1. Os computadores vêm pré-formatados, com a aplicação pré-instalada e que abre automaticamente após login não tendo acesso ao desktop nem a outras aplicações: Bem.

2. Os computadores correm Microsoft Windows: Mal (não é o sistema operativa mais seguro do mundo e é, certamente, o sistema com mais exploits e mais conhecido por agentes maliciosos)

3. Os computadores entram directamente em VPN (provavelmente por certificado digital por máquina) e o login no OS é o único requerido: Mais ou Menos. (Seria preferível uma segunda credencial para fazer VPN).

4. Os computadores não parecem fazer parte de um Active Directory domain mas usarem bases de dados de autenticação locais. Isto significa que as credenciais de administração são, provavelmente, as mesmas em todas as máquinas: Mal mas que o comprometimento de uma máquina tem menos possibilidades de comprometer outras no mesmo domain.

5. Os computadores têm um SIM que faz ligação à Internet por dados móveis: Bem (assim estão independentes de qualquer problema de ligação local por cabo ou Wi-Fi e menos sujeitos a ataques man-in-the-middle ou a sniffing de dados ou credenciais

6. Os computadores não bloquearam o acesso ao Task Manager via Control-Alt-Del mas não permite fazer nada mais além de forçar a um restart para regressar ao login e à aplicação: Bem (podia ser feito por group policy)

7. No écran de login aparece a versão da aplicação instalada até ao detalhe da subversão: Bem.

8. A recomendação de login por cada membro com logout se tiveres de levantar da mesa é adequado mas peca pela impraticabilidade. Com um telemóvel associado por proximidade seria possível forçar o logout. Também não é claro que há logouts automáticos por inactividade (provavelmente não existem ou são muito longos). Quando se fecha a tampa o computador limita-se a desligar o écran mas não hiberna nem força a uma reautenticação. Isto seria mais eficiente do que um logout da conta ou uma suspensão da votação. Mal.

9. O shutdown dos equipamentos apenas pode ser feito pelo botão de power o que pode corromper o sistema operativo e a aplicação eleitoral: Mal

10. O acesso ao BIOS/UEFI está fechado por password. Não é nítido mas possível se esta pode ser feita reset abrindo o equipamento e fazendo reset. O disco deverá estar encriptado por BitLocker e a entrada da VPN é transparente pelo que o acesso à base de dados dos cadernos estará razoávelmente protegida. Bem.

11. A plataforma/aplicação é simples e intuitiva: Muito Bem.

12. As credenciais dos escrutinadores e – presume-se dos restantes membros de mesa – são simples: o username está na parte frontal do envelope “selado”. A password é uma password simples com uma sequência numérica de seis caracteres e é – tanto quanto foi possível saber – igual para todos. Sublinhe-se: o username é público (está na parte frontal dos envelopes) e a password é simples, numérica, sequencial e igual para todos os utilizadores. Em suma: é uma aparência apesar da instrução dada na “formação” (slide 9) quanto a “prácticas (!) de ciber-higiene (…) incluindo o uso de senhas-fortes” e quanto ao dever de “reserva sobre o ID do utilizador e password” e “pessoais e intransmissíveis“: Muito Mal (se se confirmar que estas credenciais não apenas para o dia de testes de 1 de junho). Mas mesmo se for apenas para o teste de 1 de junho é um mau exemplo.

13. O número do call center do IVR de contingência em caso de falha do sistema informáticos dos computadores (dois por mesa sem backup aparente nos locais de voto) parece totalmente automatizado e sem operadores humanos mas durante toda a manhã e a maior parte da tarde deu mensagem de “Inacessível (…) neste momento não conseguimos atender a sua chamada” indicando um muito provável problema de carga e de dimensionamento do número de linhas.

14. A base de dados de eleitores estava acessível e leitura do cartão de cidadão parece funcionar bem em quase todas as circunstâncias havendo, de qualquer forma, possibilidade de inserção manual do número do Cartão de Cidadão. Bem.

15. Durante muito tempo, de manhã e de tarde de dia 1 de junho o login era recusado com “erro inesperado”: ou o sistema estava em baixo ou não suportou a carga dos testes (a qual será, necessariamente inferior, à dia 9 de junho): Mal

16. A autenticação é simples: isto é: não usa nenhum sistema de autenticação por múltiplo factor: nada de envio de SMS para telemóveis dos membros de mesa registados nem leitores de impressões digitais nos computadores nem sequer por Chave Móvel Digital: Mal.

17. Não é dado uma cópia nem do manual da plataforma nem do manual eleitoral. Não existem cópias suficientes para levar para casa e estas sejam as que vão ser usadas no dia das eleições: Muito Mal

18. A plataforma de registo dos “técnicos de apoio informático” (TCA)  envia um SMS com um hiperlink (uma má prática contra a qual apelámos em https://cidadaospelaciberseguranca.com/2024/05/12/fraudes-online-em-ascensao-bloqueio-de-sms-no-reino-unido-e-medidas-essenciais-para-combater-ameacas-digitais-na-europa-e-em-portugal/): Mal (porque dá um mau exemplo aos utilizadores)

19. Na acção de formação dos membros de mesa de 1 de junho: o link para acesso pelos TCA estava indisponível indicando erro de carga: Foram feitos testes de carga? Como se garante que o sistema foi devidamente dimensionado para as eleições de 9 de junho se nem para estas acções de formação o parece ter sido? Isto quer dizer que os servidores onde assentam os cadernos eleitorais desmaterializados podem ser derrubados por ataques DDoS e, consequentemente, o próprio acto eleitoral? Muito Mal. É claro que o IP da VPN ou da farm de VPNs é desconhecida mas se este for identificado pode não resistir a um ataque de negação de serviço conforme sugere o que aconteceu nos testes de 1 de junho. Em particular das 1430 às 1521 o sistema esteve inacessível por – aparente – excesso de carga.