Ufrgs

 Aos membros no Conselho Universitário – UFRGS Venho, por meio desta, solicitar apreciação desse conselho ao PARECER Nº 1/2020/NCC/SIN, PROCESSO Nº 23112.017921/2020-00 (3289891), sobre propriedades de segurança do sistema SAELE, objetivando a discussão sobre a mudança no sistema de votação operado pelo CPDUFRGS. Apresento, a seguir, as justificativas: Durante o processo eleitoral para a reitoria da UFRGS em 2020, a comissão responsável pela condução do processo foi reiteradamente questionada sobre o sistema de votação usado, SAELE, suas propriedades para garantia da lisura do processo e possíveis procedimentos para se garantir amplo acesso às equipes dos candidatos ao sistema para acompanhamento do processo de votação e apuração dos votos. Tais questionamentos foram apresentados no processo SEI 23078.515359/2020-31, referente a consulta para reitor/vice à comunidade acadêmica da UFRGS para a gestão 2020-2024, porém questionamentos dessa natureza não foram exclusivos do último processo eleitoral, tendo ocorrido em processos anteriores. Os diversos questionamentos apresentados no processo SEI supracitado abordaram quesitos específicos, como vulnerabilidades do sistema de votação a ataques que poderiam comprometer o sigilo e a integridade dos votos, com possibilidade não apenas de revelação dos votos, mas também de possível alteração. Além disso, houve questionamento sobre a segurança do ambiente computacional sobre o qual o sistema eleitoral é executado e ainda, sobre possível acompanhamento local (físico) para fins de garantia da lisura e possível auditoria do sistema. Os questionamentos realizados detalham operações (comandos específicos) que poderiam ser executadas no servidor que hospeda o sistema de votação de forma a dar uma mínima garantia de que algumas das muitas vulnerabilidades do sistema não seriam exploradas para a manipulação do resultado da votação. Além das operações específicas, foi também solicitado acesso físico ao local de forma a se garantir a inviolabilidade física do servidor onde o sistema de votação está hospedado. As respostas apresentadas pela comissão de consulta foram todas no sentido de negar o acesso ao sistema, e de não atendimento dos pedidos para execução de comandos que dessem garantias mínimas, contra possíveis ataques às vulnerabilidades do sistema, sob alegação de não homologação das mesmas, mesmo elas sendo operações triviais que não interferem de forma alguma na operação do sistema votação, sendo apenas operações de monitoramento e acompanhamento da execução do sistema. Considerando que: 1) Não há motivo para um sistema tão antigo e obsoleto continuar sendo utilizado até o presente momento para o sistema eleitoral na UFRGS, uma vez que existem alternativas de código aberto mais modernas que empregam tecnologias no estado da arte disponíveis. Despacho GABVICE 3289648 SEI 23078.560143/2021-19 / pg. 1 2) Apesar da autonomia universitária, de acordo com o Art. 207 da CF88, os princípios da isonomia da administração pública devem sempre nortear todos os atos administrativos, inclusive os relacionados aos processos consultivos/eletivos no meio acadêmico. Invocando tais princípios basilares da administração pública, há de se observar, portanto, procedimentos de cunho consultivo ou eleitoral no âmbito acadêmico que por analogia tenham características semelhantes aos processos eleitorais ordinários. De acordo com o Código Eleitoral - Lei nº 4.737, de 15 de julho de 1965 com Legislação complementar, Lei nº 13.877, de 27 de setembro de 2019, deve-se observar principalmente o que há previsto nos Artigos 14, 20, 28, 36 e 120. Particularmente, no impedimento da participação de parentes ou pessoas que tenham afinidade com os candidatos e sejam de mesmos departamentos ou tenham relação de subordinação, nas comissões organizadoras de tais processos eleitorais ou de consulta, como é o caso de parentes, pró-reitores ou assessores que não poderiam ser presidentes, vice presidentes ou membros de tais comissões. A lei também ressalta que qualquer interessado poderá arguir a suspeição ou impedimento dos seus membros, do procurador-geral ou de funcionários de sua Secretaria, nos casos previstos na Lei Processual Civil ou Penal e por motivo de parcialidade partidária, mediante o processo previsto em regimento. Em nome da imparcialidade, não deveriam fazer parte da comissão de consulta, membros ocupantes de cargos de direção ou cargos de confiança, que tenham sido diretamente nomeados pelos candidatos ao cargo de reitor/vice; bem como parentes de seus antecessores. Os documentos 3289909 e 3289921 (https://andesufrgs.files.wordpress.com/2016/07/relatocc81rio_comissacc83o_de_consulta.pdf) referem-se às portarias de nomeação da comissão de consulta para cargo de reitor/vice para as gestões 2016 a 2020 e 2020 a 2024, onde pró-reitor e assessor do reitor, que também era o candidato, atuaram como presidente e vice-presidente das comissões de consultas. 3) entre os questionamentos realizados para a comissão de consulta, para cargo de reitor/vice, para a gestão 2020 a 2024, encontra-se o documento 3289932, onde consta, no item 5, claramente a pergunta sobre se o processo de votação é auditável. Em outro questionamento realizado conforme documento 3289960, obteve-se a seguinte resposta: “- Adicionalmente, todas as operações nos servidores do CPD são auditáveis, mediante solicitação devidamente instruída com os indícios das irregularidades ou discrepâncias que devam ser verificadas e auditadas, encaminhadas através dos órgãos competentes da Universidade;” Assim como essas, a maioria das perguntas restaram sem respostas adequadas, bem como as solicitações não atendidas. 