(IN)SEGURANÇA DO SISTEMA DE VOTAÇÃO ELETRÔNICA IMPLANTADO NO INSTITUTO FEDERAL DE RONDÔNIA
Resumen
Este trabalho apresenta uma análise de segurança do sistema de votação implantado no Instituto Federal de Educação, Ciência e Tecnologia de Rondônia, realizada de maneira independente e somente com motivação acadêmica. Durante esta análise, foram detectadas vulnerabilidades e fragilidades no sistema de votação e no projeto de implantação do sistema. Em razão disto, este trabalho apresenta cenários onde estas vulnerabilidades e fragilidades podem ser exploradas com o intuito de promover a fraude eleitoral ou, eventualmente, outros crimes de responsabilidade. Além disto, são apontadas fragilidades no projeto de implantação do sistema que também comprometem a segurança do processo eleitoral como um todo. Em particular, os principais problemas de segurança encontrados foram: Autenticação insegura, Falha na verificabilidade do voto, Utilização de algoritmos obsoletos e inseguros, Inverificabilidade do código-fonte em produção, Formulação equivocada do modelo de atacante, Possibilidade de ataques utilizando engenharia social, e Proteção inadequada do sigilo do voto.
Citas
ADIDA, B.; MARNEFFE, O. de; PEREIRA, O. Helios Election System. 2018. Disponível em: <https://github.com/benadida/helios-server>. (Acesso em: 11 de junho de 2020).
. Helios Election System – IFSC. 2018. Disponível em: <https://github.com/ifsc/helios-server>. (Acesso em: 11 de junho de 2020).
ARANHA, D. F. et al. Vulnerabilidades no software da urna eletrônica brasileira. 2013. 40 p. Disponível em: <https://sites.google.com/site/dfaranha/projects/relatorio-urna.pdf>. (Acesso em: 11 de junho de 2020).
BRASIL. Lei no 11.892, de 29 de dezembro de 2008. 2008. Disponível em:
<http://www.planalto.gov.br/ccivil_03/_ato2007-2010/2008/lei/l11892.htm>. (Acesso em: 11 de junho de 2020).
BROWN, L.; STALLINGS, W. Segurança de Computadores: Princípios e Práticas. Elsevier Editora Ltda, 2017. ISBN 9788535264500.
BURR, W. NIST Comments on Cryptanalytic Attacks on SHA-1. 2009.
CALANDRINO, J. A.; FELDMAN, A. J.; HALDERMAN, J. A.; WAGNER, D.; YU, H.;
ZELLER, W. P. Source code review of the diebold voting system. 2007.
CONSUP-IFRO. Ata da 21a reunião ordinária do Conselho Superior. 2018. Disponível em: <https://sei.ifro.edu.br/sei/controlador_externo.php?acao=documento_conferir&id_orgao_acesso_externo=0> Código verificador: 0279430 CRC: 62B11A1C. (Acesso em: 11 de junho de 2020).
CORTIER, V.; SMYTH, B. Attacking and fixing helios: An analysis of ballot secrecy.
Journal of Computer Security, IOS Press, v. 21, n. 1, p. 89–148, 2013.
ESTEHGHARI, S.; DESMEDT, Y. Exploiting the client vulnerabilities in internet
e-voting systems: Hacking helios 2.0 as an example. EVT/WOTE, v. 10, p. 1–9, 2010.
FMRP-USP. Helios Voting Corporativo – FMRP-USP. 2018. Disponível em:
<http://sti.fmrp.usp.br/helios-voting-corporativo/>. (Acesso em: 11 de junho de 2020).
GOLDBERG, I.; WAGNER, D. Randomness and the netscape browser. Dr Dobb’s Journal-Software Tools for the Professional Programmer, Redwood City, CA: M&T Pub., 1989-, v. 21, n. 1, p. 66–71, 1996.
GRAAF, J. van de. O mito da urna: desvendando a (in)segurança da urna eletrônica (Versão 1). Creative Commons, 2017. <https:
//inscrypt.dcc.ufmg.br/wp-content/uploads/2017/11/o-mito-da-urna.pdf> (Acesso em: 24 de setembro de 2018).
