Segurança de Sistemas Eletrônicos de Votação

Transcrição

1 Segurança de Sistemas Eletrônicos de Votação Conferência CAOS 2017 Luis Menasché Schechter Universidade Federal do Rio de Janeiro 20 de Outubro de 2017

2 Introdução A segurança da informação estuda como um determinado sistema se comporta na presença de um potencial adversário (um atacante). É necessário: pensar em maneiras como a segurança pode ser quebrada e não apenas em razões pelas quais ela não será. buscar os elos mais fracos do sistema, os mais fáceis de atacar. identificar hipóteses sobre as quais a segurança se baseia - são verdadeiras ou falsas? não se limitar à visão original do construtor do sistema - ir além.

3 Introdução (2) O que estamos tentando proteger? Que propriedades do sistema estamos tentando garantir? Quem são os potenciais atacantes? Quais são suas motivações? Quais são suas habilidades/capacidades? Que tipo de ataque desejamos prevenir? Quais são as fraquezas do sistema? Quanto um ataque bem sucedido irá nos custar? Quão provável ele é?

4 Requisitos de Segurança em uma Eleição Eleições são um procedimento complicado e bem particular do ponto de vista de segurança. Há uma conjunção de requisitos que não se costuma ver em outros processos. Além disso, o aperfeiçoamento de um requisito costuma dificultar a plena realização de outro(s). Os principais requisitos são: 1. Integridade 2. Segredo do voto 3. Autenticação de eleitores 4. Ampla oportunidade de votar (enfranchisement) 5. Disponibilidade

5 Requisitos de Segurança em uma Eleição (2) Integridade: O resultado da eleição está de acordo com a intenção manifestada pelos eleitores. 1. Os votos são depositados conforme a intenção dos eleitores e 2. Os votos são contabilizados como foram depositados. Segredo do Voto: 1. Forma fraca: ninguém pode determinar como você votou Forma forte:...mesmo que você tente provar a alguém. Autenticação de eleitores: Apenas eleitores devidamente registrados/autorizados podem depositar voto e cada um deles pode depositar apenas um voto. Ampla oportunidade (enfranchisement): Todos os eleitores devidamente registrados/autorizados devem ter a oportunidade de depositar o seu voto. Disponibilidade: O sistema eleitoral deve ser capaz de receber todos os votos dentro do intervalo de tempo esperado e produzir os resultados finais dentro de um intervalo razoável de tempo.

6 Tensões entre os Requisitos Integridade X Segredo do Voto Autenticação X Ampla Oportunidade

7 Outros Requisitos Importantes 1. Eficiência 2. Custo 3. Acessibilidade 4. Inteligibilidade e Usabilidade 5. Transparência, Verificabilidade e Auditabilidade

8 Evolução dos Sistemas de Votação Vox Populi:

9 Evolução dos Sistemas de Votação (2) Primeiras Cédulas:

10 Evolução dos Sistemas de Votação (3) Cédulas Padronizadas Anônimas (Cédulas Australianas): Chain Voting

11 Evolução dos Sistemas de Votação (4) Máquinas Mecânicas com Alavancas:

12 Possibilidades de Fraude Insiders X Outsiders Varejo (urnas ou votos específicos) X Atacado (sistema)

13 Sistemas Eletrônicos de Votação Scanners: No Brasil, não são utilizados em eleições, mas uma tecnologia idêntica é utilizada no registro de apostas em casas lotéricas.

14 Sistemas Eletrônicos de Votação (2) Direct Recording Electronic (DRE): Tipo de sistema eletrônico utilizado atualmente no Brasil.