4) o parecer de um dos principais especialistas nacionais, referente ao documento 3289891 destaca: “...desde a década de 1980, a comunidade internacional de pesquisa em segurança da informação tem se debruçado sobre o problema das votações eletrônicas [1], levantando uma série de requisitos de segurança e desenvolvendo protocolos capazes de prover diversas garantias. Há mais de 10 anos, são ativamente mantidos projetos de software livre implementando essas ideias [2], com elevado nível de maturidade de código. Apesar disso, soluções como o SAELE e o SIGEleição não são embasadas nessas pesquisas.” Despacho GABVICE 3289648 SEI 23078.560143/2021-19 / pg. 2 “O principal objetivo deste parecer é enumerar propriedades de segurança que não são providas pelo SAELE, mas poderiam ser obtidas ao adotar-se uma solução mais alinhada ao estado da arte” “Propriedades de segurança: Chaves e Mello [3] destacaram três propriedades de segurança que não são satisfeitas pelos sistemas SAELE e SIGEleição, que aqui denominamos: 1. Sigilo: um adversário com acesso ao sistema não deve ser capaz de saber em quem cada eleitor votou. 2. Apuração atômica: um adversário com acesso ao sistema não deve ser capaz de realizar apuração parcial, por exemplo contabilizando os votos somente até certo momento antes do término da votação. 3. Integridade: um adversário com acesso ao sistema não deve ser capaz de incluir, excluir ou alterar votos” “Modelos de ataque: Descrevem-se, a seguir, ataques ao SAELE capazes de quebrar cada uma” DESSAS “propriedades de segurança destacadas.” “Esta lista NÃO pretende ser exaustiva, ou seja, não descreve TODO e QUALQUER ataque possível. Essa lista apenas demonstra que as propriedades de segurança descritas na seção 2 não são satisfeitas. As análises foram realizadas com base no código fonte do SAELE disponível no Portal do Software Público Brasileiro, em https://softwarepublico.gov.br/social/saele.” “3.1. Ataques passivos ao sigilo” “3.1.1. Ataque ao gerador de números aleatórios” “3.1.2. Análise forense do banco de dados” “3.2. Ataques ativos ao sigilo” “3.3. Ataques à apuração atômica” “3.4. Ataques à integridade (no servidor)” “3.5. Ataques à integridade (no cliente)” “O comportamento do navegador web do eleitor pode ser alterado por um software malicioso para submeter voto em um candidato diferente do escolhido. Nem SAELE nem SIGEleição disponibilizam mecanismo que permita ao eleitor auditar o voto a partir de um outro computador.” E o mesmo conclui recomendando “à UFRGS que adote um sistema que implemente protocolos com propriedades de segurança discutidas em trabalhos revisados por pares, como o Helios, para votações realizadas pela internet.” 5) ser importante discutir proposta de composição das comissões de consulta, em obediência ao Código Eleitoral; 6) que até o momento, mesmo havendo alerta que o sistema está sob suspeição, nenhuma sugestão de mudança foi realizada Despacho GABVICE 3289648 SEI 23078.560143/2021-19 / pg. 3 7) entendendo não haver motivo para a UFRGS continuar usando um sistema de votação obsoleto, não auditável, de fácil risco de ocorrência de fraude, o qual deixou os últimos processos eleitorais para reitor e vice-reitor/reitora sob suspeição; 8) entendendo que existem alternativas muito mais modernas e seguras; Solicito, a análise dos membros desse conselho, objetivando a discussão sobre a mudança no sistema de votação operado pelo CPD-UFRGS, para promover a modernização para um sistema confiável e seguro, para garantir eleições verdadeiramente democráticas. Atenciosamente, Documento assinado eletronicamente por PATRICIA HELENA LUCAS PRANKE, ViceReitora do Gabinete da Vice-Reitora, em 26/11/2021, às 12:31, conforme art. 7º, I, da Portaria nº 6954 de 11 de setembro de 2015. A autenticidade do documento pode ser conferida no site https://sei.ufrgs.br/sei/verifica.php informando o código verificador 3289648 e o código CRC 4EB4A120. 23078.560143/2021-19 3289648v16 Despacho GABVICE 3289648 SEI 23078.560143/2021-19 / pg. 4 04/10/2020 SEI/UFRGS - 2402573 - Ofício https://sei.ufrgs.br/sei/controlador.php?acao=documento_imprimir_web&acao_origem=arvore_visualizar&id_documento=2560903&infra_sistema… 1/1 UNIVERSIDADE FEDERAL DO RIO GRANDE DO SUL Av. Paulo Gama, 110 - Bairro Farroupilha - CEP 90046900 - Porto Alegre - RS OFÍCIO Nº 1/2020/UNIDADE Porto Alegre, 04 de outubro de 2020. Destinatário: Magnífica reitora Prof.ª Dr.ª Wanda Aparecida Machado Hoffmann Assunto: Consulta. Gostaria primeiramente de transmitir nossos cumprimentos. Essa mensagem visa solicitar o apoio da UFSCar, tendo em vista a cooperação e o bom relacionamento entre nossas instituições. Dada a grande experiência que a UFSCar tem na área de sistemas de votação eletrônicos, com pesquisadores altamente especializados na área, participando inclusive da auditoria das urnas eletrônicas usadas nas eleições brasileiras, viemos através desta solicitar seu apoio para a realização de uma avaliação sobre o sistema de votação eletrônico adotado aqui na UFRGS, o sistema SAELE. Essa solicitação motiva-se para que tenhamos uma avaliação externa especializada sobre o nosso sistema de votações eletrônicas, suas características e pontos que possam ser melhorados. As informações sobre o sistema SAELE se encontram nos seguintes endereços eletrônicos: https://www1.ufrgs.br/catalogoti/servicos/servico?servico=75 https://softwarepublico.gov.br/social/saele Desde já agradecemos a atenção em receber nossa solicitação, assim como nos colocamos à disposição para o que pudermos ajudar. Documento assinado eletronicamente