Gaming the system - eValg i Danmark

Det lader til at eValg er kommet for at blive, ihvertfald kan man ikke undgå at læse om det alle steder.

Desværre er eValg noget som alle kan have en mening om, uden dog at have sat sig ind i dette store område - desværre.

Idag har vi således en situation hvor de blinde leder de døve og politikerne er ekstremt faktaresistente, men alle gør det formentlig i bedste mening. Den bedste mening giver ofte det værste resultat :-(

I den forbindelse skal jeg måske bemærke at udtrykket ikke er ment nedsættende om hverken blinde eller døve, MEN det er altså ikke en speciel komptence at være blind - ligesom det ikke giver en kompetencer indenfor eValg at være politiker. Det er således alle tiders at spørge blinde, døve og handicappede om deres mening. Blot skal man undgå at det bliver den falske ekspert.

Den falske ekspert er et begreb jeg bruger når man tager en ekspert indenfor et felt og spørger vedkommende som om han/hun var ekspert indenfor et andet området. I bedste fald får man et lægmands svar på et komplekst spørgsmål - som ikke har nogen reel vægt i argumentationen. Hvis man er ekspert er det indenfor et område hvor man har sat sig godt ind i det område, og blot fordi man har gjort dette ved man ikke alt. Det betyder at man bør have en vis respekt for andres ekspertområder - men også en stolthed indenfor eget område, det man ved.

Hov, siger du at alle har en mening om eValg og mener det godt, ja. Siger du at alle kan sætte sig ind i det, ja - hvis man lyster og har +100timer til rådighed vil de fleste kunne sætte sig ind i eValg. (Bemærk: jeg siger ikke vi kun skal lytte til eksperter, men du er altså ikke ekspert hvis du har læst 3 artikler på version2.dk!)

Hvis du ikke har +100timer til projekt eValg er du ikke opdateret med teknologierne, metoderne, erfaringerne og således ikke kvalificeret til overhovedet at diskutere dette komplekse emne.

  • her kan jeg indskyde at Mogens Nørgaard tydeligvis ikke engang har forsøgt at sætte sig ind i problematikkerne før han på pinlig vis hælder vand ud af ørerne, jeg er lidt flov over at han findes i vores branche. Bemærk alle må deltage i debatten, men det lyder så dumt Mogens når du i de første sætninger viser din uvidenhed så tydeligt.

Når jeg siger dette er det måske værd at bemærke at jeg selv ikke er specielt aktiv indenfor eValg - jeg har ikke +100timer lige pt. til at opdatere min viden. Jeg har ellers forsøgt at følge det nogenlunde henover årene. Jeg har eksempelvis fulgt emnet når det blev diskuteret i Login; (Usenix blad med tekniske/akademiske artikeler), læst diverse artikler som jeg stødte på undervejs - læs eksempelvis The Cocaine Auction Protocol: On The Power Of Anonymous Broadcast og andre artikler fra Ross Anderson og venner.

Godt så, vi har altså en masse diskussioner om eValg og i yderste konsekvens ender vi med valg der skal foretages over internet, formentlig med NemID login - fordi nogen siger det fint kan gøres sikkert, hemmeligt og transparant. (Jeg tvivler, men det skal jo "prøves" før vi kan beslutte os.)

Jeg vil således gerne opfordre til at vi begynder at tænke konstruktivt - unit test er konstruktivt fordi slutresultatet bliver bedre. Vi skal allesammen igang med at faile eValg.

NemID kan lægges i ruiner

Der er flere tekniske måder at faile eValg/NemID på - overbelastning, DDoS, SYN flooding, HTTP request mod siderne der bruger NemID. Specielt ville et udkast til strategi nok inkludere:

Planlægning:

  • Undersøg så vidt muligt hvilke teknologier der benyttes - hvilken type loadbalancer, servere, programmeringssprog, dette bliver formentlig et gæt medmindre portalerne er offentlige i en periode op til eValg.
  • Undersøg metoder til at ødelægge en web-baseret service - DDoS, SQL injection
  • Undersøg markedet for DDoS services, læg et budget for angreb, gerne med flere parter
  • ...

Eksekvering:

  • Først og fremmest - lad være med at starte angreb fra morgenstunden.
  • Start med nogle simple angreb hen på formiddagen. Scriptkiddie stuff
  • Vent til midt på dagen og lav et stort angreb - gerne med simple metoder som nemt kan fjernes. Formålet her er at vise at det kan lade sig gøre, skabe en smule panik, men få det til at se ud som et lille angreb der bliver slået ned og alting virker - de siger nok pheeeeew hos driftfolkene.
  • Når systemet når peak hours - flest der formentlig vil ind og stemme, efter normal arbejdstid ophør sættes ind med alt - spred gerne lidt information bredt, tag ansvar for det med flest mulige afsendere på flest mulige platforme. Formålet er at der skal være så få timer til valget slutter og det skal være så svært som muligt at ændre på miljøet.
  • ... kom gerne med flere forslag, eller jeres bud på at lægge NemID ned i 3-5 timer

NB: vil ovenstående ikke hjælpe dem som vil os det ondt, nej - for dem som bestyrer NemID og eValg BØR brainstorme og nå frem til nogle af de samme resultater, hvis de ikke er inkompetente.

