Criado para
aprimorar o processo eletrônico de votação
Teste
Público de Segurança da Urna é um evento
constante do calendário da Justiça Eleitoral.
Realizado no ano anterior às eleições, traz a participação e
colaboração de especialistas na busca por problemas ou
fragilidades que, uma vez identificados, serão resolvidos –
e testados! – antes da realização das eleições.
Participação
Trabalho
participativo junto à sociedade. Aberto a críticas e
sugestões.
Maturidade
O evento demonstra a
maturidade e confiança nas eleições
informatizadas brasileiras.
Colaboração
Cada investigadora ou
investigador que nos aponta falhas ou
oportunidades de melhorias, colabora para o
aperfeiçoamento e a eficiência do processo
eletrônico de
votação.
Transparência
Acesso à informação
para diversas instituições e qualquer cidadã
e
cidadão brasileiro.
A
Comissão Reguladora comunica às interessadas e aos
interessados que, conforme estabelecido na
Resolução-TSE no 23.444, de 30 de abril de 2015,
será realizado o Teste da Urna no sistema eletrônico
de votação e apuração, no período de 27 de novembro
a 1º de dezembro de 2023.
Edições do evento:
2009, 2012, 2016, 2017, 2019 e 2021
148
Participantes
investigadores
202
Horas de testes
públicos executados
2009
Resultados
9
Planos
de ataque
37
Participantes
investigadores
32
Horas de
testes públicos executados
2012
Resultados
20
Planos
de ataque
24
Participantes
investigadores
24
Horas de
testes públicos executados
2016
Resultados
8
Planos
de ataque
13
Participantes
investigadores
24
Horas de
testes públicos executados
2017
Resultados
13
Planos
de ataque
14
Participantes
investigadores
32
Horas de
testes públicos executados
2019
Resultados
14
Planos
de ataque
10
Participantes
investigadores
40
Horas de
testes públicos executados
2021
Resultados
29
Planos
de ataque
26
Participantes
investigadores
40
Horas de
testes públicos executados
Por dentro do sistema da
Urna
O que
é o Teste da Urna?
Teste da Urna, é um evento que consta no
calendário eleitoral – previsto na Resolução
nº 23.444 – onde qualquer
brasileira ou brasileiro maior de 18
anos pode apresentar um plano de ataque
aos sistemas eleitorais envolvidos na
geração de mídias, votação, apuração,
transmissão e recebimento de arquivos.
O Teste da Urna envolve várias etapas,
desde a apresentação dos sistemas
eleitorais para as investigadoras e os
aos investigadores, abertura do
código-fonte, recebimento dos planos e o
período de ataque propriamente dito,
finalizando meses depois quando o TSE
convida os envolvidos para testar
novamente os sistemas e verificar se as
falhas foram corrigidas.
Por
que fazer o Teste da Urna? Qual o
objetivo?
O TSE instituiu a realização do Teste da
Urna com o objetivo de fortalecer a
confiabilidade, a transparência e a
segurança da geração de mídias, votação,
apuração, transmissão e recebimento de
arquivos além de propiciar melhorias no
processo eleitoral.
Quando uma investigadora ou um
investigador, ou uma equipe de
investigadores, tem sucesso em seu plano
de ataque, todos ganham, pois a falha
será corrigida e o sistema se tornará
cada vez mais seguro.
Desde
quando o Teste da Urna é realizado?
A primeira edição do Teste da Urna
aconteceu em 2009 e desde então foram
realizadas outras cinco edições: 2012,
2016, 2017, 2019 e 2021.
Em 2016, o Teste da Urna passou a ser
obrigatório e disciplinado pela Resolução
do TSE nº 23.444/2015. A norma
prevê que os testes sejam realizados,
preferencialmente, no ano anterior à
eleição, para que eventuais falhas
possam ser corrigidas nas urnas
eletrônicas que serão utilizadas no
pleito.
Quais
evoluções já surgiram do Teste da Urna?
