Encontre matérias e conteúdos da Gazeta do Povo
Urnas eletrônicas

O que diz o inquérito da PF revelado por Bolsonaro sobre a invasão hacker ao TSE

eleições 2022 - voto impresso
Urna eletrônica utilizada nas eleições brasileira. (Foto: André Rodrigues/Arquivo/Gazeta do Povo)

Ouça este conteúdo

O inquérito da Polícia Federal (PF) revelado na quarta-feira (4) pelo presidente Jair Bolsonaro relata uma investigação aberta em 2018 para apurar as circunstâncias de uma invasão hacker a sistemas internos do Tribunal Superior Eleitoral (TSE) revelada no fim daquele ano.

No dia 6 novembro de 2018, o jornalista Felipe Payão, do site de notícias TecMundo, encaminhou ao TSE um e-mail que recebeu de um hacker. Na mensagem, o hacker relatava ter explorado, por meses e de forma remota, a rede interna do tribunal.

“Com isso, obtive milhares de códigos-fontes, documentos sigilosos, e até mesmo, credenciais, sendo login de um ministro substituto do TSE (Sérgio Banhos), e diversos técnicos, alguns sendo ligados a alta cúpula de TI [setor de Tecnologia de Informação] do TSE, ligado ao pai das urnas (Giuseppe Janino)”, dizia o e-mail.

Ele contou que os técnicos do tribunal chegaram a notar um “tráfego suspeito”, mas não conseguiram interromper sua navegação dentro da intranet da Corte.

No e-mail, anexou ainda várias imagens para comprovar a invasão, contendo trechos de sistemas de preparação da urna eletrônica. Disse, por fim, que obteve “documentos sigilosos que podem comprometer o pleito” e “milhares de outros códigos”.

O aviso deflagrou uma imediata investigação. No mesmo dia, a então presidente do TSE, Rosa Weber, pediu à PF uma apuração do suposto cometimento do crime de “invasão de dispositivo informático”, com pena de 1 a 4 anos de prisão.

O documento compartilhado por Bolsonaro nesta quarta (4), de 210 páginas, contém parte do inquérito, que tramita de forma sigilosa e mostra detalhes, relatados pela apuração interna do próprio TSE, sobre como o hacker invadiu o sistema e obteve “dados sensíveis” do tribunal, segundo seus próprios técnicos.

Em entrevista na noite de quarta-feira (4) à rádio Jovem Pan, Bolsonaro disse que, na invasão, o hacker pode ter adulterado o programa de votação posteriormente instalado nas urnas eletrônicas. Na madrugada desta quinta-feira (5), o TSE divulgou nota oficial afirmando que o “acesso indevido não representou qualquer risco à integridade das eleições de 2018”.

Base de dados “comprometida” pela invasão hacker

Uma das primeiras providências da PF no inquérito, ainda em novembro de 2018, foi pedir ao TSE um relatório do que poderia ter ocorrido.

No dia 16 daquele mês, o então secretário de Tecnologia da Informação do tribunal, Giuseppe Janino, considerado o “pai das urnas eletrônicas” – ele foi um dos desenvolvedores do equipamento, nos anos 90 – encaminhou ao delegado Victor Campos um disco rígido contendo “artefatos envolvidos em incidente de segurança ocorrido na rede da Justiça Eleitoral, que abriu precedente para que pessoas alheias [...] tivessem acesso a dados sensíveis”.

Além de cópia digital das máquinas envolvidas na invasão, ele enviou também um relatório, elaborado por Elmano Amâncio de Sá Alves, seu braço-direito no TSE, contando o que aconteceu. Nesse documento, ele relata um “incidente” em abril de 2018. Na tarde do dia 20 daquele mês, a equipe do Tribunal Regional Eleitoral de Pernambuco (TRE-PE) detectou um acesso indevido a seu banco de dados oriundo de uma máquina do TRE do Rio Grande do Norte.

