A edição de 2019 do Teste Público de Segurança (TPS) do Sistema Eletrônico de Votação contará com três investigadores individuais e cinco grupos, que tentarão executar, ao todo, 13 planos de teste nos softwares e hardwares da urna e equipamentos relacionados. Os testes ocorrerão de 25 a 29 de novembro, na sede do Tribunal Superior Eleitoral (TSE), em Brasília.
Os resultados preliminares do TPS 2019 serão divulgados no dia 29 de novembro e, no dia 10 de dezembro, será divulgado o resultado final. Caso sejam apontadas vulnerabilidades a serem corrigidas no sistema eletrônico de votação, será realizada uma nova rodada de testes, de 27 a 29 de abril de 2020, para a confirmação das soluções implementadas pelo TSE, com a participação dos investigadores que as tiverem sugerido.
O TPS, que está em sua quinta edição, abrange grande parte do processo informatizado de uma eleição, e não apenas a urna eletrônica. O objetivo do evento é contar com a contribuição da sociedade para identificar, por meio de ações controladas, eventuais vulnerabilidades e falhas relacionadas à violação da integridade ou do anonimato dos votos de uma eleição, para que sejam corrigidas antes da realização do pleito.
Investigadores individuais
José Filippe de Moraes Albano
– Plano de teste: o objetivo é explorar vulnerabilidades na infraestrutura e nos ativos que compõem a urna eletrônica. O teste tem como principal finalidade simular um ataque aos ativos do TSE. Se for encontrada alguma vulnerabilidade, a intenção é investigar qual o impacto e os sistemas que podem ser afetados, bem como encontrar soluções que possam mitigar os ataques, garantindo o exercício do voto sem ocorrer a sua violação, por meio dos pilares da segurança da informação: a confidencialidade, a integridade e a disponibilidade da informação.
Leonardo Cunha dos Santos
– Plano de teste: o teste constitui-se do uso de reconhecimento de padrões a partir da detecção de pulsos elétricos, com a finalidade de compreender comportamentos do equipamento durante a operação de voto.
Roberto Miyano Neto
– Plano de teste 1: verificar a integridade do arquivo executável da urna (Vota). Checar se o arquivo é executável somente após a verificação da assinatura.
– Plano de teste 2: verificar se o processo de coleta de votos gera provas de integridade para cada voto, obedecendo aos requisitos funcionais de sigilo do voto, conforme definido pela Constituição Federal brasileira.
– Plano de teste 3: verificar se o arquivo de votos contém a lista de votantes e os votos armazenados fora de ordem, garantindo o sigilo constitucional, porém com provas de integridade por voto e com a manutenção da integridade entre a quantidade de votantes e de votos. Verificar ainda se tal arquivo é assinado com chave privada única por urna, conhecida pelo TSE, armazenada em HSM.
Investigadores em grupo
Grupo 1
Coordenador: Fellipe Ribeiro Silva Abib
Demais Integrantes: Alan Papafanurakis Heleno, Caio Henrique de Aquino e Vicente Charles William Biesseki
– Plano de teste: conhecer o processo da geração dos boletins de urna, identificar padrões, identificar as falhas, abrir o boletim e identificar a ordem dos eleitores que votaram, para tentar saber quem votou em qual candidato.
Grupo 2
Coordenador: Jairo Simão Santana Melo
Demais integrantes: Luiz Fernando Sirotheau Serique Junior e Leonardo de Almeida Ramos
– Plano de teste: visa a abordar uma avaliação sistêmica da atual configuração da urna eletrônica em uso no processo eleitoral brasileiro, buscando empregar técnicas de aprendizado de máquina e captura de sinais elétricos em um ciclo de treinamento, teste e definição do percentual de acurácia em relação aos dados de entrada.
Grupo 3
Coordenador: Luis Antonio Brasil Kowada
Demais integrantes: Gabriel Cardoso de Carvalho, Victor Faria de Sousa, Igor Palmieri Antunes e Ramon Rocha Rezende
– Plano de teste 1: tentativa de obtenção de chaves criptográficas. O objetivo é avaliar se os procedimentos e o gerenciamento de chaves garantem a confidencialidade e a autenticação.