Para conhecer as evoluções nos sistemas
eleitorais e na urna eletrônica
proporcionadas pelo Teste da Urna,
acesse a Linha
do Tempo do Teste da Urna e,
para conhecer alguns dados do teste
público, acesse a aba Resultados.
Quantas
pessoas já participaram?
Até agora, 148 investigadoras e
investigadores já participaram dos
testes públicos de segurança. Nestas
seis edições do Teste da Urna, 96 planos
de ataques foram realizados e 202 horas
de testes executados.
Quem
pode participar do Teste da Urna?
Qualquer brasileira ou brasileiro pode
participar do Teste da Urna, desde que
tenha 18 anos completos e atenda aos
requisitos do edital.
Como
saber se as falhas identificadas no
Teste da Urna foram corrigidas?
Os relatórios técnicos apresentados pelas
investigadoras ou pelos investigadores
relatam, analiticamente, os planos de
testes executados e os resultados
provenientes deles. Sempre que
identificadas falhas, indicadas
oportunidades de melhoria ou comprovado
o sucesso em um plano de ataque, o TSE
procede às correções e evoluções, bem
como promove um novo teste – chamado de
Teste de Confirmação – em que as
investigadoras e os investigadores podem
aplicar um novo ataque nos mesmos moldes
e nas mesmas condições do teste inicial
e, assim, confirmar a realização das
melhorias dos sistemas eleitorais.
Em resumo, as investigadoras e os
investigadores são convocados para
verificar as correções implementadas e
executar novamente os seus planos de
teste, para comprovar que as falhas
foram tratadas.
Outros
países realizam testes públicos de
votação?
O TSE tem conhecimento de que a Suíça
realizou pela primeira vez em 2019 um
Teste Público de Invasão (PIT, sigla em
inglês).
Em 2013, a Associação de Autoridades de
Voto da Califórnia, nos Estados Unidos,
foi formada para manter os esforços em
direção aos sistemas de votação de
código aberto de Licença
Pública Geral.
Também é possível verificar a realização
de “desafios hacker” de invasão de urnas
eletrônicas comerciais (vendidas
abertamente no mercado internacional, e
sem restrições e customizações, para um
determinado sistema eleitoral e seus
elementos de segurança), como o
realizado na Def Con 2017 - um dos
maiores eventos de segurança da
informação no mundo, no qual estavam
presentes técnicos da equipe do TSE.
Quais
são as fases do Teste da Urna?
O Teste da Urna é dividido em três fases:
Preparação:
recepção de pré-inscrições,
inscrições, publicação do resultado
as inscrições, planos de testes,
apresentação dos sistemas, dos
códigos-fonte e demais atividades
prévias à realização do Teste da
Urna.
Realização: as
investigadoras e os investigadores
comparecem ao local do teste para
colocar em prática os seus planos
previamente definidos.
Avaliação: período
em que a Comissão Avaliadora analisa
os relatórios de testes de cada
investigadora, investigador ou
equipe, produzindo um relatório
final com todos os resultados do
teste.
O detalhamento das atribuições e formação
de cada uma das comissões pode ser
encontrado na Resolução
do TSE nº 23.444.
Quem
organiza, realiza e avalia o Teste da
Urna?
Para que o Teste da Urna possa ser
colocado em prática, são montadas, a
cada edição, quatro comissões:
Organizadora:
planeja e elabora o projeto geral,
organizando as atividades. É formada
por profissionais de diferentes
áreas do TSE.
Reguladora: define
os procedimentos e a metodologia,
além de supervisionar todas as
etapas do processo. Também é formada
por profissionais do TSE.
Avaliadora: valida
a metodologia e os critérios de
julgamento, assim como avalia e
homologa os resultados. Conta com
representantes da comunidade
acadêmica/científica, do Ministério
Público Federal, da Ordem dos
Advogados do Brasil, do Congresso
Nacional, da Polícia Federal e da
Sociedade Brasileira de Computação,
além de um engenheiro
elétrico/eletrônico ou de computação
devidamente registrado no Conselho
Regional de Engenharia e Agronomia
(Crea), indicado pelo Conselho
Federal de Engenharia e Agronomia
(Confea) e um representante indicado
pelo presidente do TSE.
