Olá, ComUnidade WirelessBRASIL! 

Transcrevo abaixo 04 matérias sobre a tentativa de quebra do sistema de votação a ser utilizado em 2010, feita por "hackers", sob supervisão do TSE.

As notícias citam o engenheiro Amilcar Brunazo Filho.

O nosso Bruno Cabral enviou recentemente duas mensagens do Eng. Brunazo, que estão transcritas lá no final.

Amilcar Brunazo Filho é engenheiro pela EPUSP, mora em Santos. SP, Especializado em segurança de dados, é o supervisor do Fórum do Voto-E. Em 2000 prestou assessoria sobre votação eletrônica ao Senado Federal e desde então tem assessorado diversos partidos políticos na representação junto ao TSE, como PDT, PSB, PV e PT do B.
Em 2001, foi nomeado assistente da CCJ do Senado para acompanhar a perícia do Sistema Eleitoral Informatizado junto a equipe da Unicamp. Tem participado como Assistente Técnico em perícias sobre o sistema eleitoral eletrônico para diversos partidos como PMDB (Paraíba), PT (Ceará), PPS (Camaçari), PFL (Santo Estevão), PDT (Marília) e outros.
Autor de inúmeros trabalhos e participante de debates técnicos em Congressos Científicos de Segurança de Dados do ITA e da SBC sobre o voto eletrônico no Brasil.
É um dos responsáveis pelo site http://www.votoseguro.org/

Ao debate!

Boa leitura!
Um abraço cordial
Helio Rosa

-----------------------------

Fonte: G1
[10/11/09]  Hackers iniciam o primeiro dia de testes nas urnas eletrônicas do TSE - por Diego Abreu

Fonte: G1
[10/11/09]  Observadores internacionais vão acompanhar testes de urnas no TSE - por Diego Abreu

Fonte: IDGNow!
[30/10/09]  Hackers terão pouco tempo para testar urna eletrônica, diz especialista - por Daniela Braun para o IDG Now!

Fonte: Terra
[25/10/09]  Hackers acusam TSE de manipular desafio de urnas eletrônicas - por Laryssa Borges

------------------------------

Fonte: G1
[10/11/09]  Hackers iniciam o primeiro dia de testes nas urnas eletrônicas do TSE - por Diego Abreu

Secretário do TSE não acredita que consigam burlar o sistema.
Brasil é o primeiro país a abrir sistema para testes, diz Giuseppe Janino.

Os testes das urnas eletrônicas que serão usadas nas eleições de 2010 contam com a presença de 17 hackers.
 
O Tribunal Superior Eleitoral (TSE) iniciou na manhã desta terça-feira (10) o primeiro dia dos testes de segurança das urnas eletrônicas que serão usadas nas eleições de 2010. Desde às 9h, 17 hackers estão tentando fraudar as urnas. Até sexta-feira (13), um total de 38 “investigadores”, como são chamados pelo TSE, trabalharão nas cinco ilhas montadas na sede do tribunal, em Brasília.

O secretário de Tecnologia da Informação do TSE, Giuseppe Janino, afirmou em entrevista coletiva que não acredita na possibilidade de as barreiras que protegem o sistema eleitoral serem vencidas pelos hackers.

“Nós temos muita confiança no nosso processo hoje instalado. Tanto é que, em 13 anos de existência do processo eleitoral automatizado, não houve sequer um registro de fraude ou tentativa de fraude. Estamos bastante confiantes. No entanto, se uma dessas barreiras forem quebradas isso servirá efetivamente para que nós possamos implementar as melhorias”, ponderou. 
 
O objetivo do TSE é que os testes possam contribuir para o aperfeiçoamento do sistema eleitoral do país. “Creio que o evento tem possibilidade de trazer grandes contribuições para o processo eleitoral brasileiro, que tem um grau de confiabilidade bastante alto”, disse Giuseppe Janino. 

