O Tribunal Superior Eleitoral (TSE) divulgou um resumo contendo as atividades desenvolvidas, os resultados e as principais conclusões do Teste Público de Segurança (TPS) do Sistema Eletrônico de Votação 2016, ocorrido de 8 a 10 de março, no edifício-sede do Tribunal, em Brasília. O chamado compêndio também reúne as próximas ações do Tribunal relativas ao TPS, sendo a principal delas a convocação dos investigadores que participaram desta edição do evento para que executem novamente os mesmos testes, em uma nova versão do sistema eleitoral, aperfeiçoada a partir das correções sugeridas.

Evento inédito no mundo, o TPS foi criado por iniciativa do TSE com o objetivo de fortalecer a confiabilidade, a transparência, a segurança da captação e da apuração dos votos, bem como de propiciar melhorias contínuas no processo eleitoral brasileiro.

A terceira edição ocorreu em espaço preparado exclusivamente para o evento, com entrada controlada e ambiente monitorado por câmeras. Os investigadores tiveram acesso aos componentes internos e externos do sistema eletrônico de votação, como aqueles utilizados para a geração de mídias, votação, apuração, transmissão e recebimento de arquivos, lacrados em cerimônia pública, incluindo o hardware da urna e seus softwares embarcados. Além disso, o TSE concedeu acesso ao código-fonte do sistema, um primeiro passo para adentrar o sistema.

Cada equipe teve à sua disposição computadores e a quantidade de urnas solicitadas, bem como acesso a informações e ferramentas requeridas. O TSE também disponibilizou materiais e equipamentos para auxiliar a execução dos planos de testes, até mesmo ferramentas manuais, como alicate, chaves de fenda e Philips e multímetro digital, além de folhas de papel em branco, canetas esferográficas, mesas, cadeiras, microcomputadores (sem conexão com a internet), impressoras e urnas eletrônicas modelo 2013. Os investigadores receberam, ainda, auxílio de técnicos da Justiça Eleitoral.

Participaram da terceira edição do evento 13 investigadores (quatro grupos e um investigador individual), que tiveram acesso aos componentes internos e externos do sistema eletrônico de votação para criarem seus planos de ataque. Os investigadores apresentaram, ao todo, oito propostas de planos de ataque, que tiveram como objetivo quebrar o sigilo do voto e/ou fraudar a destinação dos votos registrados na urna eletrônica.

Os planos de ataques foram executados seguindo as regras definidas no edital do TPS e, ao final da realização do Teste, cada investigador ou grupo de investigadores apresentou relatório das ações executadas e dos resultados alcançados. Apenas dois grupos (Grupos 1 e 5) e o investigador individual obtiveram êxito na execução de suas propostas. Eles conseguiram identificar pequenas vulnerabilidades no sistema eletrônico de votação e, ao final, apresentaram sugestões de melhoria relacionadas aos erros encontrados.

Com o encerramento do evento, a Comissão Avaliadora, de posse dos planos de testes e documentação de execução dos testes, reuniu-se para elaboração do relatório de avaliação do TPS 2016. No dia 15 de março, o TSE realizou audiência pública para divulgação dos resultados e das conclusões do Teste e para a entrega dos certificados de participação aos investigadores.

Diante dos registros de falhas identificadas durante os testes e apresentadas no relatório da Comissão Avaliadora, o TSE fez as devidas correções e decidiu convocar os investigadores para executarem novamente os mesmos testes. Ainda não há data para a realização do evento.

Acesse aqui a íntegra do compêndio do TPS 2016.

Testes que obtiveram êxito

Na edição 2016 do TPS, três testes foram avaliados com êxito pela Comissão Avaliadora (Grupo 1, Grupo 5 e Investigador Individual). Veja um resumo dos testes a seguir:

Grupo 1 - O teste refere-se ao Sistema de Apuração (SA), especificamente à funcionalidade identificada como Votação Totalmente Eletrônica, que permite a apuração por meio da digitação de um Boletim de Urna (BU). Essa operação ocorre como medida de contingência, por exemplo, nos casos de falhas em urna na qual não tenha sido possível a recuperação dos dados.

