É enganoso o tuíte insinuando que o ataque hacker sofrido pelo STJ (Superior Tribunal de Justiça), pelo Ministério da Saúde e por outros órgãos públicos, no começo de novembro, seja uma ameaça à segurança das urnas eletrônicas ou ao sistema eleitoral do Brasil. Diferentemente desses sistemas internos, os equipamentos de votação são máquinas isoladas, sem qualquer conexão com a internet, segundo verificou o Comprova.

De acordo com o TSE (Tribunal Superior Eleitoral), as urnas eletrônicas não têm nem o hardware necessário para fazer uma conexão a uma rede com ou sem fio –o que inviabiliza um ataque virtual externo.

Para a contagem dos votos, um arquivo é retirado da máquina após o encerramento do período de votação e da impressão do boletim com o resultado daquela urna. Este arquivo é, então, enviado a um pólo de transmissão, que enviará os dados para que o TSE faça a totalização no seu sistema. Este, por sua vez, é conectado à internet.

Ataque ao STJ

O Superior Tribunal de Justiça foi, de fato, assim como afirma o tuíte, alvo de um ataque hacker no dia 3 de novembro. Segundo um comunicado assinado pelo presidente do órgão, ministro Humberto Martins, no dia 5, o ataque foi detectado pela presença de um vírus na rede de informática do tribunal, enquanto sessões de julgamento eram realizadas. Para proteger o sistema, os links da rede interna do tribunal com a internet foram desconectados –fazendo com que os sistemas de informática e telefonia do tribunal deixassem de funcionar.

A pedido do órgão, a Polícia Federal está investigando o caso –em um inquérito sigiloso.

No dia 10, em outro comunicado, o presidente da corte disse que “os principais sistemas da rede de tecnologia da informação do tribunal foram restaurados”, e que novos procedimentos de segurança foram adotados por todos os servidores e usuários da rede interna de forma preventiva.

Também de acordo com a nota, a extensão dos danos causados pelo ataque e das informações a que os hackers tiveram acesso ainda estão sendo apuradas pela Polícia Federal. Advogados temem que os dados dos clientes, que estavam na base do STJ e foram recuperados por um sistema de backup, sejam usados para chantagem pelos criminosos.

Equipamentos isolados

Como aponta o tuíte verificado, com ironia, as urnas eletrônicas não poderiam ser invadidas como foram os sites do STJ por um motivo simples: elas não estão conectadas a uma rede. Segundo o TSE, elas são dispositivos isolados. O que significa que, para invadir uma urna, uma pessoa teria de ter acesso a ela fisicamente –e efetuar a má conduta uma a uma.

“A urna funciona independentemente da internet. Todas as urnas são zeradas antes do início das votações, com a impressão da zerésima (relatório da urna), que comprova que nenhum voto foi digitado até aquele momento. A partir daí, todo voto dado é registrado”, explica o tribunal eleitoral.

Além disso, segundo o analista do TSE Bruno Coimbra, mestre em ciência da computação pela Universidade de Brasília, as urnas eletrônicas não são equipadas com o hardware necessário para se conectar a uma rede de internet ou a qualquer forma de conexão, com ou sem fio.

“Vale destacar que o sistema operacional Linux contido na urna é preparado pela Justiça Eleitoral de forma a não incluir nenhum mecanismo de software que permita a conexão com redes ou o acesso remoto”, explica o analista em artigo publicado no site do tribunal. “Qualquer tentativa de executar software não autorizado na urna eletrônica resulta no bloqueio do seu funcionamento. De igual modo, tentativas de executar o software oficial em um hardware não certificado resultam no cancelamento da execução do aplicativo”.

Diretor de cibervigilância da Cipher, empresa especializada em cibersegurança, Fernando Amatte também descarta qualquer relação entre o ataque ao sistema do STJ e uma hipotética invasão das urnas eletrônicas. Como os dispositivos eleitorais são totalmente desconectados da rede, é inviável estabelecer semelhanças. “Temos situações e vetores de ataque diferentes, com possibilidades de ataques distintas”, esclarece.

De acordo com Amatte, um ataque similar poderia afetar o sistema de totalização de votos ou outras esferas do TSE, mas nunca as urnas, já que os equipamentos, em si, não estão conectados à internet. Por isso, os os boletins de urna são impressos ao final da votação em diferentes vias. Em caso de qualquer ataque ou suspeita de interferência externa, há provas autenticadas que permitem uma checagem segura dos votos.

O especialista considera que as invasões recentes ligaram o alerta nas instituições, que devem renovar os cuidados para se proteger de ataques.

“Ninguém quer ter esse tipo de problema. Sendo assim, acredito que todos os órgãos públicos estão, neste momento, analisando suas redes e suas capacidades internas de detecção, análise e resposta”, afirma. “Caso necessário, medidas complementares de segurança serão tomadas, porém nada muito específico ou focado em eleições”.

O TSE também realiza testes com os equipamentos antes das eleições para averiguar a inviolabilidade da urna. Neste ano, dos 13 planos de ataque feitos pelas entidades que participaram dos testes, apenas dois conseguiram obter sucesso parcial, sem chegarem ao resultado final. Peritos da Polícia Federal (PF) conseguiram romper uma das diversas barreiras de proteção, mas não conseguiram alterar os dados de eleitores e de candidatos.

Verificação

Em sua terceira fase, o Comprova verifica conteúdos suspeitos que tenham viralizado nas redes sociais tratando sobre o processo eleitoral, políticas públicas do governo federal ou sobre a pandemia.

O post verificado aqui, com 7,6 mil curtidas e cerca de 1,4 mil compartilhamentos no Twitter, desinforma ao equiparar um ataque virtual real ocorrido com instituições brasileiras à possibilidade de invasão de urnas, para colocar em xeque o sistema eleitoral brasileiro. Este tipo de questionamento inconsistente e sem provas, estimulado pelo próprio presidente Jair Bolsonaro (sem partido), ajuda a descredibilizar o processo democrático brasileiro.

Enganoso, para o Comprova, é o conteúdo que usa dados imprecisos; ou que confunde, com ou sem a intenção deliberada de causar dano.