Os testes de segurança no sistema eletrônico de votação, realizados de terça-feira até hoje (13), no auditório do Tribunal Superior Eleitoral (TSE), representaram uma diversidade de tentativas de colocar à prova a urna eletrônica e os componentes de votação das eleições de 2010.

"Entendemos que os testes foram muito produtivos, considerando o alto nível dos investigadores [participantes], das comissões Disciplinadora e Avaliadora, dos observadores e, sobretudo, a diversificação dos próprios testes, que abordaram desde a análise dos procedimentos preparatórios da votação até a tentativa de quebrar assinaturas digitais e criptografias", disse o secretário de Tecnologia da Informação, Giuseppe Janino.

Os 37 especialistas em informática e eletrônica que participaram da iniciativa executaram suas atividades com o objetivo de atacar o sistema e tentar encontrar algum tipo de vulnerabilidade. Nenhum dos testes obteve sucesso. Contudo os procedimentos poderão resultar no aperfeiçoamento do sistema de votação. Isso porque, além de comprovar a inviolabilidade das urnas e componentes, as equipes trouxeram contribuições de melhorias no aspecto tecnológico.

Lacre de segurança

A equipe da Cáritas Informática trabalhou durante os quatro dias na tentativa de violar lacres físicos da urna e do cartão de memória flash (que transporta dados para inserção na urna), barreira que precisaria ser vencida para que fosse buscado outro objetivo desse teste: alterar softwares instalados sem deixar vestígios. Assim como em frascos de remédios ou embalagens de alimentos, a violação do lacre físico é requisito para a adulteração do conteúdo.

Na atuação da Cáritas, desde o primeiro dia, foram utilizadas ferramentas como álcool puro (com menor quantidade de água), bisturi cirúrgico, pistola de ar quente e termômetro infra-vermelho para remover o dispositivo sem pistas.

Os técnicos concluíram que o adesivo é altamente sensível à tentativa de remoção, pois qualquer ação já deixa marca de violação. Foi sugerido colocar uma espécie de cortes no adesivo, o que vai tornar ainda mais sensível a qualquer tentativa de removê-lo.

Eles também tiveram a oportunidade de tentar acesso aos programas de dados na fase anterior à lacração das urnas, mas também não tiveram sucesso nessa parte.

A empresa fez diversas tentativas de iniciar o sistema com alterações nos arquivos, mas todas as alterações foram captadas pelas barreiras de segurança, que em todas as ocasiões bloqueou a tentativa, apresentando, inclusive, mensagens que apontavam as mudanças realizadas.

A equipe apenas conseguiu abrir o lacre do envelope, em fase de testes para as eleições de 2010, que serve para transportar as mídias de votação. A partir da abertura do dispositivo, os técnicos substituíram a mídia e fecharam novamente, com um lacre obtido de outro envelope novo. No ambiente real, porém, esse resultado não seria factível, porque os envelopes estão sob fiscalização permanente.

Apesar de a quebra do lacre não ser factível, a contribuição servirá para que o TSE analise formas de aperfeiçoamento do mecanismo, inclusive sugestão da própria Cáritas para adoção de lacres com número de série.

Ondas eletromagnéticas

Outro teste feito no primeiro dia de execução dos planos buscou quebrar o sigilo do voto por meio da captação da radiação eletromagnética emitida pelo teclado da urna enquanto o eleitor digita o número do candidato. O teste não obteve sucesso. O aparelho de rádio utilizado pelo especialista em tecnologia da informação Sérgio Freitas somente conseguiu captar essa radiação a uma distância de cinco centímetros da urna eletrônica, o que na prática torna inviável, porque a urna instalada na seção eleitoral fica necessariamente isolada e sob vigilância.

Cartão de memória flash

Dois testes tentaram atacar o cartão de memória flash da urna. Diferentes tentativas foram feitas pelos técnicos do Superior Tribunal de Justiça (STJ) e pela equipe de especialistas da Marinha do Brasil. No caso do grupo do STJ, o objetivo era relacionar o eleitor com o voto. Já a Marinha pretendia inserir um “software malicioso” nesse cartão de memória. Ambos concluíram que as barreiras existentes são suficientes para impedir o ataque.

Marinha do Brasil

Os cinco investigadores que representaram a Marinha do Brasil utilizaram dois dias para tentar interferir no gerador de mídias e nos softwares de votação usados nas seções eleitorais. A intenção era modificar essas mídias para, com isso, introduzir arquivos maliciosos na urna eletrônica.

Eles chegaram a introduzir um arquivo na mídia, mas o procedimento foi rejeitado pelo sistema da urna. Duas alterações tentadas pelos investigadores em arquivos do sistema foram imediatamente detectadas pelos módulos de segurança instalados. Primeiro os investigadores tentaram alterar um arquivo. Depois tentaram gerar a mídia sem o uso do gerador de mídias, e por fim, tentaram iniciar o sistema por meio de outro programa. Mas todas tentativas foram frustradas pelas barreiras de segurança do sistema, principalmente pelas assinaturas digitais e pelo uso de mecanismos de criptografia.

CGU

A Controladoria Geral da União (CGU) apresentou um plano de testes que buscava, principalmente, analisar os procedimentos que envolvem a preparação das eleições e a votação propriamente dita. O trabalho dos seis investigadores se baseou nas resoluções editadas pelo TSE para normatizar o processo de votação eletrônica e seus antecedentes.

Foram analisados os procedimentos para guarda e proteção das chaves públicas utilizadas pelo sistema de criptografia, a representatividade da conferência por amostragem das urnas eletrônicas, a padronização de procedimentos nos TREs na preparação do processo eleitoral, a representatividade estatística da amostragem da votação paralela e a cerimônia de assinatura digital e lacração das urnas.

Quanto à guarda das chaves públicas, a CGU sugeriu que o TSE formalize os procedimentos a serem adotados, nas resoluções que tratam do tema, especificando as características mínimas de segurança, seguindo os padrões definidos pela ICP-Brasil, a chamada Infra-Estrutura de Chaves Públicas Brasileiras.

Quanto à conferência das urnas eletrônicas, a CGU considerou que as amostragens atualmente usadas são adequadas para os fins a que se destinam.

Para a CGU, o TSE deve padronizar os procedimentos adotados pelos tribunais regionais na preparação da votação para aumentar a transparência e reduzir eventuais variações no processo, "sem no entanto prejudicar a flexibilidade necessárias aos TREs para adaptarem-se às suas realidades locais".

Ao analisar a amostragem usada pelo TSE na votação paralela, a CGU apresentou algumas sugestões de mudanças, visando reduzir ainda mais o percentual de erro apurado pelo atual sistema. Na votação paralela, que ocorre no dia da eleição, urnas são sorteadas e retiradas das seções eleitorais onde seriam utilizadas para serem "testadas" em outro local, diante do Ministério Público e pela sociedade organizada.

Associação Internacional

Outra tentativa de violação da urna foi feita por Nelson Murilo Ruffino, especialista em tecnologia da informação que representou a ISSA (Information Systems Security Association) Capítulo Brasil, um órgão internacional da área de segurança da informação. O objetivo de Ruffino era tentar mostrar que um eleitor poderia votar em duas seções eleitorais em um mesmo pleito.

Segundo ele, esse teste não obteve sucesso, pois não conseguiu fazer com que a informação colocada dentro de determinado arquivo fosse propagada. “Esse ponto em particular é bem difícil de ser feito. Não consegui verificar nenhuma forma de fazer com que isso funcionasse na prática”, afirmou.

Fonte: TSE