Topo

UOL Confere

Uma iniciativa do UOL para checagem e esclarecimento de fatos


Ataque hacker ao STJ não é sinal de ameaça à segurança das urnas

José Cruz/Arquivo/Agência Brasil
Imagem: José Cruz/Arquivo/Agência Brasil

Do UOL, em São Paulo*

13/11/2020 13h57

É enganoso o tuíte insinuando que o ataque hacker sofrido pelo Superior Tribunal de Justiça (STJ), pelo Ministério da Saúde e por outros órgãos públicos, no começo de novembro, seja uma ameaça à segurança das urnas eletrônicas ou ao sistema eleitoral do Brasil. Diferentemente desses sistemas internos, os equipamentos de votação são máquinas isoladas, sem qualquer conexão com a internet.

De acordo com o Tribunal Superior Eleitoral (TSE), as urnas eletrônicas não têm nem o hardware necessário para fazer uma conexão a uma rede com ou sem fio — o que inviabiliza um ataque virtual externo.

Para a contagem dos votos, um arquivo é retirado da máquina após o encerramento do período de votação e da impressão do boletim com o resultado daquela urna. Este arquivo é, então, enviado a um pólo de transmissão, que enviará os dados para que o TSE faça a totalização no seu sistema. Este, por sua vez, é conectado à internet.

Como verificamos?

Procuramos o STJ, para verificar as informações sobre o ataque hacker mencionado no tuíte. A primeira tentativa foi por e-mail, mas não houve resposta. Pelo WhatsApp oficial, o órgão confirmou o ocorrido, e, por meio de notas com atualizações, disse que o caso está sendo investigado pela Polícia Federal e que o sistema está sendo restabelecido de forma gradual. O e-mail só foi respondido quatro dias depois, avisando o restabelecimento do sistema.

Também entramos em contato com o Tribunal Superior Eleitoral, mencionado no tuíte e responsável pelo sistema eletrônico usado nas urnas de votação brasileiras. A Corte nos passou informações sobre os mecanismos de segurança usados nos equipamentos e sobre o funcionamento das urnas.

Entrevistamos, ainda, por e-mail, Fernando Amatte, diretor de Cibervigilância da Cipher, empresa paulista especializada em cibersegurança, que explicou o ataque ao STJ e a diferença do sistema usado no tribunal para aquele adotado nas urnas eletrônicas.

Por fim, consultamos matérias publicadas na imprensa sobre o ataque ao Superior Tribunal de Justiça.

Procuramos também uma forma de contatar a autora do tuíte enganoso, mas sua conta não aceita mensagens e não encontramos e-mail ou telefone de contato.

Verificação

Ataque ao STJ

O Superior Tribunal de Justiça foi, de fato, assim como afirma o tuíte, alvo de um ataque hacker no dia 3 de novembro. Segundo um comunicado assinado pelo presidente do órgão, ministro Humberto Martins, no dia 5, o ataque foi detectado pela presença de um vírus na rede de informática do tribunal, enquanto sessões de julgamento eram realizadas. Para proteger o sistema, os links da rede interna do tribunal com a internet foram desconectados — fazendo com que os sistemas de informática e telefonia do Tribunal deixassem de funcionar.

A pedido da própria Corte, a Polícia Federal está investigando o caso — em um inquérito sigiloso.

No dia 10, em outro comunicado, o presidente da corte disse que "os principais sistemas da rede de tecnologia da informação do tribunal foram restaurados", e que novos procedimentos de segurança foram adotados por todos os servidores e usuários da rede interna de forma preventiva.

Também de acordo com a nota, a extensão dos danos causados pelo ataque e das informações a que os hackers tiveram acesso ainda estão sendo apuradas pela Polícia Federal. Advogados temem que os dados dos clientes, que estavam na base do STJ e foram recuperados por um sistema de backup, sejam usados para chantagem pelos criminosos.

Urnas são equipamentos isolados

Como aponta o tuíte verificado, com ironia, as urnas eletrônicas não poderiam ser invadidas como foram os sites do STJ por um motivo simples: elas não estão conectadas a uma rede. Segundo o TSE, elas são dispositivos isolados. O que significa que, para invadir uma urna, uma pessoa teria de ter acesso a ela fisicamente - e efetuar a má conduta uma a uma.

"A urna funciona independentemente da internet. Todas as urnas são zeradas antes do início das votações, com a impressão da zerésima (relatório da urna), que comprova que nenhum voto foi digitado até aquele momento. A partir daí, todo voto dado é registrado", explica o tribunal eleitoral.

Além disso, segundo o analista do TSE Bruno Coimbra, mestre em Ciência da Computação pela Universidade de Brasília (UnB), as urnas eletrônicas não são equipadas com o hardware necessário para se conectar a uma rede de internet ou a qualquer forma de conexão, com ou sem fio.

"Vale destacar que o sistema operacional Linux contido na urna é preparado pela Justiça Eleitoral de forma a não incluir nenhum mecanismo de software que permita a conexão com redes ou o acesso remoto", explica o analista em artigo publicado no site do tribunal. "Qualquer tentativa de executar software não autorizado na urna eletrônica resulta no bloqueio do seu funcionamento. De igual modo, tentativas de executar o software oficial em um hardware não certificado resultam no cancelamento da execução do aplicativo".