Ovenstående er ikke komplet, men blot et første udkast efter en kort brainstorm inde i mit hovede, tænk hvis man afsætter ressourcer til at dræbe NemID. Jeg vil postulere at jeg for meget få 1.000 kroner ville kunne lægge NemID ned en uge - hvilket i sig selv er skræmmende nok.

eValg uden strøm

Et andet område som jeg ikke mener har været behandlet ret grundigt er det helt basale at eValg kræver strøm.

Når en valghandling begynder at forudsætte at der er strøm, udover et par lamper der kan lyse, får vi en hel bunke nye problemer.
Der burde faktisk allerede idag være nødlamper med batterier på valgstederne, svarende til hvad vi finder i serverrum!

Nogle af de problemer jeg forudser - som skal være behandlet - og som er dejligt håndgribelige er:

  • Tordenvejr og tilsvarende hændelser risikerer at ødelægge udstyret
  • Strømafbrydelser over flere timer vil kunne influere valget uhensigtsmæssigt

Kort konklusion er at strømmen skal være stabil, de fleste systemer har boot og skal læse noget operativsystem/programmel for at virke og en enhed med en almindelig strømforsyning vil være sårbar overfor diverse strømstød. Hvad gør man hvis et tordenvejr slår 50% af enhederne ud samme dag?

Hvad gør man hvis et længere strømudfald på et eller flere valgsteder blokerer for afgivelse af stemmerne - det er her du kan vise din uvidenhed ved at sige der bare skal være gammeldags stemmesedler til rådighed, for så er besparelsen og gevinsterne jo væk.

Er det tænkt med ind i eValg forsøgene? Er det blot tilsidesat i forsøgene, fordi det rigtige system skal håndtere dette - hvorefter det nye system engang fejler hårdt, fordi det aldrig blev overvejet efter at forsøgene jo gik godt ...

Dernæst er en ting jo force majeure og en helt anden ting er at man skal tage højde for bevidste forsøg på at påvirke valget - ellers er man jo naiv. Et godt gammelt eksempel er Cyclic Redundancy Check som man brugte i WEP "kryptering" som er fint til at fange tilfældige fejl, men ikke er godt nok til bevidst manipulation af data.

Således må man udtænke hvorledes en eller flere "angribere" kan forsøge at påvirke valget ved at slukke strømmen, eller måske endda ødelægge maskinerne.

Jeg tænker blandt andet på HPFI-relæ - som jeg selv tester i mit hus jævnligt. Formålet med et HPFI-relæ eller en fejlstrømsafbryder som Wikipedia fortæller mig det hedder er en vigtig bestanddel af strømforsyningen - et vigtigt sikkerhedselement. Se http://da.wikipedia.org/wiki/Fejlstr%C3%B8msafbryder

Kan jeg forårsage en fejlstrøm, jeps det kræver nok få komponenter. Kan jeg sågar fjernbetjene et sådant stykke elektronik - jeps, Harald Nyborg sælger sæt med "FJERNBETJENT STIKKONTAKT ALU" til 99kr

Kan I se det for jer? En flok valgtilforordnede der står med 5-10 maskiner som er slukkede og skal startes, fordi strømmen er røget?
og en pedel som tænder for strømmen uden problemer ... for at den så ryger igen på et uforudsigeligt tidspunkt?

Det giver så vidt jeg kan se yderligere behov for sikring af maskinerne - industriudgaver af PSU mv., sikring af strømmen (power conditioner http://en.wikipedia.org/wiki/Power_conditioner ), måske UPS backup forsyning (batterier som kun bruges sjældent, det skal nok give en god økonomi), mere personale til at starte systemerne, genstarte systemerne, gen-validering - forestiller mig en længere procedure for at sikre at en maskine kan godkendes til at blive brugt igen.

Altsammen noget som man i Danmark ikke er vant til, fordi vi har en dejlig stabil forsyning normalt. Samtidig har vi jo kun kradset lidt i overfladen af den kæmpe mængde af problemer man skal analysere, før vi kommer til alle de mange andre kritikpunkter som mine medbloggere og debatører har nævnt på alle de andre niveauer.

Jeg ser det som en ny NemID - hvor vi kan diskutere om NemID overhovedet har succes på noget som helst niveau, så kommer vi til at diskutere eValg fordele og ulemper i mange år fremover hvis man kører videre på dette fantasiprojekt.

Jeg kan som sikkerhedsmand der opvejer fordele og ulemper ved en løsning ud fra sikkerhedsforanstaltninger ikke se en gevinst ved eValg som står mål med det apparat man skal sætte i værk for at det overhovedet kan prøves. Dernæst vil en udrullet løsning til valget på landsplan bare i udgangspunktet formentlig give flere fejl end de nuværende ugyldige stemmer - grundet maskineproblemer, forvirring, ventetid osv.

PS Digitale valglister og Digital vælgerregistrering er en klar succes og har været med til at forbedre valghandlingen uden diskussion. Her hjælper IT-systemerne med at identificere vælgeren, sikre at vedkommende kun stemmer en gang - ting som IT kan. Det er altså ikke fordi vi er maskinstormere uden at overveje fordele ved IT!

