Você nunca estará 100% seguro. O que você pode (e deve) fazer, é se proteger o máximo possível e mitigar os riscos a um nível aceitável. É impossível remover todos os riscos. – Kevin Mitnick
Não posso realmente afirmar que Kevin Mitnick moldou meu perfil profissional, mas sem dúvida nenhuma fui influenciado por ele, especialmente pelo livro “A Arte de Enganar” de 2001. Este não é essencialmente um livro técnico, para devoradores de bits, mas sim um livro sobre o fator humano na cadeia de segurança.
Kevin Mitnick, como hacker, começou a ganhar notoriedade em um tempo em que a internet estava engatinhando. Dispositivos online, redes wi-fi e conexões bluetooth não estavam disponíveis por todo lado como estão hoje. Ataques hackers nos dias de hoje são expostos pela mídia como algo que só acontece graças a conexões de internet, o que é uma grande inverdade.
Desde esses primórdios do hacking até hoje, o elemento humano e os ataques físicos se mantêm presentes, extremamente eficientes e intimamente relacionados.
A urna eletrônica brasileira não é uma exceção à citação de Mitnick que abre este artigo. De maneira resumida, nossa urna eletrônica é puramente um computador, atualmente com sistema operacional Linux, que roda um set de programas destinados a captação de votos, contabilização de resultados e geração de mídias e relatórios. Tudo isso muito bem cercado de um arcabouço de medidas protetivas que visam, parafraseando Mitnick, “mitigar os riscos a um nível aceitável”.
Dentro deste scaffold de artifícios de segurança, devemos reafirmar que as urnas eletrônicas não têm a menor possibilidade de serem atacadas ou fraudadas de maneira remota. A urna eletrônica não tem qualquer tipo de conexão de rede, o que determinantemente descarta a possibilidade de qualquer tipo de ataque remoto ao equipamento de votação. Para efeito de comparação, tentar atacar uma urna eletrônica pela internet teria o mesmo efeito de tentar atacar um secador de cabelos.
A única conexão presente no equipamento é o Terminal do Mesário, que é feita através de um cabo fixo, atachado à urna.
Descartada a possibilidade de um ataque remoto, resta a boa e velha abordagem física ao equipamento. Descartando o fator “tempo”, que durante uma votação é bastante curto, de fato, será necessário passar por algumas das mais de 30 barreiras de seguranças aplicadas ao equipamento. São as seguintes:
- Lacres físicos de urna;
- Sistema de controle das versões de software;
- Testes de software por equipes distintas;
- Seis meses de abertura do código fonte;
- Testes Público de Segurança;
- Cerimônia de lacração e assinatura digital;
- Cerimônia de geração de mídias, carga e lacre da urna;
- Tabela de correspondência;
- Cadeia de segurança em hardware;
- Processo de fabricação seguro;
- Projeto de hardware e software dedicados à eleição;
- Verificação de assinatura dos aplicativos de urna;
- Verificação de assinatura dos dados de eleitores e candidatos;
- Criptografia da biometria do eleitor;
- Criptografia da imagem do kernel do Linux;
- Criptografia do sistema de arquivos da urna;
- Criptografia de chaves da urna;
- Criptografia do registro geral do voto;
- Derivação de chaves da urna;
- Embaralhamento dos votos no RDV (Registro Digital de Voto);
- Boletim de Urna impresso;
- Assinatura de software dos arquivos de resultado;
- Assinatura de hardware dos arquivos de resultado;
- Criptografia do boletim de urna;
- QR Code no boletim de urna;
- Código verificador no boletim de urna;
- Auditoria de funcionamento das urnas;
- Conferência de hash e assinatura digital;
- Conferência, no dia da eleição, da autenticidade e da integridade dos programas instalados na urna;
- Log da urna;
- Entrega do Registro Digital do Voto (RDV).
Atendo-se aos recursos tecnológicos, e deixando de lado as salvaguardas sociais (como fiscais e mesários), a “Cadeia de Segurança de Hardware” do equipamento merece destaque. Este é o sistema responsável por assegurar que as urnas executem e acessem, única e tão somente, programas e acessórios feitos e assinados digitalmente pelo TSE. Um hardware criptográfico equipa a urna e verifica as assinaturas. Este módulo físico de criptografia é certificado conforme normas expedidas pelo Instituto Nacional de Tecnologia da Informação ITI, que é a Autoridade Certificadora Raiz da Infraestrutura de Chaves Públicas Brasileira.
