Muitos temem que os resultados das eleições federais do Bundestag 2017, que ocorrerá no próximo dia 24 de setembro na Alemanha, possam ser manipulados. Na semana passada, um grupo de pesquisadores comprovou que esse receio pode se transformar em realidade.
Podemos nos perguntar até que ponto uma eleição analógica pode ser manipulada. Em 03 de março, o Tribunal Constitucional Federal declarou inconstitucional o uso de computadores eleitorais na Alemanha. E apesar dos votos serem emitidos em papel, são usados computadores para tabular e transmitir os resultados.
A “aquisição, cálculo, apresentação gráfica, relatórios e seguimentos estatísticos dos resultados eleitorais” ganham espaço imediatamente após a eleição por meios eletrônicos, com a ajuda de computadores. E para o pesquisador Martin Tschirsich foi fácil imaginar que esse sistema pudesse ser vulnerável, algo que chegou a comprovar.
a transmissão dos resultados pode ser manipulada
Procurou o software na Internet e o encontrou, se chama PC-Wahl (algo assim como “PC-Eleção”). Segundo o fabricante, é “o sistema eleitoral mais utilizado nas administrações alemãs”. Aparentemente, tem sido usado nas eleições municipais, estaduais e nacionais alemãs há décadas.
Até agora, a recontagem de votos na Alemanha não era considerada um risco para a segurança. No entanto, incidentes como os que ocorreram na França e Estados Unidos demonstram que os ciberataques externos são possíveis.
Não há criptografia nem outros controles de segurança básicos
Ninguém podia ver o código fonte do PC-Wahl para avaliar a sua segurança, até os tribunais o impediram, segundo informou o portal alemão Zeit.
Tschirsich não se conformou com isso e continuou indagando. Para a sua surpresa, encontrou no site de um fornecedor de serviços de TI municipal um manual com dados de acesso para a área de serviços interno do fabricante do PC- Wahl. As credenciais eram: “nome de usuário: service”, “senha: pcwkunde”. Este é um presente para qualquer hacker, e Tschirsich o aproveitou. Dessa forma, foi capaz de baixar e analisar partes do software.
Por sua vez, o grupo de hackers do bem Chaos Computer Club (CCC) também examinou de perto o software PC-Wahl e publicou uma análise do código fonte, chegando as mesmas conclusões que Martin Tschirsich. Os resultados são preocupantes, ou melhor, escandalosos.
“A análise mostrou uma série de problema de segurança e diversos cenários de ataque praticáveis. Alguns destes cenários permitem a troca dos totais de votos através dos limites de distritos eleitorais e estados”, destacou um comunicado do CCC.
Além disso, perceberam que o mecanismo de atualização do PC-Wahl tem uma falha que permite comprometê-lo com apenas um clique, e que o servidor de atualizações é aparentemente inseguro.
O problema da falsificação
O software calcula um resultado e o guarda em um arquivo não seguro, o qual é enviado pelos municípios para o funcionário eleitoral. No entanto, esta comunicação dispensa completamente a criptografia, autenticação e outros controles de segurança, de modo que a transmissão dos resultados pode ser manipulada.
Estes problemas de segurança são tão básicos que até mesmo um atacante com pouca experiência pode explorá-lo.
Depois destas descobertas, a equipe do CCC informou ao fornecedor do software PC-Wahl, Vote-IT, assim como para as autoridades. No entanto, logo após a aplicação de patches que deveriam corrigir as falhas, conseguiram comprometê-lo novamente.
A declaração do Bundeswahlleiter
Zu den Problemen mit der Software #PCWahl erklärt der Bundeswahlleiter: https://t.co/WXkdpZk495 #btw17 pic.twitter.com/rCbgLwHvsq
— Der Bundeswahlleiter (@Wahlleiter_Bund) 7. September 2017
O Bundeswahlleiter, oficial alemão responsável pela supervisão das eleições à nível nacional, já havia informado sobre as falhas de segurança do software de votação. Para ele, a prevenção da manipulação dos resultados eleitorais tem prioridade máxima.
Segundo nota enviada à imprensa, “o resultado da eleição final se baseia nos registros eleitorais dos órgãos individuais”. O Bundeswahlleiter, Dieter Sarreither, ressaltou que a segurança de todos os passos do processo é mais importante que a velocidade da comunicação dos resultados, e garante que por esta razão uma manipulação dos resultados eleitorais deve ser descartada.
Entretanto, o Escritório Federal de Segurança de Informação Alemã (BSI), disse que o fabricante do PC-Wahl está trabalhando com as autoridades para melhorar a segurança do sistema com base nas recomendações recebidas. Além disso, tranquilizou ao público dizendo que os resultados eleitorais emitidos pelo sistema sempre podem ser verificados com os votos em papel.
No entanto, os especialistas do CCC alertaram que o programa “nunca deveria ter sido utilizado”. E afirmam: “O PC-Wahl ignora os princípios básicos de segurança e criptografia”.