Visite também: Currículo ·  Efetividade BR-Mac

O que é LinuxDownload LinuxApostila LinuxEnviar notícia


TSE abre inscrições para quem quiser tentar atacar as urnas eletrônicas

Da cobertura do G1:

O Tribunal Superior Eleitoral (TSE) abre nesta sexta (11) inscrições para quem quiser fazer as vezes de hacker e atacar os sistemas das urnas eletrônicas que serão utilizadas nas eleições do ano que vem. Os testes, que serão públicos, vão acontecer entre 10 e 13 de novembro deste ano. As inscrições vão até o dia 13 de outubro, sempre nos dias úteis, e devem ser feitas pessoalmente ou por carta registrada.

Para participar dos testes, o interessado (chamado pelo TSE de “investigador”) deve apresentar um plano de ação, em um formulário específico do tribunal, descrevendo os procedimentos que pretende tomar e os equipamentos que quer usar para tentar quebrar a segurança das urnas. Esse plano de ação será avaliado e, se aprovado pelo TSE, poderá ser posto em prática. O resultado dos planos aprovados pelo órgão sai no dia 26 de outubro, no Diário Oficial.

O tribunal se compromete a fornecer material de escritório, computadores com Linux e Windows, impressoras, ferramentas e softwares que não exijam licenças comerciais (a não ser que o “investigador” as possua), caso sejam solicitados.

O investigador será obrigado a assinar um termo de compromisso com o TSE repassando e demonstrando toda a documentação sobre os materiais e procedimentos dos testes, mesmo que eles não tenham sido bem-sucedidos. O tribunal vai criar um site especial para divulgar os resultados dos testes.

As contribuições “mais relevantes”, diz o TSE, serão premiadas. O órgão não divulgou quais prêmios serão distribuídos. (via g1.globo.com)

Saiba mais (g1.globo.com).


• Publicado por Augusto Campos em 2009-09-11

Comentários dos leitores

Os comentários são responsabilidade de seus autores, e não são analisados ou aprovados pelo BR-Linux. Leia os Termos de uso do BR-Linux.

    Flavio Moreira (usuário não registrado) em 11/09/2009 às 8:16 am

    Notícia no Terra:

    http://noticias.terra.com.br/brasil/interna/0,,OI3969350-EI7896,00.html

    lordtux (usuário não registrado) em 11/09/2009 às 8:25 am

    Iniciativa muito boa, vai contribuir para aumentar mais ainda a segurança nas urnas.

    a (usuário não registrado) em 11/09/2009 às 8:58 am

    vale usar um martelo?

    @a, pensei o mesmo… hauaha Assim que li o título da notícia já me imaginei entrando com um cacetete e metendo porrada nos aparelhinhos…

    Ah, mas o cara poderá usar o próprio equipamento, né? Eu mesmo não consigo usar o computador dos outros. Nunca sei onde fica o menu iniciar… hauah

    Xtian Xultz (usuário não registrado) em 11/09/2009 às 9:14 am

    Iniciativa espetacular, só espero que o processo de seleção não seja tendencioso.

    Willian Itiho Amano (usuário não registrado) em 11/09/2009 às 9:28 am

    Acho meio tosca essa abordagem. Montar o plano de ação blz.Qualquer hacker que se prese costuma ter um mas ele SEMPRE muda no meio do caminho.

    Rafael Rossignol Felipe (usuário não registrado) em 11/09/2009 às 9:53 am

    Fora q o plano de ação sofre aprovação. Quer dizer q se eu tiver uma estratégia boa, eles podem descobrir que pode dar certo e bloquear minha tentativa.
    Para que? pra que só sejam testados planos de ação ineficientes!

    Boa iniciativa. Não deixa de ser um avanço.

