SEGURANÇA

Equipe de peritos da PF quebra segurança da urna eletrônica

Luís Osvaldo Grossmann* ... 02/12/2019 ... Convergência Digital

Dois dos 13 planos de ataque ao sistema de votação obtiveram êxito, informou o Tribunal Superior Eleitoral ao final da semana de testes públicos de segurança na urna eletrônica. Como de praxe, o TSE garante que o sucesso dos ataques não comprometeu o sigilo do voto ou a segurança do processo eleitoral. 

“A partir de agora, o TSE trabalhará para sanar a vulnerabilidade identificada a tempo das Eleições Municipais de 2020”, avisou o Tribunal, em nota. Os ataques bem sucedidos foram realizados pela equipe de peritos criminais da Polícia Federal, Paulo César Wanner, Ivo Peixinho e Galileu Batista de Sousa. 

“É o momento de abertura dos sistemas de segurança ao olhar externo da comunidade científica, dos estudantes, dos partidos políticos, dos cidadãos como um todo. Um chamado para que atuem como hackers e tragam seus planos de testes, com estratégias de ataque às urnas, a fim de identificar possíveis e eventuais vulnerabilidades e falhas relacionadas à violação da integridade ou do anonimato do voto nas eleições”, afirmou a presidente do TSE, Rosa Weber.

Segundo o diretor de TI do TSE, Giuseppe Janino, os sucessos nos teste contribuem para a melhoria dos processos envolvidos no sistema eletrônico de votação. “Os investigadores são nossos parceiros, na medida em que tenham um olhar mais preciso e diferenciado para achar pontos de fragilidade”, disse. Ele adiantou agora vem a etapa de correção das vulnerabilidades apontadas. 

No ano que vem, os investigadores do Grupo 5, dos peritos da PF, serão convidados a retornar ao TSE para verificar a efetividade dos reforços de segurança que serão implementados. Os testes realizados por eles na urna eletrônica foram os seguintes: 

1) extração de dados e configurações do kit JE Connect. A ideia é obter senhas e configuração da VPN a partir de uma mídia do JE Connect. A partir dos dados obtidos, tentar se conectar diretamente à rede do TSE. Verificar também existência de vulnerabilidades no RecArquivos, utilizando técnicas de fuzzing. Por fim, verificar a possibilidade de acesso direto ao banco de dados e às suas rotinas; 

2) extração do conteúdo do disco criptografado do SIS. O teste tem a finalidade de obter acesso físico ao disco do computador com o sistema Gedai instalado, para retirar o disco criptografado e buscar a chave no registro do Windows. Além disso, visa a inicializar o disco em uma máquina virtual para obter um dump de memória, bem como extrair a chave a partir do dump e comparar com as informações obtidas no registro para estabelecer processo de formação da chave. Busca também montar o disco cifrado e extrair os dados presentes nesse disco, além de verificar, no disco cifrado, informações sensíveis para o processo eleitoral; 

3) instalação e execução de código arbitrário em uma máquina do Gedai para implante de dados falsos na urna eletrônica. Os objetivos do teste são: obter acesso físico ao computador com o Gedai instalado para fazer uma imagem completa do disco; inicializar o disco em uma máquina virtual; subverter o sistema de inicialização para viabilizar o boot sem a carga do SIS; acessar e modificar programas de criação e preparação de dados a serem gravados nas urnas eletrônicas; e criar um cartão de inicialização da urna com dados espúrios.

* Com informações do TSE


NEC - Conteúdo Patrocinado - Convergência Digital
Multibiometria: saiba como ela pode cuidar da sua segurança digital

Plataforma Super Resolution, que integra espaços físicos e digitais, será apresentada pela primeira vez no Brasil no Futurecom 2018. Um dos usuários da solução é o OCBC Bank, de Cingapura. A plataforma permite o reconhecimento instantâneo das pessoas à medida que se aproximem da agência.

Cyberseason se alia à NEC e diz que LGPD vai mudar a cibersegurança no Brasil

"O hacker brasileiro é único. Ele não quer atacar fora da fronteira. Ele ataca internamente. É um comportamento diferente", afirmou o co-fundador e CEO da Cyberseason, Lior Div. O 5G também trará mudanças relevantes.

Dispositivos conectados: fabricantes precisam ter regras para cumprir no País

“Há necessidade de atenção, porque é mais interessante, no lugar da atualização do sistema, lançar um novo produto”, alerta o assessor do CTIR/GOV, Democlydes Carvalho.

Exploit 'dia zero' é descoberta no Windows

O exploit, adverte a Kaspersky, faz parte de uma campanha maliciosa avançada que burlava a proteção do Google Chrome.

Lei de Dados Pessoais vai acelerar digitalização dos negócios

“Setores ainda analógicos podem migrar para a internet onde a segurança dos dados já é matéria-prima”, diz o presidente da Abranet, Eduardo Neger. 



  • Copyright © 2005-2019 Convergência Digital
  • Todos os direitos reservados
  • É proibida a reprodução total ou
    parcial do conteúdo deste site
    sem a autorização dos editores
  • Publique!
  • Convergência Digital
  • Cobertura em vídeo do Convergência Digital
  • Carreira
  • Cloud Computing
  • Internet Móvel 3G 4G