Criado para aprimorar o processo eletrônico de votação

Teste Público de Segurança da Urna é um evento constante do calendário da Justiça Eleitoral.

Realizado no ano anterior às eleições, traz a participação e colaboração de especialistas na busca por problemas ou fragilidades que, uma vez identificados, serão resolvidos – e testados! – antes da realização das eleições.

Participação

Trabalho participativo junto à sociedade. Aberto a críticas e sugestões.

Maturidade

O evento demonstra a maturidade e confiança nas eleições informatizadas brasileiras.

Colaboração

Cada investigadora ou investigador que nos aponta falhas ou oportunidades de melhorias, colabora para o aperfeiçoamento e a eficiência do processo eletrônico de votação.

Transparência

Acesso à informação para diversas instituições e qualquer cidadã e cidadão brasileiro.

Informações

Teste da urna 2023

Informações

Período reservado para a inspeção dos códigos-fonte: de 09 a 13/10/2023 e de 16 a 20/10/2023, das 10h às 18h.

Relatório de Avaliação Geral do TPS

Relatório da Comissão Avaliadora v2

Resultado da análise dos planos de testes apresentados

Resultados dos recursos

Lista definitiva de Inscritas e Inscritos no Teste da Urna 2023

Edital de convocação

Teste da urna 2023

Edital de convocação

A Comissão Reguladora comunica às interessadas e aos interessados que, conforme estabelecido na Resolução-TSE no 23.444, de 30 de abril de 2015, será realizado o Teste da Urna no sistema eletrônico de votação e apuração, no período de 27 de novembro a 1º de dezembro de 2023.

Edital nº 1/2023

Edital nº 2/2023

Todas as edições

Resultados de Teste da Urna

96

Planos de ataque

06

Edições do evento: 2009, 2012, 2016, 2017, 2019 e 2021

148

Participantes investigadores

202

Horas de testes públicos executados

2009
Resultados
9
Planos de ataque
37
Participantes investigadores
32
Horas de testes públicos executados
2012
Resultados
20
Planos de ataque
24
Participantes investigadores
24
Horas de testes públicos executados
2016
Resultados
8
Planos de ataque
13
Participantes investigadores
24
Horas de testes públicos executados
2017
Resultados
13
Planos de ataque
14
Participantes investigadores
32
Horas de testes públicos executados
2019
Resultados
14
Planos de ataque
10
Participantes investigadores
40
Horas de testes públicos executados
2021
Resultados
29
Planos de ataque
26
Participantes investigadores
40
Horas de testes públicos executados

Por dentro do sistema da Urna

O que é o Teste da Urna?

Teste da Urna, é um evento que consta no calendário eleitoral – previsto na Resolução nº 23.444 – onde qualquer brasileira ou brasileiro maior de 18 anos pode apresentar um plano de ataque aos sistemas eleitorais envolvidos na geração de mídias, votação, apuração, transmissão e recebimento de arquivos.

O Teste da Urna envolve várias etapas, desde a apresentação dos sistemas eleitorais para as investigadoras e os aos investigadores, abertura do código-fonte, recebimento dos planos e o período de ataque propriamente dito, finalizando meses depois quando o TSE convida os envolvidos para testar novamente os sistemas e verificar se as falhas foram corrigidas.

Por que fazer o Teste da Urna? Qual o objetivo?

O TSE instituiu a realização do Teste da Urna com o objetivo de fortalecer a confiabilidade, a transparência e a segurança da geração de mídias, votação, apuração, transmissão e recebimento de arquivos além de propiciar melhorias no processo eleitoral.

Quando uma investigadora ou um investigador, ou uma equipe de investigadores, tem sucesso em seu plano de ataque, todos ganham, pois a falha será corrigida e o sistema se tornará cada vez mais seguro.

Desde quando o Teste da Urna é realizado?

A primeira edição do Teste da Urna aconteceu em 2009 e desde então foram realizadas outras cinco edições: 2012, 2016, 2017, 2019 e 2021.

Em 2016, o Teste da Urna passou a ser obrigatório e disciplinado pela Resolução do TSE nº 23.444/2015. A norma prevê que os testes sejam realizados, preferencialmente, no ano anterior à eleição, para que eventuais falhas possam ser corrigidas nas urnas eletrônicas que serão utilizadas no pleito.

Quais evoluções já surgiram do Teste da Urna?