    Profeta do Caos (usuário não registrado) em 11/09/2009 às 9:57 am

    Claro,

    O Hacker vai mandar uma carta e dizer, dia tal iremos atacar o sistema, e estamos pensando em tomar as seguintes medidas para efetuar tal proeza. Eu sei que não tenho conhecimento de segurança digital.
    Mas não seria mais obvio, permitir as tentativas de acesso e o próprio TSE descobrir se realmente houve uma invasão, seria algo mais proximo da realidade.
    Isto iria abrir espaço para russos, chineses e outros hackers de verdade.
    Acho que isto seria a modalidade hacker pré-pago, me diga o que vai fazer, que vou me defender.
    Achei legal mas a metodologia poderia ser melhorado.
    Posso estar enganado, porque não entendo nada de segurança, o que os especialistas do BR-Linux dizem a respeito?

    Curioso (usuário não registrado) em 11/09/2009 às 10:02 am

    Apresentar um plano de ação sem ter acesso anterior a urna é quase que impossível, uma hacker ataca analisando o equipamento e o software instalado.

    Se precisa enviar uma plano de ação antes, para ser analisado, os técnicos do TSE vão bloquear ou consertar a brecha antes que a mesma possa ser usada.

    “Fiz um plano infalível para assaltar uma banco, vou enviar o plano com um mês de antecedência para o mesmo” isso parece piada, nenhum hacker de verdade vai embarcar nesta.

    Profeta, as urnas não funcionam conectadas à Internet.

    Paulo Cesar Angelo (usuário não registrado) em 11/09/2009 às 10:34 am

    Dessa forma simplesmente não funciona, como alguns amigos já falaram… ninguém vai fazer papel de bobo indo lá entregar os furos para eles arrumarem antes e fazerem papel de bons garotos.

    De “boas intenções” o inferno, a política e os tribunais estão cheios!
    Como podemos ver, mais um plano ineficiente de nossos representantes…As vezes fico imaginando que para representar o povo tem que ter como pré requisito um bom nível de perturbação mental e ausência total de ética e moral(salvo alguns poucos).

    Além do mais… a verdadeira pilantragem não precisa nem de urna, já começa antes na compra de votos e sacanagens em geral… Quero mesmo é transparência no governo.

    é isso que penso!

    zecacamargo (usuário não registrado) em 11/09/2009 às 11:01 am

    Calma ai gente,

    A ideia real não é de que se consiga realmente invadir a urna e depois saiam dizendo que o sistema do TSE é inseguro, mas sim encontrar os bugs e repará-los para mostrar que estão dispostos a reparar toda e qualquer falha para deixa-lo cada vez mais seguro.

    Sendo assim claro que se a partir dos planos recebidos eles encontrarem um que possa dar certo eles tentarão repara-lo antes do hacker ter acesso.

    No final da tarde vou publicar novamente as fotos e o vídeo que eu fiz mostrando o boot do Linux numa urna, em outubro do ano passado, em uma visita autorizada à área de TI do TRE-SC para esta finalidade.

    bozo (usuário não registrado) em 11/09/2009 às 11:55 am

    meu plano de ação:
    Vou entrar na sala, ligar o pc, ligar a urna, conectar a urna no pc e invadir a urna usando TODOS os 14.000 comandos/programas do meu pc linux e programa em C que farei usando os resultados da analise da porta serial da urna. pontofinal. Se precisar coloco todos os 14.000 comandos no projeto.
    :D :D :D

    bozo (usuário não registrado) em 11/09/2009 às 12:08 pm

    gostei desse comentário postado em:
    http://noticias.terra.com.br/brasil/interna/0,,OI3969350-EI7896,00.html
    =================inicio do comentario==============

    SERÁ A PRIMEIRA VEZ, EM TODO O MUNDO, QUE TEREMOS UMA LISTA OFICIAL DE HACKERS, COM NOMES CADASTRADOS, LOCALIZAÇÃO DE ENDEREÇO RESIDENCIAL, TRABALHO, E ETC.
    QUEM SE HABILITA?
    SE O TSE CRUZOU INFORMAÇÕES COM A RECEITA FEDERAL PARA PROCESSAR MILHARES DE PESSOAS QUE DOARAM RECURSOS A CAMPANHAS EM VALOR QUE ESTAVA ACIMA DO 1% OU 2% DA RENDA OU FATURAMENTO, IMAGINE O QUE VAI FAZER COM OS HACKERS!!
    O CRUZAMENTO, PENSO, SERÁ AGORA COM A POLÍCIA FEDERAL.
    SE LIGAM!!!
    =============final do comentário============

    Imagino que quem se inscrever vai considerar essa questão da identificação, até porque é óbvia. Quem teve a idéia de que a intenção era “cadastrar crackers” pra aí persegui-los precisa tomar uma dose de praticidade.

