Quanto vale uma falha de segurança na urna eletrônica brasileira?
15/09/2009
Nunca antes na história deste país, ao menos no que temos notícia, um ente público quebrou o gelo e expôs publicamente ainda que de forma indireta, o reconhecimento aos conhecimentos dos hackers brasileiros, adquiridos fora dos almofadados bancos acadêmicos das famosas faculdades de informática.
Algo a princípio utópico na área de segurança, que normalmente conta com profissionais sempre desconfiados e que nasceram com o chip do “desvie-se do risco”, aconteceu. Uma chamada pública feita pelo TSE [1] pra que hackers ou afins tentassem descobrir falhas de segurança na urna eletrônica de votação, e demais ativos que com ela se integram.
Não se quer aqui desmerecer a iniciativa interessante e pioneira do TSE, aliás dá um passo a frente de muitos Security Officers e CSOs de órgãos públicos que tem certeza que são Deuses e que gastam mais tempo contingenciando as fraudes dos “mequetrefes” da esquina do que reconhecendo suas habilidades e gerenciando riscos de forma pró-ativa. Os “tapa buracos”.
Ao agir desta forma o TSE atende aos clássicos princípios da Arte da Guerra de Sun Tzu e principalmente, reconhece um pressuposto básico da aquisição de experiência, que é reconhecer vulnerabilidades e erros, ainda que estes sejam aclarados com a ajuda de outras pessoas, eis que como dizia Earl Wilson “A experiência é aquilo que lhe permite reconhecer um erro quando você o comete de novo”
Igualmente, tal medida demonstra a maturidade da Gestão da Segurança do TSE, que envolve o clássico Deming Cycle no processo de segurança eleitoral brasileiro, colaborando para o que se convenciona de plano de melhoria contínua. Assim, pode-se receber contribuições para o aperfeiçoamento do sistema eletrônico de votação, que já é considerado seguro pelo mundo.
Dentre os focos dos peritos digitais estão a própria urna em si, geração de mídias, etapas de preparação das urnas, mídia de dados, software de votação usado, dentre outros.
Até aí tudo bem, mas o brilhantismo da iniciativa é arranhado pelas condições um pouco contraditórias dispostas no inédito edital [2]. Primeiramente o hacker tem que previamente dizer para o TSE como vai agir em busca de vulnerabilidades, e o próprio TSE vai dizer se o hacker deve continuar ou não.
Ora, já entrega-se a “receita do bolo”, ainda que de forma genérica, na seleção. Tal fato já prejudica a liberdade de encontrar vulnerabilidades, pois sinceramente, não creio que a equipe de segurança do Tribunal ficará paralisada aos testes, mesmo sabendo onde o hacker vai focar sua análise.
Prosseguindo, as exigências anunciam que o hacker tem que passar todo o know-how que possui, indicando previamente ao teste as ferramentas que vai utilizar, como utilizar a ferramenta (passo a passo), o impacto a ser supostamente gerado, e já transferir ao Tribunal a solução! Além disso, deve conceber meio para que o teste seja reproduzível a qualquer momento.
Não bastasse, o teste será fiscalizado pela comissão supervisora. Ora, é cediço que a produtividade de um profissional de segurança ou hacker é menor quando se tem alguém com uma “prancheta” às costas, anotando tudo o que é realizado.
Ainda não acabou. No ato da inscrição o edital prevê ainda que os hackers deverão entregar todos os Softwares que utilizarem nos testes! Mas o que é isso? Contribuição para o TSE ou cessão irrevogável de Softwares? Ou seria transferência de tecnologia? Ou seria capacitação técnica ao Estado?
Desenvolveu aquele script de análise de vulnerabilidade? Ele deve ser entregue ao TSE. Você tem uma licença de treze mil dólares de um software de pentest (teste de intrusão)? Ele deverá ser entregue ao TSE. Ou seja, a linha proposta pelo Tribunal contraria regras básicas de análise de vulnerabilidade, qual seja, não revelar durante o teste, de forma aprofundada, as técnicas e ferramentas. Como pode um teste ser exitoso se antes do mesmo eu entreguei para a vítima todas as minhas armas? Como diria meu amigo hacker que preservo o nome “Teste bom é aquele que fechamos com o dono, sem que a equipe de resposta a incidentes saiba!” Ele está certo!