O acesso de um tribunal ao sistema de outro não era normal. O relatório diz então que foi verificado que, a partir desta máquina do TRE-RN, o invasor começou a acessar computadores da Justiça Eleitoral em outros estados, como Bahia, Goiás, São Paulo e Amapá, até chegar a um servidor de domínio do TSE. “Esse usuário é antigo e deveria estar desativado. A senha era de fácil dedução”, narrou Elmano Alves, referindo-se a uma máquina invadida do TRE-AP.

Nos dias seguintes, uma série de outras máquinas foi invadida dentro da rede. No TSE, o hacker conseguiu entrar passando-se pelo coordenador de infraestrutura, Cristiano Andrade. Membro do “escritório de crise” do TSE, Andrade é um dos responsáveis por elaborar e aplicar políticas de segurança tecnológica do tribunal.

“A senha desse usuário não era trivial e utilizada exclusivamente no ambiente do TSE”, relatou Elmano Alves. Acrescentou que outros usuários também foram comprometidos e alertou: “cremos que a base de usuários do AD ["Access Directory", que armazena contas de usuários] pode ter sido comprometida e que o atacante está quebrando as senhas para posterior uso”.

Ele registrou que a invasão narrada pelo hacker "condiz" com o incidente de abril e confirma ser “bastante provável” que ele obteve a senha do ministro Sérgio Banhos e de Cristiano Andrade, “que possivelmente é a pessoa descrita na reportagem como ligada ao secretário de Tecnologia da Informação, Giuseppe Janino”.

Invasão hacker obteve cópia do código-fonte e acesso do exterior

No mesmo relatório, Elmano Alves relatou que sua equipe buscou verificar como poderia ter ocorrido o acesso aos códigos-fonte da urna, uma vez que eles ficam armazenados em um “servidor protegido”. Mais à frente, ele informou que dois equipamentos responsáveis pela compilação dos softwares continham um “servidor acessível para toda a rede e permitia a cópia do código-fonte”.

“O conteúdo das informações ali dispostas bate com o apresentado na reportagem. Por fim, também foram apresentados na reportagem documentos e outras informações constantes em contas de e-mail, o que também foi acessado de maneira indevida, a partir de abril”, disse, no final do relatório.

Em março de 2019, o perito da PF Flávio Silveira da Silva concluiu uma análise de arquivos enviados pelo TSE, contendo cópias digitais de algumas máquinas invadidas e também um arquivo do tipo “log”, que traçava o histórico de acesso à rede de computadores do TRE-PB, um dos pontos de partida do ataque.

Havia ainda dados ligados à autenticação e a e-mails de Sérgio Banhos, Cristiano Andrade e Rodrigo Coimbra, outro importante servidor do setor de informática das urnas do TSE.

Uma das informações mais alarmantes da análise, no entanto, foi a identificação da origem real de alguns acessos. O perito da PF conseguiu rastrear que o hacker usou IPs (endereços eletrônicos) de servidores localizados, em sua maioria, no Brasil, mas também de um que fica no Reino Unido (Hydra Communications) e outro no Panamá (NordVPN-L1 Tefincom S.A.).

Entre técnicos de segurança digital, o Panamá é considerado uma espécie de “paraíso fiscal” eletrônico, porque sedia servidores praticamente inalcançáveis por serviços de inteligência cibernética. A NordVPN é uma empresa que disponibiliza a seus clientes, basicamente, uma conexão segura para navegar na internet com alto padrão de privacidade e sem registro de histórico – algo ideal para um hacker que não quer ser descoberto.

Na parte final de sua perícia, Flávio Silveira ainda diz que detectou o download de “artefatos maliciosos” para dentro da rede da Justiça Eleitoral, durante a invasão.  Um deles foi baixado de um endereço eletrônico vinculado à empresa Locaweb, sediada em São Paulo.

A PF requisitou à Locaweb o nome do usuário deste endereço e recebeu como resposta dados de um cliente com residência em Rio Branco, no Acre. Até abril deste ano, a PF ainda não havia conseguido obter, junto a outros provedores de acesso, como a Tim e a Claro, dados cadastrais dos usuários em nome dos quais a rede do TSE foi acessada pelo hacker.

