1. No category

Ergebnisse der
Diebold-Schwachstellenanalyse von
Aviel Rubin
Andreas Prang
[email protected]
Humboldt Universität zu Berlin
Institut für Informatik - Informatik in Bildung und Gesellschaft
22.07.2012
Inhaltsverzeichnis
1 Einführung
1.1 Abstract . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.2 Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
3
3
4
2 Wahlablauf mit der Accu
2.1 Vorbereitungen . . .
2.2 Die Wahl . . . . . .
2.3 Nach der Wahl . . .
5
5
6
6
Vote TS
. . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . .
3 Schwachstellenanalyse
3.1 Hardware . . . . . . . . . . . .
3.1.1 Zugriff auf die Hardware
3.1.2 Angriffspunkte . . . . .
3.2 Software . . . . . . . . . . . . .
3.2.1 Systemstart . . . . . . .
3.2.2 Angriffspunkte . . . . .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
8
9
10
13
14
14
16
4 Schlusswort
18
5 Literaturverzeichnis
19
2
1 Einführung
1.1 Abstract
Diese Ausarbeitung beschäftigt sich mit den Ergebnissen der Schwachstellenanalyse [1]
aus der Gruppe um Aviel Rubin, welche in einem Vortrag erörtert wurde. Bereits Jahrzehnten werden in den USA Wahl-Maschinen für die Sammlung der Stimmen genutzt.
Seit 2003 steigen die einzelnen Staaten nun auf eine neue Generation von Wahlmaschinen um. Diese neuen Wahlmaschinen verschiedener Hersteller bestehen aus einer Vielzahl
handelsüblicher PC-Komponenten. Hinsichtlich der Sicherheit haben Prof. Aviel Rubin
und seine Mitarbeiter eine dieser Maschine genauer untersucht. Die Wahl der Maschine
fiel hierbei auf die AccuVote-TS der Firma Diebold (heute Premier Election Solutions),
da für diese der Quellcode auf dem FTP-Server der Firma unbeabsichtigt bereit stand.
In den USA werden in 37 Staaten ca. 40.000 dieser Maschinen eingesetzt die in der
Wahl im Jahre 2004 ca. 10% der Stimmen gesammelten [2]. Somit ist die Sicherheit
dieser deutlich mit dem Ausgang jeder Wahl verbunden. Bei der Analyse der Maschine
wurde schnell klar, dass die Sicherheit weder den Ansprüchen einer Wahlmaschine noch
anderer Computer für sicherheitsrelevante Bereiche genügt. Die Gruppe um Prof. Rubin zeigte, dass es jedem Wähler ohne Zugriffsrechte möglich ist die Wahlmaschinen zu
manipulieren. Für die Manipulation ist es nicht notwendig auf den Quellende zugriff zu
haben. Die Anwendung von Kryptologie und Softwareentwicklung befand die Gruppe
als mangelhaft. Als einzig sichere Lösung sah die Forschungsgruppe Wahlmaschinen mit
eingebauter Papieraufzeichnung, welche durch den Wähler überprüfbar sind und auch
nach der Wahl eine sichere Nachzählung erlauben.
3
1 Einführung
1.2 Einleitung
Bereits seit langer Zeit wird in den USA maschinell gewählt. Bereits seit dem Jahre 1869
[3] werden eine Vielzahl der Stimmen nicht mehr per Hand ausgezählt. Gründe dafür
waren, die Geschwindigkeit der Auszählung zu erhöhen, die beabsichtigte Falschzählung
des Wahlhelfer zu verringern, und Kosten durch die Einsparung von Wahlhelfern und
Material zu sparen. Im Jahre 2000 wurden statt der mechanischen Wahlmaschinen eine
neue Generation Wahlmaschinen eingeführt, welche auf Basis handelsüblicher Hardware
funktionierten. Ebenfalls das Betriebssystem ist ein angepasstes, handelsübliches Windows CE 3.0.
Allein anhand dieser Daten ist das Ergebnis der Schwachstellenanalyse von Prof. Aviel
Rubin nicht erstaunlich.
Eine besondere Brisanz der Schwachstellenanalyse ergibt sich aus der Tatsache, dass
Maschinen, des in den USA genutzten Herstellers auch in der EU angeschafft wurden.
