-
34C3 Vorspannmusik
-
Herald: So, ums ganz schnell zu machen,
mein bester Freund - Hallo, Silvan! - sagte
-
zu dem Thema, was hinter uns an der Wand
steht: "Der geilste Hack und geilste Arschtritt
-
seit der Post". So sehe ich das auch. Linus,
Thorsten, Martin, zum PC-Wahl-Hack.
-
Applaus
-
Linus: Schönen guten Abend, wir freuen
uns, dass ihr hier seid, um uns zuzuhören.
-
Ich bin der Linus. Meine Hobbys sind
Reiten, Schwimmen, Lesen und Hacken.
-
Thorsten: Ich bin Thorsten und ich mach
gern Sachen kaputt.
-
Martin: Und ich bin Martin, heute aus
Darmstadt und ich bin interessierter Bürger.
-
Applaus
-
L: Vielen Dank. Das ist dein Applaus,
Martin. Wir haben ein Wahlprogramm
-
mitgebracht. Wir führen kurz das Thema
ein. Wir stellen euch ein paar Angriffs-
-
Szenarien vor, setzen uns dann mit einigen
Versuchen auseinander, diese zu fixen und
-
kommen zu einem Fazit. Zunächst stellt
sich ja überhaupt die Frage: Wofür braucht
-
man eine Wahl-Software? Gewählt wird doch
auf Stift und Papier? Nun, die Wahl muss
-
organisiert werden, sie muss erfasst
werden und sie muss ausgewertet werden. Am
-
Ende muss da eine Zahl stehen und das
Problem, was hier zu lösen gilt, ist 70
-
Wahllokale - 70.000 Wahllokale bundesweit
bei so einer Bundestagswahl, 16
-
Bundesländer mit eigenen Regelungen und da
dann eben Gemeinde-Wahlbezirke, die ihre
-
Schnellmeldungen an einen
Gemeindewahlleiter geben, der
-
Gemeindewahlleiter übermittelt sie einen
Kreiswahlleiter. Der wiederum ermittelt
-
sie... übermittelt sie an den
Landeswahlleiter und dann irgendwann mit
-
allen diesen möglichen Ergebnissen sitzt
der Bundeswahlleiter und sagt, so und so
-
lautet das vorläufige Ergebnis. Das macht
der meistens wenige Minuten nach Ende der
-
Wahl, aber wenige Stunden danach kommen
dann die vorläufigen Ergebnisse. Das ist
-
quasi die Schnellmeldung. Wenn die Wahl
ausgezählt wird mit Papertrail und das
-
Ganze irgendwie übermittelt wird, dann
haben wir einfach mal zwischen
-
Gemeindewahlbezirk und Gemeindewahlleiter
nen Tag und so weiter. Das summiert sich
-
locker auf über zehn Tage, bis es wirklich
das amtliche Endergebnis gibt. Deswegen
-
machts natürlich Sinn, hier eine Software
einzusetzen. Da wir aber in einem
-
föderalen Staat leben, hat dann jedes
Bundesland seine eigene Vorliebe, der
-
Bundeswahlleiter hat ne Vorliebe und dann
können die Gemeinden teilweise sich auch
-
noch etwas aussuchen. Wir haben eine
dieser Softwares angeschaut, und zwar die
-
Software PC-Wahl, die laut Hersteller-
Angaben in allen Flächenbundesländern bei
-
allen möglichen demokratischen hohen Akten
zum Einsatz kommt, und laut Hersteller
-
verantwortlich ist für bis zu 33 Millionen
Stimmen. Aber was wir euch heute erzählen,
-
trifft größtenteils auch auf Alternativen
zu, wie dieses Programm IVU-Elect, das von
-
unseren Kollegen in den Niederlanden schon
auseinandergenommen wurde, oder den Vote-
-
Manager oder das Produkt mit dem
vertrauensvollen und wohlklingenden Namen
-
OK-Wahl.
In Quality-Land ist alles okay.
-
Natürlich haben sich Leute schon darüber
Gedanken gemacht, wie kommen wir denn an
-
diese Wahl-Software, was ist das denn da?
Da rechnen Computer Ergebnisse zusammen
-
und dann wird das irgendwie
bekanntgegeben. Da hätte ich doch mal
-
Interesse, diese Software anzuschauen. Da
hat sich ein junger Mann bis vor das
-
Landesverfassungsgericht geklagt. Das hat
die Beschwerde zurückgewiesen, denn also
-
eine Überprüfung durch die Öffentlichkeit
wäre hier nicht vorgesehen, es reicht,
-
wenn der Landeswahlleiter sich das
anschaut. So viel Transparenz haben wir
-
dazu.
T: Außerdem versteht's sowieso keiner.
-
L: Das versteht eh keiner. Und das zu
hacken... Wieso sollte jemand eine Wahl
-
hacken? Wir haben diese Wahl... diese
Software in unsere Finger bekommen. Und
-
das sind jetzt... Also, das sind
Hersteller-Screenshots, die hätten wir
-
auch anfertigen können. Und unsere erste
Reaktion, als wir jetzt diese Software vor
-
uns hatten...
-
T: Das passt auch zu dem Logo, das ist
nicht selbstgebaut.
-
Applaus
-
L: Es war einfach von vornherein klar, das
wird jetzt nicht angenehm.
-
Lachen
L: Und ich würde sagen, einen Punkt kann
-
man dieser Software auf jeden Fall geben.
Das Risiko, dass sie gehackt wird, ist
-
immer noch viel geringer, als dass man sie
fehlbedient oder wahnsinnig wird beim
-
Versuch.
Lachen
-
L: Hier sieht man, wie so ne Gemeindewahl
angelegt werden kann, das ist ganz intuitiv.
-
T: Angenehmes User-Interface.
-
L: Hier sieht man, wie so die Erststimmen
ausgezählt werden. Nicht zu übersehen,
-
hier, das User-Interface, das die noch
nicht ausgezählten Bereiche in rot färbt,
-
dass man sieht, ist noch nicht soweit. Und
hier haben wir einen Check, wo dann so'n
-
paar Summen verglichen werden und gesagt
wird: "Hier, die Zahlen, die ihr da
-
addiert habt, die kommen nicht so ganz
zusammen." Das heißt, man muss dann, wenn
-
die Zahlen nicht ganz stimmen, noch so
lange ein bisschen daran herum
-
korrigieren, bis alle Felder grün sind.
Aber es gibt ein
-
Betriebssicherheitskonzept. Und Sicherheit
ist ja so das, wofür wir uns
-
interessieren, da haben wir gedacht, ah
gucken wir mal.
-
T: Die interessieren sich offenbar auch
für Sicherheit.
-
L: Die interessieren sich für
Betriebssicherheit, also die richtige
-
Schuhwerk, Helm und so weiter. Ist auch
klar, das brauchen wir auch,
-
Schutzhandschuhe. Nein, Spaß beiseite. Der
Hersteller wirbt mit einem indexfreien
-
Datenbankkonzept. Und ich dachte, "Boah,
Wahnsinn, indexfreie Datenbank! Was ist
-
das?" Ja, es werden Dateien in einen File-
System geschrieben.
-
T: Irre.
Lachen
-
L: Und die werden redundant geschrieben,
denn die gleichen Daten werden in zwei
-
verschiedenen Formaten in unterschiedliche
Ordner geschrieben. Das ist redundante
-
Speicherung. Und man kann das auch sogar
synchronisieren. Also, die Datei-
-
Synchronisationsfunktion ermöglicht es,
eine oder mehrere Kopien einer
-
Wahlergebnisdatei mit dem Original
automatisch abzugleichen. Und ich dachte,
-
"Boah, Syncing-Konflikte und so bei einer
Wahl will man echt nicht haben." Dachten
-
die sich auch, die legen einfach die
Dateien alle auf ein SMB-Share und dann
-
geht's rund.
