SEGURANÇA

Equipe de peritos da PF quebra segurança da urna eletrônica

Luís Osvaldo Grossmann* ... 02/12/2019 ... Convergência Digital

Dois dos 13 planos de ataque ao sistema de votação obtiveram êxito, informou o Tribunal Superior Eleitoral ao final da semana de testes públicos de segurança na urna eletrônica. Como de praxe, o TSE garante que o sucesso dos ataques não comprometeu o sigilo do voto ou a segurança do processo eleitoral. 

“A partir de agora, o TSE trabalhará para sanar a vulnerabilidade identificada a tempo das Eleições Municipais de 2020”, avisou o Tribunal, em nota. Os ataques bem sucedidos foram realizados pela equipe de peritos criminais da Polícia Federal, Paulo César Wanner, Ivo Peixinho e Galileu Batista de Sousa. 

“É o momento de abertura dos sistemas de segurança ao olhar externo da comunidade científica, dos estudantes, dos partidos políticos, dos cidadãos como um todo. Um chamado para que atuem como hackers e tragam seus planos de testes, com estratégias de ataque às urnas, a fim de identificar possíveis e eventuais vulnerabilidades e falhas relacionadas à violação da integridade ou do anonimato do voto nas eleições”, afirmou a presidente do TSE, Rosa Weber.

Segundo o diretor de TI do TSE, Giuseppe Janino, os sucessos nos teste contribuem para a melhoria dos processos envolvidos no sistema eletrônico de votação. “Os investigadores são nossos parceiros, na medida em que tenham um olhar mais preciso e diferenciado para achar pontos de fragilidade”, disse. Ele adiantou agora vem a etapa de correção das vulnerabilidades apontadas. 

No ano que vem, os investigadores do Grupo 5, dos peritos da PF, serão convidados a retornar ao TSE para verificar a efetividade dos reforços de segurança que serão implementados. Os testes realizados por eles na urna eletrônica foram os seguintes: 

1) extração de dados e configurações do kit JE Connect. A ideia é obter senhas e configuração da VPN a partir de uma mídia do JE Connect. A partir dos dados obtidos, tentar se conectar diretamente à rede do TSE. Verificar também existência de vulnerabilidades no RecArquivos, utilizando técnicas de fuzzing. Por fim, verificar a possibilidade de acesso direto ao banco de dados e às suas rotinas; 

2) extração do conteúdo do disco criptografado do SIS. O teste tem a finalidade de obter acesso físico ao disco do computador com o sistema Gedai instalado, para retirar o disco criptografado e buscar a chave no registro do Windows. Além disso, visa a inicializar o disco em uma máquina virtual para obter um dump de memória, bem como extrair a chave a partir do dump e comparar com as informações obtidas no registro para estabelecer processo de formação da chave. Busca também montar o disco cifrado e extrair os dados presentes nesse disco, além de verificar, no disco cifrado, informações sensíveis para o processo eleitoral; 

3) instalação e execução de código arbitrário em uma máquina do Gedai para implante de dados falsos na urna eletrônica. Os objetivos do teste são: obter acesso físico ao computador com o Gedai instalado para fazer uma imagem completa do disco; inicializar o disco em uma máquina virtual; subverter o sistema de inicialização para viabilizar o boot sem a carga do SIS; acessar e modificar programas de criação e preparação de dados a serem gravados nas urnas eletrônicas; e criar um cartão de inicialização da urna com dados espúrios.

* Com informações do TSE


Consciência é a maior vacina contra os riscos cibernéticos

Em tempos de home office por conta do coronavírus, o gerente de segurança do CAIS/RNP, Edilson Lima, diz que cabe ao usuário redobrar seu cuidado. "Cada um tem de fazer sua parte", afirma.

Cibercrime usa Coronavírus para roubar dados pessoais no WhatsApp

Golpe oferece suposto kit gratuito com máscara e álcool gel - a ser dado pelo Governo Federal - para atrair as pessoas mais nervosas em relação à pandemia.

RNP terá programa para formar profissionais em Segurança Cibernética

O diretor da área na Rede Nacional de Pesquisa, Emilio Nakamura, assegura que a intenção é 'acelerar a formação de novos profissionais não apenas na Academia, mas também na inovação aberta'.

GSI: Educar o cidadão é o pilar da estratégia de segurança cibernética

Gabinete de Segurança Institucional da Presidência da República troca de marca - sai o cadeado e entra uma chave - para mostrar ao brasileiro que ações próativas são essenciais. "Não podemos atuar apenas como bombeiros nos ataques cibernéticos", afirma Ulisses Peixoto.



  • Copyright © 2005-2020 Convergência Digital
  • Todos os direitos reservados
  • É proibida a reprodução total ou
    parcial do conteúdo deste site
    sem a autorização dos editores
  • Publique!
  • Convergência Digital
  • Cobertura em vídeo do Convergência Digital
  • Carreira
  • Cloud Computing
  • Internet Móvel 3G 4G