- Evalg er ikke trygt

- Systemet møter alle de samme utfordringene vi så i Ohio, og i tillegg er det planlagt at det norske systemet skal brukes over internett. Dermed møtes en helt ny rekke med utfordringer, sier hun.

Hun gir en del ros til sikkerhetsopplegget som ligger i systemets back end, men savner sikkerhetstankegang rundt front end, altså delen hvor klient og valgkontor er. Det at systemet skal fungere over internett skremmer hele den amerikanske hacker-gjengen. Sikkerheten blir plutselig brukerens ansvar, og i disse dager med ormer, trojanere og virus er ikke det akkurat noe sjakktrekk, mener gjengen.

- Det ble stengt ned et stort botnet litt før jul, og når ip-ene som var tilknyttet botnettet ble sporet opp, viste det seg at over tusen av dem stammet fra Norge. Og dette var bare ett botnett, det er mange flere der ute, sier Mike Kenshaw ("Dragorn"), ekspert på nettverkssikkerhet og utvikler av Kismet-snifferen.

- Det spiller ingen rolle hvor mye brukeren er til å stole på, selv vi sikkerhetsfolk blir utsatt for svindel via internett. Ikke en gang nettbanker er trygge, og med det i tankene bør man i hvert fall ikke igangsette evalg. Jeg anser meg selv som godt over gjennomsnittet interessert i sikkerhet, og til tross for dette ble jeg faktisk frarøvet 1000 dollar fra kontoen min for ikke lenge siden, sier Brad Haines ("Renderman"), konsulent innen trådløs nettverksikkerhet.

- Ikke en gang vi sikkerhetsfolk klarer å holde tritt, sier han.

Superskeptiske teknologer

Hackergjengen frykter demokratiet kan svekkes av å dure gjennom med slike systemer, i alle fall slik sikkerhetssituasjonen via nett er nå. De «onde» hackerne er alltid på hugget, og sjekker nøye siste utvikling på Microsofts lappetirsdag. Dermed finner de måter å utnytte hull på, for både brukere og bedrifter tar seg god tid til å lappe sammen maskinene sine.

I tillegg kommer faktoren med hull som ikke foreløpig er tettet. Om en hacker finner et slikt hull, kan vedkommende sitte på gjerdet og vente til et strategisk lurt tidspunkt i forhold til valget, for så å lansere et storstilt angrep. Ved å scanne norske ip-er først, kan man finne ut hvilke sårbarheter som vil gi best effekt.

I det norske valgsystemet, slik det ligger på bordet dags dato, er det siste stemme som gjelder. Om angriperne for eksempel venter til valgdagen med å slippe et angrep, kan løpet være kjørt for valget. Det hele kan ende med at borgere ikke lenger stoler på valgresultatene.

Og om én stemme snus, endres forskjellen med to. Så om 100 prosent har stemt på ett parti, trenger hackerne bare å snu 51 stemmer for å få valget til å gå i sin favør. Hackerne trenger ikke en gang sitte i Norge.

De trenger ikke en gang være blodharde hackere, mener hacker-gjengen. Et velplassert Google-søk gir oppskriften til flere angrepstyper.

Deres budskap er klart: Det er ikke noe lurt å kjøre e-valg når det gamle systemet fungerer. Pengebesparelsen er heller ikke noe argument.

- Hva er galt med e-valgsystemet, vil mange spørre. Hva er så galt med det gamle systemet, spør vi, sier Victor Teissler, nettverssikkerhetsstudent på University of Advancing Technology.

- Det overrasker mange, men selv vi som elsker teknologi er skeptiske til en slik teknisk valgløsning, understreker Deviant Ollan, konsulent innen fysisk sikkerhet og nettverkssikkerhet.

Mange elementer

At slike valgsystemer er så komplekse, gjør dem sårbare, mener gjengen. Jo flere elementer, jo flere muligheter å utnytte. Hele veien fra server til klient til kommunikasjonen mellom, helt ned på routernivå.

Sikkerhetsforsker Guy Martin, ekspert på kabelmodem, peker på at storparten av bredbåndsbrukere, slik det er mange av i Norge, ikke en gang har byttet standardpassord på sine modem. Også på nettlesernivå, på krypteringsnivå og til og med helt ned på hardwarenivå kan det ligge sikkerhetsbomber på lur. Kort fortalt alle nivåer. Intet er sikkert.

- Angriperen må bare ha rett en gang, sikkerhetseksperten må ha rett hver eneste gang, sier professor innen robotikk og integrerte systemer, Ryan "1057" Clarke.

- Jeg skulle like å høre en forkjemper for evalgsystemet si hva det egentlig gir, sier Ollam.

- If it's not broke, then don't fix it, sier Luke McOmic ("PyrØ"), spionasje- og sikkerhetskonsulent.

Så hva er konklusjonen til gjengen?

- Der norske systemet, slik det fremstår, er ikke sikkert mot en hel haug angrep. Det er ikke verdt risikoen, oppsummerer Sandy Clark.