Em 29 de novembro, dia do segundo turno das eleições municipais brasileiras, usuários voltaram a questionar a confiabilidade das urnas eletrônicas e do sistema de votação do Tribunal Superior Eleitoral (TSE), um dia após a prisão pela Polícia Federal em Portugal de um jovem suspeito de vazar os dados administrativos da corte em 15 de novembro.
“Um rapaz de 19 anos, repito, 19 anos, morando em Portugal, em prisão domiciliar, usando um celular, repito,um celular, atacou o seguro, protegido e nunca invadido sistema de votos do TSE. Um sistema sem auditoria do voto impresso não tem segurança”, indicou um usuário no Twitter durante o segundo turno das eleições em 57 cidades brasileiras.
“Se um hacker português consegue entrar nos servidores do TSE com Um celular...... imaginem a fragilidade…”, afirmou outro, no Facebook, após a repercussão das notícias de que o rapaz teria agido apenas com um celular.
Mas os dados vazados em 15 de novembro eram da área de Recursos Humanos e os hackers não chegaram a invadir o sistema de apuração dos votos ou as urnas eletrônicas, segundo a Justiça Eleitoral, a Polícia Federal e quatro especialistas em cibersegurança que analisaram as informações vazadas no dia em que a falha de segurança se tornou pública.
Além disso, a urna não é conectada à internet e o sistema operacional nela instalado impede a conexão com qualquer rede ou acesso remoto.
Apesar do sistema de votação brasileiro não contar com um comprovante de votação, declarado inconstitucional pelo Supremo Tribunal Federal (STF) por riscos de fraude e quebra de sigilo, isso não significa que ele não seja seguro.
Como foi a ação do hacker?
No dia 15 de novembro, o TSE foi alvo de uma tentativa de ataque hacker e dados administrativos do tribunal foram divulgados nas redes sociais.
No dia seguinte, o presidente do tribunal, ministro Luís Roberto Barroso, afirmou que o ataque não afetou as urnas eletrônicas nem o resultado das eleições. No entanto, a ação resultou na lentidão nos serviços remotos do tribunal em todo o Brasil devido a solicitações oriundas de 435 mil conexões — que além do território nacional, partiram de países como Estados Unidos e Nova Zelândia.
Em uma entrevista feita com o hacker entre os dias 17 e 18 de novembro pelo jornal O Estado de S. Paulo, o rapaz indicou que o ataque foi do tipo DDoS (“Distributed Denial-of-Service attack”) e realizado por meio de um “botnet” - controle de uma rede de dispositivos por meio da internet -, gerando instabilidade no site.
O ataque DDoS, também conhecido como ataque de negação de serviço, atinge o seu objetivo quando excede os limites do servidor. Para isso, os hackers criam programas maliciosos que são instalados em diversas máquinas, que realizam múltiplos acessos simultâneos ao site ao qual o ataque é direcionado. A mesma estratégia foi utilizada em junho de 2011 nos ataques aos sites da Receita Federal, da Presidência da República, do Portal Brasil e da Petrobras.
A equipe de checagem do Comprova - projeto do qual o AFP Checamos faz parte - entrou em contato com o professor do Departamento de Computação da Universidade Federal do Ceará (UFC) Emanuel Bezerra, que afirmou que esse tipo de ataque só é possível a partir de uma rede articulada de computadores. Isso vai na direção contrária da declaração do hacker, que disse ter agido sozinho e somente com um celular.
Sobre isso, Bezerra explicou:
“É muito difícil só uma pessoa com o celular conseguir derrubar uma rede. Geralmente são muitas máquinas infectadas trabalhando ao mesmo tempo, e elas não precisam ser do hacker. O que os hackers fazem é contaminar as máquinas (computadores e celulares) de outras pessoas ao redor do mundo, que ficam como se fossem ‘zumbis’ no momento do ataque e iniciam os disparos em massa na rede que o hacker quer derrubar. Essa contaminação de máquinas pode ser causada por sites ou links maliciosos e resultam no que a gente chama de botnet (rede de robôs), que obedecem as ordens do atacante”.
Quem é o hacker?
O hacker português identificado como Zambrius, líder do grupo CyberTeam, suspeito de ter atacado os dados da Justiça Eleitoral brasileira, foi preso no último dia 28 de novembro pela Polícia Federal em Portugal.
