29 de outubro de 2009

O Teste de Segurança das Urnas, os hackers e o TSE (Parte 1)

Urna Eletrônica Apesar do assunto “teste de segurança nas urnas eletrônicas” ter ganhado maior popularidade apenas nos últimos meses, a idéia original nasceu em junho de 2006, após o protocolo, por parte do Partido dos Trabalhadores (PT) e do Partido Democrático Trabalhista (PDT), da Petição Conjunta Nº 1896/2006. Através deste documento, os partidos solicitavam ao Tribunal Superior Eleitoral (TSE) permissão para realizar teste de penetração no sistema de votação das urnas eletrônicas brasileiras.

Um teste de penetração (em inglês, pen-test ou penetration test) é um método de avaliação da segurança de um sistema de computador ou rede, onde se permite que pessoas capazes possam tentar burlar as defesas de segurança, simulando um ataque.  É o componente mais importante de uma completa auditoria de segurança.

É o procedimento utilizado para testar e descobrir vulnerabilidades em sistemas de informática e a possibilidade de ver como estas podem ser exploradas ou corrigidas. O processo envolve uma análise de todo o sistema, considerando as potenciais vulnerabilidades, conhecidas ou não, que podem resultar da má configuração do procedimento.

Na prática, são convocados profissionais para explorar todo o sistema, da mesma forma que um hacker faria. Em seguida, são entregues os resultados indicando todas as falhas encontradas e, se possível, indicando formas de corrigi-las.

Foram três anos de trâmite no TSE, até que na sessão administrativa do dia 30 de junho de 2009, a Petição Conjunta Nº 1896/2006 foi aprovada por unanimidade entre os ministros.

Clique aqui e baixe a íntegra da Petição 1896/2006 (*.rtf)

A permissão dada pelo TSE para que os partidos realizassem tentativas de ataques intencionais nos sistemas das urnas eletrônicas parecia ser um marco na fiscalização partidária sobre o processo eleitoral. 

Pedidos parecidos foram apresentados durante as cerimônias de lacração dos programas em 2000, 2002 e 2004, pelo PT e pelo PDT, e não receberam, em tempo, respostas positivas da Secretária de Informática. De acordo com o site Voto Seguro, os pedidos apresentados à Secretaria de Informática do TSE,  em 2000 e 2002, foram simplesmente ignorados e nenhuma resposta oficial foi dada. Em 2004, negaram o pedido "por falta de previsão na regulamentação" e ainda mandaram comunicar aos partidos que eles deveriam saber que o sistema é invulnerável.

Desde o início do uso das urnas eletrônicas no Brasil, a decisão de 2009 foi a primeira com parecer favorável aos testes de penetração. Entretanto, conforme comentamos no artigo “Realização de teste de segurança no sistema de votação das urnas eletrônicas”, publicado em 8 de julho:

“Apesar de significar grandes avanços, a autorização concedida em 2009 ainda não pode ser considerada uma vitória plena da democracia. Após sucessivas negativas, não está bem claro qual a intenção do TSE em contribuir com uma devassa dos sistemas eleitorais.”

Era opinião unânime entre os membros do [Fraude UE] que “existia algo de pobre no Reino da Dinamarca”. Detalhes sombrios ainda não revelados.

E não deu outra. Dias depois, nossas suspeitas foram sendo confirmadas. Em 9 de julho, os autores da petição inicial desistiram formalmente dos testes de penetração. Os partidos, que vinham solicitando a autorização há nove anos, se recusaram a testar as urnas eletrônicas do jeito que o Tribunal exigia. E, desta forma, protocolaram a Petição Nº 14.814/2009 solicitando que o nome dos partidos não fosse usado impropriamente, uma vez que estes consideraram indeferido o pedido original.

Segundo as agremiações partidárias, o TSE descaracterizou de tal forma o procedimento técnico, que do jeito que o Tribunal planejava realizar, o teste não seria isento. Dentre as estritas condições impostas pelo TSE, estava a que não permitia que os partidos indicassem membros para nenhuma das duas comissões fiscalizadoras dos testes.

