Urnas eletrônicas colocadas à prova: você pode confiar?

• 0

O TSE acabou de divulgar os resultados do Teste Público de Segurança das urnas de 2021. Eu só fico pensando onde se meteu aquele bando de político que passou o ano inteiro fazendo postagem chiliquenta sobre segurança de urna. O presidente já deu seu jeito, disse que confia nas Forças Armadas e elas participam do processo. Mas e o resto do pessoal? Nem justificou nada nem se interessou pelo teste.

De qualquer maneira, ele foi feito e teve recorde de inscrições. Várias equipes de especialistas tentam burlar a urna eletrônica e realizam ataques. É bom saber que o TSE não abre o sistema das eleições mesmo para o pessoal atacar, faz uma espécie de sistema espelho, que não tem os dados reais dos eleitores brasileiros. O funcionamento é o mesmo, mas as consequências de uma invasão são diferentes.

Vivemos uma realidade tão distópica que você ouviu falar de urna eletrônica o dia todo quando não havia um fato. Era só jornalismo declaratório, briga entre políticos, salseiro de rede social e gente com tempo livre demais e acesso ao Facebook. Agora que tinha fato mesmo, esse povo todo sumiu do mapa e a imprensa também. Quase não se falou do tema. Sem treta, sem atenção.

Vai ter outro teste em maio. Provavelmente você verá o mesmo empenho na divulgação. Se não tiver uma treta gigante, de preferência com gritaria e frases fortes, vai ser difícil a informação circular. Se começar de novo a gritaria, provavelmente agências de checagem transcreverão relatórios da assessoria de imprensa do TSE. Qualquer questionamento receberá o carimbo de FALSO, mesmo que haja falhas. A realidade pouco importa.

Durante os dias do teste, 26 equipes planejaram e executavam 29 tentativas de ataques. Dessas, 5 trouxeram resultados relevantes. O TSE garante que invadir mesmo a urna, mudar resultado de voto ou mexer com o software principal ninguém conseguiu. Mas foram detectadas outras falhas que precisam ser corrigidas e serão analisadas por uma equipe técnica. São 5 e eu explico.

1. TECLADO FALSO
Um teclado produzido por impressora 3D foi acoplado à urna e foi capaz de coletar todos os votos. É algo que pode violar o sigilo do voto mas não consegue alterar votos. Para funcionar, a pessoa teria de entrar na cabine com o teclado falso, deixar ele lá por toda a votação e retirar no final.

2. CRIPTOGRAFIA DO BOLETIM DE URNA
O Boletim de Urna, que é um documento público, é transmitido por mensagem criptografada, como as que a gente manda por whatsapp. Quem manda vê tudo na ordem correta e quem recebe também mas, no meio do caminho, a informação navega embaralhada para que não se veja o conteúdo mesmo se alguém conseguir interceptar. No teste, foi possível descriptografar o Boletim de Urna no meio do caminho, ou seja, interceptar a informação. O TSE pensa até em tirar a criptografia porque o documento é público e já tem assinatura digital.

3. TIRAR O SIGILO DE VOTOS PARA CEGOS
Uma equipe conseguiu colocar um equipamento de bluetooth acoplado à saída de áudio da urna, utilizada na votação acessível pelas pessoas cegas. O equipamento transmitia o áudio dos votos a uma fonte externa. Na prática, seria possível conferir os votos de pessoas cegas à distância. Ocorre que a parte da urna onde é colocado o equipamento bluetooth não fica escondida pela cabine, é visível para todos. De qualquer forma, isso será discutido pela equipe técnica.

4. FALHA NO JE CONNECT
É uma das soluções utilizadas para transmissão de dados das urnas para os TREs. O JE Connect deveria vir com bloqueio de algumas teclas de atalho, só que elas estavam desbloqueadas. Uma equipe conseguiu usar essas teclas de atalho para, via JE Connect, tentar entrar no sistema da Justiça Eleitoral. Isso não aconteceu porque seria necessário quebrar os códigos de usuário e senha do TSE. O Tribunal Superior Eleitoral considerou a falha grave e já pediu a correção. Não é para os atalhos funcionarem e deixarem à sorte se alguém consegue ou não hackear senhas.