    E acho bem provável que boa parte das pessoas que se inscreverão sem ser como parte de alguma empresa ou iniciativa conhecida da área de segurança (com interesses variados) terão bem mais interesse na exposição pessoal do que em algum desejo de clandestinidade, que até não seria compatível com uma iniciativa do gênero.

    Shikasta (usuário não registrado) em 11/09/2009 às 2:09 pm

    Ótima iniciativa do TSE. Já a maioria dos comentários postados aqui revela uma ignorância e uma infantilidade que vou te contar…

    @leocp (usuário não registrado) em 11/09/2009 às 2:47 pm

    Até que a ideia não é ruim. Mas os métodos um quanto estranhos… Não acho uma ideia legal ter listas de hackers/crackers na mão de alguém, principalmente do governo.

    Daniel (usuário não registrado) em 11/09/2009 às 2:48 pm

    bozo,

    Já eu achei ridículo o comentário desse leitor do Terra. Percebe-se claramente que ele nunca ouviu falar na vida dele em empresas e equipes de segurança da informação (provavelmente o público alvo do TSE). E pra esses especialistas, quanto mais expostos eles ficarem mostrando as falhas que eles descobrem, melhor pra eles.

    É muita inocência achar que só hacker clandestino anônimo que tem habilidades de invadir sistemas e econtrar bugs.

    Johnny (usuário não registrado) em 11/09/2009 às 3:18 pm

    Exatamente. É uma questão de “white hats” X “black hats”. Quem (obviamente) vai participar é o pessoal do chapeu branco.

    tse (usuário não registrado) em 11/09/2009 às 3:51 pm

    Quem tem medo de hackers? Eu tenho medo é do TSE e de ter que acreditar cegamente na propaganda deles. Se por um acaso, ainda que remoto, alguém de dentro e com conhecimento dos programas e funcionamento da urna encontrar maneiras de fraudar o sistema, como eu cidadão comum me certifico da lisura do processo? Resposta do TSE: Seus problemas acabaram, faremos um evento de 4 dias, aberto ao público, onde todos terão oportunidade de tentar burlar o sistema. Basta que enviem antecipadamente um plano de ação.

    O processo é tão válido quanto simplesmente acreditar no estado. A difirença é que para se realizarem os testes o custo é maior.

    Igor Cavalcante (usuário não registrado) em 11/09/2009 às 4:36 pm

    A sorte está lançada, de repente alguém apesar das dificuldades ainda consegue encontrar uma brecha de segurança.

    Igor Cavalcante (usuário não registrado) em 11/09/2009 às 4:45 pm

    Eu acho que é mais interessante, deixar as urnas de lado, e interceptar a transmissão dos dados na hora da apuração dos votos, pra entender melhor como a comunicação é feita. E depois tentar interferir nesta apuração, assim os resultados dos ataques seriam mais significativos. Agora pra entender melhor isto, era interessante também ter uma urna ligada a um meio de comunicaçao viciado.

    Jefferson (usuário não registrado) em 11/09/2009 às 4:48 pm

    Bom… um pouco de cada do que foi falado vejo como verdade…
    Os que devem algo não poderão aparecer, já os que precisam de publicidade este será o momento.

    E todas as mais profundas teorias de conspiração devem ir para %7&89)(&%$Ç^[ ]°ºª… Vamos pensar em coisas produtivas, deixem de nóia, é só não fazer o errado…. Deixem de baixar programas ilegais e passem a usar software livre e parem de se preocuparemmmm.

    O Lula e a Dilma já tem muitas preocupações para ficarem na sua cola… seu loco…

    Elias Amaral (usuário não registrado) em 11/09/2009 às 5:04 pm

    Boa iniciativa.

