Urna eletrônica:
O Teste Público de Segurança 2021 chegou ao fim. Os pesquisadores descobriram algumas vulnerabilidades 'interessantes' na urna, que deverão ser corrigidas pelo TSE até maio.
Acompanhe 👇
O Teste Público de Segurança 2021 chegou ao fim. Os pesquisadores descobriram algumas vulnerabilidades 'interessantes' na urna, que deverão ser corrigidas pelo TSE até maio.
Acompanhe 👇
o investigador André Matos identificou que um boletim de urna poderia ser gerado e recebido sem criptografia
é como se o boletim de urna fosse um texto que, antes de ser transmitido, é embaralhado — de forma que suas frases sejam todas misturadas.
é como se o boletim de urna fosse um texto que, antes de ser transmitido, é embaralhado — de forma que suas frases sejam todas misturadas.
Nesse caso:
o grupo observou que, mesmo na ordem correta do texto, o boletim de urna é recebido normalmente e torna o embaralhamento sem eficácia.
o grupo observou que, mesmo na ordem correta do texto, o boletim de urna é recebido normalmente e torna o embaralhamento sem eficácia.
Sobre essa vuln, o TSE respondeu:
O achado é relevante porque suscita a discussão acerca da necessidade de criptografia do BU, considerando que se trata de documento público já protegido por assinatura digital.
O achado é relevante porque suscita a discussão acerca da necessidade de criptografia do BU, considerando que se trata de documento público já protegido por assinatura digital.
2) O investigador Felipe de Lima identificou um conjunto de teclas de atalho não bloqueadas no navegador que acompanha a solução JEConnect, que serve para conexão segura com o TSE no dia da eleição para transmissão de resultados.
As teclas de atalho permitiram consultar um endereço de rede específico — mantido seguro por credenciais de acesso. É como se o grupo tivesse encontrado uma forma de pular o túnel que liga o local de transmissão (onde é executado o sistema JEConnect) ao TSE.
Esse túnel, segundo o TSE, desemboca em uma proteção (como um muro), que só pode ser ultrapassado com usuário e senha. Sem a posse dessas credenciais, mesmo saltando o túnel, a equipe não conseguiu entrar na rede de dados da Justiça Eleitoral.
Resposta do TSE sobre essa vuln:
O achado é relevante considerando-se que as teclas de atalho deveriam estar todas bloqueadas. A correção será feita pela equipe de sustentação do JEConnect.
O achado é relevante considerando-se que as teclas de atalho deveriam estar todas bloqueadas. A correção será feita pela equipe de sustentação do JEConnect.
3) investigadores Marcos Roberto, Adroaldo Leão, Gabriel Sordi, Juliano Ribeiro e Vinicius Borges criaram um painel frontal falso acoplável à urna usando uma impressora 3D. Cada tecla desse dispositivo permitiria capturar os números digitados pelo eleitor.
Segundo o TSE, isso suscitou a discussão sobre a conveniência de diminuir as cabinas eleitorais. Tal diminuição traria um valor agregado: dificultaria o uso de aparelhos celulares dentro da cabina.
4) investigadores Ian Martineze Carlos Alberto Silva utilizaram a saída do fone de ouvido da urna que fica na parte traseira do equipamento e conectaram um transmissor Bluetooth que permitia transmitir o áudio a equipamento externo.
Assim, toda vez que a urna emitia o áudio com o voto do eleitor, esse áudio era transmitido a outro equipamento, que era usado para escutar o voto.
Resposta do TSE:
o áudio só é habilitado para eleitores com deficiência visual e tal ataque seria facilmente identificável considerando que a parte traseira da urna fica visível a todos (+)
o áudio só é habilitado para eleitores com deficiência visual e tal ataque seria facilmente identificável considerando que a parte traseira da urna fica visível a todos (+)
Tal achado já tinha sido identificado em outra edição do TPS. Ainda assim, o achado é relevante e voltará a ser discutido dentro dos grupos de trabalho dos sistemas eleitorais, de forma a garantir mecanismos de identificação de ataques semelhantes.
5) investigadores Paulo César Herrmann Wanner, Ivo de Carvalho Peixinho e Galileo Batista de Sousa conseguiram abrir os três compartimentos criptografados que formam o JEConnect, sistema de conexão com o TSE utilizado no dia das eleições para transmissão dos resultados
eles obtiveram acesso às credenciais para conexão à rede segura da Justiça Eleitoral, via VPN. Podemos dizer que a equipe de investigadores não só conseguiu saltar o túnel de conexão do local de transmissão ao TSE...
como também conseguiu ultrapassar o "muro" onde o "túnel" desemboca. Isso porque esse muro é aberto com usuário e senha, que foram obtidos pela equipe.
Resposta do TSE:
O achado é relevante, pois demonstra vulnerabilidade que precisa ser corrigida a tempo das eleições vindouras, uma vez que uma conexão indevida à rede segura do TSE, no dia das eleições, pode ser utilizada para ataques cibernéticos.
O achado é relevante, pois demonstra vulnerabilidade que precisa ser corrigida a tempo das eleições vindouras, uma vez que uma conexão indevida à rede segura do TSE, no dia das eleições, pode ser utilizada para ataques cibernéticos.
É isso por enquanto.
Quando aparecerem mais novidades volto a falar sobre 😊
Infos sobre o TPS podem ser acompanhadas oficialmente por aqui: justicaeleitoral.jus.br/tps/#info-gera…
Quando aparecerem mais novidades volto a falar sobre 😊
Infos sobre o TPS podem ser acompanhadas oficialmente por aqui: justicaeleitoral.jus.br/tps/#info-gera…
Ah! Se você quiser assistir um resumão e explicações mais sucintas sobre as vulns da urna, com presença de @dfaranha e @ayubio , você pode assistir:
Fraudes e falhas? A urna eletrônica e o voto impresso
Fraudes e falhas? A urna eletrônica e o voto impresso
• • •
Missing some Tweet in this thread? You can try to
force a refresh