por PATRICIA HELENA LUCAS PRANKE, Vice-Reitora do Gabinete da Vice-Reitora, em 04/10/2020, às 16:10, conforme art. 7º, I, da Portaria nº 6954 de 11 de setembro de 2015. A autenticidade do documento pode ser conferida no site https://sei.ufrgs.br/sei/verifica.php informando o código verificador 2402573 e o código CRC B726528D. 23078.537201/2020-11 2402573v2 Parecer (3289891) SEI 23078.560143/2021-19 / pg. 5 10/11/2020 SEI/FUFSCar - 0262850 - Ofício file:///C:/Users/PC/Downloads/Oficio_0262850.html 1/2 FUNDAÇÃO UNIVERSIDADE FEDERAL DE SÃO CARLOS GABINETE DA REITORIA - GR Rod. Washington Luís km 235 - SP-310, s/n - Bairro Monjolinho, São Carlos/SP, CEP 13565-905 Telefone: (16) 33518024 - hp://www.ufscar.br Ocio nº 278/2020/GR São Carlos, 20 de outubro de 2020 Ref.: Consulta À Sra. Profa. Dra. PATRICIA HELENA LUCAS PRANKE Vice-Reitora da Universidade Federal do Rio Grande do Sul Prezada Vice-Reitora Com nossos cordiais cumprimentos, e em atendimento à solicitação de V.Exa. conda no OFÍCIO Nº 1/2020/UNIDADE, de 04 de outubro de 2020, vimos encaminhar o Parecer 1/2020/NCC/SIn, emido pelo Núcleo de Computação Cienfica, da Secretaria Geral de Informáca desta Universidade, em relação às propriedades de segurança do sistema SAELE. Na oportunidade, colocamo-nos à disposição para quaisquer outras informações que se fizerem necessárias. Atenciosamente, Profa. Dra. Wanda Aparecida Machado Hoffmann Reitora Documento assinado eletronicamente por Wanda Aparecida Machado Hoffmann, Reitora, em 20/10/2020, às 15:27, conforme horário oficial de Brasília, com fundamento no art. 6º, § 1º, do Decreto nº 8.539, de 8 de outubro de 2015. A autencidade deste documento pode ser conferida no site hps://sei.ufscar.br/autencacao, informando o código verificador 0262850 e o código CRC 9891DCE0. Referência: Caso responda a este documento, indicar expressamente o Processo nº 23112.017921/2020-00 SEI nº 0262850 Parecer (3289891) SEI 23078.560143/2021-19 / pg. 6 10/11/2020 SEI/FUFSCar - 0262850 - Ofício file:///C:/Users/PC/Downloads/Oficio_0262850.html 2/2 Modelo de Documento: Ocio, versão de 02/Agosto/2019 Parecer (3289891) SEI 23078.560143/2021-19 / pg. 7 10/11/2020 SEI/FUFSCar - 0262564 - Parecer file:///C:/Users/PC/Downloads/Parecer_0262564.html 1/4 FUNDAÇÃO UNIVERSIDADE FEDERAL DE SÃO CARLOS NÚCLEO DE COMPUTAÇÃO CIENTÍFICA - NCC/SIn Rod. Washington Luís km 235 - SP-310, s/n - Bairro Monjolinho, São Carlos/SP, CEP 13565-905 Telefone: (16) 3351-8111 - hp://www.ufscar.br PARECER Nº 1/2020/NCC/SIN PROCESSO Nº 23112.017921/2020-00 INTERESSADO: SECRETARIA GERAL DE INFORMÁTICA ASSUNTO: Parecer sobre propriedades de segurança do sistema SAELE 1. Introdução As universidades brasileiras, enquanto instituições autônomas e democráticas, necessitam frequentemente realizar votações para a escolha de representantes ou para embasar a tomada de decisões. Devido à dificuldade logística em se realizar votações pelos meios convencionais (urnas e cédulas de papel), surgiu em diversas instituições o desejo de se agregar automação a esse processo, realizando-o de forma eletrônica. Algumas instituições optaram por desenvolver seus próprios sistemas de votação, dando origem a soluções como o SAELE, desenvolvido na UFRGS, e o SIGEleição, desenvolvido na UFRN. O ímpeto por desenvolver soluções próprias de Tecnologia da Informação é natural em instituições que possuem uma equipe experiente de desenvolvedores. Pressupõe-se, é claro, que essas equipes estejam cientes da importância da segurança desses sistemas — por exemplo, seria considerado um incidente grave caso um invasor externo fosse capaz de comprometer o sistema acadêmico e alterar registros de matrículas em cursos, ou inscrições e resultados finais em disciplinas. Assume-se, também, que os envolvidos no desenvolvimento, manutenção e operação desses sistemas sejam cumpridores da legislação vigente e do código de ética do servidor público, jamais adulterando esses registros, apesar de possuírem acesso para modificá-los. Portanto, é compreensível que as equipes sintam-se, a princípio, habilitadas a desenvolver um sistema de votação. Por outro lado, desde a década de 1980, a comunidade internacional de pesquisa em segurança da informação tem se debruçado sobre o problema das votações eletrônicas [1], levantando uma série de requisitos de segurança e desenvolvendo protocolos capazes de prover diversas garantias. Há mais de 10 anos, são ativamente mantidos projetos de software livre implementando essas ideias [2], com elevado nível de maturidade de código. Apesar disso, soluções como o SAELE e o SIGEleição não são embasadas nessas pesquisas. O principal objetivo deste parecer é enumerar propriedades de segurança que não são providas pelo SAELE, mas poderiam ser obtidas ao adotar-se uma solução mais alinhada ao estado da arte. Os resultados vem a reforçar fatos já conhecidos pela comunidade de segurança, como os reportados no trabalho de Chaves e Mello [3], que fizeram uma comparação entre os sistemas SAELE, SIGEleição e Helios Voting. 2. Propriedades de segurança Chaves e Mello [3] destacaram três propriedades de segurança que não são satisfeitas pelos sistemas SAELE e SIGEleição, que aqui denominamos: 1. Sigilo: um adversário com acesso ao sistema não deve ser capaz de saber em quem cada eleitor votou. 2. Apuração atômica: um adversário com acesso ao sistema não deve ser capaz de realizar apuração parcial, por exemplo contabilizando os votos somente até certo momento antes do término da votação. 