Efterskrift

Jeg håber ovenstående tankeeksperimenter giver en anden vinkel på problemerne og var interessant.

Et mere grundlæggende problem ved NemID er at det er single point of failure. Når NemID er utilgængelig er der således mange portaler og logins som ikke virker - hvilket leder mig til en konklusion:

Pas på med at bruge NemID til tidskritiske opgaver Det er OK at NemID bruges til Skat.dk hvor vi allesammen klumper sammen og vil logge ind samtidig. Vores skat ændrer sig ikke hvadenten vi ser vores opgørelse idag, imorgen eller næste uge.

Kommentarer (24)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Frithiof Andreas Jensen

... Forholdsvis nemt endda. Man behöver blot fem indlogningsforsög med det samme CPR nummer. CPR nummeret er udformet efter et sät regler, så man kan gätte CPR numre og verificere dem off-line. NemID vil nok blokere en IP adresse efter at 2-3 CPR numre fra samme adresse er blokeret, men - dette löses ved at leje et passende botnet.

I bl.a. USA kan man köbe forudbetalte kreditkort, det er nok en god ide at betale med sådan et. ;-)

  • 6
  • 1
Jens Peter Jensen

"Kort konklusion er at strømmen skal være stabil, de fleste systemer har boot og skal læse noget operativsystem/programmel for at virke og en enhed med en almindelig strømforsyning vil være sårbar overfor diverse strømstød. Hvad gør man hvis et tordenvejr slår 50% af enhederne ud samme dag?"

Mht. strømstød, så er der et klassisk trick, til at udøve hærværk: Gå hen i eltavlen, og klip nullederen over, så "svæver" alle 230V grupperne i belastningerne mellem 400V faserne. Det vil typisk give 400V på 1 eller 2 af grupperne, hvilket vil brænde det meste 230V udstyr af. Gør dette på de største valgsteder, som traditionelt stemmer imod dit parti, og du har manipuleret resultatet til din fordel.

  • 7
  • 0
Philip Juhl

Det er som om i vil sikre E-valg mod alle tænkelige (og utænkelige) situationer.
Hvad sker f.eks hvis jeg brænder et valgsted ned ?.
Hvad sker hvis jeg hælder syre ned i valg-urnen så alle de andres stemmesedler bliver ugyldige. Jeg vil på det tidspunkt urnen bliver åbnet være over alle bjerge?.
Hvad sker hvis jeg aflevere en falsk seddel, tager originalen og kopiere den og får en anden til at aflevere dem?
Hvad sker hvis dem der tæller sedlerne op snyder og har taget stemmesedler med ?

Synes også kommentaren om at man skal have studeret området i +100 timer for at være "ordenligt" inde i tingene. Mærkelig kommentar fra en som ikke selv har studeret område i +100 timer. Er det så ikke en "falsk ekspert" udtaleelse ?

  • 4
  • 3
Henrik Kramshøj Blogger

Hej Philip

Tak for din kommentar. Jeg kan anbefale at du melder dig som valgtilforordnet, jeg har selv prøvet det og min søster har igennem mange år været med til fintælling i forbindelse med valg i den kommune som hun er ansat i.

Jeg har således udover at deltage i alle valg siden jeg fik stemmeret været med til selve valghandlingen og optælling.

Mht. +100 timer svarer det til nogle ugers arbejde og vil give mulighed for at læse op på det eksisterende materiale og sætte sig ind i den eksisterende valgprocess, væsentlige artikler, erfaringer fra andre lande, samt de fremsatte forslag. Måske er 100 timer endda i underkanten, men uanset antallet af timer er det et fakta at emnet ikke er slam-dunk ligetil at forstå - hvad man også ser på den måde alle argumenter fremsættes og rodes sammen.

Et godt indlæg som her skal fremhæves i debatten er fra Jan Keller Catalan http://www.version2.dk/blog/en-kommentar-til-e-valgspolymikken-50430#com... hvor det eksempelvis fremhæves at man ikke engang har gjort sig klar hvad man vil løse, hvilket umuliggør diskussion af problemerne og om IT kan løfte opgaven.

Jeg er ekspert indenfor IT-sikkerhed, internetsikkerhed, kandidat fra Kbh Universitet, samt arbejdsskadet i en sådan grad at dårlig sikkerhed stikker i øjnene. Jeg mener derfor at have en vis vægt indenfor de områder jeg trækker frem ovenfor, mens jeg ikke vil forsøge at diskutere med PHK om finere elementer af eValg. Min ekspertise er således indenfor IT-sikkerhed og specielt indenfor analyser og sikkerhed er det essentielt at man gør sig klart omfanget af opgaven (scope), fremsætter løsningsforslag, samt specificerer hvorledes disse forventes at løse problemet.

Indenfor IT-sikkerhed arbejder man eksempelvis med risikoanalyse, som typisk opdeles i kvalitativ og kvantitativ risikoanalyse - alt efter om man kan sætte beløb på skader efter hændelser. De fremsatte hændelser eller scenarier du fremsætter er derfor alle tiders, og heldigvis er der taget højde for flere af dem i den eksisterende process - hvorimod en indførelse af eValg blot vil forværre dem.

