RELATÓRIO DA AUDITORIA DO SISTEMA DE VE É APRESENTADO
A auditoria foi encomendada pelo Conselho Nacional (CN) do Sinal ao CPqD, empresa de excelência na área de segurança da informação e comunicação, tendo em vista a alegação da Chapa 2 de SP de vazamento de informações no curso do último processo eleitoral daquela regional.
Conforme noticiado no Apito Brasil de nº51, de 13/5/2011, os objetivos da auditoria eram:
1. avaliar a possibilidade de violação da VE no curso do processo de votação para a eleição de SP, tendo como base o questionário apresentado pela Chapa 2 de SP;
2. apontar as deficiências da VE;
3. propor ações no sentido de tornar o sistema mais seguro e auditável;
4. obter certificação da VE.
Item 1
Não foi possível apurar se houve violação da VE no curso do processo de votação para a eleição de SP. Nas palavras da CPqD:
“Houve acesso ao sistema de votação que não para votação por algum dirigente do Sinal antes do final do processo de votação?
O sistema foi alterado durante o processo de votação com a finalidade de encerrar a votação de Salvador, como solicitado e aprovado pelo presidente da regional. Essa comprovação advém de email, Anexo VIII, dos administradores do site, que afirmaram que houve acesso e alteração do sistema às 16:00 do horário oficial de Brasília.
Embora isso, em si, seja um problema em potencial para a integridade do processo eleitoral, nada pode ser afirmado sobre as operações que foram realizadas.
O fato de não ser possível apontar quais operações foram essas, se deve às restrições do contrato do SINAL com a LocaWeb, onde o sistema e o banco de dados estão hospedados. A LocaWeb, neste contrato, garante as trilhas de auditoria do servidor web, do servidor de banco de dados e das transações do banco de dados por um período de, apenas, 7 dias.
Os trabalhos do CPqD se iniciaram no dia 19/08/2011, ou seja, quase 4 meses após a eleição do dia 14/04/2011, logo, as trilhas de auditoria que puderam ser obtidas pelo CPqD, iniciam-se no dia 13/08/2011, impossibilitando qualquer afirmação sobre as operações realizadas.”
O formato do contrato atual não atende as necessidades de rastreabilidade e transparência inerentes a um sistema de votação eletrônica de uma instituição democrática como um sindicato, ainda que seja o contrato padrão da LocaWeb.
Para obtermos informações sobre as operações feitas no banco de dados, tais como listagem de votantes ou gravação, supressão ou alteração de dados, faz-se necessária a contratação junto à LocaWeb de ambiente virtual exclusivo para o Sinal, ao custo de R$ 8700 anuais. Somente assim poderíamos gravar os chamados “logs transacionais”. Segundo o relatório da CPqD:
“Rastreabilidade das transações sobre a base de dados não assegurada
Descrição: o contrato com a LocaWeb não prevê a disponibilização dos registros transacionais da base de dados para o SINAL. Isso se deve ao fato de que existem diversos outros clientes da empresa provedora se utilizando desse mesmo servidor de banco de dados. Essa limitação impede que se possa levantar as operações realizadas sobre a base de dados.
Recomendação: contratação de um plano mais abrangente que permita disponibilização de tais registros.”
As “ trilhas de auditoria do servidor web, do servidor de banco de dados e das transações do banco de dados” citadas no relatório da CPqD permitiriam verificar somente se as páginas foram alteradas durante a votação e quem fez a alteração. O Sinal poderia ter gravado essas informações ou solicitado a informação à LocaWeb no prazo de 7 dias da VE, mas não o fez por desconhecimento da possibilidade.
De qualquer forma, não seria possível verificar a opção de voto de cada colega, durante ou depois da votação, pois a informação não está disponível nem para os administradores.