Im Jahre 2004, dem Jahr der Wiederwahl von George Bush, begannen die Verdächtigungen um die Maschinen der Firma Diebold. Die Wahl ergab einen der Prognosen
entgegenstehende Trend. Gerade in Vierteln, die üblicherweise dem Gewinner der Wahl
entgegen gerichtet waren, vielen am Tag der Wahl einig Maschinen aus. In anderen
Bezirken kam es zu Ergebnissen, welche nicht mit denen der vergangenen Jahre übereinstimmten und dem zu erwartendem Trend entgegenstanden. Gerade in dieser Wahl
war das Ergebnis weniger Wahlbezirke für die Wahl des Präsidenten entscheidend. Eine
Untersuchung der zahlreichen Unregelmäßigkeiten konnte von Bush’s Partei abgewendet
werden, da diese die Mehrheit in beiden Kammern des US-Parkaments inne hatte. So
wird es nie eine eindeutige Klärung des Vorwurfs der Wahlmanipulation geben.
Anhand der genannten Entwicklungen ist die Schwachstellenanalyse von Prof. Aviel Rubin und seiner Arbeitsgruppe ein wichtiger Schritt zur Sicherung der Demokratie in
den USA und allen Ländern der Welt, die den Einsatz automatisierter Stimmenzählung
vorantreiben, wie Deutschland.
4
2 Wahlablauf mit der Accu Vote TS
2.1 Vorbereitungen
Am Tag der Wahl werden die Wahlmaschinen aus einem Lager der Regierung an die
Wahllokale ausgeliefert. Unter Umständen kommt es vor, dass die Wahlmaschinen am
Vorabend angeliefert und unter der Aufsicht des Wahlleiters verwahrt werden. Nach dem
Aufbau der Geräte müssen diese auf die Wahl vorbereitet werden. Die Vorbereitung
umfasst die folgenden Schritte:
• Eine Speicherkarte wird in den PCMCIA Slot eingelegt um die Wahleigenschaften
zu übertragen (Ablauf und Kandidaten).
• Sollte die eingelegte Speicherkarte keine Wahldaten enthalten, geht die Software
in den Pre-Download Mode in welchem von einem PC mit Diebold’s GEMS
Server (General Election Management Server) die benötigten Daten heruntergeladen werden können. Mögliche Verbindungen: PCMCIA-Cards, lokales Netzwerk,
Internet, Einwahlverbindungen (Modem).
• Nachdem die Wahldaten geladen wurden, geht die Software in den Pre-Election
Testing Mode über. In diesem Mode kann der Wahlhelfer die Logik und Genauigkeit des Gerätes überprüfen. Der Wahlhelfer muss nun eine Testwahl durchführen
und das Gerät somit Prüfen.
• Nachdem der Wahlhelfer bestätigt hat, dass der Test erfolgreich beendet wurde,
kann er die Wahlmaschine in den Election Mode bringen. Es wird ein Ausdruck
5
2 Wahlablauf mit der Accu Vote TS
gedruckt, welcher bestätigen soll, dass die Anzahl der registrierten Wahlvorgänge
auf Null steht.
2.2 Die Wahl
• Nachdem der Wähler das Wahllokal erreicht hat, meldet er sich zunächst an.
• Der Wahlhelfer überprüft die Identität des Wählers.
• Dem Wähler wird eine gültige Wahlkarte ausgehändigt und schriftlich festgehalten,
dass der Wähler seine Stimme abgegeben hat. Die Wahlkarte ist eine spezielle
Smart Card, welche die Wahl des Wählers autorisiert.
• Der Wähler geht in die Wahlkabine und legt die Wahlkarte in die Wahlmaschine
ein, die Software verifiziert die Gültigkeit der Wahlkarte und das Wahlmenü wird
freigegeben.
• Nun kann der Wähler seine Wahl mit dem Drücken von Buttons auf dem Touchscreen abgeben.
• Mit der Abgabe der Stimme wird die Wahlkarte ungültig.
• Der Wähler entfernt nun die Karte aus der Maschine und gibt diese dem Wahlhelfer
zurück.
• Der Wahlhelfer kann die Wahlkarte für den nächsten Wähler erneut gültig machen.
2.3 Nach der Wahl
• Nach der Wahl wird vom Wahlleiter die ”End Card” eingelegt, um der Software
das Ende der Wahl zu signalisieren.
