1134 – Quem quer saber de urna segura?

.

D. Brunazo de La Urna

Para o Saci, no meio do caminho tinha uma urna, tinha uma urna no meio do caminho, sacralizada pelo TRE.

Menandro Ramos
FACED/UFBA

.

N.

.

inguém pode dizer que a UFBA ficou indiferente à segurança da urna eletrônica. Já faz algum tempo que o Prof. Francisco Santana levantou a lebre, através da lista de debates da APUB, antes de a mesma ser extinta pelos seus dirigentes proificistas. Salvo engano, o Prof. Joviniano Neto, dos quadros da diretoria na época, deu um “chega pra lá” nas pretensões do Prof. Chico em trazer a discussão acerca da segurança do voto eletrônico. Mais uma para a conta da diretoria governista da APUB.

Também o Prof. Nelson Pretto, por duas vezes, já discutiu sobre a urna eletrônica na disciplina “Polêmicas Contemporâneas” minstrada por ele na FACED. A primeira vez foi no anos passado e a segunda, no última dia 15 de setembro.

Pela relevância do tema, achei que foi baixo o comparecimento. Fazer o quê?

De qualquer forma, o evento foi muito bom, contando com a presença de palestrantes ligados ao tema em níveis de envolvimento diferente. Inclusive participou, por videoconferência, o Eng. Amilcar Brunazo, que já se notabilizou nacionalmente por levantar a bandeira, entre outros,  da segurança da urna eletrônica. Segundo ele “O maior problema do sistema eleitoral é o acúmulo de poder da Justiça Eleitoral “.

No final da discussão, pessoas da plateia manifestaram-se perplexas com a complexidade do tema e, ao mesmo tempo, surpresas  pela indiferença da sociedade como um todo e dos partidos políticos em não exigirem um cuidado maior de quem de direito para tratar de algo que é fundamental para a democracia. É como pontuou o Prof. Francisco Santana: “Sem urnas confiáveis, tem-se apenas uma ditadura tecnológica”.

Conclui-se, então, quem tem o controle da “máquina” em hipótese alguma vai questionar a segurança da mesma. Muito pelo contrário: em time que está ganhando não se deve mexer.

Brevemente estaremos disponibilizando os vídeos com as falas dos palestrantes. Ouça o áudio pela Rádio FACED (AQUI).

 

Este slideshow necessita de JavaScript.

Circulou nas listas da UFBA uma mensagem enviada pelo Eng. Brunazo:

 

Abaixo, escrevo meu entendimento sobre as vulnerabilidades nos programas dos sistema eleitoral que foram comunicadas ao TSE pela Dra. Maria Cortiz

—————————————————-

Em 16 de setembro de 2014 10:07, Amilcar Brunazo Filho <amilcar@brunazo.eng.br> escreveu:

—————————————————-

O prof. Pedro Rezende publicou, hoje, um artigo no Observatório da Imprensa sobre a fiscalização dos programas das urnas no TSE.

Foram encontradas vulnerabilidades nos sistemas, que foram comunicadas pelo PDT ao presidente do TSE.

O artigo bo prof. Pedro está AQUI.

E o texto do comunicado do PDT (conforme incluído numa apresentação do prof. Pedro na UFBA feita ontem) pode ser visto AQUI.a partir de:

Saudações,

​Logo mais enviarei, em texto menos técnico, o meu entendimento dos riscos dessas vulnerabilidades​
Eng. Amilcar Brunazo Filho

 

 

​Vulnerabilidade 1
Se refere à defesa da mídia de Ajuste de Data e Hora (ADH), que permite se alterar a hora e data de uma urna eletrônica já preparada e lacrada para votação.

Apesar de toda a propaganda da autoridade eleitoral que uma vez lacrada a urna, ela só irá entrar em operação às 7h do dia da eleição, o próprio TSE prepara uma mídia (pen-drive) que quando colocada numa urna já pronta, permite ajustar a hora do relógio interno da urna de modo, por ex., a fazer a urna entrar em modo de votação bem antes da hora certa.

Em outras palavras, existe uma forma de fazer qualquer urna receber votos antes do dia, viabilizando a fraude chamada de “clonagem de urnas” (que, simplificadamente, faz uma votação antes da hora, guarda os resultados, recarrega a urna para enviar para a seção eleitoral e depois troca os resultados antes da transmissão).

Como esse risco é real, o TSE toma uma série de cuidados especiais com essa mídia de ADH, como: a) só é gerada em programa próprio do TSE  e não nos TRE; b) tem prazo de validade (tanto de inicio do uso quando do final), etc

O que foi encontrado  na análise do código do programa gerador do ADH, é que chave de proteção contra o uso indevido dessa mídia possui exatamente o mesmo erro de segurança que o prof. Diego Aranha explorou nos testes de 2012, quando conseguiu quebrar o embaralhamento dos votos (RDV): o gerador de aleatoriedade é chamado com a função srand(time(null)) de “baixa entropia” (quantidade de possibilidades pequenas)

obs. esse erro no embaralhamento do RDV foi corrigido depois de exposto no relatório do prof. Aranha, mas persiste o mesmo erro em outros pontos do código.

