O Tribunal Superior Eleitoral apresentou nesta terça, 15/3, o resultado final dos testes de segurança na urna eletrônica. E com ele, uma surpresa: ao fazer o balanço das tentativas de quebra da segurança, na semana passada, o TSE esqueceu de mencionar que pela primeira vez um ataque teve sucesso em alterar os votos na urna.
O feito é do analista de sistemas, Sérgio Freitas da Silva, ele mesmo um veterano dos testes patrocinados pelo TSE – foi o vencedor do primeiro teste, em 2009, quando demonstrou ser possível recuperar os votos com a captura, por radiofrequência, do que era digitado.
“Foi a primeira vez que um ataque foi bem sucedido em violar a integridade do voto, não o sigilo”, admite Sérgio. “Descobri uma vulnerabilidade no código verificador, usado como medida de contingência em casos, por exemplo, de urnas com defeito, e gerei um ataque para construir um boletim de urna falso”, explica.
Parte do sucesso foi o uso desse código (hash) para autenticar como verdadeiro o boletim de urna falsificado – ou seja, fazer com que o sistema interpretasse o novo boletim como a legítima apuração da urna. É com base nos boletins de urna que o sistema totalizador calcula o total de votos.
O TSE afirma que a chance de essa brecha ser utilizada é desprezível “zero vírgula zero zero zero...”, nas palavras do ministro Henrique Neves, que fez a apresentação do relatório final dos três dias de ataques. Segundo ele, “o teste não é para provar que a urna é perfeita, mas buscar uma forma de aperfeiçoamento”.
O argumento do Tribunal é que o ataque se de circunstâncias propiciadas por medidas de contingência. “Nas últimas eleições, isso aconteceu com apenas 33 urnas no primeiro turno e com 17 no segundo”, diz o secretário de tecnologia da informação do TSE, Giuseppe Janino.
O relatório final dos testes destaca também outros dois sucessos. A equipe do professor Luis Fernando de Almeida, diretor do departamento de informática da Unitau, em Taubaté-SP, explorou o sistema de áudio que auxilia a votação de pessoas com deficiência visual e com isso quebrou o sigilo dos votos.
Já o professor João Felipe Souza, do curso de informática do Instituto Federal do Triângulo Mineiro, conseguiu ‘formatar’ (reflash) a urna. “Com isso seria possível votar novamente, mas na situação real é impraticável, porque tem que abrir a urna para fazer alterações”, diz ele.
 |
 |
 Em trabalho conjunto com o hacker Andrew Huang, aparelho se parece com uma capa protetora e identifica a emissão de sinais de rádio, fornecendo um monitoramento constante sobre os celulares. |
| Clique aqui para ver a cobertura completa |
Não delegue a segurança cibernética apenas para a TI
Para mitigar os riscos com ataques hackers, toda a corporação precisa se unir, adverte Jun Goto, vice-presidente Sênior da NEC Corporation.
Variante do ransomware - que parou várias empresas em 2017 - causou estragos na Taiwan Semiconductor Manufacturing (TSMC), fabricante de chips e fornecedora da Apple. Orientação dos especialistas é cuidar da atualização dos sistemas.
Levantamento apura ainda que o tempo médio para conter uma violação de dados no Brasil está em 100 dias. Já o tempo para identificar a violação dos dados caiu de 250 dias para 240 dias.
No Brasil, resolução do Banco Central, de abril deste 2018, deu um ano para que as instituições financeiras aprovem políticas de segurança e planos de resposta a incidentes.
Relatório de segurança mostar que os hackers invadiram o mundo das bitcoins sequestrando os navegadores das vítimas ou infectando seus sistemas para minerar criptomoedas legítimas. Amostras recolhidas chegaram a 2,9 milhões nos três primeiros meses do ano.