Du er derfor helt på rette spor ved at foreslå "Det er som om i vil sikre E-valg mod alle tænkelige (og utænkelige) situationer." - ja, netop!

Hvis vi fortsat skal klandre andre lande for fejl i forbindelse med valghandlinger skal vi holde vores egen sti ren og forbedre vores system. Jeg håber også at du vil medvirke til at vi kræver mindst samme grad af sikkerhed i eValg valghandlingerne - specielt når det nu skal koste en arm og et ben.

Når nu der kommer flere rapporter efter forsøgene vil jeg helt sikkert afsætte tid til noget aktindsigt og melder mig også gerne til at inspicere (og hacke) en stemmemaskine.

Mht. dine fremsatte scenarier vil jeg overordnet knytte følgende kommentarer til:
* Der er en del valgtilforordnede - selv på det lille sted jeg har været
* De valgtilforordnede er fra flere partier - smart fordi det derved modvirker en fælles interesse i at flytte resultatet samme vej. Det er et eksempel på http://en.wikipedia.org/wiki/Separation_of_duties hvor flere personer skal medvirke for at svindlen lykkedes. Samtidig blev opgaverne fordelt således at stemmerne blev talt flere gange, af flere forskellige - og derudover fintælles dagen efter.
* En dansk stemmeseddel er et gedigent stykke papir der minder om pap i kæmpestørrelse - du skal nok medbringe en større mængde syre for at gøre dem ulæselige
* Netop fordi stemmesedlerne er så store og fordi man overvåges af flere personer under valghandlingen - typiske kun skjult af et lille forhæng - er der IMHO svært at snyde med dem, altså fjerne en, lave nye, aflevere flere samtidig osv.

Hvis du foreslår at brænde et valgsted ned går du så vidt jeg kan se både længere end mit tankeeksperiment (hvilket er fint nok, tænk ud af boksen). Desværre tror jeg at x antal nedbrændte skoler vil give overskrifter, hvor mit eksempel med at tage strømmen måske kan flyve under radaderen og måske ikke engang meldes ind centralt?

TL;DR Den eksisterende proces på valgstederne er ikke så dårlig igen med hensyn til sikkerhed og sporbarhed - SAMT transparens og hemmelige valg. Risikoanalysen for eValg bliver til gengæld et digert værk med mange krøller og forbehold.

  • 8
  • 0
Mads Vanggaard

Indenfor IT-sikkerhed arbejder man eksempelvis med risikoanalyse, som typisk opdeles i kvalitativ og kvantitativ risikoanalyse - alt efter om man kan sætte beløb på skader efter hændelser.

Du er derfor helt på rette spor ved at foreslå "Det er som om i vil sikre E-valg mod alle tænkelige (og utænkelige) situationer." - ja, netop!

Hvorfor arbejde med en tilgang til sikkerhed ud fra en risikobetragtning, når du vil kun acceptere 0-risiko (sikring imod alle tænkelige og utænkelige situationer)? Nu er der vel ikke noget som er uden risiko, blot et spørgsmål om tid, evner og ressourcer er tilstede og dermed gør det 'sikring' til spørgsmål om at påvirke en af disse tre elementer mest muligt til din fordel.

eValg fejler for mig personligt pga. det nødvendige økonomiske grundlag i at påvirke disse aspekter - altså det bliver for dyrt i forhold til den eksisterende løsning. Desværre bliver diskussionen ofte ledt af de forkerte veje, da modstandersiden er fyldt med folk som kun kan levere simple argumenter som råberi i en kommentar felt eller udtryk som politikere er idioter.

  • 2
  • 2
Henrik Kramshøj Blogger

Sorry, kan se det kan misforstås. Jeg forventer ikke 0-risiko og jeg skal understrege at risikoanalyse er et værktøj til risikostyring - og der er hændelser som sker så sjældent at det ikke giver mening at investere betragtelige summer i sikring mod dem.

Overordnet skal vi dog sikre os bedst muligt og eValg åbner for så mange nye hændelser. Vi er derfor nødt til at foretage en analyse af alle tænkelige (og utænkelige) situationer - og gerne undgå at gå i den anden grøft hvor vi prøver at sikre os mod "movie plot threats" http://en.wikipedia.org/wiki/Movie_plot_threat

Der vil således være vundet meget hvis vi kunne lære politikerne lidt mere om risikoanalyse, og befolkningen om samme emne. Der er alt for mange emner hvor det ender med sort/hvid diskussion, eller måske værre følelser og irrationel tilgang baseret på enkelteksempler.

  • 2
  • 1
Jan Gundtofte-Bruun

Henrik, sikke en sjov ide at invitere til tanke-eksperimenter om valg-hacking! :-)

Så vidt jeg kan se er der tale om to scenarier: et, hvor der er elektroniske stemmebokse på valgstederne, og/eller et, hvor man skal bruge NemID til at logge ind (hjemme i privaten, eller på valgstedet).

1) Jeg kan godt lide ideen om at ramme stemmeboksene fra elnet-siden. Det ville være meget "renere" end at bruge en lokal EMP, som jo også ville gå ud over alle tilstedeværendes ganske uskyldige mobiltelefoner, selv om det så til gengæld nok også ville gå ud over resten af (skolens, formentlig) elektriske udstyr.

