Como funciona a segurança das urnas eletrônicas das eleições
Especialistas e Forças Armadas inspecionaram códigos-fonte do sistema eletrônico como uma das medidas para garantir a segurança das eleições
Edson Fachin, presidente do Tribunal Superior Eleitoral (TSE), autorizou neste mês mais nove militares indicados pelas Forças Armadas a participar da inspeção do código-fonte das urnas eletrônicas, ao qual tiveram acesso até o último dia 19. Desde o começo de agosto, militares já participavam da inspeção, que é uma das etapas possíveis de verificação de segurança das urnas.
O código está disponível para inspeção desde outubro do ano passado. Diversas entidades podem participar da fiscalização, incluindo o Ministério Público, partidos políticos, o Supremo Tribunal Federal, o Congresso Nacional, a Polícia Federal e departamentos de tecnologia da informação de universidades credenciadas no TSE.
Na quarta-feira (24), especialistas da Unicamp (Universidade Estadual de Campinas), USP (Universidade de São Paulo) e UFPE (Universidade Federal de Pernambuco) entregaram ao TSE um relatório com as conclusões sobre a análise dos códigos-fonte do sistema de votação e do novo modelo de urna eletrônica, o UE2020, que será usado pela primeira vez neste ano. O relatório atesta a segurança tanto do sistema quanto das máquinas.
O que é o código-fonte da urna eletrônica
O código-fonte é um texto em linguagem de programação que pode ser inspecionado visualmente ou com ferramentas, conforme explica Ricardo Dahab, diretor-geral de Tecnologia da Informação e Comunicação da Unicamp e um dos especialistas responsáveis pelo relatório. Essas ferramentas localizam trechos do código de forma mais rápida e ajudam na detecção de anomalias.
“De posse dessas ferramentas, o especialista em uma certa área, como a criptografia, conduz a busca para onde suspeita que haja maior probabilidade de encontrar trechos problemáticos”, afirma Dahab. “Na nossa análise, além do código-fonte, fomos munidos pelo TSE dos fluxogramas de execução dos grandes blocos do programa, o que nos possibilitou conduzir nossa inspeção de forma mais eficiente.”
A inspeção do código-fonte é uma das medidas de segurança adotadas nos processos eleitorais brasileiros. Existem outros procedimentos com a finalidade de impedir ataques externos, possíveis violações internas, além de proporcionar meios de verificação dos resultados das eleições.
"A urna eletrônica brasileira é um projeto maduro, que já completou 18 anos de existência", afirma o TSE em um texto no seu site oficial. "As eleições e as urnas brasileiras são seguras e confiáveis, seja pelo trabalho árduo da Justiça Eleitoral, seja pelo efetivo acompanhamento de todo o processo pela sociedade."
Veja, abaixo, as medidas adotadas pelo tribunal para garantir que as urnas eletrônicas e as eleições sejam seguras.
Proteção do software
De acordo com o TSE, somente o software desenvolvido pelo próprio órgão pode ser executado nas urnas eletrônicas. Qualquer tentativa de executar outro software resulta na interrupção do funcionamento do aparelho.
Além disso, se houver tentativa de executar o software oficial em uma máquina não certificada, haverá bloqueio da execução.
O software usado nas eleições está sob controle exclusivo do TSE e é o mesmo usado em todo o país.
Assinatura digital
Todos os dados dentro das urnas são protegidos por assinatura digital, incluindo as informações dos candidatos, os resultados contidos no boletim de urna, o registro das operações feitas pelo software (logs) e o RDV (Registro Digital do Voto).
"As mídias utilizadas pela Justiça Eleitoral para a preparação das urnas e gravação dos resultados são protegidas por técnicas modernas de assinatura digital. Não é possível a um atacante modificar qualquer arquivo presente nessas mídias", segundo o órgão em seu site.