Mas talvez o prêmio deva compensar todas estas cessões compulsórias e obrigações? Infelizmente não! Parcos R$ 5.000,00 (cinco mil reais), é o que você leva por ir até Brasília, não poder usar o seu computador com seu kits de ferramentas, binários e scripts, e ter uma contribuição considerada “relevante”!
Cinco mil reais! É o que vale uma falha de segurança no sistema eleitoral brasileiro?
Por que não oferecer uma vaga nos quadros da administração pública, incentivando os jovens pesquisadores? Porque não disponibilizar o código-fonte publicamente, fazendo com que cada cidadão possa fiscalizar suas funções? Porque não liberar o uso de notebooks e ferramentas próprias? Por que não se permitir ser pego de surpresa por um hacker? Antes agora do que no dia da votação!
De qualquer maneira, este é um país democrático e participa quem quer! Só não estranho se a qualidade dos testes não seja a “desejável” pelo Tribunal ou que “ninguém” consiga “burlar” (sic) o sistema das urnas. A iniciativa do TSE foi inédita, energizante e excelente, só pecando no aspecto procedimental. Mas nada que uma emenda ao Edital não dê um jeito. Vale como aprendizado para os próximos editais. Enquanto isso, nós preferimos a caridade: “Substituam o disquete de 3 ½ já!”.
NOTAS:
[1] http://www.tse.jus.br/internet/eleicoes/arquivos/resolucao23090.pdf
[2] http://www.tse.jus.br/internet/eleicoes/arquivos/Edital_DOU_Teste_Seguranca_parte_1.pdf
José Antonio Milagre
http://www.twitter.com/periciadigital
Advogado especialista em Direito Digital e Perito em Crimes Eletrônicos, MBA em Gestão de Tecnologia da Informação, Professor de Pós-Graduação na Universidade Presbiteriana Mackenzie, SENAC e UNIGRAN. Co-autor do livro “Internet: O Encontro de 2 Mundos” pela Editora Brasport, 2008. Colaborador no Livro “Legislação Criminal Especial”, organizado pelo Professor Luiz Flávio Gomes, Editora RT, 2009.
15/09/2009
Nunca antes na história deste país, ao menos no que temos notícia, um ente público quebrou o gelo e expôs publicamente ainda que de forma indireta, o reconhecimento aos conhecimentos dos hackers brasileiros, adquiridos fora dos almofadados bancos acadêmicos das famosas faculdades de informática.
Algo a princípio utópico na área de segurança, que normalmente conta com profissionais sempre desconfiados e que nasceram como chip do “desvie-se do risco”, aconteceu. Uma chamada pública feita pelo TSE [1] pra que hackers ou afins tentassem descobrir falhas de segurança na urna eletrônica de votação, e demais ativos que com ela se integram.
Não se quer aqui desmerecer a iniciativa interessante e pioneira do TSE, aliás dá um passo a frente de muitos Security Officers e CSOs de órgãos públicos que tem certeza que são Deuses e que gastam mais tempo contingenciando as fraudes dos “mequetrefes” da esquina do que reconhecendo suas habilidades e gerenciando riscos de forma pró-ativa. Os “tapa buracos”.
Ao agir desta forma o TSE atende aos clássicos princípios da Arte da Guerra de Sun Tzu e principalmente, reconhece um pressuposto básico da aquisição de experiência, que é reconhecer vulnerabilidades e erros, ainda que estes sejam aclarados com a ajuda de outras pessoas, eis que como dizia Earl Wilson “A experiência é aquilo que lhe permite reconhecer um erro quando você o comete de novo”
Igualmente, tal medida demonstra a maturidade da Gestão da Segurança do TSE, que envolve o clássico Deming Cycle no processo de segurança eleitoral brasileiro, colaborando para o que se convenciona de plano de melhoria contínua. Assim, pode-se receber contribuições para o aperfeiçoamento do sistema eletrônico de votação, que já é considerado seguro pelo mundo.