Hackers
Os hackers inscritos, a maioria especialistas em informática e tecnologia da informação, têm planos de testes que vão desde a quebra do sigilo do voto até a alteração do destino do voto digitado na urna. Segundo o secretário do TSE, fica a cargo do investigador escolher a ferramenta que vai utilizar no plano de teste. Ele acrescentou que o tribunal não colocou nenhuma restrição em relação a ação dos hackers.

Ao final de cada teste, a Comissão Disciplinadora dos Testes do TSE irá preparar um relatório sobre as ações. No dia 20, os "investigadores" que apresentarem as três melhores ideias para o aprimoramento do sistema eleitoral receberão prêmios de R$ 5 mil, R$ 3 mil e R$ 2 mil. O resultado será avaliado pela Comissão Avaliadora dos Testes. 
Pioneiro
Giuseppe Janino observou que o Brasil é o primeiro país a abrir seu sistema eleitoral para testes públicos. “Na Justiça Eleitoral brasileira não há registro e, no mundo, também não há registros de que algum país tenha aberto seu sistema para testes públicos, principalmente um sistema automatizado”, disse.

O físico Edison Alonso, um dos “investigadores” inscritos nos testes, disse ao G1 que seu grupo busca alterar a base de eleitores que é carregada em uma urna. A possibilidade permitiria que um candidato recebesse votos de eleitores “que não são vinculados à seção eleitoral referente à urna”.

Alonso é um dos membros da Cáritas Informática, empresa privada de auditoria que já representou o Partido dos Trabalhadores (PT) na análise de softwares de urnas eletrônicas antes da lacração dos programas instalados nas urnas em eleições recentes.

Além dos hackers da Cáritas, também há “investigadores” da Information System Security Association (ISSA) e de órgãos e entididades governamentais como a Polícia Federal, Marinha e Controladoria-Geral da União (CCU). 

Observadores
Os testes são acompanhados por dois observadores internacionais da Organização dos Estados Americanos (OEA), que vieram de Washington especialmente para acompanharem a tentativa dos hackers burlarem o sistema eleitoral do Brasil. Dentre os observadores brasileiros, há representantes da Federação Nacional das Empresas de Informática, do Serviço Federal de Processamento de Dados (Serpro), do Tribunal de Contas da União (TCU), do Exército, da Câmara e da Polícia Civil do Distrito Federal.

-----------------------------------

Fonte: G1
[10/11/09]  Observadores internacionais vão acompanhar testes de urnas no TSE - por Diego Abreu

A partir desta terça, 38 hackers vão tentar fraudar sistema de votação.
Objetivo é aprimorar segurança da urnas eletrônicas usada nas eleições.

Dois observadores internacionais da Organização dos Estados Americanos (OEA) vão acompanhar a partir desta terça-feira (10) os testes de segurança das urnas eletrônicas que serão usadas nas eleições de 2010. De acordo com o Tribunal Superior Eleitoral (TSE), 38 hackers devem tentar fraudar as urnas entre esta terça e sexta-feira (13).

Além dos representantes da OEA, também acompanharão os testes especialistas da Federação Nacional das Empresas de Informática, do Serviço Federal de Processamento de Dados (Serpro), do Tribunal de Contas da União (TCU) e da Polícia Civil do Distrito Federal.

Os especialistas terão acesso às cinco ilhas que serão utilizadas pelos hackers – chamados pelo TSE de "investigadores" – e também ao trabalho da Comissão Disciplinadora dos Testes do TSE, responsável pela preparação de relatórios após as ações.

Os hackers inscritos terão o objetivo de fraudar as urnas eletrônicas, seja alterando o destino do voto digitado, quebrando o sigilo do voto ou de qualquer outra maneira que possa contribuir para o aperfeiçoamento do sistema eleitoral brasileiro.

