Teste Público de Segurança: sociedade e Justiça Eleitoral caminham juntas em prol da evolução do voto eletrônico
Todos os modelos de urna passaram pelo TPS; descubra como os especialistas inscritos ajudaram a aprimorar o sistema eleitoral
“A urna eletrônica brasileira está desatualizada, é de primeira ou de segunda geração?” Você certamente já deve ter se deparado com alguma dessas afirmações ao navegar pela internet, mas, de início, é importante saber que nenhuma delas é verdadeira. A tecnologia empregada no sistema eleitoral é de ponta e fruto de uma construção coletiva, que envolve tanto a Justiça Eleitoral quanto a sociedade.
Um dos instrumentos responsáveis pela constante evolução do voto informatizado é o Teste Público de Segurança do Sistema Eletrônico de Votação (TPS), evento organizado pelo Tribunal Superior Eleitoral (TSE) com o intuito de aprimorar as urnas eletrônicas por meio de contribuições feitas por especialistas em computação e por não especialistas.
Além dos recursos de acessibilidade e de funcionalidades relativas aos processos de votação, os modelos de urna usados nas Eleições Gerais de 2022 apresentam mais duas características em comum. Eles compartilham do mesmo software e passaram pelo crivo de investigadoras e investigadores do TPS, uma das etapas de auditoria e fiscalização do voto eletrônico. São submetidas ao teste sempre as versões mais recentes do equipamento e, como operam com programas idênticos, pode-se afirmar que absolutamente todos foram avaliados sucessivas vezes pelos participantes.
No pleito de outubro, foram utilizados equipamentos das versões 2009, 2010, 2011, 2013, 2015 e 2020. A nova urna eletrônica (modelo 2020), que ainda não estava pronta no período de realização do último TPS, foi examinada pela Universidade de São Paulo (USP), pela Universidade Estadual de Campinas (Unicamp) e pela Universidade Federal de Pernambuco. As três respeitadas instituições de ensino superior foram unânimes ao confirmar a segurança do sistema eletrônico de votação.
Remoção de barreiras de segurança
Durante a semana de realização do TPS, as pessoas inscritas têm acesso privilegiado aos sistemas e equipamentos que compõem a votação eletrônica. Como o objetivo é tornar o ambiente propício à rigorosa avaliação dos participantes, diversas barreiras de segurança que normalmente estariam presentes na data do pleito são removidas.
Inspeção do código-fonte
Os participantes também podem inspecionar componentes físicos da urna. É o caso dos lacres especiais produzidos pela Casa da Moeda, que, no dia da eleição, vedam as portas físicas das urnas eletrônicas. Os inscritos têm ainda a oportunidade de analisar de perto todos os hardwares que compõem o equipamento e fazer inspeção no código-fonte, que dá os comandos ao sistema de votação.
Depois da primeira etapa do teste, em que são postos em prática os planos de ataque, eles voltam ao TSE para replicar a estratégia e verificar se as eventuais falhas apontadas foram devidamente corrigidas. Até o momento, as soluções propostas pelo TSE foram suficientes para barrar as ofensivas.
Teste chegará à 7ª edição em 2023
O TPS acontece desde 2009, preferencialmente em anos não eleitorais, e, em 2023, chegará à 7ª edição. Descubra de que forma as seis edições do TPS já realizadas contribuíram para a evolução do voto eletrônico:
TPS 2009 – 1ª edição
A estreia do TPS aconteceu de 10 a 13 de novembro de 2009, quando especialistas em informática e eletrônica adotaram diversas estratégias para tentar encontrar alguma vulnerabilidade nas urnas UE 2008. Enquanto um dos investigadores buscou quebrar o sigilo do voto mediante a captação da radiação eletromagnética emitida pelo teclado do aparelho, outros tentaram introduzir um arquivo na mídia de votação usada nas seções eleitorais.
