SEGURANÇA

TSE recomeça testes de segurança da urna eletrônica

Luís Osvaldo Grossmann ... 25/11/2019 ... Convergência Digital

Especialistas começam nesta segunda, 25/11, a testar a urna eletrônica que será usada nas eleições municipais do ano que vem, em mais um Teste Público de Segurança organizado pelo Tribunal Superior Eleitoral (TSE).

Estão inscritos três técnicos individuais e cinco equipes, que terão até sexta, 29/11, para tentar quebrar a segurança da urna eletrônica. É a quinta vez que o TSE abre os equipamentos para esse tipo de teste, sendo que em 2012 e 2017 houve sucesso primeiro em violar o sigilo dos votos, e na segunda oportunidade injetar um código malicioso. 

Como de hábito, o TSE rapidamente incorporou mudanças no sistema de segurança e afirmou que as quebras de segurança foram superficiais e somente possíveis no ambiente controlado dos testes. Como relato do teste de 2017, o TSE confirmou que técnicos encontraram três falhas no sistema da urna eletrônica, conseguindo ter acesso aos dados internos do equipamento.

Os investigadores desta edição são os seguintes: 

José Filippe de Moraes Albano

- Plano de teste: o objetivo é explorar vulnerabilidades na infraestrutura e nos ativos que compõem a urna eletrônica. O teste tem como principal finalidade simular um ataque aos ativos do TSE. Se for encontrada alguma vulnerabilidade, a intenção é investigar qual o impacto e os sistemas que podem ser afetados, bem como encontrar soluções que possam mitigar os ataques, garantindo o exercício do voto sem ocorrer a sua violação, por meio dos pilares da segurança da informação: a confidencialidade, a integridade e a disponibilidade da informação.

Leonardo Cunha dos Santos

- Plano de teste: o teste constitui-se do uso de reconhecimento de padrões a partir da detecção de pulsos elétricos, com a finalidade de compreender comportamentos do equipamento durante a operação de voto.

Roberto Miyano Neto

- Plano de teste 1: verificar a integridade do arquivo executável da urna (Vota). Checar se o arquivo é executável somente após a verificação da assinatura.

- Plano de teste 2: verificar se o processo de coleta de votos gera provas de integridade para cada voto, obedecendo aos requisitos funcionais de sigilo do voto, conforme definido pela Constituição Federal brasileira.

- Plano de teste 3: verificar se o arquivo de votos contém a lista de votantes e os votos armazenados fora de ordem, garantindo o sigilo constitucional, porém com provas de integridade por voto e com a manutenção da integridade entre a quantidade de votantes e de votos. Verificar ainda se tal arquivo é assinado com chave privada única por urna, conhecida pelo TSE, armazenada em HSM.

Investigadores em grupo

Grupo 1

Coordenador: Fellipe Ribeiro Silva Abib

Demais Integrantes: Alan Papafanurakis Heleno, Caio Henrique de Aquino e Vicente Charles William Biesseki

- Plano de teste: conhecer o processo da geração dos boletins de urna, identificar padrões, identificar as falhas, abrir o boletim e identificar a ordem dos eleitores que votaram, para tentar saber quem votou em qual candidato.

Grupo 2

Coordenador: Jairo Simão Santana Melo

Demais integrantes: Luiz Fernando Sirotheau Serique Junior e Leonardo de Almeida Ramos

- Plano de teste: visa a abordar uma avaliação sistêmica da atual configuração da urna eletrônica em uso no processo eleitoral brasileiro, buscando empregar técnicas de aprendizado de máquina e captura de sinais elétricos em um ciclo de treinamento, teste e definição do percentual de acurácia em relação aos dados de entrada.

Grupo 3

Coordenador: Luis Antonio Brasil Kowada

Demais integrantes: Gabriel Cardoso de Carvalho, Victor Faria de Sousa, Igor Palmieri Antunes e Ramon Rocha Rezende

- Plano de teste 1: tentativa de obtenção de chaves criptográficas. O objetivo é avaliar se os procedimentos e o gerenciamento de chaves garantem a confidencialidade e a autenticação.

- Plano de teste 2: verificar vulnerabilidades das bibliotecas do sistema para avaliar a possibilidade de alteração de bibliotecas ou explorar vulnerabilidades de bibliotecas de terceiros.

