Post on 07-Aug-2015
Paulo Pagliusi
CMG (RM1-IM), Ph.D., CISM
CEO MPSafe CyberSecurity Awareness
Vice-Presidente CSABR | Diretor ISACA-RJ
pagliusi@mpsafe.com.br
www.mpsafe.com.br
Twitter: @ppagliusi
www.cyber-manifesto.org
Sumário
Antes das eleições: funcionamento do processo eleitoral
A segurança da urna eletrônica
Diferença entre as gerações de voting machines
O teste aberto de segurança realizado em 2012
O caso do hacking adolescente
A urna atual está obsoleta? Ela é insegura?
Antes das eleições:
funcionamento do processo
eleitoral
Cadastro de Eleitores
Registro de Candidatos
Assinatura Digital de Sistemas Eleitorais
Geração de Mídias
Urna Eletrônica
É um microcomputador de uso específico composto por:
• Terminal do mesário ou micro terminal, onde o eleitor é identificado pelo número de seu título eleitoral e autorizado a votar.
• Terminal do eleitor, onde é registrado numericamente o voto.
Carga das Urnas Eletrônicas
Flashes de carga lacradas
Carga das Urnas Eletrônicas
Tabela de Correspondência
Após a carga, a tabela de correspondência é publicada na Internet.
São cadastradas todas as urnas válidas, incluindo:
• Urna de votação
• Urna de contingência
• Mesa receptora de justificativa eleitoral
Município: 61018 – ADAMANTINA
Zona Eleitoral: 0157
Seção Cód. UE Cód. F.C. Código da carga Data e hora
0001 00577979 F966FB1D 847.050.926.773.598.887.371.225
25/09/2006 08:31:27
Lacre Físico da Urna
Cada compartimento da urna é lacrado fisicamente com um conjunto de adesivos micro-serrilhados, assinados pelo juiz da seção eleitoral:
• Tampa do pen drive
• Tampa do cartão de memória
• Gabinete
• Micro terminal
• Tampa do conector do teclado alfanumérico ou porta USB
0000001
0000001
0000001
0000001
0000001
0000001
0000001
0000001
0000001
0000001
Processo de Votação
• Após às 7 horas do dia da eleição, a urna eletrônica é ligada.
• Na presença dos mesários e fiscais de partidos políticos, é emitido em cada seção eleitoral, um relatório de “zerésima”.
Zerésima
O relatório de “zerésima” contém toda a identificação daquela urna e comprova que nela estão registrados todos os candidatos com zero votos.
Habilitação do Eleitor
Após as 8 horas é iniciada a votação.
O mesário:
a) recebe do eleitor o título eleitoral;
b) digita o número do título no terminal do mesário;
c) identifica o eleitor, por meio do nome mostrado na tela do microterminal, e o autoriza a votar.
d) pressiona a tecla “Confirma” no terminal do mesário, e assim libera o terminal do eleitor, localizado em uma cabine indevassável.
Urna Biométrica
• A partir de 2006 começaram a ser fabricadas urnas com leitor biométrico.
Ato de Votar
Ao chegar à cabine, o eleitor encontra a urna eletrônica pronta para receber seu voto para o cargo indicado na tela.
Ato de Votar
• Após a digitação do número, a tela expõe visualmente o número, o nome, a sigla do partido e a fotografia do candidato.
• Essa apresentação da tela possibilita a conferência pelo eleitor.
• Feita a conferência, aciona-se a tecla “Confirma”. O voto, então, é contabilizado pela urna.
Ato de Votar
• A tecla “Corrige”, pressionada antes da confirmação, recomeça toda a operação.
• Ao corrigir a tela volta a situação original.
• Há a possibilidade do registro do voto “Em branco” mediante tecla específica.
• Concluída a votação, a urna eletrônica apresenta a tela “FIM”, permitindo que outro eleitor seja habilitado a votar.
Apuração
Após às 17 horas, quando a eleição é encerrada, o presidente da seção eleitoral, utilizando senha própria:
a) encerra a votação.
b) emite o “boletim de urna” da seção.
Boletim de Urna - Exemplo
Eleição Proporcional
Município: 01473 – MARTE Zona Eleitoral: 0005 Seção: 0006
Seções agregadas: Esta seção não possui seções agregadas.