6
2 Wahlablauf mit der Accu Vote TS
• Im nun folgenden Post-Election Mode kann der Wahlhelfer die Maschine nutzen
um das Ergebnis auszudrucken und die Anzahl der abgegebenen Stimmen mit der
Anzahl der registrierten Wähler zu verifizieren.
• Das Ergebnis wird nun auf einen PC mit installiertem GEMS übertragen. Die
Übertragung kann wie bei der Wahlvorbereitung über verschiedene Wege erfolgen.
• Der PC errechnet das Ergebnis der Wähler an den verschiedenen Wahlmaschinen
und kann dieses als Datei an einen zentralen Rechner weiterleiten.
• Falls nötig, kann die Richtigkeit der Wahl durch die Maschinen überprüft werden,
da die Erfassung der Stimmabgaben sowohl auf dem internen Flash-Speicher als
auch dem eingelegten Speicher - der PCMCIA Karte - erfolgt.
7
8
3 Schwachstellenanalyse
3 Schwachstellenanalyse
3.1 Hardware
Abbildung 3.1: Dibold AccuVote TS
9
3 Schwachstellenanalyse
Abbildung 3.1 zeigt die hier betrachte Wahlmaschine AccuVote TS der Firma Dibold.
An der rechten Seite ist ein Schloss zu erkennen, welches den Zugang zu sicherheitsrelevanten Schnittstellen sichern soll. Der für den Wahlvorgang benötigte SmartCard
Reader befindet sich an der rechten Frontseite.
3.1.1 Zugriff auf die Hardware
Die Hardware ist grundsätzlich gegen das Eindringen fremder gesichert. Die Schwachstellenanalyse ergab jedoch, dass die getroffenen Maßnahmen nicht dem benötigtem Anspruch genügen. Der Zugang zu den sicherheitsrelevanaten Schnittstellen des AccuVote
TS ist mit einem einfachen Schloss gesichert, dessen Schlüssel bei allen Maschinen gleich
ist. Zudem kann das Schließsystem mittels eines ”Dietrichs” innerhalb weniger Sekunden
von einem Laien geöffnet werden. Die so verschlossenen Schnittstellen sind:
• Ein-/Ausschalter
• Reset-Knopf
• PCMCIA-Slot
• PS/2 Tastaturanschluss
Mittels dieser Schnittstellen und den ermittelten Schwachstellen in der Software kann
die Maschine in kürzester Zeit übernommen und an die eigenen Wünsche angepasst
werden. Eine weitere Möglichkeit in die Maschine einzudringen besteht auf der Rückseite.
Hier können zwölf Schrauben gelöst und so ohne das Brechen eines Siegels das gesamte
Gehäuse geöffnet und auf die Hardware zugegriffen werden.
Nach dem Öffnen der AccuVote TS ist das gesamte Mainboard (Abb. 3.2) zugänglich.
Das Mainboard ist wie folgt aufgebaut:
10
3 Schwachstellenanalyse
Abbildung 3.2: Mainboard der AccuVote TS
A) Hitachi SuperH SH7709A 133 MHz RISC Microprozessor
B) Hitachi HD64465 Windows CE Intelligent peripheral controller
C) 2 x Intel Strataflash 28F640 8 MB Flash memory
D) 2 x Toshiba TC59SM716FT 16 MB SDRAM
11
3 Schwachstellenanalyse
E) M27C1001 128 KB löschbarer, programmierbarer Lesespeicher (EPROM)
F) Gedruckte Tabelle Liste der Jumper Konfigurationen für den Bootvorgang: EPROM,
on-board Flash, ”Externer Flash Speiche”
G) ”Externer Flash Speicher”
H) Anschluss für: Touch LCD Bildschirm
I) Anschluss für: Thermaldrucker
J) Anschluss für: SecureTech ST-20F Smart Card reader/writer
K) Anschluss für: Stromversorgung
L) Anschluss für: Batterie
M) PIC microcontroller (Stromversorgungsregelung)
N) Infrarot Empfänger / Sender
O) Anschluss für: Serieller Nummernblock
P) Anschluss für: Kopfhörer (von aussen zugänglich)
Q) Ein-/Ausschalter
R) Anschluss für: PS/2 Tastatur
S) 2 x PC Card Slot
T) Reset Knopf
U) Anschluss für: PS/2 Maus
V) Interner Lautsprecher
12
3 Schwachstellenanalyse
3.1.2 Angriffspunkte
Die Schwachstellenanalyse hat eine Vielzahl technischer Schwachstellen gezeigt.
