O Tribunal Superior Eleitoral (TSE) finalizou, nesta sexta-feira (13), o Teste de Confirmação da sexta edição do Teste Público de Segurança do Sistema Eletrônico de Votação (TPS). É um dos procedimentos de auditoria pública, aberta e transparente, que a Justiça Eleitoral (JE) realiza em 2022. O objetivo dessa etapa é verificar se foram realizados os aprimoramentos necessários para reforçar a segurança dos sistemas a partir dos achados apontados pelos investigadores durante a fase anterior do TPS, realizada de 21 a 27 de novembro de 2021.
Os investigadores responsáveis pelos cinco planos de ataque considerados bem-sucedidos no último TPS 2021, retornaram ao Tribunal para repetir, em uma versão ajustada do sistema, os testes que identificaram vulnerabilidades em novembro do ano passado. O Teste de Confirmação, que começou na última quarta-feira (11), está previsto no artigo 37 do Edital do TPS.
Ao final do teste, sem contestação à excelência técnica das equipes, nenhum dos grupos obteve sucesso que comprometesse a violação da integridade ou o sigilo dos votos em uma eleição, principal objetivo do TPS. A partir de agora, o TSE trabalhará para implementar as soluções a tempo das Eleições 2022, e discutirá internamente outros aprimoramentos que poderão contribuir para a segurança das eleições.
A atual edição contou com a participação de 26 investigadores, entre eles duas mulheres. Reunir especialistas em Tecnologia e Segurança da Informação para executar planos de ataque aos softwares e hardwares da urna é o reconhecimento público da importância da participação popular no processo eleitoral do país.
Evento permanente do calendário de preparação de cada eleição e um dos principais marcos do processo de desenvolvimento dos sistemas eleitorais, o Teste ocorre, preferencialmente, no ano que antecede o pleito, na sede do TSE, em Brasília. Ao longo dos anos, os sistemas são aprimorados, dando ainda mais segurança e robustez ao processo eleitoral brasileiro. Essa edição do TPS foi a maior já realizada, com número recorde de inscritos e mais tempo para execução dos planos para verificação dos códigos-fonte da urna eletrônica.
Planos e soluções
Confira abaixo um resumo dos cinco planos que integraram o Teste de Confirmação, assim como a solução proposta pela Comissão Avaliadora do TSE:
- Verificação do Comportamento do Parâmetro Urna: Mcriptografar
Investigador individual: André Luiz de Matos (Lagoa Santa-MG)
Plano: o primeiro achado se refere à possibilidade de gerar Boletim de Urna (BU) não criptografado. Isso não traz consequência para a eleição, uma vez que o BU é disponibilizado às 17h, ou seja, ao fim da votação.
Por padrão, todos os BUs são gerados de forma criptografada. No entanto, há um parâmetro na urna que permite a geração de BU sem criptografia exclusivamente para eleições comunitárias. Dessa forma, as entidades que solicitarem o empréstimo das urnas podem conduzir a própria totalização da eleição. Foi nesse ponto que o grupo concentrou o ataque.
Solução: o sistema foi ajustado para não receber BU não cifrado. Assim, quando um boletim chega, o sistema verifica se ele está cifrado. Se estiver, continua o processamento normal. Se não, o sistema o rejeita automaticamente.
- Keylogger Não Intrusivo
Equipe: Marcos Roberto dos Santos, Adroaldo Leão Souto Júnior, Gabriel Sordi Damo, Juliano Ribeiro Poli e Vinícius Borges Fortes (Carazinho-RS)
Plano: trata da possibilidade de substituir o teclado da urna por um novo. Essa estratégia consistiu em colocar um invólucro (confeccionado por impressora 3D) sobre o teclado da urna. Mediante sensores, esse equipamento captaria a digitação do voto e encaminharia as informações, por meio de uma rede wi-fi, para um banco de dados em tempo real.
