Clicky

SEGURANÇA

TSE convoca peritos da Polícia Federal por segurança na urna eletrônica

Convergência Digital* ... 26/08/2020 ... Convergência Digital

Nesta quarta-feira, 26/8, o Tribunal Superior Eleitoral deu início ao que chamou de Teste de Confirmação do Teste Público de Segurança do Sistema Eletrônico de Votação (TPS) 2019.Trata-se de formalizar correções nas falhas de segurança exploradas pela equipe bem sucedida nos testes realizados no ano passado. 

Na quinta edição dos testes realizados pelo TSE, o grupo que reunia peritos da Polícia Federal teve sucesso em dois ataques, do total de 13 tentativas em oito grupos que participaram. O 'teste de confirmação do teste' envolve em convocar os peritos da PF para verificar se as fragilidades encontradas foram corrigidas. 

O grupo de peritos da PF, formado por Paulo Cesar Hermann Wanner, Ivo Peixinho e Galileu Batista de Souza, realizou três planos de teste, que consistiram na extração de dados e configurações do Kit JE Connect; na extração do conteúdo do disco criptografado do Subsistema de Instalação e Segurança (SIS); e na instalação e execução de código arbitrário em uma máquina do Gerenciador de Dados, Aplicativos e Interface com a Urna Eletrônica (Gedai) para implante de dados falsos no equipamento.

Os investigadores do grupo utilizaram a chamada engenharia reversa para alcançar êxito e obter a chave do disco criptografado do SIS. É importante destacar que houve o relaxamento de algumas barreiras de segurança, bem como o fornecimento da senha de configuração e de senhas de usuários locais, o que permite definir os ataques realizados como de origem interna.

Segundo o relatório da Comissão Avaliadora do TPS 2019, a equipe conseguiu executar o Gedai-UE num computador com SIS sem as proteções oferecidas pelo Subsistema. O relatório também destacou que a mesma equipe já atuou em eventos anteriores do TPS e conhecia com profundidade o sistema a ser atacado, o que contribuiu para o sucesso dos testes.

No entanto, eles não foram capazes de alterar dados de eleitores e de candidatos. Isso porque essas informações são assinadas pelos sistemas responsáveis pelo cadastro de eleitores e pelos registros de candidaturas, respectivamente. O Gedai-UE apenas repassa esses arquivos para a urna, sem qualquer tipo de modificação. Todas as tentativas de manipulação de dados de eleitores ou candidatos foram prontamente identificadas pela urna.

De acordo o chefe da Seção de Voto Informatizado (Sevin) do TSE, Rodrigo Coimbra, as alterações realizadas se limitaram ao nome do município e à unidade da Federação num arquivo de configuração gerado pelo Gedai-UE. Porém, tais informações, segundo ele, são impressas na zerésima e no Boletim de Urna (BU) apenas para controle dos próprios técnicos e da fiscalização antes e após a votação.

Além disso, de acordo o analista, as informações também são exibidas na tela da urna, assim que ela é preparada para a eleição. “Em qualquer cenário, faz parte das rotinas de verificação da preparação da urna para a eleição a conferência desses dados. Portanto, qualquer modificação nesses dados seria rapidamente identificada, fazendo com que essa urna não fosse levada para a eleição. Ou seja, o grupo não foi capaz de alterar nada que afete o registro e a apuração dos votos”, explica Coimbra.

* Com informações do TSE


ANPD divulga tira-dúvidas sobre Conselho e cria canal de comunicação

Órgão esclarece ser ampla a definição das organizações que compõem o colégio eleitoral de seu braço multissetorial e divulga email para questões sobre o Conselho Nacional de Proteção de Dados Pessoais e da Privacidade. 

Procon/SP quer inquérito judicial contra fuivazado.com.br

O site fuivazado.com.br alega ter acesso a mais de 223 milhões de CPFs e 40 milhões de CNPJs registrados em listas ilegais de Internet.

Idec cobra Banco Central envolvido na investigação do megavazemento de dados

Para organização, é urgente uma ação interinstitucional entre ANPD, Senacon, Polícia Federal, Ministério Públicoc Federal e Congresso Nacional para a investigação e mitigação dos danos aos consumidores. Inclusão do Banco Central está ligada à suspeita da participação de empresas de risco de crédito. Foram vazados dados de mais de 220 milhões de brasileiros.

Com LGPD, Oi Soluções lança antivírus com inteligência artificial e machine learning

Endpoint Security detection and response bloqueia ameaças em tempo real e permite a rastreabilidade dos acessos à rede.



  • Copyright © 2005-2021 Convergência Digital
  • Todos os direitos reservados
  • É proibida a reprodução total ou
    parcial do conteúdo deste site
    sem a autorização dos editores
  • Publique!
  • Convergência Digital
  • Cobertura em vídeo do Convergência Digital
  • Carreira
  • Cloud Computing
  • Internet Móvel 3G 4G