Item 2
Submetido a um ataque autorizado “estilo hacker”, conduzido por profissionais altamente capacitados, o sistema mostrou vulnerabilidades, conforme descrito no relatório da CPqD:
“1.2 Conclusões
Depois de extensivas investigações, e com base nas informações obtidas por meio da análise dos requisitos e da arquitetura do sistema, da avaliação do ambiente e do banco de dados, realizadas na Fase I – Avaliação do ambiente de produção e operação, nos resultados das entrevistas e da análise de código, realizadas na Fase II – Inspeção de código, na avaliação das trilhas de auditoria e da intregidade do ambiente, realizadas na Fase III – Avaliação forense do ambiente, e nos resultados dos testes de intrusão, concluiu-se que:
I. O sistema de votação eletrônica possui diversas vulnerabilidades, que, caso sejam exploradas, podem vir a resultar na violação do processo de votação contendo as seguintes vulnerabilidades encontradas e exploradas nos testes de intrusão:
a. acesso irrestrito à base de dados (consulta, inserção, exclusão e alteração de votos);
b. ataque ao eleitor (código malicioso para forçar eleitor a votar de determinado modo);
c. possibilidade de contorno do mecanismo de verificação da chapa e da quantidade de candidatos fiscais;
d. rastreabilidade dos administradores não assegurada (id único);
e. falta de registro de trilhas de auditoria das operações sobre o servidor web e o banco de dados (violação da aplicação e da base de dados);
f. inter-relacionamento entre site e sistema de votação eletrônica (utilização compartilhada de base de dados com mesmo usuário).”
O uso da VE em 15 votações, com 12953 votos computados, sem qualquer queixa ou alegação de fraude ou informação privilegiada, sempre deu ao Sinal a confiança de que o sistema era adequado e bastante seguro. Na verdade, não há qualquer indício de que o sistema tenha falhado em qualquer das votações realizadas.
A VE, a despeito das fragilidades, funciona de acordo com seus objetivos, ou seja, trata-se de um instrumento eletrônico de coleta e de cômputo de votos. A VE foi programada para tal e desempenha satisfatoriamente a tarefa.
Os elementos de segurança fornecidos pela hospedeira da VE, a LocaWeb, garantem certa segurança, mas a auditoria mostrou que em grau insuficiente e incompatível com as melhores práticas do setor.
Uma das lições que tiramos do contato com profissionais experientes do CPqD é que site nenhum é totalmente seguro e que a pergunta a ser feita não é se um site pode ser invadido, mas quanto tempo demora para fazê-lo. Aprendemos, no entanto, que um sistema robusto de defesa desencoraja a ação de hackers e que o nosso sistema de defesa não era suficientemente desencorajador, ainda que provavelmente muito similar à maioria dos sites da internet.
Informamos que várias das vulnerabilidades citadas já foram sanadas emergencialmente.
Medidas estruturais e de gestão da área de informática do Sinal estão sendo discutidas e serão implementadas nas próximas semanas.
Item 3
O CPqD sugeriu uma série de ações no sentido de adequar nosso sistema de VE.
Os capítulos 11, 12 e 13 do relatório tratam da necessidade de estabelecimento de protocolos de votação eletrônica que atendam aos requisitos exigido pelo sistema de VE, divididos entre requisitos mínimos a serem observados e recomendações adicionais, e sugerem requisitos mínimos de segurança.
Algumas das recomendações já foram implementadas. A implantação de todas as medidas, dada a complexidade e a necessidade de melhorar a gestão da segurança da informação no Sinal, levará algum tempo.
Item 4
A certificação da VE será providenciada após a implementação das medidas sugeridas pela CPqD. Não está descartada a possibilidade de encomendarmos um sistema de VE totalmente novo.
O CN avalia como importantíssima e providencial a realização da auditoria. Fomos alertados para problemas que desconhecíamos, teremos a oportunidade de oferecer um sistema de VE muito mais seguro, transparente e confiável e, sobretudo, despertamos para a necessidade de encarar a área da segurança da informação como fundamental para a credibilidade do Sinal.
Não podemos perder de vista que o processo de Votação Eletrônica constitui-se em fundamental avanço em relação a práticas menos precisas, voto em grandes assembléias, e abrangentes, voto em papel. A VE permitiu que mais de 2500 colegas participassem de uma única votação, espalhados pelo Brasil e pelo mundo, democraticamente decidindo o futuro da categoria.
O Sinal acredita que a implementação das medidas indicadas no relatório da auditoria fortalecerá e aperfeiçoará sobremaneira um processo que vinha funcionando bem.
Nosso agradecimento aos colegas Edilson Rodrigues de Sousa, diretor de estudos técnicos, e Miguel Hostilio Silveira Vargas, presidente do Sinal/Curitiba, que conduziram o processo junto à CPqD, a quem reconhecemos o excelente trabalho.
O relatório de auditoria, que é confidencial, será disponibilizado no Portal Sinal assim que a CPqD enviar uma versão sem as informações técnicas mais sensíveis, aquelas que tratam do processo de invasão do nosso sistema.