Uma imagem viral nas redes sociais desinforma ao sugerir que ataques cibernéticos à agência espacial americana Nasa e empresas de tecnologia, como a Microsoft, são evidências de que as urnas eletrônicas brasileiras não são seguras. Até esta quarta-feira, 21, uma única publicação acumulava mais de 19 mil compartilhamentos no Facebook.
Embora não seja possível descartar completamente riscos de qualquer sistema eletrônico, a mensagem omite que as máquinas eleitorais adotam uma série de medidas de segurança que tornam remota a possibilidade de invasões externas. Desde a adoção do voto eletrônico em 1996, nunca foi comprovada a ocorrência de invasão ao sistema das urnas eletrônicas ou fraude no processo eleitoral brasileiro.
As urnas eletrônicas não são conectadas à internet em nenhum momento durante as eleições, o que impossibilita ataques externos por redes. De acordo com o Tribunal Superior de Eleitoral (TSE), o sistema operacional das urnas eletrônicas é desenvolvido pela Justiça Eleitoral e não inclui mecanismos necessários para estabelecer conexão com a internet, bluetooth ou rede de acesso remoto. Ou seja, para entrar nos equipamentos de votação seria preciso invadi-los um a um; mesmo assim, eles têm camadas de segurança extras para impedir ataques.
Uma checagem recente do Estadão Verifica, a qual desmentiu que as urnas poderiam ser hackeadas pela internet, explica que os dados inseridos nos equipamentos eleitorais são gravados em uma espécie de cartão de memória, conhecido como "flash das urnas''. Após a votação, os dispositivos são encaminhados a um ponto de acesso ao sistema da Justiça Eleitoral que transmite os dados criptografados via satélite, por meio de uma rede privada protegida por diversas barreiras de segurança, para efetuar a totalização dos votos.
E ataques internos?
Em 2019, os servidores do centro de pesquisa Jet Propulsion Laboratory da Nasa foram invadidos por meio de um pequeno dispositivo conectado internamente aos sistemas da agência espacial. No episódio, o invasor se aproveitou de uma falha de segurança que impedia os servidores da Nasa de rejeitarem a conexão do dispositivo indesejado.
No caso das urnas eletrônicas, a possibilidade de ataques internos é um ponto discutido no debate técnico acerca da transparência do sistema de votação brasileiro. Como mostra esta reportagem da Folha de São Paulo, especialistas não eliminam o risco de interferências de agentes internos em manipulações da urna eletrônica, embora a ocorrência de episódios similares nunca tenha sido comprovada.
O TSE, por sua vez, garante que as urnas eletrônicas dispõem de mecanismos de segurança capazes de coibir ameaças que não dependem de conexão à internet. Os equipamentos possuem um componente denominado Módulo de Segurança Embarcado (MSE) que garante que a urna reconheça somente equipamentos oficiais devidamente validados por uma assinatura digital.
Em outras palavras, "o teclado do eleitor, o terminal do mesário e a impressora de relatórios só funcionam com o sistema da urna" e com uma "assinatura digital válida", explica o TSE em nota enviada ao Estadão Verifica.
O sistema estabelece uma medida semelhante para as portas de conexão USB. O módulo de segurança da urna permite que o sistema controle os dispositivos que podem ser conectados às entradas do equipamento. Segundo o TSE, caso um aparelho não autenticado seja plugado na urna, a conexão é interrompida antes mesmo que qualquer arquivo ou programa possa ser executado.
Outra medida de segurança destacada pelo tribunal é a cerimônia pública em que são realizadas a fixação de lacres físicos, produzidos pela Casa da Moeda, nos aparelhos eleitorais. Esses lacres são identificados por números de série e o rompimento evidenciaria qualquer tentativa de violação física das urnas eletrônicas.
Ainda de acordo com o TSE, há um sistema de controle de modificações no código fonte das urnas que aponta a data e o responsável por qualquer alteração no software. Além disso, testes "exaustivos" do software usado nos equipamentos permitiriam identificar comportamentos anômalos nos programas executados nos aparelhos.
Vulnerabilidades mitigadas
Entre as medidas de segurança e transparência citadas pelo Tribunal Superior Eleitoral está a realização de testes públicos de segurança, nos quais a instituição disponibiliza uma versão do sistema das urnas eletrônicas para que especialistas técnicos simulem ataques e possam identificar vulnerabilidades ou oportunidades de melhorias.
Durante a edição de 2017, um grupo de cientistas conseguiu conectar um teclado externo ao equipamento explorando uma brecha de uma atualização do sistema da urna. O problema foi corrigido na sequência e não afetou versões anteriores e posteriores usadas em eleições, garante o tribunal.
Os pesquisadores também conseguiram editar informações de candidatos apresentadas na tela da urna e obtiveram acesso ao Registro Digital de Votos (RDV). Trata-se de uma espécie de tabela digital em que são armazenados os votos de forma embaralhada para impedir que identifiquem o voto de um eleitor conforme a ordem dos registros.
Entretanto, o ataque não foi capaz de violar os dados de eleitores, quebrar o sigilo dos votos ou alterar o resultado. De acordo com o TSE, as brechas exploradas pelos cientistas também foram mitigadas.
TSE defende que urnas são auditáveis
O TSE ainda listou ao Estadão Verifica ao menos onze mecanismos de segurança e auditoria das urnas eletrônicas que previnem invasões ao sistema eleitoral. Dentre esses mecanismos consta o teste de integridade das urnas, ou votação paralela, em que são sorteados aleatoriamente exemplares dos equipamentos reservados para a eleição para um teste público monitorado no dia do pleito.
