A urna brasileira não é conectada à internet e o processo de transmissão dos votos é feito dentro de uma rede privada da Justiça Eleitoral. Como antes de transmitir os dados as urnas imprimem os boletins de urna, o TSE e especialistas ouvidos pela AFP afirmam que, mesmo em uma possível invasão e alteração desses dados, tal manipulação seria detectada ao analisar os comprovantes físicos da votação.
“URGENTE. Hacker VANDATHEGOD afirma que foi fácil invadir o sistema do TSE”, diz uma publicação no Twitter (1, 2) com o vídeo, referindo-se ao nome pelo qual Marcos Roberto Correia é conhecido na internet. O conteúdo também circulou no Facebook e Instagram.
A AFP consultou três especialistas em segurança cibernética e também o Tribunal Superior Eleitoral (TSE) a respeito das alegações feitas no vídeo.
Para os especialistas, os ataques ocorridos durante as eleições municipais em 15 de novembro de 2020 demonstram vulnerabilidades no sistema web utilizado pelo TSE, mas afirmam que isso não seria suficiente para alterar de maneira permanente os resultados eleitorais. Também destacam que a operação não poderia ser feita com a facilidade descrita no vídeo.
A votação poderia ser manipulada via internet?
“A manipulação de votos na rede, na hora da votação, ela é desligada, mas no automático, quando eles vão contar o voto, ela já é sim ligada à internet. E se alguém estiver também nessa rede consegue fazer a invasão e manipular a votação”, afirma o hacker durante a entrevista viralizada.Para Paulo Lício de Geus, representante da Sociedade Brasileira de Computação nos testes públicos de segurança do TSE e professor do Instituto de Computação da Universidade Estadual de Campinas (Unicamp), a alegação é correta em partes.
Ele explicou à AFP que o resultado das urnas é transferido aos servidores dos Tribunais Regionais Eleitorais (TREs) e ao do TSE numa rede fechada (VPN), à qual somente a Justiça Eleitoral tem acesso: “É como se fosse uma Internet própria do TSE, separada da mundial”.
“Porém, se um hacker conseguisse penetrar previamente dentro da rede do TSE, talvez fosse possível agir durante o processo de totalização, embora eu duvide, pois essa rede do TSE fica normalmente desconectada da Internet. Um hacker teria que estar pilotando uma máquina do próprio TSE fisicamente, pois não seria possível fazê-lo durante a totalização por via remota”, adicionou.
O TSE acrescentou em nota à AFP que, “mesmo na improvável hipótese de acesso indevido às redes da Justiça Eleitoral e violação de todas as diversas barreiras de segurança, não seria possível alterar os resultados da eleição impressos pela urna eletrônica [nos boletins de urna]. Esclareça-se, ainda, que os equipamentos nos quais são executadas as totalizações do país existem fisicamente no TSE, com acesso restrito”.
Lucas Lago, mestre em engenharia da computação, pesquisador no CEST-USP e desenvolvedor no Projeto7c0, explicou que boa parte do processo que seria necessário para manipular as urnas eletrônicas provavelmente iria exigir acesso físico aos flash cards que são usados para instalar as urnas ou ao equipamento em si:
“É difícil pensar em todas as possibilidades de ataques, mas boa parte deles exigiria uma pessoa próxima fisicamente às urnas”.
O vazamento das eleições municipais de 2020
Dentre as alegações feitas no vídeo por Marcos Roberto Correia, está a de que foi possível acessar dados de eleitores. “A falha fornece acesso ao banco de dados. O que tiver armazenado no banco de dados vai ser tudo capitulado. (...) Dos eleitores também”, afirmou o hacker, detalhando ter tido acesso a nome, CPF, voto, RG e dados biométricos dos votantes.
O TSE nega essa alegação e afirma que foram vazados somente dados administrativos do próprio tribunal. “Diversamente do afirmado, não houve qualquer vazamento de informações de eleitores, mas apenas de informações administrativas do Tribunal”, disse à AFP.
Ainda segundo especialistas, ainda que o hacker tivesse conseguido acessar tais dados, seria impossível saber em quem um eleitor específico votou.
“Em nenhum momento a urna [eletrônica] salva a relação entre voto e eleitor. Isso nos testes públicos de segurança fica muito bem visto. Mesmo que alguém tivesse acesso a todas as bases de dados. Porque não existe no registro digital do voto a ligação entre o eleitor e o voto", disse Lucas Lago, do CEST-USP.
O TSE informou à AFP que, nas eleições municipais de 2020, ocorreram dois tipos de ataques cibernéticos ao tribunal. “Os incidentes reportados, relativos a ataque ao sistema online do TSE (pela técnica SQL Injection) e tentativa de ataque de negação de serviço DDoS, foram divulgados pelo próprio TSE nas eleições de 2020 e são atualmente objeto de investigação pela Polícia Federal”, disse o Tribunal.
Thiago Ayub, especialista em ataques DDoS e Diretor de Tecnologia da Sage Networks, afirma que o ataque com a primeira técnica mencionada, de SQL Injection, é um tipo de invasão cibernética por meio da qual um hacker se aproveita de campos digitáveis em um site para acessar de forma não autorizada um banco de dados.
Ele explica: “Todos os sites que acessamos, e no qual existe algum campo em que digitamos nosso login e senha ou CPF, armazenam esses dados por trás da interface naquilo que chamamos de banco de dados. Imagine um site que pede o seu CPF. Mas, ao invés de digitar seu CPF, você digita um comando e faz o site te dizer todos os CPFs cadastrados no banco de dados. Ou seja, a partir de um site que te perguntou uma informação, você consegue inverter essa situação e fazer com que esse site te devolva outras informações - informações às quais você não deveria ter acesso”.
