Abaixo, escrevo meu entendimento sobre as vulnerabilidades nos programas dos sistema eleitoral que foram comunicadas ao TSE pela Dra. Maria Cortiz
Em 16 de setembro de 2014 10:07, Amilcar Brunazo Filho < [email protected]> escreveu: > O prof. Pedro Rezende publicou, hoje, um artigo no Observatório da > Imprensa sobre a fiscalização dos programas das urnas no TSE. > > Foram encontradas vulnerabilidades nos sistemas, que foram comunicadas > pelo PDT ao presidente do TSE. > > O artigo bo prof. Pedro está em: > > http://www.observatoriodaimprensa.com.br/news/view/_ed816_fiscalizacao_dos_programas_nas_eleicoes_de_2014 > > E o texto do comunicado do PDT (conforme incluído numa apresentação do > prof. Pedro na UFBA feita ontem) pode ser visto a partir de: > http://www.cic.unb.br/~rezende/trabs/eleicoes2014/ufba2014-Cida.pdf#8 > Saudações, > > Logo mais enviarei, em texto menos técnico, o meu entendimento dos riscos > dessas vulnerabilidades > > > Eng. Amilcar Brunazo Filho > *Vulnerabilidade 1* Se refere à defesa da mídia de Ajuste de Data e Hora (ADH), que permite se alterar a hora e data de uma urna eletrônica já preparada e lacrada para votação. Apesar de toda a propaganda da autoridade eleitoral que uma vez lacrada a urna, ela só irá entrar em operação às 7h do dia da eleição, o próprio TSE prepara uma mídia (pen-drive) que quando colocada numa urna já pronta, permite ajustar a hora do relógio interno da urna de modo, por ex., a fazer a urna entrar em modo de votação bem antes da hora certa. Em outras palavras, existe uma forma de fazer qualquer urna receber votos antes do dia, viabilizando a fraude chamada de "clonagem de urnas" (que, simplificadamente, faz uma votação antes da hora, guarda os resultados, recarrega a urna para enviar para a seção eleitoral e depois troca os resultados antes da transmissão). Como esse risco é real, o TSE toma uma série de cuidados especiais com essa mídia de ADH, como: a) só é gerada em programa próprio do TSE e não nos TRE; b) tem prazo de validade (tanto de inicio do uso quando do final), etc O que foi encontrado na análise do código do programa gerador do ADH, é que chave de proteção contra o uso indevido dessa mídia possui exatamente o mesmo erro de segurança que o prof. Diego Aranha explorou nos testes de 2012, quando conseguiu quebrar o embaralhamento dos votos (RDV): o gerador de aleatoriedade é chamado com a função srand(time(null)) de "baixa entropia" (quantidade de possibilidades pequenas) obs. esse erro no embaralhamento do RDV foi corrigido depois de exposto no relatório do prof. Aranha, mas persiste o mesmo erro em outros pontos do código. Em resumo, é fácil, para quem entende, pegar uma mídia de ADH e quebrar suas defesas para conseguir usá-la a qualquer hora. Junte a isso o fato que quem terá acesso físico às urnas e às mídias de carga, de resultado e do ADH são aquelas pessoas contratadas pelos TRE para serviço temporário e cujos nomes a autoridade eleitoral não publica. Mais resumido ainda: a clonagem das urnas será possível se os partidos não souberem como se defender (e a grande maioria não sabe) *Vulnerabilidade 2* Para tentar evitar o "ataque de Princeton" (inserção de vírus nos programas das urnas para desviar votos, por meio de um cartão flash-card inserido no soquete externo da urna - http://www.youtube.com/watch?v=0AKR-Lo-700 ), o TSE comprou 400 mil novas urnas (modelos UE 2009 a 2013) com um chip de criptografia adicional que faz o acesso cifrado a uma partição (pedaço) da mídia externa, de maneira que só uma mídia corretamente cifrada poderá ser lida e executada pela urna. A vulnerabilidade é que a as chaves do ciframento e deciframento da partição protegida encontra-se gravada na própria mídia de maneira fácil de ser recuperada. Dessa forma, para quem sabe o que fazer, basta ter acesso (as mesmas pessoa citadas