Assinaturas digitais e HASHES (SHA-512) são o core primordial do equipamento. Absolutamente qualquer arquivo dentro do ecossistema de votação tem seu HASH verificado e assinado digitalmente (todos eles disponíveis publicamente no site do TSE).
A assinatura digital é utilizada na urna eletrônica para a proteção de todos os dados que entram (sobre eleitores, candidatos, configuração da eleição, entre outros) e saem da urna, como o Boletim de Urna, o Registro Digital de Voto (RDV) e os logs do equipamento, por exemplo. Também é empregada para a proteção dos softwares da urna. Dessa forma, garante-se que os dados e o software se mantêm íntegros e autênticos, permitindo apenas a execução, carga ou leitura de fontes devidamente assinadas e verificadas.
Sistemas Eletrônicos de Votação pelo Mundo
Ao todo, dezessete países, de um total de 176, analisados pelo IDEA (Institute of Democracy and Electoral Assistance) utilizam terminais de votação semelhantes à urna eletrônica brasileira. A maioria dos processos eleitorais eletrônicos ao redor do mundo tem um voto físico vinculado à informação digital. Em vários estados americanos, os eleitores preenchem um formulário marcando suas seleções com uma caneta. Esses votos podem ser acumulados e digitalizados de uma só vez, automaticamente, ou digitalizados à medida que são depositados na urna.Na Argentina, o voto é feito em uma máquina de votação, mas a informação não fica armazenada nela. Tudo vai para uma cédula impressa com um chip de identificação.
Na Índia, a votação eletrônica começou na década de 1990 e, como no Brasil, reduziu as fraudes e acelerou a contagem dos votos. Também aumentou a representação entre os cidadãos mais pobres. (Para os analfabetos, preencher votos em papel era mais difícil do que apertar teclas.) A taxa de votos inválidos neste grupo populacional caiu significativamente. Desde 2013, a Índia imprime os votos que são digitados nos terminais de votação.
Na Estônia, os eleitores têm a opção de votar online. Em 2019, 44% dos estonianos (mais de 247.000 eleitores) votaram online, usando um aplicativo.
Time is what determines security. With enough time, nothing is unhackable. – Aniekee Tochukwu Ezekiel
Voltando agora ao fator “tempo”. E se houvesse tempo ilimitado para o acesso físico ao equipamento? É exatamente isso que acontece durante os Testes Públicos de Segurança, ou TPS, promovidos pelo TSE.
O Teste Público de Segurança, também conhecido como TPS, é um evento fixo no calendário eleitoral – previsto na Resolução nº 23.444, do TSE – onde qualquer brasileiro pode apresentar um plano de ataque aos sistemas eleitorais envolvidos na geração de mídias, votação, apuração, transmissão e recebimento de arquivos.
Durante os dias em que acontece o TPS, as urnas eletrônicas são disponibilizadas às equipes de testes. Os investigadores selecionados para participar têm acesso aos componentes internos e externos do sistema eletrônico de votação — como os usados para a geração de mídias — lacrados em cerimônia pública, incluindo o hardware da urna e seus softwares. A assinatura digital e a lacração dos sistemas garantem que os códigos não sofrerão qualquer alteração até a data do TPS.
Quando possíveis falhas são identificadas no sistema pelos investigadores, a equipe da Secretaria de Tecnologia da Informação (STI/TSE) inicia imediatamente o trabalho de correção.
Solucionado o problema, os responsáveis pela detecção das falhas são chamados novamente ao Tribunal, em data posterior ao teste, para verificar a eficácia das correções implantadas. Importante destacar que todo esse processo — identificação, correção e reavaliação — ocorre antes das eleições que as urnas serão usadas.