Para conhecer as evoluções nos sistemas eleitorais e na urna eletrônica proporcionadas pelo Teste da Urna, acesse a Linha do Tempo do Teste da Urna e, para conhecer alguns dados do teste público, acesse a aba Resultados.

Quantas pessoas já participaram?

Até agora, 148 investigadoras e investigadores já participaram dos testes públicos de segurança. Nestas seis edições do Teste da Urna, 96 planos de ataques foram realizados e 202 horas de testes executados.

Quem pode participar do Teste da Urna?

Qualquer brasileira ou brasileiro pode participar do Teste da Urna, desde que tenha 18 anos completos e atenda aos requisitos do edital.

Saiba mais e participe!

Como saber se as falhas identificadas no Teste da Urna foram corrigidas?

Os relatórios técnicos apresentados pelas investigadoras ou pelos investigadores relatam, analiticamente, os planos de testes executados e os resultados provenientes deles. Sempre que identificadas falhas, indicadas oportunidades de melhoria ou comprovado o sucesso em um plano de ataque, o TSE procede às correções e evoluções, bem como promove um novo teste – chamado de Teste de Confirmação – em que as investigadoras e os investigadores podem aplicar um novo ataque nos mesmos moldes e nas mesmas condições do teste inicial e, assim, confirmar a realização das melhorias dos sistemas eleitorais.

Em resumo, as investigadoras e os investigadores são convocados para verificar as correções implementadas e executar novamente os seus planos de teste, para comprovar que as falhas foram tratadas.

Outros países realizam testes públicos de votação?

O TSE tem conhecimento de que a Suíça realizou pela primeira vez em 2019 um Teste Público de Invasão (PIT, sigla em inglês).

Em 2013, a Associação de Autoridades de Voto da Califórnia, nos Estados Unidos, foi formada para manter os esforços em direção aos sistemas de votação de código aberto de Licença Pública Geral.

Também é possível verificar a realização de “desafios hacker” de invasão de urnas eletrônicas comerciais (vendidas abertamente no mercado internacional, e sem restrições e customizações, para um determinado sistema eleitoral e seus elementos de segurança), como o realizado na Def Con 2017 - um dos maiores eventos de segurança da informação no mundo, no qual estavam presentes técnicos da equipe do TSE.

Quais são as fases do Teste da Urna?

O Teste da Urna é dividido em três fases:

  • Preparação: recepção de pré-inscrições, inscrições, publicação do resultado as inscrições, planos de testes, apresentação dos sistemas, dos códigos-fonte e demais atividades prévias à realização do Teste da Urna.
  • Realização: as investigadoras e os investigadores comparecem ao local do teste para colocar em prática os seus planos previamente definidos.
  • Avaliação: período em que a Comissão Avaliadora analisa os relatórios de testes de cada investigadora, investigador ou equipe, produzindo um relatório final com todos os resultados do teste.

O detalhamento das atribuições e formação de cada uma das comissões pode ser encontrado na Resolução do TSE nº 23.444.

Quem organiza, realiza e avalia o Teste da Urna?

Para que o Teste da Urna possa ser colocado em prática, são montadas, a cada edição, quatro comissões:

  • Organizadora: planeja e elabora o projeto geral, organizando as atividades. É formada por profissionais de diferentes áreas do TSE.
  • Reguladora: define os procedimentos e a metodologia, além de supervisionar todas as etapas do processo. Também é formada por profissionais do TSE.
  • Avaliadora: valida a metodologia e os critérios de julgamento, assim como avalia e homologa os resultados. Conta com representantes da comunidade acadêmica/científica, do Ministério Público Federal, da Ordem dos Advogados do Brasil, do Congresso Nacional, da Polícia Federal e da Sociedade Brasileira de Computação, além de um engenheiro elétrico/eletrônico ou de computação devidamente registrado no Conselho Regional de Engenharia e Agronomia (Crea), indicado pelo Conselho Federal de Engenharia e Agronomia (Confea) e um representante indicado pelo presidente do TSE.
  • Comunicação Institucional: responsável pela divulgação do Teste da Urna, assim como por responder os questionamentos do público e da imprensa, e é formada por profissionais do TSE.

O detalhamento das atribuições e formação de cada uma das comissões pode ser encontrado na Resolução do TSE nº 23.444/2015.

Qual é o benefício do Teste da Urna para o processo eleitoral?