5. FALHA 2 NO JE CONNECT
Uma equipe conseguiu abrir os 3 compartimentos criptografados que formam o sistema de transmissão de dados das urnas ao TSE, o JE Connect. Usaram uma fórmula diferente da outra equipe para entrar no sistema: em vez de teclas de atalho, usaram VPN. Acontece que este time não ficou bloqueado no login e senha da Justiça Eleitoral, conseguiram quebrar também esse código. O TSE diz que a falha é grave e será corrigida até as eleições para evitar ataques cibernéticos.

Mudar o resultado da urna não é possível, ela imprime direto o Boletim de Urna. No entanto, é possível invadir a rede que envia os dados das urnas até a Justiça Eleitoral e entrar também no sistema do TSE. Suponhamos que o pior aconteça. Ainda teremos os Boletins de Urna impressos em cada seção eleitoral para comparar. É preocupante sim a vulnerabilidade, mas pelo menos tem alguém de olho. Não é o caso de diversos outros órgãos públicos e da imprensa.

A Apex-Brasil, Agência Brasileira de Promoção de Exportações e Investimentos, teve seu sistema sequestrado por ataque ramsomware esta semana. Vivêssemos em um país com imprensa vigilante e informada, seria um escândalo acompanhado de perto. É o tipo de crime que está no topo das prioridades de discussões das grandes potências porque desequilibra as forças geopolíticas. Estamos falando de algo dessa magnitude.

E o que isso tem a ver com eleições e nossas urnas? Não damos importância a segurança digital, algo essencial hoje para manter a soberania de um país e o poder político e econômico. Recentemente fiz um artigo para o Think Tank Instituto Montese sobre isso. Também fiz artigo aqui na Gazeta do Povo sobre o impacto econômico do ramsomware sobre empresas brasileiras listadas na bolsa. A falha identificada possibilitaria uma ação dessas? Provavelmente sim.

Ter falhas não é problema. O crime digital é aprimorado todos os dias, descobre brechas que antes eram intransponíveis. Por isso o TSE faz os testes, para verificar vulnerabilidades e corrigir antes das eleições. Não existe sistema 100% perfeito, temos de saber. O que interessa é avaliar se uma eventual vulnerabilidade tem ou não potencial de mudar os resultados de uma eleição. Pena que os maiores debatedores do tema fujam dele quando se discute realidade.

Imagine toda a gritaria em torno das urnas e pense em outra coisa: quantas vezes você viu esses testes em outros órgãos? Seus dados na Receita, INSS, SUS, Poder Judiciário, governos estaduais e prefeituras estão seguros? Esse pessoal está preocupado com isso? Vez ou outra ouvimos falar em concessão de sistemas como o Prodasen para a iniciativa privada e muita gente aplaude. Pensamos que privatizar é sinônimo de eficiência, certo? Depende.

Este ano, 8 das maiores empresas brasileiras tiveram seus sistemas invadidos por ataques ramsomware. Houve quem teve de ficar até sem operar na bolsa e quem pagou mais de US$ 10 milhões pelo resgate dos dados. Dizem que os dados são o petróleo do século XXI, por isso segurança digital é levada muitíssimo a sério no mundo civilizado. Por aqui, só se fala do tema quando tem treta e investir em segurança de dados é algo visto como gasto. Os criminosos digitais já descobriram o valor dos dados. Quando nós iremos acordar?

Madeleine Lacsko

Madeleine Lacsko é jornalista desde a década de 90. Foi Consultora Internacional do Unicef Angola, diretora de comunicação da Change.org, assessora no Supremo Tribunal Federal e do presidente da Comissão de Direitos Humanos da Alesp. É ativista na defesa dos direitos da criança e da mulher. **Os textos da colunista não expressam, necessariamente, a opinião da Gazeta do Povo.

veja + em Madeleine Lacsko