TPS 2021: daqui a 10 dias, investigadores vão executar 29 planos de ataque ao sistema eletrônico de votação
26 participantes de nove estados diferentes atuarão em times, duplas, trios ou individualmente para pôr à prova a segurança do voto eletrônico
Daqui a 10 dias, começa a sexta edição do Teste Público de Segurança (TPS) do Sistema Eletrônico de Votação. A partir do dia 22 de novembro, 26 investigadoras e investigadores se reunirão no Tribunal Superior Eleitoral (TSE) para, durante uma semana, aplicar 29 planos de ataque aos equipamentos e sistemas desenvolvidos pelo Tribunal para serem usados nas Eleições Gerais de 2022. O objetivo da empreitada é tentar violar a integridade ou o sigilo do voto para, assim, apontar vulnerabilidades que serão corrigidas antes do pleito do ano que vem.
As investigadoras e os investigadores que tiveram seus planos de ataque aprovados pela organização do TPS 2021 atuarão individualmente, em duplas, trios ou em grupos. São pessoas que vieram do Distrito Federal, Mato Grosso, Mato Grosso do Sul, Minas Gerais, Rio Grande do Sul, Tocantins, Rio de Janeiro, Pernambuco e São Paulo. A participação no teste não é remunerada, mas os inscritos recebem um certificado. O TSE também se encarrega do deslocamento até Brasília e do alojamento na capital.
Planos de ataque
A equipe formada por Fellipe Ribeiro da Silva, Abib Caio Henrique de Aquino Vicente, Charles William Biesseki e Alan Papafanurakis Heleno executará o plano de teste "Invasão ao JEConnect". Já a dupla formada por Thiago Silva Mazzante e Felipe Fonteles Belo inscreveu o plano de ataque "Rastrear a ordem da votação dentro do BU".
Marcos Roberto dos Santos, Adroaldo Leão Souto Júnior, Gabriel Sordi Damo, Juliano Ribeiro Poli e Vinícius Borges Fortes formam um time que colocará em prática os planos "Teste não intrusivo da urna eletrônica 2015 (keylogger não-intrusivo)" e "Modificação do BU e RDV (total de votos), para teste de validação de assinatura".
A dupla de investigadores formada por Ian Martinez Zimmermann e Carlos Alberto da Silva vai executar o plano "Violar o sigilo do voto". E o trio de peritos da Polícia Federal composto por Paulo César Herrmann Wanner, Ivo de Carvalho Peixinho e Galileo Batista de Sousa executará o plano "Alteração de informações da tabela de correspondência" e "Extração de dados e configurações do Kit JE Connect".
Participarão ainda 10 investigadores individuais. Anderson Cunha da Costa apresentou o plano "Captura, análise e decodificação de sinais elétricos colaterais nas portas externas". Já Rodrigo Cardoso Silva é autor do plano "Sistema/Programa Transportador de Arquivos (JE-Connect)". Kennedy Antônio Vasconcelos Ferreira Junior apresentou o plano "Vitruviano", e André Matos aplicará o plano "Verificação do comportamento do parâmetro urna: mcriptografar".
O TPS 2021 também contará com investigadores especialistas em Direito. Gabriel Leonardo de Sena Santos é autor do plano "Invasão leiga: Soldadinho-do-Araripe"; Lorenna Rodrigues Tredezzini vai realizar o teste "Registro digital do voto e ordem de votação: possível quebra de sigilo"; e Nayara Sávia Alves Alencar vai pôr em prática o plano intitulado "Captura, análise e decodificação de sinais elétricos colaterais nas portas externas".
Três investigadores desenvolverão cinco planos de ataque cada um. Lucas Pavão de Carvalho Xavier realizará: "Análise e decodificação de sinais eletromagnéticos a distância", "Indução eletromagnética", o "Inserção de serviço Windows não autorizado no SIS", "Alteração do teor dos arquivos na mídia de preparação – pós GEDAI-EU" e "Captura, análise e decodificação de sinais elétricos colaterais nas portas externas".
Por sua vez, Lúcio Santos de Sá colocará em prática os planos: "Captura, análise e decodificação de sinais elétricos colaterais nas portas externas", “Recuperação de dados sensíveis enviados via método GET”, “Executar JE Connect em máquina com firmware de componente não proprietário e não assinado”, “Identificar teclas pressionadas através do retorno tátil sonoro do teclado da Urna Eletrônica” e “Execução de ataques de agente autorizado com o uso do JE Connect”.
E, finalmente, Felipe de Lima e Lima vai executar os seguintes planos: "GUEDAI-UE, SAVP-Sorteio e Votação e Módulo", "Segurança do JE Connect e do Firefox", "Segurança do REC-Arquivos e Info-Arquivos", "Sistot, Transportador e Transportador Backend" e "MSD, Bios, Bootloader, UENUX, APPs e Dados & Processo de compilação do UENUX".
Regras
O TPS 2021 acontecerá na sede do TSE, em Brasília, de 22 a 26 de novembro, sendo possível que, mediante justificada necessidade para a conclusão de algum plano de ataque, mais um dia seja concedido, estendendo a duração até o dia 27, sábado.
Os investigadores terão pleno acesso aos códigos-fonte do sistema eletrônico de votação – que puderam ser examinados por duas semanas, de 11 a 22 de outubro passado –, ao protótipo da urna eletrônica e aos softwares embarcados que foram desenvolvidos para as Eleições Gerais de 2022. Também poderão acessar todos os componentes internos e externos do sistema, como aqueles utilizados para a geração de mídias, apuração, transmissão e recebimento de arquivos. Todo o trabalho de desenvolvimento dos planos de ataque será acompanhado por técnicos da Secretaria de Tecnologia da Informação do TSE.
O resultado dos testes será divulgado em 15 de dezembro. O chamado Teste de Confirmação – no qual voltam ao TSE os investigadores cujos planos foram bem-sucedidos para atestar se as eventuais falhas encontradas foram sanadas – ocorrerá a partir de 11 de maio do ano que vem, com a divulgação dos resultados no dia 30 de maio de 2022.
RG/LG, DM