Professor expõe falhas de segurança nas urnas

Professor expõe falhas de segurança nas urnas

Diego Aranha foi uma das poucas pessoas independentes, em relação ao TSE, a realizar testes de invaão e buscar de vulnerabilidades nas urnas eletrônicas. Os resultados obtidos por ele não foram positivos.

Por Redação em 19/09/2020

O ex-professor da Unicamp, Diego de Freitas Aranha, atualmente professor associado da Universidade de Aarhus, na Dinamarca, tem exposto falhas de segurança nas urnas eletrônica desde 2012.

Foi uma equipe do TSE que desenvolveu o software utilizado nos equipamentos.

A realização dos testes

Em 2012, Aranha coordenou a primeira equipe de investigadores independentes capaz de detectar e explorar vulnerabilidades no software da urna eletrônica.

Posteriormente, em 2016, ele foi convidado para realizar novos testes, mas preferiu atuar apenas como observador porque não queria assinar um Termo de Confidencialidade redigido pelo TSE – basicamente, o professor não poderia divulgar nada do que encontrasse em seus testes.

Havia conflito com as informações obtidas em 2012, que deixaram a situação confusa. E também tem o problema natural que eu sou um funcionário público, que deve prestar contas à sociedade. Meu salário não é pago para que eu guarde segredos do TSE. Muito pelo contrário, é para observar o que está funcionando bem e funcionando mal e relatar para a sociedade qual é a minha interpretação.

Diego Aranha em entrevista para o Tecmundo.

Observando os testes realizados em 2016, Diego afirmou que “os mecanismos que protegem o software contra manipulação sofriam de falhas de projeto fundamentais”.

Nos meses seguintes, após muita pressão, o TSE alterou o Termo de Confidencialidade. Agora, ele poderia relatar publicamente o que observasse, desde que comunicasse ao TSE antes.

Diego Aranha, então, participou novamente de testes em 2017. Na ocasião, ele e sua equipe não puderam utilizar seus próprios equipamentos e tiveram que montar um ambiente de trabalho nos primeiros dias do evento. Haviam também restrições com relação ao uso de papel para fazer anotações. Apesar de todos os obstáculo e limitações, eles encontraram e exploraram falhas de segurança bastante importantes. De acordo com Aranha, isso “de certa forma indica o grau de vulnerabilidade do sistema”.

Quais foram as falhas de segurança encontradas nas urnas?

Nos testes de 2012, Aranha conseguiu recuperar a ordem dos votos em uma eleição fictícia. Ou seja, o ataque utilizado por ele pode quebrar o sigilo do voto. Além disso, o professor encontrou “uma série de outras falhas de segurança envolvendo o mecanismo de verificação de integridade do software”.

Em 2017 eles conseguiram adulterar o software de votação para trocar os programas instalados nas urnas eletrônicas por versões maliciosas antes de uma eleição simulada. Os programas maliciosos podiam quebrar o sigilo do voto de eleitores específicos, impedir o registro de votos e fazer propaganda de candidatos na tela de votação. Infelizmente, interromperam os testes enquanto eles executavam programas para desviar votos.

Em uma eleição real, o ataque não necessitaria de acesso às urnas eletrônicas no dia da eleição para atingir a escala desejada. Uma das vulnerabilidades exploradas para atingir os resultados já havia sido detectada e publicada em 2012, mas que até hoje não havia sido devidamente mitigada.

Diego Arnha em entrevista para o site We Live Security, a respeito dos testes de 2017.

Para ler a matéria completa, acesse o site Tecmundo.


Foto: reprodução/Facebook.