Se você tem alguma dúvida sobre segurança da informação (antivírus, invasões, cibercrime, roubo de dados etc.) vá até o fim da reportagem e utilize o espaço de comentários. A coluna responde perguntas deixadas por leitores todas as quintas-feiras.

Uma análise de segurança realizada na urna eletrônica identificou três novos problemas em potencial na urna, um deles idêntico a outra vulnerabilidade encontrada na urna em 2012, além de um sistema de geração de mídias que possui conexão com a internet. As brechas foram divulgadas na semana passada em um seminário na Universidade Federal da Bahia, mas o Tribunal Superior Eleitoral (TSE) já havia sido comunicado formalmente pelo PDT, partido que encomendou a análise, em uma petição no início do mês.

O blog Segurança Digital procurou o TSE para comentar as questões levantadas. Em nota enviada nesta sexta-feira (26), o tribunal disse que a petição foi arquivada. Segundo decisão do juiz Carlos Vieira Von Adamek, a advogada (peticionária) que fez o documento não apresentou procuração mostrando que era, legalmente, representante do PDT. "Além disso, as informações prestadas pela área de Tecnologia da Informação o TSE demonstraram, à saciedade, a absoluta inverossimilhança das apontadas falhas, respondendo, com segurança, a todos os questionamentos deduzidos pela peticionária; constatada, assim, a total inconsistência das referidas 'vulnerabilidades', impõe-se o pronto arquivamento deste pedido", diz a decisão. Veja a íntegra ao final desta coluna.

Na cerimônia que lacrou o software da urna eletrônica no dia 4 de setembro, o ministro do TSE Dias Toffoli declarou que a ausência dos partidos para fiscalizar a cerimônia – apenas o PDT e o PCdoB estavam presentes – era um atestado da segurança da urna. "A grande prova da garantia da urna eletrônica se mostra pela quantidade de partidos políticos aqui presentes. A confiabilidade do sistema é tão grande que não há divergências a esse respeito", disse ele, de acordo com uma reportagem da "Agência Brasil".

Embora todos os partidos políticos, a Ordem dos Advogados do Brasil (OAB) e o Ministério Público tenham autorização da lei para fiscalizar o código fonte da urna, apenas o PDT realizou esta fiscalização neste ano, segundo um artigo do professor Pedro Dourado de Rezende da Universidade de Brasília (UnB) publicado no "Observatório da Imprensa". Foi essa análise que permitiu ao partido encontrar as falhas.

São quatro problemas:

- uma fragilidade na geração de números aleatórios para fins de segurança – idêntica àquela que foi descoberta em 2012 em um teste de segurança promovido pelo TSE;

- um código chamado de "Inserator" que retorna uma chave de segurança embutida no código, o que significa que qualquer pessoa com acesso ao código da urna também tem acesso a essa chave;

- uma segunda chave embutida no código usado para proteger mídias;

- a possibilidade de conexão com a internet em um sistema que gera mídias no TSE. (Entenda as falhas em detalhes abaixo.)

A petição enviada ao TSE foi assinada pela advogada Maria Cortiz. Segundo ela, as brechas encontradas são "indistinguíveis" de códigos que seriam incluídos especificamente para viabilizar fraudes na urna. Ela observa que foram detectados indícios de fraude nas eleições de 2010 em Alagoas e também identificou que uma urna usada nas eleições de Londrina em 2012 foi carregada com um software não oficial.

A advogada criticou a Justiça Eleitoral por não mudar o sistema e por deter o controle de todo o sistema eleitoral. "Estamos aqui, com um sistema inauditável sustentado por um poder anômalo, que legisla, administra, operacionaliza e julga suas próprias ações. Esse é o único órgão que é ao mesmo tempo réu e julgador. Desse jeito não há como confiar", declarou.

Um dos itens encampados pelo partido é a impressão do voto, o que permitiria a recontagem. Um sistema com essa capacidade já é usado em diversos outros países, como a Argentina e a Índia. A impressão do voto no Brasil foi criada por uma lei aprovada no Congresso Nacional, mas a medida foi suspensa por uma decisão do Supremo Tribunal Federal (STF). Para a Procuradoria-geral da República (PGR), que pediu ao STF a suspensão da impressão do voto, há dificuldades em conciliar o sigilo do voto e a impressão.

Pelo entendimento da PGR, a urna deveria, de acordo com a lei, imprimir um voto com a "assinatura digital do eleitor", o que o identificaria. No entanto, o eleitor não tem assinatura digital no sistema eleitoral brasileiro.

As falhas identificadas

Falha 1: números aleatórios da ADH. A urna eletrônica só pode ser usada no dia e na hora da eleição. Por conta de eventuais defeitos no relógio interno da urna, é possível usar uma mídia de ajuste de data e hora (ADH). Essa mídia precisa ter segurança para que a urna não tenha seu horário alterado e seja usada fora do horário da eleição. Parte dessa segurança é fornecida por um gerador de números aleatórios, mas computadores não podem "gerar" números do nada. Softwares precisam de uma informação para usar de base para o gerador de números. Essa informação é chamada de "semente". A semente usada pelo gerador do TSE é a hora, que é considerada fraca, podendo viabilizar a criação de uma mídia ADH falsa por meio da "adivinhação" dos números aleatórios gerados. O código em questão faz parte do GEDAI, um software do ecossistema da urna



Como pode ser usada em uma fraude: uma mídia ADH pode ser usada para ligar a urna a qualquer hora, "convencendo" a urna de que a eleição é "agora", e gravar nela os votos desejados. A mídia de armazenamento da urna – onde os votos são guardados – é substituída por outra, vazia. Ao final da eleição é usada a mídia anterior, na qual os votos foram registrados conforme desejado. Essa fraude hipotética requer, no mínimo, acesso à urna antes da eleição e rompimento do lacre da mídia de armazenamento.

