Projeto-piloto foi explorado por pesquisadores de Universidade de Michigan, que dizem ser difícil desenvolver plataforma segura para eleições online.
Pesquisadores da Universidade de Michigan conseguiram, em apenas 48h, quebrar a segurança de um projeto-piloto para votação on-line em Washington, capital dos EUA. “Em menos de dois dias após o sistema entrar em operação, obtivemos controle quase completo do servidor”, escreveram os pesquisadores. “Alteramos com sucesso todos os votos e revelamos quase a votação inteira.”
O hack foi descoberto somente após cerca de dois dias úteis – e, provavelmente, só porque os invasores deixaram um rastro visível de propósito.
Em 2010, os desenvolvedores do sistema de voto eletrônico municipal, que permite a eleitores residentes fora dos EUA votar pela web, convidaram especialistas em segurança para testes.
Outros Estados dos EUA também trabalham em serviços similares ao “Serviço Digital de Voto-por-E-mail” de Washington. Os especialistam elogiaram a transparência do sistema, mas afirmam que sua arquitetura tem falhas de segurança fundamentais e não foi capaz de resistir a uma injeção de shell e outras técnicas comuns de hackers.
Eles investigaram pontos vulneráveis comuns, como os campos de login, o conteúdo das cédulas virtuais e nomes de arquivos e cookies de sessão – e encontraram várias falhas exploráveis. Mesmo o kernel do Linux usado tinha uma vulnerabilidade conhecida. Também foram capazes de usar os PDFs gerados pelo sistema para enganar o mecanismo de criptografia. Embora o sistema de código aberto tenha tornado o trabalho um pouco mais fácil, eles acreditam que teria sido igualmente rápido mesmo que fosse proprietário.
A conclusão dos experts é que é difícil desenvolver sistemas seguros para votação on-line. Um pequeno erro de configuração ou de implementação poderia prejudicar o processo inteiro. Mesmo sem o uso de servidores centrais (seriam os principais alvos de tentativas de invasão), ainda haveria uma série de outros pontos de ataque. Avanços fundamentais ainda precisam ser feitos em segurança, dizem eles, antes de o voto eletrônico ser realmente seguro.
Por IDG Now! – Publicado em 06/03/2012
TecnoDireito 