Relatório do Exército aponta falhas em sistema de votação do MPF
Documento fala em duas fragilidades no programa usado em processo de eleição do chefe da procuradoria
Publicidade
Relatório sigiloso feito pelo Centro Tecnológico do Exército ao qual o SBT News teve acesso aponta para duas falhas de segurança no sistema de votações do Ministério Público Federal.
Esse sistema, chamado de VOTUM, é emprestado para Associação Nacional dos Procuradores da República (ANPR) durante o processo de eleição da lista tríplice - relação geralmente enviada ao Presidente da República para que ele escolha o próximo procurador-geral da República.
Apesar de ter recebido o nome de VOTUM no início de 2019, trata-se do mesmo sistema que já vinha sendo utilizado pelo MPF.
"Os resultados da avaliação efetuada no ambiente a partir da Virtual Private Network demonstraram que o Sistema VOTUM possui 2 (dois) riscos cibernéticos. A presença de vulnerabilidades pode comprometer a integridade, disponibilidade e a confidenciabilidade das informações", diz o documento, enviado ao atual procurador-geral da República, Augusto Aras, no fim de 2020. Os testes nos sistemas internos do MPF foram realizados entre 16 e 25 de setembro.
No relatório de 11 páginas, o Exército pede agilidade do MPF na resolução dos problemas a fim de evitar eventuais ataques hackers à rede interna da procuradoria.
A primeira falha apontada pelo Exército e considerada de média gravidade é "a ausência do cabeçalho X-Frame-Options". "O cabeçalho X-Frame-Options não está incluído nas respostas HTTP para proteção contra ataques do tipo ?ClickJacking?. Este tipo de ataque permite induzir um usuário a clicar em algo diferente do que o mesmo enxerga, potencialmente revelando informações confidenciais ou assumindo o controle do computador alvo", afirma o relatório.
A segunda, apontada como de baixa gravidade, é a ausência de token (senhas) de validação. Segundo o documento, a ausência desse instrumento deixa o sistema vulnerável a outros tipos de ataques.
"Não foi identificado token de validação contra ataques do tipo Crosssite request forgery (CSRF) no formulário de login. Um ataque deste tipo força a vítima a enviar requisições HTTP para um alvo de destino sem seu conhecimento ou intenção, a fim de executar ações como a vitima", diz o texto.
Em junho de 2020, um relatório sigiloso da Secretaria de Perícia, Pesquisa e Análise do MPF já tinha revelado fragilidades do sistema interno da procuradoria. O conteúdo do documento foi revelado pelo Poder360.
A Controladoria-Geral da União (CGU) também já tinha indicado em relatórios a existência de fragilidades na rede da PGR no meio de 2020. A principal conclusão da CGU, na época, era de que o sistema não era auditável.
Procurada pela reportagem, a ANP encaminhou uma nota divulgada em maio. O texto diz que todas as etapas do processo de eleição foram auditados.
"No caso específico da lista tríplice, todas as etapas do processo foram amplamente auditadas, por consultoria externa e com extensa divulgação no site da ANPR. Nestas eleições, o código-fonte foi disponibilizado para análise e testes foram feitos exaustivamente pela própria ANPR, pelos candidatos e pela empresa de auditoria contratada", afirma a ANP.
"A ANPR reitera a lisura e transparência nas eleições conduzidas pela entidade e que, com a ajuda das auditorias externas e fiscalizações dos próprios colegas, indicam a confiabilidade dos resultados veiculados".
Leia a íntegra do relatório feito pelo Centro Tecnológico Exército:
Esse sistema, chamado de VOTUM, é emprestado para Associação Nacional dos Procuradores da República (ANPR) durante o processo de eleição da lista tríplice - relação geralmente enviada ao Presidente da República para que ele escolha o próximo procurador-geral da República.
Apesar de ter recebido o nome de VOTUM no início de 2019, trata-se do mesmo sistema que já vinha sendo utilizado pelo MPF.
"Os resultados da avaliação efetuada no ambiente a partir da Virtual Private Network demonstraram que o Sistema VOTUM possui 2 (dois) riscos cibernéticos. A presença de vulnerabilidades pode comprometer a integridade, disponibilidade e a confidenciabilidade das informações", diz o documento, enviado ao atual procurador-geral da República, Augusto Aras, no fim de 2020. Os testes nos sistemas internos do MPF foram realizados entre 16 e 25 de setembro.
No relatório de 11 páginas, o Exército pede agilidade do MPF na resolução dos problemas a fim de evitar eventuais ataques hackers à rede interna da procuradoria.
A primeira falha apontada pelo Exército e considerada de média gravidade é "a ausência do cabeçalho X-Frame-Options". "O cabeçalho X-Frame-Options não está incluído nas respostas HTTP para proteção contra ataques do tipo ?ClickJacking?. Este tipo de ataque permite induzir um usuário a clicar em algo diferente do que o mesmo enxerga, potencialmente revelando informações confidenciais ou assumindo o controle do computador alvo", afirma o relatório.
A segunda, apontada como de baixa gravidade, é a ausência de token (senhas) de validação. Segundo o documento, a ausência desse instrumento deixa o sistema vulnerável a outros tipos de ataques.
"Não foi identificado token de validação contra ataques do tipo Crosssite request forgery (CSRF) no formulário de login. Um ataque deste tipo força a vítima a enviar requisições HTTP para um alvo de destino sem seu conhecimento ou intenção, a fim de executar ações como a vitima", diz o texto.
Em junho de 2020, um relatório sigiloso da Secretaria de Perícia, Pesquisa e Análise do MPF já tinha revelado fragilidades do sistema interno da procuradoria. O conteúdo do documento foi revelado pelo Poder360.
A Controladoria-Geral da União (CGU) também já tinha indicado em relatórios a existência de fragilidades na rede da PGR no meio de 2020. A principal conclusão da CGU, na época, era de que o sistema não era auditável.
Procurada pela reportagem, a ANP encaminhou uma nota divulgada em maio. O texto diz que todas as etapas do processo de eleição foram auditados.
"No caso específico da lista tríplice, todas as etapas do processo foram amplamente auditadas, por consultoria externa e com extensa divulgação no site da ANPR. Nestas eleições, o código-fonte foi disponibilizado para análise e testes foram feitos exaustivamente pela própria ANPR, pelos candidatos e pela empresa de auditoria contratada", afirma a ANP.
"A ANPR reitera a lisura e transparência nas eleições conduzidas pela entidade e que, com a ajuda das auditorias externas e fiscalizações dos próprios colegas, indicam a confiabilidade dos resultados veiculados".
Leia a íntegra do relatório feito pelo Centro Tecnológico Exército:
Relatório de auditoria do sistema VOTUM by Ricardo Chapola on Scribd
Publicidade
