PF e UFMS atestam evoluções que ampliam segurança das urnas

Investigadores da Polícia Federal e da Universidade Federal de Mato Grosso do Sul (UFMS) atestaram, na noite de ontem (17), que as melhorias sugeridas no ano passado e incorporadas pelo Tribunal Superior Eleitoral (TSE) inviabilizaram as investidas contra a urna eletrônica e ampliaram o sistema eletrônico de votação e apuração de votos, para as eleições de outubro deste ano de 2024.

Com o aval da PF e da UFMS, o TSE concluiu a etapa de confirmação da 7ª edição do Teste Público de Segurança da Urna (TPS), No evento, o secretário de Tecnologia da Informação do TSE, Júlio Valente, avaliou a segunda rodada de testes como extremamente bem-sucedida. “Os testes foram refeitos e nenhuma vulnerabilidade foi encontrada”, ressaltou.

Valente ainda destacou que o TPS é o momento em que o TSE submete os sistemas eleitorais envolvidos nos processos de coleta e apuração dos votos ao exame público, para avaliação da segurança da urna eletrônica, com total transparência e fornecendo acesso completo aos códigos-fonte dos sistemas eleitorais, para que os inscritos exercitem os testes que considerarem devidos.

Todos os planos de reteste, destaca o TSE, inclusive os cinco submetidos a uma segunda rodada de exercícios, foram validados pelas equipes. “O sistema eleitoral brasileiro é o mais seguro do mundo, porque ele é uma construção coletiva de toda a sociedade brasileira. Essas pessoas efetivamente contribuíram para o avanço do sistema eleitoral brasileiro”, ressaltou o secretário de TI do TSE.

‘Teste Público de Segurança da Urna atestou evolução do sistema eletrônico de votação (Foto: Alejandro Zambrana/Secom/TSE)

Comissão Avaliadora

De acordo com André Furtado Pacheco, auditor do Tribunal de Contas da União (TCU) e integrante da Comissão Avaliadora, responsável pela análise dos resultados obtidos no evento, a confirmação do Teste da Urna é a melhor maneira de se verificar a segurança dos equipamentos usados para colher os votos do eleitorado.

“Essa etapa de confirmação é essencial, porque quem constatou os problemas irá confirmar junto ao TSE que eles foram resolvidos. Então, mais do que uma etapa somente de confirmação, é também um importante instrumento de transparência”, observou.

Aprimoramento

Nesta semana, os integrantes da PF replicaram três testes executados no TPS 2023. No primeiro, a equipe detectou uma inconsistência no processo de inicialização da urna.

Para aprimorar a segurança dos sistemas, o TSE:

• modificou o BIOS das urnas para que tanto a validação de assinatura quanto a execução do software de inicialização (bootloader) fossem feitas com um único acesso à mídia de aplicação; e
• alterou o processo de inicialização para não carregar qualquer módulo e, com isso, apenas executar o kernel do sistema operacional.

A última medida impediu a alteração do bootloader e preservou a integridade do sistema de inicialização da urna, assim como o sigilo de chaves do sistema.

Teste Público de Segurança (TPS) fortalece sistema eletrônico de votação. Foto: Roberto Jayme/Ascom TSE/Arquivo

A PF ainda explorou um comportamento imprevisto que permitiu a possibilidade de acesso à área em que ficam os sistemas usados nos computadores que apoiam a preparação das urnas.

Os apontamentos também foram resolvidos pelo Tribunal, que:

• desenvolveu uma solução que, ao identificar potenciais riscos, apaga o chip de computador onde se encontram as chaves necessárias para acessar os dados da Justiça Eleitoral; e
• implementou uma proteção adicional de segundo fator na inicialização dos computadores usados na preparação dos equipamentos.

“Nós e todos os colegas [da PF] que participam somos entusiastas do sistema [eleitoral]. Estamos aqui, claro, como um desafio pessoal de [tentar] encontrar uma vulnerabilidade, mas também na perspectiva maior que é contribuir para o sistema e para a democracia do país”, disse o perito federal e professor do Instituto Federal do Rio Grande do Norte (IFRN), Galileu Batista de Sousa, é o representante da equipe da PF.

A equipe da UFMS repetiu dois testes executados no TPS 2023. A primeira estratégia analisou o sistema de controle de acesso envolvendo a linguagem de programação Python no software JE-Connect, usado na transmissão dos dados para totalização (soma dos votos) no TSE. Já a segunda focou no Subsistema de Instalação e Segurança (SIS) e nos privilégios de aplicativos executados.

Para impedir qualquer avanço, o Tribunal:

• corrigiu o comando de reboot e adequou a operação ao comportamento padrão, que restringiu a quantidade de tentativas de inserção de senhas; e
• limitou os privilégios dos usuários para impedir acessos indevidos.

O representante da UFMS, professor Carlos Alberto da Silva (de vermelho, na foto abaixo), explicou que, durante os três dias do evento de confirmação, a equipe se dedicou a replicar os planos de testes e verificar se os achados foram sanados.

“Não conseguimos replicar o que foi detectado na fase de levantamento. Dentro do escopo que nós testamos, podemos afirmar que o TSE corrigiu 100% das vulnerabilidades que foram levantadas”, explicou o investigador, que é doutorando em Ciência da Computação pela UFMS. (Com Secom TSE)