3. Integridade: um adversário com acesso ao sistema não deve ser capaz de incluir, excluir ou alterar votos. Parecer (3289891) SEI 23078.560143/2021-19 / pg. 8 10/11/2020 SEI/FUFSCar - 0262564 - Parecer file:///C:/Users/PC/Downloads/Parecer_0262564.html 2/4 Por “adversário com acesso ao sistema”, entende-se (a) um invasor externo, que tenha obtido acesso ao sistema por meio de uma falha de segurança do sistema de votação, ou de outros aplicativos, serviços ou sistemas instalados no mesmo servidor; ou (b) um atacante interno, que participe do desenvolvimento do sistema ou operação da infraestrutura. 3. Modelos de ataque Descrevem-se, a seguir, ataques ao SAELE capazes de quebrar cada uma das propriedades de segurança destacadas. Esta lista não pretende ser exaustiva, ou seja, não descreve todo e qualquer ataque possível. Pretende-se apenas demonstrar que as propriedades de segurança descritas na seção 2 não são satisfeitas. As análises foram realizadas com base no código fonte do SAELE disponível no Portal do Software Público Brasileiro, em https://softwarepublico.gov.br/social/saele. 3.1. Ataques passivos ao sigilo Classifica-se como ataque passivo aquele que pode ser conduzido mesmo sem modificar o comportamento do sistema com relação à sua operação normal. Nesta modalidade, descrevem-se dois ataques distintos. 3.1.1. Ataque ao gerador de números aleatórios Na linha 92 do arquivo “PUBLIC/Voto.class.php” ocorre a geração de um número aleatório associado a um voto: $Rand = rand(1, 999999); Ao inserir esse número como parte da chave primária da tabela, entende-se como provável intenção do desenvolvedor embaralhar os votos, fazendo com que uma consulta do tipo “select * from eleicoes.voto” retorne os votos em ordem distinta da que foram depositados. No entanto, o efeito acaba sendo inverso ao pretendido. A função rand do PHP não gera números aleatórios com qualidade criptográfica. Existem diversas técnicas capazes de prever a sequência de números, algumas baseadas em força bruta da semente (que é construída com base no PID do processo e na data e horário) e outras que utilizam um trecho da sequência (que pode ser tão pequeno como apenas dois valores) para prever os restantes [4]. Um adversário capaz de ler os registros da tabela “eleicoes.voto” pode, portanto, desembaralhar os votos, colocando-os na ordem em que foram depositados. Correlacionando essa informação com os registros da tabela “eleicoes.eleitor”, pode-se identificar o eleitor que depositou cada voto. 3.1.2. Análise forense do banco de dados Outra forma de desembaralhar os votos é por meio de análise forense do banco de dados. Wagner, Rasin e Grier [5] demonstraram que, de posse apenas dos dados armazenados em disco em um momento posterior às inserções, é possível recuperar a ordem de inserção de registros em um banco de dados PostgreSQL. Assim, pode-se conduzir um ataque análogo ao anterior, mas que funcionaria mesmo se a função rand fosse trocada por um gerador com qualidade criptográfica. 3.2. Ataques ativos ao sigilo O comportamento do sistema pode ser modificado para monitorar ou interceptar escritas na base de dados e registrar deliberadamente a ordem dos votos. Essa modificação pode ser realizada em diversos níveis: em hardware, no hipervisor (caso utilizada tecnologia de virtualização), no kernel, em um serviço persistente disfarçado de serviço legítimo do sistema operacional, ou no próprio processo do serviço web. 3.3. Ataques à apuração atômica Os votos são armazenados às claras na tabela “eleicoes.voto” e podem ser lidos e contabilizados a qualquer momento, mesmo antes do término da votação, por qualquer adversário que tenha acesso aos registros da Parecer (3289891) SEI 23078.560143/2021-19 / pg. 9 10/11/2020 SEI/FUFSCar - 0262564 - Parecer file:///C:/Users/PC/Downloads/Parecer_0262564.html 3/4 tabela. Os métodos que podem ser utilizados para obter acesso a esses registros são os mesmos descritos na seção 3.2. 3.4. Ataques à integridade (no servidor) Os votos armazenados na tabela “eleicoes.voto” podem ser alterados. Caso a tabela “eleicoes.eleitor” seja manipulada conjuntamente, também podem ser incluídos ou excluídos votos. Versões recentes do SIGEleição, sistema que funciona de maneira similar ao SAELE, acrescentam à tabela de votos uma espécie de HMAC para autenticar cada voto com uma chave secreta armazenada em memória [6]. No entanto, essa chave secreta pode ser facilmente interceptada a partir de outro processo utilizando a chamada de sistema ptrace ou a partir das interfaces para despejo de memória disponibilizadas pelo kernel. Essa funcionalidade, portanto, não dificulta significativamente um ataque [7]. Outra forma de tentar dificultar a manipulação de votos após o depósito seria coletar todo o registro de inserções na tabela “eleicoes.voto” em um sistema separado. No entanto, essa prática pode entrar em conflito com os requisitos de sigilo e de apuração atômica. Além disso, é incapaz de prover qualquer proteção contra alteração dos votos no mesmo momento do depósito (gravação em base de dados). Da mesma forma que a interceptação de dados (para fins de violação de sigilo), a manipulação de dados no momento do depósito (para fins de violação da integridade) pode ser realizada em diversos níveis (os mesmos descritos na seção 3.2). Nem SAELE nem SIGEleição disponibilizam mecanismo de segurança fim-a-fim, ou seja, não permitem ao eleitor verificar que o voto depositado permanece armazenado no servidor. 3.5. Ataques à integridade (no cliente) O comportamento do navegador web do eleitor pode ser alterado por um software malicioso para submeter voto em um candidato diferente do escolhido. Nem SAELE nem SIGEleição disponibilizam mecanismo que permita ao eleitor auditar o voto a partir de um outro computador. 