Lachen
-
Kommen wir...
Applaus
-
L: Also, man könnte, also böse Zungen
behaupten, wir haben uns das nur
-
angeschaut, weil es uns einfach auf den
Geist gegangen ist, ein Jahr lang nur
-
damit belästigt zu werden, dass irgendwie
Russland die Wahl hacken würde, und dann
-
haben wir halt gedacht, dann schauen wir
doch mal wie. Wichtig ist nochmal einmal
-
zu betonen: Es gibt zwei
Übermittlungsmodi, das vorläufige
-
Endergebnis - und das ist das, wovon wir
heute sprechen - und es gibt noch das
-
amtliche Endergebnis, was zehn Tage später
veröffentlicht wird. Alles, was wir euch
-
jetzt erzählen, trifft nur zu für das
vorläufige Ergebnis. Das amtliche
-
Endergebnis bei der Bundestagswahl 2017
kam 18 Tage später raus. Da fragt man sich
-
natürlich, wie kommt denn so'n Hacker
dazu, sich das anzuschauen. Und das
-
erklärt am liebsten Martin, der
interessierte Bürger.
-
M: Ja, also mich hat's schon interessiert,
aber man kommt natürlich nicht so direkt
-
da drauf. Es müssen schon günstige
Umstände vorliegen. Das eine war die
-
Bundestagswahl und das andere war die
Existenz eklatanter Probleme bei diesem
-
Wahlprogramm hier. Das Erste, was wir
festgestellt haben, war: Solche Wahldaten,
-
haben wir vorhin gesehen, werden
übertragen in so ner Kette von der
-
Gemeinde auf den Kreis auf das Land und so
weiter. Und was passiert denn einem
-
Wahlabend, wenn wir in der Gemeinde
sitzen: Der Gemeindewahlleiter bekommt die
-
Ergebnisse von den ganzen Wahllokalen.
Dann starten die Helfer des Wahlleiters in
-
der Gemeinde ihr PC-Wahl-Programm. Und das
wird alles von so ner SMB-Share gestartet,
-
aus dem Netzwerk heraus und dann tippen
sie fleißig die Schnellmeldungen ein, die
-
aus den Wahllokalen eingehen. Die
Ergebnisse, die sie dann sammeln, die
-
müssen irgendwo hin. Die werden
hochgeladen ins Internet auf nen FTP-
-
Server. Da steht ein FTP-Server und der
sammelt die ganzen Ergebnisse der
-
einzelnen Gemeinden ein. Und der steht im
Internet und in Hessen – ich komme aus
-
Darmstadt, deswegen Hessen, einzige
Ursache – wird der von der ekom21
-
betrieben, lokaler IT-Dienstleister dort,
kommunaler, und ekom21 hatte dem
-
interessierten Bürger die Anleitung zur
Verfügung gestellt, wie man diese Daten
-
hochlädt; waren auch die Passwörter
drinne, waren Konfigurationsdateien mit
-
eben entsprechenden Daten, die einem
ermöglicht haben, im Sinne der Bürger-
-
Transparenz, diesen Prozess komplett
nachzuvollziehen.
-
Lachen, Applaus
-
So, was braucht es dafür, um jetzt hier
-
diesen Prozess anzugreifen. Nun man
braucht Google, man muss zum Beispiel nach
-
"Wahl Bundestagswahl Hessen" googeln,
Texteditor, um diese Dateien sich
-
anzusehen und dann noch, ja ein Debugger
ist vielleicht ganz hilfreich, wenn man ein
-
bisschen tiefer einsteigen möchte. Und all
das ermöglicht dann Zugang auf diesen FTP-
-
Server. Und wir haben uns angeschaut und
da liegen tatsächliche Ergebnisse drauf
-
von Wahlen, die reichen bis viele Jahre
zurück, kleinere Wahlen,
-
Bürgermeisterwahl, Landeswahlen,
Bundestagswahlen. Da stehen die
-
Zugangsdaten für diesen Server, die hatten
wir dann auch in der Hand. Kleines
-
Problem: Diese IP ist ne lokale Adresse.
Da brauchte man dann noch Zugangsdaten für
-
das VPN.
-
Lachen, Applaus
-
L: Das Schöne daran ist ja, die Bundestags-
wahl 2017 war offenbar nur ein Test.
-
Lachen
-
M: Gut. Und damit hatten wir Hessen. War
alles erledigt. Nein, nicht ganz. Was fehlt?
-
T: Naja, es gibt ja da noch so'n paar
andere Angriffsszenarien, also nicht nur
-
die Möglichkeit auf dem FTP-Server Zugriff
zu erlangen, um da irgendwelche config-
-
Daten und Dokumentation einzusehen. Z.B.
eben diesen Updatemechanismus: Wie
-
verteilt dieses ganze System die Updates,
an die verschiedenen Wahlbezirke wo diese
-
Software am Einsatz ist. Und ja wir haben
gelernt, dass das ein durchaus spannendes
-
Feld ist mit den Updates. Wir haben im
großen bösen Internet einmal diesen
-
Webserver, auf dem Dokumentation liegt,
auf dem die Webseite des Herstellers
-
liegt, wo auch die Updates für die
Software liegen. Und wir haben zum
-
Zeitpunkt, als wir uns mit dem ganzen Kram
beschäftigt haben, gesehen: Wir haben
-
mindestens vier Schwachstellen auf diesem
auf diesem Webserver gefunden, die es uns
-
erlaubt haben, auch Dateien zu
modifizieren auf diesem Server. Das heißt,
-
wir konnten auch oder könnten auch Update-
Dateien überschreiben oder austauschen
-
durch eigene Updates, also eigene PC-Wahl-
Software.
-
L: Der Vorteil Updates auszuliefern ist
einfach, man muss nicht für 16 Bundesländer
-
die Passwörter googeln, sondern kann das
einfach zentral ausliefern.
-
T: Genau. So, das ist also viel einfacher.
Aber da hat der Herr Berninger, der
-
Entwickler dieser Software, der in den
Neunzigern angefangen hat, diese Software
-
zu entwickel ...
M: Achtzigern!
-
L: Achtzigern!
M: In den Achtzigern!
-
T: ... in den 80ern, der hat halt gesagt:
Man braucht sehr viel Gehirnschmalz, um
-
diesen Verschlüsselungs- und Kompressions-
Algorithmus zu knacken, den er sich da
-
ausgedacht hat. Er hat natürlich dafür
gesorgt, dass man das nicht so ohne
-
weiteres austauschen kann. Das heißt
dieses Update-Paket pcw10dat1.010 ist eine
-
verschlüsselte Datei. In dieser
verschlüsselten Datei findet sich ein ZIP-
-
Archiv und in diesem ZIP-Archiv findet
sich noch ne Datei, irgendwie... Naja,
-
also man braucht sehr viel Gehirnschmalz.
Haben wir dann mal zerhackt. Hier sehen
-
wir so'n Ausschnitt aus nem bisschen
Code, den wir einmal aus dem ... wir haben
-
diese Software mal gegen gegen den
Disassembler geworfen, mal die großen
-
Gummihandschuhe ausgepackt und in Delphi-
Code gewühlt. Da lag dann so'n Schlüssel
-
rum und so ne tolle Verschlüsselung-
Methode. Dann haben wir halt einfach ein
-
eigenes Tool gebaut, was diese Pakete
entpacken kann, sodass wir dann in dieser
-
Verzeichnisstruktur eigene Dateien
reinpacken können und dann kann man mit
-
dem eigenen updatedecrypt-Tool kann man
dann zum Beispiel diese studio.exe – das
-
ist die eigentliche Kernsoftware, die dann
da läuft, also PC Wahl ist studio.exe, das
-
ist dieses wundervolle UI, was wir da
gerade gesehen haben – das kann man
-
patchen, so dass zum Beispiel
Wahlergebnisse vertauscht werden oder
-
andere böse Dinge tut und anschließend
kann man mit dem Tool, was wir dann gebaut
-
haben, eine neue Update-Datei erstellen.