No primeiro caso, o equipamento de rádio utilizado só conseguiu identificar um dos botões e funcionou apenas a uma distância de cinco centímetros da urna, fato que tornaria a investida inviável em condições normais. Como resposta, o TSE passou a criptografar as teclas do terminal do eleitor, que produzem sinais elétricos diferentes sempre que são pressionadas.
O segundo plano também não foi bem-sucedido, uma vez que o arquivo inserido acabou rejeitado pela urna eletrônica. Os participantes até mudaram de tática, mas todas as tentativas foram prontamente identificadas e barradas pelos recursos de segurança do sistema.
TPS 2012 – 2ª edição
De 20 a 22 de março de 2012, mais um TPS ocorreu nas dependências do edifício-sede do TSE, em Brasília (DF). Entre os planos de ataque às urnas eletrônicas UE 2009 que foram apresentados pelos grupos, um deles obteve um maior destaque e originou importantes aprimoramentos posteriormente implantados pela Justiça Eleitoral.
Um dos times sequenciou os votos gravados no Registro Digital do Voto (RDV), uma espécie de tabela digital em que é registrada a votação do eleitorado. Apesar disso, eles não conseguiram obter a sucessão de comparecimento dos eleitores. Logo, o sigilo do voto não foi violado.
Para corrigir a vulnerabilidade, o Tribunal fortaleceu o mecanismo de embaralhamento dos dados no RDV, a fim de impossibilitar que fosse descoberta a ordem dos números digitados pelo eleitorado.
TPS 2016 – 3ª edição
A terceira edição do TPS foi realizada de 8 a 10 de março de 2016, período em que os participantes testaram a urna eletrônica UE 2013. O acontecimento mais relevante foi a alteração de um Boletim de Urna (BU) e o uso deste como porta de entrada do Sistema de Apuração (SA) do equipamento, utilizado em situações pontuais, como quando o resultado da urna gravado em meio eletrônico foi perdido por algum motivo ou se houver a necessidade de concluir a votação em cédulas de papel. Para inviabilizar a repetição do ataque, o algoritmo do código verificador do BU foi modificado e passou a ter força de autenticador.
Outra equipe gravou as instruções por áudio utilizadas para facilitar o voto de pessoas com deficiência visual. Na época, o recurso incluía as teclas pressionadas e o voto confirmado pela eleitora ou pelo eleitor e era ativado de duas formas: para quem já estava cadastrado ou para todo o eleitorado da seção, ainda que nem todos precisassem dele. O Tribunal, então, restringiu a assistência por áudio aos eleitores cegos ou com baixa visão previamente cadastrados ou mediante autorização do mesário. A ativação passou a ser registrada na urna e notificada por mensagem no terminal do eleitor.
TPS 2017 – 4ª edição
No TPS 2017, realizado de 27 a 30 de novembro, os investigadores identificaram a chave criptográfica usada para proteção das mídias das urnas UE 2015 e a utilizaram para alterar arquivos. Também foi encontrada uma falha na verificação da assinatura digital das bibliotecas das urnas – que são coleções de subprogramas empregados no desenvolvimento do software. Além disso, os inscritos apontaram a ausência de assinatura digital complementar em duas bibliotecas do equipamento.
Os problemas foram resolvidos com a redução da quantidade de bibliotecas e com a correção do dispositivo de assinatura digital. Os testes de software foram reforçados para garantir que todos os programas estejam assinados e validados. Todas as chaves criptográficas foram retiradas do código-fonte das urnas e substituídas por um novo mecanismo, que fortaleceu a criptografia para garantir que só a urna consiga decodificar e iniciar o sistema operacional.
TPS 2019 – 5ª edição
O Tribunal recebeu os participantes da quinta edição do TPS entre os dias 25 e 29 de novembro de 2019. Eles extraíram o conteúdo de um disco criptografado do Subsistema de Instalação e Segurança (SIS) e controlaram o Gerenciador de Dados, Aplicativos e Interface da Urna Eletrônica (Gedai-UE), fazendo com que a aplicação gerasse configurações modificadas para a UE 2015. No entanto, as ofensivas não alcançaram o software do equipamento nem conseguiram alterar dados de eleitores e candidatos.
