Um trecho da entrevista do hacker Marcos Roberto Correia da Silva, preso em Minas Gerais em mar�o de 2021 e investigado por ataques cibern�ticos ao Tribunal Superior Eleitoral (TSE) durante as elei��es municipais em 2020, voltou a circular nas redes sociais em mar�o de 2022, com mais de 3.500 intera��es.
“TSE est� apavorado com este v�deo. vamos repassar o m�ximo”, diz uma publica��o no Twitter com a grava��o, que tinha circulado inicialmente em julho de 2021, em que Marcos Roberto Correia faz afirma��es sobre supostos vazamentos de dados de eleitores e vulnerabilidade de um sistema conectado � internet, al�m de comentar sobre falhas em urnas eletr�nicas em uma confer�ncia nos Estados Unidos.
O conte�do tamb�m circula no Facebook, Instagram e YouTube.
A AFP consultou quatro especialistas em seguran�a cibern�tica e tamb�m o Tribunal Superior Eleitoral (TSE) a respeito dessas alega��es.
Para os especialistas, os ataques online ocorridos durante as elei��es municipais em 15 de novembro de 2020 demonstram vulnerabilidades no sistema web utilizado pelo TSE, mas isso n�o seria suficiente para alterar de maneira permanente os resultados eleitorais. Tamb�m destacam que a opera��o n�o poderia ser feita com a facilidade descrita no v�deo.
J�ferson Campos Nobre, professor do Instituto de Inform�tica da Universidade Federal do Rio Grande do Sul (UFRGS), disse ao Checamos em 22 de mar�o de 2022 que os m�todos citados de ataques �s urnas eletr�nicas n�o s�o fact�veis.
“N�o s�o apresentadas verdadeiramente t�cnicas ou alguma express�o mais clara do que poderia ser um ataque em rela��o � urna. A urna tem sido atualizada, t�m sido produzidas novas vers�es com mais capacidade de seguran�a e obviamente com uma cobertura cada vez maior em rela��o a poss�veis ataques”, apontou Nobre.
Consultado pela AFP tamb�m em mar�o de 2022, o TSE afirmou que a evolu��o dos mecanismos de seguran�a e integridade da vota��o se d� de forma constante. O �rg�o ressaltou que o ataque ao seu sistema de gest�o de pessoas desencadeou uma s�rie de a��es de melhoria da ciberseguran�a dos sistemas publicados na internet, entre elas “uma melhor gest�o de vulnerabilidades dos sistemas e suas plataformas”. O tribunal acrescentou, ainda, que o “hacker n�o realizou qualquer ataque sobre os sistemas eleitorais”.
Ainda de acordo com o TSE, um novo modelo de urna eletr�nica ser� usado nas elei��es de 2022: a UE2020. No entanto, ela n�o ser� empregada sozinha, mas “em conjunto com os demais modelos utilizados nas �ltimas elei��es: UE2009, UE2010, UE2011, UE2013 e UE2015”.
O vazamento das elei��es municipais de 2020
Dentre as afirma��es feitas por Marcos Roberto Correia no v�deo viralizado, est� a de que foi poss�vel acessar dados de eleitores. “A falha fornece acesso ao banco de dados. O que tiver armazenado no banco de dados vai ser tudo capitulado. (...) Dos eleitores tamb�m”, diz, detalhando ter tido acesso a nome, CPF, voto, RG e dados biom�tricos dos votantes.
Em julho de 2021, o TSE negou essa alega��o. “Diversamente do afirmado, n�o houve qualquer vazamento de informa��es de eleitores, mas apenas de informa��es administrativas do tribunal”, disse � AFP.
Segundo especialistas, ainda que o hacker tivesse conseguido acessar esses dados, seria imposs�vel saber em quem um eleitor espec�fico votou.
“Em nenhum momento a urna [eletr�nica] salva a rela��o entre voto e eleitor. Isso nos testes p�blicos de seguran�a fica muito bem visto. Mesmo que algu�m tivesse acesso a todas as bases de dados. Porque n�o existe no registro digital do voto a liga��o entre o eleitor e o voto”, disse no mesmo m�s Lucas Lago, mestre em engenharia da computa��o, pesquisador no Centro de Estudos, Sociedade e Tecnologia da Universidade de S�o Paulo e desenvolvedor no Projeto7c0.
O TSE tamb�m informou � AFP em julho de 2021 que, nas elei��es de 2020, ocorreram dois tipos de ataques cibern�ticos: “Os incidentes reportados, relativos a ataques ao sistema online do TSE (pela t�cnica SQL Injection) e tentativa de ataque de nega��o de servi�o DDoS, foram divulgados pelo pr�prio TSE nas elei��es de 2020 e s�o atualmente objeto de investiga��o pela Pol�cia Federal”.
Thiago Ayub, especialista em ataques DDoS, afirmou que o ataque com a primeira t�cnica mencionada, de SQL Injection, � um tipo de invas�o cibern�tica por meio da qual um hacker se aproveita de campos digit�veis em um site para acessar de forma n�o autorizada um banco de dados.
“Todos os sites que acessamos, que t�m algum campo em que digitamos nosso login e senha ou CPF, armazenam esses dados por tr�s da interface naquilo que chamamos de banco de dados. Imagine um site que pede o seu CPF. Mas, ao inv�s de digitar seu CPF, voc� digita um comando e faz o site te dizer todos os CPFs cadastrados no banco de dados. Ou seja, a partir de um site que te perguntou uma informa��o, voc� consegue inverter essa situa��o e fazer com que esse site te devolva outras informa��es - informa��es �s quais voc� n�o deveria ter acesso”, explicou Ayub.