GRITZALIS, D. Secure Electronic Voting. Springer US, 2012. (Advances in Information Security). ISBN 9781461502395.
HAO, F.; RYAN, P. Real-World Electronic Voting: Design, Analysis and Deployment. CRC Press, 2016. (Series in Security, Privacy and Trust). ISBN 9781315354118.
HOWARD, F.; KOMILI, O. Poisoned search results: How hackers have automated search engine poisoning attacks to distribute malware. Sophos Technical Papers, p. 1–15, 2010.
IFF. Sistema de votação online do IFF garante rapidez e segurança dos pro- cessos eleitorais. 2017. Disponível em: <http://portal1.iff.edu.br/reitoria/noticias/sistema-de-votacao-online-do-iffluminense-garante-rapidez-e-seguranca-dos-processos-eleitorais>. (Acesso em: 11 de junho de 2020).
IFG. Welcome to IFG E-Voting System. 2017. Disponível em: <https://votacoes.ifg.edu.br/>. (Acesso em: 11 de junho de 2020).
. Catálogo de Sistemas – IFG. 2018. Disponível em: <https://www.ifg.edu.br/dti/sistemas>. (Acesso em: 11 de junho de 2020).
IFPA. IFPA realizará eleição para o Conselho Superior. 2016. Disponível em:
<https://www.ifpa.edu.br/component/content/article?id=367>. (Acesso em: 11 de junho de 2020).
IFRN. Sistema Unificado de Administração Pública (SUAP) – IFRO. 2018. Disponível em: <https://suap.ifro.edu.br/>. (Acesso em: 11 de junho de 2020).
IFRO. Apresentação – IFRO. 2018. Disponível em: <http://portal.ifro.edu.br/apresentacao>. (Acesso em: 11 de junho de 2020).
. Eleições para reitor e diretores de campi ocorrem no dia 05. 2018. Disponível em: <http://portal.ifro.edu.br/component/content/article?id=5301>. (Acesso em: 11 de junho de 2020).
. Plano de Desenvolvimento Institucional do IFRO (2018–2022). 2018. Disponível em: <https://portal.ifro.edu.br/images/ifro-pdi-interativo-20180209_ pagina-simples.pdf>. (Acesso em: 11 de junho de 2020).
. Sistema de eleições do IFRO. 2018. Disponível em: <http://eleicao.ifro.edu. br>. (Acesso em: 11 de junho de 2020).
. Tutorial Votação - Processo de Consulta à Comunidade do IFRO 2018. 2018. Disponível em: <https://www.youtube.com/watch?v=cFR69Ra3yTs>. (Acesso em: 11 de junho de 2020).
IFSC. Sistema de Votação On-line – Helios. 2018. Disponível em: <http://dtic.ifsc.edu.br/sistemas/sistema-de-votacao-on-line-helios/>. (Acesso em: 11 de junho de 2020).
ITI. ICP-Brasil. 2017. Disponível em: <http://www.iti.gov.br/icp-brasil>. (Acesso em: 11 de junho de 2020).
JI-PARANÁ. Lei no 3127, de 11 de dezembro de 2017. 2017. Disponível
em: <http://201.3.59.82:5659/transparencia/aplicacoes/publicacao/download.php?id_ doc=004602&extencao=PDF>. (Acesso em: 24 de setembro de 2018).
KRIMMER, R.; VOLKAMER, M.; BARRAT, J.; BENALOH, J.; GOODMAN, N.;
RYAN, P.; TEAGUE, V. Electronic Voting: First International Joint Conference, E-Vote-ID 2016, Bregenz, Austria, October 18-21, 2016, Proceedings. Springer International Publishing, 2017. (Lecture Notes in Computer Science). ISBN 9783319522401.
KUSTERS, R.; TRUDERUNG, T.; VOGT, A. Clash attacks on the verifiability of e-voting systems. In: 2012 IEEE SSP. 2012. p. 395–409. ISSN 1081-6011.
