TPS 2016: conheça os três planos de aperfeiçoamento da urna eletrônica

O Tribunal Superior Eleitoral (TSE) realizará, de 8 a 10 de março, o Teste Público de Segurança 2016 do Sistema Eletrônico de Votação (TPS). Participarão do evento quatro grupos de investigadores e um investigador individual, 13 pessoas no total, que irão atuar na possível identificação de vulnerabilidades e falhas relacionadas à violação da integridade ou do anonimato dos votos de uma eleição. O teste poderá ser acompanhado pela imprensa nacional e internacional, e os jornalistas interessados devem se inscrever até o dia 7 de março, acessando o link.

O TPS 2016 será realizado em um ambiente exclusivo, com acesso controlado e monitorado por câmeras. Os investigadores terão acesso aos componentes internos e externos do sistema eletrônico de votação, como aqueles utilizados para a geração de mídias, votação, apuração, transmissão e recebimento de arquivos, lacrados em cerimônia pública, incluindo o hardware da urna e seus softwares embarcados.

O TSE disponibilizará ainda no ambiente do TPS diversos materiais e equipamentos que possibilitarão a execução de toda e qualquer ação prevista nos planos de testes elaborados pelos participantes, até mesmo ferramentas manuais como alicate, chave de fenda e Philips e multímetro digital, além de folhas de papel em branco, canetas esferográficas, mesas, cadeiras, microcomputadores (que não poderão ser conectados à internet), impressoras e urnas eletrônicas modelo 2013.

Plano de Teste

Para participar do evento, os investigadores elaboraram os respectivos planos de testes, que foram previamente avaliados e aprovados pela Comissão Reguladora do TPS. O Plano de Teste consiste no detalhamento do “ataque” que pretendem simular, embasado em normas, artigos, publicações e outros trabalhos técnicos e científicos. Dos oitos planos aprovados para o TPS 2016 quatro tem o objetivo de quebrar o sigilo do voto e os demais preveem a alteração da destinação dos votos.

Resultados

Ao final da fase de realização do Teste Público de Segurança, cada investigador deverá apresentar um relatório das ações executadas e resultados alcançados, de acordo com as regras definidas no edital e, caso identifiquem alguma falha, vulnerabilidade explorada ou fraude, deverão apresentar as respectivas sugestões de melhoria.

De acordo com o edital do TPS, fraude é um ato intencional que tenha alterado informações e/ou causado danos, interferindo na destinação e/ou anonimato dos votos, e que tenha sido efetuado de forma a não restarem vestígios perceptíveis. Já a vulnerabilidade explorada é a execução de um ato intencional que tenha explorado uma fragilidade importante da urna, mas que não seja condição suficiente para violar a destinação ou sigilo dos votos, ou, caso sejam alcançados, que deixe a existência de vestígios. Por fim, é considerada falha qualquer evento que impeça bom funcionamento do software, sem interferir na destinação e/ou anonimato dos votos dos eleitores.

Obrigatoriedade

A obrigatoriedade e a periodicidade do Teste Público de Segurança estão previstas na Resolução nº 23.444/2015 do Tribunal, que instituiu o evento como parte integrante do processo eleitoral brasileiro, devendo ser realizado antes de cada eleição ordinária.


FONTE: SITE TSE -FP/RC

O Tribunal Superior Eleitoral (TSE) realizou, na manhã desta terça- feira (15), audiência pública para divulgar o relatório da Comissão Avaliadora do Teste Público de Segurança (TPS) 2016 do Sistema Eletrônico de Votação. Do total de 11 planos de testes, três foram realizados e receberam avaliação por apresentarem contribuição relevante para o processo de aprimoramento do sistema eletrônico de votação. A audiência foi conduzida pelo ministro Henrique Neves, que também entregou certificado aos participantes.

A terceira edição do TPS foi realizada de 8 a 10 de março, nas dependências do TSE, e teve como objetivo contar com a contribuição da sociedade para identificar possíveis vulnerabilidades e falhas relacionadas à violação da integridade ou do anonimato dos votos de uma eleição, bem como apresentar soluções de aperfeiçoamento ao sistema.

Contribuição do Grupo 1

Uma das contribuições foi apresentada pelo Grupo 1, composto por três integrantes e coordenado por Sérgio Freitas da Silva, analista de sistemas, desenvolvedor de software, advogado, graduado em Administração e Direito e mestrando em Administração com especialização em Engenharia de Sistemas, Auditoria e Gestão Pública.

O objetivo do teste foi alterar valores dos resultados de um Boletim de Urna (BU), gerar novos códigos de verificação – que estão impressos no BU – e, com esse BU forjado, digitar em outra urna eletrônica (também preparada para aquela seção específica), por meio do modo Sistema de Apuração (SA), valores divergentes dos apresentados no BU original.

O código verificador foi implementado pela Justiça Eleitoral no BU para, no caso de ser necessária a digitação do conteúdo do BU impresso no Sistema de Apuração, “validar” essa digitação. Ou seja, o código verificador impede que seja concluída a digitação de um conteúdo que não corresponda exatamente ao conteúdo do BU original impresso.