4. Conclusão Recomenda-se à UFRGS que adote um sistema que implemente protocolos com propriedades de segurança discutidas em trabalhos revisados por pares, como o Helios, para votações realizadas pela internet. Apesar de não representar o último estado da arte da pesquisa em sistemas de votação, o Helios é atualmente a solução mais madura, com melhor usabilidade e mais amplamente adotada. Existe uma versão traduzida para o Português mantida pelo Instituto Federal de Santa Catarina que é utilizada por várias instituições brasileiras (https://github.com/shirlei/helios-server), inclusive pela UFSCar. Para votações presenciais a situação é mais complicada. O Helios parte do pressuposto de que o computador ou dispositivo móvel utilizado para depositar um voto é de domínio do eleitor e que, sempre que necessário, o eleitor pode verificar o correto funcionamento do sistema auditando a cédula em outro dispositivo. Portanto, ele não pode ser adaptado diretamente ao modelo de cabine, em que o eleitor não consegue validar que o software executado no terminal é original e não sofreu alterações. Referências [1] CHAUM, David. Elections with unconditionally-secret ballots and disruption equivalent to breaking RSA. In: Workshop on the Theory and Application of Cryptographic Techniques. Springer, Berlin, Heidelberg, 1988. p. 177-182. [2] ADIDA, Ben. Helios: Web-based Open-Audit Voting. In: USENIX security symposium. 2008. p. 335- 348. Parecer (3289891) SEI 23078.560143/2021-19 / pg. 10 10/11/2020 SEI/FUFSCar - 0262564 - Parecer file:///C:/Users/PC/Downloads/Parecer_0262564.html 4/4 [3] DE CHAVES, Shirlei Aparecida; DE MELLO, Emerson Ribeiro. O uso de um sistema de votação on-line para escolha do conselho universitário. In: Workshop de Tecnologia Eleitoral. SBC, 2014. p. 634-645. [4] ARGYROS, George; KIAYIAS, Aggelos. PRNG: Pwning Random Number Generators. BlackHat, 2012. [5] WAGNER, James; RASIN, Alexander; GRIER, Jonathan. Database forensic analysis through internal structure carving. Digital Investigation, v. 14, p. S106-S115, 2015. [6] SANTOS, Jadson; LINS, Clarissa; MADRUGA, Marcos. SIGEleição–Um Novo Jeito Seguro de Votar. In: Workshop de Tecnologia da Informaçao e Comunicaçao das Instituiçoes Federais de Ensino Superior do Brasil (WTICIFES). 2017. [7] ARAUJO, Roberto; NETO, André; TRAORÉ, Jacques. CIVIS-A Coercion-Resistant Election System. In: Anais Principais do XVIII Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais. SBC, 2018. p. 29-42. Documento assinado eletronicamente por Paulo Maas, Chefe de Núcleo, em 19/10/2020, às 18:20, conforme horário oficial de Brasília, com fundamento no art. 6º, § 1º, do Decreto nº 8.539, de 8 de outubro de 2015. A autencidade deste documento pode ser conferida no site hps://sei.ufscar.br/autencacao, informando o código verificador 0262564 e o código CRC 1B019C8D. Referência: Caso responda a este documento, indicar expressamente o Processo nº 23112.017921/2020-00 SEI nº 0262564 Modelo de Documento: Parecer, versão de 02/Agosto/2019 Parecer (3289891) SEI 23078.560143/2021-19 / pg. 11 Relatório (3289909) SEI 23078.560143/2021-19 / pg. 12 Relatório (3289909) SEI 23078.560143/2021-19 / pg. 13 Relatório (3289909) SEI 23078.560143/2021-19 / pg. 14 Relatório (3289909) SEI 23078.560143/2021-19 / pg. 15 Relatório (3289909) SEI 23078.560143/2021-19 / pg. 16 Relatório (3289909) SEI 23078.560143/2021-19 / pg. 17 Relatório (3289909) SEI 23078.560143/2021-19 / pg. 18 Documento gerado sob autenticação Nº YEI.150.719.PCU, disponível no endereço http://www.ufrgs.br/autenticacao Documento certificado eletronicamente, conforme Portaria nº 3362/2016, que institui o Sistema de Documentos Eletrônicos da UFRGS. 1/1 PORTARIA Nº 3315 de 18/06/2020 O REITOR DA UNIVERSIDADE FEDERAL DO RIO GRANDE DO SUL, no uso de suas atribuições legais e estatutárias, de acordo com a Resolução n° 051 de 16 de Junho de 2020 - CONSUN e a eleição realizada em 17 de junho de 2020, RESOLVE designar PANTELIS VARVAKI RADOS - Presidente, CELSO GIANNETTI LOUREIRO CHAVES - Vice-Presidente, ELISIANE DA SILVA SZUBERT - 1º Secretária, VICTÓRIA MACIEL FARIAS - 2º Secretária, JOÃO CESAR NETTO, ANGÉLICA ELISA GIACOMEL SCHAEFER, CAROLINE LUCINI, LUIS FILIPE EICH, MAURICIO SOCCOL LORENZATTO, LUIS MAURO GONÇALVES ROSA e DENISE GRUNE EWALD para compor a Comissão de Consulta (CC) que coordenará o processo de consulta à comunidade com vistas à nomeação do(a) Reitor(a) e do(a) Vice-Reitor(a) da UFRGS. RUI VICENTE OPPERMANN Reitor. Portaria (3289921) SEI 23078.560143/2021-19 / pg. 19 COMISSÃO DE CONSULTA Of. 03/2020-CC Porto Alegre, 25 de junho de 2020. Prezados Coordenadores, A Comissão de Consulta designada pela Portaria nº 3315, de 18/06/2020, para coordenar o processo de consulta à comunidade com vistas à nomeação do(a) Reitor(a) e do(a) Vice-Reitor(a) da UFRGS apresenta as respostas dos seus questionamentos, a partir de manifestação do CPD, órgão técnico responsável pela segurança do sistema de eleições da UFRGS. As demais respostas, que não se configuram em questionamentos técnicos, também foram respondidas, como segue: Questionamentos sobre segurança do sistema de eleições e processo – Consulta para Reitor 2020 1. Como será a composição desta cédula digital? Qual o sistema a ser utilizado? R.: A célula digital é a mesma usada tradicionalmente no Sistema de Eleições. Veja tutorial do sistema no catálogo de TI (https://www.ufrgs.br/documentacaoti/sistema-devotacao/). A Comissão de Consulta irá configurar os dados de acordo com as chapas dos candidatos. (Ver incluir chapa em https://www.ufrgs.br/documentacaoti/gerencia-de-um-concursoeleitoral/ ) 2. Será feita a votação através de qualquer computador ligado à rede mundial de computadores? R.: Sim. Qualquer computador conectado à internet poderá ser utilizado para a votação. O Portal de Serviços da Universidade irá garantir o acesso seguro (HTTPS), restrito pelo uso das credenciais do Cartão UFRGS e senha pessoal. 