    Mas, sem ter acesso prévio as urnas, como planejar os ataques? :(

    Renato (usuário não registrado) em 11/09/2009 às 5:11 pm

    Creio que o problema em enviar o plano de ação pro TSE é alguém de dentro ter acesso a idéias de como burlar o sistema.

    Esse fulano, que é um peixão, rouba a idéia de ataque que o ciclano mandou e rejeita a proposta dele. Daí a vulnerabilidade não será descoberta e, consequentemente não será resolvida e, pra terminar, o fulano pode fraudar a urna com a idéia do ciclano.

    Não sei até que ponto isso é uma possibilidade, pois não sei como será feito internamente, mas é um risco.

    Igor, como as urnas imprimem, antes da entrega dos dados para transmissão, um boletim com a votação completa, em várias vias assinadas pelos presentes (uma das quais é afixada à porta da seção eleitoral, para o público, e outra é entregue imediatamente ao conjunto dos fiscais, inclusive), acho que todo ataque buscando modificar os dados posteriormente estaria fadado ao insucesso, inclusive porque os meios de comunicação, os fiscais, os partidos e a própria Justiça Eleitoral todos fazem esta verificação (em alguns lugares esta “apuração paralela” chega a ser mais rápida que a oficial).

    Assim, como cidadão, eu também prefiro que concentrem esforços em procurar (e solucionar) eventuais vulnerabilidades nas urnas, porque para o que acontece depois delas já há possibilidade de verificação pública e independente.

    Alguns fatos para ajudar a amenizar a paranóia das pessoas:

    1 – A urna não tem conexão NENHUMA com nada além de um teclado com visor colocado para o mesário liberar a urna para aquele título eleitoral (o eleitor) votar. A “exportação” dos dados para apuração é feita através de meio magnético, gravado com criptografia. Uma estação recebe os meios magnéticos e repassa o arquivo (sem remover a criptografia) para o TRE mais próximo;

    2 – Os programas da urna são assinados digitalmente na presença de fiscais de partidos e outros interessados. Se desconfiar de algo, peça para conferir a assinatura digital dos programas;

    3 – Interceptar os dados transmitidos não ajudará muito se você não tiver o certificado digital privativo (e a sua senha) que é necessário para descriptografar o pacote exportado da urna (que é apenas o mesmo boletim eletrônico emitido em papel, em forma pronta para ser abosrvido pela apuração, criptografado com o certificado público daquela eleição). É efeito de usar PKI gente, se você conseguir quebrar os certificados digitais da Verisign, ICP Brasil e outros, está no bom caminho para conseguir tentar quebrar o do TSE (não, o ataque de personificação de certificado por conta de colisão de MD5 não funciona, a chave criptográfica não pode ser atacada assim). Imagino que esse certificado e sua senha devem ficar MUITO bem guardados;

    4 – Se você tentar trocar o cartão que contém os programas da urna, violará o lacre (daqueles que se fragmentam) e a urna não será contabilizada. E, claro, você será preso por ter violado a urna;

    5 – Os programas das urnas são os mesmos, independentemente do local. O que mudam são os dados de candidatos que podem ser votados (e suas fotos) e eleitores autorizados a votar. Se achar que estão tentando algo, peça para comparar os programas de alguma cidade do interior de um estado (onde seja possível apurar com mais facilidade se houve alguma distorção) com os de alguma capital de outro estado onde seria mais fácil diluir mudanças de votos entre muitas urnas. Se os programas forem diferentes, com certeza anularão TODA a eleição;

    Então, face ao exposto acima, não caiam nessa de que a eleição eletrônica é passível de fraude. Papel é muito mais fácil de fraudar. Não digo que é impossível, mas absurdamente difícil, a ponto de não ser viável técnica e economicamente.

    Flávio

    tse (usuário não registrado) em 12/09/2009 às 3:37 pm

    Claro, não caiam nessa de que a eleição eletrônica é passível de fraude. Se o TSE diz que não é possível, é porque não é possível ou é inviável técnica e economicamente. Quero ver é apresentar estudo de algum especialista independente em segurança, não ligado ao TSE, que de subsídios a propaganda oficial.

