24 de novembro de 2009

O Teste de Segurança das Urnas, os hackers e o TSE (Parte 2)

HackersContinuação da Parte 1.

Os partidos políticos requereram a realização dos testes de penetração. O Tribunal Superior Eleitoral (TSE), após três anos de análise, resolveu deferir o pedido em junho de 2009. Entretanto, excluiu a participação dos partidos da comissão responsável pela elaboração das regras para o teste, além de literalmente direcionar os atores principais e as ações a serem executadas. Diante de tal atitude e por entender que os testes de segurança não seriam isentos, as agremiações partidárias desistiram.

"Entendemos que não cabe ao fiscalizado [TSE] ditar regras para o fiscalizador." (Nota à imprensa emitida pela Ascom do PDT)”

Considerando que existia interesse público no caso (ou por razões que a própria razão desconhece) o procurador-geral eleitoral, Roberto Gurgel, assumiu a autoria da petição. Entretanto, por um momento, esqueceu que o Ministério Público Federal (MPF) não dispunha de pessoas capacitadas para realizar este tipo de teste.

Aliás, como ente fiscalizador do sistema eleitoral, já está passando da hora do Ministério Público Federal instituir uma unidade especializada nesta área. Para cumprir adequadamente suas obrigações nesta seara faz-se necessária uma equipe altamente capacitada, em condições de atuar eficientemente no combate às possibilidades de fraude que por ventura possam advir do uso das urnas eletrônicas.

Voltando ao nosso assunto - o Ministério Público assumiu a responsabilidade, mas não sabia como executá-la. Neste ponto da história entram em ação os hackers (ou marionetes, como foram amavelmente chamados pelas pessoas que conhecem a realidade do problema em questão). No dia 11 de setembro deste ano, o ministro do TSE Ricardo Lewandowski anunciou em audiência pública que os sistemas estariam [supostamente] abertos para os cidadãos. Estes atuariam como hackers, promovendo ataques aos componentes do sistema eletrônico de votação. Ainda de acordo com o ministro, que também é o relator do processo, seria uma oportunidade para as comunidades acadêmicas e científicas conhecer em profundidade o sistema em uso pela Justiça Eleitoral.

Estava aberta a temporada de caça aos corajosos. As inscrições dos interessados (que oficialmente foram chamados de investigadores) ocorreram até o dia 13 de outubro. No ato da inscrição, o hacker apresentou, junto com os documentos pessoais, um plano com a descrição dos testes que desejava realizar e os equipamentos que pretendia utilizar na execução. Ou seja, gentilmente pediram ao ladrão que informasse oficialmente como e com quais ferramentas iria invadir a casa a ser roubada. Sem sombra de dúvidas uma situação que normalmente não acontece na prática!

Para incentivar a participação dos "investigadores", o TSE premiou as três idéias mais relevantes para o aprimoramento do sistema. Os prêmios, insignificantes perto do pagamento que um fraudador conseguiria no mercado negro, foram de R$ 5 mil, R$ 3 mil e R$ 2 mil.

Ao término do período de inscrição, 26 fichas de inscrição foram entregues, sendo todas elas aceitas pela Comissão Disciplinadora. Ressalta-se, neste caso, a composição da referida comissão: técnicos da Justiça Eleitoral.

Como muitos hackers trabalharam em grupo, as 26 fichas corresponderam à realização de dez testes de penetração diferentes. De acordo com o TSE, os profissionais inscritos representaram áreas de pesquisa diferenciadas: ciências da computação, engenharia eletrônica, análise de sistemas e até auditoria.

Um dos investigadores inscritos representou a instituição ISSA (Information System Security Association) Capítulo Brasil, associação sem fins lucrativos, especialista em segurança da informação, reconhecida mundialmente por seu trabalho.

Representando o mercado privado esteve a Cáritas Informática, empresa de auditoria que já representou o Partido dos Trabalhadores (PT) na análise de código fonte de softwares de votação e em solenidades de lacração de softwares das urnas eletrônicas de eleições passadas. Ressalta-se que, desta vez, a Cáritas apresentou o plano de testes por conta própria.

Considerando a atividade exercida por alguns órgãos governamentais era de se esperar que estes teriam acesso irrestrito ao sistema eleitoral, independente da realização dos testes. Mas não é bem isso que aconteceu.

Representando a Polícia Federal esteve uma equipe formada por seis peritos criminais, especializados em ciência ou engenharia da computação e engenharia de redes. Da mesma forma procedeu a Controladoria Geral da União (CGU), que enviou seis auditores, dentre eles um engenheiro e um perito em segurança de redes. Dentre os participantes, sete foram da Marinha.

Existiram ainda aqueles que se inscreveram por conta própria - os hackers por essência.

A diversidade de abordagens e estratégias pode ser medida pelo prazo solicitado pelos hackers, que variou de apenas uma hora até quatro dias de trabalho. Dentre os planos de testes apresentados destaca-se:

  • a investigação por ondas eletromagnéticas para identificar as teclas apertadas pelo eleitor e quebrar o sigilo do voto e;
  • a inserção de um software malicioso no cartão de memória flash da urna com o objetivo de alterar o funcionamento do software de inicialização do equipamento e promover desvios nos votos digitados.
Nenhum partido político se inscreveu para testar a segurança das urnas eletrônicas. Giuseppe Janino, secretário de informática do TSE, comentou o assunto:

"Estranhamos a ausência dos partidos, já que dois deles foram os autores do pedido inicial [de realização dos testes]. Além disso, os partidos deveriam ser os maiores interessados na questão".

Ele não tinha nada que estranhar, já que os partidos desistiram formalmente de participar como atores desta peça de teatro. Participar de um teste de penetração totalmente pré-programado seria a mesma coisa que afirmar de antemão que o sistema eleitoral brasileiro é 100% seguro.

Portanto, não foram os partidos que desistiram dos testes de segurança: foi o TSE que deliberadamente os excluiu, por decisão formal, das funções deliberativas. Realizar um teste para inglês ver somente iria beneficiar o administrador eleitoral – em nada contribuiria para a defesa da transparência e segurança do processo eletrônico de votação.

Saiba mais sobre o assunto:

1 comentários:

Anônimo disse...

Concordo com a desconfiança do sistema. O PT sempre usou de má fé e autoritarismo em tudo que sempre fez. Seus valores são duvidosos e tudo farão para alcançar o poder para sempre como o Chaves. Nossos empresários deveriam ser mais corajosos e fazer uma verdadeira revolução no País, pois não podemos mais ficar refem de politicos corruptos, justiça ineficiente e muitas vezes conivente e sindicalistas.
As empresas tem pessoas de alto gabarito, dinheiro e força para desbancar toda esta podridão. Só precisa coragem e sair fora do bloco que leva vantagem na situação atual.

Postar um comentário

Gostou do que encontrou aqui?
Então fique à vontade para fazer seu comentário. E não se esqueça de recomendar aos amigos.
Seja bem-vindo e obrigado pela visita!

A moderação está habilitada, assim, seu comentário só será publicado após aprovação do Administrador.

 

Visitantes On-line

free counters

assine o feed

siga no Twitter

Postagens

acompanhe

Comentários

comente também

Widget Códigos Blog modificado por Dicas Blogger

Fraude Urnas Eletrônicas – FUE

Desde 05/12/2008. Plataforma: Blogger

Home .:. Contato .:. Política de Privacidade

Copyright © 2009 WoodMag is Designed by Ipietoon for Free Blogger Template