Informe 05 BALOTAJE 2015 07 17.pdf


Vista previa del archivo PDF informe-05-balotaje-2015-07-17.pdf


Página 1 2 3 4 5 6 7

Vista previa de texto


Departamento de Computación
Facultad de Ciencias Exactas y Naturales
Universidad de Buenos Aires
realizada el 1° de julio, del mismo modo que hubo modificaciones en el software de
recepción de dichas transmisiones que corre en los servidores.
Las versiones definitivas del código fuente con el software para ser utilizado en la
segunda vuelta fueron recibidas el sábado 11 de julio, con menos de cuatro días
para ser auditado antes de la fecha pautada para la entrega del presente informe,
miércoles 15 de julio.
Los auditores encontraron una gran cantidad de cambios más allá de las
configuraciones: en el orden de 10.000 líneas borradas o agregadas en casi 200
archivos. Esto es en sí mismo una debilidad del código fuente como cualquier
cambio en partes extensas del software a pocos días de la puesta en producción.
que sea imposible revisar la totalidad de los cambios en tan corto tiempo. En el
Anexo I se realizan algunas observaciones específicas sobre parte del código fuente
que la presente auditoría entiende son significativas del sistema. Gran parte de las
observaciones sobre el código hechas en informes anteriores siguen estando
vigentes.

Aspectos de seguridad
Durante las semanas previas a las elecciones generales del 5 de julio se publicaron
algunas supuestas vulnerabilidades halladas en el sistema; detallaremos a
continuación las que nos parecen más significativas.

Publicación de información sensible
Luego de una prueba de despliegue y transmisión realizada el 20 de junio por la
empresa en los establecimientos, se publicaron datos de los certificados SSL de
cliente utilizados durante dicha prueba para transmisión de datos así como PINes de
autoridad de mesa y datos personales de los técnicos contratados por la empresa
para el operativo.
Aparentemente estos datos habrían sido obtenidos mediante un ataque al sistema
de operaciones que utiliza la empresa (que está fuera del alcance de la presente
auditoría).
De todos modos, más allá de la publicación de datos personales de los técnicos, no
se consideró que estuviera en peligro el operativo de elecciones por los siguientes
motivos:


Los certificados SSL de cliente se cambian para cada operativo (es decir, los
que se utilizaron durante la prueba del 20 de junio no eran los mismos que se
utilizarían el 5 de julio).

C.A.B.A. – Elecciones 2015
Auditoría de sistemas para el TSJ – Informe N°5

Página 3 de 7

adplus-dvertising