Pautado na transparência institucional – um dos pilares de atuação da Justiça Eleitoral brasileira –, o teste reúne especialistas em Tecnologia da Informação e Segurança da Informação das mais diversas organizações, instituições acadêmicas, órgãos públicos, entre outros, para realizar planos de ataque aos sistemas eleitorais, bem como aos softwares e hardwares da urna eletrônica.

Com o teste, o TSE busca, principalmente:

  • Identificar eventuais falhas ou vulnerabilidades nos procedimentos e nos sistemas eleitorais.
  • Possibilitar a realização de correções e aprimoramentos a partir dos resultados apresentados.
  • Testar a confiabilidade da captação e da apuração dos votos.
  • Verificar a robustez e a maturidade do Sistema Eletrônico de Votação e Apuração brasileiro, com a finalidade maior de realizar melhorias contínuas no processo eleitoral, acompanhando os avanços na tecnologia mundial, especialmente nas áreas de Tecnologia e Segurança da Informação.

edições passadas

Linha do tempo

2021

A 6ª edição do Teste Público de Segurança – TPS aconteceu no período de 22 a 27 de novembro de 2021 no Tribunal Superior Eleitoral. O TPS daquele ano trouxe as seguintes inovações:

Ampliação do escopo dos sistemas eleitorais a serem avaliados, com a inclusão dos sistemas de apoio à auditoria de funcionamento das urnas eletrônicas no dia da votação (Módulo Sorteio);

Ampliação dos sistemas de apoio à auditoria de funcionamento das urnas eletrônicas em condições normais de uso (Módulo Votação); do Verificador Pré/Pós-Eleição (VPP) e do Verificador de Integridade e Autenticidade de sistemas eleitorais (AVPART), utilizados para a verificação de resumos digitais (hashes) e assinatura digital nas urnas eletrônicas;

Ampliação da quantidade de participantes que podem ser admitidos (grupos ou individuais), passando de 10 para 15;

Possibilidade de extensão excepcional por mais um dia, caso seja constatada a necessidade de dar continuidade à execução dos planos de testes, totalizando, dessa forma, 6 dias (extensão de prazo solicitada pela equipe de investigadores da Polícia Federal).

Em decorrência das inovações implementadas, visando ampliar a colaboração da sociedade no desenvolvimento dos sistemas eleitorais, a edição de 2021 teve recorde de participantes e planos de testes executados. Ao total, foram 26 investigadoras e investigadores que executaram 29 planos de ataque aos equipamentos e sistemas que foram usados nas Eleições Gerais de 2022.

Podcasts

TPS investigadores pré-inscritos começam a inspecionar os códigos-fonte
11.09.2021 - 19h02

TPS 2021: comissão reguladora aprova todas as pré-inscrições
05.10.2021 - 16h16

TPS 2021 tem número recorde de pré-inscritos para participar do evento
30.09.2021 - 19h26

TPS: quanto tempo dura o teste das urnas?
29.09.2021 - 16h53

Últimos dias para se inscrever no Teste Público de Segurança 2021
27.09.2021 - 15h50

Confira as novidades do TPS 2021
23.09.2021 - 18h10

TPS 2019 saiba tudo que aconteceu na quinta edição do Teste Público de Segurança
20.09.2021 - 17h54

TPS 2017: saiba tudo que aconteceu na quarta edição do Teste Público de Segurança
16.09.2021 - 15h19

TPS 2016: saiba tudo que aconteceu na terceira edição do Teste Público de Segurança
13.09.2021 - 15h27

TPS 2012: saiba tudo o que aconteceu na segunda edição do Teste Público de Segurança
09.09.2021 - 16h45

Veja como se inscrever no TPS 2021
09.09.2021 - 10h00

Blindagem do teclado das urnas eletrônicas é um dos avanços do TPS
06.09.2021 - 10h00

Passo a passo de como funciona o TPS
31.08.2021 - 17h47

Participantes do TPS ajudam a promover inovações importantes no sistema eletrônico de votação
30.08.2021 - 18h51

Spot: Pré-inscrição para o TPS 2021 vai até o dia 29 de setembro
30.08.2021 - 09h54

Spot: Colabore com as eleições! Participe do Teste Público de Segurança do sistema eletrônico de votação
27.08.2021 - 18h44

Spot: Conheça as novidades do Teste Público de Segurança dos sistemas eleitorais de 2021
27.08.2021 - 18h44

Spot: Inscreva-se no Teste Público de Segurança do sistema eletrônico de votação
27.08.2021 - 18h36

Pré Inscrição para o TPS 2021 estão abertas ate 29 de setembro 2021
27.08.2021 - 18h36

Vídeos

2019

A quinta edição do Teste Público de Segurança aconteceu no período de 25 a 29 de novembro de 2019. Mais uma vez, o teste teve como objetivo buscar a colaboração da sociedade brasileira para o aperfeiçoamento do sistema eletrônico de votação utilizado nas eleições do país.