Em resumo, é fácil, para quem entende, pegar uma mídia de ADH  e quebrar suas defesas para conseguir usá-la a qualquer hora.

Junte a isso o fato que quem terá acesso físico às urnas e às mídias de carga, de resultado e do ADH são aquelas pessoas contratadas pelos TRE para serviço temporário e cujos nomes a autoridade eleitoral não publica.

Mais resumido ainda: a clonagem das urnas será possível se os partidos não souberem como se defender (e a grande maioria não sabe)

 

Vulnerabilidade 2

Para  tentar evitar o “ataque de Princeton” (inserção de vírus nos programas das urnas para desviar votos, por meio de um cartão flash-card inserido no soquete externo da urna – http://www.youtube.com/watch?v=0AKR-Lo-700 ), o TSE comprou 400 mil novas urnas (modelos UE 2009 a 2013) com um chip de criptografia adicional que faz o acesso cifrado a uma partição (pedaço) da mídia externa, de maneira que só uma mídia corretamente cifrada poderá ser lida e executada pela urna.

A vulnerabilidade é que a as chaves do ciframento e deciframento da partição protegida encontra-se gravada na própria mídia de maneira fácil de ser recuperada.

Dessa forma, para quem sabe o que fazer, basta ter acesso (as mesmas pessoa citadas acima) a uma dessas mídias (uma flash-de-carga, por ex.) que se poderá obter a chave de proteção para, gravar qualquer coisa na mídia de forma que seja aceito pelo chip implantado nas urnas.

Essa vulnerabilidade já tinha sido identificada em 2012 pelo prof. Diego Aranha, como ele tem descrito em suas palestras desde então (na Câmara Federal, na Unicamp, na UFSCAR, etc), mas não foi corrigida pelo TSE.
Em resumo bem resumido: o ataque de Princeton continua tão possível quanto antes das novas urnas de 2009.

Vulnerabilidade 3
Para proteger seus computadores, o TSE os equipa com o sistema SIS da empresa Módulo.

Mas a Módulo não fornece  simples um produto de prateleira.  O SIS usado pelo TSE possuiu muitas implementações exclusivas, nem todas devidamente documentadas.

O que foi encontrado é um pequeno programa, denominado INSERATOR, isolado do resto do SIS (não é chamado por nenhum outro componente do sistema) que é executado a partir da digitação de um comando por um operador que conheça sua função..

Não havia nenhuma documentação explicando a função desse programa e nem os funcionários da Módulo souberam explicar o que era. Enfim, uma espécie de “comando invisível”.

Seu código-fonte, simples, descrevia apenas uma função de inserir (dai o nome) uma par chaves criptográficas ofuscadas por uma senha simples e constante, em qualquer base de dados que o computador tiver acesso, por ex.: no banco de chaves criptográficas válidas.

 

O risco que se apresenta, é que além de proteger de forma fraca as chaves “ofuscadas”, o comando invisível pode incluir no sistema, chaves de assinatura digital que passarão a ser aceitas pelos demais sistemas de verificação.

Posteriormente, o TSE alegou que o INSERATOR era um resquício do programa usado até 2004 e que não era mais usado. Mas não explicou porque ainda está ali, disponível para uso por quem o conhece e nem porque seu resumo criptográfico (Hash) não aparece na lista de assinaturas publicadas pelo TSE.

 

​Vulnerabilidade 4

Apesar de toda a propaganda do TSE de que suas urnas funcionam sem contato com a Internet, inviabilizando ataques a seus sistemas pela rede, o que ficou demonstrado no teste realizado durante a cerimônia no TSE é que durante a Geração da Mídias (quando os programas das urnas são gravados primeiramente na Flash-de-carga) o programa gerador (GEDAI) funciona normalmente, sem produzir nenhum alerta, e gera as mídias estando conectado a Internet.

Fica, assim, perfeitamente viabilizado o ataque pela Internet aos programas que serão carregados nas urnas, nesse momento em que trafegam nos computadores ligados à rede.

 

É ​ isso,

Amilcar​

 

Anúncios

3 Respostas to “1134 – Quem quer saber de urna segura?”

  1. BEATRIZ ADLER Says:

    Sensacional! E esse artista que fez o desenho do Don Amilcar? Um gênio de la mancha! Adorei!! Parabéns a todos. Verás que um filho teu NÃO foge a luta. Avante, muchachos!

  2. Amilcar Brunazo Filho Says:

    Obrigado pela ilustração. Vou imprimir e fazer um quadro :^))

  3. Ruth Says:

    Achei linnndo, um trabalho feito com emoção e competência. O texto preocupante, eu espero que a maioria verdadeira ganhe.

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s


%d blogueiros gostam disto: