Um documento publicado por uma equipe que participou dos testes da urna eletrônica brasileira em 2017 expõe as vulnerabilidades que os especialistas em segurança de informação encontraram. O professor Diego F. Aranha, da Universidade de Campinas (Unicamp), publicou em 2 de março de 2018 o documento The Return of Software Vulnerabilities in the Brazilian Voting Machine (A Volta das Vulnerabilidades de Software na Urna Eletrônica Brasileira), disponível aqui. Sua equipe conseguiu descobrir as chaves de criptografia da urna eletrônica, substituir partes do software do equipamento e mostrar que é possível a um invasor violar o sigilo e alterar votos. O documento em inglês tem 17 páginas e é voltado ao público técnico. Conta como foi o processo de Testes Públicos de Segurança realizado em 2017. A equipe, integrada pelos professores Diego Aranha, da Unicamp, Pedro Yóssis Silva Barbosa, da Universidade Federal de Campina Grande, Caio Lüders de Araújo, da Universidade Federal de Pernambuco, Paulo Matias, da Universidade Federal de São Carlos e por Thiago Nunes Coelho Cardoso, da empresa Hekima, inspecionou o código fonte do sistema de votação e teve cinco dias, de 27 de novembro a 1º de dezembro, das 9h às 18h, para realizar testes de segurança nas urnas eletrônicas.
O que eles conseguiram fazer?
1) Observaram que a chave de criptografia que protege os cartões de memória que instalam o software estava armazenada de maneira insegura e é a mesma para todas as urnas do país. Conseguiram descobrir essa chave.
2) Descobriram duas bibliotecas de software cuja integridade não estava protegida por assinatura digital. Assim, é possível alterar essas bibliotecas para injetar código arbitrário e modificar os programas que utilizam essas bibliotecas.
3) Explorando a vulnerabilidade dessas bibliotecas, conseguiram quebrar o sigilo de votos escolhidos, fazer com que a urna aceitasse comandos de um teclado comum e manipular os logs de votação. Se tivessem mais tempo, poderiam ter ampliado o procedimento de quebra de sigilo para todos os votos.
4) Explorando a mesma vulnerabilidade, conseguiram alterar o texto mostrado ao eleitor, criando propaganda para um candidato. Tentaram alterar o resultado da votação e só não conseguiram por falta de tempo. Um invasor real não teria as limitações de tempo dos Testes Públicos de Segurança.
O documento termina assim (a tradução é minha):
“Concluímos declarando que o software da urna eletrônica brasileira ainda não satisfaz os requisitos mínimos de segurança e transparência e está muito distante da maturidade esperada para um sistema de missão crítica de 20 anos. Recomendamos que o TSE revise cuidadosamente suas práticas de desenvolvimento e considere a adoção no sistema do registro em papel verificado pelo eleitor para prover garantias mais fortes do seu correto funcionamento no dia da eleição. Esperamos que nossas descobertas contribuam para o debate em curso no Brasil sobre a adoção do registro impresso como uma maneira de melhorar a segurança e a transparência do sistema de votação.”
O professor Diego Aranha participou de Testes Públicos de Segurança em anos anteriores, tendo quebrado o sigilo dos votos em 2012.
Nenhum comentário:
Postar um comentário