Visite também: Currículo ·  Efetividade BR-Mac

O que é LinuxDownload LinuxApostila LinuxEnviar notícia


Teste de segurança de urnas eletrônicas começa terça

O Tribunal Superior Eleitoral (TSE) iniciará na próxima terça-feira (10/11) testes de segurança dos softwares das urnas eletrônicas que serão usadas nas eleições de 2010 no país.

Os testes serão realizados até a sexta-feira (13/10), no auditório do edifício-sede do tribunal. Os hackers convidados são de instituições e órgãos como a Polícia Federal, Controladoria Geral da União (GCU), Information System Security Association (ISSA) Capítulo Brasil, além de pessoas que se inscreveram por conta própria.

O TSE aprovou as 26 inscrições para os dez planos de testes. Alguns serão feitos de forma colaborativa. O objetivo é tentar violar o sistema eletrônico para mostrar que é possível mudar parte da votação de um eleitor para outro, ou provar que é possível identificar em quem um determinado eleitor votou. (via idgnow.uol.com.br)

Saiba mais (idgnow.uol.com.br).


• Publicado por Augusto Campos em 2009-11-09

Comentários dos leitores

Os comentários são responsabilidade de seus autores, e não são analisados ou aprovados pelo BR-Linux. Leia os Termos de uso do BR-Linux.

    wallysou (usuário não registrado) em 9/11/2009 às 2:54 pm

    favor corrigir:

    de GCU para CGU

    visite:

    http://www.cgu.gov.br/

    Att.

    Claudemir (usuário não registrado) em 9/11/2009 às 2:57 pm

    Desculpe-me mas a data correta é 13/11/2009

    john (usuário não registrado) em 9/11/2009 às 3:57 pm

    Se eles são hackers, meu nome é John Mitnick!!

    Vinícius (usuário não registrado) em 9/11/2009 às 4:58 pm

    Hackers? ahuahuauh… realmente em pleno fim de 2009, a mídia/pessoas ainda não entendem esses termos =

    Reikainosuke Nekomata (usuário não registrado) em 9/11/2009 às 5:13 pm

    Corro o risco de estar cometendo uma injustiça, mas para mim isso tudo cheira a propaganda. Não sei se tem validade técnica.

    Gabriel Rezende (usuário não registrado) em 9/11/2009 às 9:04 pm

    @Reikainosuke Nekomata

    Bom, pelo o que falam por ai o TSE não deixa os hackers fazerem um monte de coisa, estipulam um tempo para cada um “brincar”, não deixam mexer muito fisicamente na urna… Enfim, se é possivel invadir uma urna, eles (TSE) não vão deixar.

    Quanto desinformação …

    Se for possível invadir, eles vão deixar e, claro, logo depois corrigir o problema.

    O complicado é querer achar que dá para invadir remotamente uma urna ou o próprio sistema do TSE, sendo que ambos não são conectados à Internet. Ou achar que dá para trocar os cartões da urna sem quebrar o lacre (e por consequência, invalidar a urna). Mas se não pode tentar remotamente (o que não seria possível durante uma eleição), então é porque o TSE é mau e quer identificar as pessoas e restringir os testes. Pode não ser o ambiente ideal, mas também não tão restrito quanto os “experts” daqui querem fazer parecer. O ambiente apresentado é muito mais aberto que no dia da eleição e ainda reclamam que não é só encenação. Quero ver quem tem coragem de ficar lá descolando o lacre da urna na vã esperança de conseguir removê-lo sem romper, trocar o cartão sem que o mesário perceba o reboot da urna, inserir os certificados e senhas necessários para depois gerar um disco válido, tudo isso em 1 a 2 minutos para não chamar a atenção dos fiscais e dos mesários. Boa sorte para quem acredita em Papai Noel.

    Quem for melhor que esses caras, que se apresente e faça o seu show. Grantidamente vai ganhar um empregão em qualquer empresa de segurança do mundo. Mas é muito mais fácil acusar a Justiça Eleitoral que provar, imagino. Assim não dá trabalho nenhum e é possível continuar regurgitnado as teorias paranóico-conspiratórias mais absurdas sem nem se dar ao trabalho de pensar na viabilidade técnico e econômica delas. Isso cansa …

    Quanto a chamar de hackers, é meio forçado mas até dá para engolir vindo do UOL.

    Flávio

    P.S.: Sim, estou chateado e cansado de ver o baixíssimo nível de discussão e pensamento aplicado nos últimos tempos aqui no BR-Linux. O nível antes era muito melhor. Parece que a teoria do “Se hay gobierno, soy contra” ainda se mostra popular entre o pessoal. Que pena, governos são capazes de fazer muita M…., é verdade mas não são capazes de tudo. Um pouco de paranóia é até razoável e pode ser saudável, passando do ponto é só cansativo e doentio.

    Se forem testar apenas o que o FlavioMachado citou, ou seja, invasão da urna somente sob um cenário específico, como o de que o invasor seja um terceiro tentando adulterar a urna durante o processo de votação, também não é o suficiente para garantir a segurança.