Zambrius afirmou ter agido por “diversão” e por ser contra os governos e acrescentou que sua intenção era demonstrar que o TSE continuava vulnerável mesmo depois de ter anunciado um reforço em sua segurança.
O hacker de 19 anos disse ser “viciado” em programação de computador e estava detido em casa desde março, com uma tornozeleira eletrônica, após realizar um ataque aos sistemas de uma empresa de energia elétrica local.
Sobre o fato do ataque ter feito com que os apoiadores do presidente Jair Bolsonaro, que já questionou a confiabilidade das urnas eletrônicas (1, 2), acusassem uma fraude no sistema eleitoral do Brasil, o hacker disse que a intenção do grupo não é impulsionar o que chamou de “desinformação de fraudes”, e que a invasão não afeta ou causa fraudes nas eleições.
“Eu não tenho envolvimento em atos políticos, tenho apenas protestos antigoverno, nunca apoiei partidos, governos ou o quer que seja relacionado ao governo”, afirmou.
Em 15 de novembro, a equipe de checagem do Projeto Comprova entrou em contato com a página do CyberTeam e a pessoa que respondeu às mensagens e trocas de e-mails se apresentou como Zambrius e disse ser o jovem que já havia sido preso em abril deste ano em Portugal.
Ainda indicou que o ataque ocorreu no próprio dia do primeiro turno e quando questionado sobre a avaliação de especialistas, segundo a qual o vazamento não teve ligação com dados da eleição, Zambrius indicou: “Eu não explorei por completo o TSE e só me foquei em reunir os dados de utilizador”.
Sistema de votos não foi invadido
Ainda em 15 de novembro, o TSE assinalou que o vazamento envolvia apenas dados administrativos do tribunal referentes ao período de 2001 a 2010.
A falha, por sua vez, não comprometeu, segundo a instituição, o sistema de votação, que funciona à parte e possui uma série de travas de segurança que usam chaves e criptografia. O ataque também não poderia afetar as urnas eletrônicas, pois naquele momento as máquinas estavam recebendo os votos dos eleitores e não são conectadas à internet.
Segundo a avaliação dos dados vazados por quatro especialistas em cibersegurança, consultados pelo Comprova em 15 de novembro, o sistema de votos não foi afetado e o ataque não violou a segurança da eleição.
“São dados pessoais de saúde, de idade das pessoas. Pelas características dos dados, fica claro que não tem nada a ver com o sistema de votação eletrônico, que é totalmente diferente. É como se aqui na Unicamp você conseguisse acesso aos dados de recursos humanos. Mas a nossa base de dados de pesquisa está salva em outro lugar”, afirmou o professor Paulo Lício de Geus, representante da Sociedade Brasileira de Computação nos testes públicos de segurança do TSE, no dia em que os dados foram publicados.
De acordo com as informações iniciais fornecidas pelo ministro Luís Roberto Barroso em 15 de novembro, o vazamento de dados havia partido de Portugal. O ministro da Justiça, André Mendonça, afirmou no mesmo dia que a Polícia Federal estava investigando o caso e não havia encontrado “qualquer indicativo de prejuízo ao pleito eleitoral”.
Posteriormente, o TSE instituiu uma Comissão de Segurança Cibernética para trocar informações com a PF e acompanhar a apuração do caso.
As urnas eletrônicas contam com comandos que garantem que apenas softwares assinados digitalmente pelo TSE sejam executados, além de barreiras de segurança. O tribunal também realiza auditorias para testar a segurança e a lisura da votação, que conta com a participação de fiscais dos partidos, representantes da sociedade civil e de qualquer cidadão interessado em acompanhá-las.
Em resumo, é falso que um hacker tenha invadido o sistema de votos do TSE no primeiro turno das eleições municipais, em 15 de novembro. Embora dados da corte tenham sido vazados, estes eram da área de Recursos Humanos. Em entrevista ao Estadão, por sua vez, o hacker declarou que a invasão não afetou nem causou fraudes nas eleições.
Esse texto faz parte do Projeto Comprova. Participaram jornalistas do Jornal do Commercio e O Povo. O material foi adaptado pelo AFP Checamos.