Histórico perdido

No dia 10 junho de 2019, o secretário de Infraestrutura do TSE, Cristiano Andrade, um dos servidores que teve a máquina invadida, enviou à PF um e-mail com uma informação preocupante. Assunto: “Resposta - TSE. Indisponibilidade. Dados adicionais”.

No corpo do e-mail, ele respondia ao questionamento dos investigadores se havia mais evidências sobre o “incidente”. Escreveu o seguinte: “o servidor de ‘buiud’ dos códigos-fontes da urna eletrônica não possuía qualquer tipo de log habilitado”. Isso significa que o log, tipo de arquivo que registra o próprio histórico de acesso ao código-fonte, não estava ativado.

“Devido a manutenções para solucionar travamentos nos firewall do TSE, a equipe da Global IP realizou reinstalação do serviço de gerência, não tendo o devido cuidado de não prejudicar os logs armazenados. Outrossim, o volume de logs configurado pela empresa ficou em apenas 80 GB, sendo suficiente para apenas 2 dias, considerando-se o volume de acessos durante o período eleitoral”, explicou Cristiano Andrade.

“Assim, informamos que o TSE não possui dados adicionais para repassar a Policia Federal”, concluiu no e-mail, de apenas uma página.

A Global IP é uma empresa de tecnologia da informação sediada em Brasília, contratada pelo TSE. “Atuamos desde 2006 exclusivamente com proteção, inteligência e privacidade da informação. Ao longo dos anos, otimizamos e aprimoramos nossa tecnologia contra ciberataques. Hoje, podemos afirmar que temos o que há de melhor no mercado quando o assunto é segurança da informação”, diz a empresa em seu site.

Na quarta-feira (4), o deputado Filipe Barros (PSL-PR), relator da PEC do Voto Impresso e que obteve a cópia do inquérito revelado por Bolsonaro, disse à rádio Jovem Pan ser um “absurdo” o que aconteceu.

“O arquivo log é um histórico, onde fica tudo registrado. Quem teve acesso ao software, quem mexeu, quem alterou, quando a pessoa entrou, quando saiu. Tudo fica registrado no arquivo log”, afirmou, antes de ler o teor do e-mail de Cristiano Andrade.

Bolsonaro, que estava na mesma entrevista, emendou: “Eu não acredito! É verdade? Eu li e entendi perfeitamente. Ou seja: o próprio TSE apagou os arquivos por onde andou o hacker. E estaria a ali prova de onde ele possivelmente adulterou”, disse o presidente.

“Pai da urna eletrônica” admite acesso a código-fonte

O documento mais destacado por Bolsonaro e Filipe Barros está na página 101 do inquérito. Trata-se da “Informação n.º 32 STI”, assinada em 7 de novembro de 2018 por Giuseppe Janino, então secretário de TI do TSE e atualmente assessor do presidente do tribunal, ministro Luís Roberto Barroso.

Nas primeiras duas páginas, ele descreve ao diretor-geral da Corte o que, à época, era possível afirmar, com base nos arquivos copiados pelo hacker e enviados ao site TecMundo.

Ele confirmou que foram capturados trechos do código-fonte do aplicativo “Gedai-UE”. O Gedai é um sistema disponibilizado pelo TSE para que os TREs instalem nas urnas eletrônicas os programas que a fazem funcionar, incluindo o software de votação.

No documento, Janino ainda disse que, dentre os arquivos capturados pelo hacker, há alguns “presentes na árvore de código-fonte do Gedai-UE”. No tópico seguinte, escreveu:

“3. Tal conteúdo evidencia o acesso indevido dos seguintes dados: 3.1 . código-fonte completo do Gedai-UE, possivelmente da versão usada nas Eleições 2018, porém sem as assinaturas da Cerimônia de Lacração; 3.2 chaves e credenciais de acesso a servidores usadas pelo Gedai-UE; 3.3. senhas para oficialização dos sistemas Candidaturas e Horário Eleitoral utilizadas para a Eleição Suplementar 2018 de Aperibé/RJ; 3.4. manual técnico da impressora de votos desenvolvida pelo FIT/Quattro Eletrônica; 3.5. manual do QR Code do boletim de urna.”