3. No início da votação, como será esta emissão de zerésima? Em que local? Contará com algum fiscal das chapas? Se não, gostaríamos que fosse explicado a negativa. R.: A zerésima é um procedimento tradicional do sistema que zera os votos no início do pleito. É realizado pela Comissão de Consulta conforme consta no tutorial (ver zerésima em https://www.ufrgs.br/documentacaoti/gerencia-de-um-concurso-eleitoral/) A Comissão de Consulta realizará a zerésima a partir da sala virtual MCONF https://mconf.ufrgs.br/webconf/consulta-reitor-2020, garantindo a presença dos Coordenadores de Campanha identificados no processo de inscrição de cada candidatura. O procedimento de zerésima será transmitido por streaming. 4. Quais medidas de segurança da informação que conferem confidencialidade e integridade dos votos serão adotadas? R.: A integridade é implementada com a criação de uma função hash criptográfica tipo MD5 aplicada sobre o conteúdo de cada voto. A confidencialidade é garantida no canal de comunicação através do protocolo de acesso, citado na resposta ao segundo questionamento. O conteúdo do voto é passível de validação a partir da função de hash aplicada. Além disso, informações de auditoria são fornecidas em tempo real para o “Gerente da Eleição”, papel dentro do sistema que permite acompanhar, visualizar a apuração e emitir as atas de votação de um concurso eleitoral. Para o acompanhamento das eleições são disponibilizados 4 tipos de relatórios: Número de votos logados: Verifica se o número de votos registrados nas operações é igual ao número de eleitores que já votaram. Informação (3289932) SEI 23078.560143/2021-19 / pg. 20 Ofício (2176422) SEI 23078.515359/2020-31 / pg. 1 Número de votos registrados: Verifica se a quantidade de votos registrados na eleição, dividido pelo número de possibilidades de voto, é igual ao número de eleitores que já votaram. Criptografia de Votos: Verifica a coerência das chaves criptografadas dos votos registrados. Log de Votos: Verifica a existência de operações não permitidas sobre os votos. O “Gerente da Eleição” definido no processo de configuração da eleição, tem acesso aos dois primeiros relatórios. Os 4 relatórios são disponibilizados ao suporte realizado pelo CPD para cada eleição. Cabe reforçar que o Sistema de Eleições da UFRGS realiza a execução dos pleitos eleitorais de forma eletrônica desde 2004 em todos os níveis da Universidade e inclusive disponibiliza, através do Portal de Software Público Brasileiro, uma versão de software livre, o SAELE (https://softwarepublico.gov.br/social/saele), liberado para toda instituição interessada em utilizar o sistema. As questões de segurança do sistema estão também discutidas no catálogo de TI em https://www1.ufrgs.br/catalogoti/servicos/servico?servico=75. Tutoriais de gerência do sistema podem ser conferidos no mesmo site. 5. O processo de votação é auditável? R.: Tanto o código-fonte do sistema quanto o banco de dados ficam disponíveis para consulta em caso de uma auditoria. Uma eventual alteração dos votos recebidos pode ser detectada através dos controles em tempo real disponibilizados pelos relatórios mencionados na resposta 4. O eleitor tem a garantia de que seu voto foi contabilizado consultando, através do Portal, a informação se votou e o horário da votação. No processo de validação da eleição existem informações do número de votos e lista dos votantes. O voto, por questão de segurança (princípio de anonimidade universal da votação), não é possível resgatar. 6. Como se dá o processo de armazenamento dos votos antes da apuração dos resultados? R.: Os votos são inseridos em uma estrutura de dados específica do banco de dados de eleições. O hash aplicado sobre o conteúdo do voto para conferir a integridade de cada voto fica armazenado no próprio banco de dados, mas com acesso restrito aos Administradores do Banco de Dados da UFRGS. Cabe ressaltar que as funções de hash são irreversíveis, ou seja, a partir do seu resultado não é possível retroceder ao valor que o originou. 7. Os dados são armazenados de forma criptografada? Se sim, que criptografia é usada? R.: Conforme comentado na resposta 4, é gerado um hash criptográfico adicional ao conteúdo do voto para detectar modificações indevidas nos dados. Nenhum relatório do sistema exibe o conteúdo dos votos de eleitores. Mesmo em um acesso direto ao conteúdo do banco de dados, não existe a possibilidade de associar um voto com o respectivo eleitor. O sistema privilegia o anonimato de forma que nem o administrador do sistema consiga correlacionar voto e eleitor. É impossível relacionar um votante ao seu voto, pois essa informação não é registrada e não existe na base de dados. Qualquer tentativa de adulteração de voto é automaticamente detectada pelo confronto do conteúdo do voto com o correspondente hash aplicado sobre o seu conteúdo. 8. Os votos são armazenados de forma individualizada ou em somatórios dirigidos a cada um dos candidatos? R.: Durante a votação, os votos são individualizados, na forma de registros em uma estrutura de dados. Na apuração, os totais são armazenados em colunas de estruturas separadas. 