sábado, 27 de junio de 2015

A diez días de los comicios porteños, descubren filtraciones de seguridad en el sistema de voto con boleta única electrónica

Especialistas en desarrollo informático advirtieron en las últimas horas que "a diez días de las elecciones en la Ciudad Buenos Aires, cuando se va a implementar el sistema de boleta electrónica por primera vez para elegir jefe de Gobierno porteño", se filtraron las claves con las que se va transmitir en forma cifrada el escrutinio.


Según informó un especialista que prefirió mantener el anonimato, lo que se filtró en la web son "los certificados SSL de los terminales que envían los datos desde las escuelas al centro de cómputos", que estuvieron publicados "en el sitio http://caba.operaciones.com.ar por una deficiente configuración en sus servidores".

El desarrollador explicó que "se trata de un error grave y crítico sobre la seguridad", ya que "cualquier persona malintencionada podría con estos certificados SSL enviar resultados falsos del escrutinio y también podría realizar un ataque de denegación de servicio. Es decir, transmitir tantos resultados que hagan que el sistema no pueda procesar los recuentos genuinos".

Otros especialistas coincidieron en que a su vez, el escrutinio podría cambiarse mediante un certificado SSL validado por la empresa Magic Software Argentina (MSA) si una persona con una computadora conectada a Internet puede hacerse pasar por la terminal que transmite los datos del escrutinio.

El sistema también había sido cuestionado por la Fundación Vía Libre, que destacó que al querer hacer un análisis sobre el sistema, se encontraron con que el principal obstáculo provenía de "la falta casi absoluta de documentación de acceso público sobre el sistema".

El informe, que lleva la firma de Enrique Chaparro, concluye que "el sistema no respeta principios fundamentales ni la norma legal que lo habilita y que, por defectos de diseño, no puede ser adaptado para darles cumplimiento".

Un certificado SSL es un archivo de datos que contiene una clave de encriptación asimétrica y permite transmitir datos codificados y garantizar la autenticidad de una máquina conectada a Internet, mientras que el control de acceso a estos certificados es crucial para la seguridad del protocolo SSL. Todos estos certificados están almacenados en el sitio http://caba.operaciones.com.ar, propiedad de MSA.

Los técnicos contratados por la firma especialmente para las elecciones porteñas pueden acceder a los certificados SSL utilizando su nombre de usuario y una contraseña generada a partir de una dirección de correo electrónico. Este procedimiento es un punto débil del sistema y no tiene un proceso de validación doble.

En la web se encontró un listado de todas las URL de los certificados SSL, en el sitio http://justpaste.it/lzap. Varios analistas de seguridad pudieron obtener de esta forma esos certificados sin ningún impedimento especial.

Actualmente, el sitio http://caba.operaciones.com.ar no se encuentra online porque MSA, tras ser notificada de este agujero de seguridad, comenzó un proceso de auditoría.

El Sistema de Boleta Única Electrónica (BUE) que se implementará en las elecciones generales del 5 de julio, utiliza dos máquinas: una es el terminal de votación con el que interactúan los votantes y se realiza el recuento. La otra máquina es la que se usa para transmitir los datos del escrutinio desde cada escuela al centro de cómputos. Esta segunda máquina está conectada a Internet y es la que mediante los certificados SSL obtenidos puede ser clonada.

No hay comentarios:

Publicar un comentario