Dentre os focos dos peritos digitais estão a própria urna em si, geração de mídias, etapas de preparação das urnas, mídia de dados, software de votação usado, dentre outros.
Até aí tudo bem, mas o brilhantismo da iniciativa é arranhado pelas condições um pouco contraditórias dispostas no inédito edital [2]. Primeiramente o hacker tem que previamente dizer para o TSE como vai agir em busca de vulnerabilidades, e o próprio TSE vai dizer se o hacker deve continuar ou não.
Ora, já entrega-se a “receita do bolo”, ainda que de forma genérica, na seleção. Tal fato já prejudica a liberdade de encontrar vulnerabilidades, pois sinceramente, não creio que a equipe de segurança do Tribunal ficará paralisada aos testes, mesmo sabendo onde o hacker vai focar sua análise.
Prosseguindo, as exigências anunciam que o hacker tem que passar todo o know-how que possui, indicando previamente ao teste as ferramentas que vai utilizar, como utilizar a ferramenta (passo a passo), o impacto a ser supostamente gerado, e já transferir ao Tribunal a solução! Além disso, deve conceber meio para que o teste seja reproduzível a qualquer momento.
Não bastasse, o teste será fiscalizado pela comissão supervisora. Ora, é cediço que a produtividade de um profissional de segurança ou hacker é menor quando se tem alguém com uma “prancheta” às costas, anotando tudo o que é realizado.
Ainda não acabou. No ato da inscrição o edital prevê ainda que os hackers deverão entregar todos os Softwares que utilizarem nos testes! Mas o que é isso? Contribuição para o TSE ou cessão irrevogável de Softwares? Ou seria transferência de tecnologia? Ou seria capacitação técnica ao Estado?
Desenvolveu aquele script de análise de vulnerabilidade? Ele deve ser entregue ao TSE. Você tem uma licença de treze mil dólares de um software de pentest (teste de intrusão)? Ele deverá ser entregue ao TSE. Ou seja, a linha proposta pelo Tribunal contraria regras básicas de análise de vulnerabilidade, qual seja, não revelar durante o teste, de forma aprofundada, as técnicas e ferramentas. Como pode um teste ser exitoso se antes do mesmo eu entreguei para a vítima todas as minhas armas? Como diria meu amigo hacker que preservo o nome “Teste bom é aquele que fechamos com o dono, sem que a equipe de resposta a incidentes saiba!” Ele está certo!
Mas talvez o prêmio deva compensar todas estas cessões compulsórias e obrigações? Infelizmente não! Parcos R$ 5.000,00 (cinco mil reais), é o que você leva por ir até Brasília, não poder usar o seu computador com seu kits de ferramentas, binários e scripts, e ter uma contribuição considerada “relevante”!
Cinco mil reais! É o que vale uma falha de segurança no sistema eleitoral brasileiro?
Por que não oferecer uma vaga nos quadros da administração pública, incentivando os jovens pesquisadores? Porque não disponibilizar o código-fonte publicamente, fazendo com que cada cidadão possa fiscalizar suas funções? Porque não liberar o uso de notebooks e ferramentas próprias? Por que não se permitir ser pego de surpresa por um hacker? Antes agora do que no dia da votação!
De qualquer maneira, este é um país democrático e participa quem quer! Só não estranho se a qualidade dos testes não seja a “desejável” pelo Tribunal ou que “ninguém” consiga “burlar” (sic) o sistema das urnas. A iniciativa do TSE foi inédita, energizante e excelente, só pecando no aspecto procedimental. Mas nada que uma emenda ao Edital não dê um jeito. Vale como aprendizado para os próximos editais. Enquanto isso, nós preferimos a caridade: “Substituam o disquete de 3 ½ já!”.
NOTAS:
[1] http://www.tse.jus.br/internet/eleicoes/arquivos/resolucao23090.pdf
[2] http://www.tse.jus.br/internet/eleicoes/arquivos/Edital_DOU_Teste_Seguranca_parte_1.pdf
José Antonio Milagre
http://www.twitter.com/periciadigital
Advogado especialista em Direito Digital e Perito em Crimes Eletrônicos, MBA em Gestão de Tecnologia da Informação, Professor de Pós-Graduação na Universidade Presbiteriana Mackenzie, SENAC e UNIGRAN. Co-autor do livro “Internet: O Encontro de 2 Mundos” pela Editora Brasport, 2008. Colaborador no Livro “Legislação Criminal Especial”, organizado pelo Professor Luiz Flávio Gomes, Editora RT, 2009.
