• Quem Somos
  • Contato
pt_BR PT_BR
pt_BR PT_BR en_US EN en_AU EN_AU af AF ar AR cs_CZ CS da_DK DA de_DE DE es_ES ES fr_FR FR hi_IN HI he_IL HE it_IT IT ja JA nl_NL_formal NL ru_RU RU zh_HK ZH pl_PL PL hu_HU HU nb_NO NB nl_NL NL_NL
Transparência Eleitoral
  • Home
  • Falam Especialistas
  • Rejeição urnas
  • Saga do Voto Impresso
  • Retrocesso
  • Denúncias
    • 2018- Hackers sistema do TSE e pegam dados confidenciais
    • Hackers invadiram sistema do TSE e podem ter fraudado as eleições de 2018
    • 2020 Hacker que invadiu TSE diz que quebrou a segurança com um celular
    • Medidas Antifraude
  • Fact-Checking
  • Vídeos
  • Mapa do site
  • Livros
Nenhum resultado
Ver todos os resultados
Transparência Eleitoral
Casa Denúncias

Hackers invadem sistema do TSE e pegam dados confidenciais

2018 - Após meses dentro do sistema do TSE, os hackers entregaram as provas da invasão ao Portal de Tecnologia Tecmundo.

por Redação
Em Denúncias, Tecnologia e Segurança
Tempo de leitura: 9min ler
Hackers invadem urnas eletrônicas

A grave invasão em pleno período eleitoral, veio a público no início de novembro/2018, mas que, a despeito da sua importância, não mereceu a devida repercussão na imprensa.

Relata o TecMundo:

O Tribunal Superior Eleitoral (TSE) sofreu um suposto acesso não-autorizado ao sistema GEDAI-UE da urna eletrônica e teve o código do sistema de carga do software vazado durante a semana anterior ao segundo turno das eleições presidenciais, que ocorreu no dia 28 de outubro. Além do vazamento não autorizado, hackers alegaram que tiveram sucesso ao entrar na intranet do TSE e obter informações privilegiadas e confidenciais, como troca de emails, envio de senhas para juízes, credenciais de acesso etc.

O TecMundo recebeu os documentos por meio de duas fontes anônimas em outubro. Após análise interna, os arquivos foram enviados em sua completude ao Tribunal Superior Eleitoral para autenticação.

⇒ O GEDAI-UE é um gerenciador de dados, aplicativos e interface com a URNA.

Até o momento desta publicação, o TSE não enviou um posicionamento sobre o caso. Por outro lado, fontes do JOTA, que atuou ao lado do TecMundo na apuração, indicaram que houve uma mobilização no Tribunal após o recebimento dos arquivos.

De acordo com o pessoal do JOTA, ao ser questionado sobre o fato nesta semana, o TSE conferiu os dados e confirmou que, de fato, pessoas de fora da Corte podem ter tido acesso a informações sobre os equipamentos que o TSE mantém sob segredo.

Disse o TSE: “Vale notar que os invasores não tiveram acesso ao módulo do sigilo do voto: isso significa que não foi possível acessar a parte do sistema que exibe os votos dos eleitores. Além disso, o código do GEDAI é “público”: após a assinatura de um termo de sigilo, partidos, MP e OAB, por exemplo, podem pedir o acesso.”

O GEDAI-UE foi o principal módulo que os hackers acessaram. Segundo o TSE, ele é um gerenciador de dados, aplicativos e interface com a urna, que fornece às equipes dos cartórios eleitorais e dos Tribunais Regionais Eleitorais (TREs) o suporte de software necessário à carga das urnas eletrônicas. É o sistema responsável por gerar as flashes de carga, de votação e mídias para a urna, além de receber e enviar as correspondências para os TREs.

