O
TSE acabou de divulgar os resultados do Teste Público de Segurança das
urnas de 2021. Eu só fico pensando onde se meteu aquele bando de
político que passou o ano inteiro fazendo postagem chiliquenta sobre
segurança de urna. O presidente já deu seu jeito, disse que confia nas
Forças Armadas e elas participam do processo. Mas e o resto do pessoal?
Nem justificou nada nem se interessou pelo teste.
Imagem da urna eletrônica| Foto: Antonio Augusto/Ascom/TSE
De
qualquer maneira, ele foi feito e teve recorde de inscrições. Várias
equipes de especialistas tentam burlar a urna eletrônica e realizam
ataques. É bom saber que o TSE não abre o sistema das eleições mesmo
para o pessoal atacar, faz uma espécie de sistema espelho, que não tem
os dados reais dos eleitores brasileiros. O funcionamento é o mesmo, mas
as consequências de uma invasão são diferentes.
Vivemos
uma realidade tão distópica que você ouviu falar de urna eletrônica o
dia todo quando não havia um fato. Era só jornalismo declaratório, briga
entre políticos, salseiro de rede social e gente com tempo livre demais
e acesso ao Facebook. Agora que tinha fato mesmo, esse povo todo sumiu
do mapa e a imprensa também. Quase não se falou do tema. Sem treta, sem
atenção.
Vai ter outro teste em maio.
Provavelmente você verá o mesmo empenho na divulgação. Se não tiver uma
treta gigante, de preferência com gritaria e frases fortes, vai ser
difícil a informação circular.
Se começar de novo a gritaria,
provavelmente agências de checagem transcreverão relatórios da
assessoria de imprensa do TSE.
Qualquer questionamento receberá o
carimbo de FALSO, mesmo que haja falhas. A realidade pouco importa.
Durante
os dias do teste, 26 equipes planejaram e executavam 29 tentativas de
ataques. Dessas, 5 trouxeram resultados relevantes. O TSE garante que
invadir mesmo a urna, mudar resultado de voto ou mexer com o software
principal ninguém conseguiu. Mas foram detectadas outras falhas que
precisam ser corrigidas e serão analisadas por uma equipe técnica. São 5
e eu explico.
1. TECLADO FALSO
Um
teclado produzido por impressora 3D foi acoplado à urna e foi capaz de
coletar todos os votos. É algo que pode violar o sigilo do voto mas não
consegue alterar votos. Para funcionar, a pessoa teria de entrar na
cabine com o teclado falso, deixar ele lá por toda a votação e retirar
no final.
2. CRIPTOGRAFIA DO BOLETIM DE URNA
O
Boletim de Urna, que é um documento público, é transmitido por mensagem
criptografada, como as que a gente manda por WhatsApp. Quem manda vê
tudo na ordem correta e quem recebe também mas, no meio do caminho, a
informação navega embaralhada para que não se veja o conteúdo mesmo se
alguém conseguir interceptar.
No teste, foi possível descriptografar o
Boletim de Urna no meio do caminho, ou seja, interceptar a informação. O
TSE pensa até em tirar a criptografia porque o documento é público e já
tem assinatura digital.
3. TIRAR O SIGILO DE VOTOS PARA CEGOS
Uma
equipe conseguiu colocar um equipamento de bluetooth acoplado à saída
de áudio da urna, utilizada na votação acessível pelas pessoas cegas. O
equipamento transmitia o áudio dos votos a uma fonte externa. Na
prática, seria possível conferir os votos de pessoas cegas à distância.
Ocorre que a parte da urna onde é colocado o equipamento bluetooth não
fica escondida pela cabine, é visível para todos. De qualquer forma,
isso será discutido pela equipe técnica.
4. FALHA NO JE CONNECT
É
uma das soluções utilizadas para transmissão de dados das urnas para os
TREs. O JE Connect deveria vir com bloqueio de algumas teclas de
atalho, só que elas estavam desbloqueadas. Uma equipe conseguiu usar
essas teclas de atalho para, via JE Connect, tentar entrar no sistema da
Justiça Eleitoral. Isso não aconteceu porque seria necessário quebrar
os códigos de usuário e senha do TSE. O Tribunal Superior Eleitoral
considerou a falha grave e já pediu a correção. Não é para os atalhos
funcionarem e deixarem à sorte se alguém consegue ou não hackear senhas.
