Vulnerabilidades das urnas eletrônicas

Share Button

O Prof. Pedro Rezende (do Departamento de Ciência de Computação da UnB) publicou um artigo no site Observatório da Imprensa apresentando os resultados da fiscalização dos programas que serão utilizados nas urnas eletrônicas do TSE. E, como já podíamos esperar, foram encontradas uma série de vulnerabilidades, as quais foram formalmente comunicadas ao presidente do TSE, Dias Tóffoli.

O texto do comunicado (conforme incluído em uma apresentação do Prof. Pedro na UFBA, realizada em 15/09) pode ser lido integralmente aqui.

Vulnerabilidades

Confira a seguir os principais riscos dessas vulnerabilidades:

1- Clonagem de Urnas

Foram detectadas vulnerabilidades nos programas de Ajuste de Data e Hora (conhecido pela sigla: ADH), que permitem a alteração de hora e data de uma urna eletrônica já preparada e lacrada para votação.

Apesar de toda a propaganda da autoridade eleitoral de que, uma vez lacrada, a urna só irá entrar em operação às 7h da manhã no dia da eleição, o próprio TSE prepara um pen-drive que, quando colocado em uma urna já pronta, permite ajustar a hora do relógio interno desta urna e, por exemplo, fazer com que ela entre em modo de votação bem antes da hora certa.

Em outras palavras, é possível realizar fraudes de forma que qualquer urna possa receber votos antes do dia, viabilizando a fraude conhecida como "Clonagem de Urnas" (que, simplificadamente, realiza uma votação antes da hora, guarda os seus resultados, recarrega a urna para enviar para a seção eleitoral e depois troca os resultados antes da transmissão).

Como esse risco é real, o próprio TSE toma uma série de cuidados especiais com esse pen-drive de ADH, como:

a) geração em programa próprio do TSE, e não nos TRE;
b) definição de um prazo de validade (tanto de inicio do uso quando do final).

O que foi encontrado na análise do código do programa gerador do ADH, é que a chave de proteção contra o uso indevido dessa mídia possui exatamente o mesmo erro de segurança que o Prof. Diego Aranha (da Unicamp) explorou nos testes de 2012, quando conseguiu quebrar o embaralhamento dos votos (conhecido como RDV), permitindo assim, desvendar o sigilo do voto.

Vale ressaltar que o erro no embaralhamento do RDV foi corrigido (depois de exposto no relatório do prof. Aranha), porém, este mesmo erro persiste em outros pontos do código.

Portanto, é fácil, para quem entende, pegar uma mídia de ADH e quebrar suas defesas para conseguir usá-la a qualquer hora.

E, para piorar, quem terá acesso físico às urnas e às mídias são aquelas pessoas contratadas pelos TREs (Tribunal Regional Eleitoral) para serviço temporário e cujos nomes não são divulgados pela justiça. Ou seja, se existir algum indivíduo mal intencionado no quadro de funcionários temporários, será muito mais difícil de se descobrir.

Resumo: a clonagem das urnas será possível se os partidos não souberem como se defender (e a grande maioria não sabe)

2 - Chave de Segurança Guardada Embaixo do Tapete

Para tentar evitar o "Ataque de Princeton" (que é a inserção de vírus nos programas das urnas para desviar votos, por meio de um cartão flash-card inserido no soquete externo da urna - conforme demonstrado no vídeo a seguir), o TSE comprou 400 mil novas urnas (modelos UE 2009 a 2013) com um chip de criptografia adicional que faz o acesso cifrado a uma partição (pedaço) da mídia externa, de maneira que só uma mídia corretamente cifrada poderá ser lida e executada pela urna.

A vulnerabilidade está no fato que as chaves do ciframento e deciframento da partição protegida encontram-se gravadas na própria mídia, de maneira fácil de ser recuperada por qualquer especialista.

Dessa forma, bastaria ter acesso a uma dessas mídias (e.g. flash-de-carga) que seria possível obter a chave de proteção para gravar qualquer coisa na mídia, de forma que seja aceito pelo chip implantado nas urnas. Essa vulnerabilidade já havia sido identificada, em 2012, pelo prof. Diego Aranha, mas até hoje não foi corrigida pelo TSE.

Resumo: o Ataque de Princeton continua tão possível quanto antes.

3 - Comando Invisível

Para proteger seus computadores, o TSE os equipa com o sistema SIS (da empresa Módulo).

Mas a Módulo não fornece um simples produto de prateleira. O SIS, usado pelo TSE, possuiu muitas implementações exclusivas, nem todas devidamente documentadas.

O que foi encontrado é um pequeno programa, denominado INSERATOR (ou INSERIDOR, em português), isolado do resto do SIS (ou seja, não é chamado por nenhum outro componente do sistema), que é executado a partir da digitação de um comando por um operador que conheça sua função.

Não havia nenhuma documentação explicando a função desse programa e nem os funcionários da empresa Módulo souberam explicar o que era. Enfim, trata-se de uma espécie de "comando invisível", accessível apenas para aqueles que sabem de sua existência.

Seu código-fonte, simples, descrevia apenas uma função de inserir um par de chaves criptográficas ofuscadas por uma senha simples e constante, em qualquer base de dados que o computador tiver acesso, por ex.: no banco de chaves criptográficas válidas.