Da nimmt man dann einfach nen anderen
-
command line switch – Laser geht nicht,
Laser geht doch, da – minus c ist create
-
neues Update-Paket und das könnte man dann
auf diesen Server im großen bösen Internet
-
stellen. Das würde dann an die PC-Wahl-
Systeme verteilt werden, ohne dass wir da
-
was dazu beitragen müssen. Wir haben den
Code auf GitHub gepackt, dann könnt ihr
-
das mal benutzen.
Applaus
-
L: Also das Geniale ist natürlich: Wenn
ich ne Verschlüsselungsroutine habe und
-
die mitliefere in dem Programmm – er muss
ja nunmal seine Softwareupdates
-
entschlüsseln – dann war das jetzt nicht
ganz so schwer das nachzubauen. Wieviel
-
Gehirnschmalz brauchten wir da?
T: 300 Gramm.
-
L: 200 Gramm, kann auch 180 gewesen sein.
T: Ungefähr. Wollen wir nicht so kleinlich
-
sein. Was wollen wir also machen, wenn wir
so diese studio.exe patchen, dann wollen
-
wir – da ja die Kommunikationswege
verschlüsselt sind. Wir haben ja von
-
unserer Regierung gelernt: Da muss man,
wenn man abhören will, natürlich an der
-
Quelle anzapfen, weil die böse Crypto
macht immer sonst alles so kompliziert.
-
Bei der Manipulation ist das ähnlich.
Deswegen haben wir diese Quellen-TKM, also
-
Telekommunikations-Manipulation, da
platziert bevor die Kryptografie ansetzt.
-
Und wir wollen hier - das ist jetzt ein
Ausschnitt, diese Daten, die wir hier
-
sehen, das sind so XML-Daten, die dann vom
PC an die nächste höhere Ebene gesendet
-
werden. Und da gibt's dann so Partei-IDs,
über das Format unterhalten wir uns später
-
noch. Und wir haben gedacht, wir patchen
das einfach mal als Proof of Concept so,
-
dass wir die Partei 1 und 2 vertauschen.
Das heißt, dass einfach nur die Stimmen
-
vertauscht sind.
-
Das war ein Punkt in den
Angriffsszenarien. Wir haben aber noch ein
-
paar weitere. Es gibt diese Dateiformate
der INI-Dateien. Das sind
-
Konfigurationsdateien, die von der
Software verwendet werden und die vor
-
jeder Wahl zur Verfügung gestellt werden.
Die werden dann einfach ausgerollt. Dann
-
werden die Geräte provisioniert und
ausgeliefert. Und diese Daten liegen halt
-
auch im Internet und auch in diesem
Update-Paket, in dem regulären Update-
-
Paket, da sind also die die config-Dateien
mit den ganzen Schlüsseln zu den FTP-
-
Servern. PGP benutzen sie auch irgendwann.
Dann sind die Passphrases da auch drinne
-
abgelegt und da sie es den Hackern ja
nicht so leicht machen wollen, haben sie
-
das ganze auch verschlüsselt. Das haben
wir dann auch mal zerhackt. Da gibt's
-
verschiedene Formate. Sie haben sich nicht
irgendwie einfach mal auf ein
-
Verschlüsselungsverfahren festgelegt, sie
haben sich mehrere ausgedacht und auch wie
-
sie das dann kodieren: total sinnvoll –
oder auch nicht. Hier ist eine Variante,
-
die INI file Encraption #1, wie wir sie
genannt haben, wir verzichten hier
-
vollkommen auf einen geheimen Schlüssel.
-
L: Kann man machen!
-
T: Kann man machen.
L: Brauchst du halt ne Risikoabnahme.
-
T: Brauchst du halt ne Risikoabnahme. Das
ist so der Code, der dann aus dem
-
Disassembler und dem ganzen Durchlesen
dieses Binaries rausgefallen ist. Das war
-
auch nicht so der große Spaß mit dem
Delphi Code. Dann gibt es noch ne zweite
-
Variante. Den benutzen sie für Passwörter
und Usernamen für die PGP-passphrases und
-
für HTTP-basierte Zugriffe. Da haben wir
hier ein ganzes Byte Schlüssel.
-
Lachen
Immerhin.
-
Applaus
Und das wird dann genutzt, um diese
-
config-Daten zu entschlüsseln. Wir haben
das auch einfach mal alles
-
durchimplementiert und auch auf GitHub
geworfen. Könnt ihr ja mal auschecken.
-
Hier macht jetzt Linus mal kurz noch
weiter zu den Formaten. Die sind nämlich
-
dann gar nicht so unwichtig, wenn wir
zeigen wollen, wie wir das Ganze auch in
-
der Praxis hacken können.
-
L: Wie Martin ja gerade schon sagte, er
hatte Zugriff auf diesen FTP-Server
-
zumindest in Hessen. Und wir können also
einmal die Binaries manipulieren, dass sie
-
unterschiedliche Ergebnisse zählen, anders
exportieren. Aber wenn man auf den FTP-
-
Server Zugriff hat, kann man natürlich
auch seine eigenen Dateien schreiben. Und
-
da haben wir uns dieses XML-Format
angeschaut, was irgendwie vorläufiges
-
Endergebnis, Hochrechnungsergebnis
markiert hat. Und das war also auch ein
-
hochkomplexes Dateinamen-Konstrukt, das
ist das, was dieses indexfreie Datenbank-
-
Konzept bedeutet: Die Dateien haben klare
Namen und am anderen Ende wartet ein
-
Server und möchte die dann zählen. Das ist
jetzt so ne Wahldatei. Also hier sehen wir
-
die XML-Datei und da steht dann drin: Die
Partei mit der ID 0001 erhält so viele
-
Stimmen, die Partei mit der ID soundso
soundsoviel Stimmen. Und wenn man sich
-
dieses XML-Dateiformat anschaut, fragt man
sich: Was fehlt? Was ich da irgendwie
-
gesucht habe, war irgendsone Form von
Signatur oder so, die in irgendeiner Form
-
mal sagt, wer das Ding ausgezählt hat. Was
man ja bei dem Papier-Ergebniss schon
-
hätte. Also diese schöne XML-Datei-Format
auch wieder eine Zierde für den heiligen
-
Akt der Demokratie. Das haben wir alles
zusammen geschrieben. Es war natürlich
-
klar, wir haben das ja vor der Wahl
veröffentlicht mit einem ausreichenden
-
Zeitraum von zwei Wochen ...
T: Drei fast eigentlich.
-
L: ... Drei Wochen Zeit haben wir gegeben
und haben gesagt: Das kriegt ihr doch hin.
-
Wir haben also einen Bericht geschrieben.
Wenn wir jetzt nur ein paar Sahne-
-
Filetstücke gezeigt. Der eigentliche
Bericht ist 24, 25 Seiten lang. Und haben
-
den also veröffentlicht, haben gesagt,
hier, die Software ist unsicher. Und wir
-
haben aber schön darauf geachtet, dass wir
nen langen Teil haben, wo drinsteht Fazit
-
Schwachstellen und immer dazugeschrieben,
passt auf, folgendes müsst ihr machen. Wir
-
haben da ein paar Wochen dran gesessen,
haben das veröffentlicht. Und haben wir
-
gedacht, so jetzt sind endlich fertig. Und
dann haben wir abends die Tagesschau
-
geguckt, weil wir sind ja interessierte
Bürger, also gucken wir auch die
-
Tagesschau. Und dann hören wir da zu
unserer allgemeinen Überraschung.
