O que especialistas dizem sobre acesso indevido ao código-fonte das urnas eletrônicas

• 0

A investigação da Polícia Federal sobre a invasão hacker ocorrida em sistemas do Tribunal Superior Eleitoral (TSE) em 2018 não comprovou fraude na eleição presidencial daquele ano, mas aponta vulnerabilidades graves nas urnas eletrônicas que precisam ser corrigidas. Essa é a conclusão de especialistas em segurança digital consultados pela Gazeta do Povo sobre o inquérito revelado na semana passada pelo presidente Jair Bolsonaro dentro do qual o próprio TSE admitiu “acesso indevido” a códigos-fonte da urna eletrônica antes da votação.

Como a Gazeta do Povo mostrou na última quinta-feira (5), relatório elaborado pela Secretaria de Tecnologia da Informação do TSE confirmou um ataque à rede do tribunal em abril de 2018 e que foi descoberto só em novembro daquele ano. Dentro da intranet, o hacker conseguiu senhas do coordenador de infraestrutura e de um ministro, conseguiu baixar “artefatos maliciosos” e ainda capturou trechos do código-fonte do “Gedai”, sistema disponibilizado aos Tribunais Regionais Eleitorais (TREs) para instalar os softwares que rodam nas urnas eletrônicas, incluindo o que computa os votos dos eleitores.

O caso foi usado por Bolsonaro para reforçar o discurso de que houve desvio de votos na disputa presidencial — ele diz que tinha votos suficientes para vencer a eleição ainda no primeiro turno.

Após a revelação do inquérito, o TSE afirmou, em nota, que a invasão “não representou qualquer risco à integridade das eleições de 2018”. “O código-fonte dos programas utilizados passa por sucessivas verificações e testes, aptos a identificar qualquer alteração ou manipulação. Nada de anormal ocorreu”, disse o tribunal. Acrescentou que, desde 2018, “novos cuidados e camadas de proteção [foram] introduzidos para aumentar a segurança dos demais sistemas informatizados”.

Apesar disso, Bolsonaro voltou a acusar fraude na eleição de 2018. Em entrevista nesta segunda-feira (9) à rádio Brado, afirmou que, apesar de não ter provas, “com toda a certeza”, o hacker teria sido contratado para fazer alterações no programa de votação para tirar dele 12 milhões de votos. “Isso é uma suposição: quando as eleições acabaram, o grupo que o contratou, vocês devem saber quem é, não pagou o serviço, daí o hacker resolveu denunciar [...] Os hackers não foram pagos, porque quem contratou, é uma suposição, deixar bem claro, não conseguiu seu intento, eleger o poste”, disse.

Até onde foi a invasão

Um relatório do TSE escrito em 7 novembro de 2018, no dia seguinte à descoberta da invasão, registrou que o hacker obteve o “código-fonte completo do Gedai-UE, possivelmente da versão usada nas Eleições 2018”; “chaves e credenciais de acesso a servidores usadas pelo Gedai-EU”; “senhas para oficialização dos sistemas Candidaturas e Horário Eleitoral utilizadas para a Eleição Suplementar 2018 de Aperibé/RJ”, além de manuais internos de equipamentos.

Professor do Departamento de Computação da Universidade Federal de São Carlos (UFSCar), Paulo Matias foi um dos técnicos que conseguiu invadir o sistema das urnas eletrônicas, quebrar o sigilo e desviar votos num teste público de segurança promovido pelo TSE em 2017. Ele disse à reportagem que os documentos do TSE no inquérito “não permitem alegar que houve fraude”, rebatendo duas suposições de Bolsonaro: de que o hacker teria modificado o código-fonte da urna e de que teria usado o acesso ao Gedai para interferir na votação.

“Antes de tudo, não se sabe se o invasor obteve acesso de escrita ao código. A principal hipótese dos peritos da Polícia Federal que investigaram a fundo o caso é de que houve apenas a leitura dos códigos”, disse Matias.

