De acordo com as Leis 12.965/2014 e 13.709/2018, que regulam o uso da Internet e o tratamento de dados pessoais no Brasil, ao me inscrever na newsletter do portal DICAS-L, autorizo o envio de notificações por e-mail ou outros meios e declaro estar ciente e concordar com seus Termos de Uso e Política de Privacidade.
Colaboração: Alexandre Freire
Data de Publicação: 06 de Outubro de 2009
O Tribunal Superior Eleitoral (TSE) fez um grande alarde para divulgar a decisão de promover testes públicos de segurança no sistema eletrônico de votação para verificar a existência de falhas com objetivo de conferir se a votação pode sofrer violações ou fraudes. O sistema da urna eletônica, anteriormente baseado em Windows, foi modificado para rodar o sistema operacional Linux por orientação do programa de adoção do governo a soluções baseadas em softwares gratuitos. O governo Lula tem a preocupação de evitar gastos excessivos com a compra de licenças de software comercial (assunto polêmico e de grande discussão entre os profissionais de TI).
Os profissionais serão julgados de acordo com a contribuição que derem para os testes e para a segurança do sistema. A comissão julgadora será formada por especialistas da área que não pertencem à Justiça Eleitoral. O TSE ainda concederá prêmios para os três melhores colocados. O primeiro ganha 5 mil reais, o segundo fatura 3 mil reais e o terceiro leva 2 mil reais.
O Blog Blindagem Digital analisou os editais dos testes,que já foram publicados no Diário Oficial, e estão disponíveis para consulta no site do TSE. Infelizmente o teste está repleto de burocracias onde os candidatos necessitam realizar um cadastro e proceder com o preenchimento de documentos para exemplifcar os procedimentos que serão realizados, sob perspectiva científica, durante os testes. O grande problema é que a documentação existente para orientação ao preenchimento da papelada de cadastro não possui dados suficientes que apoiem na orientação do que deverá ser realizado uma vez que o cenário de testes ainda é completamente desconhecido.
Compreendemos que o TSE necessita ter visibilidade em relação a todos os testes que serão realizados. Este é um dos motivos, digamos que seja o principal, pelo qual não é possível disponibilizar a urna para que os procedimentos sejam relizados por qualquer pessoa via Internet sem burocracias e com uma maior amplitude (sem dúvida alguma este seria o grande teste de fogo para a urna).
Quando participei de um evento de invasão de sistemas nos EUA, o SANS Idnet Challenge, a comissão do evento ditou as regras informando apenas o que não poderia ser realizado de testes (excluiram o Denial Of Service, por exemplo). Porém, era mandatório explicar os procedimentos realizados SOMENTE em caso de sucesso (invasão comprovada). Veja aqui os detalhes da competição Idnet Challege
A iniciativa do TSE é excelente mas é preciso reduzir a carga de burocracia a ser apresentada antes dos testes. Estejam certos de quem mais tem a contribuir, os verdadeiros hackers & crackers, não gostam de papelada. É preciso se adaptar ao público que mais poderia contribuir para o sucesso deste teste.
Alexandre Freire é Consultor Especialista em Soluções de Segurança da Informação, Especialista em Soluções de Segurança, Professor da Pós em Segurança da Informação do NCE/UFRJ e autor do livro "Como Blindar Seu PC". Certificado pelo SANS Institute em Defesa de Perímetros, foi vencedor do desafio internacional de invasão de sistemas IDNET Challenge, recebeu também a premiação mais expressiva do mercado de Segurança nacional, o SECMASTER.
This policy contains information about your privacy. By posting, you are declaring that you understand this policy:
This policy is subject to change at any time and without notice.
These terms and conditions contain rules about posting comments. By submitting a comment, you are declaring that you agree with these rules:
Failure to comply with these rules may result in being banned from submitting further comments.
These terms and conditions are subject to change at any time and without notice.
Comentários