Posteriormente, o TSE alegou que o INSERATOR era um resquício do programa usado até 2004 e que não era mais usado. Mas não explicou porque ainda está ali, disponível para uso por quem o conhece, e nem porque seu resumo criptográfico (Hash) não aparece na lista de assinaturas publicadas pelo TSE.

Resumo: o risco que se apresenta é que, além de proteger de forma fraca as chaves "ofuscadas", o comando invisível pode incluir no sistema chaves de assinatura digital que passarão a ser aceitas pelos demais sistemas de verificação.

4 - Ataque pela Internet

Apesar de toda a propaganda do TSE de que suas urnas funcionam sem contato com a Internet, inviabilizando ataques a seus sistemas pela rede, o que ficou demonstrado no teste realizado durante a cerimônia no TSE é que, durante a Geração da Mídias (quando os programas das urnas são gravados primeiramente na Flash-de-carga), o programa gerador (conhecido como GEDAI) funciona normalmente, sem produzir nenhum alerta, e gera as mídias que serão utilizadas nas urnas enquanto está conectada a Internet.

Resumo: fica, assim, perfeitamente viabilizado o ataque pela Internet aos programas que serão carregados nas urnas, já que nesse momento estão trafegando por computadores ligados à rede.

Sem mais...

Por favor, o último que sair, dê a descarga ;-)

Otário Anonymous

Doacao2

27 comentários

  1. é o fim da picada …

  2. tse: num f*** p****!

  3. E depois ainda querem que eu vote!

  4. Já já aparece um trouxão pau mandado do TSE, TRE dizendo que é impossível violar as urnas eletrônicas. Tô com uma vontade de vazar do Brasil assim que for possível. Esse país não tem jeito mesmo.

  5. E olha que tem comercial do TSE passando na TV aberta dizendo que a urna eletrónica é “segurança máxima” , na cara de pau.
    Vai entender…..
    Mostra no cormecial uma pessoa se passando por um “voto” e por animação gráfica mostra cofres se fechando…….. quanto que custa um comercial desse ? com esse dinheiro não sa para investir na segurança da urna ? ¬¬
    Valeu TSE pelo “excelente desempenho”

  6. Será que ainda adianta votar?

  7. Nunca ira ter um sistema 100% Seguro, não importa,
    Voçe sabe em quem votou, a urna computou o voto, mas o desenvolvedor escolhe a quem contabilizar.

  8. Vô ali estudar o INSERATOR e já volto…..

  9. óbvio que não existe sistema 100% seguro. O sistema com papéis era muito mais fácil de ser fraudado. Imaginem pessoas contando votos manualmente…. COMO ISSO ERA CONSIDERADO SEGURO????

    • Simples, como o papel não podia ser simplesmente jogado fora podia se contar quantas vezes quisesse. Por isso que tanto se pede a impressão do voto. Assim com a urna eletrônica se conta rapidamente, em caso de dúvida pode se conferir a urna com o papel e a pessoa ainda recebe um ticket de quem ele votou.

  10. Para quem é leigo e não consegue entender a fragilidade, é só pensarem que Lula ganhou 2 vezes e Dilma 1.

  11. ARTHUR DE ALMEIDA FERREIRA

    E agora , como ficamos, vamos votar sem saber para onde vai o nosso voto? Com quem reclamar? Quando será dado um fim a essa bagunça?

  12. Seria bom se algum hacker invadisse essas urna e botasse um candidato quer não exista ( tipo GOKU, BOB MARLEY, OSAMA BIN LADEN, OTARIO ,etc…) para ganhar nem que seja um voto!! Só para prova que as urnas é um lixo!!!

  13. Demôniocracia !

  14. The Noite (19/08/14) – Entrevista com Diego Aranha …

    ► 16:23► 16:23
    http://www.youtube.com/watch?v=xATaNCsre9Q
    20/08/2014 – Vídeo enviado por The Noite com Danilo Gentili

    Danilo recebe o professor da Unicamp Diego Aranha, que descobriu falhas na urna eletrônica. Assista …

  15. Puxa.. quanto MI MI MI… tudo teoria e mais teorias… Por que será que isso nunca foi provado, heim… Nossaaaaa.. Que legaaaallll… os computadores com GEDAI ficam conectados na Internet.. Ohh… SQN…

    • Me diga então porque NENHUM dos 50 países que testaram essas urnas brasileiras se utilizam delas ?? E o mais interessante ´q que foi unanime a critica à falta de segurança dessas urnas! O próprio EUA disse que é mais fácil fraudar essas urnas eletrônicas do que fraudar uma votação em papel.

  16. Primeiramente qualquer computador no mundo pode ser invadido sem estar conectado a internet, usando sinais de rádio tanto que a NSA fez isso para espionar muita gente. com as urnas seria um alvo fácil se eles quiserem bota pra lasca.

  17. KKKKKKK, se você acha que existem vulnerabilidades, explore então, duvido você fazer isso, falar é fácil demais.

Assinantes do site tem descontos especiais na loja! Bronze (5%), Prata (10%), Ouro (20%) e VIP (30%)! Saiba mais, clique aqui - Dispensar