Segurança

TSE convoca peritos da Polícia Federal por segurança na urna eletrônica

Nesta quarta-feira, 26/8, o Tribunal Superior Eleitoral deu início ao que chamou de Teste de Confirmação do Teste Público de Segurança do Sistema Eletrônico de Votação (TPS) 2019.Trata-se de formalizar correções nas falhas de segurança exploradas pela equipe bem sucedida nos testes realizados no ano passado. 

Na quinta edição dos testes realizados pelo TSE, o grupo que reunia peritos da Polícia Federal teve sucesso em dois ataques, do total de 13 tentativas em oito grupos que participaram. O ‘teste de confirmação do teste’ envolve em convocar os peritos da PF para verificar se as fragilidades encontradas foram corrigidas. 

O grupo de peritos da PF, formado por Paulo Cesar Hermann Wanner, Ivo Peixinho e Galileu Batista de Souza, realizou três planos de teste, que consistiram na extração de dados e configurações do Kit JE Connect; na extração do conteúdo do disco criptografado do Subsistema de Instalação e Segurança (SIS); e na instalação e execução de código arbitrário em uma máquina do Gerenciador de Dados, Aplicativos e Interface com a Urna Eletrônica (Gedai) para implante de dados falsos no equipamento.

Os investigadores do grupo utilizaram a chamada engenharia reversa para alcançar êxito e obter a chave do disco criptografado do SIS. É importante destacar que houve o relaxamento de algumas barreiras de segurança, bem como o fornecimento da senha de configuração e de senhas de usuários locais, o que permite definir os ataques realizados como de origem interna.

Segundo o relatório da Comissão Avaliadora do TPS 2019, a equipe conseguiu executar o Gedai-UE num computador com SIS sem as proteções oferecidas pelo Subsistema. O relatório também destacou que a mesma equipe já atuou em eventos anteriores do TPS e conhecia com profundidade o sistema a ser atacado, o que contribuiu para o sucesso dos testes.


No entanto, eles não foram capazes de alterar dados de eleitores e de candidatos. Isso porque essas informações são assinadas pelos sistemas responsáveis pelo cadastro de eleitores e pelos registros de candidaturas, respectivamente. O Gedai-UE apenas repassa esses arquivos para a urna, sem qualquer tipo de modificação. Todas as tentativas de manipulação de dados de eleitores ou candidatos foram prontamente identificadas pela urna.

De acordo o chefe da Seção de Voto Informatizado (Sevin) do TSE, Rodrigo Coimbra, as alterações realizadas se limitaram ao nome do município e à unidade da Federação num arquivo de configuração gerado pelo Gedai-UE. Porém, tais informações, segundo ele, são impressas na zerésima e no Boletim de Urna (BU) apenas para controle dos próprios técnicos e da fiscalização antes e após a votação.

Além disso, de acordo o analista, as informações também são exibidas na tela da urna, assim que ela é preparada para a eleição. “Em qualquer cenário, faz parte das rotinas de verificação da preparação da urna para a eleição a conferência desses dados. Portanto, qualquer modificação nesses dados seria rapidamente identificada, fazendo com que essa urna não fosse levada para a eleição. Ou seja, o grupo não foi capaz de alterar nada que afete o registro e a apuração dos votos”, explica Coimbra.

* Com informações do TSE

Botão Voltar ao topo