Grupo 4

Coordenador: Luis Fernando de Almeida

Demais Integrantes: Fabio Rosindo Daher de Barros, Gabriel Ferrari Carvalho, Fernando Nogueira da Silva e Josinei Rodrigues Lopes Silva

- Plano de teste: para fins de garantir a confidencialidade dos votos, a urna eletrônica utiliza do recurso de rotinas pseudoaleatórias para proporcionar que um voto seja armazenado em posições ao acaso dentro do arquivo. Atualmente, nota-se a crescente aplicação de rotinas inteligentes baseadas em Machine Learning aplicadas ao problema de reconhecimento de padrão. A literatura apresenta casos de sucesso dessas rotinas em problemas de regressão e modelo preditivos. Diante desse contexto, o teste em questão pretende analisar a possibilidade de rotinas inteligentes serem capazes de criar um modelo capaz de mapear a geração dos números aleatórios e, consequentemente, comprometer o sigilo do voto.

Grupo 5

Coordenador: Paulo César Herrmann Wanner

Demais Integrantes: Ivo de Carvalho Peixinho e Galileu Batista de Sousa

- Plano de teste 1: extração de dados e configurações do kit JE Connect. A ideia é obter senhas e configuração da VPN a partir de uma mídia do JE Connect. A partir dos dados obtidos, tentar se conectar diretamente à rede do TSE. Verificar também existência de vulnerabilidades no RecArquivos, utilizando técnicas de fuzzing. Por fim, verificar a possibilidade de acesso direto ao banco de dados e às suas rotinas.

- Plano de teste 2: extração do conteúdo do disco criptografado do SIS. O teste tem a finalidade de obter acesso físico ao disco do computador com o sistema Gedai instalado, para retirar o disco criptografado e buscar a chave no registro do Windows. Além disso, visa a inicializar o disco em uma máquina virtual para obter um dump de memória, bem como extrair a chave a partir do dump e comparar com as informações obtidas no registro para estabelecer processo de formação da chave. Busca também montar o disco cifrado e extrair os dados presentes nesse disco, além de verificar, no disco cifrado, informações sensíveis para o processo eleitoral.

- Plano de teste 3: instalação e execução de código arbitrário em uma máquina do Gedai para implante de dados falsos na urna eletrônica. Os objetivos do teste são: obter acesso físico ao computador com o Gedai instalado para fazer uma imagem completa do disco; inicializar o disco em uma máquina virtual; subverter o sistema de inicialização para viabilizar o boot sem a carga do SIS; acessar e modificar programas de criação e preparação de dados a serem gravados nas urnas eletrônicas; e criar um cartão de inicialização da urna com dados espúrios.


Consciência é a maior vacina contra os riscos cibernéticos

Em tempos de home office por conta do coronavírus, o gerente de segurança do CAIS/RNP, Edilson Lima, diz que cabe ao usuário redobrar seu cuidado. "Cada um tem de fazer sua parte", afirma.

Cibercrime usa Coronavírus para roubar dados pessoais no WhatsApp

Golpe oferece suposto kit gratuito com máscara e álcool gel - a ser dado pelo Governo Federal - para atrair as pessoas mais nervosas em relação à pandemia.

RNP terá programa para formar profissionais em Segurança Cibernética

O diretor da área na Rede Nacional de Pesquisa, Emilio Nakamura, assegura que a intenção é 'acelerar a formação de novos profissionais não apenas na Academia, mas também na inovação aberta'.

GSI: Educar o cidadão é o pilar da estratégia de segurança cibernética

Gabinete de Segurança Institucional da Presidência da República troca de marca - sai o cadeado e entra uma chave - para mostrar ao brasileiro que ações próativas são essenciais. "Não podemos atuar apenas como bombeiros nos ataques cibernéticos", afirma Ulisses Peixoto.



  • Copyright © 2005-2020 Convergência Digital
  • Todos os direitos reservados
  • É proibida a reprodução total ou
    parcial do conteúdo deste site
    sem a autorização dos editores
  • Publique!
  • Convergência Digital
  • Cobertura em vídeo do Convergência Digital
  • Carreira
  • Cloud Computing
  • Internet Móvel 3G 4G