É enganoso que um suposto ataque hacker tenha violado a segurança do sistema do TSE (Tribunal Superior Eleitoral ) e ameaçado a votação das eleições municipais, conforme verificaram o Comprova e a agência Aos Fatos. Apesar de o presidente do próprio Tribunal, ministro Luís Roberto Barroso, ter admitido que houve uma tentativa de invasão, o ataque foi neutralizado e não afetou o sistema de totalização dos votos e, muito menos, o sistema das urnas eletrônicas, que não funcionam em rede.

Ainda neste domingo (15), um grupo de hackers expôs dados do TSE em links para download. A ação foi reconhecida pelo tribunal, mas os especialistas ouvidos pelo Comprova foram unânimes em avaliar que se tratam de dados administrativos antigos ou mesmo informações públicas, disponíveis no Portal da Transparência. Os bancos de dados acessados não teriam, portanto, nenhuma relação com as eleições.

A postagem do grupo de hackers é considerada enganosa porque seus autores inflaram e distorceram as características do ataque com objetivo de confundir e lançar dúvidas infundadas sobre a segurança do sistema de votação do TSE.

O que diz o TSE?

O presidente do TSE (Tribunal Superior Eleitoral), ministro Luís Roberto Barroso, classificou o ataque hacker contra o sistema do tribunal de "totalmente inócuo". Segundo ele, a ofensiva foi distribuída, vindo de sucessivas tentativas do Brasil, Estados Unidos e Nova Zelândia.

Barroso afirmou que não há indícios de que o ataque tenha provocado vazamentos de dados de ex-ministros do TSE e de servidores. Segundo ele, a divulgação de dados de hoje foi resultado de um ataque que partiu de Portugal e foi realizado em 23 de outubro.

"Foram vazadas informações antigas e irrelevantes sobre ministros aposentados e antigos funcionários do TSE. Foi um vazamento sem nenhuma relevância ou consequência para o processo eleitoral", disse.

Um dos sinais disso, descrito por Barroso numa coletiva de imprensa anterior, seria o fato de que os e-mails que aparecem no material divulgado têm o final “.gov”, embora há bastante tempo o TSE use a extensão “.tse.br”. Outro é que os servidores que tiveram os seus nomes listados são antigos funcionários da Justiça Eleitoral.

"As urnas não estão em rede, portanto não são vulneráveis a esse tipo de ataque. Não há nada sobre isso que possa interferir no processo eleitoral", completou o ministro.

Sobre a instabilidade no sistema, o ministro Barroso disse que “houve instabilidade pela grande quantidade de acessos relativamente a duas situações: informação sobre local de votação (…) e a justificativa de quem esteja fora do seu estado, do seu local de votação”.

O que dizem os especialistas?

Segundo o professor Paulo Lício de Geus, representante da Sociedade Brasileira de Computação nos testes públicos de segurança do TSE, o vazamento deve ter ocorrido dias antes da eleição porque, na véspera da votação, a rede do tribunal é isolada em um esquema especial para as eleições. “São dados pessoais de saúde, de idade das pessoas. Pelas características dos dados, fica claro que não tem nada a ver com o sistema de votação eletrônico, que é totalmente diferente. É como se aqui na Unicamp você conseguisse acesso aos dados de recursos humanos. Mas a nossa base de dados de pesquisa está salva em outro lugar”, afirma.

Segundo Geus, não é possível alterar o resultado da eleição porque a urna eletrônica é autônoma e funciona desconectada da Internet. Quando a votação termina, o flash da urna, uma espécie de cartão de memória, é levado para um sistema que envia esses dados para o TSE usando criptografia. “Se alguém tentar inserir dados de votação falsos, eles não serão aceitos por causa da criptografia”, diz. Além disso, ele lembra que todos os boletins de urna são disponibilizados publicamente na Internet. Por isso, qualquer candidato ou partido que suspeitar de problemas no resultado pode conferir por conta própria se a totalização foi feita corretamente.

Márcio Correia, analista de sistemas da Universidade Federal do Ceará e professor de tecnologia de informação da Faculdade Cearense, analisou os arquivos das postagens a pedido do Comprova e disse se tratar de arquivos que não são relacionados à votação.

