O Tribunal Superior Eleitoral apresentou nesta terça, 15/3, o resultado final dos testes de segurança na urna eletrônica. E com ele, uma surpresa: ao fazer o balanço das tentativas de quebra da segurança, na semana passada, o TSE esqueceu de mencionar que pela primeira vez um ataque teve sucesso em alterar os votos na urna.
O feito é do analista de sistemas, Sérgio Freitas da Silva, ele mesmo um veterano dos testes patrocinados pelo TSE – foi o vencedor do primeiro teste, em 2009, quando demonstrou ser possível recuperar os votos com a captura, por radiofrequência, do que era digitado.
“Foi a primeira vez que um ataque foi bem sucedido em violar a integridade do voto, não o sigilo”, admite Sérgio. “Descobri uma vulnerabilidade no código verificador, usado como medida de contingência em casos, por exemplo, de urnas com defeito, e gerei um ataque para construir um boletim de urna falso”, explica.
Parte do sucesso foi o uso desse código (hash) para autenticar como verdadeiro o boletim de urna falsificado – ou seja, fazer com que o sistema interpretasse o novo boletim como a legítima apuração da urna. É com base nos boletins de urna que o sistema totalizador calcula o total de votos.
O TSE afirma que a chance de essa brecha ser utilizada é desprezível “zero vírgula zero zero zero...”, nas palavras do ministro Henrique Neves, que fez a apresentação do relatório final dos três dias de ataques. Segundo ele, “o teste não é para provar que a urna é perfeita, mas buscar uma forma de aperfeiçoamento”.
O argumento do Tribunal é que o ataque se de circunstâncias propiciadas por medidas de contingência. “Nas últimas eleições, isso aconteceu com apenas 33 urnas no primeiro turno e com 17 no segundo”, diz o secretário de tecnologia da informação do TSE, Giuseppe Janino.
O relatório final dos testes destaca também outros dois sucessos. A equipe do professor Luis Fernando de Almeida, diretor do departamento de informática da Unitau, em Taubaté-SP, explorou o sistema de áudio que auxilia a votação de pessoas com deficiência visual e com isso quebrou o sigilo dos votos.
Já o professor João Felipe Souza, do curso de informática do Instituto Federal do Triângulo Mineiro, conseguiu ‘formatar’ (reflash) a urna. “Com isso seria possível votar novamente, mas na situação real é impraticável, porque tem que abrir a urna para fazer alterações”, diz ele.
Para mitigar os riscos com ataques hackers, toda a corporação precisa se unir, adverte Jun Goto, vice-presidente Sênior da NEC Corporation.
Ação civil pública pede adequação do software em 15 dias. Também acusa a União de omissão e quer plano emergencial de proteção de dados para computadores em órgãos públicos que usem o sistema operacional. Microsoft diz que atua dentro da Lei.
Pelo acordo a ser assinado, grandes empresas de tecnologia prometem "proteção igualitária" a clientes contra o uso indevido de sua tecnologia. "Independente da nacionalidade, geografia ou motivação do ataque", asseguram. Entretanto, o comunicado do acordo não deixa claro quanto isso vai custar aos clientes.
Brasil foi o 5º país mais visado por esse tipo de ataque no ano passado. "Não se trata de ser ou não atacado. O ataque vai acontecer, o que precisa é estar preparado", diz o Gerente de Sistemas do NIC.br, Marcelo Gardini.
Apenas no mês de abril, revela o laboratório especializado em cibercrime Dfnder Lab, foram bloqueados mais de 15 golpes diferentes envolvendo compartilhamento no WhatsApp.