9. Há cópias redundantes (backup) dos votos armazenados? R.: As informações sobre votos são replicadas também em estrutura paralela para fins de segurança e auditoria. O acesso do eleitor à urna e o registro da finalização do voto também são registrados em locais separados, o que permite o sistema detectar discrepâncias entre o número de votos e o número de eleitores votantes. Informação (3289932) SEI 23078.560143/2021-19 / pg. 21 Ofício (2176422) SEI 23078.515359/2020-31 / pg. 2 Os backups têm processo contínuo de salvamento. Em um primeiro momento os arquivos ficam armazenados na infraestrutura de armazenamento, e acessíveis por quem administra o banco de dados da UFRGS (Administração de Dados do CPD). Depois são salvos no Backup da UFRGS e gerenciados pelo Departamento de Sustentação do CPD. 10. Foi considerada a possibilidade de um ataque de man-in-the-middle (MIM) durante a votação? Se sim, que medidas foram tomadas para mitigar essa ameaça? R.: As medidas contra esse tipo de ataque são implementadas na própria infraestrutura de rede e servidores do CPD. Além dessas medidas de proteção, os usuários se autenticam e fazem o acesso de forma criptografada à aplicação, via HTTPS. Os servidores envolvidos utilizam certificados digitais fornecidos pela ICPEdu da RNP e GlobalSign. 11. Foi considerada a possibilidade de ataques através de sequestro de seção do usuário (eleitor)? Se sim, que medidas foram tomadas para mitigar essa ameaça? R.: As medidas contra esse tipo de ataque são implementadas na própria infraestrutura de rede e servidores do CPD. Além dessas medidas de proteção, os usuários se autenticam e fazem o acesso de forma criptografada à aplicação, via HTTPS. O estabelecimento de um canal seguro com HTTPS utiliza criptografia de chave pública, baseada em certificados digitais, o que garante a segurança no estabelecimento da conexão. Todas as mensagens do canal HTTPS são criptografadas com chave de sessão estabelecida de forma única para cada comunicação e possuem numeração única, o que confere proteção adicional ao tipo de ataque questionado. Os servidores envolvidos utilizam certificados digitais fornecido pela ICPEdu da RNP e GlobalSign. 12. Qual a nominata dos servidores responsáveis assim como todos os envolvidos no processo de preparação, operação do sistema durante o período de votação e apuração dos votos. R.: A equipe do CPD, através da Central de Serviços (CSTI) fornece o suporte inicial de configuração do pleito no sistema e carga inicial de eleitores. Toda gestão da eleição é realizada pela Comissão de Consulta e Gerentes da Eleição. O sistema permite que todo processo de configuração, execução e apuração dos resultados seja realizado através dele, incluindo a verificação e eventual atualização da lista de eleitores, inserção dos dados das chapas, realização da zerésima, acompanhamento, pelos Gerentes da Eleição. Detalhes sobre esse processo podem ser vistos nos tutoriais e perguntas frequentes disponíveis no catálogo de serviços (https://www1.ufrgs.br/catalogoti/servicos/servico?servico=75). 13. Quanto aos debates, conforme consta do artigo 14 do Edital de Convocação de 17 de junho de 2020, solicito que seja realizado pelo menos os dois debates presenciais no Salão de Atos da UFRGS, conforme consta do Edital, respeitando-se o decreto municipal e estadual em relação ao COVID-19. Solicito a gentileza que, a negativa aos debates presenciais com até 40 pessoas no Salão de Atos da UFRGS, deve ser embasada do ponto de vista técnico, no que tange a informática e sanitário, com parecer consubstanciado. R.: Esta matéria será discutida na reunião da Comissão de Consulta com as Coordenações de Campanha a ser realizada no dia 26/06/2020. 14. Quais as datas definidas para o debate e até quantos dias antes deveremos encaminhar a nominata dos 10 (dez) participantes indicados por chapa para assistir pessoalmente no Salão de Atos da Ufrgs, conforme consta do art. 14 do Edital de Convocação? Quais serão as normas dos debates? Quais os direitos dos candidatos (réplica, tréplica, ...)? Qual o calendário de todos os debates desta Consulta a Comunidade? R.: Esta matéria será discutida na reunião da Comissão de Consulta com as Coordenações de Campanha a ser realizada no dia 26/06/2020. 15. Uma vez finda a votação e concluída a apuração, pergunto: como é realizada a transferência desses dados finais da apuração para o meio de divulgação dos resultados? R.: O sistema disponibiliza dois relatórios de apuração. Um ordenado pelo número da chapa e outro ordenado por votos. Para o pleito estão previstas votação de três categorias diferenciadas, logo, cada uma terá seus respectivos relatórios. Informação (3289932) SEI 23078.560143/2021-19 / pg. 22 Ofício (2176422) SEI 23078.515359/2020-31 / pg. 3 Uma vez apurados os votos das três categorias, estes dados serão contabilizados de acordo com a fórmula do Art. 24 do Edital de Convocação, em uma planilha consolidada pelo CPD. Esta apuração final do processo de consulta ocorrerá na sala virtual MCONF https://mconf.ufrgs.br/webconf/consulta-reitor-2020 com a presença da Comissão de Consulta, da equipe técnica do CPD e dos Coordenadores de Campanha, sendo transmitida por streaming. 16. Solicitamos que seja encaminhado aos órgãos de controle como Ministério Público Federal, Polícia Federal e Controladoria Geral da União - RS o convite para acompanhamento do Processo de Consulta em todo o pleito e principalmente, pessoalmente no dia 13/07/2020 das 7:00 horas até a publicização dos resultados. R.: Os princípios da autonomia universitária garantidos pelo Art. 207 da Constituição Federal determinam que o processo de consulta à comunidade universitária seja um procedimento acadêmico e interno à Universidade, dispensando o concurso de atores externos à Instituição. 