Sowohl das Betriebsystem, als auch die darauf ausgeführte Software kann aufgrund des
manuellen Zugriffs manipuliert werden. Hierbei bestehen verschiedene Wege auf den
Speicher zuzugreifen:
a) Der Austausch des EPROM’s.
Dieses beinhaltet den Bootloader. Folglich können mittels des neuen EPROMS
Malware und geänderte Bootkonfigurationen eingebaut werden. Daraus folgend
kann im nächsten Schritt vor, während oder nach der Wahl einfach auf die Daten
der AccuVote zugegriffen werden (siehe 3.2 Zugriff auf die Software). Der Tausch
eines EPROM’s kann innerhalb kürzester Zeit vollzogen werden, wie das Video[4]
an einer ähnlichen Maschine zeigt.
b) Datenübertragung
Die AccuVote TS verfügen über zwei Wege der Datenübertragung. Zum einen
können die Maschinen mittels SmartCards mit Informationen über die anstehende
Wahl gefüllt und über den gleichen Weg die Resultate der Wahl übertragen werden.
Der zweite Weg ist die im PC Card Slot 1 enthaltene Modem-Karte. Auch diese
kann für die Initialisierung und Beendung der Wahl genutzt werden. Neuere Versionen der Wahlmaschinen der Firma Dibold beinhalten zusätzlich die Möglichkeit die
Wahlergebnisse über eine WLAN-Verbindung und folglich eine WAN-Verbindung
zu übermitteln. Hierbei besteht stets die Gefahr einer Man-in-the-Middle Attacke.
c) Zugriff auf externe Schnittstellen
Sowohl vor und nach der Wahl als auch während der Wahl in optisch isolierten
Wahlkammern ist es grundsätzlich möglich auf alle Schnittstellen der zuzugreifen ohne Spuren zu hinterlassen oder Siegel zu brechen. Die Schnittstellen können
13
3 Schwachstellenanalyse
am einfachsten durch die ungesicherte Abdeckung auf der Unterseite alle Schnittstellen freigelegt werden. Hierfür müssen lediglich die handelsüblichen Schrauben
gelöst werden. Sollte der Zugriff auf diese Art nicht möglich sein, kann die seitliche
Abdeckung mittels einem Schlüssel geöffnet werden. Die Schlüssel können über
Tauschbörsen und Diebold im Internet bestellt werden. Hinter der Abdeckung befinden sich die PCMCIA Slots, der Ein-/Ausschalter, der Reset Knopf und der
PS/2 Anschluss für die Tastatur.
Jederzeit zugänglich sind der Kopfhörer- und Nummernblockanschluss. Sobald der
Kopfhöreranschluss belegt ist, gibt das Gerät (auch bei einem Neustart) keinen
Ton von sich.
d) Jumpereinstellung
Durch die Änderung der Jumpereinstellung auf dem Mainboard kann das Betriebssystem von zwei weiteren Schnittstellen geladen werden. Das einsetzen eines zusätzliche ”Externen Flash Speichers” und das setzen des Jumpers kann innerhalb
kürzester Zeit von jedem Wahlleiter oder Wähler erfolgen.
3.2 Software
Sofern der Zugriff auf die Hardware, oder die Kommunikationsmedien (PC Card, Modemoder WLAN-Verbindung) gelingt, bestehen stets Möglichkeiten der Wahlmanipulation.
Die unter 3.2.2 zu sehende Auflistung beschreibt einen teil der möglichen Manipulationsansätze. Für ein besseres Verständnis über die vorliegende Software und das darunter
liegende Betriebssystem zeigt die folgende Liste einen typischen Systemstart der AccuVote TS.
3.2.1 Systemstart
1) Je nach Jumpereinstellung arbeitet der Prozessor den ersten Befehl an Position
0xA0000000 auf dem EPROM (Standard), on-board Flash Speicher oder einem
14
3 Schwachstellenanalyse
Flash-Modul an ”Externer Flash Speicher” ab.