-
Mitschnitt Tagesschau
Bei einem Computerprogramm
-
das bei der Bundestagswahl
eingesetzt werden soll
-
sind erhebliche Sicherheitsmängel
festgestellt worden.
-
Das ist das Ergebnis einer Untersuchung
an der unter anderem der Chaos Computer
-
Club beteiligt war.
-
Die Experten kommen zu dem Schluss,
das die Software über viele Kommunen
-
die Wahlergebnisse weiter melden
nicht abgesichert sei.
-
Der Bundeswahlleiter sprach von einem
ernsten Problem.
-
Inzwischen habe der Hersteller aber
nachgebessert.
-
Lachen, Applaus
-
Und ich dachte so: Boah, is echt schnell.
Mal gucken. Mal auf die Updateseite
-
schauen und diese Tage - das war die
Tagesschau vom 7. September, wo wir
-
veröffentlicht haben. Und wir haben diese
letzte Version vom 9. Septem..., vom 5.
-
September als Gegenstand unserer
Untersuchung gehabt. Und dachten, naja,
-
das ist aber komisch, wenn es da jetzt
Nachbesserungen gab, dann fragen wir uns,
-
wann die passiert sind. Und dann dämmerte
es uns, wahrscheinlich meinen die die
-
Nachbesserungen, die der Hersteller
gemachthat, während wir ihn vor
-
Veröffentlichung unseres Berichtes über
die größten Probleme in Kenntnis gesetzt
-
haben. So gab es dann am 31. August einen
Selbsttest der Datei unter Verwendung des
-
traditionsreichen --- und seit irgendwann
in den 90er Jahren gebrochenen Hashing-
-
Algorithmuses MD5. Selbst-Check ist auch
gut. Also wenn ihr... Ne manipulierte
-
Datei kann natürlich sehr gut sich selber
checken. Am 5. September kam die digitale
-
Signatur des Programms und die GPG-
Signatur des Payloads und dann sogar noch
-
die digitale Signatur des Installers
später. Und jedes Mal, wenn wir das
-
gesehen haben, rutscht uns so'n bisschen
das Herz vor Freude in die Hose und haben
-
gedacht: "Jetzt haben sie es geschafft. Sie
haben es beseitigt." Und wenige Minuten
-
später war dann irgendwie das Gefühl:
"Warum macht ihr das denn so?" Und die
-
Antwort schien mir zu sein: YOLO.
-
Lachen
Applaus
-
Aber Spaß beiseite. Wir haben zwei
zentrale Dinge gefordert: signierte
-
Software-Updates und signierte Ergebnisdaten.
Das kann ja eigentlich nicht so schwer sein.
-
T: Das haben wir wirklich sehr oft und
sehr deutlich gesagt, dass man viele
-
dieser groben Probleme natürlich damit in
den Griff bekommt, wenn wir erstmal eine
-
Software sicher auf nem System deployed
haben und da so'n Vertrauensanker haben,
-
dann können wir schon dafür sorgen, dass
diese Software auf dem Weg dahin nicht
-
mehr manipuliert wird. Wir haben wie
gesagt gesehen, dass sie da nen Selbsttest
-
eingebaut haben: Dieses studio.exe, das
soll sich halt selbst testen. Das hier ist
-
jetzt Teil unseres Patch-Programms, wo man
dann z.B. sehen kann, was wir halt noch
-
machen müssen, bevor wir diese Wahldaten
manipulieren. Wir müssen den Selbsttest
-
austauschen durch 2 Bytes. Wir müssen eine
Funktion einbringen, die dann einfach nur
-
die Stimmen der Partei 1 und Partei 2
austauscht. Und um diese Funktion
-
anzuspringen, brauchen wir dann hier noch
ein paar Bytes. Das ist im Grunde genommen
-
alles. Damit haben wir zumindest diesen
Selbsttest schon mal beseitigt. Ganz
-
praktisch. Als sie dann später so in
diesen Tontauben-Modus übergingen und wir
-
halt irgendwie etwas veröffentlicht haben
und sie dann nen Patch rausgebracht haben,
-
hat es bei dem letzten Patch, wo
man dann denken kann, jetzt haben sie es
-
aber wirklich mal gemacht, weil das haben
die jetzt so oft um die Ohren bekommen,
-
das geht gar nicht anders. Das war
irgendwie an nem Tag, da war ich gerade
-
unterwegs, hab gearbeitet und erst abends
im Hotel mal die Möglichkeit gehabt, mir
-
den Kram anzugucken, und das ging dann
eigentlich doch auch wieder relativ
-
schnell, dass man den Kram aushebeln kann.
Das hab ich dann kurz mal so getwittert
-
mit nem Hash über nen Proof of Concept,
den ich da schon in der Tasche hatte. Aber
-
ich will es ja immer schön und bunt machen
und so greifbar wie möglich machen und
-
auch so unangreifbar wie möglich machen.
So sah dann der Software-Updater von PC-
-
Wahl aus, nachdem ich mir den nochmal
angeguckt habe. Wir sehen hier ganz
-
deutlich, haben wir jetzt nicht mehr die
Umstellung des Update-Systems vom 13.9.,
-
sondern schon die Umstellung auf Schad-
Software mit Vollbit signierten
-
Installationspaketen. Das hat er dann halt
auch gefressen. Jetzt haben wir hier
-
dieses Video und ich glaube, ich muss hier
irgendwo drauf klicken. Diese Macs, die
-
können das nicht mit dem
Multimedia so richtig.
-
L: Ja, mit Windows hat das immer besser
funktioniert.
-
T: Mit Windows wär das nicht passiert.
Also hier sehen wir, wie dieses Wahl-
-
Studio bedient wird. Man kann hier auf
Versionsinfo klicken, dann wird man
-
gefragt, ob man die digitale Signatur von
PC-Wahl überprüfen möchte. Das geht jetzt
-
ein bisschen schnell. Ich rede ein
bisschen schneller. Hier gibt es jetzt ein
-
Programmaktualisierung-Software, das ist
da mit bei, jetzt gibt's gleich ne
-
Anleitung, wie die Integrität dieses
Update-Pakets überprüft werden soll.
-
Schaut mal ganz genau hin - war das schon?
Nee. Es ging so schnell.
-
L: Ah kacke, viel zu schnell.
-
T: Ah kacke. So, das ist schon unser
modifiziertes Update und hier wird jetzt
-
gezeigt - mach mal Pause oder so... Das
ist ihr Verfahren, so signieren sie ihre
-
digitalen..., so signieren sie ihre
Update-Pakete. Die wollen, dass man dieses
-
komische pc-wahl-paket.exe mit nem
Rechtsklick sich die Eigenschaften
-
anguckt, dann auf digitale Signaturen
klickt, dann doppelklicken auf den, auf
-
regio iT gmbh, und dann soll man gucken,
ob hier steht, die digitale Signatur
-
gültig. Was dann passiert...
-
L: Allein die Idee, allein die Idee zu
sagen, ach ja, signierte Updates, ja,
-
machen wir, aber das zu prüfen, muss der
Nutzer machen. 2017, Freunde.
-
T: Warte mal, das geht, das wird ja alles
noch viel besser. Was ja dann da passiert,
-
dieses pc-wahl-paket.exe ist jetzt nicht
wirklich ein Installer, wie man sich das
-
so vorstellt. Das ist eigentlich ein Hello
World-Programm. Wenn man das ausführt,
-
dann geht nur ein Fenster auf und da steht
drinne, die Signatur dieses Programms muss
-
gültig sein. Die haben ein executable
file-Format als Container benutzt, um dann
-
in den Resources, da haben sie dann ein,
da haben Sie dann dieses pcw10 dat 010
-
embedded und das... ein anderes Programm
extrahiert dann aus diesem exe das
-
eigentliche Installer-Paket und
installiert das, nachdem man natürlich
-
gesagt hat, jaja, is gültig. Jetzt kannst
mal weitermachen hier... Mach du mal.