O TPS é uma ação decorrente da missão estratégica do TSE de “garantir a legitimidade do processo eleitoral e a efetiva prestação jurisdicional, a fim de fortalecer a democracia”, e reúne investigadores independentes para, individualmente ou organizados em times, executarem planos de ataque aos componentes internos e externos da urna eletrônica.

Os investigadores que participaram do TPS 2019 revelaram dois problemas: acesso à chave de criptografia da unidade protegida do Subsistema de Instalação e Segurança - SIS, na qual são instalados sistemas eleitorais na plataforma desktop; e controle do aplicativo Gedai-UE, em função da supressão de controles de acesso do SIS, permitindo que a aplicação gerasse um arquivo de configuração manipulado para a urna.

Esses problemas não permitiram que os investigadores alterassem dados de eleitores ou candidatos que alimentam a urna. Tampouco foram capazes de alterar o software da urna eletrônica.

As principais evoluções feitas após o TPS 2019 foram o fortalecimento da proteção da chave do SIS e o uso do processador de segurança TPM, presente nas estações de trabalho da Justiça Eleitoral, para fazer a proteção do Gedai-UE e das chaves por ele utilizadas. Essas evoluções impedem qualquer tentativa de controle indevido do Gedai-UE e geração de configurações manipuladas para a urna.

2017

O último teste público de segurança foi realizado no período de27 a 30 de novembro de 2017, com 14 participantes efetivos, sendo 3 grupos e 4 participantes individuais. Dos 13 planos de teste apresentados, 10 foram executados, dentre os quais 4 contribuíram para o aprimoramento do processo eleitoral e 6 não.

Foram encontrados três problemas na edição de 2017: vazamento de chave de criptografia das mídias da urna no ambiente de inspeção de código-fonte (a chave incluída no código não foi retirada do ambiente de inspeção); um bug no mecanismo de verificação de assinatura digital de bibliotecas (assinatura digital embarcada no binário executável); e ausência de assinatura digital complementar em duas bibliotecas.

Esses três problemas permitiram que os investigadores modificassem o comportamento do software da urna durante a execução, apresentando resultados diversos.

O bug no mecanismo de assinatura foi corrigido pelo TSE; a quantidade de bibliotecas foi reduzida; os processos de testes de software foram aprimorados de modo a garantir que todos os executáveis estejam assinados e que as assinaturas sejam devidamente validadas; e todas as chaves foram retiradas do código-fonte do software da urna (para 2018 foi utilizado um mecanismo de derivação de chaves e a partir de 2020 será utilizado um hardware seguro).

Outro ponto observado durante o TPS foi a capacidade de inicialização do sistema operacional da urna numa máquina virtual com o objetivo e realizar uma engenharia reversa e, assim, revelar chaves criptográficas. Como resposta, a criptografia do sistema operacional foi fortalecida, de modo que somente a urna consiga decifrar e iniciar o sistema operacional.

2016

A terceira edição do Teste Público de Segurança ocorreu durante os dias 8, 9 e 10 de março de 2016, no edifício-sede do TSE, em Brasília. Participaram do evento 13 investigadores, os quais tiveram acesso aos componentes internos e externos do sistema eletrônico de votação para criarem seus planos de ataque.

Em um dos planos, o investigador conseguiu alterar o resultados de um Boletim de Urna (BU) e utilizá-lo como entrada do Sistema de Apuração (SA) da urna, produzindo um novo BU válido, mas com resultados adulterados. O SA é um sistema usado em situações em que o resultado de uma urna gravado em meio eletrônico foi perdido ou quando foi necessário realizar a votação por cédulas de papel.

Corrigindo a vulnerabilidade, o TSE modificou o algoritmo do código verificador do BU, que passou a ter força de autenticador. Além disso, foi incluído um QR Code com assinatura digital no Boletim de Urna, permitindo aos interessados conferir a autenticidade e integridade do BU.