Comunicação Institucional:
responsável pela divulgação do Teste
da Urna, assim como por responder os
questionamentos do público e da
imprensa, e é formada por
profissionais do TSE.
Qual
é o benefício do Teste da Urna para o
processo eleitoral?
Pautado na transparência institucional –
um dos pilares de atuação da Justiça
Eleitoral brasileira –, o teste reúne
especialistas em Tecnologia da
Informação e Segurança da Informação das
mais diversas organizações, instituições
acadêmicas, órgãos públicos, entre
outros, para realizar planos de ataque
aos sistemas eleitorais, bem como aos
softwares e hardwares da urna
eletrônica.
Com o teste, o TSE busca, principalmente:
Identificar eventuais falhas ou
vulnerabilidades nos procedimentos e
nos sistemas eleitorais.
Possibilitar a realização de
correções e aprimoramentos a partir
dos resultados apresentados.
Testar a confiabilidade da captação
e da apuração dos votos.
Verificar a robustez e a maturidade
do Sistema Eletrônico de Votação e
Apuração brasileiro, com a
finalidade maior de realizar
melhorias contínuas no processo
eleitoral, acompanhando os avanços
na tecnologia mundial, especialmente
nas áreas de Tecnologia e Segurança
da Informação.
A 6ª edição do Teste Público de Segurança –
TPS aconteceu no período de 22 a 27 de
novembro
de 2021 no Tribunal Superior Eleitoral. O
TPS daquele ano trouxe as seguintes
inovações:
Ampliação do escopo dos sistemas eleitorais a
serem avaliados, com a inclusão dos sistemas
de
apoio à auditoria de funcionamento das urnas
eletrônicas no dia da votação (Módulo
Sorteio);
Ampliação dos sistemas de apoio à auditoria
de funcionamento das urnas eletrônicas em
condições normais de uso (Módulo Votação);
do Verificador Pré/Pós-Eleição (VPP) e do
Verificador de Integridade e Autenticidade
de sistemas eleitorais (AVPART), utilizados
para
a verificação de resumos digitais (hashes)
e assinatura digital nas urnas
eletrônicas;
Ampliação da quantidade de participantes que
podem ser admitidos (grupos ou individuais),
passando de 10 para 15;
Possibilidade de extensão excepcional por
mais um dia, caso seja constatada a
necessidade de
dar continuidade à execução dos planos de
testes, totalizando, dessa forma, 6 dias
(extensão
de prazo solicitada pela equipe de
investigadores da Polícia Federal).
Em decorrência das inovações implementadas,
visando ampliar a colaboração da sociedade
no
desenvolvimento dos sistemas eleitorais, a
edição de 2021 teve recorde de participantes
e
planos de testes executados. Ao total, foram
26 investigadoras e investigadores que
executaram 29 planos de ataque aos
equipamentos e sistemas que foram usados nas
Eleições
Gerais de 2022.
A quinta edição do Teste Público de Segurança
aconteceu no período de 25 a 29 de novembro
de 2019. Mais uma vez, o teste teve como
objetivo buscar a colaboração da sociedade
brasileira para o aperfeiçoamento do sistema
eletrônico de votação utilizado nas eleições
do país.
O TPS é uma ação decorrente da missão
estratégica do TSE de “garantir a
legitimidade do processo eleitoral e a
efetiva prestação jurisdicional, a fim de
fortalecer a democracia”, e reúne
investigadores independentes para,
individualmente ou organizados em times,
executarem planos de ataque aos componentes
internos e externos da urna eletrônica.
Os investigadores que participaram do TPS
2019 revelaram dois problemas: acesso à
chave de criptografia da unidade protegida
do Subsistema de Instalação e Segurança -
SIS, na qual são instalados sistemas
eleitorais na plataforma desktop; e controle
do aplicativo Gedai-UE, em função da
supressão de controles de acesso do SIS,
permitindo que a aplicação gerasse um
arquivo de configuração manipulado para a
urna.