MARLINSPIKE, M. Software >> sslstrip. 2011. Disponível em: <https://moxie.org/software/sslstrip/>. (Acesso em: 24 de setembro de 2018).
MCCLURE, S.; SCAMBRAY, J.; KURTZ, G. Hackers Expostos - 7ed: Segredos e Soluções para a Segurança de Redes. Bookman Editora, 2014. ISBN 9788582601426.
MOODLE. Ambiente Virtual de Aprendizagem d0 IFRO – virtual.ifro. 2018. Disponível em: <https://virtual.ifro.edu.br/>. (Acesso em: 11 de junho de 2020).
NIST. FIPS 180-2: Secure hash standard. 2002.
SILVA, Ê. G. da. SISTEMA DE VOTAÇÃO - URGENTE (email). 2018.
Disponível em: <http://docdro.id/LKnKRWv>. (Acesso em: 11 de junho de 2020).
SILVA, M. C. da. Voto eletrônico: é mais seguro votar assim? Editora Insular, 2002.
SOUZA, E. F. de. Parecer No 3/2018/REIT - DGTI/REIT - PRODIN/REIT. 2018. Disponível em: <https://sei.ifro.edu.br/sei/controlador_externo.php?acao=documento_conferir&id_orgao_acesso_externo=0> Código verificador: 0258108CRC: 5A004472. (Acesso em: 11 de junho de 2020).
STEVENS, M. SHAttered: We have broken SHA-1 in practice. 2017. Disponível em: <https://shattered.io>. (Acesso em: 11 de junho de 2020).
TRF4. Sistema Eletrônico de Informações (SEI) – IFRO. 2018. Disponível em:
<https://sei.ifro.edu.br/>. (Acesso em: 11 de junho de 2020).
UNB. UnB adapta sistema de voto eletrônico para Defensoria Pública da União. 2016. Disponível em: <https://www.unbciencia.unb.br/exatas/41-engenharia- eletrica/117-unb-adapta-sistema-de-voto-eletronico-para-defensoria-publica-da-uniao>. (Acesso em: 11 de junho de 2020).
WANG, X.; YIN, Y. L.; YU, H. Finding collisions in the full SHA-1. In: Advances in Cryptology - CRYPTO 2005. Springer, 2005. v. 3621.
WAZLAWICK, R. S. Metodologia de pesquisa para ciência da computação. Rio de Janeiro: Elsevier, 2008. 184 p. ISSN 978-85-352-3522-7.
. Helios Election System – IFSC. 2018. Disponível em: <https://github.com/ifsc/helios-server>. (Acesso em: 11 de junho de 2020).
ARANHA, D. F. et al. Vulnerabilidades no software da urna eletrônica brasileira. 2013. 40 p. Disponível em: <https://sites.google.com/site/dfaranha/projects/relatorio-urna.pdf>. (Acesso em: 11 de junho de 2020).
BRASIL. Lei no 11.892, de 29 de dezembro de 2008. 2008. Disponível em:
<http://www.planalto.gov.br/ccivil_03/_ato2007-2010/2008/lei/l11892.htm>. (Acesso em: 11 de junho de 2020).
BROWN, L.; STALLINGS, W. Segurança de Computadores: Princípios e Práticas. Elsevier Editora Ltda, 2017. ISBN 9788535264500.
BURR, W. NIST Comments on Cryptanalytic Attacks on SHA-1. 2009.
CALANDRINO, J. A.; FELDMAN, A. J.; HALDERMAN, J. A.; WAGNER, D.; YU, H.;
ZELLER, W. P. Source code review of the diebold voting system. 2007.
CONSUP-IFRO. Ata da 21a reunião ordinária do Conselho Superior. 2018. Disponível em: <https://sei.ifro.edu.br/sei/controlador_externo.php?acao=documento_conferir&id_orgao_acesso_externo=0> Código verificador: 0279430 CRC: 62B11A1C. (Acesso em: 11 de junho de 2020).
CORTIER, V.; SMYTH, B. Attacking and fixing helios: An analysis of ballot secrecy.