2) "blot fem indlogningsforsög med det samme CPR nummer"

Nemlig! Og derefter er personen "dømt ude" i end håndfuld postdage, indtil man har modtaget to nye (papirpost) breve og har fundet ud af at genstarte sin funktionalitet.

En tanke jeg har tænkt ganske ofte (pudsigt nok, tit i forbindelse med et besøg her på sitet) er, at man med et par dages mellemrum burde lave fem login forsøg med cpr-numrene af hele direktionen hos DanId. Med en mindre flok frivillige er man fint dækket ind til at kunne holde bolden i luften i nogen tid. Heh.

Man kan håbe at direktionen i det mindste er klog nok til at have slået login med CPR-nummer fra -- men hvis man nu gør det her på selve valgdagen, med mange hundrede tusinde tilfældige CPR-numre? Så rammer man så bredt at effekten ikke kun påvirker valghandlingen, men også netbank, ejendomshandel, kommunikation med det offentlige, etc. Desuden kan bredden af sådan et angreb måske få folks øjne op for alvoren i den flaskehals som NemId udgør.

  • 5
  • 1
Max Tobiasen

1) Jeg kan godt lide ideen om at ramme stemmeboksene fra elnet-siden. Det ville være meget "renere" end at bruge en lokal EMP, som jo også ville gå ud over alle tilstedeværendes ganske uskyldige mobiltelefoner, selv om det så til gengæld nok også ville gå ud over resten af (skolens, formentlig) elektriske udstyr.

Den dur ikke. Hvis man læser lovforslaget vil man se at der skal være fuld backup med gammeldags papir stemmesedler, bokse, m.v. netop i det tilfælde at strømmen ryger.

Noget helt andet er så at argumentationen om at e-valg skulle blive billigere er helt hen i vejret eftersom vi både skal have det gammeldags system til backup, og et nyt smart computer system der skal udvikles, deployes og vedligeholdes.

Udviklingen af et system der samtidig er sikkert, gennemskueligt og anonymt bliver iøvrigt nok lidt en udfordring, eftersom historien viser at det ikke er lykkedes for nogen andre, og de sidste mange års forskninge viser at det mildest talt er problematisk. Men mon ikke den Danske Stat, med sin store erfaring med IT projekter sagtens kan løse det...

  • 3
  • 0
Mads Vanggaard

Har du et par links til hvordan man vil designe en eValg løsning i Danmark? Ikke hollandske, amerikanske eller andres designs, men den man vil bruge i Danmark? Det findes sikkert et sted, men jeg synes blot at det altid mangler i diskussionerne på version2.

Folk siger altid hvordan det må være og heraf udleder hvorfor eValg ikke kan være lovligt. F.eks., kan jeg se flere, som mener, at der må være en advanceret CPU involveret i processen og da man kan gemme statements som ændrer valget i dens arkitektur så er eValg imod Grundloven. Eller så er der gemt en timer og kombineret med et kamera eller lignende kan man udlede hvad jeg stemte og dermed igen er eValg imod Grundloven. Eller så gemmer vi stemmerne i memory og da man kan i standard memory læse med teknikker hvad de tidligere har indholdt, så kan man måske gætte at jeg har stemt XYZ og dermed imod Grundloven. Eller så må der gælde at ... og dermed ... eller så må der gælde at ... og dermed ...

Sagt med andre ord, de fleste har sat sig ind i at en løsning i Holland ikke virkede samt at Grundloven kræver hemmelige valg og konkluderer dermed kan eValg ikke være lovligt. En "løsning" eller tre gør ingen forskel på spørgsmålet om man kan eller ej.

Det er de forskellige tekniske antagelser og de indbyggede constraints i en løsningudvikling der er interessant at diskutere (for os der er nået videre end det religøse niveau). F.eks. hacker muligheden i en advanceret CPU er reel, så en løsning som antager muligheden for at bruge en sådan vil fejle. Så tag den væk. Du har nu løsninger som indeholder enten en simpel CPU (som du som kunde kan verificere den binære kode i) eller uden CPU. Alm. memory chips kan man på forskellige måder læse værdien ud af (f.eks. efter valget). OK, de er ude. Der er nu kun løsningsmuligheder tilbage som enten bruger memory chips hvor det ikke er muligt (eller i det mindste hvor man ikke kan knytte en givet værdi til en tid) eller hvor en stemme ikke gemmes i en eller anden form i memory. Og sådan kan man blive ved.

Strøm... en lukket løsning med batteri, baseret på en printer + senere scanner og brug af komponenter som kræver minimal strøm. Det løser dit strøm angreb, men har sikkert flanker til andre angrebsvinkler - praktik er altid anderledes end teori.

Antagelserne og contraints er hvor man diskutere om det teknisk er muligt og i givet fald hvad det vil koste. Det vil være interessant hvis version2 angreb den vinkel, men det er nok det forkert forum til den diskussion.

  • 2
  • 2
Peter Stricker

Mads, det lyder umiddelbart fornuftigt, at holde diskussionen indenfor nogle givne constraints.