Todas as 26 fichas de inscrição foram aceitas, sendo que há times compostos por até sete "investigadores" e outros com apenas um hacker. No total, há dez planos de testes. Entre os inscritos para tentar burlar as urnas, há especialistas em ciência da computação, segurança da informação, engenharia eletrônica e de redes e tecnologia da informação. Alguns dos profissionais trabalham em órgãos como a Polícia Federal e Controladoria-Geral da União (CGU).

Há também membros de entidades especializadas em segurança da informação, como a Information System Security Association (ISSA) e a Cáritas Informática, empresa privada de auditoria que já representou o Partido dos Trabalhadores (PT) na análise de softwares de urnas eletrônicas antes da lacração dos programas instalados nas urnas em eleições recentes.

Propostas

De acordo com o TSE, um dos inscritos propôs que a utilização de ondas eletromagnéticas pode identificar as teclas apertadas pelo eleitor e quebrar o sigilo do voto.

Outra proposta trata da utilização de um “software malicioso” no cartão de memória flash da urna, para desviar os votos digitados. Depois de operar, o programa se destruiria para não deixar vestígios. “Tais tentativas colocarão à prova os diversos mecanismos de segurança da votação eletrônica”, disse o secretário de Tecnologia da Informação do TSE, Giuseppe Janino.

Os hackers que apresentarem as três melhores ideias para o aprimoramento do sistema eleitoral receberão prêmios de R$ 5 mil, R$ 3 mil e R$ 2 mil.

---------------------------------

Fonte: IDGNow!
[30/10/09]  Hackers terão pouco tempo para testar urna eletrônica, diz especialista - por Daniela Braun para o IDG Now!

Em teste público, 32 hackers terão 4 dias para quebrar o sistema da urna eletrônica, que fica vulnerável por 20 dias, na prática, afirma técnico.

A urna eletrônica e dos softwares de votação que serão usados nas eleições de 2010 serão colocados a prova por 32 hackers, entre os dias 10 e 13 de novembro, no auditório do Tribunal Superior Eleitoral (TSE), em Brasília.

O período de quatro dias de testes, que será aberto ao público e a representantes de partidos políticos, foi considerado insuficiente pelo engenheiro especializado em segurança Amilcar Brunazo Filho, que acompanha o desenvolvimento da urna eletrônica desde 2000.

“Os hackers terão quatro dias para tentar invadir o sistema, mas a urna eletrônica fica vulnerável durante 20 dias”, afirma o engenheiro referindo-se ao período em que 14 mil técnicos contratados temporariamente pelo TSE recebem a versão final do sistema de votação para instalar o programa nas urnas e distribuí-las nas zonas eleitorais.

Como representante técnico do Partido Democrático Trabalhista (PDT), Brunazo encaminhou ao TSE, em 2006, um pedido de testes públicos de segurança da urna eletrônica, ao lado dos representantes do Partido dos Trabalhadores (PT) e do Partido da República (PR). O grupo decidiu não participar do teste por não concordar com as condições estabelecidas para o teste, explica Brunazo.

Planos de invasão
A ideia dos testes públicos de segurança no sistema eletrônico de votação é verificar possíveis vulnerabilidades no sistema e propor melhorias, informou a assessoria de comunicação do TSE ao IDG Now!. O grupo de 32 pessoas pode ser formado tanto por especialistas independentes, como de empresas ou de partidos políticos.

Entre os planos de testes apresentados pelos candidatos, destaca-se a inserção de um software malicioso no cartão de memória flash da urna para alterar o funcionamento do sotfware de inicialização do equipamento, com o objetivo de promover desvios nos votos digitados. Outra proposta envolve a investigação de ondas eletromagnéticas que permitem a identificação das teclas apertadas pelo eleitor, quebrando o sigilo do voto.

O TSE aprovou todas as 26 inscrições recebidas com propostas de tentativas de invasão da urna eletrônica. “Os participantes que apresentarem as três ideias mais relevantes para o aprimoramento do sistema serão premiados em 5 mil reais, 3 mil reais e 2 mil reais”, informa o órgão em seu site.

