É falso que hacker tenha atacado sistema de votos do TSE, ao contrário do que afirma tuíte

É falso que um hacker tenha atacado o sistema de votos do Tribunal Superior Eleitoral (TSE), como afirma um tuíte que viralizou neste domingo (29), dia do segundo turno das eleições. No sábado, a Polícia Federal cumpriu quatro mandados de busca e apreensão em São Paulo, Minas Gerais e em Portugal contra programadores acusados de integrar o grupo hacker que vazou dados administrativos do TSE no primeiro turno das eleições de 2020.

Os dados vazados eram da área de recursos humanos e os hackers não chegaram a invadir o sistema de apuração dos votos ou as urnas eletrônicas, de acordo com a Justiça Eleitoral, a Polícia Federal e quatro especialistas em cibersegurança que, a pedido do Comprova, analisaram as informações vazadas no dia em que a falha de segurança se tornou pública.

Também não é verdade que o sistema de votação brasileiro não seja seguro por não ter uma auditoria através de votos impressos. As urnas eletrônicas, a rede que transmite os votos e o programa que faz a totalização da votação de cada candidato possuem uma série de mecanismos de segurança, como criptografias e chaves de segurança às quais apenas o TSE tem acesso.

A Justiça Eleitoral também realiza auditorias das urnas eletrônicas em todos os estados, no primeiro e no segundo turno das eleições, com participações de fiscais dos partidos políticos, de representantes da sociedade civil e de qualquer cidadão interessado em acompanhá-las. Como o Comprova já mostrou, a impressão de um comprovante com os votos de cada eleitor foi considerada inconstitucional pelo Supremo Tribunal Federal (STF) porque poderia violar o sigilo do voto, que é definido como direito fundamental pela Constituição de 1988.

Como verificamos?

Para essa verificação, inicialmente buscamos informações sobre a prisão do hacker que vazou dados da Justiça Eleitoral. Também procuramos o TSE para saber sobre a segurança das urnas e o processo de apuração dos votos. Entrevistamos Emanuel Bezerra, professor do Departamento de Computação da Universidade Federal do Ceará (UFC), para entender como funciona o tipo de ataque que resultou no vazamento de dados da Justiça Eleitoral. Por fim, entramos em contato com o autor do tuíte.

Verificação
Como foi a ação do hacker preso?

De acordo com matéria publicada pelo Estadão, que entrevistou o hacker, o ataque foi do tipo DDoS (do inglês Distributed Denial-of-Service attack) e realizado por meio de uma "botnet" (controle de uma rede de dispositivos com internet), o que gerou instabilidade no site. O ataque de DDoS, também conhecido como ataque de negação de serviço, atinge seu objetivo excedendo os limites do servidor.

Para isso, os hackers criam programas maliciosos que são instalados em diversas máquinas, as quais realizarão múltiplos acessos simultâneos ao site ao qual o ataque é direcionado. A mesma estratégia foi utilizada nos ataques aos sites da Receita Federal, da Presidência da República, do Portal Brasil e da Petrobras ocorridos em junho de 2011.

Na segunda-feira (16), o presidente do Tribunal Superior Eleitoral (TSE), Luís Roberto Barroso, afirmou que o ataque não afetou as urnas eletrônicas nem o resultado das eleições. No entanto, a ação resultou em lentidão nos serviços remotos do TSE em todo o Brasil, devido a solicitações oriundas de 435 mil conexões — que além do território nacional, partiram de países como Estados Unidos e Nova Zelândia.
Segundo Emanuel Bezerra, professor do Departamento de Computação da Universidade Federal do Ceará (UFC), esse tipo de ataque só é possível ser feito com uma rede articulada de computadores, ao contrário do que afirmou o hacker, que disse ter feito a operação sozinho e com auxílio apenas de um celular.