(1 votes, average: 5,00 out of 5)
Loading ...
Pois eh, algumas coisas sao mesmo contraditorias! Mas a pergunta seria: a urna eh realmente violavel ?
no twitter: @marcelormoreno
Parabéns, José Milagre, pela percepção precisa sobre o teste de segurança anunciado pelo TSE.
Sou co-autor da PET TSE 1896/06 que resultou, depois de 3 anos, neste teste.
Apesar de sermos obviamente a favor a realização de testes de penetração para localizar brechas para ataques externos nas urnas eletrônicas, tivemos (os autores da petição original) que renegar formalmente ao teste como proposto pelo TSE por causa das condições limitantes e pela falta de independencia (parcialidade, na realidade) das comissões criadas para regulamentar e avaliar o teste.
Além das suas críticas bem colocadas às regras, deve-se adicionar: o sistema que será testado é o que será usado em 2010 e que nem está pronto. O atacante tem que apresentar seu plano de ataque com 30 dias de antecedẽcnia sem ter tido nenhum contato com o sistema. Haverá tempo para o administrador eleitoral “ajustar” seu sistema para se defender dos ataques. Se, durante o ataque for descoberta uma vulnerabilidade inesperada, ela não poderá ser explorada porque não prevista no plano. O prazo de 3 dias (8 horas por dia) para o atacante analisar e efetuar o seu ataque é muito inferior ao tempo que funcionários (de carreira ou terceirizados) da administração eleitoral tem de contato com as urnas antes da eleição.
Conhecemos gente capaz de realizar o ataques que poderiam dar grande contribuição ao TSE, mas diante destas regras, desistimos de participar.
Por fim, gostaria de lembrar que teste de penetração são úteis para defender o sistema de ataques externos, mas que o maior risco para o eleitor, são os ATAQUES INTERNOS, já que o sistema, como está, não propicia nenhuma forma de auditoria INDEPENDENTE DO SOFTWARE como proposto pelo Phd. Ronald Rivest (o inventor da assinatura digital que compreendeu que esta não oferece garantia a sistemas eleitorais contra adulteração interna do software)
Num primeiro momento, fiquei surpreso com o edital e com a iniciativa do TSE. Mas, por não ler o edital, nem imaginava que o processo fosse tão limitante e tão barato. Enquanto isso, segue com as teorias conspiratórias sobre a violabilidade das urnas. Ah! Sem disquetes.
RESULTADO TESTES DE SEGURANÇA
HACKERS OU “RACKERS” tentaram violar o sistema eleitoral
Eis as observações presenciais feitas no evento de testes de segurança, na condição de visitante, pois não foi permitido que os partidos políticos participassem das comissões Disciplinadora, composta exclusivamente por servidores da administração eleitoral, e da Avaliadora, composta quase na sua totalidade por servidores de outras autarquias, todos escolhidos pela mesma autoridade eleitoral.
Essa estratégia de controle absoluto das comissões foi essencial à produção dos resultados positivos, posto que o TSE não poderia correr o risco de ver divulgada qualquer vulnerabilidade nos sistemas, sob pena de responder por ações judiciais daqueles que se sentissem prejudicados.
Genericamente o que se viu no evento, foi a completa violação do artigo 14 da Constituição Federal, que garante ao eleitor – agente ativo – e ao candidato – agente passivo -, o direito de saber o destino do voto dado e recebido, tarefa impossível no modelo escolhido e idolatrado pela Justiça Eleitoral.
A desconsideração e o desrespeito aos direitos políticos albergados na Constituição Federal são o sustentáculo que torna esse modelo tão bom para o administrador eleitoral e tão ruim para os candidatos e partidos políticos.
