MTS18 - PE - Pedro Yóssis.png

Pedro Yóssis

Doutor em Ciência da Computação pela Universidade Federal de Campina Grade. Em 2017, participou da equipe de investigadores independentes que foram capazes de detectar e explorar vulnerabilidades no software da urna eletrônica em testes controlados organizados pelo Tribunal Superior Eleitoral. Trabalha como Software Security Engineer na Red Hat e é membro do Epic Leet Team, melhor time de CTF da América Latina (segundo o ctftime.org).

Executando Código Arbitrário na Urna Eletrônica

A execução de código arbitrário na urna eletrônica foi a principal conquista do grupo de pesquisa durante os testes realizados no fim de 2017. Em testes anteriores, grupos conseguiram feitos como quebra do sigilo do voto e identificação de problemas de armazenamento das chaves criptográficas dos cartões de memória do software que é carregado na urna eletrônica, que estavam em texto plano e, por isso, era possível decifrar o conteúdo dos executáveis que eram carregados na urna eletrônica. De posse do cartão de memória decifrado, o grupo de pesquisa foi capaz de identificar diversas vulnerabilidades nos executáveis, como bibliotecas carregadas no sistema sem assinatura digital. Com isso, foi possível adulterar estas bibliotecas, injetando código infectado que era por fim carregado e executado dentro da urna. Assim, essencialmente era possível programá-la. Uma das ações que o grupo conseguiu efetuar foi alterar a mensagem que aparecia na hora do voto, sugerindo o voto em uma legenda fictícia, viabilizando uma boca-de-urna dentro do próprio equipamento. E o grupo afirma que, com um pouco mais de tempo, conseguiria efetivamente adulterar os votos.