Já o ataque do tipo DDoS, ou de negação de serviços, é uma ação que tem como objetivo sobrecarregar um servidor, por meio de várias tentativas de acesso simultâneas. Em 2014, o TSE já havia sofrido ataques desse tipo: o tribunal registrou 200 mil ataques de negação de serviço (DDoS) por segundo durante o fim de semana do primeiro turno das eleições gerais. Em 2020, durante o pleito municipal, o Tribunal identificou 486 mil conexões por segundo para tentar derrubar o sistema de totalização de votos.
De acordo com Ayub, esse é um tipo de ataque comum. “Entes do governo e empresas costumam receber ataques desse tipo por diversos motivos. Não inspira preocupação adicional o TSE sofrer esse tipo de ataque. (...) Agora, um ataque do tipo SQL Injection é algo muito básico. Um programador, mesmo iniciante, deveria colocar esse tipo de proteção. É como se fosse uma imperícia”, disse à AFP.
Mas, ainda que evitáveis, de acordo com os especialistas, nenhum desses ataques poderia ter adulterado o sistema das urnas eletrônicas - ao menos não de uma maneira direta e simples como descrita no vídeo.
“O SQL Injection não poderia diretamente proporcionar adulterações na urna, pois ele ocorre no sistema diretamente injetado, ou seja, o sistema online (o site) do TSE. O DDoS também não poderia diretamente proporcionar essas adulterações, porque ele apenas deixa sistemas alvo do ataque offline, não proporciona qualquer leitura ou adulteração de dados”, afirmou Ayub.
“Agora, indiretamente, o SQL Injection poderia proporcionar a adulteração na urna? Indiretamente e antes do pleito, podemos imaginar cenários muito difíceis e que exigiriam um somatório de fatores, vulnerabilidades e brechas para se chegar à urna. Então sim, seria deveras improvável, mas sim, seria possível. Mas não durante a votação em si”, acrescentou à AFP.
Segurança cibernética e voto impresso
Consultados pela AFP sobre o que significaria a adoção do voto impresso no caso desses ataques descritos no vídeo, especialistas afirmaram que a impressão do voto, a princípio, não tem relação direta com as técnicas de invasão cibernética relatadas por VandaTheGod. Isso porque o próprio hacker admite na filmagem que não teve acesso aos códigos de fonte das urnas eletrônicas e nem ao sistema GEDAI-UE do TSE, responsável por gerar os flashes de carga, de votação e mídias para a urna. “A gente só conseguiu achar mesmo o que estava acessível ao servidor remoto deles”, declarou na entrevista.“Na maior parte daquilo que é descrito pelo hacker, não [o voto impresso não tem relação]. Ele narra ataques a tabelas que não existem, ou alterações em votações que já estão protegidas por comprovantes impressos (os boletins de urna)”, disse Lucas Lago. “O único ataque em que o voto impresso teria algum efeito com relação ao relatado no vídeo é a alteração de código fonte que o hacker comentou que seria capaz com mais tempo. Mas não acredito que esse ataque é tão simples quanto o que o hacker comenta”.
Para Paulo Lício de Geus, a adoção ou não do voto impresso não tem relação com os ataques relatados no vídeo. O voto impresso só teria feito diferença “se o atacante tivesse conseguido apagar os boletins de urna enviados ao servidor de base de dados. Aí a versão em papel do voto serviria para uma apuração à moda antiga, bem demorada”.
Já Thiago Ayub afirma que o voto impresso teria feito diferença, mas só caso o software da urna em si tivesse sido afetado - o que não foi o caso, como explicado anteriormente. “O software da urna poderia ser alterado para que exiba um voto na tela, mas registre em sua memória voto para outro. Nesse caso, o eleitor teria um feedback visual (nome, número e foto do candidato) que não corresponde ao que foi efetivamente armazenado na memória da urna. O boletim de urna nos dá a oportunidade de detectar e corrigir adulterações durante o processo de apuração, mas não nos protege de adulterações feitas na própria urna”, afirmou à AFP.
A discussão em torno da adoção do registro impresso do voto no Brasil tem sido intensificada pelas críticas do presidente Jair Bolsonaro ao sistema atual de votação. Em 9 de julho de 2021, o mandatário chegou a afirmar que a eleição presidencial de 2022 poderá não ocorrer caso não seja aprovada a impressão do voto.
Urnas eletrônicas hackeadas nos EUA
Em outro trecho da entrevista, Marcos Roberto Correia também afirma que hackers nos Estados Unidos demonstraram que as urnas eletrônicas possuem brechas de segurança. “A minha base é que tudo conectado à internet é vulnerável. Nos Estados Unidos, em uma conferência de hackers, chamada DefCon, já comprovaram que existem sim falhas de cibersegurança nas urnas eletrônicas”, disse durante a entrevista.A afirmação está parcialmente correta. A DefCon é uma conferência anual de hackers que ocorre em Las Vegas, nos Estados Unidos. E, de fato, o evento reserva um espaço para discussões e testes relacionados à tecnologia eleitoral empregada nos Estados Unidos, que ocorrem no chamado DefCon Voting Village. No entanto, o TSE afirmou que em nenhuma edição da conferência foram testadas e invadidas urnas brasileiras.
Em 2017, o Tribunal enviou dois servidores para acompanhar os trabalhos da Voting Village. “Essa foi a única presença do TSE no evento. Em nenhuma edição as urnas brasileiras foram submetidas a análise na Voting Village”, disse o TSE em nota enviada à AFP.
Ainda de acordo com o Tribunal, um dos motivos para acompanhar a DefCon em 2017 era aprimorar o Teste Público de Segurança (TPS), no qual especialistas em tecnologia tentam burlar as barreiras de proteção da urna eletrônica e invadir sistemas a ela vinculados.