-
Also sie haben auch hier wieder super
verschlimmbessert, hier, ne. Wir sehen,
-
wir machen das jetzt mal wie uns das so
befohlen wurde. Wir klicken da jetzt auf
-
digitale Signaturen.
Sieht doch top aus oder.
-
L: 1a Signatur.
-
T: Irre. Einfach gültig. Ist ok. So, und
jetzt muss man sagen, die Signatur war gültig.
-
Lachen
Applaus
-
Und jetzt haben wir, um das natürlich zu
demonstrieren, dass wir da jetzt ne eigene
-
Software eingepackt haben, haben wir jetzt
mal hier so'n rotes Fenster aufpoppen
-
lassen. Das, was man, was wir mit diesem
Studio-Patch produzieren, würde man ja so
-
jetzt gar nicht sehen, was ja auch Sinn
der Sache ist.
-
L: Einmal noch drücken.
T: Einmal noch drücken. Die signierten
-
Ergebnis-Daten sind ein weiterer Punkt.
Sie haben sich entschlossen, die
-
Ergebnisse dieser XML-Dateien zu
signieren. Was machen sie? Man hat ihnen
-
irgendwann mal gesagt, nehmt PGP. Man hat
ihnen nicht gesagt, managed irgendwie auch
-
die Keys. Es ist völlig unklar, wie die
die Keys ausrollen. Wird da irgendwie ein
-
Schlüsselpaar unter allen Bundesländern
geteilt. Oder - man weiß es nicht. Wir
-
wissen es nicht. Wir haben es nie
herausgefunden.
-
L: Also nur um das Ausmaß hier zu zeigen,
wir reden ja von 70.000 Wahllokalen. Und
-
da gerät so'n web of trust dann ja auch
ein bisschen an seine Grenzen.
-
T: Wer importiert die ganzen public keys,
wenn die sich das tatsächlich selber alles
-
generieren. Zumindest in der Anleitung
steht drinne, man soll bitte Kleopatra
-
installieren und dann soll man sich da
so'n Schlüsselpaar generieren und dann
-
kann man die Daten signieren. Da steht
nichts drinne, so schickt den key irgendwo
-
über nen vertrauenswürdigen Kanal noch an
ne zentrale Stelle. Da muss man sich
-
natürlich noch entscheiden, wenn man schon
PGP benutzt oder GPG, GnuPG, ob man da
-
jetzt irgendwie GPGME nimmt als library
sozusagen, und das in die Software direkt
-
mit reinlinkt oder ob man ein externes
Programm aufruft. Sie haben sich für was
-
entschieden? Sie rufen das als externes
Programm auf. Das heißt sie erzeugen
-
innerhalb dieser studio.exe einen neuen
Prozess. Manche lachen jetzt vielleicht
-
schon. Es gibt hier diese tolle GPG-
Kommandozeilen-Option "-- batch --
-
passphrase", das wird dann gefolgt von der
passphrase.
-
Lachen
-
Lacht Nicht zu früh, das wird noch besser.
Also, in dem Fall sieht man schon, wenn
-
die PGP aufrufen und dann die passphrase
auf der command line übergeben, dann
-
taucht natürlich für die user sichtbar
dieser passphrase auch in der Prozessliste
-
auf. Aber es ist halt viel besser. Sie
haben nämlich... sie rufen nicht... sie
-
eröffnen... sie erzeugen nen neuen Prozess
mit GPG2.exe, nein, sie wollen ja auch
-
wissen, mit welchem key wollen wir jetzt
die Dateien eigentlich signieren. Da muss
-
ja in der PC-Wahl-Software auch ein
Auswahlmenü angezeigt werden, weil kann
-
ja, können ja mehrere private Schlüssel da
sein. Also schreiben sie, erzeugen sie
-
einmal eine batch-Datei, wo sie GPG mit
den Parametern aufrufen, um alle privaten
-
Keys anzuzeigen. Das wird in eine
Textdatei reingeschrieben. Als nächstes
-
öffnet PC-Wahl diese Textdatei und parst
den GPG-Output und guckt da nach, was habe
-
ich eigentlich für private Schlüssel.
Danach erzeugen sie eine neue batch-Datei
-
mit dem, was wir gerade eben gesehen
haben. Da schreiben sie dann nämlich diese
-
Passphrase und die ganze Command Line, wie
man dann Sachen signiert, einmal in die
-
Batch-Datei rein. Das heißt sie erzeugen
nicht einfach nur nen neuen Prozess, wo
-
die Passphrase sichtbar ist. Sie
schreiben's auch einmal schön aufs
-
Dateisystem im Klartext, damit alle auch
in der Zukunft da vielleicht auch nochmal
-
drauf zugreifen können.
-
L: Und die Datei wird natürlich gespeichert
und ihr erinnert euch, dass wir, dass die
-
Binary und alle Dateien ohnehin auf'm
Fileshare liegen. Das heißt man hat dann
-
auf dem Fileshare die ganzen PGP-Keys samt
Passphrases in ner Textdatei stehen.
-
T: Verrückt.
Applaus
-
L: Das ist dann einfacher, da den
Überblick zu behalten.
-
T: Das ist vielleicht die Lehre aus diesen
Ransomware-Erpresser-Trojanern oder so,
-
dass sie da Backups verteilen, wer weiß
es. Abgesehen davon haben wir ja schon
-
gezeigt, dass diese Passphrase ja auch
noch in den INI-Dateien drinne steht und
-
wie toll das verschlüsselt ist, haben wir
ja auch schon gesehen.
-
Ja, nur damit man das vielleicht auch
nachvollziehen kann. Auch das ist
-
natürlich selbstverständlich alles auf
GitHub. Wir haben nichts zu verbergen.
-
M: Nun, also das haben jetzt nicht nur wir
festgestellt, dass das wohl broken beyond
-
repair ist, das haben die auch
festgestellt. Zumindest der
-
Landeswahlleiter oder die Landeswahlleiter
haben das dann für sich festgestellt. Und
-
was macht man dann, wenn man mit Neuland
nicht zurechtkommt? Was ist die
-
Standardantwort? Ausdrucken. Internet
ausdrucken. Neuer Wahlerlass, ein geheimer
-
Wahlerlass wurde veröffentlicht. Also
jedes Land hat, der Landeswahlleiter kann
-
Wahlerlasse mit Ausführungsbestimmungen
veröffentlichen, da steht drin, wie sie es
-
machen müssen, die Gemeinden. Und da steht
drin, wenn die Wahlergebnisse hochgeladen
-
wurden auf diesen FTP-Server und dann auf
die nächste Ebene und so, dann gehe man
-
doch bitte in das Internet auf die
Statistik-Webseite des Statistischen
-
Landesamtes, da wo die Ergebnisse
veröffentlicht werden, drucke sich das
-
aus, vergleiche das mal mit dem, was in
der Gemeinde abgegeben wurde, Stempel
-
drauf, abheften - und dann hat man die
Prüfung gemacht. Also das ist die Antwort
-
auf die Probleme, das sieht dann so in
etwa aus. Also alles manuell. Wir gehen
-
wieder zurück in die Steinzeit.
-
L: Man konnte aber noch mehr nuken. Aber
wir haben natürlich eigentlich immer
-
noch... wir sind ja... wir wollten ja
helfen. Und dann haben wir uns überlegt,
-
als es dann irgendwie mehrere Updates gab
und immer wieder so: So, jetzt haben wir
-
aber alles gefixt - und dann Thorsten
wollte ja auch irgendwann nochmal was
-
anderes machen und musste dann immer
nochmal kurz ne halbe Stunde was reverse
-
engineeren und twittern. Da haben wir
gesagt, so geht das nicht weiter, ja, wir
-
wollen wählen. Und dann haben wir gesagt,
okay, wir fixen's einfach selber und
-
spenden den Fix für den Updater dem
Hersteller als Open Source-Paket. Einfach
-
nur um zu zeigen, es ist möglich.