Basicamente, esse é o sistema que gera cartões de memória que contêm o Uenux (Urna eletrônica com Linux), os candidatos e os eleitores. “Candidatos e eleitores são importados pelo Gedai-UE de outros aplicativos do TSE. Com esses cartões de memória, os técnicos dos tribunais regionais eleitorais instalam o Uenux na urna com as listas de candidatos e eleitores, procedimento feito a cada nova eleição”, explica o TSE em seu site oficial.

Parte do código GEDAI hackeado

Códiigo Gedai do TSE hackeado

Como ocorreu a invasão ao TSE

Um dos hackers detalhou ao TecMundo como conseguiu o acesso privilegiado ao sistema do TSE. De acordo com ele, o acesso aconteceu por meio de vulnerabilidades em aplicações desenvolvidas pelo próprio Tribunal. Assim, foi possível um acesso remoto a um dos equipamentos ligados à rede. Acompanhe abaixo a conversa completa e na íntegra.

“Com isso, (vulnerabilidades) obtive milhares de códigos-fontes,
documentos sigilosos e até mesmo credenciais.”

Relato do hacker: invasão durante meses, logins, senhas e funcionamento do sistema de votação.

" Tive acesso à rede interna (intranet) e, por vários meses, fiquei explorando a rede, inclusive entrando em diversas máquinas diferentes do TSE, em busca de compreender o funcionamento dos sistemas de votação”, escreveu a fonte. “Com isso, obtive milhares de códigos-fontes, documentos sigilosos e até mesmo credenciais, sendo login de um ministro substituto do TSE (Sérgio Banhos) e diversos técnicos, alguns sendo ligados à alta cúpula de TI do TSE, ligado ao pai das urnas (Giuseppe Janino)”.

Nota: Sérgio Silveira Banhos, citado pela fonte, é o ministro substituto do TSE desde 2017. Já Giuseppe Janino é o secretário de tecnologia do Tribunal Superior Eleitoral, conhecido por ter sido o criador do coletor eletrônico de voto.

Hackers invadem sistema da Justiça Eleitoral e pegam dados confidenciais
Parte do código enviado pelos hackers ao TecMundo

“Passadas algumas semanas em que estive utilizando os equipamentos de rede do TSE, notei via emails dos técnicos da STI que os mesmos notaram tráfego suspeito (porque utilizei programas de scan na rede)”. Fizeram uma perícia para detalhar como o invasor conseguiu obter acesso ilegal à rede, mas mesmo com todos estes procedimentos de segurança que dotaram, incluindo a alteração de senhas de todas as contas, acabou não sendo suficiente para interromper meu acesso aos emails e também para a rede interna”.

Documento confidencial do TSE enviado pelo hacker

Documentos TSE confidenciais hackeados

⇒ Somente o código-fonte descompactado (GEDAI-UE), ultrapassa 3GBs

A fonte explica ainda que obteve, junto com o código-fonte, as chaves que são utilizadas. “Somente o código-fonte descompactado (GEDAI-UE) ultrapassa 3GBs, sendo que obtive milhares de outros códigos, como Cand-web”.

Sobre software, o atacante comentou ao TecMundo que as aplicações vulneráveis rodavam em versões ultrapassadas do JBoss, “como o Malote Digital, usado por TRE’s”. O hacker ainda adicionou que “alguns técnicos do TSE, pensando nisso, atualizaram a versão de uma aplicação em Jboss, no caso o ELO, há algumas semanas.

Explicação do hacker sobre tecnologias ultrapassadas e inseguras do TSE

“Essas aplicações deveriam ser utilizadas somente em ambientes de desenvolvimento, sendo que em ambientes de produção, é possível subir um arquivo malicioso/shell, em linguagem JSP. Inclusive, pude notar há algumas semanas atrás uma aplicação em Jboss vulnerável a upload por meio de url_deployment_java.net, rodando em ambiente de produção, pelo próprio TSE.”

Após essa troca de mensagens, os hackers envolvidos na invasão não responderam mais aos pedidos de comentários.