    É lamentável que todas as críticas referentes as urnas sejam sempre abafadas e desacreditadas, quando o que devia ser feito era aprimorar a transparência do processo.

    Olha só que curioso a imagem tirada de um relatório oficial do TSE que esclarece que nas eleições de 2006 86% dos lacres utilizados apresentaram problemas de aderência. Tenho certeza que a maioria absoluta população não fica sabendo dessas coisas. Não, isso não convém. Só interessa dizer o quanto somos bons por termos o processo todo informatizado. Ufanistas, é isso o que somos.

    Pra quem tiver interesse, paciência e tempo para se informar, o site do Brunazo é fonte de informação muito rica sobre o tema.

    Igor Cavalcante (usuário não registrado) em 12/09/2009 às 7:24 pm

    Os comentários de vocês foram muito pertinentes, mas uma mente maldosa não desconsideraria os funcionários corruptos, e eu acredito que hajam muitos. Não vejo solução para quebrar as urnas e suas apurações somente fazendo uso de tecnologia, pois o trabalho foi muito bem feito, e se alguém conseguir fazer eu tiro meu chapéu. Mas usando um pouco de engenharia social (funcionários corruptos), juntamente com esta interceptação de dados, pode-se haver uma luz (trevas) para burlar nosso famosos sistema eleitoral.

    Igor Cavalcante (usuário não registrado) em 12/09/2009 às 7:26 pm

    Aqui em Alagoas existem muitos políticos e suas famílias que exercem um domínio incrível sobre diversas regiões, inclusive o comércio de votos se dá de forma descarada mesmo. Então é talvez o comentário que acabei de citar, não seja tão impossível assim.

    miranda (usuário não registrado) em 12/09/2009 às 9:14 pm

    Pode colocar urna com Linux, Windows, Mac, FreeBSD, etc…. O mal não está no OS da urna mas sim no caráter desses corruptos que nos governam, e o “hacker” do caráter é Deus, o psicologo, e o psicanalista.

    Vá na no Covil dos Pilantras (congresso nacional) com a mala cheia de dólares e pergunta quem deles quer trocar a mãe pela mala, depois me fala o resultado. Só não vale mentir falando que não apareceu nenhuma proposta.

    amiled (usuário não registrado) em 13/09/2009 às 2:20 pm

    Os prêmio serão em dinheiro para as melhores contribuições, R$ 5.000,00 para o primeiro lugar, R$ 3.000,00 para o segundo e R$ 2,000.00 para o terceiro.

    http://www.tse.jus.br/internet/eleicoes/teste_seguranca.htm

    Wallacyf (usuário não registrado) em 13/09/2009 às 3:49 pm

    É obvio que nenhum sistema é 100% seguro.

    Tornar o processo mais trasparante é sempre uma boa.

    Muitas das criticas aqui apresentadas são pertinentes. Porém muitas beiram a paranoia.

    O processo eleitoral “comum” é muito, porém muito mais fragil.

    Aquela velha maxima resume bem: “Quantas pessoas que você conheçe, consegue entrar em um sistema, adiquirir privilegios admistrativos, quebrar cryptografias, alterar os dados e não deixar nenhum rastro. E quantas que você conheçe que consegue fazer um X no papel?”

    Entendo que muitos tenham duvidas de como funciona todo o processo, de como é contabilizado os dados, etc, etc… Não sei se essa competição vai ajudar a tornar isso claro.

    Porém essa coisa hollywoodiana onde um cara entra em uma maquina simplesmente digitando overdrive e derrepente tudo está a sua disposição não funciona! Os metodos do TSE podem não ser os melhores porém são bem confiaveis na medida do possivel, nos EUA por exemplo em varios estados as eleições são feitas com urnas conectadas na internet, o que já é uma falha muito… muito maior de segurança.

    Os problemas de segurança nas eleições eletronicas são os mesmos que qualquer outro tipo de eleição, que é a idoniedade dos participantes do processo. E se uma falha existe, provavelmente é algo extremamente complexo, pois ninguem, de nenhum partido conseguiu ver.

Este post é antigo (2009-09-11) e foi arquivado. O envio de novos comentários a este post já expirou.