17. Solicitamos que seja encaminhado as chapas as comprovações de envio dos e-mails encaminhados, sendo estas plenamente auditáveis. R.: A seguir são reproduzidos os registros referentes a data/hora de envio das mensagens pela Comissão de Consulta ao servidor de listas, extraídos da ferramenta de correio eletrônico. Informação (3289932) SEI 23078.560143/2021-19 / pg. 23 Ofício (2176422) SEI 23078.515359/2020-31 / pg. 4 Informação (3289932) SEI 23078.560143/2021-19 / pg. 24 Ofício (2176422) SEI 23078.515359/2020-31 / pg. 5 18. Solicitamos que a Comissão de Consulta possa fornecer as chapas a nominata dos votantes, para controle e auditoria. R.: A nominata dos votantes habilitados, em cada categoria, está publicada no hotsite da Comissão de Consulta na página principal da UFRGS, para amplo acesso e informação: https://www.ufrgs.br/eleicoesreitor2020/lista-de-eleitores/ 19. A Coordenação de Campanha da CHAPA 1 solicita que, em consonância ao art. 21 do Edital de Convocação de Consulta a Comunidade Universitária da UFRGS de 17 de junho de 2020, no dia da votação (13/07/2020), desde a abertura dos trabalhos as 7:00 horas até o término da votação as 22:00 horas, no Setor de Informática aonde estão sendo computados os votos, o direito para que cada chapa tenha os três fiscais (em revezamento – 01 membro de cada chapa) junto a parte eletrônica dos votos, com acesso a sala dos computadores e dos bancos de dados aos quais estarão ligados a recepção dos votos. R.: Acesso ao datacenter: Por questões de segurança, a sala do datacenter é uma área restrita, permitindo o acesso somente a pessoas autorizadas que compõem a equipe do Informação (3289932) SEI 23078.560143/2021-19 / pg. 25 Ofício (2176422) SEI 23078.515359/2020-31 / pg. 6 Departamento de Sustentação e do Núcleo de Operações e Controle, São equipes do CPD que monitoram os equipamentos e prestam suporte ao parque computacional que atende a todos os serviços da UFRGS. Sobre os computadores (Estações de trabalho - desktop) credenciados para executar a gestão do sistema de eleições cabe a Comissão definir os critérios de acompanhamento da configuração, execução e apuração do pleito. A permissão da indicação de fiscais das chapas foi prevista para o acompanhamento, junto à Comissão de Consulta (Art. 21 do Edital de Convocação) da evolução de participação dos votantes, por categoria, no dia da Consulta. Esta fiscalização ocorrerá na Sala Virtual MCONF https://mconf.ufrgs.br/webconf/consulta-reitor-2020 com a presença da Comissão de Consulta e dos Fiscais indicados. Justificamos a demora na resposta de seu requerimento, tendo em vista a necessidade de aguardar a resposta técnica do CPD. Atenciosamente, Comissão de Consulta. Informação (3289932) SEI 23078.560143/2021-19 / pg. 26 Ofício (2176422) SEI 23078.515359/2020-31 / pg. 7 UNIVERSIDADE FEDERAL DO RIO GRANDE DO SUL Av. Paulo Gama, 110 - Bairro Farroupilha - CEP 90046900 - Porto Alegre - RS OFÍCIO Nº 016/2020 - COMISSÃO DE CONSULTA Porto Alegre, 13 de julho de 2020. Destinatário:Coordenadores de Campanha da Chapa 1 Assunto:Resposta às solicitações DEMORF 2202672 e DEMORF 2204272 À Coordenação de Campanha Chapa 1, Em resposta às solicitações DEMORF (SEI 2202672) e DEMORF (SEI 2204272), a Comissão de Consulta remeteu os questionamentos à Direção do Centro de Processamento de Dados (CPD) da UFRGS, cujas informações e esclarecimentos encontram-se no Despacho CPD-DCPD (SEI 2203763), para cuja leitura direcionamos a atenção da Coordenação de Campanha Chapa 1. Adicionalmente, em atenção às demandas apresentadas pela Coordenação de Campanha Chapa 1, cabe-nos esclarecer que: - O Sistema de Eleições da UFRGS é um tipo de sistema que possui acesso somente através de navegadores, diferindo de um sistema que possui interface de acesso local e que também permite acesso WEB. Toda a configuração, gerência e apuração é realizada somente através da Interface WEB, sem a possibilidade de acesso via console. Tal informação já era de conhecimento das Chapas, quando das primeiras explicações relativas ao sistema de eleições utilizado e da indicação dos links de acesso à documentação ao software informados aos coordenadores de campanha; - Tendo em vista os esclarecimentos supracitados, uma vez que não há acesso através de console diretamente conectada a qualquer servidor, não se apresenta lógica a demanda de ter acesso físico ao data center para qualquer tipo de verificação, posto que, repetimos, o sistema não possui interface de acesso local, fato ao qual se acresce a atual situação de emergência em saúde (COVID-19) que não pode ser levianamente tratada ou desprezada; - Para o caso da execução de comandos de auditoria e verificação durante a execução do processo, para além do previamente estabelecido, tal solicitação deveria ter sido realizada na reunião das coordenações de campanha, na qual foram apresentadas as etapas de acompanhamento junto ao sistema de votação. A execução de comandos que interagem diretamente com as estruturas internas do sistema operacional, sem homologação prévia do setor de suporte e segurança do CPD, colocam em risco o funcionamento do pleito. - Adicionalmente, todas as operações nos servidores do CPD são auditáveis, mediante solicitação devidamente instruída com os indícios das irregularidades ou discrepâncias que devam ser verificadas e auditadas, encaminhadas através dos órgãos competentes da Universidade; - Lembre-se que a atuação dos fiscais, determinada pelo Art. 21 do Edital de Convocação, tem os limites ali estabelecidos de atuação junto à Comissão de Consulta.

Nenhum comentário:

Postar um comentário