-
Applaus
-
Und da geht's dann also
einfach darum, einfach
-
einen Standard Installer, ist jetzt auch
kein großes Hexenwerk, nen Installer zu
-
nehmen, der halt guckt, ob sein
Installationspaket signiert ist. Und da
-
muss der Nutzer nicht klicken, sondern der
Installer weiß einfach, von welchem
-
Zertifikat das Update signiert sein soll,
und prüft einfach, ob das Zertifikat
-
stimmt und der Inhalt. War da sonst noch
irgendwas? Nee, ne?
-
T: Naja, so viel muss man da eigentlich
nicht machen, damit man das...
-
L: Ja. Also eine kleine Spende, eine große
Geste, eine kleine Geste, ein kleiner
-
Schritt für den CCC, ein großer Schritt
für PC-Wahl. Aber es war natürlich auch
-
irgendwie klar, dass sie dieses kleine
vergiftete, diese kleine vergiftete Spende
-
nicht annehmen würden.
-
T: Ja, das ist auch ganz offen gesagt
natürlich jetzt auch kein, kein Software,
-
kein, kein Stück Software, was sie
natürlich einfach in ihr Programm einbauen
-
können. Sie benutzen ja diese
supermodernen Programmiersprachen - nicht.
-
Ich hab das einfach mal in C-Sharp
runtergehackt, weil ich das ganz gerne zum
-
prototypen nehme. Und ich wollte damit
zumindest mal demonstrieren, dass man mit
-
sehr einfachen Bordmitteln und
abgehangenen Crypto-Libraries durchaus
-
sehr schnell einfach mal so eine Routine
hinbekommt, um solche dumpfen Angriffe
-
abzuwehren, aber...
L: Der Hersteller merkte natürlich auch,
-
dass er mit seinen Updates irgendwie nicht
weiterkommt, unser, unsere Spende konnte
-
er nicht annehmen und ihm war auch klar,
das muss jetzt ein Ende haben... Also hat er
-
einfach keine Updates mehr bereitgestellt.
T: Yeay...
-
L: So, dann kam einfach die aktuelle, das
aktuelle Update für PC-Wahl-Anwender ist
-
nur noch per Individualbezug über die
zuständigen Service-Dienstleister
-
erhältlich. Bitte nehmen Sie hierzu mit
Ihrem Betreuer Kontakt auf. Man muss
-
wissen, PC-Wahl-Anwender haben einen
Betreuer.
-
Applaus
Da bin ich ein bisschen fuchsig geworden.
-
Weil es war ja ganz klar, dass dieser
Schritt erfolgt ist, weil sie wussten,
-
egal was sie tun, wir machen ihnen das
wieder kaputt. Und dafür sind sie in...
-
Also sie hätten natürlich unser Lob
annehmen können, aber es war auch klar,
-
äh, unsere Spende. Lob wär dann gekommen.
Aber ich mein, in welcher Situation - und
-
das ist jetzt hier wenige Tage vor der
Bundestagswahl, ich glaub, ... ne Woche
-
vorher oder sowas. Damit bleiben die alten
Versionen dauerhaft verwundbar. Weil es
-
gibt keine Updates mehr online. Es ist
auch klar, dass sich jetzt nicht die Leute
-
ihren Betreuer anrufen, also zumindest
nicht den PC-Wahl-Betreuer, und es heißt
-
also, alle, die jetzt noch im Feld waren,
kriegen keine Updates mehr. Es gibt auch
-
einen erschwerten Update-Pfad. Das heißt,
das Problem bleibt bestehen, und während
-
das hier passierte und ich mich darüber
aufregte, meldeten sich bei uns Leute: Sag
-
mal, welche Version von PC-Wahl habt ihr
irgendwie auseinandergenommen? Wir immer
-
so: "Ja immer die aktuellste." "Ja was is'n
die aktuellste?" "Ja die vom 15.9." "Bei uns
-
steht irgendwie was weiß ich, 3.8.2013.
Ist das gut?"
-
Lachen
-
Und diese Leuten, denen wurde jetzt
-
einfach gesagt, so nee, ihr kriegt jetzt
auch keine Updates mehr, wir sehen das
-
nicht mehr ein. Ich kann mir nichts
Unverantwortlicheres vorstellen. Kommen
-
wir zum Fazit.
-
Applaus
-
Rop Gonggrijp und Alex Haldermann haben
schon häufiger gesagt: Es ist doch
-
irgendwie Zufall, dass die einzigen
bekannten Verfahren, die noch als sicher
-
gelten, die sind, die wir uns noch nicht
angeschaut haben. Und wer also wer, wem
-
die Namen etwas sagen, beides langjährig,
viel länger als wir, mit dem Thema
-
Elektronische Wahlen und so weiter
befasst, international in allen möglichen
-
Ländern. Und ich glaube, man kann sich
ihnen hier anschließen. Aber es gibt noch
-
einen weiteren sehr wichtigen technischen
Punkt und er betrifft diesen ganzen
-
Verschlüsselungskram.
-
T: Ja, man sollte möglichst darauf achten,
nicht gegen die Kerckhoff'schen Prinzipien
-
zu verstoßen, also das müsste eigentlich
heutzutage in der heutigen Zeit jedem ein
-
Begriff sein. Wenn man ein
kryptografisches Verfahren entwickelt,
-
dass man das eben nicht selber entwickelt,
sondern vielleicht auch auf Verfahren
-
setzt, die bekannt sind und abgehangen
sind, und dass man darauf achtet, dass
-
dieses gesamte Verfahren nicht plötzlich
unsicher wird, nur weil es in die falschen
-
Hände geraten ist.
-
Applaus
-
M: Was wir jetzt gesehen hatten, war die
Reaktion des Herstellers. Aber der Kunde
-
ist ja eigentlich der Wahlleiter der Wahl.
Amtsinhaber. Und was wir da festgestellt
-
haben, das war gleichermaßen - ich sag
mal: erschreckend. Wir sind natürlich
-
nicht direkt an die Öffentlichkeit
gegangen. Wir haben erstmal lokal versucht
-
mit den Verantwortlichen zu reden. Wir
kommen ja auch aus einer Gemeinde, haben
-
versucht auf die Leute zuzugehen und das
erstmal so aus der Sicht der Kommune auch
-
zu besprechen, das Problem, und zu klären.
Hier jetzt haben wir nen Wahlleiter aus
-
Hessen, eine Gemeinde, und die Reaktion
ist jetzt nur exemplarisch. Hat das sogar
-
vertreten in der Öffentlichkeit. Ja,
Manipulation ist wohl möglich. Das haben
-
wir ausreichend demonstriert. Das ist
ärgerlich. Aber juckt uns nicht so
-
richtig. Das lässt mich trotzdem kalt. Das
ist der Ausdruck, den man eigentlich hätte
-
plakativ nehmen können für den ganzen
Vortrag. Zumindest von Seite der Kommune
-
oder der Wahlleiter - Gemeindewahlleiter,
Kreiswahlleiter. Das hat uns wirklich
-
überrascht. Zumindest mich. Mich hat das
überrascht, damit hab ich nicht gerechnet.
-
Ja, es gibt bessere Passworte als "test".
Das hatten wir entlocken können. Das hat
-
er zugestanden. Manipulation der Software
sei zumindest störend. Ja. Das haben sie
-
auch noch zugegeben. Und dann vom
Entwickler der Software selber gab es noch
-
die Bemerkung: Ja, das gibt Ärger und
Verwirrung, hat aber keine Relevanz. Naja.
-
Also, da müssen wir ganz entschieden
widersprechen. Das stimmt so absolut nicht.