“É muito difícil só uma pessoa com o celular conseguir derrubar uma rede. Geralmente são muitas máquinas infectadas trabalhando ao mesmo tempo, e elas não precisam ser do hacker. O que os hackers fazem é contaminar as máquinas (computadores e celulares) de outras pessoas ao redor do mundo, que ficam como se fossem ‘zumbis’ no momento do ataque e iniciam os disparos em massa na rede que o hacker quer derrubar. Essa contaminação de máquinas pode ser causada por sites ou links maliciosos e resultam no que a gente chama de botnet (rede de robôs), que obedecem as ordens do atacante”, explica.

Quem é o hacker?

O hacker português identificado como Zambrius, líder do grupo local CyberTeam, suspeito de ter atacado os dados da Justiça Eleitoral do Brasil, foi preso sábado, 28, pela Polícia Federal em Portugal. O hacker tem 19 anos e se diz “viciado” em programação de computador. Estava detido em casa desde março, com uma tornozeleira eletrônica, após efetuar um ataque aos sistemas de uma empresa de energia elétrica local.

Em entrevista ao Estadão, feita entre os dias 17 e 18 de novembro, mas publicada após a prisão, ele contou que agiu por “diversão” e por ser contra governos. Ele acrescentou que o objetivo principal era demonstrar que o TSE continuava vulnerável mesmo depois de ter sido anunciado que tinha reforçado a segurança.

Sobre o fato de o ataque ter feito com que os apoiadores do presidente Jair Bolsonaro acusassem fraude no sistema eleitoral do Brasil, o hacker disse que a intenção do grupo não era propulsionar o que chamou de "desinformação de fraudes”, e que a invasão não afeta ou causa fraudes nas eleições. “Eu não tenho envolvimento em atos políticos, tenho apenas protestos antigoverno, nunca apoiei partidos, governos ou o quer que seja relacionado ao governo", afirmou.

No dia 15, o Comprova entrou em contato com a página do CyberTeam e a pessoa que respondeu às mensagens e trocas de e-mails se apresentou como Zambrius e disse ser o jovem que já havia sido preso em abril deste ano em Portugal. Ele disse que o ataque teria ocorrido na data do primeiro turno das eleições, não anos antes.

Quando questionado sobre a avaliação de especialistas ouvidos pelo Comprova, segundo a qual o vazamento não teve ligação com dados da eleição, Zambrius respondeu: “Eu não explorei por completo o TSE e só me foquei em reunir os dados de utilizador”.

Sistema de votos não foi invadido

O TSE afirmou ainda no dia 15 de novembro, data do primeiro turno, que o vazamento envolvia apenas dados administrativos do tribunal, com informações de funcionários e ex-ministro da Corte. As informações são referentes ao período de 2001 a 2010. A falha não comprometeu o sistema de votação, que funciona à parte e possui várias travas de segurança, inclusive utilizando chaves e criptografia. O ataque também não poderia afetar as urnas eletrônicas, que estavam recebendo o voto dos eleitores naquele momento, porque elas não são conectadas à internet.

Ainda no dia 15 de novembro, o Comprova pediu a quatro especialistas em cibersegurança que avaliassem os dados vazados para saber se eles poderiam comprometer o resultado das eleições. Todos foram unânimes em afirmar que o sistema de votos não foi afetado e que o ataque não violou a segurança da eleição. Foram ouvidos Paulo Lício de Geus, professor do Instituto de Computação e CIO da Universidade Estadual de Campinas (Unicamp) e representante da Sociedade Brasileira de Computação nos testes públicos de segurança do sistema eletrônico de votação do TSE; Hiago Kin, presidente da Associação Brasileira de Segurança Cibernética e CEO da Deepcript; Thiago Tavares, presidente da SaferNet; e Márcio Correia, analista de sistemas da Universidade Federal do Ceará (UFC) e professor de Tecnologia de Informação da Faculdade Cearense (FaC).

Posição do TSE e segurança da eleição

Desde o dia do primeiro turno da eleição, as informações iniciais passadas pelo ministro Luís Roberto Barroso eram de que o vazamento de dados havia partido de Portugal. O ministro da Justiça, André Mendonça, também afirmou, no dia da votação, que a Polícia Federal estava investigando o caso e não havia encontrado “qualquer indicativo de prejuízo ao pleito eleitoral”. Além de garantir que a falha de segurança não afetou o resultado das eleições por conta das medidas de proteção, o TSE também instituiu uma Comissão de Segurança Cibernética para trocar informações com a PF e acompanhar a apuração do caso.