Ele explicou que a investigação descobriu que o hacker teve acesso aos códigos por meio do “Jenkins”, que é um sistema que baixa versões do código-fonte sempre que ele sofre alterações por parte de seus desenvolvedores. Mesmo assim, o invasor, neste caso, não teria como alterar os códigos, pois teria acesso apenas a cópias deles.

“No entanto, mesmo se supusermos que o atacante obteve acesso de escrita ao repositório de códigos, não seria trivial realizar alguma modificação sem ser percebido”, disse Paulo Matias. Isso porque alguns “logs” recuperados no inquérito — arquivos que traçam o histórico do acesso do hacker a dados internos — mostram, segundo o professor, que o TSE usava um sistema dentro do qual qualquer alteração no código-fonte seria facilmente visualizada por todos os desenvolvedores. “Os computadores dos desenvolvedores detectam essa inconsistência, recusam-se a baixá-la e geram um alerta. Assim, tem-se uma garantia muito forte da preservação do histórico de alterações do código”, afirmou.

Quanto ao acesso ao código do Gedai — o sistema que gera os cartões de memória com os softwares que são instalados nas urnas —, Matias disse que, após o ataque, peritos da PF não verificaram adulterações.

Outro integrante da equipe que invadiu a urna em 2017 no teste oficial do TSE, o professor Diego Aranha, ex-Unicamp e UnB, atualmente na Universidade Aarhus, na Dinamarca, também diz que o mero acesso ao código do Gedai não prova fraude na contagem dos votos.

Apesar de considerar o sistema crítico — “se ele tem vulnerabilidades e termina comprometido, poderia hipoteticamente gerar cartões de memória com software adulterado para instalação nas urnas” —, para efetivar uma fraude, outros passos seriam necessários.

“De posse do código-fonte do Gedai ou mesmo do software de votação, ele precisaria comprometer máquinas nos TREs que fazem a instalação dos cartões, explorar vulnerabilidades observadas no Gedai, adulterar os pacotes de software de instalação que o Gedai usa para injetar código malicioso e torcer para as etapas posteriores não detectarem isso”, afirmou à reportagem.

Professor de engenharia da informação na Universidade Federal do ABC (UFABC), Mario Gazziro também diz que os relatórios do TSE dentro do inquérito não provam fraude. Mas ele ressalva que, como o tribunal perdeu parte dos logs, não é possível saber tudo o que ocorreu.

“Não dá para dizer que está comprovada a fraude, mas também não dá para dizer que não está. Embora seja muito improvável que os hackers tenham adulterado alguma coisa, pela forma como foi descoberto. Porque eles contaram. Quando isso acontece, é a típica ação de ‘chapéu branco’, que é o cara que entra, vê a falha, copia alguma coisa ali, sai e avisa. A gente considera que foi um ativismo, mas não uma adulteração e um crime”, disse.

Acesso indevido ao código fonte das urnas é evento grave

Apesar de não verem fraude na eleição, os especialistas consultados pela Gazeta do Povo concordaram que a invasão foi grave e demonstra diversas fragilidades na segurança do TSE.

Diretor de Tecnologia da empresa de segurança da informação Sage Networks, Thiago Ayub é especialista em segurança de sistemas financeiros. Ele diz que os vestígios deixados pelo hacker que invadiu o TSE são “gravíssimos” e que leu o inquérito como um “conto de terror”.

“As falhas exploradas pelo invasor são tão primárias, grosseiras, que depõem contra a engenharia e operação dos sistemas do TSE e dos TREs”, afirmou à reportagem.

Ele deu alguns exemplos. Uma das portas de entrada do hacker na rede interna da Justiça Eleitoral foi o login de um ex-funcionário que tinha uma senha fácil de ser descoberta.

“Como pode um serviço de e-mail gratuito ter uma precaução tão básica de segurança como essa e o TSE não ter? Como não conseguem controlar quem deve e não deve ter mais um login nos sistemas? Ex-funcionários e ex-terceirizados continuam com acessos ao sistema por que alguém esqueceu de apagar o login deles?”, critica Ayub.