Alguns documentos hackeados no TSE

 

1 do 7
- +
Hackers invadem sistema da Justiça Eleitoral e pegam dados confidenciais
Hackers invadem sistema da Justiça Eleitoral e pegam dados confidenciais
Hackers invadem sistema da Justiça Eleitoral e pegam dados confidenciais
Hackers invadem sistema da Justiça Eleitoral e pegam dados confidenciais
Hackers invadem sistema da Justiça Eleitoral e pegam dados confidenciais
Hackers invadem sistema da Justiça Eleitoral e pegam dados confidenciais

1.

2.

3.

4.

5.

6.

7.

O que pesquisadores dizem sobre o caso

O TecMundo conversou com o professor Diego Aranha sobre o caso, principalmente porque Aranha é um dos cidadãos que participaram dos testes para pesquisadores independentes com a urna eletrônica.

Diego Aranha

"Vale lembrar que o software de votação sabidamente já apresentou diversas vulnerabilidades graves e erros de projeto nos últimos anos, apesar de clássicas e bem conhecidas na área de segurança. De qualquer forma, explorar as consequências do evento representa um exercício interessante. Não se sabe em que ponto a invasão teve início ou que tipo de informação foi acessada pelo invasor, logo um possível impacto nos resultados das últimas eleições é incerto. Na ausência da possibilidade de recontagem de votos por um registro físico verificável pelo eleitor, a melhor medida para tentar se estimar algum impacto nos resultados são as pesquisas de boca de urna, que ao menos na corrida presidencial foram felizmente fiéis ao resultado publicado"

É também um momento importante para se repensar sua relação com a comunidade técnica de pesquisa em segurança

"A comunidade técnica brasileira já vinha protestando contra diversas práticas do TSE na direção de dificultar o acesso de especialistas independentes aos detalhes de projeto e implementação de sistemas eleitorais, como a limitação de tempo/escopo e remoção de trechos sensíveis de código no software inspecionado durante os Testes Públicos de Segurança, ou o Termo de Sigilo obrigatório imposto a fiscais do código-fonte na janela de meses disponível para inspeção à sociedade civil. Esse tipo de restrição só aliena os pesquisadores legitimamente interessados em contribuir com o aprimoramento da segurança do sistema de votação, enquanto não há qualquer efeito prático contra um invasor que já pode ter acesso às mesmas informações privilegiadas por outros caminhos. No final, as práticas do TSE terminam sendo hostis a pesquisadores legítimos e honestos, enquanto inócuas contra fraudadores em potencial"

De acordo com o professor Aranha, no momento, o melhor movimento para o TSE seria publicar integralmente as bases de código que compõem os sistemas eleitorais críticos, “conforme promessa feita antes das eleições de 2018“.

"Não é mais razoável assumir que fraudadores não possuem acesso a essa informação, assim confiando que os olhos bem-intencionados da comunidade técnica poderão competir em pé de igualdade com ações maliciosas. Aliás, foi exatamente um evento como esse que permitiu a especialistas independentes encontrar vulnerabilidades no sistema de votação da Argentina, cujo vazamento tornou o código-fonte disponível a qualquer interessado (https://github.com/prometheus-ar/vot.ar). É também um momento importante para se repensar sua relação com a comunidade técnica de pesquisa em segurança e a natureza exclusivamente eletrônica do sistema de votação utilizado no país, visto que uma invasão dessa natureza pode ter impacto imprevisível no resultado eleitorais. Por essa razão, um registro físico do voto termina sendo indispensável, já que qualquer incerteza pode ser resolvida pela conferência e auditoria por não-especialistas de um registro verificado por parcela significativa do eleitorado".

CompartilharTweetCompartilhar
Artigo anterior

TSE e o absolutismo eleitoral brasileiro

Próximo Artigo

Hackers invadiram sistema do TSE e podem ter fraudado as eleições de 2018

Artigos Relacionados

PGR deveria abrir caixa preta do TSI, ‘Tribunal Superior de Informática’
Tecnologia e Segurança

PGR deveria abrir caixa preta do TSI, ‘Tribunal Superior de Informática’, no TSE.