5. FALHA 2 NO JE CONNECT
Uma
equipe conseguiu abrir os 3 compartimentos criptografados que formam o
sistema de transmissão de dados das urnas ao TSE, o JE Connect. Usaram
uma fórmula diferente da outra equipe para entrar no sistema: em vez de
teclas de atalho, usaram VPN. Acontece que este time não ficou bloqueado
no login e senha da Justiça Eleitoral, conseguiram quebrar também esse
código. O TSE diz que a falha é grave e será corrigida até as eleições
para evitar ataques cibernéticos.
Mudar
o resultado da urna não é possível, ela imprime direto o Boletim de
Urna. No entanto, é possível invadir a rede que envia os dados das urnas
até a Justiça Eleitoral e entrar também no sistema do TSE. Suponhamos
que o pior aconteça. Ainda teremos os Boletins de Urna impressos em cada
seção eleitoral para comparar. É preocupante sim a vulnerabilidade, mas
pelo menos tem alguém de olho. Não é o caso de diversos outros órgãos
públicos e da imprensa.
A Apex-Brasil,
Agência Brasileira de Promoção de Exportações e Investimentos, teve seu
sistema sequestrado por ataque ransomware esta semana. Vivêssemos em um
país com imprensa vigilante e informada, seria um escândalo acompanhado
de perto. É o tipo de crime que está no topo das prioridades de
discussões das grandes potências porque desequilibra as forças
geopolíticas. Estamos falando de algo dessa magnitude.
E
o que isso tem a ver com eleições e nossas urnas? Não damos importância
a segurança digital, algo essencial hoje para manter a soberania de um
país e o poder político e econômico. Recentemente fiz um artigo para o Think Tank Instituto Montese sobre isso. Também fiz artigo aqui na Gazeta do Povo sobre o impacto econômico do ransomware sobre empresas brasileiras listadas na bolsa. A falha identificada possibilitaria uma ação dessas? Provavelmente sim.
Ter
falhas não é problema. O crime digital é aprimorado todos os dias,
descobre brechas que antes eram intransponíveis. Por isso o TSE faz os
testes, para verificar vulnerabilidades e corrigir antes das eleições.
Não existe sistema 100% perfeito, temos de saber. O que interessa é
avaliar se uma eventual vulnerabilidade tem ou não potencial de mudar os
resultados de uma eleição. Pena que os maiores debatedores do tema
fujam dele quando se discute realidade.
Imagine
toda a gritaria em torno das urnas e pense em outra coisa: quantas
vezes você viu esses testes em outros órgãos?
Seus dados na Receita,
INSS, SUS, Poder Judiciário, governos estaduais e prefeituras estão
seguros? Esse pessoal está preocupado com isso? [só que invasões aos sistemas citados não podem alterar o resultado de uma eleição para Presidente da República, senadores e deputados. Já no sistema do TSE pode. E acoplar uma impressora a cada urna não é barato e é uma garantia a mais.]
Vez ou outra ouvimos
falar em concessão de sistemas como o Prodasen para a iniciativa privada
e muita gente aplaude.
Pensamos que privatizar é sinônimo de
eficiência, certo? Depende.
Este ano, 8 das maiores
empresas brasileiras tiveram seus sistemas invadidos por ataques ransomware. Houve quem teve de ficar até sem operar na bolsa e quem
pagou mais de US$ 10 milhões pelo resgate dos dados. Dizem que os dados
são o petróleo do século XXI, por isso segurança digital é levada
muitíssimo a sério no mundo civilizado.
Por aqui, só se fala do tema
quando tem treta e investir em segurança de dados é algo visto como
gasto. Os criminosos digitais já descobriram o valor dos dados. Quando
nós iremos acordar?