Aptos: 184 Comparecimento: 165 Faltosos: 19
Tipo de urna: Apurada Origem: Urna Eletrônica
Data do recebimento: 25/09/2006 18:25:46 Código UE: 66142
Código da Carga: 000.664.580.006.134.900.062.755
Data da Carga: 25/09/2006 16:20:25 Código do FC: 30833A79
Cargo: Deputado Federal
Candidato/Legenda Quantidade de votos
2269 - CAIADO ROSENATO ERALDO KENNEDY 70
2270 - STELA LULA KENNEDY MODESTO 46
2271 - NILDO ARTUR LOPES ADROALDO 23
2299 - PERPETUO FARIAS MORIZ 1
2300 - RITA PICARELLI KENNEDY MODESTO 9
Votos válidos : 149
Votos em branco : 12
Votos nulos : 4
Votos anulados e apurados em separado : 0
Gravação do Pen Drive
• Emitido o boletim de urna, o sistema grava os dados contidos nos cartões de memória (flash card) em um pen drive.
Arquivos do Pen Drive
Diferença entre BU e RDV
Deputado Federal
Deputado Estadual
Senador Governador Presidente
9111 91111 911 91 91
9112 92112 921 92 92
9411 94111 BRANCO BRANCO BRANCO
9212 92112 921 94 94
9111 93111 NULO 91 BRANCO
Deputado Federal
9111 = 2
9112 = 1
9113 = 1
9212 = 1
9411 = 1
Brancos =0
Nulos=0
Deputado Estadual
91111 = 1
91112 = 2
93111 = 1
94111 = 1
Brancos =0
Nulos=0
Senador
911 = 1
921 = 2
931 = 0
Brancos =1
Nulos=1
Governador
91 = 2
92 = 1
94 = 1
Brancos =1
Nulos=0
Presidente
91 = 1
92 = 1
93 = 0
Brancos =2
Nulos=0
Boletim de Urna
Registro Digital do Voto
Envio dos Dados
• Cada pen drive contendo o resultado de uma seção eleitoral é transportado, em envelope lacrado, com a documentação da seção, para o local de transmissão.
• O pen drive é lido por programa específico da Justiça Eleitoral, que transmite os arquivos em rede “segura” para os TRE e para o TSE, para fins de totalização estadual e nacional e posterior divulgação.
Visão Geral do Processo Eleitoral
Retirada do Pen Drive
Transmissão do BU
Totalização dos BU no TRE
Divulgação dos resultados na INTERNET
Consolidação nacional dos resultados no TSE
Comunicação dos Dados
Seção Eleitoral
Impressão do BU
BU ASDJFHSDJFS
SADFJSJD LJ
DFJSDFJS SD
SKDFJSF HD
FJGDFJ KJ
JDKLSDS IT
HFFGHDD LI
DSHSDH RE
SKDFJSF HD
FJGDFJ KJ
JDKLSDS
Votação
Segurança da Urna Eletrônica
Mecanismos de Segurança da Urna Eletrônica
Objetivos da Votação Eletrônica: Garantir
• Apuração exata
• Confidencialidade do voto
• Impossibilidade de venda de voto
• Auditabilidade do eleitor
Propriedades de Segurança da Votação Eletrônica
As duas principais propriedades de segurança da votação referem-se ao anonimato e à destinação dos votos:
• Sigilo: votos devem ser secretos, de modo a prevenir sua venda e defender eleitores de coação por qualquer parte interessada;
• Integridade:
• votos devem refletir intenção dos eleitores individualmente
• sua apuração e totalização deve transferir a intenção coletiva dos eleitores para o resultado.
• Qualquer tentativa de violar a integridade de uma eleição deve ser detectável e corretamente atribuída.
Diferença entre as gerações de
voting machines
Os equipamentos de votação são classificados em diferentes modelos, organizados em níveis crescentes de transparência e decrescentes de dependência de software:
• 1ª Geração: Armazenamento eletrônico direto (DRE – Direct Recoding Electronic): os votos são armazenados e contabilizados de maneira puramente eletrônica, impedindo assim qualquer possibilidade de recontagem ou de verificação independente dos resultados, pois a adulteração não detectada do software causa distorções indetectáveis nos resultados.