As urnas eletrônicas possuem comandos que garantem que apenas softwares assinados digitalmente pelo TSE possam ser executados. Também são programadas barreiras de segurança que fazem com que tentativas de ataque ou de executar um software não autorizado bloqueiem o aparelho. O programa oficial do TSE também para automaticamente de ser executado caso alguém tente executá-lo em um hardware não certificado. Além disso, a urna não é conectada à internet. O sistema operacional instalado nela impede a conexão com qualquer rede ou acesso remoto.

As urnas passam por testes públicos em que especialistas tentam quebrar as barreiras de segurança. Em nenhuma das cinco edições (realizadas em 2009, 2012, 2016, 2017 e 2019) os programadores conseguiram quebrar o sigilo ou desvirtuar a destinação dos votos. Se houver qualquer suspeita em relação à autenticidade do software utilizado em qualquer aparelho, as assinaturas digitais também podem ser conferidas pela Justiça Eleitoral.

Por fim, o TSE realiza auditorias para testar a segurança e a lisura da votação. Os Tribunais Regionais Eleitorais (TREs) sorteiam ao menos seis urnas em cada turno da eleição. Em três delas são conferidos os sistemas instalados no equipamento. Fiscais da sociedade civil, de partidos políticos e cidadãos podem conferir se a assinatura digital que consta nas urnas é a mesma que foi lacrada anteriormente em uma cerimônia feita pela Justiça Eleitoral.

Nas demais urnas, é feita uma votação paralela. Em um local público, com a participação de fiscais dos partidos políticos e de qualquer cidadão que tenha interesse em acompanhar, é feita uma votação simulada, em que os representantes dos partidos preenchem cédulas em papel e, depois, registram esses votos nas urnas. Ao final, as cédulas em papel são contadas para verificar se os votos batem com o boletim impresso ao final pela urna eletrônica.

O autor do post

O Comprova entrou em contato com o autor da postagem, um ex-agente da Polícia Rodoviária Federal (PRF) com atuação pró-Bolsonaro nas redes sociais e residente em Fortaleza. “Eu não disse que ela (a urna eletrônica) não é auditável. Eu disse que sem o voto impresso, não há segurança 100%. (...) Não é voltar ao sistema anterior, mas adicionar outra camada de segurança”, afirmou, defendendo a impressão do voto, medida declarada inconstitucional pelo Supremo Tribunal Federal (STF) por riscos de fraude e quebra de sigilo.

Logo após o contato do Comprova, o autor restringiu o acesso à publicação, que já havia sido curtida por quase 2,5 mil contas e compartilhada por quase 500.

Por que investigamos?

Em sua terceira fase, o Comprova verifica conteúdos suspeitos que tenham viralizado nas redes sociais sobre as eleições de 2020, a pandemia de covid-19 e políticas públicas do governo federal. É o caso do tuíte verificado aqui, do perfil @pacefeco, que teve 2,2 mil interações nas redes sociais. Conteúdos sobre a eleição são importantes porque a desinformação pode afetar a credibilidade dos resultados das urnas.

Recentemente, o Comprova mostrou que as justificativas dos eleitores não podem ser transformadas em votos válidos; que a apuração brasileira é aberta a qualquer pessoa; que é possível realizar recontagem dos votos; e que o sistema que aparece em um vídeo para simular fraude não é o mesmo das urnas eletrônicas.

Falso, para o Comprova, é o conteúdo inventado ou que tenha sofrido edições para mudar o seu significado original e divulgado de modo deliberado para espalhar uma mentira.

Esta apuração foi feita pelo O POVO e Jornal do Commercio. A checagem foi feita posteriormente pelo Marco Zero, Correio da Bahia, BandNews FM, Diário do Nordeste, Estadão, Folha de S.Paulo e AFP.

Dúvidas, Críticas e Sugestões? Fale com a gente

Tags