O grupo será dividido em cinco e os testes serão monitorados por uma comissão técnica indicada pelo próprio TSE, fato que também foi criticado por Brunazo. “A Comissão Avaliadora [formada por membros externos à Justiça Eleitoral]e a Regulamentadora não foram indicadas pelos partidos”, afirma.

--------------------------------

Fonte: Terra
[25/10/09]   Hackers acusam TSE de manipular desafio de urnas eletrônicas - por Laryssa Borges

Hackers dizem que o desafio lançado pelo Tribunal Superior Eleitoral (TSE), que pediu a piratas da internet de todo o País para que tentem fraudar o sistema de urnas eletrônicas é, na verdade, apenas uma forma de "provar" que o mecanismo eletrônico é inviolável. Segundo eles, o TSE manipula as regras do jogo, limitando os softwares que eles podem usar na tentativa de violar as urnas. O TSE afirma que "não pretende cercear nenhum investigador".

"A realidade é uma só. Eles, do TSE, não querem correr o risco. Por isso escolhem os softwares a serem usados. Fica complicado assim. Um software que é usado para 'crackear' e 'hackear' hoje custa em torno de R$ 30 mil. É quase impossível adquirir a licença de forma legal. Se pudéssemos usar (qualquer ferramenta) seria outra coisa e a realidade, outra. Com certeza a perícia forense nesses sistemas (ilegais) seria frágil", comenta o hacker Álvaro Falconi, moderador do fórum http://www.forum-hacker.com.br,  grupo de discussão sobre a atividade na internet.
Entre os profissionais que trabalham para testar a segurança de sistemas informatizados, a preocupação com o desafio do TSE é que, em função de lidar com o Poder Judiciário, eles possam ser processados se tentarem violar as urnas eletrônicas utilizando softwares piratas.

"Ter acesso (ao conteúdo interno da urna) não é o problema. O problema é eu ser preso por usar softwares ilegais. Em grandes fóruns brasileiros sobre o tema, o pessoal só diz isso. Só com esses softwares e possíveis hardwares (piratas) pode ser possível a invasão do sistemas do TSE. Os softwares que o governo vai disponibilizar, nem em computadores domésticos conseguem ser explorados", alerta. "Não tem como burlar (as urnas com os programas sugeridos pelo TSE). Todos, até leigos no assunto, sabem que isso é malandragem deles. Se eles querem testar se as urnas deles realmente estão seguras, teriam que deixar usar as ferramentas que nós temos", critica o hacker.

Além da proibição óbvia de que os piratas da internet não podem, durante o teste, jogar as urnas eletrônicas no chão e as abrir fisicamente com chaves de fenda, por exemplo, o edital garante margem para que programas ilegais ou roubados, principal mecanismo dos crackers, sejam preferencialmente evitados nos testes.

"Como verdadeiros hackers ou crackers vão dizer o software usado (para burlar a urna)? Um software 'crackeado' do FBI que está na internet, se o usar (contra o TSE) vai estar usando um software ilegal para tentar achar as falhas. Não creio que vão se expor assim", resume Álvaro Falconi.

Outro lado
O secretário de tecnologia da informação do TSE, Giuseppe Janino, afirma que o tribunal "não pretende cercear nenhum investigador" e que não distinguirá os hackers entre os que usam "software livre, proprietário ou pirata".

Ele alerta, no entanto, que "os investigadores (hackers inscritos) são responsáveis pelos softwares e demais ferramentas que julguem necessários para a execução dos testes, e as penalidades com relação a roubo ou o uso indevido de softwares de terceiros são publicamente conhecidas e definidas em lei".
A decisão de o TSE realizar "testes de penetração" nas urnas eletrônicas ocorreu após PT e PDT terem ponderado junto ao tribunal que a verificação feita pelo colegiado "não consegue aferir a resistência do sistema contra 'ataques informatizados intencionais'".