15 Urnas DRE As urnas DRE registram os votos de forma puramente eletrônica, seja em suas memórias internas, seja em mídias externas (como pen-drives) acoplados às urnas. Algumas urnas guardam registros redundantes dos votos, mas, no fim das contas, todos os registros são feitos em meio eletrônico. O sistema eletrônico de votação foi desenvolvido porque a eleição com cédulas de papel tinha uma série de falhas e vulnerabilidades. Dentre as mais imediatas, podemos citar a possibilidade de apuração fraudulenta caso não houvesse fiscais isentos e independentes acompanhando o trabalho dos oficiais que leem os votos nas cédulas e que anotam os votos que são lidos. Entretanto, a urna eletrônica não passa de um computador com design externo diferente. Desta forma, todas as questões referentes à análise de segurança de computadores também se aplicam à segurança destas urnas.

16 Urnas DRE (2) Ou seja, enquanto a urna eletrônica vem substituir o voto em cédula para sanar várias vulnerabilidades deste tipo de voto, ela por si também introduz algumas novas vulnerabilidades ao processo, vulnerabilidades típicas de computadores de uma forma geral. Isto não é uma deficiência intrínseca ao sistema eletrônico, trata-se de um fenômeno constante quando se analisa a evolução história dos sistemas de votação: todo novo sistema surge motivado pela necessidade de combater vulnerabilidades do sistema anterior, mas introduz consigo um novo conjunto de potenciais vulnerabilidades. Uma vulnerabilidade importante das urnas eletrônicas é a possibilidade de programas maliciosos instalados clandestinamente na urna adulterarem a gravação dos votos na sua memória interna.

17 Urnas DRE (3) Mesmo a existência de registros redundantes dos votos não sana esta vulnerabilidade, pois um programa que consiga adulterar um registro, muito provavelmente, terá a habilidade de adulterar todos. Desta forma, urnas eletrônicas são especialmente vulneráveis a fraudes no atacado perpetradas por insiders. O TSE, enquanto instituição, pode conduzir os processos corretamente, mas mesmo assim há risco de fraude. Bastaria um técnico mal-intencionado com acesso ao software ou ao hardware da máquina. Fraudes não são o único risco. Programas tão grandes e complexos quanto um software de controle de votação (com requisitos como anonimato, etc.) não estarão livres de bugs não-intencionais. Problema Complexo Software correto Problema Muito Complexo Software seguro Problema Extremamente Complexo Software de Votação Seguro (tensão integridade x segredo do voto)

18 Papel como Defesa Analogia: Todo avião moderno, com todo seu equipamento eletrônico e redundâncias de circuito, ainda possui uma bússola tradicional na cabine. O registro em papel (voto tradicional) possui uma série de vulnerabilidades. Para tentar superá-las, o voto eletrônico foi introduzido. Entretanto, enquanto ele soluciona vulnerabilidades do voto em papel, ele também introduz algumas vulnerabilidades novas. Ponto chave: As vulnerabilidades do voto em papel e do voto eletrônico são diferentes. Ideia: Utilizar ambos os registros, em papel e em meio eletrônico, simultaneamente. A ideia é que o registro em papel sirva para vigiar a integridade do registro eletrônico e vice-versa.

19 Papel como Defesa (2) Como os dois registros são feitos em mídias de natureza diferente, os processos necessários para fraudá-los também são diferentes. Assim, para fraudar uma eleição, seria necessário desenvolver uma fraude coordenada dos dois registros mantendo a coerência entre ambos, o que é uma tarefa consideravelmente complexa. Caso os dois registros sejam efetivamente analisados, a segurança de um processo eleitoral que utiliza registro eletrônico e registro em papel será muito mais forte do que um processo que utiliza qualquer um dos dois isoladamente. Neste quesito, scanners têm vantagem sobre urnas DRE, pois a cédula de papel, após ser escaneada já cai automaticamente em uma urna colocada embaixo do scanner. Assim, a votação com scanner já mantém os dois tipos de registro do voto. No caso das urnas DRE, uma solução é acrescentar um dispositivo que imprima o voto do eleitor e o exiba para conferência.