– Plano de teste 2: verificar vulnerabilidades das bibliotecas do sistema para avaliar a possibilidade de alteração de bibliotecas ou explorar vulnerabilidades de bibliotecas de terceiros.
Grupo 4
Coordenador: Luis Fernando de Almeida
Demais Integrantes: Fabio Rosindo Daher de Barros, Gabriel Ferrari Carvalho, Fernando Nogueira da Silva e Josinei Rodrigues Lopes Silva
– Plano de teste: para fins de garantir a confidencialidade dos votos, a urna eletrônica utiliza do recurso de rotinas pseudoaleatórias para proporcionar que um voto seja armazenado em posições ao acaso dentro do arquivo. Atualmente, nota-se a crescente aplicação de rotinas inteligentes baseadas em Machine Learning aplicadas ao problema de reconhecimento de padrão. A literatura apresenta casos de sucesso dessas rotinas em problemas de regressão e modelo preditivos. Diante desse contexto, o teste em questão pretende analisar a possibilidade de rotinas inteligentes serem capazes de criar um modelo capaz de mapear a geração dos números aleatórios e, consequentemente, comprometer o sigilo do voto.
Grupo 5
Coordenador: Paulo César Herrmann Wanner
Demais Integrantes: Ivo de Carvalho Peixinho e Galileu Batista de Sousa
– Plano de teste 1: extração de dados e configurações do kit JE Connect. A ideia é obter senhas e configuração da VPN a partir de uma mídia do JE Connect. A partir dos dados obtidos, tentar se conectar diretamente à rede do TSE. Verificar também existência de vulnerabilidades no RecArquivos, utilizando técnicas de fuzzing. Por fim, verificar a possibilidade de acesso direto ao banco de dados e às suas rotinas.
– Plano de teste 2: extração do conteúdo do disco criptografado do SIS. O teste tem a finalidade de obter acesso físico ao disco do computador com o sistema Gedai instalado, para retirar o disco criptografado e buscar a chave no registro do Windows. Além disso, visa a inicializar o disco em uma máquina virtual para obter um dump de memória, bem como extrair a chave a partir do dump e comparar com as informações obtidas no registro para estabelecer processo de formação da chave. Busca também montar o disco cifrado e extrair os dados presentes nesse disco, além de verificar, no disco cifrado, informações sensíveis para o processo eleitoral.
– Plano de teste 3: instalação e execução de código arbitrário em uma máquina do Gedai para implante de dados falsos na urna eletrônica. Os objetivos do teste são: obter acesso físico ao computador com o Gedai instalado para fazer uma imagem completa do disco; inicializar o disco em uma máquina virtual; subverter o sistema de inicialização para viabilizar o boot sem a carga do SIS; acessar e modificar programas de criação e preparação de dados a serem gravados nas urnas eletrônicas; e criar um cartão de inicialização da urna com dados espúrios.
O TPS
Esta é a quinta edição do TPS, realizado desde 2009 pela Justiça Eleitoral. O teste fortalece a confiabilidade, a transparência e a segurança da captação e da apuração dos votos, além de propiciar melhorias constantes no processo eleitoral.
Primeiro em todo o mundo a fazer esse tipo de teste, o TSE abre os sistemas eleitorais para que investigadores tentem quebrar as barreiras de segurança do processo de votação. Ao abrir os sistemas para inspeção e para testes diversos, a Justiça Eleitoral busca o aprimoramento dos mecanismos de segurança do software e do hardware, contando com a visão e com a experiência de outros órgãos públicos, de estudiosos e dos cidadãos em geral.
Durante os testes, os investigadores têm acesso aos componentes internos e externos do sistema eletrônico de votação, previamente lacrados em cerimônia pública, incluindo o hardware da urna e seus softwares embarcados.