Depois, no tópico 4, registrou que “não há evidência de acesso indevido do código-fonte do software da urna – Uenux, embora exista a evidência de acesso indevido de código comum entre o Gedai-UE e o Uenux”.

Enquanto o Gedai é o sistema que prepara as mídias que serão inseridas na urna, o Uenux é o sistema operacional que roda no equipamento (como o Windows de um computador comum). Na verdade, é o sistema operacional Linux acrescido de customizações feitas no TSE.

O que Janino descrevia é que o hacker havia obtido um código comum aos dois sistemas.

Nos itens seguintes, ele esclarece o impacto do acesso indevido aos materiais. O manual do QR Code é público e estava disponível na internet. O manual da impressora, embora fosse sigiloso em razão de um contrato privado, não tinha “informação sensível”, pois ela nunca havia entrado em operação.

Os esclarecimentos seguintes chamam mais a atenção:

“5.3. as senhas de oficialização (item 3.3) permitem a alteração de dados de partidos e candidatos (até mesmo a sua exclusão) no contexto de um processo eleitoral (ou seja, no caso concreto afeta somente a Eleição Suplementar 2018 de Aperibé/RJ);

5.4 as credenciais de acesso aos servidores usadas pelo Gedai-UE (item 3.2) podem permitir que alguém dentro da intranet da Justiça Eleitoral consiga copiar os dados de eleitores e candidatos que alimentam as urnas, mas sem a capacidade de adulterá-los;

5.5. as chaves usadas pelo Gedai-UE (item 3.2) ainda requerem uma análise de risco mais detalhada; isso porque parte das chaves são geradas no momento da lacração e o acesso indevido diz respeito a material presente no ambiente de desenvolvimento - ou seja, o software lacrado usa chaves diferentes; na hipótese de serem as mesmas, existe a possibilidade de manipulação de arquivos de configuração que alimentam o software da urna; e

5.6. o código-fonte do Gedai-UE, acompanhado de seus binários compilados, permite a importação de dados oficiais das eleições e carregamento de urnas com esses dados; contudo, o software de urna utilizado não tem as assinaturas oficiais da lacração, o que fica evidenciado pelo LED de segurança da urna e pelos procedimentos de verificação de hash e assinatura; também não seria possível a geração de um boletim de urna válido para a Totalização a partir disso.”

Nesse documento, de novembro de 2018, elaborado no dia seguinte ao conhecimento da invasão, iniciada meses antes, Giuseppe Janino solicitou a abertura de inquérito na PF e informa que providências estavam sendo tomadas para “sanar as fragilidades que resultaram nesse acesso indevido, assim como tornar os sistemas expostos ainda mais seguros”.

Afinal, a invasão hacker prova que houve fraude eleitoral?

Ainda na quarta-feira (4), ao tentar traduzir o documento, Jair Bolsonaro disse que, por ter invadido os sistemas internos do TSE, com acesso ao código-fonte do Gedai, o hacker pode ter adulterado o software de votação que seria instalado posteriormente, de modo a desviar seus votos.

A Gazeta do Povo consultou um dos maiores especialistas em segurança das urnas eletrônicas no Brasil, o professor Diego Aranha, ex-Unicamp e UnB, e que atualmente dá aulas no Departamento de Ciência da Computação da Universidade Aarhus, na Dinamarca.

Profundo conhecedor das urnas eletrônicas, ele coordenou equipes que, em 2012 e 2017, conseguiram quebrar o sigilo do voto e invadir o sistema de votação em testes públicos promovidos pelo TSE para aperfeiçoar os mecanismos de segurança do equipamento.