    Para um processo de análise de segurança, é necessário entender todo o processo, todas as pessoas envolvidas, encontrar os elos mais fracos e verificar as possibilidades de invasão. Então, por exemplo, não basta apenas verificar se a máquina não será conectada na rede durante a votação, mas se ela em algum momento de todo o processo recebe algum tipo de conexão externa.

    E não apenas isso, mas as partes não técnicas do processo devem ser auditadas também para verificar se engenharia social pode ser usada para conseguir adulterar o sistema.

    É uma avaliação complexa, e espero que seja realizada transparentemente para ser validada por qualquer observador externo que tenha condições e interesse para fazê-lo.

    LKRaider,

    Esse é o tipo de resposta que eu espero encontrar aqui: analisar as possibilidades e tentar bolar as formas de encontrar os problemas.

    Eu não sou o dono da verdade mas não consigo aceitar algo como “isto deve ser algo cerceado” ou “eles estão escondendo o jogo”, etc. Entender o processo é a chave, tem que ser verificado TODO o processo.

    Só ajudando um pouco, a urna NUNCA fica conectado a nada além do teclado do mesário-chefe. Tudo nela é offline.

    Quanto aos computadors que processam os votos, NUNCA ficam diretamente em contato com a Internet, apenas com o resto da rede da Justiça (se ainda for como era enquanto eu trabalhava lá). Não acredito que tenha mudado.

    Engenharia Social, como? Adulterar o sistema indo lá e mudando o quê? Os programas são assinados por certificados digitais, na presença de muitas testemunhas, de vários partidos. Durante a eleição ninguém pode mudar nada nas urnas, nem a Justiça Eleitoral. Então não adianta chegar lá dizendo que vai fazer manutenção que no máximo vai conseguir ser preso. No TSE e TREs tem acesso biométrico nas dependências da Informática, não abrem para ninguém de fora. Mesmo eu conhecendo alguns seguranças de lá, nunca consegui entrar só na lábia, sempre fui obrigado a me anunciar para quem pode autorizar a entrada e só pude entrar na sala de trabalho “normal”. Isso porque sou ex-funcionário, imagino como deve ser “fácil” convencer alguém lá que você quer entrar nas salas mais seguras. Boa sorte.

    O que eu citei não é extensivo, não pretendi dizer que era para testar apenas uma ou duas coisas. Pelo contrário, tem que validar TUDO, eu quero eleições limpas, sempre!

    Meus cumprimentos adiantados para os abnegados que estão tentando encontrar os problemas, ninguém melhor que eles para me ajudar a manter a convicção que o sistema é limpo. Enquanto eu trabalhei lá, era. A segurança era quase paranóica.

    Flávio

    Troller (usuário não registrado) em 10/11/2009 às 8:34 am

    @FlavioMachado

    Segurança é algo um pouco assim mesmo. Como o ovo de Colombo. Se se for pensar em todas as possibilidades, você pode simplesmente concluir que está tudo invulnerável. Até que vem alguém e faz algo com o que você sequer imaginava.

    Uma máxima da segurança da informação é que um sistema 100% seguro seria tão protegido que seria impossível de se usar.

    Reikainosuke Nekomata (usuário não registrado) em 10/11/2009 às 9:08 am

    O Troller apresenta um interessante argumento. Antes de naufragar por causa de um iceberg, Titanic era considerado insubmergível. Havia uma época em que se acreditava que não havia como superar a velocidade de 100km/h, pois o corpo acabaria sendo dilacerado. Durante milênios acreditou-se que a Terra era plana. Hoje todo mundo vai dizer que foram erros crassos, que são conhecimento óbvios. Mas não eram óbvios antes. Dizer que um sistema é 100% seguro é propaganda pura. É negar a criatividade humana, para o bem ou para o mau. É desconhecer a história.

    Interessante que os que defendem com unhas e dentes o sistema informatizado de votos, acabam dizendo que trabalham ou trabalharam lá. Não estou insinuando desonestidade ou má-fé. Talvez haja muita boa-fé, ou até excesso de fé. Assim como suponho que a tripulação do Titanic era muito honesta. Mas isso não impediu o naufrágio. Portanto uma pitada de ceticismo é salutar.

    Não estou desmerecendo o trabalho do TSE. Só que eu sou muito cético puntualmente a respeito desse evento, que acho inócuo. Se eu tivesse real intenção e possibilidade de adulterar a urna, acham que iria me apresentar? Que uma fraude viria de alguma coisa óbvia e já conhecida?

    Só acredito no aperfeiçoamento contínuo do sistema no seu uso real, cotidiano. Apareceram falhas? Vão ter que ser estudadas e corrigidas em tempo. E outras falhas, situações imprevistas, etc, fatalmente irão surgir. Que, ao serem estudadas, deverão ser corrigidas. Opa… isto me lembra algo. Ah, sim, é o modelo de trabalho dos softwares livres… exceto pela questão da transparência.

Este post é antigo (2009-11-09) e foi arquivado. O envio de novos comentários a este post já expirou.