MAIS DESENVOLVIMENTO

Investigadores preparam ataque no 1º dia da fase de confirmação de teste nas urnas

O primeiro dia do Teste de Confirmação do Teste Público de Segurança (TPS) 2019 do Sistema Eletrônico de Votação começou com a preparação dos elementos que serão novamente testados. O intuito do evento é verificar se os ajustes implementados no sistema – a partir dos testes bem-sucedidos executados em novembro do ano passado – sanaram as vulnerabilidades detectadas.

Nesta quarta-feira (26), o grupo de investigadores da Polícia Federal capturou as informações do Subsistema de Instalação e Segurança (SIS) para recuperar seus dados e, assim, instalá-lo em outro equipamento. Dessa maneira, eles criaram um clone do disco rígido de uma estação de trabalho com o SIS. Também começaram a inspecionar os códigos-fonte do SIS, para conseguirem reproduzi-lo e, então, realizar o ataque.

Como o processo de conversão desse clone para um formato que possa ser executado como máquina virtual demora muito tempo, os investigadores decidiram continuar o trabalho nesta quinta-feira (27).

Teste de Confirmação

O grupo de peritos da PF, liderado por Paulo Cesar Hermann Wanner, conta com Ivo Peixinho e Galileu Batista de Souza. Eles foram convidados a retornar ao Tribunal para checar, presencialmente, se as melhorias implementadas pela Secretaria de Tecnologia da Informação (STI) do TSE a partir do relatório final do TPS 2019 – divulgado em dezembro passado – de fato corrigiram as fragilidades detectadas por eles na versão 2020 do sistema eletrônico de votação.

Os trabalhos ocorrem em ambiente específico, no 3º andar do edifício-sede do Tribunal, e respeitam todas as regras de distanciamento social adotadas pela Justiça Eleitoral para prevenir o contágio pelo novo coronavírus.

Na sexta-feira (28), a partir das 17h, o presidente do TSE e técnicos do Tribunal farão o anúncio do encerramento do evento. Em seguida, será realizada entrevista coletiva on-line para responder aos questionamentos dos jornalistas credenciados previamente. A cerimônia final também será transmitida pelo canal do TSE no YouTube.

Para se credenciar, os jornalistas interessados em participar da coletiva devem enviar um e-mail para imprensa@tse.jus.br, informando o nome completo, o veículo em que trabalha e o número de telefone com WhatsApp.

TPS

Criado para aprimorar o processo eletrônico de votação, o TPS é um evento permanente do calendário da Justiça Eleitoral, de acordo com a Resolução nº 23.444/2015. Ele ocorre preferencialmente no ano anterior às eleições.

Ao todo, o TPS 2019 contou com 22 investigadores, sendo cinco grupos e três investigadores individuais. Dos 13 planos de ataque apresentados, dois deles – conduzidos pelo Grupo 5, composto pelos peritos da PF Paulo Cesar Hermann Wanner, Ivo Peixinho e Galileu Batista de Souza – alcançaram êxito.

Os três planos que eles apresentaram consistiram na extração de dados e configurações do Kit JE Connect; na extração do conteúdo do disco criptografado do Subsistema de Instalação e Segurança (SIS); e na instalação e execução de código arbitrário em uma máquina do Gerenciador de Dados, Aplicativos e Interface com a Urna Eletrônica (Gedai) para implante de dados falsos na urna eletrônica.

O Grupo 5 utilizou a chamada engenharia reversa para alcançar êxito e obter a chave do disco criptografado do SIS. Para a execução dos testes, o TSE relaxou algumas barreiras de segurança, além de ter fornecido a senha de configuração e senhas de usuários locais, o que permite definir os ataques realizados como de origem interna.

A Comissão Avaliadora do TPS explicou em seu relatório que a equipe – que já atuou em teste anteriores e conhecia com profundidade o sistema a ser atacado – conseguiu executar o Gedai-UE num computador com SIS sem as proteções oferecidas pelo Subsistema.

Contudo, eles não conseguiram alterar dados de eleitores e de candidatos, pois essas informações são assinadas pelos sistemas responsáveis pelo cadastro de eleitores e pelos registros de candidaturas, respectivamente. Por sua vez, o Gedai-UE apenas repassa esses arquivos para a urna, sem qualquer tipo de modificação. Assim, todas as tentativas de manipulação de dados de eleitores ou candidatos foram prontamente identificadas pela urna.

RG/LC

Veja também