Autoridade independente em votação eletrônica, refuta Lupa: #fake-checking. Urnas do Brasil NÃO podem ser auditadas e é IMPOSSÍVEL recontar votos.
Fact-Checking

Autoridade independente em votação eletrônica, refuta Lupa: #fake-checking. Urnas do Brasil NÃO podem ser auditadas e é IMPOSSÍVEL recontar votos.

Hacker que invadiu sistema do TSE diz que Barroso ‘omitiu informações’: “Sistema não é seguro, invadi 28 bancos de dados do Tribunal por um telefone celular”
Denúncias

Hacker que invadiu sistema do TSE diz que Barroso ‘omitiu informações’: “Sistema não é seguro, invadi 28 bancos de dados do Tribunal por um telefone celular”

Denúncias

Livros para download, sobre o voto eletrônico

Denúncias

Vídeos & Documentários

Brasil, retrocesso eleitoral ao século 18.
Absolutismo eleitoral

Brasil, retrocesso eleitoral ao século 18

Auditorias eleitorais reprovadas

Brasil é o único país do mundo onde as eleições são inauditáveis

Hacker invadiram sistema do TSE e podem ter fraudado as eleições
Denúncias

Hackers invadiram sistema do TSE e podem ter fraudado as eleições de 2018

Carregue mais
Próximo Artigo
Hacker invadiram sistema do TSE e podem ter fraudado as eleições

Hackers invadiram sistema do TSE e podem ter fraudado as eleições de 2018

Deixe uma resposta Cancelar resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Artigos Recomendados

  • All
  • Brasil rejeita urnas
  • Mundo rejeita urnas
  • Auditorias eleitorais reprovadas

OEA e sua desinformação geral sobre o descrédito nas urnas eletrônicas

Fake News:, votação eletrônica é realidade em mais de 30 países

FakeNews: Votação eletrônica é realidade em mais de 30 países

Maioria dos eleitores não confia na apuração dos votos

Maioria dos eleitores não confia na apuração dos votos

Carregue mais

NAVEGUE POR CATEGORIAS

Exibindo neste momento

Professor de Ciência e Computação Sr Pedro Resende, Urnas Eletrônicas

Professor de Ciência e Computação Sr Pedro Resende, Urnas Eletrônicas

00:18:04

A farsa da auditoria nas urnas eletrônicas (feat. Amílcar Brunazo Filho) #OtarioCast

00:23:34

ELEIÇÕES 2018 - Dra Maria Cortiz. Entenda a Fraude! CPI de Crimes Cibernéticos

00:18:30

RECOMENDAMOS O LIVRO


Livro O estado de direito. Constitucionalismo democracia futuro nação

TRANSPARÊNCIA ELEITORAL

Pelo Voto Seguro no Brasil

Contribua para a consciência de cidadania, ajude a espalhar o projeto, só com conhecimento e mobilização, é possível mudança.

Navegue por Assuntos

Recomendamos o livro

O Estado de Direito - José Stelle

Navegue rápido

  • Home
  • Quem somos
  • Contato
  • Mapa do site
  • Política de Privacidade
  • Quem somos
  • Contato

© 2020 Transparência Eleitoral - Todos os direitos reservados.

Nenhum resultado
Ver todos os resultados
  • Rejeição urnas eletrônicas
    • Brasil rejeita urnas
    • Mundo rejeita urnas
  • Saga do Voto Impresso
    • Lei 2002 voto impresso
    • Lei 2009 voto impresso
    • Lei 2015 voto impresso
  • Retrocesso eleitoral
  • Posições Tecnologia e Segurança
  • Posições do Poder Judiciário
  • Auditorias eleitorais reprovadas
  • Testes TSE reprovados
  • Denúncias
  • Fact-Checking
  • Livros para Donwload
  • Vídeos & Documentários
  • Quem somos

© 2020 Transparência Eleitoral - Todos os direitos reservados.