Um dos exemplo do afastamento do TSE do comando constitucional, foi o fato de não informar aos Observadores da OEA o motivo da ausência dos partidos no evento. Essa signatária teve a oportunidade de ofertar-lhes as explicações bem como de fornecer-lhes os documentos para comprovar as alegações. Eles afirmaram ter estranhado a ausência dos partidos, mas não haviam sido informados do porquê.
Outra situação diz respeito a divulgação de notícia que havia observador da Câmara dos Deputados presentes aos trabalhos, que não foi confirmada pois procurado no dia 12/11/2009, único dia de seu comparecimento ao evento, obteve-se a informação que ali estivera para compartilhar informações sobre o uso da tecnologia biométrica. Nada envolvendo testes de segurança do sistema.
Na mesma linha de ignorar o comando insculpido no artigo 14 § 3º da Constituição Federal, permitiu que o TSE divulgasse na mídia a oportunidade para que hackers tentassem violar o sistema eleitoral, mas intra muros, enviar ofícios a órgãos públicos, convocando servidores para exercer esse papel.
Como os HACKERS funcionários públicos convocados, não tinham essa especialização de fato, seria mais adequado qualificá-los de “RACKERS” ou LAMMERS, sem nenhum sentido pejorativo, mas apenas para demonstrar a incompatibilidade de um servidor público assumir a primeira denominação.
.
Nenhum dos investigadores, mesmo os “civis”, se inscreveu por iniciativa própria, todos foram convidados pela autoridade eleitoral. Os funcionários públicos foram convocados por ordem da cúpula de suas entidades para atender ao apelo, formal e incisivo, do TSE.
Nenhum dos investigadores tem histórico ou experiência bem sucedida em invasão e adulteração de código protegido e apenas 3 equipes chegaram ao ponto de abrir, para leitura, o setor de boot dos cartões de memória das urnas. Mesmo assim, não obtiveram êxito por não deterem os mesmos conhecimentos da equipe de Princeton, que atacou por esta via as urnas Diebold americanas, similares ás brasileiras.
Mas a campanha publicitária deve ser paga pelos cofres públicos. Duplo prejuízo: ao eleitor que não sabe o destino dado a seu voto e à democracia ameaçada por um sistema rejeitado em todo o mundo.
Outra questão que se tornou evidente durante os testes foi a motivação da exclusão dos partidos das comissões deliberativas, posto que seus membros, todos servidores ou indicados da Secretaria de Informática do TSE, decidiram IMPEDIR TESTES DE ATAQUES AO CÓDIGO-FONTE dos programas, antes de sua compilação.
Essa medida impediu testes contra os procedimentos ocorridos no ambiente interno do TSE, ou seja, que fossem tentados ataques diretos nos trabalhos realizados pelos membros da Comissão Disciplinadora e seus pares, responsáveis exclusivos pelo desenvolvimento dos programas das eleições. Decisão contrária levaria ao fiscalizado permitir ao fiscalizador conferir o resultado de seu trabalho, atitude difícil de acontecer.
Essa lacuna ficou aberta e como se sabe, nas eleições de 2008, aconteceu irregularidade exatamente nessa fase dos trabalhos, quando os técnicos da STI do TSE erraram e deixaram de assinar 16 arquivos das urnas, levando a complementação da tabela de resumos digitais longe das vistas dos partidos e demais fiscais, numa tremenda falha de segurança.
A decisão dos organizadores de excluir os testes sobre o código-fonte, fase relativa aos trabalhos internos do TSE, dirigia o ataque para o código compilado e nenhum dos “RACKERS” convidados mostrou histórico compatível ou conhecimento mínimo para este mister, como domínio da linguagem Assembler avançada, programação no modo protegido dos processadores ou inserção e camuflagem de código.
Tome-se como exemplo o teste proposto por um Ilustre Professor de um vasto e renomado currículo, mas que pretendia investigar a possibilidade de um eleitor votar em duas urnas na mesma eleição. De tão elementar seu teste, fadado ao fracasso, não durou mais que poucos minutos, excluindo-se o tempo que demandou para ser informado sobre como funcionava o sistema. Vê-se por ai que não detinha conhecimentos mínimos sobre os procedimentos que se propôs atacar.