2) Der Bootloader kopiert sich selbst in den Arbeitsspeicher
3) Es wird nach einer Speicherkarte auf PCMCIA Slot 1 gesucht
4) Wenn vorhanden, wird auf der Speicherkarte nach bestimmten Dateien gesucht:
• fboot.nb0
Diese Datei beinhaltet einen alternativen Bootloader, welcher nun auf den
internen Arbeitsspeicher kopiert wird. Ein evtl. dort existierender wird überschrieben.
• nk.bin
Diese Datei enthält eine Betriebssystem-Image, welches ein eventuell auf dem
internen Flash-Speicher existierenden ersetz.
• EraseFFX.bsq
Sollte diese Datei beim Booten gefunden werden, wird der gesamte interne
Falshspeicher ohne weitere Autorisierung gelöscht.
5) Das Betriebssystem-Image wird in den RAM entpackt
6) Der Windows CE Kernel wird gestartet
7) Der Prozess Filesys.exe wird gestartet.
8) Filesys.exe entrackt die Registry und startet alle Programme des Eintrags:
HKEY_LOCAL_MACJINE\Init
9) In HKEY_LOCAL_MACJHINE\Init sind in der Standardkonfiguration die folgenden
Programme gelistet:
• shell.exe (Debug Shell)
• device.exe (Device Manager)
• gwes.exe (Grafische Oberfläche, Event Subsystem)
15
3 Schwachstellenanalyse
• taskman.exe (Taskmanager)
10) Der Device Manager mountet
... den internen Flash-Speicher auf \FFX\ mit einem proprietary Dateisystem
FlashFX
... die Speicherkarte (so vorhanden) auf \Storage Card mit FAT oder FAT 32
... das Dateisystem \ (root) im RAM
11) Der gestartete Taskmanager startet
... den Windows Explorer, sofern die Datei explorer.glb auf \FFX\ existiert.
... anderenfalls automatisch das jeweilige Programm unter \FFX\Bin\BallotStation.exe
3.2.2 Angriffspunkte
1) Im dritten Schritt des Bootvorgangs wird nach einem Speichermedium im PCMCIA Slot 1 gesucht. Da der PCMCIA Slot nur unzureichend durch ein einfaches,
standardisiertes Schloss gesichert ist, kann jeder vorbereitete Angreifer (Wähler)
auf diesen zugreifen. Nach dem einstechen der PCMCIA Card mit der entsprechenden Datei benötigt der Angreifer lediglich einen Stecker für die Kopfhörerbuchse
um den Ton beim Neustart zu unterdrücken. Durch das Drücken des Reset-Knopfs
wird die AccoVote TS neugestartet. Je nach Wahl der Angriffsart dauert der Neustart unterschiedlich lang. Nach dem Abziehen des Steckers in der Audiobuchse
und das Entfernen der PCMCIA Card sind keine weiteren Schritte nötig.
Mittels der PC Card ergeben sich drei Angriffsszenarien. Diese unterscheiden sich
lediglich durch die auf der PC Card enthaltenen Datei.
• fboot.nb0
Mittels dieser Datei könnte das auf der AccuVote TS enthaltene Betriebssystem und Programme durch eine in den Bootloader integrierte Malware
modifiziert werden.
16
3 Schwachstellenanalyse
• nk.bin
Sobald diese Datei während des Bootvorgangs auf der PC Card gefunden
wird, ersetzt das enthaltene Image das auf der AccuVote TS enthaltene Betriebssystem.
• EraseFFX.bsq
Bei vorhandener EraseFFX.bsq - Datei werden sämtliche Inhalte des internen Flashspeichers gelöscht. Diese Variante kann speziell für denail-of-service
Attacken genutzt werden, bei der die Stimmabgabe in bestimmten Bezirken
mit ungünstiger Stimmprognose behindert werden soll.
Sollte eine dieser Dateien gefunden werden, sind die daraus folgenden softwaretechnischen Änderungen an der Maschine maximal. Sofern das Medium ein BetriebssystemImage mit dem Dateinamen nk.bin enthält, wird dieses ohne Sicherheitsprüfung
umgehend auf den internen Flash-Speicher geschrieben. Das alte System wird bei
diesem Vorgang vollständig gelöscht.
