Pedro Yóssis

Doutor em Ciência da Computação pela Universidade Federal de Campina Grade. Em 2017, participou da equipe de investigadores independentes que foram capazes de detectar e explorar vulnerabilidades no software da urna eletrônica em testes controlados organizados pelo Tribunal Superior Eleitoral. Trabalha como Security Software Engineer na Red Hat e é membro do Epic Leet Team, melhor time de CTF da América Latina (segundo o ctftime.org).

Palestra: Executando Código Arbitrário na Urna Eletrônica

A execução de código arbitrário na urna eletrônica foi a principal conquista do grupo de pesquisa durante os testes realizados no fim de 2017. Em testes anteriores, grupos conseguiram feitos como quebra do sigilo do voto e identificação de problemas de armazenamento das chaves criptográficas dos cartões de memória do software que é carregado na urna eletrônica, que estavam em texto plano e, por isso, era possível decifrar o conteúdo dos executáveis que eram carregados na urna eletrônica. De posse do cartão de memória decifrado, o grupo de pesquisa foi capaz de identificar diversas vulnerabilidades nos executáveis, como bibliotecas carregadas no sistema sem assinatura digital. Com isso, foi possível adulterá-las com código infectado que era carregado e executado dentro da urna. Assim, essencialmente era possível programá-la. Uma das ações que o grupo conseguiu efetuar foi alterar a mensagem que aparecia na hora do voto, sugerindo o voto em uma legenda fictícia, viabilizando uma boca-de-urna dentro do próprio equipamento. E o grupo afirma que, com um pouco mais de tempo, conseguiria efetivamente adulterar os votos.