TSE convoca hackers para testarem segurança da urna eletrônica 5


Urna Eletronica

O Tribunal Superior Eleitoral (TSE) vai realizar testes de segurança no sistema eletrônico de votação que será utilizado nas eleições gerais de 2010. Os testes vão ocorrer nas dependências do Tribunal e qualquer brasileiro maior de 18 anos pode se inscrever, até o dia 13 de outubro, para participar da iniciativa. Os participantes que apresentarem as três ideias mais relevantes para o aprimoramento do sistema serão premiados em R$ 5 mil, R$ 3 mil e R$ 2 mil.

A abertura da urna eletrônica e dos softwares de votação, para testes públicos, é uma ação inédita da Justiça Eleitoral. A realização dos testes foi aprovada por unanimidade, na sessão administrativa do TSE. Os testes de segurança no sistema eletrônico de votação servirão para verificar possíveis vulnerabilidades no sistema, ou seja, se ele está sujeito a eventuais violações ou fraudes.

Segundo comunicado do TSE, inscritos poderão promover ataques nos sistemas para verificar se eles são falhos ou suscetíveis a violações e fraudes. Os profissionais serão julgados de acordo com a contribuição que derem para os testes e para a segurança do sistema.

Fonte: TSE / IDG Now

Últimos 5 artigos de Eduardo Costa

Sobre Eduardo Costa

De Campinas-SP, bacharel em Sistema de Informação pela Anhanguera Educacional e pós graduado no curso de MBA em Gestão de Projetos e Metodologia do Ensino Superior. Atualmente trabalha como arquiteto e desenvolvedor Java em empresa de desenvolvimento de software de suporte a tomada de decisão, além de ministrar aulas de Orientação a Objeto, Linguagem Java e XML. Já atuou como líder técnico, coordenador de produto e analista de negócios.

Deixe uma resposta

5 pensamentos em “TSE convoca hackers para testarem segurança da urna eletrônica

  • maria aparecida cort

    RESULTADO TESTES DE SEGURANÇA

    HACKERS OU “RACKERS” tentaram violar o sistema eleitoral

    Eis as observações presenciais feitas no evento de testes de segurança, na condição de visitante, pois não foi permitido que os partidos políticos participassem das comissões Disciplinadora, composta exclusivamente por servidores da administração eleitoral, e da Avaliadora, composta quase na sua totalidade por servidores de outras autarquias, todos escolhidos pela mesma autoridade eleitoral.

    Essa estratégia de controle absoluto das comissões foi essencial à produção dos resultados positivos, posto que o TSE não poderia correr o risco de ver divulgada qualquer vulnerabilidade nos sistemas, sob pena de responder por ações judiciais daqueles que se sentissem prejudicados.

    Genericamente o que se viu no evento, foi a completa violação do artigo 14 da Constituição Federal, que garante ao eleitor – agente ativo – e ao candidato – agente passivo -, o direito de saber o destino do voto dado e recebido, tarefa impossível no modelo escolhido e idolatrado pela Justiça Eleitoral.

    A desconsideração e o desrespeito aos direitos políticos albergados na Constituição Federal são o sustentáculo que torna esse modelo tão bom para o administrador eleitoral e tão ruim para os candidatos e partidos políticos.

    Um dos exemplo do afastamento do TSE do comando constitucional, foi o fato de não informar aos Observadores da OEA o motivo da ausência dos partidos no evento. Essa signatária teve a oportunidade de ofertar-lhes as explicações bem como de fornecer-lhes os documentos para comprovar as alegações. Eles afirmaram ter estranhado a ausência dos partidos, mas não haviam sido informados do porquê.

    Outra situação diz respeito a divulgação de notícia que havia observador da Câmara dos Deputados presentes aos trabalhos, que não foi confirmada pois procurado no dia 12/11/2009, único dia de seu comparecimento ao evento, obteve-se a informação que ali estivera para compartilhar informações sobre o uso da tecnologia biométrica. Nada envolvendo testes de segurança do sistema.

    Na mesma linha de ignorar o comando insculpido no artigo 14 § 3º da Constituição Federal, permitiu que o TSE divulgasse na mídia a oportunidade para que hackers tentassem violar o sistema eleitoral, mas intra muros, enviar ofícios a órgãos públicos, convocando servidores para exercer esse papel.

    Como os HACKERS funcionários públicos convocados, não tinham essa especialização de fato, seria mais adequado qualificá-los de “RACKERS” ou LAMMERS, sem nenhum sentido pejorativo, mas apenas para demonstrar a incompatibilidade de um servidor público assumir a primeira denominação.

    .

