Categorias

Hackers quebram segurança de urna eletrônica em 90 minutos nos EUA

Os participantes da conferência de segurança Defcon, em Las Vegas, nos Estados Unidos, tiveram a rara oportunidade de experimentar suas técnicas e estratégias contra 30 urnas eletrônicas de diversos modelos utilizadas no país.

O resultado? Em menos de 90 minutos, a proteção da primeira delas já havia caído por terra e os especialistas encontraram vulnerabilidades que poderiam ser exploradas em todas.

O sigilo absoluto tem sido uma das principais armas para a segurança das urnas eletrônicas, em todo mundo. Mas, na opinião dos hackers profissionais, que trabalham explorando brechas e descobrindo bugs em sistemas, essa é justamente a maior fraqueza desses dispositivos: sem o crivo constante da comunidade ou o auxílio de equipes independentes de caçadores de erros, seu funcionamento acaba suscetível a falhas óbvias que permanecem sem serem corrigidas por anos, esperando a interferência de interesses hostis.

Para Brian Knopf, pesquisador de segurança da Internet das Coisas que trabalha para a empresa de análise de segurança Neustar, a Defcon ofereceu uma chance única: “a exposição desses dispositivos a pessoas que caçam bugs ou realmente procuram por esse tipo de dispositivo tem sido muito limitada. Então, a Defcon é uma grande oportunidade para aqueles de nós que hackeiam hardware e firmware para olhar esse tipo de dispositivo e realmente responder aquela pergunta, ‘elas podem ser hackeadas?'”.

Uma WinVote Machine, fora de linha mas utilizada pela última vez nos Estados Unidos em 2015, continha uma vulnerabilidade do Windows XP conhecida e corrigida em 2003, mas que permanecia inalterada no modelo de urna eletrônica. Através de sua conexão por Wi-Fi era possível estabelecer um acesso remoto e penetrar nas entranhas do sistema.

Mas antes mesmo da Defcon, uma outra empresa de segurança havia demonstrado que a WinVote poderia ser invadida em ainda menos tempo: simplesmente plugando um teclado e um mouse nas portas USB e apertando CTRL+ALT+DEL, era possível burlar o programa de votação e acessar o Windows XP diretamente. Instalando um aplicativo de acesso remoto, seria possível se conectar à urna eletrônica de qualquer lugar do mundo, sem o conhecimento de seus operadores.

A partir de qualquer um destes métodos, era possível alterar os votos computados no modelo de urna eletrônica. Na descrição de um dos hackers envolvidos, era tão simples quanto alterar os valores de uma planilha Excel. Durante a Defcon, um dos especialistas de segurança chegou ao cúmulo de instalar o Windows Media Player no sistema e tocar “Never Gonna Give You Up”, o clássico de Rick Astley, através dos alto-falantes do dispositivo.

Mas a descomissionada WinVote não foi o único modelo comprometido durante a Defcon. Uma Diebold, usada em alguns estados norte-americanos, também foi violada por pelo menos uma equipe de hackers durante o evento. O fabricante sustenta que vendeu suas operações em 2009 e se recusou a comentar sobre o incidente.

A expectativa dos participantes da Defcon é que as façanhas conseguidas com as urnas eletrônicas sirvam de alerta para seus fabricantes e para as autoridades norte-americanas, no sentido de não apenas ampliar a proteção dos dispositivos como também em permitir a participação e a fiscalização aberta da comunidade de segurança.