Journal of Computer Security, IOS Press, v. 21, n. 1, p. 89–148, 2013.
ESTEHGHARI, S.; DESMEDT, Y. Exploiting the client vulnerabilities in internet
e-voting systems: Hacking helios 2.0 as an example. EVT/WOTE, v. 10, p. 1–9, 2010.
FMRP-USP. Helios Voting Corporativo – FMRP-USP. 2018. Disponível em:
<http://sti.fmrp.usp.br/helios-voting-corporativo/>. (Acesso em: 11 de junho de 2020).
GOLDBERG, I.; WAGNER, D. Randomness and the netscape browser. Dr Dobb’s Journal-Software Tools for the Professional Programmer, Redwood City, CA: M&T Pub., 1989-, v. 21, n. 1, p. 66–71, 1996.
GRAAF, J. van de. O mito da urna: desvendando a (in)segurança da urna eletrônica (Versão 1). Creative Commons, 2017. <https:
//inscrypt.dcc.ufmg.br/wp-content/uploads/2017/11/o-mito-da-urna.pdf> (Acesso em: 24 de setembro de 2018).
GRITZALIS, D. Secure Electronic Voting. Springer US, 2012. (Advances in Information Security). ISBN 9781461502395.
HAO, F.; RYAN, P. Real-World Electronic Voting: Design, Analysis and Deployment. CRC Press, 2016. (Series in Security, Privacy and Trust). ISBN 9781315354118.
HOWARD, F.; KOMILI, O. Poisoned search results: How hackers have automated search engine poisoning attacks to distribute malware. Sophos Technical Papers, p. 1–15, 2010.
IFF. Sistema de votação online do IFF garante rapidez e segurança dos pro- cessos eleitorais. 2017. Disponível em: <http://portal1.iff.edu.br/reitoria/noticias/sistema-de-votacao-online-do-iffluminense-garante-rapidez-e-seguranca-dos-processos-eleitorais>. (Acesso em: 11 de junho de 2020).
IFG. Welcome to IFG E-Voting System. 2017. Disponível em: <https://votacoes.ifg.edu.br/>. (Acesso em: 11 de junho de 2020).
. Catálogo de Sistemas – IFG. 2018. Disponível em: <https://www.ifg.edu.br/dti/sistemas>. (Acesso em: 11 de junho de 2020).
IFPA. IFPA realizará eleição para o Conselho Superior. 2016. Disponível em:
<https://www.ifpa.edu.br/component/content/article?id=367>. (Acesso em: 11 de junho de 2020).
IFRN. Sistema Unificado de Administração Pública (SUAP) – IFRO. 2018. Disponível em: <https://suap.ifro.edu.br/>. (Acesso em: 11 de junho de 2020).
IFRO. Apresentação – IFRO. 2018. Disponível em: <http://portal.ifro.edu.br/apresentacao>. (Acesso em: 11 de junho de 2020).
. Eleições para reitor e diretores de campi ocorrem no dia 05. 2018. Disponível em: <http://portal.ifro.edu.br/component/content/article?id=5301>. (Acesso em: 11 de junho de 2020).
. Plano de Desenvolvimento Institucional do IFRO (2018–2022). 2018. Disponível em: <https://portal.ifro.edu.br/images/ifro-pdi-interativo-20180209_ pagina-simples.pdf>. (Acesso em: 11 de junho de 2020).
. Sistema de eleições do IFRO. 2018. Disponível em: <http://eleicao.ifro.edu. br>. (Acesso em: 11 de junho de 2020).
. Tutorial Votação - Processo de Consulta à Comunidade do IFRO 2018. 2018. Disponível em: <https://www.youtube.com/watch?v=cFR69Ra3yTs>. (Acesso em: 11 de junho de 2020).
IFSC. Sistema de Votação On-line – Helios. 2018. Disponível em: <http://dtic.ifsc.edu.br/sistemas/sistema-de-votacao-on-line-helios/>. (Acesso em: 11 de junho de 2020).