Men husk på, at hvis ikke enhver valgtilforordnet på valgdagen kan overbevise enhver stemmeberettiget om, at disse constraints er overholdt, samt at de sikrer overholdelse af grundlovens §31, så er de ikke relevante.

Når jeg går til papirbaseret valg, så har jeg meget ment ved at overbevise mig selv om, at registreringen af min stemme først sker på optællingstidspunktet. Jeg er overbevist om, at det ikke er muligt at påvise en kobling mellem min person og en bestemt stemmeafgivelse.

  • 3
  • 0
Eskild Nielsen

Man kan håbe at direktionen i det mindste er klog nok til at have slået login med CPR-nummer fra -- men hvis man nu gør det her på selve valgdagen, med mange hundrede tusinde tilfældige CPR-numre?


OT: Jeg troede jeg havde disblet den funktion på min NemID.
Så var jeg i banken, hvor bankrådgiveren tastede mit cpr og bad mig logge ind - det gik fint....
Jeg tænkte bare - endnu en illusion om NemID bristet

  • 4
  • 0
Mads Vanggaard

Men husk på, at hvis ikke enhver valgtilforordnet på valgdagen kan overbevise enhver stemmeberettiget om, at disse constraints er overholdt, samt at de sikrer overholdelse af grundlovens §31, så er de ikke relevante.

Det er jo umuligt at overbevise enhver stemmeberettiget om fakta XYZ, da det kræver jo blot en enkelt person som ikke er overbevist før det fejler. Det kræver en del insigt i den nuværende proces før man indser hvorledes sikkerhed for f.eks. at din stemme tæller en og kun en gang, er bygget ind i hele processen. Det vil en valgtilforordnet ikke kunne overbevise en meget skeptisk person om.

Anyway, hvis der en gang dukker en workshop, debatforum eller lignende op hvor man seriøst laver en løsningsudvikling af et eValg baseret på constraints based development metodikker, så kunne det være interessant at se hvad resultatet blev. Jeg tror personligt stadig på, at hvis man sammenligner økonomien i den nuværende proces kontra en eValgs løsning så vil den nuværende være den billigste, men processen i at verificere dette vil være interessant fagligt set.

  • 2
  • 2
Peter Stricker

Det er jo umuligt at overbevise enhver stemmeberettiget om fakta XYZ, da det kræver jo blot en enkelt person som ikke er overbevist før det fejler.


Det har du selvfølgelig ret i, såfremt du også regner med dem, der af princip ikke vil lade sig overbevise.

Det kræver en del insigt i den nuværende proces før man indser hvorledes sikkerhed for f.eks. at din stemme tæller en og kun en gang, er bygget ind i hele processen.


Hvis du som valgtilforordnet bliver bedt om at overbevise ti tilfældigt udvalgte vælgere om, at deres stemme ikke registreres på det tidspunkt, hvor de sætter deres kryds, samt overbevise dem om, at deres stemme kun tæller med én gang, tror du så, at du, Mads Vangsgaard, ville være i stand til at overbevise alle ti?

Jeg tror at der er en meget stor sandsynlighed for, at du ville kunne klare opgaven.

Det vil en valgtilforordnet ikke kunne overbevise en meget skeptisk person om.


Igen bliver vi nødt til at skelne mellem dem, der er skeptiske af princip, og bare ikke vil lade sig overbevise, og så dem, der udviser en sund skepsis overfor autoriteter.

Anyway, hvis der en gang dukker en workshop, debatforum eller lignende op hvor man seriøst laver en løsningsudvikling af et eValg baseret på constraints based development metodikker, så kunne det være interessant at se hvad resultatet blev.


Det er fint nok, at du gerne vil have metodikken fastlagt på forhånd. Men lad os så prøve at se på, hvilke constraints denne løsning skal holde sig indenfor.

For det første, synes jeg at det vil være rimeligt at forlange at Nils Bøjdens fire punkter, som nævnt her:
http://www.version2.dk/blog/evalg-naar-naesetippen-blokerer-udsynet-5042...
skal være opfyldt. Hemmelighed, sikkerhed, inklusion og transparens er constraints, som i høj grad er opfyldt med den nuværende løsning. Den kommende løsning må ikke være ringere end den nuværende på nogle af disse punkter, og skal give en mærkbar forbedring på mindst et af punkterne.

Nils er så ikke inde på økonomien i løsningen, og det er måske også urimeligt, at sætte prisen som en barriere for udviklingen. Det er jo trods alt noget så væsentligt som vores demokrati, der er på spil her.

Men PHK har altså en væsentlig pointe i, at vi må kunne forlange en fornuftig business case. Det er trods alt vores alle sammens penge, der skal bruges på denne løsning, og ifølge vores statsminister har vi ikke for mange af dem lige for tiden.

Så lad os blive enige om, at løsningen godt må være dobbelt så dyr som et papirbaseret folketingsvalg ved det første valg, forudsat at leverandøren kan sandsynliggøre, at løsningen kan hente en tilsvarende besparelse hjem i løbet af, lad os sige de følgende fire folketingsvalg.

Løsningen betales cash on delivery. Enhver besparelse i forhold til den dobbelte pris af den nuværende løsning tilfalder leverandøren ubeskåret, men indenrigsministeren kan afvise levering, såfremt løsningen ikke opfylder de krav Nils har opstillet.