    Nenhum dos investigadores, mesmo os “civis”, se inscreveu por iniciativa própria, todos foram convidados pela autoridade eleitoral. Os funcionários públicos foram convocados por ordem da cúpula de suas entidades para atender ao apelo, formal e incisivo, do TSE.

    Nenhum dos investigadores tem histórico ou experiência bem sucedida em invasão e adulteração de código protegido e apenas 3 equipes chegaram ao ponto de abrir, para leitura, o setor de boot dos cartões de memória das urnas. Mesmo assim, não obtiveram êxito por não deterem os mesmos conhecimentos da equipe de Princeton, que atacou por esta via as urnas Diebold americanas, similares ás brasileiras.

    Mas a campanha publicitária deve ser paga pelos cofres públicos. Duplo prejuízo: ao eleitor que não sabe o destino dado a seu voto e à democracia ameaçada por um sistema rejeitado em todo o mundo.

    Outra questão que se tornou evidente durante os testes foi a motivação da exclusão dos partidos das comissões deliberativas, posto que seus membros, todos servidores ou indicados da Secretaria de Informática do TSE, decidiram IMPEDIR TESTES DE ATAQUES AO CÓDIGO-FONTE dos programas, antes de sua compilação.

    Essa medida impediu testes contra os procedimentos ocorridos no ambiente interno do TSE, ou seja, que fossem tentados ataques diretos nos trabalhos realizados pelos membros da Comissão Disciplinadora e seus pares, responsáveis exclusivos pelo desenvolvimento dos programas das eleições. Decisão contrária levaria ao fiscalizado permitir ao fiscalizador conferir o resultado de seu trabalho, atitude difícil de acontecer.

    Essa lacuna ficou aberta e como se sabe, nas eleições de 2008, aconteceu irregularidade exatamente nessa fase dos trabalhos, quando os técnicos da STI do TSE erraram e deixaram de assinar 16 arquivos das urnas, levando a complementação da tabela de resumos digitais longe das vistas dos partidos e demais fiscais, numa tremenda falha de segurança.

    A decisão dos organizadores de excluir os testes sobre o código-fonte, fase relativa aos trabalhos internos do TSE, dirigia o ataque para o código compilado e nenhum dos “RACKERS” convidados mostrou histórico compatível ou conhecimento mínimo para este mister, como domínio da linguagem Assembler avançada, programação no modo protegido dos processadores ou inserção e camuflagem de código.

    Tome-se como exemplo o teste proposto por um Ilustre Professor de um vasto e renomado currículo, mas que pretendia investigar a possibilidade de um eleitor votar em duas urnas na mesma eleição. De tão elementar seu teste, fadado ao fracasso, não durou mais que poucos minutos, excluindo-se o tempo que demandou para ser informado sobre como funcionava o sistema. Vê-se por ai que não detinha conhecimentos mínimos sobre os procedimentos que se propôs atacar.

    Outro exemplo de ataque fadado ao insucesso foi tentar adulterar o Boletim de Urna (BU) impresso, simplesmente ignorando que a totalização é feita a partir do BU digital e não do impresso.

    A ilegalidade dos procedimentos não se restringiu ao artigo 14 da Constituição, pois não há como negar que a natureza jurídica dos testes de segurança enquadra-se na última figura prevista no artigo 420 “caput” do Código de Processo Civil brasileiro, por visar produzir prova da segurança dos sistemas eleitorais através da modalidade avaliação.

    Nesse particular, ao compor a Comissão Disciplinadora com seus servidores o TSE violou o artigo 138, inciso II, do mesmo CPC que proíbe, a participação de serventuários na produção da prova pericial.

    Evidente também, violação ao contido no artigo 138, inciso III, do Código de Processo Civil posto que compõem as comissões, regulamentadoras e avaliadoras dos teste, professores universitários que já prestaram assessoria anterior ao TSE, remunerada ou não, mas em comum defendem posição favorável a mantença do sistema nos moldes atuais.

    Muitos, incluindo nossos legisladores como também as mais de 50 Nações que aqui estiveram conhecendo nosso sistema eleitoral, rejeitaram as teses apresentadas por estes professores, e apóiam a Lei 12.034/2009, que prevê no seu artigo 5º uma auditoria simples de recontagem de 2% das urnas, possível de ser realizada por qualquer cidadão. Mas ninguém deste grupo foi nomeado entre os membros das comissões.

