Argentina
Jueves, 28 marzo 2024
ELECCIONES 2019
3 de agosto de 2019

Escrutinio: informe expone que el sistema tiene 46 vulnerabilidades y alerta por riesgos de hackeos

Un documento realizado por los especialistas informáticos Iván Arce, Enrique Chaparro y Javier Smaldone, que monitorean el proceso electoral, marca falencias en el proceso de conversión de archivos.

Escrutinio: informe expone que el sistema tiene 46 vulnerabilidades y alerta por riesgos de hackeos - La Tecla

El nuevo sistema que utilizará el Gobierno nacional para llevar adelante la transmisión de los datos de telegramas de las elecciones primarias del 11 de agosto permanece envuelto en controversias, en medio de presentaciones judiciales, advertencias de la Cámara Nacional Electoral y también de especialistas críticos por la falta de apertura.

Tres especialistas informáticos Iván Arce, Enrique Chaparro (Fundación Vía Libre) y Javier Smaldone, que monitorean el uso de tencnologías en la elección, difundieron este sábado un informe que expone vulnerabilidades serias del sistema en un proceso ya señalado: la conversión de archivos desde que los telegramas son escaneados en formato .tiff hasta que son recibidos en .pdf para su carga en una plataforma y transmisión final.

“Componentes de software usados en la conversión de formato de los telegramas transmitidos desde los centros de votación tienen al menos 46 vulnerabilidades conocidas por la comunidad técnica y ya reportadas, que pueden ser potencialmente explotadas para dañar la integridad del proceso de escrutinio provisorio”, advirtieron.

En concreto, los analistas estudiaron uno de los archivos pdf que se difundieron desde el Gobierno como parte del simulacro público que tuvo lugar el 20 de julio. Allí, encontraron que la utilidad de conversión empleada “es el programa tiff2pdf, parte de la biblioteca libtiff” y que el campo de metadatos indica “./Producer (libtiff / tiff2pdf – 20150912)”.

Esta fecha de ‘release’ corresponde a la versión 4.0.6 de las utilidades mencionadas, las que son vulnerables a numerosos ataques incluyendo ejecución remota de código y denegación de servicio. Luego de la comprobación inicial, se corroboró la presencia del mismo problema en un lote de 60 archivos entregados a la prensa”, añadieron.

Arce, Chaparro y Smaldone consignaron la biblioteca de utilidades libtiff contiene varias vulnerabilidades y remarcaron que 46 de ellas han sido documentadas a la fecha en el catálogo Common Vulnerabilities and Exposures (CVE) y son en su mayoría conocidas desde hace tres años”.

En esa línea alertaron, los ataques de los que puede ser afectado el sistema. “Dependiendo de las vulnerabilidades explotadas, un potencial atacante podría impedir el correcto funcionamiento de los servidores que reciben la transmisión de telegramas, borrar o alterar los datos que se reciben de los centros de transmisión ubicados en los establecimientos donde se vota, retrasar el proceso de escrutinio provisorio por tiempo indeterminado, hasta que se identifique, diagnostique y corrija el problema en tan solo uno de cientos o miles de archivos TIFF recibidos, o utilizar el servidor afectado como plataforma para lanzar ataques “laterales” a otros componentes de la red”.
 

Y agregaron que no se trataría de una maniobra compleja. “Para lanzar el ataque, el agente malicioso no requiere privilegios en el servidor donde se almacenan los archivos TIFF a convertir; le bastará con tener acceso o posibilidad de ejecutar un programa en cualquiera de las 11.000 estaciones (netbooks) que se utilizarán para transmitir los telegramas, o ejecutar el software de transmisión en otra computadora conectada a una red de los establecimientos desde donde se emiten los “telegramas”, o transmitir el archivo TIFF “malformado” desde cualquier otro dispositivo que tenga conectividad con el servidor que recibe las transmisiones”

Los especialistas pusieron en duda la necesidad de que se realice la conversión de archivos, ya que consignaron que podría hacerse solo en .pdf sin modificaciones. De todas maneras, alertaron que en el supuesto de que no fuera posible, se debería utilizar “una herramienta de conversión desarrollada utilizando prácticas recomendadas de seguridad del software”.

Como medida, los especialistas consignaron que, para mitigar el problema, se debe instalar la versión más actualizada de libtiff, 4.0.10 (20181110). No obstante, recalcaron que pueden existir otras vulnerabilidades no reportadas o bajo investigación y recomendaron realizar la conversión de archivos “en un entorno de ejecución controlado y restringido utilizando, por ejemplo, microvirtualización y contenedores”.

En ese sentido, una de las limitantes de la cuestión es la falta de una auditoría de seguridad, algo que los diferentes especialistas han solicitado.  Adrián Pérez, secretario de Asuntos Políticos e Institucionales, informó el 20 de julio que la firma Deloitte Argentina había auditado el software, aunque al mismo tiempo dijo que todavía estaba sometido a cambios.

“Resulta imposible conocer la cantidad e impacto de otras vulnerabilidades en el sistema si no se llevan a cabo una o más auditorías de seguridad exhaustivas, de extremo a extremo, del sistema completo”, detallaron. 


Resolución de la CNE

Esta semana, la Cámara Nacional Electoral pidió que la Dirección Nacional Electoral y el Correo Argentino aseguren instancias de fiscalización para la oposición en todo el proceso. Y además se refirió al proceso de conversión de archivos.

la CNE tuvo en cuenta lo advertido por los apoderados "respecto de la supuesta conversión de los archivos de imagen obtenidos a partir del escaneo de los telegramas, fija que "la Dirección Nacional Electoral deberá asegurar que las agrupaciones políticas cuenten con los mecanismos o el acceso a la información suficiente que permita comprobar la integridad e inalterabilidad del archivo y la trazabilidad del documento desde su escaneo hasta su puesta a disposición para la carga por parte de los agentes responsables de esa tarea". 

La elección de Smartmatic -una firma cuestionada en otros países- para llevar adelante el escrutinio provisorio por una suma de 17 millones de dólares, sumada a la falta de apertura del proceso generararon fuertes dudas. Entre otras, no se le entregó a la oposición el código fuente del software 30 días antes de la elección, como había planteado el tribunal electoral.

Calle 44 Num. 372 La Plata, Buenos Aires. Argentina
+54 (0221) 4273709
Copyright 2024 La Tecla
Todos los derechos reservados
By Serga.NET