Diferença entre as gerações de voting machines
• 2ª Geração: Voto impresso conferível pelo eleitor (VVPT – Voter Verified Paper Trail): os votos são impressos para verificação independente pelo eleitor e apuração posterior, sem no entanto funcionarem como comprovantes de suas escolhas.
Diferença entre as gerações de voting machines
Urna, com VVPT, usada no México desde 2012
• 3ª Geração: Verificabilidade fim-a-fim (E2E – End-to-end Verifiability): os eleitores podem verificar que seus votos foram registrados e contabilizados corretamente e que todos os votos foram incluídos no resultado final.
• Principal característica: independência do software e a grande facilidade de auditoria independente, de ponta a ponta, no processamento. digital do voto.
Diferença entre as gerações de voting machines
Maquina VotAR, com BVE, usada na Argentina desde
2010 e testada no Equador em 2014
35
Urna Eletrônica Brasileira: Mudança Radical no Modelo Aceito
A absoluta dependência da confiabilidade do software nos modelos DRE
encontrou muita resistência e a partir de 2004, na Venezuela, começou o fim do
ciclo de vida desse modelo, que passou a ser substituído por outros modelos
independentes do software.
Entre 2006 e 2012, a Holanda, a Alemanha, os EUA, o Canadá, a Rússia, a
Bélgica, a Argentina, o México, o Paraguai abandonaram o modelo DRE de 1ª
Geração.
Em 2014, chegou a vez da Índia e do Equador adotarem modelos mais
avançados, de maneira que restou apenas o Brasil ainda usando o modelo DRE
de 1ª Geração em todo o mundo.
O teste aberto de segurança realizado em
2012
Testes Públicos de Segurança
The Noite: Entrevista com vencedor do Teste Aberto
O caso do hacking
adolescente
http://revistagalileu.globo.com/Revista/Common/0,,EMI326470-17770,00-
HACKER+DE+ANOS+REVELA+COMO+FRAUDOU+ELEICOES+NO+RIO+DE+JANEIRO.html
A urna atual está obsoleta? Ela é insegura?
• Resultado do teste de 2012 apresentou conjunto de vulnerabilidades no software da urna eletrônica que permitiu a recuperação eficiente, exata e sem deixar vestígios dos votos em ordem registrados eletronicamente.
• Derrotou o único mecanismo de proteção do sigilo do voto utilizado pelo software de votação.
• A necessidade de se instalar recursos para avaliação científica, independente e contínua do software torna-se evidente.
• Há ampla disponibilidade de especialistas na academia e indústria, capazes de contribuir na direção do incremento real das propriedades de segurança na solução adotada para votação eletrônica no país.
A urna atual está obsoleta? Ela é insegura?
• Proteção inadequada ao sigilo do voto Recomendação. Eliminar o RDV e substitui-lo por um mecanismo que forneça a possibilidade real de verificação independente de resultados, como o voto impresso verificável pelo eleitor.
• Fonte inadequada de entropia (informação imprevisível) O software da urna eletrônica brasileira utilizava apenas a medida
do tempo em resolução de segundos como fonte de entropia, mesmo tendo disponíveis fontes de melhor qualidade em hardware. Recomendação. Para satisfazer o critério de aleatoriedade verdadeira, recomenda-se utilizar um gerador em hardware baseado em efeito físico bem estudado.
Fragilidades e Recomendações
• Proteção inadequada ao sigilo do voto Recomendação. Eliminar o RDV e substitui-lo por um mecanismo que forneça a possibilidade real de verificação independente de resultados, como o voto impresso verificável pelo eleitor.
• Fonte inadequada de entropia (informação imprevisível) O software da urna eletrônica brasileira utilizava apenas a medida
do tempo em resolução de segundos como fonte de entropia, mesmo tendo disponíveis fontes de melhor qualidade em hardware. Recomendação. Para satisfazer o critério de aleatoriedade verdadeira, recomenda-se utilizar um gerador em hardware baseado em efeito físico bem estudado.
Fragilidades e Recomendações
• Verificação insuficiente de integridade Recomendação. Transferir a pressão da verificação de integridade do software para a verificação independente dos resultados produzidos pelo software.
