haben sie auch noch zugegeben. Und dann vom Entwickler der Software selber gab es noch die Bemerkung: Ja, das gibt Ärger und Verwirrung, hat aber keine Relevanz. Naja. Also, da müssen wir ganz entschieden widersprechen. Das stimmt so absolut nicht. L: Ich bin halt überrascht, mit welchem Anspruch auch an sich selbst diese Menschen ihrer Arbeit nachgehen. Also wenn ich doch für ne Wahl verantwortlich bin, dann hätte ich gedacht, dass mich das mehr interessiert, oder wenn ich so ne Wahlsoftware bau, dass ich irgendwie auch daran interessiert bin, dass da irgendwie ein vernünftiges Ergebnis am Ende steht. Schön finden wir aber auch dieses "Ärger und Verwirrung, aber keine Relevanz". Wir haben dann mal bei der Bundestagswahl darauf geachtet, wie viele Tage es gedauert hat. Ja, 18 Tage Ärger und Verwirrung, bis dann irgendwann jemand vor die Presse treten kann und sagt: "Erinnert ihr euch an diese Bundestagswahl - uns ist da etwas aufgefallen. Das ist jetzt störend, aber auch nicht weiter schlimm." Nach 18 Tagen - also wir haben mal hier eine kleine Zeitleiste, was da passiert ist. Nach 18 Tagen waren da schon die Einladungen für Sondierungsgespräche raus. Also was da einfach für ein Schaden an dem Vertrauen in die Demokratie leichtfertig einfach aufs Spiel gesetzt wurde, wurde einfach in Kauf genommen, oder als die Risiken gezeigt wurden, wurde eigentlich sogar noch mit der Schulter gezuckt und ich habe irgendwie son ungutes Gefühl, wenn wir ausgerechnet Menschen mit so ner... mit so Ambitionen in so wichtige Positionen heben. Aber das ist son persönlicher Geschmack. Applaus Aber es ging noch weiter. Das Bundesamt für Sicherheit in der Informationstechnik wurde natürlich auch von den Pressevertretern gefragt so "Samma... Was ist das denn?" Also so ungefähr stelle ich mir das vor. Und. Und dann tritt der Arne Schönbohm, der Chef des Bundesamtes für Sicherheit in der Informationstechnik, vor die Presse, sagt: "Ja, gut dass Sie das nochmal sagen. Wir würden gerne bei der nächsten Wahl übrigens vollständig elektronisch machen weil... Die Wahl ist ja sicher." Und da hab ich mir dann gedacht: Sag mal, wat ist dat denn? Mehr fiel mir da auch nicht zu ein. Und man fragt sich: Warum. Warum. T: Weil die haben jahrelange Erfahrung mit Wahlen L: Die ham jahrelange Erfahrung mit Wahlen. Und die Gefahr ist bei weitem nicht gebannt. Es ist ja so: Seit Jahren wird Wahlsoftware gehackt, seit Jahren werden Wahlcomputer gehackt, seit Jahren werden Wahlstifte gehackt. Überall auf der Welt gibt es immer wieder Probleme mit elektronischen Wahlen. Und dann gibt's nen Lobby-Verein, der von dem Hersteller für diese Wahl-Software ins Leben gerufen wurde und der das Ziel hat, "dass sich der Verein auch aktiv mit der Weiterentwicklung des Wahlrechts auseinandersetzt". Bitte bitte nicht. Zum Beispiel könnte man sich die "Nutzung von Online-Diensten" vorstellen "im Rahmen der weiteren Digitalisierung der Gesellschaft". Da sind dann auf einmal Ambitionen vorhanden. T: Genau die, die diese Software hier zu verantworten haben. L: Der Verein ist deckungsgleich mit dem mit dem Unternehmen. Sollen wir das noch erzählen mit dem Unternehmen? Also das was war... wir haben ja. Uns ist irgendwie aufgefallen, dass die... dass PC-Wahl schien irgendwie die Software... die Webseite schien irgendwie unter einem Firmennamen zu existieren und aktuelle Statements kamen von einem anderen Unternehmen. Und wenn man dann ein bisschen googelt, findet man , dass der eine Hersteller - VoteIT? M: Richtig. L: Dass die seinen Konkurrenten Berninger Software gekauft hat. Für'n ganz guten Betrag. T: Berninger ist der Entwickler, der da auch häufig diese Statements abgegeben hat, dass man ja sehr viel Gehirnschmalz braucht und dass das ja alles irrelevant ist und so weiter. L: Der gute Mann hat irgendwie ein oder zwei Jahre bevor wir PC Wahl auseinandergenommen haben... T: 2016 L: 2016... ein paar Monate vorher hat der die ganze Bude für'n siebenstelligen Betrag an die Konkurrenz verkauft. Und noch ein paar Jahre Geschäftsführer für sein altes Produkt mit