A resposta do Tribunal Superior Eleitoral foi ainda mais robusta. Houve redução do conjunto de arquivos gerados pelo Gedai-UE e adoção do chip de segurança Trusted Platform Module (TPM), que fortaleceu os mecanismos de assinatura digital e criptografia.
TPS 2021 – 6ª edição
A edição mais recente do Teste aconteceu de 22 a 27 de novembro de 2021. Apesar de nenhuma equipe ter violado o sigilo do voto, cinco investidas se destacaram entre os planos de ataque à UE 2015 desenvolvidos pelas pessoas inscritas. Um participante individual focou na possibilidade de geração de um Boletim de Urna não criptografado em uma situação específica, restrita aos pleitos comunitários cuja realização dependa do empréstimo de urnas eletrônicas para as entidades, que precisam ter autonomia para conduzir a própria totalização.
Apesar de o achado não gerar consequências para as eleições de ocupantes dos Poderes Legislativo e Executivo, o sistema foi ajustado para não receber BUs não cifrados. Assim, quando o boletim chega, é realizada uma verificação e, se estiver codificado, o processamento continua. Caso contrário, o arquivo é automaticamente rejeitado.
Outro time tentou substituir o teclado da urna por um invólucro que captaria a digitação do voto e encaminharia as informações para um banco de dados em tempo real. A tática não foi exitosa ao tentar quebrar a confidencialidade da votação, porque dependeria da obtenção da ordem de comparecimento dos eleitores. Para proteger a urna eletrônica de engenhocas semelhantes, os mesários foram instruídos a realizar inspeções periódicas na cabina de votação e no ambiente em que está instalada a urna eletrônica.
A terceira investida mirou no JE Connect, sistema de transmissão de dados que não está diretamente ligado à urna eletrônica. Ao usar engenharia reversa, peritos da Polícia Federal burlaram alguns controles do aplicativo, sem resultar, entretanto, em quebra do sigilo ou em alteração do destino dos votos. A descoberta fez com que o TSE retirasse as mensagens que indicam o andamento da inicialização do sistema para impedir acesso a partições criptografadas e certificados digitais, adicionando mais uma camada de segurança às já existentes, que, na prática, se sobrepõem e evitam qualquer acesso à rede da Justiça Eleitoral.
A mesma aplicação foi o alvo de mais uma ofensiva, que buscou atacar o uso de teclas de atalho na interface e na conexão à rede da JE por meio do navegador Firefox. A vulnerabilidade foi resolvida pelo mapeamento de teclas e pelo bloqueio de toda a interface para que não aceite a combinação de botões não padronizados. Além da retirada das mensagens sobre a inicialização, foi realizada a atualização do navegador utilizado pelo JE Connect. As ações de combate ao ataque ainda envolveram a criação de dois perímetros de segurança externos para detectar a tentativa de conexão de um aplicativo adulterado.
A última estratégia replicou um teste similar realizado na 3ª edição do TPS ao plugar um transmissor Bluetooth na saída de fone de ouvido da urna com o objetivo de repassar o voto do eleitor ditado pelo recurso de assistência por áudio a um mecanismo externo. Além de as instruções por voz só serem habilitadas para eleitores com deficiência visual, o conector e o fio inseridos pelos investigadores são facilmente identificados, porque a parte traseira da urna fica exposta a todas as pessoas que adentrarem a seção eleitoral.
A verificação periódica do ambiente e a mensagem que informa a ativação do recurso, instalada após o Teste de 2016 permitem que eleitores e mesários detectem qualquer movimentação estranha caso a ativação do recurso não tenha sido solicitada.
Saiba mais sobre todas as edições do TPS.
BA/LC, DM