Outro exemplo de ataque fadado ao insucesso foi tentar adulterar o Boletim de Urna (BU) impresso, simplesmente ignorando que a totalização é feita a partir do BU digital e não do impresso.
A ilegalidade dos procedimentos não se restringiu ao artigo 14 da Constituição, pois não há como negar que a natureza jurídica dos testes de segurança enquadra-se na última figura prevista no artigo 420 “caput” do Código de Processo Civil brasileiro, por visar produzir prova da segurança dos sistemas eleitorais através da modalidade avaliação.
Nesse particular, ao compor a Comissão Disciplinadora com seus servidores o TSE violou o artigo 138, inciso II, do mesmo CPC que proíbe, a participação de serventuários na produção da prova pericial.
Evidente também, violação ao contido no artigo 138, inciso III, do Código de Processo Civil posto que compõem as comissões, regulamentadoras e avaliadoras dos teste, professores universitários que já prestaram assessoria anterior ao TSE, remunerada ou não, mas em comum defendem posição favorável a mantença do sistema nos moldes atuais.
Muitos, incluindo nossos legisladores como também as mais de 50 Nações que aqui estiveram conhecendo nosso sistema eleitoral, rejeitaram as teses apresentadas por estes professores, e apóiam a Lei 12.034/2009, que prevê no seu artigo 5º uma auditoria simples de recontagem de 2% das urnas, possível de ser realizada por qualquer cidadão. Mas ninguém deste grupo foi nomeado entre os membros das comissões.
Além das ilegalidades apontadas, pondere-se ainda, o tempo que os investigadores presentes utilizaram para a realização dos testes:
investigadores da PGR – foram-lhes disponibilizados 4 dias – compareceram integralmente apenas no dia 10/11/2009, parcialmente no dia 12/11/2009 e 13/11/2009 (14:00 às 18:00). Ausentes em 11/11/2009.
investigadores da CGU – Compareceram apenas no dia 12/11/2009, com o relatório pronto. As sugestões nele encontradas são administrativas. Não foram tentados ataques aos sistemas da urna.
investigador da Polícia Federal – apenas um compareceu no dia 13/11/2009 , chegando às 11:00 horas, saiu às 12:00 para almoço, retornou às 14:00 e às 15:00 horas já havia encerrado seus trabalhos.
investigadores do STJ – compareceram no dia 10/11/2009 e na manhã do dia 11/11/2009.
Investigador do TST – apenas um compareceu no dia 13/11/2009: chegou às 11:00 horas e antes das 15:00 já tinha terminado sua frágil tentativa;
Investigadores da Marinha – compareceram, alternadamente, apenas em metade do tempo destinado a seus ataques. O chefe da equipe, único inscrito formalmente, compareceu apenas na tarde do terceiro dia para apresentar o relatório.
Todas essas dificuldades em adequar o modelo eleitoral atual às normas legais previstas no direito pátrio devem ser suplantadas em 2014 com a vigência da Lei 12.034/2009, que prevê:
Art. 5o Fica criado, a partir das eleições de 2014, inclusive, o voto impresso conferido pelo eleitor, garantido o total sigilo do voto e observadas as seguintes regras: (…)
§ 4o Após o fim da votação, a Justiça Eleitoral realizará, em audiência pública, auditoria independente do software mediante o sorteio de 2% (dois por cento) das urnas eletrônicas de cada Zona Eleitoral, respeitado o limite mínimo de 3 (três) máquinas por município, que deverão ter seus votos em papel contados e comparados com os resultados apresentados pelo respectivo boletim de urna.
Resta saber se a Justiça Eleitoral se rendera aos reclamos dos partidos, eleitores e candidatos dando cumprimento a esse comando, fácil eficaz e barato, que não exclui nenhuma das vantagens do modelo atual mas acrescenta a possibilidade de se conferir o destino do voto dado pelo eleitor.
MARIA APARECIDA CORTIZ
ADVOGADA EM SP
ESPECIALISTA EM AUDITORIA ELEITORAL
Comente!
Sites em que escreve
Tags relevantes
Atualizações @periciadigital
Categorias
Páginas
Agenda do Blog
Últimos posts
mais comentados
Comentários recentes