Eleições

Investigado por: 2020-11-15

Ataque de hackers no sistema do TSE não viola segurança da eleição

  • Enganoso
Enganoso
Hackers expuseram dados administrativos antigos do TSE em links para download. Os bancos de dados acessados não têm, portanto, nenhuma relação com as eleições. Além disso, o sistema das urnas eletrônicas não funciona em rede
  • Conteúdo verificado: Duas postagens, no Twitter e Facebook, de um grupo hacker que afirma ter conseguido vazar dados do TSE

É enganoso que um suposto ataque hacker tenha violado a segurança do sistema do Tribunal Superior Eleitoral (TSE) e ameaçado a votação das eleições municipais. Apesar de o presidente do próprio Tribunal, ministro Luís Roberto Barroso, ter admitido que houve uma tentativa de invasão, o ataque foi neutralizado e não afetou o sistema de totalização dos votos e, muito menos, o sistema das urnas eletrônicas, que não funcionam em rede.

Ainda hoje (15), um grupo de hackers expôs dados do TSE em links para download. A ação foi reconhecida pelo tribunal, mas os especialistas ouvidos pelo Comprova foram unânimes em avaliar que se tratam de dados administrativos antigos ou mesmo informações públicas, disponíveis no Portal da Transparência. Os bancos de dados acessados não teriam, portanto, nenhuma relação com as eleições.

A postagem do grupo de hackers é considerada enganosa porque seus autores inflaram e distorceram as características do ataque com objetivo de confundir e lançar dúvidas infundadas sobre a segurança do sistema de votação do TSE.

Em contato com o Comprova via Facebook, o grupo que vazou os dados do TSE, CyberTeam, afirmou que o ataque é de hoje e que “não explorou o TSE por completo”. “Só me foquei em reunir os dados de utilizador”, afirmou a pessoa, identificada como Zambrius.

Como verificamos?

Para esta verificação, primeiro fizemos download do conteúdo divulgado para saber de que tipo de dados se tratava. Depois, procuramos entender quem eram os grupos CyberTeam e Noias do Amazonas, por meio dos conteúdos divulgados anteriormente em suas páginas e de matérias anteriores sobre os dois grupos.

Ouvimos a posição oficial do Tribunal Superior Eleitoral (TSE) através de uma coletiva de imprensa feita pelo ministro Luís Roberto Barroso, presidente da Corte. Também ouvimos especialistas em cibersegurança: Paulo Lício de Geus, professor do Instituto de Computação e CIO da Universidade Estadual de Campinas (Unicamp) e representante da Sociedade Brasileira de Computação nos testes públicos de segurança do sistema eletrônico de votação do TSE; Hiago Kin, presidente da Associação Brasileira de Segurança Cibernética e CEO da Deepcript; e Márcio Correia, analista de sistemas da Universidade Federal do Ceará (UFC) e professor de Tecnologia de Informação da Faculdade Cearense (FaC).

Por fim, conversamos com o grupo CyberTeam por meio de mensagens particulares no Facebook. O perfil Noias do Amazonas não respondeu ao pedido de contato da reportagem.

Esta é uma verificação feita em conjunto por Aos Fatos e Comprova.

Verificação

O que diz o TSE?

Em uma coletiva de imprensa, o ministro Luís Roberto Barroso disse que o TSE ainda está apurando o que aconteceu, mas garantiu que “nada ocorreu hoje, nem tampouco nos últimos dias relativamente a ataques” e disse ter “muitas razões para supor que estas informações vazadas se refiram a ataques antigos”. Um desses indícios é que os e-mails que aparecem no material divulgado têm o final “.gov”, embora há bastante tempo o TSE use a extensão “.tse.br”. Outro é que os servidores que tiveram os seus nomes listados são antigos funcionários da Justiça Eleitoral.

“As urnas já estão todas devidamente carregadas, e estão todas elas fora de rede. Portanto, eventuais ataques cibernéticos não têm o condão de afetar o processo de votação, porque as urnas não funcionam em rede”, lembrou ainda o ministro. Sobre a instabilidade no sistema, o ministro Barroso disse que “houve instabilidade pela grande quantidade de acessos relativamente a duas situações: informação sobre local de votação (…) e a justificativa de quem esteja fora do seu estado, do seu local de votação”.

O que dizem os especialistas?

Segundo o professor Paulo Lício de Geus, representante da Sociedade Brasileira de Computação nos testes públicos de segurança do TSE, o vazamento deve ter ocorrido dias antes da eleição porque, na véspera da votação, a rede do tribunal é isolada em um esquema especial para as eleições. “São dados pessoais de saúde, de idade das pessoas. Pelas características dos dados, fica claro que não tem nada a ver com o sistema de votação eletrônico, que é totalmente diferente. É como se aqui na Unicamp você conseguisse acesso aos dados de recursos humanos. Mas a nossa base de dados de pesquisa está salva em outro lugar”, afirma.