Hvor mange tror du, vil gå i gang med at udvikle dette system?

Jeg tror personligt stadig på, at hvis man sammenligner økonomien i den nuværende proces kontra en eValgs løsning så vil den nuværende være den billigste


Det tror jeg også. Derfor er der i det ovenstående også givet mulighed for at løsningen initielt godt må være dyrere.

Tror du, at Mogens Nørgaard sætter sig til tasterne under de ovenfor beskrevne betingelser? Eller skal vi hellere spørge Per Andersen?

Ville du selv gå i gang?

  • 4
  • 0
Thomas Jensen

Jeg vil postulere at jeg for meget få 1.000 kroner ville kunne lægge NemID ned en uge - hvilket i sig selv er skræmmende nok.

Ja, det er da ret skræmmende! Mener du det helt alvorligt? Måske er jeg naiv, men jeg troede faktisk der fandtes effektive løsninger til at modstå angreb, og at det bare handler om at være tilpas gearet til at kunne modstå det. Men du mener at nemid ikke er gearet til at kunne klare et seriøst angreb?

En uge er lang tid at holde et angreb kørende. Ville du også kunne lægge dem ned i to uger eller en måned?

Og ville du kunne slippe godt fra det?

  • 0
  • 1
Henrik Kramshøj Blogger

@thomas, og @peter

include <std-disclaimer.h>

Jeg er ikke ude efter at NemID skal lægges ned, og jeg vil ikke tage noget ansvar for det hvis nogen efterprøver mine theser. Jeg synes det er slemt nok at man HAR indført dette single-point-of-failure og ethvert nedbrud i dette og følgerne af dette ligger beslutningshaverne til ansvar! Dont try this at home.

Der kom mange spørgsmål, og desværre bliver svaret nødvendigvis lidt længere. Jeg skal også understrege at jeg ikke kender NemIDs specifikke setup og derfor bygger på antagelser og snakker i generelle vendinger. HVIS jeg kendte detaljer om NemID ville det formentlig være farligt at udtale sig specifikt om angrebsmetoderne og strategierne IANAL.

Nå, svaret begynder således:
Lemma 1, sikkerhed drejer sig om ressourcer. Det nytter ikke at vi går mod 99.999999999 gående mod 100% hvis det vi skal beskytte har en endelig værdi - og selv menneskeliv har en værdi i specifikke scenarier.

Korollar, du har ikke uendelige ressourcer til at beskytte dig.

I den specifikke situation vi snakker om er NemID ikke en forretning i traditionel forstand og deres produkt er "single-signon løsning til Danmark". Det betyder at hvor en internetforretning som har sin indtægt gennem en webside og sælger produkter har konkurrenter og derfor mister penge hvis produktionsapparatet ikke virker er NemID "ligeglade".

Et NemID login som ikke bliver foretaget giver en mindre omsætning i butikken, men mon ikke folk blot prøver igen lidt senere at tilgå skat.dk, virk.dk eller lignende. Det er en antagelse som koblet med foregående sætning betyder at man som NemID ikke har så meget at miste.

De vil dog miste noget anseelse, men eftersom de selv kan lægge data ud efterfølgende kan man snildt sige "uha det var et STORT angreb". NemID har formentlig fået en pæn sjat penge til at bygge et godt og robust miljø som kan modstå angreb af en vis størrelse.

Det er ikke urimeligt at antage at NemID kan finde penge til mindst 2x10Gbit internet og firewalls i den dyre ende, samt load balancing. Disse enheder har dog ikke ubegrænsede ressourcer i CPU, RAM, features osv.

Lemma 2, Amazon og andre cloud leverandører kan levere +1Gbit
Dette kan I selv efterprøve ved at hyre et mindre antal servere og teste med HTTP benchmark værktøjer. Vi har set servere med 1Gbit Ethernet blive testet i knæ med færre end 10 servere fra Amazon.

Korollar, det er billigt at købe +1Gbit lovligt til test. Hvis man går til den anden side og hyrer kriminelle som bruger andres udstyr og ressourcer kan det forventeligt gøres billigere.

Lemma 3, DDoS størrelse idag stiger. Peak angrebsstyrke idag overstiger langt 1Gbit og gennemsnit for angrebsstyrke stiger også. Jeg plejer at henvise til Arbor Networks som udgiver "Worldwide Infrastructure Security Report, 2012 Volume VIII" http://www.arbornetworks.com/research/infrastructure-security-report
I denne rapport findes blandt andet hovedresultaterne. Bigger 1.48Gb/sec, 1.48Mpps og Experienced Multi-Vector Attacks* in 2012: 46% (defineret som *Combinations of volumetric, state-exhaustion and application-layer attack vectors targeting an organization at the same time.

SOURCE: Arbor Networks 8th annual Worldwide Infrastructure Security Report.

Hovedresultaterne findes som "infographics" der ikke kræver afgivelse af oplysninger for at se http://pages.arbornetworks.com/rs/arbor/images/DDoS%20Attacks%20in%20201...

Korrolar, man skal tænke DDoS som en reel trussel og man skal nok se på 10Gbit router og firewall udstyr, SAMT udstyr eller applikationer som kan filtrere på applikationslaget (Layer 7 load balancer er IMHO vejen frem, ikke Layer 7 firewalls).