Esses problemas não permitiram que os
investigadores alterassem dados de eleitores
ou candidatos que alimentam a urna. Tampouco
foram capazes de alterar o software da urna
eletrônica.
As principais evoluções feitas após o TPS
2019 foram o fortalecimento da proteção da
chave do SIS e o uso do processador de
segurança TPM, presente nas estações de
trabalho da Justiça Eleitoral, para fazer a
proteção do Gedai-UE e das chaves por ele
utilizadas. Essas evoluções impedem qualquer
tentativa de controle indevido do Gedai-UE e
geração de configurações manipuladas para a
urna.
O último teste público de segurança foi
realizado no período de27 a 30 de
novembro de 2017, com 14
participantes efetivos, sendo 3 grupos e 4
participantes individuais. Dos 13 planos de
teste apresentados, 10 foram executados,
dentre os quais 4 contribuíram para o
aprimoramento do processo eleitoral e 6 não.
Foram encontrados três problemas na edição de
2017: vazamento de chave de criptografia das
mídias da urna no ambiente de inspeção de
código-fonte (a chave incluída no código não
foi retirada do ambiente de inspeção); um
bug no mecanismo de verificação de
assinatura digital de bibliotecas
(assinatura digital embarcada no binário
executável); e ausência de assinatura
digital complementar em duas bibliotecas.
Esses três problemas permitiram que os
investigadores modificassem o comportamento
do software da urna durante a execução,
apresentando resultados diversos.
O bug no mecanismo de assinatura foi
corrigido pelo TSE; a quantidade de
bibliotecas foi reduzida; os processos de
testes de software foram aprimorados de modo
a garantir que todos os executáveis estejam
assinados e que as assinaturas sejam
devidamente validadas; e todas as chaves
foram retiradas do código-fonte do software
da urna (para 2018 foi utilizado um
mecanismo de derivação de chaves e a partir
de 2020 será utilizado um hardware seguro).
Outro ponto observado durante o TPS foi a
capacidade de inicialização do sistema
operacional da urna numa máquina virtual com
o objetivo e realizar uma engenharia reversa
e, assim, revelar chaves criptográficas.
Como resposta, a criptografia do sistema
operacional foi fortalecida, de modo que
somente a urna consiga decifrar e iniciar o
sistema operacional.
A terceira edição do Teste Público de
Segurança ocorreu durante os dias 8,
9 e 10 de março de 2016, no
edifício-sede do TSE, em Brasília.
Participaram do evento 13
investigadores, os quais
tiveram acesso aos componentes internos e
externos do sistema eletrônico de votação
para criarem seus planos de ataque.
Em um dos planos, o investigador conseguiu
alterar o resultados de um Boletim de Urna
(BU) e utilizá-lo como entrada do Sistema de
Apuração (SA) da urna, produzindo um novo BU
válido, mas com resultados adulterados. O SA
é um sistema usado em situações em que o
resultado de uma urna gravado em meio
eletrônico foi perdido ou quando foi
necessário realizar a votação por cédulas de
papel.
Corrigindo a vulnerabilidade, o TSE modificou
o algoritmo do código verificador do BU, que
passou a ter força de autenticador. Além
disso, foi incluído um QR Code com
assinatura digital no Boletim de Urna,
permitindo aos interessados conferir a
autenticidade e integridade do BU.
Em outro plano, o grupo de investigadores fez
a gravação das instruções por áudio
utilizadas por deficientes visuais para a
votação. Essas instruções incluem as teclas
pressionadas e o voto confirmado pelo
eleitor. O áudio era ativado especificamente
para cada eleitor previamente cadastrado ou
para todos os eleitores de uma seção
previamente configurada, mesmo que algum
eleitor nela inscrito não precisasse de
áudio.
A resposta do TSE foi restringir o uso de
áudio somente para os eleitores previamente
cadastrados ou por liberação do mesário.