Segundo Geus, não é possível alterar o resultado da eleição porque a urna eletrônica é autônoma e funciona desconectada da Internet. Quando a votação termina, o flash da urna, uma espécie de cartão de memória, é levado para um sistema que envia esses dados para o TSE usando criptografia. “Se alguém tentar inserir dados de votação falsos, eles não serão aceitos por causa da criptografia”, diz. Além disso, ele lembra que todos os boletins de urna são disponibilizados publicamente na Internet. Por isso, qualquer candidato ou partido que suspeitar de problemas no resultado pode conferir por conta própria se a totalização foi feita corretamente.

Márcio Correia, analista de sistemas da Universidade Federal do Ceará (UFC) e professor de Tecnologia de Informação da Faculdade Cearense (FaC), analisou os arquivos das postagens a pedido do Comprova e disse se tratar de arquivos que não são relacionados à votação.

“Os TREs e TSE têm, nos sites deles, espaços para veicular informações sobre processos administrativos internos, como salários de servidores, dados que estão à disposição no que eles chamam de ‘portal da transparência’. O que eu vi nestas postagens foram essas informações, ou seja, nada relacionado à votação”, afirma. “O sistema de apuração dos votos é offline, as urnas não estão ligadas à internet e nem o sistema de apuração, que é em uma rede privada”, completa. “O hacker mostrar que teve acesso a esses arquivos administrativos e de configurações dos sites do TRE e TSE não significa nada e não tem força alguma para colocar em dúvida a segurança da votação, apesar de não ser interessante que tenha havido essa brecha de segurança no site do TSE, ainda que pequena”, explica o professor, que já foi convidado para testar a segurança do sistema.

O Comprova também enviou os arquivos para Thiago Tavares, presidente da SaferNet, associação que promove a defesa dos direitos humanos na internet. Como os dados disponibilizados nas publicações trazem informações como folhas de pagamentos, afastamentos e transferências de servidores, ele acredita que “a invasão se limitou a um servidor que hospedava informações do sistema de Recursos Humanos do tribunal, e não tem relação alguma com as urnas eletrônicas nem com a segurança do sistema usado na apuração e totalização dos votos”.

De acordo com Hiago Kin, presidente da Associação Brasileira de Segurança Cibernética e CEO da Deepcript, os dados divulgados são de banco de dados dos sites da Justiça Eleitoral, que são diferentes daqueles onde são processados os resultados da votação. Segundo Kin, os hackers usaram uma técnica que permite ler o conteúdo de alguns bancos de dados mais vulneráveis, mas que não poderia ser usada para alterar o resultado da apuração de votos.

“O comando de escrita (utilizado no desenvolvimento do site) provavelmente não tenha sido permitido e sequer explorado, porque dispararia alguns alertas de segurança”, explica. Segundo Kin, a maioria dos dados vazados são informações pessoais de servidores e não de sistemas ou pessoas que apuram as eleições. “Os bancos de dados das eleições são outros, alheios aos dos sites. Dizer que uma coisa está relacionada à outra é especular sem provas. Os IPs expostos pertencem unicamente aos sites”, afirma.

Segurança das eleições

Segundo o TSE, a segurança do sistema eletrônico de votação é feita em camadas, ou seja, por meio de dispositivos de segurança de tipos e com finalidades diferentes, são criadas diversas barreiras que, em conjunto, não permitem que o sistema seja violado. Em resumo, qualquer ataque ao sistema causa um efeito dominó e a urna eletrônica trava, não sendo possível gerar resultados válidos.

Para afastar esses questionamentos sobre a segurança das urnas, o TSE promove um desafio desde 2009, ocasião na qual especialistas colocam a segurança de urnas eleitorais à prova para tentar invadir o sistema – seja na parte da votação, apuração, transmissão e recebimento de arquivos. É o que o TSE chama de TPS (Teste Público de Segurança), em que grupos de hackers “do bem” se reúnem para fazer ataques variados aos dispositivos. Eles acontecem, normalmente, no ano anterior às eleições. O último foi concluído em 29 de novembro de 2019, e contou com a participação de 25 especialistas, entre professores, estudantes e peritos (veja aqui o relatório técnico).

No documento Sistema Eletrônico de Votação: perguntas mais frequentes, publicado no site do TSE, o órgão responde questões sobre o processo eleitoral e dúvidas em relação à segurança da votação. Na resposta da primeira pergunta, “Como o eleitor pode ter certeza de que a urna eletrônica é segura?”, o documento explica que “há diversos mecanismos de auditoria e de verificação dos resultados que podem ser efetuados pelos candidatos, pelas coligações, pelo Ministério Público”, entre outras entidades.

