SEGURANÇA

TSE convoca peritos da Polícia Federal por segurança na urna eletrônica

Convergência Digital* ... 26/08/2020 ... Convergência Digital

Nesta quarta-feira, 26/8, o Tribunal Superior Eleitoral deu início ao que chamou de Teste de Confirmação do Teste Público de Segurança do Sistema Eletrônico de Votação (TPS) 2019.Trata-se de formalizar correções nas falhas de segurança exploradas pela equipe bem sucedida nos testes realizados no ano passado. 

Na quinta edição dos testes realizados pelo TSE, o grupo que reunia peritos da Polícia Federal teve sucesso em dois ataques, do total de 13 tentativas em oito grupos que participaram. O 'teste de confirmação do teste' envolve em convocar os peritos da PF para verificar se as fragilidades encontradas foram corrigidas. 

O grupo de peritos da PF, formado por Paulo Cesar Hermann Wanner, Ivo Peixinho e Galileu Batista de Souza, realizou três planos de teste, que consistiram na extração de dados e configurações do Kit JE Connect; na extração do conteúdo do disco criptografado do Subsistema de Instalação e Segurança (SIS); e na instalação e execução de código arbitrário em uma máquina do Gerenciador de Dados, Aplicativos e Interface com a Urna Eletrônica (Gedai) para implante de dados falsos no equipamento.

Os investigadores do grupo utilizaram a chamada engenharia reversa para alcançar êxito e obter a chave do disco criptografado do SIS. É importante destacar que houve o relaxamento de algumas barreiras de segurança, bem como o fornecimento da senha de configuração e de senhas de usuários locais, o que permite definir os ataques realizados como de origem interna.

Segundo o relatório da Comissão Avaliadora do TPS 2019, a equipe conseguiu executar o Gedai-UE num computador com SIS sem as proteções oferecidas pelo Subsistema. O relatório também destacou que a mesma equipe já atuou em eventos anteriores do TPS e conhecia com profundidade o sistema a ser atacado, o que contribuiu para o sucesso dos testes.

No entanto, eles não foram capazes de alterar dados de eleitores e de candidatos. Isso porque essas informações são assinadas pelos sistemas responsáveis pelo cadastro de eleitores e pelos registros de candidaturas, respectivamente. O Gedai-UE apenas repassa esses arquivos para a urna, sem qualquer tipo de modificação. Todas as tentativas de manipulação de dados de eleitores ou candidatos foram prontamente identificadas pela urna.

De acordo o chefe da Seção de Voto Informatizado (Sevin) do TSE, Rodrigo Coimbra, as alterações realizadas se limitaram ao nome do município e à unidade da Federação num arquivo de configuração gerado pelo Gedai-UE. Porém, tais informações, segundo ele, são impressas na zerésima e no Boletim de Urna (BU) apenas para controle dos próprios técnicos e da fiscalização antes e após a votação.

Além disso, de acordo o analista, as informações também são exibidas na tela da urna, assim que ela é preparada para a eleição. “Em qualquer cenário, faz parte das rotinas de verificação da preparação da urna para a eleição a conferência desses dados. Portanto, qualquer modificação nesses dados seria rapidamente identificada, fazendo com que essa urna não fosse levada para a eleição. Ou seja, o grupo não foi capaz de alterar nada que afete o registro e a apuração dos votos”, explica Coimbra.

* Com informações do TSE


Zoom é isca em 99% dos ataques com ferramentas de ensino online

Segundo levantamento das empresas de segurança Kaspersky, em todo o mundo invasões desse tipo cresceram 20.000%. Brasil é o quinto país mais atacado. 

Ataques de phising crescem 600% na AL. Netflix é o alvo dos hackers

Campanha em nome da OTT se distribui por meio de um e-mail com o assunto "Alerta de notificação". A mensagem informa sobre uma suposta dívida acumulada em nome da vítima que pode levar à suspensão do serviço caso não sejam tomadas medidas rápidas.

Brasil sofreu mais de 2,6 bilhões de ataques cibernéticos no 1º semestre

Configuração incorreta de servidores é o principal responsável pela maior parte das tentativas de invasão, reporta estudo da Fortinet. Cai o número de tentativas de golpes usando a Covid-19.

Prejuízo médio com violação de dados sobe para R$ 5,8 milhões no Brasil

Estudo da IBM mostra que o aumento no valor foi de 10,5% em relação a 2019. O levantamento traz uma advertência: aumentou o prazo para contenção do vazamento nas empresas para 115 dias. Credenciais roubadas ou nuvens com configurações incorretas foram as brechas para as invasões.



  • Copyright © 2005-2020 Convergência Digital
  • Todos os direitos reservados
  • É proibida a reprodução total ou
    parcial do conteúdo deste site
    sem a autorização dos editores
  • Publique!
  • Convergência Digital
  • Cobertura em vídeo do Convergência Digital
  • Carreira
  • Cloud Computing
  • Internet Móvel 3G 4G