SEGURANÇA

Equipe de peritos da PF quebra segurança da urna eletrônica

Luís Osvaldo Grossmann* ... 02/12/2019 ... Convergência Digital

Dois dos 13 planos de ataque ao sistema de votação obtiveram êxito, informou o Tribunal Superior Eleitoral ao final da semana de testes públicos de segurança na urna eletrônica. Como de praxe, o TSE garante que o sucesso dos ataques não comprometeu o sigilo do voto ou a segurança do processo eleitoral. 

“A partir de agora, o TSE trabalhará para sanar a vulnerabilidade identificada a tempo das Eleições Municipais de 2020”, avisou o Tribunal, em nota. Os ataques bem sucedidos foram realizados pela equipe de peritos criminais da Polícia Federal, Paulo César Wanner, Ivo Peixinho e Galileu Batista de Sousa. 

“É o momento de abertura dos sistemas de segurança ao olhar externo da comunidade científica, dos estudantes, dos partidos políticos, dos cidadãos como um todo. Um chamado para que atuem como hackers e tragam seus planos de testes, com estratégias de ataque às urnas, a fim de identificar possíveis e eventuais vulnerabilidades e falhas relacionadas à violação da integridade ou do anonimato do voto nas eleições”, afirmou a presidente do TSE, Rosa Weber.

Segundo o diretor de TI do TSE, Giuseppe Janino, os sucessos nos teste contribuem para a melhoria dos processos envolvidos no sistema eletrônico de votação. “Os investigadores são nossos parceiros, na medida em que tenham um olhar mais preciso e diferenciado para achar pontos de fragilidade”, disse. Ele adiantou agora vem a etapa de correção das vulnerabilidades apontadas. 

No ano que vem, os investigadores do Grupo 5, dos peritos da PF, serão convidados a retornar ao TSE para verificar a efetividade dos reforços de segurança que serão implementados. Os testes realizados por eles na urna eletrônica foram os seguintes: 

1) extração de dados e configurações do kit JE Connect. A ideia é obter senhas e configuração da VPN a partir de uma mídia do JE Connect. A partir dos dados obtidos, tentar se conectar diretamente à rede do TSE. Verificar também existência de vulnerabilidades no RecArquivos, utilizando técnicas de fuzzing. Por fim, verificar a possibilidade de acesso direto ao banco de dados e às suas rotinas; 

2) extração do conteúdo do disco criptografado do SIS. O teste tem a finalidade de obter acesso físico ao disco do computador com o sistema Gedai instalado, para retirar o disco criptografado e buscar a chave no registro do Windows. Além disso, visa a inicializar o disco em uma máquina virtual para obter um dump de memória, bem como extrair a chave a partir do dump e comparar com as informações obtidas no registro para estabelecer processo de formação da chave. Busca também montar o disco cifrado e extrair os dados presentes nesse disco, além de verificar, no disco cifrado, informações sensíveis para o processo eleitoral; 

3) instalação e execução de código arbitrário em uma máquina do Gedai para implante de dados falsos na urna eletrônica. Os objetivos do teste são: obter acesso físico ao computador com o Gedai instalado para fazer uma imagem completa do disco; inicializar o disco em uma máquina virtual; subverter o sistema de inicialização para viabilizar o boot sem a carga do SIS; acessar e modificar programas de criação e preparação de dados a serem gravados nas urnas eletrônicas; e criar um cartão de inicialização da urna com dados espúrios.

* Com informações do TSE


Zoom é isca em 99% dos ataques com ferramentas de ensino online

Segundo levantamento das empresas de segurança Kaspersky, em todo o mundo invasões desse tipo cresceram 20.000%. Brasil é o quinto país mais atacado. 

Ataques de phising crescem 600% na AL. Netflix é o alvo dos hackers

Campanha em nome da OTT se distribui por meio de um e-mail com o assunto "Alerta de notificação". A mensagem informa sobre uma suposta dívida acumulada em nome da vítima que pode levar à suspensão do serviço caso não sejam tomadas medidas rápidas.

Brasil sofreu mais de 2,6 bilhões de ataques cibernéticos no 1º semestre

Configuração incorreta de servidores é o principal responsável pela maior parte das tentativas de invasão, reporta estudo da Fortinet. Cai o número de tentativas de golpes usando a Covid-19.

Prejuízo médio com violação de dados sobe para R$ 5,8 milhões no Brasil

Estudo da IBM mostra que o aumento no valor foi de 10,5% em relação a 2019. O levantamento traz uma advertência: aumentou o prazo para contenção do vazamento nas empresas para 115 dias. Credenciais roubadas ou nuvens com configurações incorretas foram as brechas para as invasões.



  • Copyright © 2005-2020 Convergência Digital
  • Todos os direitos reservados
  • É proibida a reprodução total ou
    parcial do conteúdo deste site
    sem a autorização dos editores
  • Publique!
  • Convergência Digital
  • Cobertura em vídeo do Convergência Digital
  • Carreira
  • Cloud Computing
  • Internet Móvel 3G 4G