eingetragen. Ich habe irgendwie den Eindruck, dass der Mann seit dieser Veröffentlichung vor Lachen nicht mehr in den Schlaf kommt. Applaus So macht man's richtig. T: Ja. L: Also den gesamten Schaden hat natürlich jetzt der Käufer. Naja, so ist das, wenn die Konkurrenz unbedingt kaufen möchte, der wird's ihm übel nehmen. Kommen wir zu unseren politischen Forderungen, die wir als Chaos Computer Club selbstverständlich immer noch mit dran heften, wenn wir mal wieder etwas kaputt gemacht haben. Es ist natürlich ganz klar, wenn wir hier die Beschleunigung, die hier irgendwie überall angestrebt wird, kann natürlich nicht zulasten von Sicherheit, Korrektheit und Nachvollziehbarkeit einer Wahl stattfinden. Und das ist das, was wir immer und immer wieder sehen. Was diese Software da uns ... Das mussten wir nicht knacken, das war ja schon kaputt. Applaus T: Und Transparenz. Transparenz ist wirklich was anderes. Wenn die jetzt sogar zum Schluss noch ihren eigenen Update- Mechanismus abgeschaltet haben und das Ganze nur noch über Betreuer zu updaten ist, dann ist das nicht mehr transparent. L: Dann natürlich unsere Kernforderung: keine Software-Komponente, die am Wahlausgang oder an den Wahlmeldungen beteiligt ist, darf geheim gehalten werden und ihr wisst, wohin das führt, wenn wir sagen: darf nicht geheim gehalten werden, dann wollen wir bitteschön alles davon haben. Applaus Das ist ... durch eine völlig unabhängige zeitliche Koinzidenz im September auch eine Kampagne von der Free Software Foundation Europe gestartet, die wir als Chaos Computer Club mit unterstützt haben, die ganz einfach sagt: Public Money - Public Code. Also wenn unsere Steuergelder verballert werden, dann bitteschön für Code, der dann auch in unserer Hand ist. Applaus T: Das dürfte dann auch potenzielle Entwickler von einem Open-Source-Projekt auch dazu animieren, auf moderne Programmiersprachen zurückzugreifen und moderne Frameworks zu verwenden, moderne Kryptografie. Das Ganze, wenn es dann öffentlich ist, wird's ja auch... ist es ja auch einem ständigen Review-Prozess unterworfen. Zumindest ist es viel leichter, dem Hersteller auch einfach mal zu sagen, hier hör mal, diesen Hashing- Algorithmus da, ist das Kunst oder kann das weg. Da kann man das ändern. Das ist das, was stattfinden muss. Diese Software muss regelmäßig auch einer Öffentlichkeit standhalten können. Es muss dazu animiert werden, dass die Entwickler sich auch Mühe geben, diesen Kram umzusetzen, was man jetzt hier durchaus irgendwie mal in Frage stellen kann, ob er sich da so viel Mühe gegeben hat diesen Sicherheitsaspekt auch herauszuarbeiten. Wenn es Audit Ergebnisse gibt, die kann man ja auch bei Open- Source-Projekten durchführen und irgendwie finanzieren lassen, auch diese Ergebnisse sollten natürlich öffentlich gemacht werden und parallel mit dem Quellcode publiziert werden. Und das kann so schwer gar nicht sein. Wenn man sich überlegt, für wie viel ja Millionen Euro diese Berninger-Software da gekauft wurde. Ich denke, es finden sich ziemlich schnell ziemlich viele sehr fähige Open-Source- Entwickler, die mit modernen Frameworks eine ähnliche Software mit einem besseren User Interface produzieren dürften. Lachen L: Also ich stell mir auf jeden Fall sowas wie git gitpull Wahlauswertung mit quelloffenem Code, schön durchsignierten Ergebnissen von den Wahlleiter, ... schön so ne X.509-Zertifikate vom BSI oder von wem auch immer, wer sich dafür berufen fühlt. Es gibt keinen einzigen Grund, dass irgendein Aspekt einer solchen Wahl für uns nicht vollständig nachvollziehbar ist. Und wir haben uns ja nur die Sicherheit dieser Software angeschaut. Was andere Menschen vorher wissen wollten, kommt die überhaupt zu richtigen Ergebnissen, das wär auch nochmal so'n Teil, den man sich anschauen könnte. Aber wir haben unser Kontingent an Freiwilligenarbeit für dieses Jahr erfüllt. T: In jedem Fall wäre ein möglicherweise... Applaus In jedem Fall wäre ein Open-Source-Projekt - ob es nun von uns initiiert wird oder von irgendner Free Software Organisation - wäre auf jeden Fall mal