20 Papel como Defesa (3) O eleitor poderá apenas ver o seu voto impresso, mas não poderá tocá-lo ou manipulá-lo de qualquer forma. Em hipótese nenhuma, o eleitor poderá sair da seção eleitoral com o seu voto impresso. Desta forma, o eleitor não pode usar o seu voto impresso como recibo do voto e este voto impresso não compromete o sigilo do voto. Após a confirmação do eleitor, a tirinha de papel com o voto impresso é cortada automaticamente e este voto impresso cai dentro de uma urna comum. O Brasil é o único país do mundo que ainda mantém o uso de urnas DRE sem o registro complementar em papel. EUA, Venezuela e Índia (maior colégio eleitoral do mundo) usam urnas DRE com registro complementar em papel.

21 Papel como Defesa (4) A urna eletrônica agora possui biometria. Isso já não a torna mais segura? O voto impresso então não é desnecessário? A segurança oferecida por um sistema de biometria é de natureza distinta da segurança oferecida por um sistema de impressão de voto. Os dois mecanismos atuam sobre requisitos diferentes do sistema de votação. Biometria fortalece o requisito de autenticação dos eleitores. Já o voto impresso fortalece o requisito de integridade da eleição. Logo, biometria e o voto impresso não são medidas redundantes do ponto de vista de segurança. Cada uma delas fortalece a segurança de um aspecto diferente do processo eleitoral.

22 Requisitos Desejáveis Adicionais Transparência: Eleitores podem observar e compreender o processo. Verificabilidade: Eleitores têm meios de se convencer que o resultado está correto sem ter que confiar cegamente na tecnologia ou na autoridade eleitoral. Auditabilidade: O sistema pode ser checado manualmente após a eleição para garantir que os votos foram contados corretamente. Independência de Software (Rivest): Um erro ou mudança não-detectados no software não podem causar um erro ou mudança não-detectáveis no resultado de uma eleição. O software não pode ser a única autoridade sobre o resultado da eleição. Sempre deve ser possível uma checagem por caminho alternativo.

23 Deficiências da Urna Brasileira Em 2012, o Prof. Diego Aranha (UnB, UNICAMP) participou de um teste público da urna realizado pelo TSE. Seu grupo encontrou várias deficiências na urna. 1. Fragilidade no sigilo do voto: Para manter o sigilo dos votos, eles são armazenados em uma tabela na memória interna da urna em uma ordem aleatória. Entretanto, o gerador de números pseudo-aleatórios não era adequado (a função não era criptograficamente segura). A semente utilizada para o gerador também não era adequada: era utilizada como semente a hora da impressão da zerésima. Esta semente não só é inadequada, como também é tornada pública! Logo, a sequência inteira de números pseudo-aleatórios poderia ser reconstruída por qualquer um. Mesmo sem conhecer a hora da impressão da zerésima de uma urna específica, sabemos que ela é impressa entre 7h e 8h, dando um espaço de busca de 3600 segundos e 3600 possíveis sementes. Com isto, o grupo conseguiu desfazer as permutações da tabela e obter os votos na ordem original em que foram feitos.

24 Deficiências da Urna Brasileira (2) 2. Todas as urnas eletrônicas em operação no país utilizam a mesma chave criptográfica para cifrar as partições protegidas nos cartões de memória. 3. Chaves criptográficas estão presentes às claras no código-fonte. 4. A urna utiliza a criptografia simétrica AES de forma incorreta. 5. A urna usa a função hash SHA1, que não é considerada criptograficamente segura e não é recomendada desde 2006.

25 Referências Livro Broken Ballots, de Douglas Jones e Barbara Simons. Curso Securing Digital Democracy, de J. Alex Halderman, no Coursera. Texto Considerações sobre a Aprovação do Voto Impresso no Brasil, de Luis Menasché, no Medium. Artigo Vulnerabilidades no software da urna eletrônica brasileira, de Diego Aranha, Marcelo Karam, André de Miranda e Felipe Scarel. Página de Douglas Jones: Página de J. Alex Halderman: Página de Diego Aranha:

26 Segurança de Sistemas Eletrônicos de Votação Conferência CAOS 2017 Luis Menasché Schechter Universidade Federal do Rio de Janeiro 20 de Outubro de 2017