Faltam dois dias para a 7ª edição do Teste Público de Segurança (TPS) da Urna. A partir de segunda-feira (27), 36 investigadoras e investigadores de fora da Justiça Eleitoral estarão no edifício-sede do Tribunal Superior Eleitoral (TSE) para avaliar a segurança dos equipamentos que coletam os votos do eleitorado.

Veja reportagem no canal do TSE no YouTube.

Ao longo da próxima semana, os participantes colocarão em prática 31 planos de teste, que, ao final do evento, auxiliarão a equipe da Secretaria de Tecnologia da Informação do TSE (STI/TSE) a modernizar ainda mais as urnas eletrônicas. Serão submetidas ao Teste os equipamentos mais recentes, dos modelos 2022 e 2020, e os sistemas eleitorais envolvidos nos processos de geração de mídias, votação, apuração, transmissão e recebimento de arquivos.

Os sistemas eleitorais que serão objetos do TPS são aqueles utilizados para a geração de mídias, votação, apuração, transmissão e o recebimento de arquivos, lacrados em cerimônia pública, incluindo o hardware da urna eletrônica, seus softwares embarcados e os sistemas de apoio aos processos de auditoria sobre software da urna.

#Esquenta Teste da Urna

Todos os eventos realizados desde 2009 – ano de estreia do TPS – até o momento trouxeram significativas contribuições para o sistema eleitoral brasileiro. Para relembrar os principais acontecimentos, o Portal do TSE publica a websérie #Esquenta Teste da Urna, que reunirá um total de seis reportagens ilustrativas que narram os destaques do TPS. Os conteúdos serão divulgados sempre aos sábados, até 25 de novembro, antevéspera do evento de 2023.

6ª edição – 2021

O último Teste da Urna aconteceu entre os dias 22 e 27 de novembro de 2021. Naquela semana, 26 investigadoras e investigadores executaram 29 planos de testes durante 40 horas de atividades. A urna eletrônica de 2015, já submetida a outras edições do evento, foi o modelo testado pelos participantes.

O teste de 2021 foi marcado por algumas novidades, como:

• ampliação do escopo dos sistemas eleitorais avaliados, com a inclusão dos sistemas de apoio à auditoria de funcionamento das urnas eletrônicas;
• aumento da quantidade de inscrições (individuais e em grupo) admitidas, de 10 para 15;
• possibilidade de extensão da execução dos testes por mais um dia em caso de necessidade.

O prazo adicional, inclusive, foi solicitado pelo grupo composto por peritos pertencentes ao quadro da Polícia Federal (PF), que deu continuidade aos testes no sábado, dia 27 de novembro de 2021.

Ofensivas e aprimoramentos

Cinco investidas contra as urnas eletrônicas se destacaram na edição de 2021. Um participante individual focou na possibilidade de geração de um Boletim de Urna (BU) não criptografado em uma situação bastante peculiar, restrita aos pleitos comunitários, que ocorrem quando a Justiça Eleitoral empresta os equipamentos para a realização de outras votações, geralmente menores, que não envolvem candidaturas aos cargos dos Poderes Executivo e Legislativo.

Apesar de não gerar consequências para os pleitos ordinários – como as Eleições Municipais de 2024 ou as Eleições Gerais de 2022, por exemplo –, o sistema foi ajustado para não aceitar o recebimento de BUs que não estejam cifrados. Dessa forma, quando o arquivo chega, é realizada uma verificação prévia, e o processamento só tem continuidade se tudo estiver criptografado. Se isso não ocorrer, o boletim é instantaneamente rejeitado.

Um invólucro posicionado em cima do teclado da urna foi uma tática adotada por um dos grupos inscritos. A intenção era captar os números digitados na urna eletrônica e encaminhar as informações coletadas para um banco de dados em tempo real. Apesar de ambicioso, o plano de teste não quebrou o sigilo do voto, porque, para dar certo, seria necessário mapear a ordem de comparecimento dos eleitores. Para inviabilizar estratégias similares, as mesárias e os mesários passaram a realizar inspeções periódicas na cabina de votação.

JE Connect foi alvo de diversas investidas

O JE Connect, sistema de transmissão de dados que não está diretamente ligado à urna eletrônica, foi o alvo escolhido por diversos participantes do Teste da Urna de 2021. Ao utilizar a técnica de engenharia reversa, peritos da Polícia Federal conseguiram burlar alguns controles do aplicativo que não resultaram na quebra do sigilo nem na mudança na destinação dos votos. A descoberta, contudo, gerou uma importante melhoria incorporada ao sistema antes das Eleições Gerais de 2022.

Como forma de impedir a repetição do ataque, o TSE retirou as mensagens que indicavam o andamento da inicialização para bloquear o acesso a partições cifradas e certificados digitais, o que, na prática, significa a adição de mais uma camada de segurança às existentes. Juntas, elas se sobrepõem e evitam qualquer possibilidade de invasão à rede da Justiça Eleitoral.

A mesma aplicação foi o alvo de mais um teste, que focou nas teclas de atalho na interface e na conexão à rede da JE por meio do navegador Firefox. O avanço foi barrado pelo TSE mediante o mapeamento de teclas e o bloqueio de toda a interface, que passou a não aceitar a combinação de botões não padronizados.

Além da retirada das mensagens sobre a inicialização, medida tomada após o êxito parcial do plano da PF, também foi realizada a atualização do navegador utilizado pelo JE Connect. As ações de combate ao ataque ainda envolveram a criação de dois perímetros de segurança externos para detectar a tentativa de conexão de um aplicativo adulterado.

BA/LC, DM

Leia mais:

18.11.2023 - #Esquenta Teste da Urna: uso de processador de segurança foi evolução promovida após a edição de 2019

11.11.2023 - #Esquenta Teste da Urna: edição de 2017 foi marcada por investidas mais aprofundadas dos participantes

04.11.2023 - #Esquenta Teste da Urna: edição de 2016 contribuiu para fortalecer código verificador do Boletim de Urna (BU)

28.10.2023 - #Esquenta Teste da Urna: em 2012, plano de ataque contribuiu para tornar a votação ainda mais segura

21.10.2023 - #Esquenta Teste da Urna: websérie relembra edições anteriores do evento