Os achados mais relevantes dos TPS são explanados a seguir:
| ANO | ATAQUE | RESULTADO | AÇÃO CORRETIVA |
| 2009 | Tentativa de quebra do sigilo do voto por meio de captação da radiação eletromagnética emitida pelo teclado da urna enquanto é usado. | A captação da radiação funcionou apenas a uma distância de 5 cm da urna, e conseguiu captar o sinal emitido apenas por uma das teclas. | Implementação de criptografia nas teclas do equipamento, que passou a produzir um sinal elétrico diferente sempre que uma tecla é pressionada |
| Tentativa de introdução de arquivo externo na mídia de votação (Alteração de arquivo existente, geração de arquivo e posterior injeção e tentativa de boot ddo equipamento através de arquivo malicioso) | Todas as tentativas foram prontamente detectadas e barradas pelo sistema, por conta dos mecanismos de criptografia e assinaturas digitais. | ||
| 2012 | Tentativa de reconstrução da sequência de votos inseridos na urna. | Ataque reconstruiu com sucesso a ordem de inserção dos votos, mas não foi possível obter a sequência de comparecimento dos eleitores, mantendo o sigilo dos votos | Implementação do RDV (Registro Digital de Voto) – arquivo que armazena os votos dos eleitores, exatamente como digitados na urna, mas embaralhados entre cada cargo. É a partir do RDV que são criados a zerésima e o boletim de urna. O arquivo também permite a recontagem dos votos por parte dos partidos políticos e demais interessados. |
| 2016 | Tentativa de alterar os resultados de um Boletim de Urna (BU) e utilizá-lo como entrada do Sistema de Apuração (SA) da urna, produzindo um novo BU válido, mas com resultados adulterados. O SA é um sistema usado em situações em que o resultado de uma urna, gravado em meio eletrônico, foi perdido ou quando foi necessário realizar a votação por cédulas de papel. | Ataque ocorreu com sucesso | Corrigindo a vulnerabilidade, o TSE modificou o algoritmo do código verificador do BU, que passou a ter força de autenticador. Além disso, foi incluído um QR Code com assinatura digital no Boletim de Urna, permitindo aos interessados conferir a autenticidade e integridade do BU. |
| Um grupo de investigadores fez a gravação das instruções por áudio, utilizadas por deficientes visuais para a votação. Essas instruções incluem as teclas pressionadas e o voto confirmado pelo eleitor. O áudio era ativado especificamente para cada eleitor previamente cadastrado ou para todos os eleitores de uma seção previamente configurada, mesmo que algum eleitor nela inscrito não precisasse de áudio. | Ataque ocorreu com sucesso | A resposta do TSE foi restringir o uso de áudio somente para os eleitores previamente cadastrados ou por liberação do mesário. Além disso, sempre que o áudio é ativado, é mostrada mensagem no terminal do eleitor alertando sobre a ativação do recurso. Caso o áudio esteja ativado indevidamente, o eleitor pode solicitar ao mesário a suspensão da sua votação e a verificação de ausência de equipamentos estranhos na cabine de votação. | |
| 2017 | Vazamento de chave de criptografia das mídias da urna no ambiente de inspeção de código-fonte (a chave incluída no código não foi retirada do ambiente de inspeção); | Detectado mas não explorado | O bug no mecanismo de assinatura foi corrigido pelo TSE; a quantidade de bibliotecas foi reduzida; os processos de testes de software foram aprimorados de modo a garantir que todos os executáveis estejam assinados e que as assinaturas sejam devidamente validadas; e todas as chaves foram retiradas do código-fonte do software da urna (para 2018 foi utilizado um mecanismo de derivação de chaves e a partir de 2020 será utilizado um hardware seguro). |
| Um bug no mecanismo de verificação de assinatura digital de bibliotecas foi encontrado. (assinatura digital embarcada no binário executável); | Detectado mas não explorado | ||
| Ausência de assinatura digital complementar em duas bibliotecas. | Detectado mas não explorado | ||
| Capacidade de inicialização do sistema operacional da urna numa máquina virtual | Possibilidade confirmada | Como resposta, a criptografia do sistema operacional foi fortalecida, de modo que somente a urna consiga decifrar e iniciar o sistema operacional. | |
| 2019 | Acesso à chave de criptografia da unidade protegida do Subsistema de Instalação e Segurança – SIS, na qual são instalados sistemas eleitorais na plataforma desktop | Confirmado mas não resultou em alteração de dados ou software da urna | A resposta do TSE foi restringir o uso de áudio somente para os eleitores previamente cadastrados ou por liberação do mesário. Além disso, sempre que o áudio é ativado, é mostrada mensagem no terminal do eleitor alertando sobre a ativação do recurso. Caso |