Além disso, sempre que o áudio é ativado, é
mostrada mensagem no terminal do eleitor
alertando sobre a ativação do recurso. Caso
o áudio esteja ativado indevidamente, o
eleitor pode solicitar ao mesário a
suspensão da sua votação e a verificação de
ausência de equipamentos estranhos na cabine
de votação.
A segunda edição do Teste Público de
Segurança ocorreu durante os dias 20
a 22 de março de 2012, no
edifício-sede do TSE, em Brasília.
Participaram do evento 24 investigadores.
Eles foram divididos em nove grupos e
executaram mais de 20 planos de ataque.
Das melhorias trazidas ao processo
eletrônico, a mais significativa foi a
implementada pelo Tribunal ao Registro
Digital do Voto (RDV), arquivo que armazena
os votos dos eleitores, exatamente como
digitados na urna, mas embaralhados entre
cada cargo. É a partir do RDV que são
criados a zerésima e o boletim de urna. O
arquivo também permite a recontagem dos
votos por parte dos partidos políticos e
demais interessados.
Na ocasião, o grupo formado por um professor
e alunos da Universidade de Brasília havia
conseguido refazer o sequenciamento dos
votos contidos pelo RDV. Contudo, para
efetivar a violação do sigilo do voto seria
necessário obter a sequência de
comparecimento dos eleitores, o que não foi
feito pela equipe a partir dos registros da
urna.
A primeira edição do Teste Público de
Segurança ocorreu durante os dias 10
e 13 de novembro de 2009, com o
intuito de buscar a colaboração da sociedade
para o aperfeiçoamento da urna eletrônica
utilizada nas eleições brasileiras.
Os 37 especialistas em informática e
eletrônica que participaram da iniciativa
tentaram atacar o sistema eletrônico de
votação e encontrar algum tipo de
vulnerabilidade.
A primeira edição do teste público de
segurança ocorreu durante os dias 10 e 13 de
novembro de 2009. Os 37 especialistas em
informática e eletrônica que participaram da
iniciativa executaram suas atividades com o
objetivo de atacar o sistema e tentar
encontrar algum tipo de vulnerabilidade.
Nenhum dos testes foi bem sucedido em
alterar a destinação de votos ou violar o
sigilo da votação.
Na ocasião, um dos investigadores buscou
quebrar o sigilo do voto por meio da
captação da radiação eletromagnética emitida
pelo teclado da urna enquanto o eleitor
digita o número do candidato e, com isso,
identificar as teclas pressionadas pelo
eleitor. O teste não foi bem sucedido na
tentativa de violação de sigilo do voto. O
aparelho de rádio utilizado pelo
especialista somente conseguiu captar essa
radiação a uma distância de cinco
centímetros da urna eletrônica, o que na
prática tornaria o ataque inviável pois a
urna instalada na seção eleitoral fica
necessariamente isolada e sob vigilância.
Além disso, somente uma das teclas foi
corretamente identificada. Como resposta, as
urnas fabricadas após o TPS passaram a
criptografar as teclas do terminal do
eleitor, o que produz um sinal elétrico
diferente sempre que uma tecla é
pressionada, impedindo assim qualquer
tentativa de identificação de um padrão que
caracterize uma tecla específica.
Investigadores da Marinha do Brasil chegaram
a introduzir um arquivo na mídia de votação
usada nas seções eleitorais, mas o
procedimento foi rejeitado pelo sistema da
urna. Duas alterações tentadas pelos
investigadores em arquivos do sistema foram
imediatamente detectadas pelos módulos de
segurança instalados. Primeiro os
investigadores tentaram alterar um arquivo.
Depois tentaram gerar a mídia sem o uso do
gerador de mídias, e por fim, tentaram
iniciar o sistema por meio de outro
programa. Mas todas tentativas foram
frustradas pelas barreiras de segurança do
sistema, principalmente pelas assinaturas
digitais e pelo uso de mecanismos de
criptografia.