O plano do Grupo 1 atacou o algoritmo responsável pela geração do código verificador, e foi um dos projetos que obtiveram êxito. Assim, seria possível gerar novos códigos verificadores válidos e que poderiam ser aceitos pela urna eletrônica, apesar de serem diferentes do original. Dessa forma, seria possível alterar o resultado da votação em uma seção. Para conseguir executar o teste, o Grupo teve acesso ao código-fonte do sistema em janeiro deste ano, na fase de preparação, quando conheceu e entendeu as especificidades do algoritmo.

Cabe destacar alguns pré-requisitos para que o ataque tenha sucesso em uma ocasião normal de votação: conhecimento sobre como é calculado o código verificador, acesso a um BU legítimo, acesso a uma urna em modo Sistema de Apuração, e interceptação e eliminação do BU verdadeiro e mídia de resultado.

A solução sugerida por Sérgio Freitas seria “a utilização de assinatura digital nos documentos impressos na urna, incluindo o Boletim de Urna, permitindo aos interessados conferir a autenticidade dos documentos a partir de um código de autenticação impresso nos documentos”.

As alterações já foram feitas pelo TSE e os investigadores terão a oportunidade de executar novamente o plano e testar a barreira imposta pelo novo código verificador.

Contribuição do Grupo 5

O Grupo 5, composto por cinco integrantes e coordenado pelo doutor em Engenharia Mecânica Luis Fernando de Almeida, representou a Universidade de Taubaté (Unitau), em São Paulo. O  objetivo do plano de teste foi quebrar o sigilo do voto, baseado em gravação do áudio disponibilizado pela urna eletrônica para pessoas com deficiência visual. A reprodução de áudio pela urna é uma ferramenta de exceção disponível para que eleitores que possuem deficiência visual e desconhecem o sistema de leitura em Braille, possam votar. Uma vez ativada, a urna emite a narração das teclas digitadas pelo eleitor para que ele possa ter a certeza de que esta digitando o número do candidato escolhido.

Para saber quais são os sons emitidos pela urna habilitada, seria preciso instalar um aparelho transmissor de áudio (plug). No caso, o grupo desenvolveu um microcomputador que transmitiria digitalmente para outro computador esse áudio, utilizando uma rede wi-fi. Esse dispositivo de escuta seria colocado na saída de áudio da urna eletrônica. Esse trabalho teria que ser feito por um mesário, presidente da seção ou pelo próprio eleitor sem que ninguém mais veja, ou diante do conluio entre as pessoas que trabalham em determinada seção eleitoral.

Dessa forma, seria gravado o áudio reproduzido pela urna, disponibilizado para pessoas com deficiência visual, e associada à sequência de votação na urna com a sequência de eleitores que compareceram à seção. Algum mesário, presidente de seção, ou alguém da fila de eleitores teria que anotar a sequência das pessoas que votaram para correlacionar essa informação com a sequência de votos registrados na urna e, por meio da gravação do áudio reproduzido, violar o anonimato do eleitor, identificando para quem ele votou.

A sugestão de correção apresentada pelo grupo seria criptografar o áudio emitido pela urna e a Justiça Eleitoral disponibilizar um fone de ouvido que contaria com tecnologia suficiente para descriptografar o som emitido, a fim de que o eleitor possa compreendê-lo. Essa medida seria altamente onerosa e há outras maneiras mais simples e baratas de resolver essa questão.

A Justiça Eleitoral já está estudando formas de tornar essa prática ainda mais inviável. Será desenvolvido, já para a eleição deste ano, um mecanismo que evidencie que o áudio da urna está habilitado. A intenção é deixar claro para o eleitor que o áudio da urna está habilitado, quer seja ele deficiente físico ou não. E o cidadão será instruído posteriormente para saber identificar isso. Caso ele não tiver solicitado esse recurso, deverá comunicar aos mesários para que o áudio seja desativado.

Investigador individual

O teste do investigador individual João Felipe de Souza, professor do Instituto Federal do Triângulo Mineiro - campus Paracatu, graduado em Ciência da Computação e mestre em Engenharia Agrícola, baseou-se em um plano teórico em hipóteses: o atacante deveria interromper a votação, desligar a urna eletrônica, retirar as memórias flash da urna e copiá-las. Após, iria reiniciar a votação com o código de reinício, computar o último voto e encerrar a votação. Em seguida, deveria restaurar as memórias flash para o estado anterior e encerrar novamente a votação.

Nesse cenário, o último voto poderia ser deduzido pela comparação dos dois Boletins de Urna, ocorrendo quebra de sigilo do último voto computado antes da retirada da memória flash.

Como pré-requisitos para o sucesso do ataque teria que haver o acesso físico irrestrito à urna e a violação do lacre do equipamento.  

De acordo com o próprio investigador, “o plano de teste foi  bem sucedido no ponto de vista em que se conseguiu explorar uma falha na urna, mas em termos práticos é um plano inviável de ser executado, porque é um plano teórico em hipóteses”.

João Felipe disse ainda que levantou uma hipótese e consegui prová-la, mas para que o teste seja aplicado seria preciso corromper muitas pessoas como o cartório eleitoral, os mesários, os fiscais dos partidos e até mesmo os eleitores. “Então é um teste impraticável, não há a possibilidade de alguém executar ele para alterar o resultado da eleição ou quebrar o sigilo do voto”, concluiu.

GA, LC, JP/TC

Últimas notícias postadas

Recentes