ein gutes Beispiel, dass wir Deutschen wie auch immer, die sich immer als die gute Demokratie darstellt, wir könnten ohne weiteres einfach mal den anderen Nachbarländern mit weniger Geld sagen: Hier, guckt mal, wir haben das mal vernünftig gemacht. Ihr könnt das einfach benutzen, um eure demokratischen Wahlen durchzuführen. Das wäre halt alles ziemlich einfach. Aber... Applaus L: Naja Denken first - digital second, gibt's auch hier als Aufkleber, müssen die hier irgendwo rumliegen. Und damit kommen wir schon zum Ende. Alle Angriffs-Tools findet ihr auf GitHub. Es gibt den Report auf www.ccc.de und unsere beiden Pressemitteilungen dazu. Wir haben auch noch kurz E-Mail-Adressen angegeben und wir möchten euch aber nicht ohne ein Abschluss-Feuerwerk entlassen... T: Feuerwerk der guten Laune. L: Und das ist das auch eine wunderschöne Funktion, das Abschluss-Feuerwerk hat uns PC-Wahl nämlich direkt mitgliefert. T: Die fehlerfreiste Funktion dieser Software. L: Für schnelle Grafikkarten geht das nur. Vielen Dank! Applaus Herald: [unverständlich] Aber 10 Minuten haben wir. Bitte schön, Mikrofon Nummer 3. M3: Ja Hallo, mich würde mal interessieren, was hat die Kommunen die Software gekostet? Also was was haben die dafür bezahlt? L: Zu viel. Lachen T: Ich nehme an, die finanzieren dieses ganze Projekt so mit Wartungsverträgen. Das heißt die pflegen halt diese ganzen INI-Dateien mit den tollen Passwörtern und passen halt die Listen an und so weiter. L: Also das kann man googlen, weil da in diesem Kaufvertrag das musste wohl irgendwie kartellrechtlich geprüft werden, da mussten dann halt auch Umsätze und so angegeben werden. M: Das steht alles in den Haushaltsplänen der Kommunen. Die Kommunen sind teilweise verpflichtet, das Programm zu nehmen, also die haben keine Wahl. Der Landeswahlleiter sagt, das wird verwendet. Herald: Dann eine Frage aus dem Internet. I: Hallo hallo hallo, ah ja, das Mikro, nein, das Internet würd gern wissen, ob sich nach der Wahl irgenwas nachträglich verändert hat. Gabs irgendwie grundlegende Konsequenzen oder ist irgendwas größeres passiert? M: Es gab Verzögerungen bei der Wahlauswertung, ich glaube, Brandenburg setzt komplett auf PC-Wahl in ner abgeänderten Version, ich weiß nicht, ob's da Probleme gab, zumindest in Berlin, Berlin/ Brandenburg die teilen sich ein Amt für Statistik, da gab's Verzögerungen, aber ob das... worauf das jetzt genau fußt, wurde ja nie veröffentlicht. T: Bisher ist aber noch niemand gezielt auf uns zugekommen und hat gesagt, hey, wie kriegen wir das jetzt eigentlich alles besser auf die Reihe. ist nicht passiert. Herald: Dann an Mikrofon 2 bitte. M2: Habt ihr mal probiert, bei einer Kommune anzurufen und euch als Berater vorzustellen und n Update denen zuzuschicken? L: Nein, das ist... T: Verboten, oder? L: Das ist verboten. M2: Naja, nur probiern... L: Nee, wir würden unsere Zeit dann, wenn wir sie noch hätten, lieber darauf verwenden, uns die anderen Produkte anzuschauen. Sind ja nur 33 Millionen Stimmen, da gibt's ja noch n paar. Herald: Dann an Mikrofon Nummer 3. M3: Hab ich das richtig verstanden, dass die es geschafft haben, ihre Software seit 2013 backwards kompatibel zu halten? L: Das ist bei dieser Software nicht schwer. Also die sieht halt echt einfach... die ganze Software sieht aus wie backward kompatibel. T: Sie ist backward. M3: Ich mein also, es scheint ja möglich zu sein, dass clients verschiedenster Versionen an dem gleichen Datensatz arbeiten. Das ist doch schon bemerkenswert, oder? L: Man könnte ja eher sagen, sowas wir Vorwärts-Kompatibilität ist hier die Herausforderung. Lachen Herald: Und eine letzte Frage aus dem Internet. I: Ja, das Internet würd wissen, ob ihr euch mit Vote Manager aus demselben Haus beschäftigt habt. M: Ham wir mal drüber geschaut, nach der ersten Cross-Site-Scriptiung-Lücke haben wir dann aufgehört. Lachen Herald: So und das wär's dann auch schon für diesen Talk, dankeschön, Linus, THS, Martin, vielen Dank! Applaus 34C3 Abspannmusik Untertitel erstellt von c3subtitles.de im Jahr 2018. Mach mit und hilf uns!