O objetivo do teste do Grupo 1 foi alterar valores dos resultados de um Boletim de Urna, gerar novos códigos de verificação, que estão impressos no BU, e, com esse boletim forjado, digitar em outra urna eletrônica (também preparada para aquela seção específica), por meio do Sistema de Apuração, valores divergentes dos apresentados no BU original.

Segundo a Comissão Avaliadora, o impacto dessas ações em uma eleição geral é pequeno e tais ações podem ser detectáveis – seja pelo eleitor, que pode confrontar o resultado apresentado pelas cópias autênticas geradas por meio do QR Code com o resultado apresentado nas cópias falsas, seja pela Justiça Eleitoral, que sabe qual a origem daquele BU.

Grupo 5 – O teste abordou a quebra do sigilo do voto baseado em gravação do áudio disponibilizado para eleitores com deficiência visual. A reprodução de áudio pela urna é uma ferramenta de exceção, disponibilizada para que eleitores que possuem deficiência visual e desconhecem o sistema de leitura em Braille possam votar. Uma vez ativada, a urna emite a narração das teclas digitadas pelo eleitor para que ele possa ter a certeza de que está digitando o número do candidato escolhido.

O plano apresentado consistiu em desvirtuar essa ferramenta para que a urna emitisse o áudio das teclas digitadas não só por pessoas com deficiência visual, mas por qualquer eleitor que vote em determinada seção. Assim, um eleitor que não tivesse solicitado esse recurso votaria normalmente, mas com a urna emitindo o áudio da tecla digitada sem que ele soubesse, já que não estaria utilizando o fone de ouvido para votar.

Para a comissão avaliadora, o aspecto detectado foi uma contribuição positiva da sociedade para o aprimoramento do sistema eletrônico de votação, e a falha foi solucionada imediatamente para estas eleições.  Será desenvolvido para a eleição deste ano um mecanismo que evidencie que o áudio da urna está habilitado.

Investigador Individual – O teste do investigador individual João Felipe Souza refere-se ao reflash da urna, explorando possível vulnerabilidade no processo de carga da urna, a fim de realizar eleições simuladas e direcionadas. O ataque reflash de urna consistiu em fazer a formatação da urna depois do encerramento das votações, para reiniciar a votação.

A Comissão Avaliadora declarou que, para que esse ataque seja bem-sucedido, é preciso que exista corrupção entre as pessoas envolvidas e que tenham acesso à urna eletrônica. Além disso, o ataque poderia ser prevenido adicionando-se um lacre à memória flash interna.

O TPS

Com vistas ao aprimoramento dos aspectos relativos à segurança da informação, transparência e confiabilidade do processo eleitoral brasileiro, desde 2009, o TSE submete seu sistema eleitoral ao Teste Público de Segurança. O diferencial desta terceira edição é que foi a primeira depois de o Tribunal aprovar a Resolução 23.444, que tornou periódica a realização periódica do Teste durante o ciclo de desenvolvimento dos sistemas de votação e apuração, constituindo, obrigatoriamente, parte integrante do processo eleitoral brasileiro.

O Teste reúne especialistas em Tecnologia e Segurança da Informação de diversas organizações, instituições acadêmicas e órgãos públicos para tentarem atacar a urna e seus componentes internos e externos, com o objetivo de descobrir vulnerabilidades do sistema com relação à possibilidade de violação de resultados e quebra do sigilo do voto, apresentando sugestões de aperfeiçoamento.

A primeira edição foi realizada em novembro de 2009 durante quatro dias. Na ocasião, os participantes tentaram violar os sistemas, sem sucesso. Não foi detectada qualquer falha nas barreiras de proteção contra fraudes e tentativas de violação.

De 20 a 22 de março de 2012 foi realizada a segunda edição do TPS, quando foi detectada a necessidade de fortalecer a aleatoriedade da sequência dos votos registrados na urna eletrônica, para evitar a identificação da ordem de registro dos votos. A correção foi feita em seguida.

De acordo com o resumo divulgado, todas as contribuições apresentadas nas duas primeiras edições do TPS “foram extremamente positivas, pois deram ao TSE a chance de aperfeiçoar a segurança e aumentar a confiabilidade dos sistemas, a partir das análises e conclusões feitas pelos investigadores, o que incentivou a continuação da iniciativa em eleições posteriores”.

MM, LC/ TC