Solução: possibilidade de diminuir o tamanho da cabina de votação e inclusão de procedimentos de inspeção do ambiente da urna pelo mesário periodicamente.
- Extração de Dados e Configurações do Kit JE Connect
Equipe: Herrmann Wanner, Ivo de Carvalho Peixinho e Galileo Batista de Sousa (Brasília-DF)
Plano: está relacionado ao JE Connect (JEC), sistema de transmissão de dados que não está ligado diretamente à urna eletrônica. A equipe, usando tecnologia reversa, burlou alguns controles do aplicativo. Mas isso não resultou em quebra de sigilo ou alteração de destinação do voto.
Soluções: sobre os achados relacionados à obtenção do acesso às partições criptografadas e certificados digitais, serão retiradas as mensagens que indicam o andamento da inicialização do sistema. Importante ressaltar que as camadas de segurança se sobrepõem de forma a evitar que qualquer atacante, mesmo contaminando um Kit JEC, tenha acesso à rede da Justiça Eleitoral sem ser detectado e bloqueado de forma automatizada.
- Segurança do JE-Connect e do Firefox
Investigador individual: Felipe de Lima e Lima (Rio de Janeiro-RJ)
Plano: também relacionado ao JE Connect, especificamente sobre o uso de teclas de atalho na interface do JEC e a conexão à rede da Justiça Eleitoral.
Soluções: serão feitos mapeamentos de teclas e bloqueio de toda a interface, de forma a não aceitar combinação de teclas não padronizadas, e atualização da versão do navegador utilizado pelo JEC. Também serão retiradas as mensagens que indicam o andamento da inicialização do sistema, de forma a impedir acesso a partições criptografadas e certificados digitais.
Para as ações relacionadas à conexão à rede da Justiça Eleitoral, propõe-se a criação de dois perímetros de segurança fora do JEC (realizado pela infraestrutura do Tribunal) para detectar a tentativa de conexão de um JEC adulterado.
- Violar o Sigilo do Voto
Equipe: Ian Martinez Zimmermann e Carlos Alberto da Silva (Campo Grande-MS)
Plano: esse achado está ligado à saída do fone de ouvido da urna, que fica na parte traseira do equipamento. Um investigador conectou um transmissor Bluetooth que transmitia o áudio com o voto do eleitor a um mecanismo externo. O áudio, no entanto, é habilitado somente para eleitores com deficiência visual. Ainda assim, esse ataque é de fácil identificação, uma vez que a parte de trás da urna fica visível a todos.
Solução: inclusão de procedimentos de inspeção periódica do ambiente da urna pelo mesário. Destacam-se, ainda, dois pontos: ataque semelhante já foi feito em outra edição do TPS e o conector e o fio ficam à mostra na face traseira da urna. Ressalta-se, por fim, que hoje já é apresentada mensagem na tela da urna informando para o eleitor que o áudio está ativado, o que permite ao eleitor verificar se há algo estranho caso não tenha solicitado a ativação desse recurso.
Relatório da Comissão Avaliadora
No fim do mês, a Comissão Avaliadora, que acompanha o trabalho do TPS, vai entregar um relatório sobre a etapa do Teste de Confirmação, realizada durante três dias.
O colegiado é composto por 11 membros: Sandro Nunes Vieira, juiz auxiliar da Presidência (TSE); Patricia Sumie Hayakawa (MPF); Robson Paniago de Miranda (Congresso Nacional); Rodrigo Lemgruber (OAB); perito criminal Thiago de Sá Cavalcanti (PF); auditor André Luiz Furtado Pacheco (TCU); Rodrigo de Souza Borges (CONFEA); professor doutor Rafael Timóteo de Sousa Júnior (SBC); professor doutor Mamede Lima-Marques (Comunidade Acadêmica); doutor Osvaldo Catsumi Imamura (Comunidade Acadêmica); e professor doutor Jamil Salem Barbar (Comunidade Acadêmica).
(TSE)
Foto: Divulgação/TSE