“Os TREs e TSE têm, nos sites deles, espaços para veicular informações sobre processos administrativos internos, como salários de servidores, dados que estão à disposição no que eles chamam de ‘portal da transparência’. O que eu vi nestas postagens foram essas informações, ou seja, nada relacionado à votação”, afirma. “O sistema de apuração dos votos é offline, as urnas não estão ligadas à internet e nem o sistema de apuração, que é em uma rede privada”, completa. “O hacker mostrar que teve acesso a esses arquivos administrativos e de configurações dos sites do TRE e TSE não significa nada e não tem força alguma para colocar em dúvida a segurança da votação, apesar de não ser interessante que tenha havido essa brecha de segurança no site do TSE, ainda que pequena”, explica o professor, que já foi convidado para testar a segurança do sistema.

O Comprova também enviou os arquivos para Thiago Tavares, presidente da SaferNet, associação que promove a defesa dos direitos humanos na internet. Como os dados disponibilizados nas publicações trazem informações como folhas de pagamentos, afastamentos e transferências de servidores, ele acredita que “a invasão se limitou a um servidor que hospedava informações do sistema de Recursos Humanos do tribunal, e não tem relação alguma com as urnas eletrônicas nem com a segurança do sistema usado na apuração e totalização dos votos”.

De acordo com Hiago Kin, presidente da Associação Brasileira de Segurança Cibernética e CEO da Deepcript, os dados divulgados são de banco de dados dos sites da Justiça Eleitoral, que são diferentes daqueles onde são processados os resultados da votação. Segundo Kin, os hackers usaram uma técnica que permite ler o conteúdo de alguns bancos de dados mais vulneráveis, mas que não poderia ser usada para alterar o resultado da apuração de votos.

“O comando de escrita (utilizado no desenvolvimento do site) provavelmente não tenha sido permitido e sequer explorado, porque dispararia alguns alertas de segurança”, explica. Segundo Kin, a maioria dos dados vazados são informações pessoais de servidores e não de sistemas ou pessoas que apuram as eleições. “Os bancos de dados das eleições são outros, alheios aos dos sites. Dizer que uma coisa está relacionada à outra é especular sem provas. Os IPs expostos pertencem unicamente aos sites”, afirma.

Segurança das eleições

Segundo o TSE, a segurança do sistema eletrônico de votação é feita em camadas, ou seja, por meio de dispositivos de segurança de tipos e com finalidades diferentes, são criadas diversas barreiras que, em conjunto, não permitem que o sistema seja violado. Em resumo, qualquer ataque ao sistema causa um efeito dominó e a urna eletrônica trava, não sendo possível gerar resultados válidos.

Para afastar esses questionamentos sobre a segurança das urnas, o TSE promove um desafio desde 2009, ocasião na qual especialistas colocam a segurança de urnas eleitorais à prova para tentar invadir o sistema –seja na parte da votação, apuração, transmissão e recebimento de arquivos. É o que o TSE chama de TPS (Teste Público de Segurança), em que grupos de hackers “do bem” se reúnem para fazer ataques variados aos dispositivos. Eles acontecem, normalmente, no ano anterior às eleições. O último foi concluído em 29 de novembro de 2019, e contou com a participação de 25 especialistas, entre professores, estudantes e peritos.

No documento Sistema Eletrônico de Votação: perguntas mais frequentes, publicado no site do TSE, o órgão responde questões sobre o processo eleitoral e dúvidas em relação à segurança da votação. Na resposta da primeira pergunta, “Como o eleitor pode ter certeza de que a urna eletrônica é segura?”, o documento explica que “há diversos mecanismos de auditoria e de verificação dos resultados que podem ser efetuados pelos candidatos, pelas coligações, pelo Ministério Público”, entre outras entidades.

Ainda de acordo com o tribunal, as urnas eletrônicas começaram a ser utilizadas no Brasil em 1996 e, “em 24 anos de existência, nunca foi comprovada nenhuma fraude no equipamento”.