Brecha em 2012: exatamente a mesma "semente" era usada pelo programa da urna para embaralhar os votos cadastrados no arquivo de Registro Digital do Voto (RDV). O RDV é um arquivo público, cedido a todos os partidos depois da eleição. Uma equipe da Universidade de Brasília, liderada pelo professor Diego Aranha, mostrou que era possível desembaralhar o RDV, restaurando a ordem em que eles foram inseridos. Assim, bastaria ficar de olho em uma seção eleitoral e ver quem votou primeiro para, mais tarde, saber em quem aquela pessoa votou, comprometendo o sigilo do voto. A falha foi identificada em um teste promovido pelo próprio TSE em 2012. Se a urna eletrônica fosse de papel, o equivalente seria ter todas as cédulas em uma pilha na exata ordem em que os votos foram feitos.

Falhas 2 e 3: programa Inserator e chave embutida. Um código usado por um componente da urna retorna uma chave de segurança embutida nele próprio. Isso significa que qualquer pessoa que tem acesso a esse código, como funcionários do TSE, também tem acesso à chave. O programa que retorna essa chave é chamado de "Inserator". Outra falha semelhante foi encontrada em um código que faz inicialização de mídias usadas em urnas dos modelos 2009 e mais recentes. Segundo o TSE, o "inserator" não é mais usado na urna desde 2004, mas o código ainda existe.

Como pode ser usado em uma fraude: qualquer pessoa que tem acesso ao código fonte poderia usar essa chave para obter as permissões que são concedidas por ela. Não há informações precisas sobre o que poderia ser feito na prática com essas chaves no cenário atual, mas há a possibilidade de uso de mídias não autorizadas na urna. O ideal é que o código seja separado das chaves de segurança.



Falha 4: Conexão com a internet. Segundo o levantamento, um sistema de geração de mídias no TSE pode estar conectado à internet e não há um mecanismo de proteção para garantir o isolamento dele da rede mundial.

Como pode ser usado em uma fraude: se o computador que gera as mídias de segurança no TSE estiver comprometido, podem ser extraviados dados que permitem a geração de outras mídias com conteúdo ou software não oficial.

Decisão do TSE



"TRIBUNAL SUPERIOR ELEITORAL

PROTOCOLO N° 23.891/2014

Cuida-se de ofício em que a advogada Maria Aparecida Rocha Ortiz, credenciada pelo Partido Democrático Trabalhista (PDT), para participar da cerimônia de homologação e lacração dos programas a serem utilizados nas eleições deste ano, vem apontar vulnerabilidades do sistema, referentes ao gerador de mídias de ajuste de data e hora; ao drive de partições minix no kernel Linux das urnas eletrônicas, que torna inócuos os mecanismos de controle e proteção a esses novos modelos; à classe MiniCA.cpp, cuja única funcionalidade e retornar uma chave criptográfica simétrica ofuscada, a qual porém é fixa e embutida, o que anula o efeito pretendido com o ofuscamento; à conexão internet, pois o computador que gera mídias para as eleições pode estar conectado à internet, por meio de uma conexão não bloqueada, o que a torna exposta a riscos externos. Postulou, pois, que, em face dessas apontadas vulnerabilidades, fossem tomadas as medidas cabíveis.

Instruiu-se este expediente com os esclarecimentos pertinentes, prestados pela Secretaria de Tecnologia da Informação desta Corte e com outros documentos, referentes à convocação de partidos políticos para a referida cerimônia.



É o relatório.



A presente petição é absolutamente desarrazoada e, ademais, subscrita por quem não detém poderes para tanto, fatos a acarretar seu imediato arquivamento.



De fato, a peticionária foi indicada pelo PDT como sua representante para tomar parte na aludida cerimônia, sem que isso lhe conferisse legitimidade para deduzir pretensões, em nome do partido, junto a este Tribunal, sem apresentação de procuração outorgando-lhe poderes para assim agir, posto aqui não figurar, legalmente, como sua representante ou delegada.



Além disso, as informações prestadas pela área de Tecnologia da Informação do TSE demonstraram, à saciedade, a absoluta inverossimilhança das apontadas falhas, respondendo, com segurança, a todos os questionamentos deduzidos pela peticionária; constatada, assim, a total inconsistência das referidas "vulnerabilidades", impõe-se o pronto arquivamento deste pedido.



Ante o exposto, nada há a prover com relação ao conteúdo deste expediente.



Publique-se e, oportunamente, arquive-se.



Brasília, 23 de setembro de 2014.



Juiz CARLOS VIEIRA VON ADAMEK

Secretário-Geral da Presidência"





Siga a coluna no Twitter em @g1seguranca.