2) Ein weiterer beachtenswerter Punkt bei der Konfiguration der AccuVote TS ist
das Mounten des Dateisystems. Da sich die gesamten Dateien im Arbeitsspeicher
befinden, bietet sich hier eine besonders einfache und schnelle Angriffsvariante.
Sofern die Möglichkeit besteht die Wahlmaschinen vom Strom abzuschneiden sind
alle vorherigen Stimmen verloren. Neben den vorstellbaren Varianten die Sicherung des Raums / Gebäudes anspringen zu lassen ist das einfache Ausschalten der
AccuVote TS an der rechten Seite hinter dem mangelhaften Schloss eine einfache Variante. Durch diese Art der Manipulation in besonders monoton wählenden
Bezirken könnte sich daraus eine spürbare Stimmenverschiebung ergeben.
3) Der in den nächsten schritten gestartete TaskManager verhält sich bei eingelegter Smart Card unterschiedlich. Sobald die Smart Card eine Datei mit dem Namen explorer.glb enthält wird an dieser Stelle des Startvorgangs der Windows
Explorer gestartet. Über diesen besteht Zugriff auf das gesamte Datei- /System.
Offensichtlich können hier eine Vielzahl Angriffe ausgeführt werden.
17
4 Schlusswort
Auch Jahre nach der Veröffentlichung der Schwachstellenanalyse hat sich die Situation nur geringfügig verändert. Vor der Präsidentschaftswahl 2012 wurden wieder neue
Sicherheitslücken bekannt. Erneut waren es Maschinen der Firma Diebold, welche den
Angriffen nachgaben. [5] Hierbei wurde durch eine Studiengruppe ein Gerät im Wert von
26 US$ entwickelt, mit dem aus bis zu einer halben Meile die abgegebene Stimme manipuliert werden konnte. Trotz dieser Erkenntnisse sind zum aktuellen Zeitpunkt keine
Reaktionen / Konsequenzen zur anstehenden Wahl bekannt.
Aufgrubnd der vielfältigen Veröffentlichungen verschiedenster Schwachstellen der Wahlmaschinen hat sich die Anzahl der Briefwähler in den USA zwischen 1992 uns 2008
verdreifacht. [6]
Noch immer wird in den USA die Mehrheit der Stimmen mittels Wahlmaschinen abgegeben.
In anderen Ländern wie Deutschland führten zu beginn der Einführung von Wahlmaschinen gerichtliche Auseinandersetzungen zum Ergebnis, dass Wahlmaschinen nicht mit
dem Grundgesetz vereinbar seien. Begründet wurde das Ergebnis durch ein Gutachten
mit der Wahrung des Wahlgeheimnisses und der Nachvollziehbarkeit der korrekten Zählung der Stimmen durch den Bürger. [7] Das Gutachten kommt zum Schluss, dass Computer aufgrund ihrer Komplexität und Anzahl der möglichen Angriffsstellen keine sichere
Alternative zum „bewährten Wahlverfahren mit Papier und Stift”[7] sein können.
18
5 Literaturverzeichnis
[1] Tadayoshi Kohno, Adam Stubblefield, Aviel D. Rubin, Dan
S. Wallach Analysis of an Electronic Voting System;
Johns Hopkins University; veröffentlicht: 27.02.2004;
[2] Ariel J. Feldman, J. Alex Halderman, and Edward W. Felten Security Analysis of the Diebold AccuVote-TS Voting
Machine; Princeton University;
veröffentlicht: 13.09.2006;
[3] Ed Arnold; History of VOTING SYSTEMS in California;
California Secretary of State; veröffentlicht: 1999;
[4] EPROM Austausch beim Nedap Wahlcomputer;
abgerufen: 08.07.2012; http://www.youtube.com/watch?v=rtiqwAWuDU
[5] Researchers Hack Voting Machine for $26;
abgerufen:
16.07.2012;
http://www.securitynewsdaily.com/1089researchers-hack-voting-machine-for-26.html
[6] 2010 Early Voting;
abgerufen: 16.07.2012; http://elections.gmu.edu/early_vote_2010.html
[7] Beschreibung und Auswertung der Untersuchungen an
NEDAP-Wahlcomputern;
19
5 Literaturverzeichnis
abgerufen: 20.07.2012; http://www.ccc.de/system/uploads/105/original/
nedapReport54.pdfl; veröffentlicht: Berlin, 30.05.2007;
20