Equipe de peritos da PF quebra segurança da urna eletrônica
Dois dos 13 planos de ataque ao sistema de votação obtiveram êxito, informou o Tribunal Superior Eleitoral ao final da semana de testes públicos de segurança na urna eletrônica. Como de praxe, o TSE garante que o sucesso dos ataques não comprometeu o sigilo do voto ou a segurança do processo eleitoral.
“A partir de agora, o TSE trabalhará para sanar a vulnerabilidade identificada a tempo das Eleições Municipais de 2020”, avisou o Tribunal, em nota. Os ataques bem sucedidos foram realizados pela equipe de peritos criminais da Polícia Federal, Paulo César Wanner, Ivo Peixinho e Galileu Batista de Sousa.
“É o momento de abertura dos sistemas de segurança ao olhar externo da comunidade científica, dos estudantes, dos partidos políticos, dos cidadãos como um todo. Um chamado para que atuem como hackers e tragam seus planos de testes, com estratégias de ataque às urnas, a fim de identificar possíveis e eventuais vulnerabilidades e falhas relacionadas à violação da integridade ou do anonimato do voto nas eleições”, afirmou a presidente do TSE, Rosa Weber.
Segundo o diretor de TI do TSE, Giuseppe Janino, os sucessos nos teste contribuem para a melhoria dos processos envolvidos no sistema eletrônico de votação. “Os investigadores são nossos parceiros, na medida em que tenham um olhar mais preciso e diferenciado para achar pontos de fragilidade”, disse. Ele adiantou agora vem a etapa de correção das vulnerabilidades apontadas.
No ano que vem, os investigadores do Grupo 5, dos peritos da PF, serão convidados a retornar ao TSE para verificar a efetividade dos reforços de segurança que serão implementados. Os testes realizados por eles na urna eletrônica foram os seguintes:
1) extração de dados e configurações do kit JE Connect. A ideia é obter senhas e configuração da VPN a partir de uma mídia do JE Connect. A partir dos dados obtidos, tentar se conectar diretamente à rede do TSE. Verificar também existência de vulnerabilidades no RecArquivos, utilizando técnicas de fuzzing. Por fim, verificar a possibilidade de acesso direto ao banco de dados e às suas rotinas;
2) extração do conteúdo do disco criptografado do SIS. O teste tem a finalidade de obter acesso físico ao disco do computador com o sistema Gedai instalado, para retirar o disco criptografado e buscar a chave no registro do Windows. Além disso, visa a inicializar o disco em uma máquina virtual para obter um dump de memória, bem como extrair a chave a partir do dump e comparar com as informações obtidas no registro para estabelecer processo de formação da chave. Busca também montar o disco cifrado e extrair os dados presentes nesse disco, além de verificar, no disco cifrado, informações sensíveis para o processo eleitoral;
3) instalação e execução de código arbitrário em uma máquina do Gedai para implante de dados falsos na urna eletrônica. Os objetivos do teste são: obter acesso físico ao computador com o Gedai instalado para fazer uma imagem completa do disco; inicializar o disco em uma máquina virtual; subverter o sistema de inicialização para viabilizar o boot sem a carga do SIS; acessar e modificar programas de criação e preparação de dados a serem gravados nas urnas eletrônicas; e criar um cartão de inicialização da urna com dados espúrios.
* Com informações do TSE