J� o ataque do tipo DDoS, ou de nega��o de servi�os, � uma a��o que tem como objetivo sobrecarregar um servidor, por meio de v�rias tentativas de acesso simult�neas.
Em 2014, o TSE j� havia sofrido ataques desse tipo: o tribunal registrou 200 mil ataques de nega��o de servi�o por segundo durante o fim de semana do primeiro turno das elei��es gerais. Em 2020, no pleito municipal, o �rg�o identificou 486 mil conex�es por segundo para tentar derrubar o sistema de totaliza��o de votos - sem sucesso, de acordo com o tribunal.
De acordo com Ayub, esse � um tipo de ataque comum. “Entes do governo e empresas costumam receber ataques desse tipo por diversos motivos. N�o inspira preocupa��o adicional o TSE sofrer esse tipo de ataque. (...) Agora, um ataque do tipo SQL Injection � algo muito b�sico. Um programador, mesmo iniciante, deveria colocar esse tipo de prote��o. � como se fosse uma imper�cia.”
Mas, ainda que evit�veis, segundo especialistas, nenhum desses ataques poderia ter adulterado o sistema das urnas eletr�nicas - ao menos n�o de uma maneira direta e simples como a descrita no v�deo.
“O SQL Injection n�o poderia diretamente proporcionar adultera��es na urna, pois ele ocorre no sistema diretamente injetado, ou seja, o sistema online (o site) do TSE. O DDoS tamb�m n�o poderia diretamente proporcionar essas adultera��es, porque ele apenas deixa sistemas alvo do ataque offline, n�o proporciona qualquer leitura ou adultera��o de dados”, afirmou Ayub.
“Agora, indiretamente, o SQL Injection poderia proporcionar a adultera��o na urna? Indiretamente e antes do pleito, podemos imaginar cen�rios muito dif�ceis e que exigiriam um somat�rio de fatores, vulnerabilidades e brechas para se chegar � urna. Ent�o sim, seria deveras improv�vel, mas sim, seria poss�vel. Mas n�o durante a vota��o em si”, acrescentou � AFP.
A vota��o poderia ser manipulada via internet?
“Minha base � que tudo conectado � internet � vulner�vel”, afirma, ainda, o hacker durante a entrevista viralizada.
Paulo L�cio de Geus, representante da Sociedade Brasileira de Computa��o nos testes p�blicos de seguran�a do TSE e professor do Instituto de Computa��o da Universidade Estadual de Campinas (Unicamp), explicou � AFP em julho de 2021 que o resultado das urnas � transferido aos servidores dos Tribunais Regionais Eleitorais (TREs) e ao do TSE por uma rede fechada (VPN), � qual somente a Justi�a Eleitoral tem acesso: “� como se fosse uma internet pr�pria do TSE, separada da mundial”.
“Por�m, se um hacker conseguisse penetrar previamente dentro da rede do TSE, talvez fosse poss�vel agir durante o processo de totaliza��o, embora eu duvide, pois essa rede do TSE fica normalmente desconectada da internet. Um hacker teria que estar pilotando uma m�quina do pr�prio TSE fisicamente, pois n�o seria poss�vel faz�-lo durante a totaliza��o por via remota”, adicionou.
O TSE acrescentou em nota � AFP que, “mesmo na improv�vel hip�tese de acesso indevido �s redes da Justi�a Eleitoral e viola��o de todas as diversas barreiras de seguran�a, n�o seria poss�vel alterar os resultados da elei��o impressos pela urna eletr�nica” nos boletins de urna. O tribunal explicitou que “os equipamentos nos quais s�o executadas as totaliza��es do pa�s existem fisicamente no TSE, com acesso restrito”.
Lago explicou que boa parte do processo que seria necess�rio para manipular as urnas eletr�nicas provavelmente iria exigir acesso f�sico aos flash cards que s�o usados para instalar as urnas ou ao equipamento em si:
“� dif�cil pensar em todas as possibilidades de ataques, mas boa parte deles exigiria uma pessoa pr�xima fisicamente �s urnas”.
Urnas eletr�nicas hackeadas nos EUA
Em outro trecho da entrevista, Marcos Roberto Correia tamb�m afirma que hackers nos Estados Unidos demonstraram que as urnas eletr�nicas possuem brechas de seguran�a: “Em uma confer�ncia de hackers, chamada DefCon, j� comprovaram que existem, sim, falhas de ciberseguran�a nas urnas eletr�nicas”.
A afirma��o est� parcialmente correta. A DefCon � uma confer�ncia anual de hackers que ocorre em Las Vegas, nos Estados Unidos. De fato, o evento reserva um espa�o para discuss�es e testes relacionados � tecnologia eleitoral empregada nos EUA, que ocorrem no chamado DefCon Voting Village. No entanto, o TSE afirmou que em nenhuma edi��o da confer�ncia urnas brasileiras foram testadas e invadidas.
Em 2017, o tribunal enviou dois t�cnicos para acompanhar os trabalhos da Voting Village. “Essa foi a �nica presen�a do TSE no evento. Em nenhuma edi��o as urnas brasileiras foram submetidas a an�lise na Voting Village”, disse o TSE em nota enviada em julho de 2021, cujo conte�do foi reiterado pelo tribunal em mar�o de 2022.
Ainda de acordo com o �rg�o, um dos motivos para acompanhar a DefCon � �poca era aprimorar o Teste P�blico de Seguran�a (TPS), no qual especialistas em tecnologia tentam burlar as barreiras de prote��o da urna eletr�nica e invadir sistemas a ela vinculados.