Como citado acima, há um debate técnico em torno da transparência das urnas eletrônicas em que especialistas defendem que mesmo as medidas adotadas pelo tribunal são insuficientes para possibilitar uma auditoria independente efetiva dos equipamentos. Esta foi a conclusão, por exemplo, de uma auditoria das eleições de 2014 promovida pelo PSDB que recomendou a adoção do voto impresso como uma maneira de aprimorar a transparência do processo. A investigação não encontrou indícios de irregularidades na disputa presidencial daquele ano.
Já o TSE contesta as críticas à transparência das urnas eletrônicas e defende que o processo eleitoral é plenamente auditável antes, durante e depois das eleições. Em meio à discussão, até o momento não existem evidências sólidas de fraudes ou tentativas de invasão às urnas eletrônicas. O Estadão Verifica, inclusive, já desmontou uma série de boatos que propagavam teorias inconsistentes de fraude.
Veja abaixo os mecanismos de auditoria e segurança listados pelo TSE:
- Sistema de controle de versões: O código-fonte do software é mantido sob moderno sistema de controle de versões, pelo qual é possível verificar cada modificação feita no código, quem e quando a fez.
- Revisão de código por pares: associada à ferramenta de controle de versões, para que um programador integre um código em definitivo no software é necessário que outro programador revise e aprove a modificação.
- Segregação de papéis: as equipes não possuem conhecimento sobre a totalidade do processo eleitoral.
- Infraestrutura de assinatura do software: o software da urna é assinado com algoritmos redundantes, que envolvem uma autoridade certificadora do hardware (equipamento físico) da urna e uma infraestrutura de chaves usadas por um algoritmo criado e mantido por órgão especializado do Poder Executivo. Cada uma dessas duas estruturas é de responsabilidade de equipes diferentes. Nesse sentido, mesmo tendo o controle do código-fonte, a equipe de desenvolvimento não é capaz de gerar uma versão do software que funcione na urna em modo oficial.
- Teste frequente do software por diferentes equipes: O software da urna é submetido a exaustiva rotina de testes, em todas as suas etapas de desenvolvimento. Há testes feitos pelos testadores lotados na equipe de desenvolvimento e também por outra equipe do TSE que testa o software da urna integrado aos demais sistemas envolvidos no processo eleitoral. Há também equipes de todos os Tribunais Regionais Eleitorais que testam o software frequentemente. Dessa forma, há muitas pessoas capazes de identificar comportamentos anômalos no software da urna.
- Teste Público de Segurança: No ano anterior ao da realização das eleições, o TSE convida toda a comunidade a testar o software da urna e verificar a efetividade dos seus mecanismos de segurança. Também é uma oportunidade para que qualquer cidadão verifique como o software funciona, contando com amplo acesso ao seu código-fonte. Quando são identificadas vulnerabilidades ou oportunidades de melhoria, aqueles que apresentaram as contribuições são novamente convidados ao TSE para verificarem as modificações no software.
- Abertura para entidades parceiras: Há 12 anos o TSE sistematicamente celebra convênios com entidades parceiras, notoriamente reconhecidas pela excelência técnica na área de tecnologia da informação. Entre 2009 e 2019 o parceiro foi o Centro de Tecnologia da Informação Renato Archer (CTI), que é um centro de pesquisas ligado ao Ministério da Ciência, Tecnologia e Inovações. E em 2021 o TSE está firmando acordo com o Laboratório de Arquitetura de Redes de Computadores (Larc) da Universidade de São Paulo (USP). Essas parcerias têm por objetivo uma ampla revisão do software e dos seus mecanismos de segurança, assim como a proposição de evoluções nos sistemas.
- Seis meses de abertura dos sistemas: Nos seis meses que antecedem as eleições ordinárias, os sistemas eleitorais são amplamente abertos para auditoria nas dependências do TSE. Diversas entidades públicas e privadas podem se credenciar para ter acesso integral aos sistemas, inspecionar o seu código-fonte e verificar o seu comportamento. Os auditores também têm acesso à equipe de desenvolvimento para que sejam sanadas quaisquer dúvidas sobre o software.
- Cerimônia Pública de Lacração e Assinatura Digital dos Sistemas Eleitorais: Um mês antes da realização das eleições ordinárias, o conjunto de software que será utilizado no processo eleitoral é submetido à Lacração. Trata-se de cerimônia pública, com todos os seus procedimentos verificáveis e auditáveis, na qual o software é copiado do sistema de controle de versões, compilado, assinado digitalmente e empacotado para distribuição aos TREs. Ao final da Lacração o software é imediatamente submetido a testes que validem o seu correto funcionamento, além da possibilidade de verificação de que os binários compilados derivam do código-fonte aberto para inspeção. Após a Lacração, só é possível a alteração do software mediante nova cerimônia pública. O Ministério Público e a Polícia Federal são instituições capacitadas para auditar a Cerimônia e podem também assinar digitalmente todo o software produzido.
- Teste de integridade (votação paralela). No dia do pleito, um conjunto aleatório de urnas é submetido a um teste de votação monitorada, com o objetivo de verificar se o comportamento da urna se mantém íntegro, ou seja, se os votos nela apurados correspondem àqueles que nela foram depositados. Esse teste é feito em cerimônia pública com ampla fiscalização.
- Auditoria externa independente. Todo o software da urna pode ser auditado de forma independente durante o seu desenvolvimento e no seu ambiente de uso. Além dos eventos citados anteriormente, os auditores podem verificar hash e assinatura digital dos arquivos por meios próprios, diretamente sobre as mídias das urnas ou as unidades de armazenamento dos computadores desktop. O Ministério Público e a Polícia Federal são instituições capacitadas a auditar o software e o seu processo de desenvolvimento, cabendo a elas inclusive a apuração de responsabilidades criminais.
Os comentários são exclusivos para assinantes do Estadão.