Um aplicativo desenvolvido pelo Tribunal pode ser usado para conferir e validar as assinaturas e resumos digitais, caso exista suspeitas quanto à autenticidade do software executado na urna eletrônica.
"O jeito mais fácil de entender uma assinatura digital é comparar com uma assinatura manual: a ideia é que apenas uma pessoa consiga gerá-la, provando a autenticidade do documento sobre o qual a assinatura é feita”, explica Marcos Simplicio Júnior, professor associado no Departamento de Engenharia de Computação e Sistemas Digitais da Escola Politécnica da USP.
“A diferença da assinatura digital é a segurança: só o dono de uma informação secreta, chamada de 'chave privada' [neste caso, os dados da urna] consegue gerá-la, a partir de cálculos matemáticos feitos em um computador”, diz.
Ataques externos
O TSE afirma que a urna não é vulnerável a ataques externos, já que funciona de forma isolada, sem mecanismos que permitam conexão à internet.
"O sistema operacional Linux contido na urna é preparado pela Justiça Eleitoral de forma a não incluir nenhum mecanismo de software que permita a conexão com redes ou o acesso remoto", diz o órgão.
Violações internas
O TSE também cita medidas contra possíveis tentativas de violação feitas por pessoas que trabalham diretamente no processo eleitoral. Uma delas é o acompanhamento de quaisquer modificações no código-fonte dos sistemas eleitorais; é possível conferir o que foi alterado e quem fez a mudança. Apenas um grupo restrito tem acesso ao repositório de código-fonte e pode fazer modificações.
Outra medida é a segregação do conhecimento sobre os sistemas eleitorais dentro do TSE. Segundo o órgão, a equipe que trabalha, por exemplo, com software da urna não é a mesma responsável pelo sistema de totalização de votos.
"A quantidade de sistemas eleitorais envolvidos na realização de uma eleição é tão grande que se torna impraticável a um agente interno ter um grau de conhecimento do todo que lhe permita realizar algum tipo de ataque", afirma o TSE.
Para Simplicio Júnior, a impossibilidade de acesso à internet é uma medida eficaz para evitar ataques externos. “Uma vez a urna carregada com o software oficial de votação, eu não conseguiria testar ataques da minha casa, por exemplo. Isso reduz bastante a possibilidade de interferência nas urnas durante a votação em si, qualquer que seja a via de ataque”, diz.
Verificação dos resultados
Há procedimentos de verificação que podem ser realizados antes ou após a votação. Na véspera da eleição, por exemplo, são sorteadas urnas para verificação. Elas são levadas ao Tribunal Regional Eleitoral (TRE). Já no dia das eleições, essas urnas são submetidas à votação, mas com registro em paralelo dos votos, em cédulas de papel. Com o encerramento da votação, é feita a comparação entre os resultados do boletim de urna e da apuração das cédulas de papel.
Após a votação, os boletins de urna, nos quais consta a apuração dos votos das seções, se tornam públicos; uma de suas cinco vias fica fixada na seção eleitoral. O próprio eleitor pode comparar os resultados dos boletins com os publicados pelo TSE na internet.
"O boletim identifica a seção eleitoral, urna, número de eleitores que compareceram e votaram e o resultado dos votos por candidato e por legenda, além dos votos brancos e nulos", explica reportagem da Câmara dos Deputados de 18 de agosto. Além dos boletins, também são publicados na internet os arquivos do Registro Digital do Voto e de logs das urnas eletrônicas.
Testes
São promovidos, em diferentes momentos, tanto testes públicos quanto internos. Durante o período de desenvolvimento dos sistemas eleitorais, o TSE e os TREs averiguam o funcionamento do conjunto de software.
Além disso, acontecem os testes públicos de segurança, realizados desde 2009. Nessas ocasiões, especialistas em computação previamente inscritos tentam invadir as urnas. Caso eles encontrem alguma fragilidade, o TSE trabalha para corrigi-la. Em 2021, foi realizada a sexta edição.