Para as eleições de 2020, o TSE preparou a série “Desvendando a Urna”, com reportagens sobre o assunto. Uma delas é sobre o tema abordado no post verificado aqui e traz a pergunta “É verdade que a urna eletrônica não é auditável?”. O texto, então, explica que o equipamento possui “diversos recursos que possibilitam e fortalecem a possibilidade de auditagem”. Entre os recursos, estão auditorias pré e pós-eleição e lacração dos sistemas. “Além disso, os sistemas podem ser requisitados para análise e verificação, não somente no período de seis meses que antecedem o pleito, mas a qualquer tempo e pelo prazo necessário para se proceder a uma auditoria completa”, finaliza a reportagem.

No dia da votação

De acordo com verificação de 13 de novembro, uma auditoria ocorre no dia da eleição, quando o TSE promove um sorteio de urnas eletrônicas que serão fiscalizadas. A ação é para verificar a autenticidade e demonstrar a integridade do processo eleitoral “para eleitores sem conhecimentos específicos em tecnologia”, como afirma o site do órgão.

As urnas sorteadas são encaminhadas para os tribunais regionais eleitorais, onde é feita uma simulação de voto. “Cédulas em papel são preenchidas e depositadas em uma urna de lona, para que os participantes digitem esses votos tanto na urna eletrônica quanto em um sistema específico que computará os votos consignados em paralelo”, explica o TSE.

Também no dia da eleição, cada urna eletrônica emite um comprovante com os votos recebidos, chamado de Boletim de Urna (BU). Esse documento é impresso pelos mesários e se torna público logo após o fim da votação –qualquer pessoa pode verificá-lo, inclusive no celular, com o aplicativo Boletim na Mão, desenvolvido pelo TSE.

O grupo de hackers

O CyberTeam é um grupo de hackers com base em Portugal, de acordo com o site Tecmundo e segundo confirmou o perfil de mesmo nome no Facebook, por meio de mensagens privadas. Também conforme publicado pelo Tecmundo, os hackers invadiram o site oficial do então deputado federal Beto Mansur (PRB-SP) em 2017 e, anteriormente, já haviam derrubado o Skype por algumas horas.

O link verificado aqui lista ataques recentes do grupo contra o Conselho Nacional de Justiça, o Tribunal de Justiça do Estado do Pará, entre outros órgãos brasileiros, e ressalta que nem o CyberTeam nem seus aliados foram responsáveis pelo ataque Superior Tribunal de Justiça. De acordo com o site, neste caso do suposto ataque ao TSE, o CyberTeam agiu em parceria com o perfil Noias do Amazonas –que o Comprova tentou contatar via Twitter, mas não recebeu resposta até a publicação deste texto.

A pessoa do CyberTeam que trocou mensagens com o Comprova se apresentou com o apelido Zambrius e confirmou ser o jovem que foi detido em Portugal em abril deste ano por crimes ligados à cibersegurança.

Questionado sobre as afirmações de Barroso, que disse que “esse vazamento não é produto de um ataque atual”, que é “um ataque antigo que nós ainda não fomos capazes de precisar, se foi antigo de dez dias ou antigo de cinco anos”, Zambrius confirmou que “o ataque é de hoje”.

Quando confrontado com a avaliação de especialistas ouvidos pelo Comprova, segundo a qual o vazamento não tem ligação com dados ligados à eleição, Zambrius respondeu: “Eu não explorei por completo o TSE e só me foquei em reunir os dados de utilizador”.

Verificação

Em sua terceira fase, o Projeto Comprova verifica conteúdos virais sobre as eleições 2020, a pandemia e as políticas públicas do governo federal. Conteúdos que questionam a segurança das urnas eletrônicas ou do sistema de apuração podem colocar em risco a confiança dos cidadãos nos resultados das eleições e, por consequência, na democracia. O caso é ainda mais grave por ocorrer no dia das eleições municipais, quando milhões de pessoas foram às ruas em todo o país para eleger prefeitos e vereadores.

Enganoso, para o Comprova, é o conteúdo que usa dados imprecisos; que confunde, com ou sem a intenção deliberada de causar dano; ou que é retirado de seu contexto original e usado em outro, de modo que seu significado sofra alterações.