    Além das ilegalidades apontadas, pondere-se ainda, o tempo que os investigadores presentes utilizaram para a realização dos testes:

    investigadores da PGR – foram-lhes disponibilizados 4 dias – compareceram integralmente apenas no dia 10/11/2009, parcialmente no dia 12/11/2009 e 13/11/2009 (14:00 às 18:00). Ausentes em 11/11/2009.

    investigadores da CGU – Compareceram apenas no dia 12/11/2009, com o relatório pronto. As sugestões nele encontradas são administrativas. Não foram tentados ataques aos sistemas da urna.

    investigador da Polícia Federal – apenas um compareceu no dia 13/11/2009 , chegando às 11:00 horas, saiu às 12:00 para almoço, retornou às 14:00 e às 15:00 horas já havia encerrado seus trabalhos.

    investigadores do STJ – compareceram no dia 10/11/2009 e na manhã do dia 11/11/2009.

    Investigador do TST – apenas um compareceu no dia 13/11/2009: chegou às 11:00 horas e antes das 15:00 já tinha terminado sua frágil tentativa;

    Investigadores da Marinha – compareceram, alternadamente, apenas em metade do tempo destinado a seus ataques. O chefe da equipe, único inscrito formalmente, compareceu apenas na tarde do terceiro dia para apresentar o relatório.

    Todas essas dificuldades em adequar o modelo eleitoral atual às normas legais previstas no direito pátrio devem ser suplantadas em 2014 com a vigência da Lei 12.034/2009, que prevê:

    Art. 5o Fica criado, a partir das eleições de 2014, inclusive, o voto impresso conferido pelo eleitor, garantido o total sigilo do voto e observadas as seguintes regras: (…)

    § 4o Após o fim da votação, a Justiça Eleitoral realizará, em audiência pública, auditoria independente do software mediante o sorteio de 2% (dois por cento) das urnas eletrônicas de cada Zona Eleitoral, respeitado o limite mínimo de 3 (três) máquinas por município, que deverão ter seus votos em papel contados e comparados com os resultados apresentados pelo respectivo boletim de urna.

    Resta saber se a Justiça Eleitoral se rendera aos reclamos dos partidos, eleitores e candidatos dando cumprimento a esse comando, fácil eficaz e barato, que não exclui nenhuma das vantagens do modelo atual mas acrescenta a possibilidade de se conferir o destino do voto dado pelo eleitor.

    MARIA APARECIDA CORTIZ

    ADVOGADA EM SP

    ESPECIALISTA EM AUDITORIA ELEITORAL

      • maria aparecida cort

        SIGILO DO VOTO COM USO DA URNA ELETRÔNICA

        Não faz muito tempo, declinei sob o título “testes de segurança, a certeza dos resultados” que o TSE somente deixaria divulgar como resultado dos testes de segurança, a absoluta inviolabilidade das urnas e a segurança plena do sistema eleitoral, pois admitir erros ou falhas ensejaria inúmeras ações dos prejudicados.

        Embora forte, essa não é a única razão para o TSE encobrir e impedir qualquer ataque a honra do processo que inclui a urna. Encontram-se reunidos nesse mesmo órgão, os progenitores biológicos – técnicos responsáveis pelo sistema e progenitores por adoção, demais membros da Justiça Eleitoral, sem exceção.

        Contra essa defesa paternal da Justiça Eleitoral em prol da sua urna não há no ordenamento jurídico instrumento eficaz, tudo porque o sistema é sua cria querida e, incapaz de cometer erros aos olhos dos pais o que justifica todos os atos e medidas no sentido de preservar a sua reputação.

        E mais, na condição de menores impúberes, já que o sistema de voto eletrônico tem apenas 13 anos, levaria ao pólo ativo de demandas os próprios progenitores – magistrados e serventuários, coisa que eles não querem ver acontecer. Por isso, como não se espera que os pais enxerguem os erros dos filhos, também não se poderia esperar que a Justiça Eleitoral admitisse os defeitos no processo que criou.

        Essa prática ficou plenamente demonstrada nas atitudes do administrador eleitoral, para manter os resultados negativos dos testes de segurança das urnas realizados entre os dias 10 a 13/11/2009, na sede o TSE.

        Embora com todos os cuidados tomados, tais como a escolha dos membros das comissões disciplinadora dos testes – composta exclusivamente por serventuários da sua secretária de informática – progenitores biológicos do sistema, ou na comissão avaliadora, composta pelo TSE – progenitor por adoção, por convidados especialmente escolhidos, dentre os quais prestadores de serviços. Todos, sem exceção, com posição declarada a seu favor.

        O mesmo cuidado levou a que o TSE convocasse, dentre servidores públicos, os investigadores que chamou de hackers, discutido em “hackers ou “rackers” tentaram invadir o sistema eleitoral”.
        http://www.jusbrasil.com.br/noticias/2008801/hack
        Mesmo assim, um pequeno descuido ameaçou alterar a certeza dos resultados negativos preanunciados. No primeiro dia dos testes de segurança no TSE, um investigador, usando um rádio de pilha conseguiu detectar vazamento de ondas eletromagnéticas do teclado das urnas eletrônicas., o que lhe rendeu o prêmio máximo da competição.