acima) a uma dessas mídias (uma flash-de-carga, por ex.) que se poderá obter a chave de proteção para, gravar qualquer coisa na mídia de forma que seja aceito pelo chip implantado nas urnas. Essa vulnerabilidade já tinha sido identificada em 2012 pelo prof. Diego Aranha, como ele tem descrito em suas palestras desde então (na Câmara Federal, na Unicamp, na UFSCAR, etc), mas não foi corrigida pelo TSE. Em resumo bem resumido: o ataque de Princeton continua tão possível quanto antes das novas urnas de 2009. *Vulnerabilidade 3*Para proteger seus computadores, o TSE os equipa com o sistema SIS da empresa Módulo. Mas a Módulo não fornece simples um produto de prateleira. O SIS usado pelo TSE possuiu muitas implementações exclusivas, nem todas devidamente documentadas. O que foi encontrado é um pequeno programa, denominado INSERATOR, isolado do resto do SIS (não é chamado por nenhum outro componente do sistema) que é executado a partir da digitação de um comando por um operador que conheça sua função.. Não havia nenhuma documentação explicando a função desse programa e nem os funcionários da Módulo souberam explicar o que era. Enfim, uma espécie de "comando invisível". Seu código-fonte, simples, descrevia apenas uma função de inserir (dai o nome) uma par chaves criptográficas ofuscadas por uma senha simples e constante, em qualquer base de dados que o computador tiver acesso, por ex.: no banco de chaves criptográficas válidas. O risco que se apresenta, é que além de proteger de forma fraca as chaves "ofuscadas", o comando invisível pode incluir no sistema, chaves de assinatura digital que passarão a ser aceitas pelos demais sistemas de verificação. Posteriormente, o TSE alegou que o INSERATOR era um resquício do programa usado até 2004 e que não era mais usado. Mas não explicou porque ainda está ali, disponível para uso por quem o conhece e nem porque seu resumo criptográfico (Hash) não aparece na lista de assinaturas publicadas pelo TSE. *Vulnerabilidade 4* Apesar de toda a propaganda do TSE de que suas urnas funcionam sem contato com a Internet, inviabilizando ataques a seus sistemas pela rede, o que ficou demonstrado no teste realizado durante a cerimônia no TSE é que durante a Geração da Mídias (quando os programas das urnas são gravados primeiramente na Flash-de-carga) o programa gerador (GEDAI) funciona normalmente, sem produzir nenhum alerta, e gera as mídias estando conectado a Internet. Fica, assim, perfeitamente viabilizado o ataque pela Internet aos programas que serão carregados nas urnas, nesse momento em que trafegam nos computadores ligados à rede. é isso, Amilcar -- -- __________________________________________________ O texto acima e' de inteira e exclusiva responsabilidade de seu autor, conforme identificado no campo "remetente", e nao representa necessariamente o ponto de vista do Forum do Voto-E O Forum do Voto-E visa debater a confibilidade dos sistemas eleitorais informatizados, em especial o brasileiro, e dos sistemas de assinatura digital e infraestrutura de chaves publicas. __________________________________________________ Pagina, Jornal e Forum do Voto Eletronico http://www.votoseguro.org __________________________________________________ Você recebeu esta mensagem porque está inscrito no Grupo "VotoEletronico" em Grupos do Google. Para postar neste grupo, envie um e-mail para [email protected] Para cancelar a sua inscrição neste grupo, envie um e-mail para [email protected] Para ver mais opções, visite este grupo em http://groups.google.com/group/votoeletronico?hl=pt- --- Você está recebendo esta mensagem porque se inscreveu no grupo "VotoEletronico" dos Grupos do Google. Para cancelar inscrição nesse grupo e parar de receber e-mails dele, envie um e-mail para [email protected]. Para obter mais opções, acesse https://groups.google.com/d/optout.