Pelo edital, publicado pelo tribunal e sugerido pelo ministro relator do caso, Ricardo Lewandowski, "o TSE será responsável pela definição e preparação dos equipamentos necessários para a realização dos testes", e duas comissões tratarão da "definição dos procedimentos de realização dos testes", irão "analisar e aprovar a inscrição dos investigadores" e "validar a metodologia (apresentada pelos hackers)".

Segundo o tribunal, serão recusados testes que "não puderem ser repetidos" e "os de caráter destrutivo, que possam resultar em inutilização da urna eletrônica e de seus softwares".

Teste para hackers seria inócuo
Sem a garantia de utilizar um programa que, pela potência, pode destruir completamente o conteúdo interno da urna eletrônica, hackers avaliam que o desafio do TSE seria inócuo.

"As regras não limitam o uso de ferramentas, equipamentos e softwares aos que serão fornecidos pelo TSE. Os investigadores têm liberdade de levar seus próprios recursos, desde que não haja proposta de danificar o hardware (componentes eletrônicos) da urna", explica o secretário de tecnologia da informação do TSE.

"O processo de avaliação da metodologia tem por objetivo excluir propostas que possam causar prejuízo ao patrimônio público (no caso a urna eletrônica) ou procedimentos que claramente não tragam qualquer contribuição. É caso de ações propostas e que não sejam compatíveis com a urna eletrônica. Por exemplo, uma proposta de ataque, via rede, na urna eletrônica. Isso é um caso impossível de acontecer, pois as urnas não são conectadas em rede", diz Janino.

Ainda que hoje as urnas não estejam conectadas em rede, o ministro da Defesa e ex-presidente do TSE, Nelson Jobim, acredita que a decisão do presidente Lula de garantir o direito de eleitores em trânsito no território nacional poderem votar obriga que os sistemas eletrônicos de votação sejam em alguma medida interligados. Na sua avaliação, uma porta aberta para os crackers.

No âmbito da minirreforma eleitoral aprovada pelo Congresso Nacional neste ano, os eleitores poderão votar para presidente e vice-presidente fora de seu domicílio eleitoral em urnas instaladas exclusivamente nas capitais.

"No mundo da informática não existe sistema seguro. Somos nós, seres humanos, que estamos atrás dessas máquinas e somos cheios de falhas. Para haver voto seguro essas urnas eletrônicas também não poderiam passar pelo mesário. Hoje o mesário libera a urna (por meio de um dispositivo na mesa de votação) para a pessoa votar. Já imaginou se o mesário fosse um hacker?", questiona Álvaro Falconi.

"As ações dos mesários são extremamente limitadas e registradas no log (registro de acesso) da urna eletrônica. Cabe ressaltar que é incontável a quantidade e diversidade de barreiras de segurança e procedimentos envolvidos na utilização do Sistema Eletrônico de Votação, o que torna, na visão do TSE, inviável a fraude (nas votações)", rebate o TSE.

----------------------------

de Bruno L F Cabral <bruno@openline.com.br>
para rosahelio@gmail.com
data 13 de setembro de 2009 10:39
assunto Urna eletrônica

Testes de segurança nas urnas eletrônicas

Este testes de segurança, agora anunciado pelo TSE para novenbro próximo, sempre foram solicitados, desde 2000, pelas equipes técnicas do PT e do PDT, a cada cerimônia de apresentação dos sistemas, com os seguintes resultados:

- 2000 – Pedido do PT: foi ignorado pelo administrador eleitoral, que nem deu resposta à petição.

- 2002 – Pedido do PDT: também foi ignorado e não recebeu resposta;

- 2004 – Pedido do PT para testar o embaralhamento dos votos: foi negado.

