Relatório do Exército aponta falhas em sistema de votação do MPF
Documento fala em duas fragilidades no programa usado em processo de eleição do chefe da procuradoria
![Relatório do Exército aponta falhas em sistema de votação do MPF](/_next/image?url=https%3A%2F%2Fsbt-news-assets-prod.s3.sa-east-1.amazonaws.com%2FA_fachada_do_predio_da_PGR_em_Brasilia_936c672806.jpg&w=1920&q=90)
Publicidade
Relatório sigiloso feito pelo Centro Tecnológico do Exército ao qual o SBT News teve acesso aponta para duas falhas de segurança no sistema de votações do Ministério Público Federal.
Esse sistema, chamado de VOTUM, é emprestado para Associação Nacional dos Procuradores da República (ANPR) durante o processo de eleição da lista tríplice - relação geralmente enviada ao Presidente da República para que ele escolha o próximo procurador-geral da República.
Apesar de ter recebido o nome de VOTUM no início de 2019, trata-se do mesmo sistema que já vinha sendo utilizado pelo MPF.
"Os resultados da avaliação efetuada no ambiente a partir da Virtual Private Network demonstraram que o Sistema VOTUM possui 2 (dois) riscos cibernéticos. A presença de vulnerabilidades pode comprometer a integridade, disponibilidade e a confidenciabilidade das informações", diz o documento, enviado ao atual procurador-geral da República, Augusto Aras, no fim de 2020. Os testes nos sistemas internos do MPF foram realizados entre 16 e 25 de setembro.
No relatório de 11 páginas, o Exército pede agilidade do MPF na resolução dos problemas a fim de evitar eventuais ataques hackers à rede interna da procuradoria.
A primeira falha apontada pelo Exército e considerada de média gravidade é "a ausência do cabeçalho X-Frame-Options". "O cabeçalho X-Frame-Options não está incluído nas respostas HTTP para proteção contra ataques do tipo ?ClickJacking?. Este tipo de ataque permite induzir um usuário a clicar em algo diferente do que o mesmo enxerga, potencialmente revelando informações confidenciais ou assumindo o controle do computador alvo", afirma o relatório.
A segunda, apontada como de baixa gravidade, é a ausência de token (senhas) de validação. Segundo o documento, a ausência desse instrumento deixa o sistema vulnerável a outros tipos de ataques.
"Não foi identificado token de validação contra ataques do tipo Crosssite request forgery (CSRF) no formulário de login. Um ataque deste tipo força a vítima a enviar requisições HTTP para um alvo de destino sem seu conhecimento ou intenção, a fim de executar ações como a vitima", diz o texto.
Em junho de 2020, um relatório sigiloso da Secretaria de Perícia, Pesquisa e Análise do MPF já tinha revelado fragilidades do sistema interno da procuradoria. O conteúdo do documento foi revelado pelo Poder360.
A Controladoria-Geral da União (CGU) também já tinha indicado em relatórios a existência de fragilidades na rede da PGR no meio de 2020. A principal conclusão da CGU, na época, era de que o sistema não era auditável.
Procurada pela reportagem, a ANP encaminhou uma nota divulgada em maio. O texto diz que todas as etapas do processo de eleição foram auditados.
"No caso específico da lista tríplice, todas as etapas do processo foram amplamente auditadas, por consultoria externa e com extensa divulgação no site da ANPR. Nestas eleições, o código-fonte foi disponibilizado para análise e testes foram feitos exaustivamente pela própria ANPR, pelos candidatos e pela empresa de auditoria contratada", afirma a ANP.
"A ANPR reitera a lisura e transparência nas eleições conduzidas pela entidade e que, com a ajuda das auditorias externas e fiscalizações dos próprios colegas, indicam a confiabilidade dos resultados veiculados".
Leia a íntegra do relatório feito pelo Centro Tecnológico Exército:
Esse sistema, chamado de VOTUM, é emprestado para Associação Nacional dos Procuradores da República (ANPR) durante o processo de eleição da lista tríplice - relação geralmente enviada ao Presidente da República para que ele escolha o próximo procurador-geral da República.
Apesar de ter recebido o nome de VOTUM no início de 2019, trata-se do mesmo sistema que já vinha sendo utilizado pelo MPF.
"Os resultados da avaliação efetuada no ambiente a partir da Virtual Private Network demonstraram que o Sistema VOTUM possui 2 (dois) riscos cibernéticos. A presença de vulnerabilidades pode comprometer a integridade, disponibilidade e a confidenciabilidade das informações", diz o documento, enviado ao atual procurador-geral da República, Augusto Aras, no fim de 2020. Os testes nos sistemas internos do MPF foram realizados entre 16 e 25 de setembro.
No relatório de 11 páginas, o Exército pede agilidade do MPF na resolução dos problemas a fim de evitar eventuais ataques hackers à rede interna da procuradoria.
A primeira falha apontada pelo Exército e considerada de média gravidade é "a ausência do cabeçalho X-Frame-Options". "O cabeçalho X-Frame-Options não está incluído nas respostas HTTP para proteção contra ataques do tipo ?ClickJacking?. Este tipo de ataque permite induzir um usuário a clicar em algo diferente do que o mesmo enxerga, potencialmente revelando informações confidenciais ou assumindo o controle do computador alvo", afirma o relatório.
A segunda, apontada como de baixa gravidade, é a ausência de token (senhas) de validação. Segundo o documento, a ausência desse instrumento deixa o sistema vulnerável a outros tipos de ataques.
"Não foi identificado token de validação contra ataques do tipo Crosssite request forgery (CSRF) no formulário de login. Um ataque deste tipo força a vítima a enviar requisições HTTP para um alvo de destino sem seu conhecimento ou intenção, a fim de executar ações como a vitima", diz o texto.
Em junho de 2020, um relatório sigiloso da Secretaria de Perícia, Pesquisa e Análise do MPF já tinha revelado fragilidades do sistema interno da procuradoria. O conteúdo do documento foi revelado pelo Poder360.
A Controladoria-Geral da União (CGU) também já tinha indicado em relatórios a existência de fragilidades na rede da PGR no meio de 2020. A principal conclusão da CGU, na época, era de que o sistema não era auditável.
Procurada pela reportagem, a ANP encaminhou uma nota divulgada em maio. O texto diz que todas as etapas do processo de eleição foram auditados.
"No caso específico da lista tríplice, todas as etapas do processo foram amplamente auditadas, por consultoria externa e com extensa divulgação no site da ANPR. Nestas eleições, o código-fonte foi disponibilizado para análise e testes foram feitos exaustivamente pela própria ANPR, pelos candidatos e pela empresa de auditoria contratada", afirma a ANP.
"A ANPR reitera a lisura e transparência nas eleições conduzidas pela entidade e que, com a ajuda das auditorias externas e fiscalizações dos próprios colegas, indicam a confiabilidade dos resultados veiculados".
Leia a íntegra do relatório feito pelo Centro Tecnológico Exército:
Relatório de auditoria do sistema VOTUM by Ricardo Chapola on Scribd
Publicidade