Ele diz que, com base no relatório de Giuseppe Janino, não é possível afirmar que o programa de votação foi fraudado pela invasão hacker e que teria ocorrido, portanto, adulteração dos votos na eleição de 2018.

"No plano de ação do TSE, eles se comprometeram a verificar todas as alterações do Gedai no período de tempo da invasão. Apesar de não terem executado essa tarefa segundo o plano de ação contido no inquérito, alegaram que não encontraram alteração indevida”, afirmou Diego Aranha à reportagem.

Mesmo assim, ele considera a invasão “bastante grave”. Em primeiro lugar, porque o Gedai é um componente “crítico” da urna. “Se ele tem vulnerabilidades e termina comprometido, poderia hipoteticamente gerar cartões de memória com software adulterado para instalação nas urnas”, explicou.

De qualquer modo, para efetivamente conseguir desviar votos, com a posse do código-fonte, o hacker teria que “comprometer as máquinas dos TREs que fazem a instalação dos cartões, explorar vulnerabilidades observadas no Gedai, adulterar os pacotes de software de instalação que o Gedai usa para injetar código malicioso e torcer para as etapas posteriores não detectarem isso”.

É um cenário improvável. Mas, para Diego Aranha, o inquérito serve para mostrar, pelo menos, as deficiências na infraestrutura do TSE: “senhas fracas, autenticação insuficiente, comprometimento de múltiplas máquinas de TREs”.

“É evidente que código-fonte de sistemas críticos vazou. Não dá para saber exatamente que porções de código pelas evidências, mas o Gedai e código comum que faz parte da urna eletrônica estão no pacote”, afirmou.

Por isso, para ele, as acusações de Bolsonaro não convencem, mas as alegações do TSE também não.

O que diz o TSE

Na nota divulgada nesta quinta (5), o TSE afirmou que “nada de anormal ocorreu” com o código-fonte instalado nas urnas. “O código-fonte dos programas utilizados passa por sucessivas verificações e testes, aptos a identificar qualquer alteração ou manipulação.”

O tribunal acrescentou que o código-fonte é acessível a partidos, PF, Ordem dos Advogados do Brasil (OAB) e outras entidades que fiscalizam os sistemas da urna. “Uma vez assinado digitalmente e lacrado, não existe a possibilidade de adulteração. O programa simplesmente não roda se vier a ser modificado”, informou a Corte Eleitoral em nota.

Para Diego Aranha, mais que assumir que o código-fonte da urna “vazou”, o TSE deveria ir além: disponibilizá-lo publicamente na internet, para uma contínua verificação de sua integridade pelos especialistas. O TSE já prometeu isso, mas nunca cumpriu.

“Do ponto de vista de segurança eleitoral, a postura correta do Tribunal é não mais considerar que código-fonte do sistema de votação continue secreto. Essa premissa já não era muito razoável antes mesmo da invasão. É prática comum em segurança da informação assumir que o fraudador conhece os detalhes de implementação do sistema. Do ponto de vista conservador, entendo que a mesma observação deva ser estendida ao código-fonte da urna, mesmo que o inquérito dê ênfase ao Gedai”, disse.

Ele também apontou um problema na perda dos logs – os arquivos que guardam o histórico da invasão. Sem eles, fica difícil dimensionar com exatidão o alcance do ataque realizado. “A postura correta, do ponto de vista de segurança, é assumir que vazaram mais coisas do que mostram as evidências claras”, afirmou o especialista.

Aranha explicou que, quando se trata de segurança digital, o mais adequado é sempre assumir a premissa de que o invasor já esteja numa rede interna e que ele também é capaz de apagar os rastros do ataque. “A postura pró-ativa de segurança é assumir o pior caso”, disse Diego Aranha.

Use este espaço apenas para a comunicação de erros

Principais Manchetes

Receba nossas notícias NO CELULAR

WhatsappTelegram

WHATSAPP: As regras de privacidade dos grupos são definidas pelo WhatsApp. Ao entrar, seu número pode ser visto por outros integrantes do grupo.