-
L: Ich bin halt überrascht, mit welchem
Anspruch auch an sich selbst diese
-
Menschen ihrer Arbeit nachgehen. Also wenn
ich doch für ne Wahl verantwortlich bin,
-
dann hätte ich gedacht, dass mich das mehr
interessiert, oder wenn ich so ne
-
Wahlsoftware bau, dass ich irgendwie auch
daran interessiert bin, dass da irgendwie
-
ein vernünftiges Ergebnis am Ende steht.
Schön finden wir aber auch dieses "Ärger
-
und Verwirrung, aber keine Relevanz". Wir
haben dann mal bei der Bundestagswahl
-
darauf geachtet, wie viele Tage es
gedauert hat. Ja, 18 Tage Ärger und
-
Verwirrung, bis dann irgendwann jemand vor
die Presse treten kann und sagt:
-
"Erinnert ihr euch an diese Bundestagswahl - uns ist
da etwas aufgefallen. Das ist jetzt störend, aber
-
auch nicht weiter schlimm." Nach 18 Tagen -
also wir haben mal hier eine kleine
-
Zeitleiste, was da passiert ist. Nach 18
Tagen waren da schon die Einladungen für
-
Sondierungsgespräche raus. Also was da
einfach für ein Schaden an dem Vertrauen
-
in die Demokratie leichtfertig einfach
aufs Spiel gesetzt wurde, wurde einfach in
-
Kauf genommen, oder als die Risiken
gezeigt wurden, wurde eigentlich sogar
-
noch mit der Schulter gezuckt und ich habe
irgendwie son ungutes Gefühl, wenn wir
-
ausgerechnet Menschen mit so ner... mit so
Ambitionen in so wichtige Positionen
-
heben. Aber das ist son persönlicher
Geschmack.
-
Applaus
-
Aber es ging noch weiter. Das Bundesamt
für Sicherheit in der Informationstechnik
-
wurde natürlich auch von den
Pressevertretern gefragt so "Samma... Was
-
ist das denn?" Also so ungefähr stelle ich
mir das vor. Und. Und dann tritt der Arne
-
Schönbohm, der Chef des Bundesamtes für
Sicherheit in der Informationstechnik, vor
-
die Presse, sagt: "Ja, gut dass Sie das
nochmal sagen. Wir würden gerne bei der
-
nächsten Wahl übrigens vollständig
elektronisch machen weil... Die Wahl ist
-
ja sicher." Und da hab ich mir dann
gedacht: Sag mal, wat ist dat denn? Mehr
-
fiel mir da auch nicht zu ein. Und man
fragt sich: Warum. Warum.
-
T: Weil die haben jahrelange
Erfahrung mit Wahlen
-
L: Die ham jahrelange Erfahrung mit
Wahlen. Und die Gefahr ist bei weitem
-
nicht gebannt. Es ist ja so: Seit Jahren
wird Wahlsoftware gehackt, seit Jahren
-
werden Wahlcomputer gehackt, seit Jahren
werden Wahlstifte gehackt. Überall auf der
-
Welt gibt es immer wieder Probleme mit
elektronischen Wahlen. Und dann gibt's nen
-
Lobby-Verein, der von dem Hersteller für
diese Wahl-Software ins Leben gerufen
-
wurde und der das Ziel hat, "dass sich der
Verein auch aktiv mit der
-
Weiterentwicklung des Wahlrechts
auseinandersetzt". Bitte bitte nicht. Zum
-
Beispiel könnte man sich die "Nutzung von
Online-Diensten" vorstellen "im Rahmen der
-
weiteren Digitalisierung der
Gesellschaft". Da sind dann auf einmal
-
Ambitionen vorhanden.
-
T: Genau die, die diese Software hier zu
verantworten haben.
-
L: Der Verein ist deckungsgleich mit dem
mit dem Unternehmen. Sollen wir das noch
-
erzählen mit dem Unternehmen? Also das was
war... wir haben ja. Uns ist irgendwie
-
aufgefallen, dass die... dass PC-Wahl
schien irgendwie die Software... die
-
Webseite schien irgendwie unter einem
Firmennamen zu existieren und aktuelle
-
Statements kamen von einem anderen
Unternehmen. Und wenn man dann ein
-
bisschen googelt, findet man , dass der
eine Hersteller - VoteIT?
-
M: Richtig.
-
L: Dass die seinen Konkurrenten Berninger
Software gekauft hat. Für'n ganz guten Betrag.
-
T: Berninger ist der Entwickler, der da
auch häufig diese Statements abgegeben
-
hat, dass man ja sehr viel Gehirnschmalz
braucht und dass das ja alles irrelevant
-
ist und so weiter.
-
L: Der gute Mann hat irgendwie ein oder
zwei Jahre bevor wir PC Wahl
-
auseinandergenommen haben...
-
T: 2016
-
L: 2016... ein paar Monate vorher hat der
die ganze Bude für'n siebenstelligen
-
Betrag an die Konkurrenz verkauft. Und
noch ein paar Jahre Geschäftsführer für
-
sein altes Produkt mit eingetragen. Ich
habe irgendwie den Eindruck, dass der Mann
-
seit dieser Veröffentlichung vor Lachen
nicht mehr in den Schlaf kommt.
-
Applaus
-
So macht man's richtig.
-
T: Ja.
-
L: Also den gesamten Schaden hat natürlich
-
jetzt der Käufer. Naja, so ist das, wenn
die Konkurrenz unbedingt kaufen möchte,
-
der wird's ihm übel nehmen. Kommen wir zu
unseren politischen Forderungen, die wir
-
als Chaos Computer Club selbstverständlich
immer noch mit dran heften, wenn wir mal
-
wieder etwas kaputt gemacht haben. Es ist
natürlich ganz klar, wenn wir hier die
-
Beschleunigung, die hier irgendwie überall
angestrebt wird, kann natürlich nicht
-
zulasten von Sicherheit, Korrektheit und
Nachvollziehbarkeit einer Wahl
-
stattfinden. Und das ist das, was wir
immer und immer wieder sehen. Was diese
-
Software da uns ... Das mussten wir nicht
knacken, das war ja schon kaputt.
-
Applaus
-
T: Und Transparenz. Transparenz ist
wirklich was anderes. Wenn die jetzt sogar
-
zum Schluss noch ihren eigenen Update-
Mechanismus abgeschaltet haben und das
-
Ganze nur noch über Betreuer zu updaten
ist, dann ist das nicht mehr transparent.
-
L: Dann natürlich unsere Kernforderung:
keine Software-Komponente, die am
-
Wahlausgang oder an den Wahlmeldungen
beteiligt ist, darf geheim gehalten werden
-
und ihr wisst, wohin das führt, wenn wir
sagen: darf nicht geheim gehalten werden,
-
dann wollen wir bitteschön alles davon
haben.
-
Applaus
-
Das ist ... durch eine völlig unabhängige
-
zeitliche Koinzidenz im September auch
eine Kampagne von der Free Software
-
Foundation Europe gestartet, die wir als
Chaos Computer Club mit unterstützt haben,
-
die ganz einfach sagt: Public Money -
Public Code. Also wenn unsere Steuergelder
-
verballert werden, dann bitteschön für
Code, der dann auch in unserer Hand ist.