        Em entrevista ao portal IDGNOW do dia 20/11/2009, o investigador informou que esses testes já foram realizados pelo Laboratório de Segurança e Criptografia de Lausanne da Ecole Polytechnique Fédérale de Lausanne. e demonstrou ser eficiente até distâncias superiores a 20 metros.
        http://idgnow.uol.com.br/seguranca/2009/11/20/per
        A potencialidade de identificação do voto foi comprovada pelo investigador, através de vídeos em:

        sobre o experimento "Compromising Electreomagnetic Emanations Keyboards Experiment" dos pesquisadores suiços Martin Vuagnoux Sylvain Pasini.

        A solução do TSE, para a busca da certeza dos resultados e a defesa da honra da prole imaculável, veio no dia 21/11/2009, com a noticia que investigaria e-mail falso divulgando a quebra de segurança da urna eletrônica”.
        http://oglobo.globo.com/pais/mat/2009/11/21/tse-v
        Com a repercussão da notícia por vários outros portais, na madrugada de 24/11/2009, denunciando a volta do voto de cabresto na forma eletrônica, o investigador emitiu nota ao portal IDGNow, publicado em 24/11/2009, onde tenta fazer com que o seu sucesso se adéqüe ao resultado pretendido pelo TSE.
        http://idgnow.uol.com.br/seguranca/2009/11/24/per

        E, com isso a garantia e defesa esperada do guardião, dos direitos políticos (art. 14 CF) espinha central da democracia sucumbiu em prol da honra da prole idolatrada.

        O mesmo motivo levou a derrocada do sigilo e integridade do voto resguardados infra constitucionalmente pela obediência aos requisitos do artigo 103 do Código eleitoral, corporificados no artigo 61 da Lei 9.504/97.

        A imutabilidade dessa situação está devidamente assegurada pelo progenitor, quando nas Resoluções que edita impõe a integridade e o sigilo do voto , desde que usados a urna eletrônica e os sistemas de informática por ele desenvolvidos. (art. 43 da Res. TSE nº 22.712/2008).

        O investigador tentou minimizar as conseqüências de suas declarações, mas e os vídeos com elas divulgados? Ora! aos vídeos o administrador eleitoral irá aplicar as mesmas regras daqueles que divulgaram os testes realizados pela Universidade de Princeton, que obteve sucesso em alterar os votos.



        Nem um nem outro são possíveis de serem realizados nas urnas brasileiras, pondo um ponto final nessa discussão.

        Isso pode ser confirmado nos endereços a seguir:

        http://www.tse.gov.br/internet/eleicoes/arquivos/http://www.tse.gov.br/internet/eleicoes/arquivos/
        No primeiro há planilha com comentários de serventuário e no segundo um comunicado escrito pelo secretário de informática do TSE e por um de seus assessores, cedido pelo INPE através de convênio oneroso desde 1995.

        Sem surpresa em ambos, os criadores da urna negam a possibilidade de identificação do voto do eleitor através da captura de ondas eletromagnéticas nos teclados mas, sem nenhuma comprovação somente versões pessoais dos fatos minuciosamente construídas para recolocar o resultado no caminho por eles idealizado.

        Como, se não pelos laços de paternidade justificar a defesa às cegas de um sistema rechaçado por mais de 50 nações que aqui vieram para o conhecer, ou a desconsideração de testes científicos que comprovaram desvio e quebra de sigilo do voto do eleitor.

        Cabe aos cidadãos, eleitores e candidatos sem esse tipo de vínculo, avaliar se é esse o modelo ideal para o nosso sistema eleitoral.

        MARIA APARECIDA CORTIZ

        ADVOGADA EM SP – ESPECIALISTA EM

        AUDITORIA PROCESSO ELEITORAL

  • Marco Antonio

    tentarei resumir:

    hacker de verdade não vende galinha de ovos de ouro por R$5.000,00!

    ai vem uns Lamers. , e o TSE, vai para a galera, e diz para os "me engane que eu gosto", que o sistema é super seguro…seremos felizes para sempre etc…

    rsrsrsrs!

    • Eduardo Costa - Dime

      Bem colocado. Será que um especialista em segurança (hacker) trabalharia por uma "recompensa" de 5000 para burlar um sistema como os das Urnas ?

      Acho que se um Hacker conseguisse fazer isso iria preferir dispensar os 5000 e ficar com a fama de ter burlado o sistema das urnas.