• Compartilhamento de chaves criptográficas Recomendação. Atribuir uma chave criptográfica distinta para cada equipamento, ou pelo menos, para cada cartão de memória utilizado para inseminar um conjunto reduzido de urnas eletrônicas.
• Presença de chaves no código-fonte O compartilhamento da chave de cifração das mídias é agravado pela sua presença às claras no código-fonte do software. Recomendação. Armazenar a chave de cifração no módulo de segurança em hardware ou, preferivelmente, em dispositivo criptográfico seguro externo ao ambiente da urna eletrônica.
Fragilidades e Recomendações
• Escolha inadequada de algoritmos software da urna eletrônica também utiliza função de resumo criptográfico para fins de assinatura digital e verificação de integridade com uso não recomendado desde 2006. Recomendação. Utilizar um gerador de números pseudoaleatórios de
qualidade criptográfica, e uma função de resumo criptográfico padronizada e segura.
• Além do software, no processo de desenvolvimento: Complexidade acentuada, Auditoria externa insuficiente. A segurança e corretude dos programas usados na urna baseia-se em confiar na boa fé dos técnicos do TSE. Não há razão para duvidar disto, mas isto fere as boas práticas de segurança.
• Formulação equivocada de modelo de atacante O projeto de mecanismos de segurança utilizado preocupa-se exageradamente com atacantes externos e ignora o risco de atacantes internos. Recomendação. Adotar mecanismos de segurança que resistam a agentes externos e, particularmente, a agentes internos que os conhecem em seus mínimos detalhes.
• Ausência de exercícios internos e • falta de treinamento formal
Fragilidades e Recomendações
• Esse conjunto de fragilidades e vulnerabilidades fornece evidências materiais para preocupações.
• Pode-se concluir que não houve incremento significativo nas propriedades de segurança fornecidas pelo software da urna eletrônica nos últimos 10 anos.
• Continuam preocupantes:
• a proteção inadequada do sigilo do voto
• a impossibilidade prática de auditoria completa ou minimamente eficaz do software
• a verificação insuficiente ou inócua de integridade do software de votação.
A urna atual está obsoleta? Ela é insegura?
• Como estas três propriedades são atualmente críticas para garantir o anonimato e destinação correta dos votos computados, defendemos a reintrodução do voto impresso (2ª ou 3ª Geração) como mecanismo simples de verificação de integridade dos resultados de eleições.
• O voto impresso distribui a auditoria do software entre todos os eleitores, que se tornam responsáveis por conferir que seus votos foram registrados corretamente pela urna eletrônica, desde que apuração posterior seja realizada para verificar que a contagem dos votos impressos corresponde à totalização eletrônica parcial.
A urna atual está obsoleta? Ela é insegura?
• Essa apuração pode ser realizada por amostragem, de forma a não haver impacto significativo na latência para divulgação dos resultados.
• Vale ressaltar que o voto impresso é para fins de conferência apenas no interior da seção eleitoral, e não pode servir de comprovante no ambiente externo à seção eleitoral, como determinava a legislação a respeito (LEI Nº 12.034, DE 29 DE SETEMBRO DE 2009).
• A proposta de voto impresso retornaria para o sistema brasileiro de votação nas eleições de 2014, mas infelizmente foi declarada inconstitucional sob alegações tecnicamente questionáveis.
A urna atual está obsoleta? Ela é insegura?
• Um movimento nesta direção acompanharia a tendência mundial vigente em sistemas de votação eletrônica.
• Com a adoção do voto impresso pela Índia, o Brasil permanece como o único país no mundo a adotar sistema de votação sem verificação independente de resultados.
• Acreditamos que por esse motivo, e dadas as fragilidades, o software utilizado no sistema de votação eletrônica brasileiro não satisfaz requisitos mínimos e plausíveis de segurança e transparência.
A urna atual está obsoleta? Ela é insegura?
51
Paulo Pagliusi
CMG (RM1-IM), Ph.D., CISM
CEO MPSafe CyberSecurity Awareness
Vice-Presidente CSABR | Diretor ISACA-RJ
pagliusi@mpsafe.com.br
www.mpsafe.com.br
Twitter: @ppagliusi
www.cyber-manifesto.org
MUITO OBRIGADO!
BONS VENTOS!