Diretor de cibervigilância da Cipher, empresa especializada em cibersegurança, Fernando Amatte também descarta qualquer relação entre o ataque ao sistema do STJ e uma hipotética invasão das urnas eletrônicas. Como os dispositivos eleitorais são totalmente desconectados da rede, é inviável estabelecer semelhanças. "Temos situações e vetores de ataque diferentes, com possibilidades de ataques distintas", esclarece.

De acordo com Amatte, um ataque similar poderia afetar o sistema de totalização de votos ou outras esferas do TSE, mas nunca as urnas, já que os equipamentos, em si, não estão conectados à internet. Por isso, os os boletins de urna são impressos ao final da votação em diferentes vias. Em caso de qualquer ataque ou suspeita de interferência externa, há provas autenticadas que permitem uma checagem segura dos votos.

O especialista considera que as invasões recentes ligaram o alerta nas instituições, que devem renovar os cuidados para se proteger de ataques.

"Ninguém quer ter esse tipo de problema. Sendo assim, acredito que todos os órgãos públicos estão, neste momento, analisando suas redes e suas capacidades internas de detecção, análise e resposta", afirma. "Caso necessário, medidas complementares de segurança serão tomadas, porém nada muito específico ou focado em eleições".

O TSE também realiza testes com os equipamentos antes das eleições para averiguar a inviolabilidade da urna. Neste ano, dos 13 planos de ataque feitos pelas entidades que participaram dos testes, apenas dois conseguiram obter sucesso parcial, sem chegarem ao resultado final. Peritos da Polícia Federal (PF) conseguiram romper uma das diversas barreiras de proteção, mas não conseguiram alterar os dados de eleitores e de candidatos.

Totalização dos votos é feita separadamente

Como as urnas não têm conexão com a internet, para a contagem dos votos, um arquivo é retirado da máquina após o encerramento do período de votação e enviado a um polo de transmissão, que transmite os dados para que os TREs (Tribunais Regionais Eleitorais) façam a totalização.

Esses dados só conseguem ser lidos nos equipamentos da Justiça Eleitoral que possuem as chaves para as diversas camadas de segurança, integrantes do sistema eletrônico de votação. Após verificação na zona eleitoral, a autenticidade dos votos da urna eletrônica é checada mais uma vez no TSE, antes de serem incluídos na totalização.

"Quando a zona eleitoral fecha, uma mídia de resultado gera o Boletim de Urna, com cinco cópias: uma fica afixada no local de votação, três seguem para o cartório eleitoral e a última é entregue aos representantes dos partidos políticos ali presentes. Tal procedimento se dá em todas as seções eleitorais", explica o TSE. "Após a impressão, é retirada a mídia de resultado, para envio a um polo de transmissão. É a partir desse instante que se dão o envio e a totalização dos votos."

Nas eleições municipais de 2020, os votos serão totalizados no TSE e, não mais nos TREs. Segundo o secretário de Tecnologia da Informação do TSE, Giuseppe Janino, essa centralização possibilita ainda mais segurança no processamento dos votos, que ocorrerá na sala-cofre do TSE, que possui todos os certificados internacionais de segurança física e de garantia de fornecimento de energia.

Quem é a autora

O tuíte, publicado como ironia, foi escrito por Claudia Wild, uma militante de direita, apoiadora do presidente Jair Bolsonaro (sem partido). Ela escreve para alguns portais opinativos voltados à direita, como Hora Extra e Terça Livre. No último, sua minibio a identifica como "mineira, mãe do Thomas e bacharela em Direito pela UFMG [Universidade Federal de Minas Gerais].

Entre seus tuítes há também questionamentos às eleições norte-americanas, que, diferente do Brasil, não usam urnas eletrônicas como método único, e às vacinas contra covid-19 produzidas na China.

Por que investigamos?

Em sua terceira fase, o Comprova verifica conteúdos suspeitos que tenham viralizado nas redes sociais tratando sobre o processo eleitoral, políticas públicas do governo federal ou sobre a pandemia de covid-19.

O post verificado aqui, com 7,6 mil curtidas e cerca de 1,4 mil compartilhamentos no Twitter, desinforma ao equiparar um ataque virtual real ocorrido com instituições brasileiras à possibilidade de invasão de urnas, para colocar em xeque o sistema eleitoral brasileiro. Este tipo de questionamento inconsistente e sem provas, estimulado pelo próprio presidente Jair Bolsonaro (sem partido), ajuda a descredibilizar o processo democrático brasileiro.

O UOL Confere já checou conteúdo semelhante.

O Comprova tem verificado uma série de postagens que questionam a eficiência das urnas eletrônicas, como a corrente que afirma que um documento comprovou fraude nas eleições de 2018 e a que diz que apenas três países no mundo usam urnas eletrônicas.

Enganoso, para o Comprova, é o conteúdo que usa dados imprecisos; ou que confunde, com ou sem a intenção deliberada de causar dano.

*O material foi produzido por veículos integrantes do projeto Comprova: UOL, BandNews FM e Estadão

O Comprova é um projeto integrado por 40 veículos de imprensa brasileiros que descobre, investiga e explica informações suspeitas sobre políticas públicas, eleições presidenciais e a pandemia de covid-19 compartilhadas nas redes sociais ou por aplicativos de mensagens. Envie sua sugestão de verificação pelo WhatsApp no número 11 97045 4984.