Em outro plano, o grupo de investigadores fez a gravação das instruções por áudio utilizadas por deficientes visuais para a votação. Essas instruções incluem as teclas pressionadas e o voto confirmado pelo eleitor. O áudio era ativado especificamente para cada eleitor previamente cadastrado ou para todos os eleitores de uma seção previamente configurada, mesmo que algum eleitor nela inscrito não precisasse de áudio.

A resposta do TSE foi restringir o uso de áudio somente para os eleitores previamente cadastrados ou por liberação do mesário. Além disso, sempre que o áudio é ativado, é mostrada mensagem no terminal do eleitor alertando sobre a ativação do recurso. Caso o áudio esteja ativado indevidamente, o eleitor pode solicitar ao mesário a suspensão da sua votação e a verificação de ausência de equipamentos estranhos na cabine de votação.

2012

A segunda edição do Teste Público de Segurança ocorreu durante os dias 20 a 22 de março de 2012, no edifício-sede do TSE, em Brasília. Participaram do evento 24 investigadores. Eles foram divididos em nove grupos e executaram mais de 20 planos de ataque.

Das melhorias trazidas ao processo eletrônico, a mais significativa foi a implementada pelo Tribunal ao Registro Digital do Voto (RDV), arquivo que armazena os votos dos eleitores, exatamente como digitados na urna, mas embaralhados entre cada cargo. É a partir do RDV que são criados a zerésima e o boletim de urna. O arquivo também permite a recontagem dos votos por parte dos partidos políticos e demais interessados.

Na ocasião, o grupo formado por um professor e alunos da Universidade de Brasília havia conseguido refazer o sequenciamento dos votos contidos pelo RDV. Contudo, para efetivar a violação do sigilo do voto seria necessário obter a sequência de comparecimento dos eleitores, o que não foi feito pela equipe a partir dos registros da urna.

2009

A primeira edição do Teste Público de Segurança ocorreu durante os dias 10 e 13 de novembro de 2009, com o intuito de buscar a colaboração da sociedade para o aperfeiçoamento da urna eletrônica utilizada nas eleições brasileiras.

Os 37 especialistas em informática e eletrônica que participaram da iniciativa tentaram atacar o sistema eletrônico de votação e encontrar algum tipo de vulnerabilidade.

A primeira edição do teste público de segurança ocorreu durante os dias 10 e 13 de novembro de 2009. Os 37 especialistas em informática e eletrônica que participaram da iniciativa executaram suas atividades com o objetivo de atacar o sistema e tentar encontrar algum tipo de vulnerabilidade. Nenhum dos testes foi bem sucedido em alterar a destinação de votos ou violar o sigilo da votação.

Na ocasião, um dos investigadores buscou quebrar o sigilo do voto por meio da captação da radiação eletromagnética emitida pelo teclado da urna enquanto o eleitor digita o número do candidato e, com isso, identificar as teclas pressionadas pelo eleitor. O teste não foi bem sucedido na tentativa de violação de sigilo do voto. O aparelho de rádio utilizado pelo especialista somente conseguiu captar essa radiação a uma distância de cinco centímetros da urna eletrônica, o que na prática tornaria o ataque inviável pois a urna instalada na seção eleitoral fica necessariamente isolada e sob vigilância. Além disso, somente uma das teclas foi corretamente identificada. Como resposta, as urnas fabricadas após o TPS passaram a criptografar as teclas do terminal do eleitor, o que produz um sinal elétrico diferente sempre que uma tecla é pressionada, impedindo assim qualquer tentativa de identificação de um padrão que caracterize uma tecla específica.

Investigadores da Marinha do Brasil chegaram a introduzir um arquivo na mídia de votação usada nas seções eleitorais, mas o procedimento foi rejeitado pelo sistema da urna. Duas alterações tentadas pelos investigadores em arquivos do sistema foram imediatamente detectadas pelos módulos de segurança instalados. Primeiro os investigadores tentaram alterar um arquivo. Depois tentaram gerar a mídia sem o uso do gerador de mídias, e por fim, tentaram iniciar o sistema por meio de outro programa. Mas todas tentativas foram frustradas pelas barreiras de segurança do sistema, principalmente pelas assinaturas digitais e pelo uso de mecanismos de criptografia.