Så med dette in mente

Mener du det helt alvorligt?

Men du mener at nemid ikke er gearet til at kunne klare et seriøst angreb?

Ja, jeg mener helt alvorligt at der nok skal færre ressourcer til end man måske skulle tro. Specielt fordi NemID ikke er en forretning, men nærmere en underskudsforretning som ikke vinder nævneværdigt i dagligdagen med at have et voldsomt overdimensioneret (og dyrt) setup. Ligeså må man forvente at driftsorganisationen i NemID er relativt begrænset - da jeg formoder dagligdagen er automatiseret i høj grad (personale er dyrt).

Så hvad er et seriøst angreb? Er det 10 millioner pakker? og hvilke ressourcer løber først tør? - de menneskelige ressourcer kan også blive ret trætte hvis de vækkes jævnligt af angreb og "driftstop". Vi har forøvrigt gentagne gange set Skat.dk gå ned (tidligere før de fik køen som virker godt) og her snakker vi om en organisation som har brugt vældige ressourcer på webløsninger.

En uge er lang tid at holde et angreb kørende. Ville du også kunne lægge dem ned i to uger eller en måned?

Det vil naturligvis blive sværere og sværrere et holde et angreb aktivt og effektivt (heldigvis). Små afbrydelser i en organisation som ikke forventer det vil give størst umiddelbare virkning, og måske kan man endda med korte afbrydelser blot prikke til dem - uden at de rigtigt sætter gang i det store apparat.

Hvis man fastholder angrebet vil en fornuftig organisation tilkalde specialviden eller outsource til en 3-part som har ekspertice til dette. Organisationen vil også selv kaste flere ressourcer efter at analysere og begrænse angrebsflade, eksempelvis ved at beslutte "Vi ønsker kun danske IP-adresser skal kunne tilgå NemID - indtil angrebet er ovre".

Og ville du kunne slippe godt fra det?

Det er et godt spørgsmål, som jeg ihvertfald ikke vil efterprøve i praksis. :-) Jeg vil dog henvise til de nylige DDoS sager i Danmark (3F osv.) hvor det lader til at den primære efterforskningsmetode lader til at være at fange dem som åbent siger de deltog, eller de små fisk der ikke vidste hvordan de skulle sikre sig. Jeg vil tro der er lav risiko for at blive fanget hvis man bruger stjålne kreditkort til cloudservices, bitcoin til at betale kriminelle, vælger sin kontrol og base udenfor EU osv.

Ville en fjendtligtsindet statsmagt eller organisation slippe godt fra det ?

Ja, det vil de helt sikkert. Lovgivningen i verden tager ikke altid højde for IT-kriminalitet, så selv hvis man fik identificeret en part udenfor Danmark vil det nok være usandsynligt at man bliver udleveret.

Det er kun hvis man skal til samtale med svenskere at man bliver betragtet som en alvorlig forbryder og spærres inde ...

  • 3
  • 2
Thomas Jensen

Ville en fjendtligtsindet statsmagt eller organisation slippe godt fra det ?

Okay, det sidste spørgsmål var måske ikke helt klart. Med "ville du kunne slippe godt fra det?" mente jeg "vil du kunne gøre det, uden at det kan spores tilbage til dig?".

Om en fjendtligtsindet statsmagt eller organisation slippe godt fra det? Det handler vel om hvor stor en magt de er, og hvor sårbare de er overfor militært, politisk og økonomisk pres fra andre lande. Så det korte svar må selvfølgelig være: Ja!

Men hvis man er en politisk motiveret hacker, aktivist, terrorist eller lignende, i et vestligt land, så er det ret afgørende om man kan foretage sådan et angreb uden at sporene peger tilbage på en selv. Hvis det er muligt at foretage sådan et angreb anonymt, så har vi et meget større problem, end hvis vi blot skulle frygte fjendtligtsindede statsmagter og organisationer.

  • 0
  • 1
Thomas Jensen

Ja, jeg mener helt alvorligt at der nok skal færre ressourcer til end man måske skulle tro.

Tak for dit svar. Nu jeg tænker over det, så er nemid måske heller ikke en så vigtig del af vores samfunds infrastruktur, at den nødvendigvis skal sikres som om det var et atomanlæg. En uge uden nemid vil muligvis kunne ses på BNP, men samfundet ville køre videre. Umiddelbart tænkte jeg bare, at det kunne få uoverskuelige konsekvenser hvis nemid var nede i en uge - men der er nok værre ting der kunne lægges ned.

  • 0
  • 1
Kristian Klausen
  • 0
  • 1
Gert Madsen

Hvad er konsekvensen ved at der bliver ødelagt en stemmeurne med stemmer/en valgtilforordnet tæller forkert ?

Hvad er konsekvensen ved at få valg-computerne til at tælle forkert/afvigende ?

Jo større konsekvens, jo højere sikkerhed skal der kræves.
Netop af denne grund skal der kræves væsentligt højere sikkerhed ved Computerbaseret valg, end ved papirbaseret valg.

  • 1
  • 1
Log ind eller Opret konto for at kommentere