- Evalg er ikke trygt - Evalg is not safe

Evalg er ikke trygt, heller ikke den norske varianten. Evalg is not safe, not the variant. Det mener i alle fall en gruppe amerikanske «snille» hackere, som har besøkt Norge for å snakke om sikkerhet på konferansen Hackcon. It believes in any case, a group of U.S. "benign" hackers, who visited Norway to talk about security at the conference Hackcon. Listen over feilkilder er på flere A4-sider. The list of error sources are on several A4 pages.

En av disse, Ph.d-kandidat ved University of Pennsylvania, Sandy Clark, har konkret erfaring med å hacke slike valgsystemer. One of these, Ph.D candidate at the University of Pennsylvania, Sandy Clark, has specific experience in hacking such selection systems. Hun har vært med å teste sikkerheten til evalg-systemet i Ohio, på lovlig vis. She has been to test the safety of evalg system in Ohio, a legal show.

- Uansett hvordan vi forsøkte og uansett hvor vi så, fant vi problemer, sier hun. - No matter how we tried and no matter where we saw, we found problems, "she says.

Ohio full av hull Ohio full of holes

Hackerne var delt inn i to lag, rødt og blått. Hackers were divided into two teams, red and blue. Det blå laget, Clarks lag, hadde etter iherdig jobbing og overtaling av leverandørene fått tilgang til alle elementene i valgsystemet, deriblant den omfattende kildekoden på over 670.000 linjer, noe gjengen i utgangspunktet mener er altfor mye kode. The blue team, Clarks team, had by hard work and Overtaling of the suppliers had access to all elements of the election, including the comprehensive source for over 670,000 lines, something the gang initially believes is too much code.

Forskerne måtte jobbe i en lukket bunkers og låse inn arbeidet i en safe hver gang de var ferdige for dagen. The researchers had to work in a closed bunkers and lock the work in a safe each time they were finished for the day. Til slutt ble det laget to rapporter, en med og en uten detaljert beskrivelse av hvordan angrepene ble gjennomført. Finally, it was made two reports, one with and one without a detailed description of how the attacks were carried out. Kun den udetaljerte ble offentliggjort. Only the udetaljerte was made public.

Oppsummert i punktliste fyller den 15 proppfulle A4-sider med ulike angrepsscenarioer. Summarized in the bulleted list submitted the 15 chock-full A4 pages of different attack scenarios.

Og det er bare rapporten til blått lag, for valgsystemene de fikk testet i Ohio. And it's only report to the blue team, for the selection systems were tested in Ohio.

Rødt lag hadde kun tilgang til selve valgklientene. The red team had only access to the clients choice. Også de lykkes å hacke systemene. Also they succeed to hack systems.

- Vi fant at det var mulig for en enkeltbruker å sette inn ødeleggende kode som kunne påvirke valget. - We found that it was possible for an individual user to insert destructive code that could affect the election.

Slakter norsk system Butcher Norwegian system

Dette snakket Clark om på Hackcon. This Clark talked about the Hackcon. Til stede var flere fra norsk, offentlig sektor, og interessen rundt foredraget var stor. Present were several from the Norwegian, the public sector, and interest around the lecture was great.

Den norske Regjeringen har planlagt at kommunestyre- og fylkestingsvalget i 2011 skal skje elektronisk i utvalgte kommuner. The Norwegian government has scheduled the Council and county council election in 2011 shall be given in selected municipalities. Prosjektet skal etter planen etablere en sikker elektronisk valgløsning for stortingsvalg i fremtiden. The project is planned to establish a secure electronic options solution for stortingsvalg in the future.

Clark har tatt en kikk på det overordnede rundt det planlagte norske valgsystemet. Clark has taken a look at the parent around the planned Norwegian election. Med overordnet menes skissene til systemet, og ikke selve systemet. The overall means of sketches of the system and not the system.

Saken fortsetter. The case continues. Les videre på neste side. Read more on the next page.