Ainda de acordo com o tribunal, as urnas eletrônicas começaram a ser utilizadas no Brasil em 1996 e, “em 24 anos de existência, nunca foi comprovada nenhuma fraude no equipamento”.

Para as eleições de 2020, o TSE preparou a série “Desvendando a Urna”, com reportagens sobre o assunto. Uma delas é sobre o tema abordado no post verificado aqui e traz a pergunta “É verdade que a urna eletrônica não é auditável?”. O texto, então, explica que o equipamento possui “diversos recursos que possibilitam e fortalecem a possibilidade de auditagem”. Entre os recursos, estão auditorias pré e pós-eleição e lacração dos sistemas. “Além disso, os sistemas podem ser requisitados para análise e verificação, não somente no período de seis meses que antecedem o pleito, mas a qualquer tempo e pelo prazo necessário para se proceder a uma auditoria completa”, finaliza a reportagem.

No dia da votação

De acordo com verificação do Comprova de 13 de novembro, uma auditoria ocorre no dia da eleição, quando o TSE promove um sorteio de urnas eletrônicas que serão fiscalizadas. A ação é para verificar a autenticidade e demonstrar a integridade do processo eleitoral “para eleitores sem conhecimentos específicos em tecnologia”, como afirma o site do órgão.

As urnas sorteadas são encaminhadas para os tribunais regionais eleitorais, onde é feita uma simulação de voto. “Cédulas em papel são preenchidas e depositadas em uma urna de lona, para que os participantes digitem esses votos tanto na urna eletrônica quanto em um sistema específico que computará os votos consignados em paralelo”, explica o TSE.

Também no dia da eleição, cada urna eletrônica emite um comprovante com os votos recebidos, chamado de Boletim de Urna (BU). Esse documento é impresso pelos mesários e se torna público logo após o fim da votação – qualquer pessoa pode verificá-lo, inclusive no celular, com o aplicativo Boletim na Mão, desenvolvido pelo TSE.

O grupo de hackers

O CyberTeam é um grupo de hackers com base em Portugal, de acordo com o site Tecmundo e segundo confirmou o perfil de mesmo nome no Facebook, por meio de mensagens privadas. Também conforme publicado pelo Tecmundo, os hackers invadiram o site oficial do então deputado federal Beto Mansur (PRB-SP) em 2017 e, anteriormente, já haviam derrubado o Skype por algumas horas.

O link verificado aqui lista ataques recentes do grupo contra o Conselho Nacional de Justiça, o Tribunal de Justiça do Estado do Pará, entre outros órgãos brasileiros, e ressalta que nem o CyberTeam nem seus aliados foram responsáveis pelo ataque Superior Tribunal de Justiça. De acordo com o site, neste caso do suposto ataque ao TSE, o CyberTeam agiu em parceria com o perfil Noias do Amazonas – que o Comprova tentou contatar via Twitter, mas não recebeu resposta até a publicação deste texto.

A pessoa do CyberTeam que trocou mensagens com o Comprova se apresentou com o apelido Zambrius e confirmou ser o jovem que foi detido em Portugal em abril deste ano por crimes ligados à cibersegurança.

Questionado sobre as afirmações de Barroso, que disse que “esse vazamento não é produto de um ataque atual”, que é “um ataque antigo que nós ainda não fomos capazes de precisar, se foi antigo de dez dias ou antigo de cinco anos”, Zambrius confirmou que “o ataque é de hoje”.

Quando confrontado com a avaliação de especialistas ouvidos pelo Comprova, segundo a qual o vazamento não tem ligação com dados ligados à eleição, Zambrius respondeu: “Eu não explorei por completo o TSE e só me foquei em reunir os dados de utilizador”.

Por que investigamos?

Em sua terceira fase, o Projeto Comprova verifica conteúdos virais sobre as eleições 2020, a pandemia de covid-19 e as políticas públicas do governo federal. Conteúdos que questionam a segurança das urnas eletrônicas ou do sistema de apuração podem colocar em risco a confiança dos cidadãos nos resultados das eleições e, por consequência, na democracia. O caso é ainda mais grave por ocorrer no dia das eleições municipais, quando milhões de pessoas foram às ruas em todo o país para eleger prefeitos e vereadores.

Recentemente, o Comprova mostrou que um recente ataque hacker ao STJ não podia ser visto como sinal de ameaça à segurança das eleições. Também mostrou que o sistema de voto eletrônico brasileiro pode ser auditado, ao contrário do que afirmava um post nas redes sociais e que a empresa que forneceu urnas para as eleições na Venezuela nunca vendeu seus aparelhos para o Brasil.

Enganoso, para o Comprova, é o conteúdo que usa dados imprecisos; que confunde, com ou sem a intenção deliberada de causar dano; ou que é retirado de seu contexto original e usado em outro, de modo que seu significado sofra alterações.