-
Applaus
-
T: Das dürfte dann auch potenzielle
-
Entwickler von einem Open-Source-Projekt
auch dazu animieren, auf moderne
-
Programmiersprachen zurückzugreifen und
moderne Frameworks zu verwenden, moderne
-
Kryptografie. Das Ganze, wenn es dann
öffentlich ist, wird's ja auch... ist es
-
ja auch einem ständigen Review-Prozess
unterworfen. Zumindest ist es viel
-
leichter, dem Hersteller auch einfach mal
zu sagen, hier hör mal, diesen Hashing-
-
Algorithmus da, ist das Kunst oder kann
das weg. Da kann man das ändern. Das ist
-
das, was stattfinden muss. Diese Software
muss regelmäßig auch einer Öffentlichkeit
-
standhalten können. Es muss dazu animiert
werden, dass die Entwickler sich auch Mühe
-
geben, diesen Kram umzusetzen, was man
jetzt hier durchaus irgendwie mal in Frage
-
stellen kann, ob er sich da so viel Mühe
gegeben hat diesen Sicherheitsaspekt auch
-
herauszuarbeiten. Wenn es Audit Ergebnisse
gibt, die kann man ja auch bei Open-
-
Source-Projekten durchführen und irgendwie
finanzieren lassen, auch diese Ergebnisse
-
sollten natürlich öffentlich gemacht
werden und parallel mit dem Quellcode
-
publiziert werden. Und das kann so schwer
gar nicht sein. Wenn man sich überlegt,
-
für wie viel ja Millionen Euro diese
Berninger-Software da gekauft wurde. Ich
-
denke, es finden sich ziemlich schnell
ziemlich viele sehr fähige Open-Source-
-
Entwickler, die mit modernen Frameworks
eine ähnliche Software mit einem besseren
-
User Interface produzieren dürften.
-
Lachen
-
L: Also ich stell mir auf jeden Fall sowas
wie git gitpull Wahlauswertung mit
-
quelloffenem Code, schön durchsignierten
Ergebnissen von den Wahlleiter, ... schön
-
so ne X.509-Zertifikate vom BSI oder von
wem auch immer, wer sich dafür berufen
-
fühlt. Es gibt keinen einzigen Grund, dass
irgendein Aspekt einer solchen Wahl für
-
uns nicht vollständig nachvollziehbar ist.
Und wir haben uns ja nur die Sicherheit
-
dieser Software angeschaut. Was andere
Menschen vorher wissen wollten, kommt die
-
überhaupt zu richtigen Ergebnissen, das
wär auch nochmal so'n Teil, den man sich
-
anschauen könnte. Aber wir haben unser
Kontingent an Freiwilligenarbeit für
-
dieses Jahr erfüllt.
-
T: In jedem Fall wäre ein
möglicherweise...
-
Applaus
-
In jedem Fall wäre ein Open-Source-Projekt
- ob es nun von uns initiiert wird oder
-
von irgendner Free Software Organisation -
wäre auf jeden Fall mal ein gutes
-
Beispiel, dass wir Deutschen wie auch
immer, die sich immer als die gute
-
Demokratie darstellt, wir könnten ohne
weiteres einfach mal den anderen
-
Nachbarländern mit weniger Geld sagen:
Hier, guckt mal, wir haben das mal
-
vernünftig gemacht. Ihr könnt das einfach
benutzen, um eure demokratischen Wahlen
-
durchzuführen. Das wäre halt alles
ziemlich einfach. Aber...
-
Applaus
-
L: Naja Denken first - digital second,
gibt's auch hier als Aufkleber, müssen die
-
hier irgendwo rumliegen. Und damit kommen
wir schon zum Ende. Alle Angriffs-Tools
-
findet ihr auf GitHub. Es gibt den Report
auf www.ccc.de und unsere beiden
-
Pressemitteilungen dazu. Wir haben auch
noch kurz E-Mail-Adressen angegeben und
-
wir möchten euch aber nicht ohne ein
Abschluss-Feuerwerk entlassen...
-
T: Feuerwerk der guten Laune.
-
L: Und das ist das auch eine wunderschöne
Funktion, das Abschluss-Feuerwerk hat uns
-
PC-Wahl nämlich direkt mitgliefert.
-
T: Die fehlerfreiste Funktion dieser Software.
-
L: Für schnelle Grafikkarten geht das nur.
Vielen Dank!
-
Applaus
-
Herald: [unverständlich]
-
Aber 10 Minuten haben wir. Bitte schön,
-
Mikrofon Nummer 3.
-
M3: Ja Hallo, mich würde mal
interessieren, was hat die Kommunen die
-
Software gekostet? Also was was haben die
dafür bezahlt?
-
L: Zu viel.
-
Lachen
-
T: Ich nehme an, die finanzieren dieses
ganze Projekt so mit Wartungsverträgen.
-
Das heißt die pflegen halt diese ganzen
INI-Dateien mit den tollen Passwörtern und
-
passen halt die Listen an und so weiter.
-
L: Also das kann man googlen, weil da in
diesem Kaufvertrag das musste wohl
-
irgendwie kartellrechtlich geprüft werden,
da mussten dann halt auch Umsätze und so
-
angegeben werden.
-
M: Das steht alles in den Haushaltsplänen
der Kommunen. Die Kommunen sind teilweise
-
verpflichtet, das Programm zu nehmen, also
die haben keine Wahl. Der Landeswahlleiter
-
sagt, das wird verwendet.
-
Herald: Dann eine Frage aus dem Internet.
-
I: Hallo hallo hallo, ah ja, das Mikro,
nein, das Internet würd gern wissen, ob
-
sich nach der Wahl irgenwas nachträglich
verändert hat. Gabs irgendwie grundlegende
-
Konsequenzen oder ist irgendwas größeres
passiert?
-
M: Es gab Verzögerungen bei der
Wahlauswertung, ich glaube, Brandenburg
-
setzt komplett auf PC-Wahl in ner
abgeänderten Version, ich weiß nicht, ob's
-
da Probleme gab, zumindest in Berlin,
Berlin/ Brandenburg die teilen sich ein
-
Amt für Statistik, da gab's Verzögerungen,
aber ob das... worauf das jetzt genau
-
fußt, wurde ja nie veröffentlicht.
-
T: Bisher ist aber noch niemand gezielt
auf uns zugekommen und hat gesagt, hey,
-
wie kriegen wir das jetzt eigentlich alles
besser auf die Reihe. ist nicht passiert.
-
Herald: Dann an Mikrofon 2 bitte.
-
M2: Habt ihr mal probiert, bei einer
-
Kommune anzurufen und euch als Berater
vorzustellen und n Update denen zuzuschicken?
-
L: Nein, das ist...
-
T: Verboten, oder?
-
L: Das ist verboten.
-
M2: Naja, nur probiern...
-
L: Nee, wir würden unsere Zeit dann, wenn
wir sie noch hätten, lieber darauf
-
verwenden, uns die anderen Produkte
anzuschauen. Sind ja nur 33 Millionen
-
Stimmen, da gibt's ja noch n paar.
-
Herald: Dann an Mikrofon Nummer 3.
-
M3: Hab ich das richtig verstanden, dass
die es geschafft haben, ihre Software seit
-
2013 backwards kompatibel zu halten?
-
L: Das ist bei dieser Software nicht
schwer. Also die sieht halt echt
-
einfach... die ganze Software sieht aus
wie backward kompatibel.
-
T: Sie ist backward.
-
M3: Ich mein also, es scheint ja möglich
zu sein, dass clients verschiedenster
-
Versionen an dem gleichen Datensatz
arbeiten. Das ist doch schon
-
bemerkenswert, oder?
-
L: Man könnte ja eher sagen, sowas wir
Vorwärts-Kompatibilität ist hier die
-
Herausforderung.
Lachen
-
Herald: Und eine letzte Frage aus dem
Internet.
-
I: Ja, das Internet würd wissen, ob ihr
euch mit Vote Manager aus demselben Haus
-
beschäftigt habt.
-
M: Ham wir mal drüber geschaut, nach der
ersten Cross-Site-Scriptiung-Lücke haben
-
wir dann aufgehört.
-
Lachen
-
Herald: So und das wär's dann auch schon
für diesen Talk, dankeschön, Linus, THS,
-
Martin, vielen Dank!
-
Applaus
-
34C3 Abspannmusik
-
Untertitel erstellt von c3subtitles.de
im Jahr 2018. Mach mit und hilf uns!