Outro problema: para acessar os sistemas internos, não se exigia do usuário um segundo fator de autenticação. Trata-se de um segundo código, além da senha, fornecido por um token.

“Como podem os responsáveis técnicos e gestores dessa infraestrutura desfrutarem desse nível de segurança em suas contas bancárias e não perceberem que nosso sistema eleitoral também precisa deste recurso de segurança?”, questiona Ayub.

Diego Aranha segue a mesma linha. “O que aconteceu é bastante grave, agora que se conhece melhor a dimensão da invasão. O inquérito mostra as deficiências na infraestrutura do tribunal (senhas fracas, autenticação insuficiente, comprometimento de múltiplas máquinas de TREs) e é evidente que código-fonte de sistemas críticos vazou.”

Para ele, uma política de segurança digital deve levar em conta a possibilidade de um invasor conhecer o sistema interno e estar atacando. “Não porque ele necessariamente esteja, mas porque assumir o pior caso é uma postura pró-ativa”, disse.

Paulo Matias, da UFSCar, é menos duro nas críticas. Reconhece que a rede do TSE possui infraestrutura mais segura que a de outros órgãos públicos que já conheceu. “Isso não significa que eles não tenham cometido erros, pelo contrário, significa que o governo em geral tem muito a melhorar nos seus cuidados com segurança cibernética”, afirmou.

O que diz o TSE

Ainda na semana passada, na única manifestação pública que divulgou sobre a revelação do inquérito, o TSE afirmou que “não existe a possibilidade de adulteração” do código-fonte. “O programa simplesmente não roda se vier a ser modificado”, afirmou o tribunal.

Apesar disso, dentro do inquérito, o próprio TSE admitiu “vulnerabilidades”. Ainda em novembro de 2018, logo após a invasão, os servidores da área técnica elaboraram um plano de ação para “minimizar ou suprimir” essas falhas.

“É cediço que o TSE possui base de informações sensíveis e precisa aprimorar seus mecanismos para manter esses dados e informações em sigilo, assim como tomar ações preventivas para manter a inviolabilidade dos sistemas que compõem o processo eleitoral”, diz o documento. O plano listou uma série de medidas de curto, médio e longo prazo: iam desde a troca de senhas de todos os usuários, passavam pela adoção da dupla autenticação e previam mais investimentos em atualização tecnológica.

Como tudo tramita em sigilo, pouco se sabe o quanto o tribunal avançou nessas melhorias. A Gazeta do Povo questionou o TSE sobre o que foi executado dentro do plano, mas não houve resposta até a publicação desta reportagem.

Há anos, os especialistas em segurança cobram que o TSE divulgue na internet os códigos-fonte para que a comunidade acadêmica verifique de forma permanente os aprimoramentos feitos para encontrar eventuais falhas. O código só fica disponível por seis meses no ano da eleição para partidos, Ministério Público, Polícia Federal e outras entidades de controle.

“Técnicos do TSE estavam muito empolgados com a possibilidade de conseguir abrir o código antes das eleições de 2020. Isso acabou nunca acontecendo, e não ficou claro o motivo pelo qual esse código ainda não está aberto e disponível na internet para qualquer interessado”, afirmou Paulo Matias.

Thiago Ayub disse, por sua vez, que o plano de ação do TSE não basta. “Redes de computadores e softwares são organismos quase que vivos: novos equipamentos são adicionados e alterados na rede o tempo todo”, afirmou.

“A sensação que tenho diante do episódio seria como um restaurante famoso ser flagrado pela vigilância sanitária com cozinheiros que não lavavam as mãos, não higienizavam os alimentos e usavam ingredientes estragados. Após a fiscalização e correção, como posso confiar que aquela equipe não voltará a cometer os mesmos erros novamente? Diante dessa suspeita, o TSE precisará incansavelmente provar que continua seguro com o passar do tempo”, acrescentou.