Aliás, para piorar a situação, as duas comissões seriam estritamente ligadas ao TSE. A parcialidade da Comissão Disciplinadora era fato incontestável, haja vista que seria integrada exclusivamente por servidores da Justiça Eleitoral. Por sua vez, a Comissão Avaliadora, conforme informado pelo engenheiro Amílcar Brunazo Filho, seria integrada pelos mesmos professores universitários e cientistas anteriormente nomeados para compor o Comitê Multidisciplinar, constituído pelo TSE em março de 2009. Estes pesquisadores, em oportunidades anteriores, prestaram serviço remunerado ao TSE, contribuindo na elaboração de relatórios técnico-especializados. Portanto, sem isenção formal para a função de auditores do próprio contratante.

Conforme informado por Brunazo, representante do PDT no TSE e um dos autores da petição inicial:

"Os partidos solicitaram permissão para indicar técnicos para testarem as urnas perante uma Comissão de professores universitários independentes do TSE que determinariam as regras e elaborariam o relatório dos testes. Só que o TSE decidiu que é ele quem vai indicar os membros responsáveis pelas regras e pelo relatório. Não haverá isenção."

Apesar da posterior desistência dos partidos, a realização dos testes foi mantida porque o procurador-geral eleitoral, Roberto Gurgel, assumiu a autoria da petição das legendas por entender que havia interesse público no caso.

Continua na Parte 2.

Saiba mais sobre o assunto:

2 comentários:

Anônimo disse...

Urna eletrônica,
Uma Pessoa com domínio do Assembler avançado, poderia possívelmente, criar uma estrutura de programa no formato de uma urna Virtual. E todo esse conteúdo, de estrutura virtual, com códigos e instruções, poderia ser lançado na rede na forma de terminal remoto, com endereço, mascarando e anulando a Urna verdadeira. E toda essa estrutura, copiado numa mídia de (CD ou DVD) para descarga em locais vulneráveis na forma de atualização. Eu tenho minhas dúvidas, com respeito as Urnas Eletrônica, no meu ponto de vista não é 100% seguro. Como eleitor, gostaria que fosse! Aumente a proposta de R$5.000,00 para R$500.000,00, quem sabe… pode aparecer alguem? Eu acho, que nenhum Hacker ou Cracker de nivel avançado, vai querer perder noites de sono, para ganhar o valor que foi proposto! O outro fator preocupante, é a existência de alguns políticos abonados, com interesses escusos, disposto a pagar por esse servicinho. Após assistir tantos noticiário, relatando os mal exemplos de políticos corruptos na política Brasileira, não podemos descartar essa possibilidade.

Wantemberg on 7 de janeiro de 2010 18:36 disse...

Urna eletrônica,
Uma Pessoa com domínio do Assembler avançado, poderia possívelmente, criar uma estrutura de programa no formato de uma urna Virtual. E todo esse conteúdo, de estrutura virtual, com códigos e instruções, poderia ser lançado na rede na forma de terminal remoto, com endereço, mascarando e anulando a Urna verdadeira. E toda essa estrutura, copiado numa mídia de (CD ou DVD) para descarga em locais vulneráveis na forma de atualização. Eu tenho minhas dúvidas, com respeito as Urnas Eletrônica, no meu ponto de vista não é 100% seguro. Como eleitor, gostaria que fosse! Aumente a proposta de R$5.000,00 para R$500.000,00, quem sabe… pode aparecer alguem? Eu acho, que nenhum Hacker ou Cracker de nivel avançado, vai querer perder noites de sono, para ganhar o valor que foi proposto! O outro fator preocupante, é a existência de alguns políticos abonados, com interesses escusos, disposto a pagar por esse servicinho. Após assistir tantos noticiário, relatando os mal exemplos de políticos corruptos na política Brasileira, não podemos descartar essa possibilidade.

Postar um comentário

Gostou do que encontrou aqui?
Então fique à vontade para fazer seu comentário. E não se esqueça de recomendar aos amigos.
Seja bem-vindo e obrigado pela visita!

A moderação está habilitada, assim, seu comentário só será publicado após aprovação do Administrador.

 

Visitantes On-line

free counters

assine o feed

siga no Twitter

Postagens

acompanhe

Comentários

comente também

Widget Códigos Blog modificado por Dicas Blogger

Fraude Urnas Eletrônicas – FUE

Desde 05/12/2008. Plataforma: Blogger

Home .:. Contato .:. Política de Privacidade

Copyright © 2009 WoodMag is Designed by Ipietoon for Free Blogger Template