TSE recomeça testes de segurança da urna eletrônica

Especialistas começam nesta segunda, 25/11, a testar a urna eletrônica que será usada nas eleições municipais do ano que vem, em mais um Teste Público de Segurança organizado pelo Tribunal Superior Eleitoral (TSE).

Estão inscritos três técnicos individuais e cinco equipes, que terão até sexta, 29/11, para tentar quebrar a segurança da urna eletrônica. É a quinta vez que o TSE abre os equipamentos para esse tipo de teste, sendo que em 2012 e 2017 houve sucesso primeiro em violar o sigilo dos votos, e na segunda oportunidade injetar um código malicioso. 

Como de hábito, o TSE rapidamente incorporou mudanças no sistema de segurança e afirmou que as quebras de segurança foram superficiais e somente possíveis no ambiente controlado dos testes. Como relato do teste de 2017, o TSE confirmou que técnicos encontraram três falhas no sistema da urna eletrônica, conseguindo ter acesso aos dados internos do equipamento.

Os investigadores desta edição são os seguintes: 

José Filippe de Moraes Albano

– Plano de teste: o objetivo é explorar vulnerabilidades na infraestrutura e nos ativos que compõem a urna eletrônica. O teste tem como principal finalidade simular um ataque aos ativos do TSE. Se for encontrada alguma vulnerabilidade, a intenção é investigar qual o impacto e os sistemas que podem ser afetados, bem como encontrar soluções que possam mitigar os ataques, garantindo o exercício do voto sem ocorrer a sua violação, por meio dos pilares da segurança da informação: a confidencialidade, a integridade e a disponibilidade da informação.

Leonardo Cunha dos Santos

– Plano de teste: o teste constitui-se do uso de reconhecimento de padrões a partir da detecção de pulsos elétricos, com a finalidade de compreender comportamentos do equipamento durante a operação de voto.

Roberto Miyano Neto

– Plano de teste 1: verificar a integridade do arquivo executável da urna (Vota). Checar se o arquivo é executável somente após a verificação da assinatura.

– Plano de teste 2: verificar se o processo de coleta de votos gera provas de integridade para cada voto, obedecendo aos requisitos funcionais de sigilo do voto, conforme definido pela Constituição Federal brasileira.

– Plano de teste 3: verificar se o arquivo de votos contém a lista de votantes e os votos armazenados fora de ordem, garantindo o sigilo constitucional, porém com provas de integridade por voto e com a manutenção da integridade entre a quantidade de votantes e de votos. Verificar ainda se tal arquivo é assinado com chave privada única por urna, conhecida pelo TSE, armazenada em HSM.

Investigadores em grupo

Grupo 1

Coordenador: Fellipe Ribeiro Silva Abib

Demais Integrantes: Alan Papafanurakis Heleno, Caio Henrique de Aquino e Vicente Charles William Biesseki

– Plano de teste: conhecer o processo da geração dos boletins de urna, identificar padrões, identificar as falhas, abrir o boletim e identificar a ordem dos eleitores que votaram, para tentar saber quem votou em qual candidato.

Grupo 2

Coordenador: Jairo Simão Santana Melo

Demais integrantes: Luiz Fernando Sirotheau Serique Junior e Leonardo de Almeida Ramos

– Plano de teste: visa a abordar uma avaliação sistêmica da atual configuração da urna eletrônica em uso no processo eleitoral brasileiro, buscando empregar técnicas de aprendizado de máquina e captura de sinais elétricos em um ciclo de treinamento, teste e definição do percentual de acurácia em relação aos dados de entrada.

Grupo 3

Coordenador: Luis Antonio Brasil Kowada

Demais integrantes: Gabriel Cardoso de Carvalho, Victor Faria de Sousa, Igor Palmieri Antunes e Ramon Rocha Rezende

– Plano de teste 1: tentativa de obtenção de chaves criptográficas. O objetivo é avaliar se os procedimentos e o gerenciamento de chaves garantem a confidencialidade e a autenticação.

– Plano de teste 2: verificar vulnerabilidades das bibliotecas do sistema para avaliar a possibilidade de alteração de bibliotecas ou explorar vulnerabilidades de bibliotecas de terceiros.

Grupo 4

Coordenador: Luis Fernando de Almeida

Demais Integrantes: Fabio Rosindo Daher de Barros, Gabriel Ferrari Carvalho, Fernando Nogueira da Silva e Josinei Rodrigues Lopes Silva

– Plano de teste: para fins de garantir a confidencialidade dos votos, a urna eletrônica utiliza do recurso de rotinas pseudoaleatórias para proporcionar que um voto seja armazenado em posições ao acaso dentro do arquivo. Atualmente, nota-se a crescente aplicação de rotinas inteligentes baseadas em Machine Learning aplicadas ao problema de reconhecimento de padrão. A literatura apresenta casos de sucesso dessas rotinas em problemas de regressão e modelo preditivos. Diante desse contexto, o teste em questão pretende analisar a possibilidade de rotinas inteligentes serem capazes de criar um modelo capaz de mapear a geração dos números aleatórios e, consequentemente, comprometer o sigilo do voto.

Grupo 5

Coordenador: Paulo César Herrmann Wanner

Demais Integrantes: Ivo de Carvalho Peixinho e Galileu Batista de Sousa

– Plano de teste 1: extração de dados e configurações do kit JE Connect. A ideia é obter senhas e configuração da VPN a partir de uma mídia do JE Connect. A partir dos dados obtidos, tentar se conectar diretamente à rede do TSE. Verificar também existência de vulnerabilidades no RecArquivos, utilizando técnicas de fuzzing. Por fim, verificar a possibilidade de acesso direto ao banco de dados e às suas rotinas.

– Plano de teste 2: extração do conteúdo do disco criptografado do SIS. O teste tem a finalidade de obter acesso físico ao disco do computador com o sistema Gedai instalado, para retirar o disco criptografado e buscar a chave no registro do Windows. Além disso, visa a inicializar o disco em uma máquina virtual para obter um dump de memória, bem como extrair a chave a partir do dump e comparar com as informações obtidas no registro para estabelecer processo de formação da chave. Busca também montar o disco cifrado e extrair os dados presentes nesse disco, além de verificar, no disco cifrado, informações sensíveis para o processo eleitoral.

– Plano de teste 3: instalação e execução de código arbitrário em uma máquina do Gedai para implante de dados falsos na urna eletrônica. Os objetivos do teste são: obter acesso físico ao computador com o Gedai instalado para fazer uma imagem completa do disco; inicializar o disco em uma máquina virtual; subverter o sistema de inicialização para viabilizar o boot sem a carga do SIS; acessar e modificar programas de criação e preparação de dados a serem gravados nas urnas eletrônicas; e criar um cartão de inicialização da urna com dados espúrios.