| Controle do aplicativo Gedai-UE, em função da supressão de controles de acesso do SIS, permitindo que a aplicação gerasse um arquivo de configuração manipulado para a urna. | Confirmado mas não resultou em alteração de dados ou software da urna | ||
| 2021 | Verificação do comportamento do parâmetro urna mcriptografar – O investigador percebeu um parâmetro no código fonte (mcriptografar) que tinha a sua condição inicial de operação de forma explícita e que isso poderia comprometer a integridade do Boletim de Urna (BU) gerado, caso essa condição fosse alterada. | Alteração do BU foi possível apenas após equipe técnica do TSE remover a criptografia, com o objetivo de aprofundar a exploração. O BU, com as modificações realizadas no seu conteúdo, foi transmitido, mas rejeitado por inconsistência durante a verificação da sua assinatura digital no processo de transmissão. Todavia, foi percebido que o BU original era recebido e validado mesmo sendo transmitido em claro, somente com a sua assinatura digital. | A equipe técnica da Justiça Eleitoral informa que o procedimento de configuração da criptografia do BU existe no sistema da Urna Eletrônica para permitir a geração de BU em claro quando a mesma for cedida para ser utilizada em eleições na sociedade. |
| Instalação de uma capa no teclado da urna eletrônica, devidamente projetada, munida de sensores capazes de transmitir todas as teclas pressionadas pelo eleitor para o registro do seu voto, possibilitando a coleta dos votos a distância. O dispositivo prototipado foi muito bem construído cobrindo toda superfície frontal da urna, dificultando a percepção da alteração efetuada na urna. | O funcionamento ocorreu de forma planejada possibilitando a leitura de todas as teclas utilizadas na urna durante uma votação. | Revisão dos procedimentos de treinamento de mesários e simulação com três cabines de votação de diferentes alturas. Os ajustes na altura das cabines de votação melhoram a visão dos mesários para observar movimentos anormais realizados pelo eleitor. Todavia, foi evidente que a redução da altura da cabine de votação aumenta a dificuldade para colocar um invólucro sobre os teclados da urna, mas não suficiente para impedir o ato | |
| Extração de dados e configurações do Kit JE Connect – obtenção dos dados de configuração e senhas gravadas internamente no sistema do kit de transmissão de dados de eleição | As senhas de acesso aos aplicativos e de inicialização foram fornecidas após algumas tentativas sem sucesso. Apesar de obter o acesso à VPN (rede com conexão protegida), não houve sucesso para observar os detalhes da porta conectada no destino por conta dos demais mecanismos de segurança de rede existentes | Ajuste para uma atuação mais robusta dos módulos que monitoram e controlam o acesso à VPN e as operações realizadas para a transferência do BU aos sistemas de recepção e totalização, rejeitando os acessos não previstos e revogando as credenciais autenticadas e habilitadas inicialmente |
Wrap Up:
Nos processos de hacking, em qualquer um deles, sempre existirá uma relação muito íntima entre a motivação para o ataque, o “lucro” que este ataque proporcionará e a quantidade de recursos envolvidos para se obter êxito.
A grosso modo, se um determinado alvo necessita de muitos recursos (tempo, dinheiro, pessoas) para ser comprometido, e, como recompensa, oferece muito pouco, ele simplesmente não vale o esforço.
É fato que o TSE tem seguido à risca as máximas da segurança da informação, mitigando todo o tipo de risco possível, com preocupação visível na minimização dos impactos, caso eles ocorram. É importante ter em mente que cada urna eletrônica comporta no máximo 400 votantes. Fato que torna um ataque em massa, visando alteração de resultados de eleição, algo menos viável.
Ainda, acompanhando a linha do tempo, os pesquisadores participantes dos TPS sempre registram algum nível de sucesso em seus ataques (desenvolvidos em um ambiente quase whitebox), colaborando com a Justiça Eleitoral para melhorias de segurança nas urnas, mas evidenciando que os dispositivos contam sim com falhas exploráveis.
Por fim, ainda há muitas preocupações com a transparência da urna eletrônica e de todos os sistemas que compõem os processos de votação e apuração.
Apesar de o processo de votação, transmissão e tabulação de votos serem auditáveis através dos boletins de urna, há várias discussões sobre a criação de mecanismos independentes para auditar o funcionamento das urnas de votação, levando em consideração o sigilo sobre o voto individual.
E, novamente me valendo de Kevin Mitnick, absolutamente nada é 100% seguro!
