Article (leitura de 8 minutos)

Security in the spotlight as the US heads into elections

We can never guarantee to prevent all attacks. But at the very least, we need to be able to know when an attack has happened.

CSO

Nota do editor:

As discussões da CSO Online sobre questões de segurança nas eleições são menos focadas nos sistemas de voto em si, e mais na segurança dos governos locais. Trata-se de um problema generalizado que existe há muito tempo sem solução. Muitos órgãos dos governos municipais e estaduais, e até mesmo agências federais, ainda rodam o Windows XP em hardware legado desatualizado que não pode ser substituído ou atualizado por falta de orçamento. 

A CSO Online chama a atenção para o fato de que esses sistemas governamentais muitas vezes são vítimas de ataques de ransomware. Isso ocorre, frequentemente, porque eles não receberam correções para vulnerabilidades conhecidas, e estão sendo usados por pessoas que não entendem de verdade os sistemas que estão usando e não reconhecem quando algo não está se comportando como deveria ou não é o que finge ser.

No entanto, essa é apenas uma parte do problema da segurança das eleições. Embora não possamos nos dar ao luxo de ignorar as vulnerabilidades da infraestrutura que faz a contagem dos votos, também não podemos ignorar as vulnerabilidades dos sistemas que registram os votos em primeiro lugar.  Nesse sentido, os sistemas de votação por Coletor eletrônico de voto (CEV; em inglês: Direct Recording Electronic - DRE) mostraram repetidamente ser absurdamente fáceis de serem comprometidos.  Os fabricantes normalmente se recusam a permitir auditorias externas de seus códigos, e sua resposta às vulnerabilidades encontradas por pesquisadores de segurança nas eleições tem sido, na maioria das vezes, tentar impedir a divulgação das vulnerabilidades, em vez de corrigi-las.

Caso um sistema CEV venha a ser comprometido, todos os votos registrados por aquele sistema devem ser considerados perdidos, pois sem ter qualquer registro a não ser o registro eletrônico do voto, não há uma forma confiável de reconstruir os votos conforme foram feitos – não há nenhuma pista em papel para seguir.

Os pesquisadores eleitorais projetaram e propuseram sistemas de votação eletrônica que permitem que qualquer eleitor verifique se seu voto foi registrado e contabilizado exatamente como foi feito, mantendo a possibilidade de negação (que quer dizer que os eleitores não podem ser forçados, mais tarde, a divulgar o seu voto).  No entanto, esses sistemas ainda não foram colocados em uso.  Quando as eleições são realizadas usando as atuais máquinas de votação CEV, ficamos na posição de apenas confiar no que a máquina de votação registrou; não há nenhuma forma de verificar sua contagem em relação às cédulas reais, porque não há cédulas físicas.

Em última análise, não temos uma forma de verificar que os votos contados são os mesmos votos feitos, independentemente do comprometimento ter ocorrido nas máquinas que registram os votos ou nos sistemas governamentais que os contabilizam.  Sem essa garantia, não temos como verificar se podemos confiar nas nossas próprias eleições.  E isso, nos dias de hoje, é uma posição muito ruim de nos encontrarmos.

Nunca poderemos garantir a prevenção de todos os ataques.  Mas pelo menos precisamos ter a possibilidade de saber quando um ataque ocorreu.

- Phil Stracchino, arquiteto chefe

Participe da conversa: encontre o Solve em Twitter and LinkedIn, ou siga através de RSS.

Sobre o autor

Principal ArchitectPhil Stracchino

Leia mais


Série sobre soluções para estratégia

Inscreva-se em um ou todos os eventos globais com influenciadores, especialistas, técnicos e líderes do setor

Crie sua conta já