Hacken voor Pim

Pim Fortuyn de `grootste Nederlander aller tijden'? De website van het KRO-televisie- programma is kinderlijk eenvoudig te hacken. Wie wil kan honderden keren stemmen.

In een land waar op grote schaal wordt geritseld en gefraudeerd, vrijwel iedereen on line is en het cheaten en hacken onder jongeren een favoriete bezigheid is, getuigt het van naïveteit te denken dat internetverkiezingen een representatieve uitslag bieden. Bij de verkiezingen voor `De mooiste plek van Nederland' en `De grootste Nederlander', die op dit moment onder auspiciën van respectievelijk de NCRV en de KRO lopen, kan de stemming op uiteenlopende manieren worden gemanipuleerd.

De NCRV heeft het de fraudeur wel heel gemakkelijk gemaakt. Mijn zoon ontdekte met drie andere brugklassers in een mum van tijd hoe ze het percentage van één mooie plek met tal van procentpunten omhoog konden brengen, eenvoudig door na elke uitgebrachte stem de `cookies' te verwijderen en opnieuw te stemmen.

Om de verkiezing van de grootste Nederlander ten faveure van Johan Cruijff te beïnvloeden hoefden de jongens nauwelijks meer moeite te doen. Weliswaar moesten hier eerst een e-mailadres, postcode en geboortedatum worden ingevuld, alvorens met behulp van een speciale toegangscode kon worden gestemd, maar al gauw bleek, na verwijdering van de cookies, dat met fake-adressen, -codes en -data toch een onbeperkte hoeveelheid stemmen kon worden uitgebracht. De door Eyeworks gemaakte KRO-site was opmerkelijk slordig geprogrammeerd: zelfs als je opgeeft in 1881 of in 1999 te zijn geboren, wordt dat electoraal geaccepteerd.

Een woordvoerster van de KRO verklaarde dat controle achteraf wordt uitgeoefend op de IP-nummers (of IP-adressen), de unieke cijfercode waaronder een computer op internet communiceert met andere computers. Zijn er via hetzelfde nummer verscheidene stemmen uitgebracht, dan telt de KRO dat als één stem. Dat biedt echter maar zeer ten dele soelaas. Ten eerste heeft ongeveer de helft van de Nederlandse thuiscomputers een ouderwetse inbelverbinding – en daarmee een `dynamisch' IP-nummer. De provider wijst hierbij voor elke inbelsessie weer een ander nummer toe.

De via een breedbandverbinding met de provider verbonden computers of netwerken hebben wel een vast IP-nummer. Officieel kan hier slechts één van de huis- of kantoorgenoten een stem uitbrengen. Maar wie een beetje handig is maakt een omweg via anonieme, `buitengaatse' Proxy-servers (bij Bestproxies.com zijn er duizenden te vinden), op deze wijze een steeds wisselend IP-nummer achterlatend.

Een zelfde effect kan worden bereikt met een gratis te downloaden `IP-address-changer', eveneens ontwikkeld om de privacy bij het surfen te beschermen. Ook is het bij een aantal providers mogelijk vanuit huis direct van IP-nummer te wisselen. Een beetje hacker is zelfs in staat het stemmen zodanig te automatiseren dat elk etmaal honderden keren met uiteenlopende IP-nummers op een zelfde kandidaat wordt gestemd. Dan hebben we het nog niet over draadloos internetten waarbij, rijdend met een laptop in de auto, de stem steeds opnieuw via andere, onbeveiligde IP-nummers kan worden uitgebracht.

Als de KRO de einduitslag niet manipuleert, is de kans groot dat Pim Fortuyn zijn eerste plaats in de top-10 van grootste Nederlanders niet meer uit handen geeft. Zijn aanhang is op internet goed georganiseerd en biedt rechtstreekse links naar Pims eigen stemknop (zie bijvoorbeeld www.pimfortuyn.com). Onder de verbeten aanhang van het Pim-volk is vermoedelijk ook meer digitaal vernuft aanwezig om de score slinks op te schroeven dan onder die van Antoni van Leeuwenhoek en Willem Drees.

Bovendien zijn de meeste stemkaarten tot nu toe verspreid via de krant die van de KRO het exclusieve recht kreeg op eerste publicatie van de tussentijdse uitslagen: de Telegraaf – een geliefd dagblad bij Pim-kiezers.