ITI. ICP-Brasil. 2017. Disponível em: <http://www.iti.gov.br/icp-brasil>. (Acesso em: 11 de junho de 2020).
JI-PARANÁ. Lei no 3127, de 11 de dezembro de 2017. 2017. Disponível
em: <http://201.3.59.82:5659/transparencia/aplicacoes/publicacao/download.php?id_ doc=004602&extencao=PDF>. (Acesso em: 24 de setembro de 2018).
KRIMMER, R.; VOLKAMER, M.; BARRAT, J.; BENALOH, J.; GOODMAN, N.;
RYAN, P.; TEAGUE, V. Electronic Voting: First International Joint Conference, E-Vote-ID 2016, Bregenz, Austria, October 18-21, 2016, Proceedings. Springer International Publishing, 2017. (Lecture Notes in Computer Science). ISBN 9783319522401.
KUSTERS, R.; TRUDERUNG, T.; VOGT, A. Clash attacks on the verifiability of e-voting systems. In: 2012 IEEE SSP. 2012. p. 395–409. ISSN 1081-6011.
MARLINSPIKE, M. Software >> sslstrip. 2011. Disponível em: <https://moxie.org/software/sslstrip/>. (Acesso em: 24 de setembro de 2018).
MCCLURE, S.; SCAMBRAY, J.; KURTZ, G. Hackers Expostos - 7ed: Segredos e Soluções para a Segurança de Redes. Bookman Editora, 2014. ISBN 9788582601426.
MOODLE. Ambiente Virtual de Aprendizagem d0 IFRO – virtual.ifro. 2018. Disponível em: <https://virtual.ifro.edu.br/>. (Acesso em: 11 de junho de 2020).
NIST. FIPS 180-2: Secure hash standard. 2002.
SILVA, Ê. G. da. SISTEMA DE VOTAÇÃO - URGENTE (email). 2018.
Disponível em: <http://docdro.id/LKnKRWv>. (Acesso em: 11 de junho de 2020).
SILVA, M. C. da. Voto eletrônico: é mais seguro votar assim? Editora Insular, 2002.
SOUZA, E. F. de. Parecer No 3/2018/REIT - DGTI/REIT - PRODIN/REIT. 2018. Disponível em: <https://sei.ifro.edu.br/sei/controlador_externo.php?acao=documento_conferir&id_orgao_acesso_externo=0> Código verificador: 0258108CRC: 5A004472. (Acesso em: 11 de junho de 2020).
STEVENS, M. SHAttered: We have broken SHA-1 in practice. 2017. Disponível em: <https://shattered.io>. (Acesso em: 11 de junho de 2020).
TRF4. Sistema Eletrônico de Informações (SEI) – IFRO. 2018. Disponível em:
<https://sei.ifro.edu.br/>. (Acesso em: 11 de junho de 2020).
UNB. UnB adapta sistema de voto eletrônico para Defensoria Pública da União. 2016. Disponível em: <https://www.unbciencia.unb.br/exatas/41-engenharia- eletrica/117-unb-adapta-sistema-de-voto-eletronico-para-defensoria-publica-da-uniao>. (Acesso em: 11 de junho de 2020).
WANG, X.; YIN, Y. L.; YU, H. Finding collisions in the full SHA-1. In: Advances in Cryptology - CRYPTO 2005. Springer, 2005. v. 3621.
WAZLAWICK, R. S. Metodologia de pesquisa para ciência da computação. Rio de Janeiro: Elsevier, 2008. 184 p. ISSN 978-85-352-3522-7.
Descargas
Publicado
2021-09-04
Cómo citar
Andrade, E. (2021). (IN)SEGURANÇA DO SISTEMA DE VOTAÇÃO ELETRÔNICA IMPLANTADO NO INSTITUTO FEDERAL DE RONDÔNIA. South American Journal of Basic Education, Technical and Technological, 8(2), 628–643. Recuperado a partir de https://periodicos.ufac.br/index.php/SAJEBTT/article/view/3846
Número
Sección
Artigos Originais Tecnologias e Multidisciplinar