- 2004 – Pedido do PDT: foi negado formalmente sob o argumento que o sistema era invulnerável e não precisava ser testado;

2006 – Pedido conjunto do PT e PDT (PET TSE 1896/2006): não foi permitido. Em maio de 2007, numa audiência da Câmara, foi prometido para 2008.

2008 – ainda o pedido de 2006: não foi permitido. Foi prometido para 2010

Obs: veja logo a página:
http://www.tse.gov.br/internet/eleicoes/votoeletronico/test_vuln.htm  onde está a promessa (em 2008) de só permitir o teste em 2010. Eles ainda não esconderam esta página.

Mas, diante da aprovação da minirreforma eleitoral em junho de 2009 na Câmara dos Deputados, o administrador eleitoral partiu para ofensiva para derrubar o art. 5º, que cria a auditoria independente do software das urnas eletrônicas (por recontagem do voto impresso conferido pelo eleitor), com os seguintes factóides:

- entrevista do presidente do TSE à imprensa em geral;
- manifesto dos desembargadores-presidentes de TRE;
- ida do Jobim ao senado para um discurso de 2 horas.

e, agora, na eminência da auditoria independente nas urnas voltar a ser aprovada na Câmara, adiantou rapidamente o teste de segurança que vinha adiando desde 2000.

Repare no “timing” perfeito deste novo factóide do TSE:
junho – Câmara inclui o art. 5º
agosto – Senado (pós-Jobim) retira o art. 5º
20 de setembro – prevista a reinclusão na Câmara;
12 de setembro – o factóide – audiência no TSE para divulgar o teste que será feito em novembro

Se a Câmara se deixar enganar mais uma vez pelo administrador eleitoral, deixa agora de reincluir o Art. 5º e depois, novembro, o teste será “esquecido”.

Eng. Amilcar Brunazo Filho – Santos, SP
http://www.votoseguro.org

——————————————————————-

Mensagem anterior:

Não se animem muito com mais este show que o TSE está criando.

Este processo de testes de segurança (PET 1896/06) se iniciou com um pedido conjunto do PT e do PDT que depois foi apoiado pelo PR.

Porém, o que o TSE decidiu permitir fugiu ao que foi pedido pelos partidos, em especial a tal Comissão Avaliadora que não é independente do administrador eleitoral como constava no pedido original. Por isto os partidos peticionários declararam a desistência formal do teste, porque vislumbraram que as regras seriam (e são) limitadoras.

Os autores do pedido conhecem gente capaz de penetrar no software nas urnas e burlá-lo. Foi pensando em usar estes técnicos que fizemos o pedido. Mas diante das limitações impostas aos testes decidimos não “gastar munição” neste momento.

Por exemplo: para se ter sucesso numa adulteração do software da urnas é preciso pegar uma máquina pronta e começar a analisá-la, testando algumas alternativas, para descobrir qual o melhor meio de invadir (os hackers não tem sucesso imediato em todas as suas investidas).

Mas isto não será permitido. Segundo as regras impostas, o pretendente a atacante deverá descrever o que vai tentar fazer e entregar cópias de seus softwares antes de ter contato com a urna para analisar que caminho seguir. E só terá contato por três dias fora do seu ambiente normal de trabalho.

Não é assim que atacantes fazem. Eles primeiro ganham acesso ao equipamento pronto, depois o analisam no seu ambiente próprio de “trabalho” usando uma miríade de recursos e softwares, nem sempre “oficiais”, muitos desenvolvidos autonomamente. Pedir para eles entregarem suas “ferramentas” já é uma restrição enorme, que vai afastar muita gente boa.

Aliás, a própria idéia de estabelecer as regras do teste pela comissão nomeada do TSE, já é um limite artificial ao próprio teste. A ação de hackers é marcada justamente pelo desrespeito a regras.

É por tudo isto os autores originais do teste, desistiram deste teste-show que o TSE resolveu permitir.

[ ]s
Eng. Amilcar Brunazo Filho – Santos, SP
http://www.votoseguro.org