Ouça este conteúdo
O presidente do Tribunal Superior Eleitoral (TSE), Alexandre de Moraes, informou no último dia 9 que o relatório de fiscalização do Ministério da Defesa sobre as urnas eletrônicas foi visto com satisfação pela Corte. Em nota, Moraes destacou que o documento não apontou fraude ou inconsistência no sistema eletrônico de votação. E acrescentou que as sugestões para o aperfeiçoamento do sistema, feitas pelos militares, seriam “oportunamente analisadas”. A reportagem apurou que, por enquanto, não estão previstas outras respostas oficiais da Corte à Defesa. A Gazeta do Povo questionou o tribunal sobre os principais pontos do relatório dos militares. A assessoria de imprensa do TSE respondeu às perguntas. Abaixo, reproduzimos o teor das respostas, acompanhadas das conclusões da Defesa.
Acesso à rede na compilação de programas das urnas eletrônicas
Um dos principais problemas apontados pela Defesa foi o fato de que os computadores tinham acesso a uma rede desconhecida pelos militares durante a compilação dos programas instalados nas urnas – processo que consiste em transformar o código-fonte, composto de comandos escritos na forma de algoritmos, a um código binário, legível somente pelas máquinas.
A compilação foi realizada no início de setembro no TSE, numa cerimônia pública com a presença técnicos das Forças Armadas, e de diversas outras autoridades e entidades fiscalizadoras do sistema. No evento, é possível a eles verificar que o programa instalado é lacrado com tecnologias que impedem modificação posterior, quando é instalado nas urnas.
A Defesa, porém, observou que os computadores acessaram uma rede externa para obter outros códigos-fonte ou softwares de terceiros. Os militares questionaram o TSE quais estruturas foram acessadas, bem como suas localizações. Mas não obtiveram resposta. Segundo eles, isso impossibilitou que se aferisse a correspondência entre o código-fonte que haviam inspecionado no TSE, em agosto, com o código que foi efetivamente compilado.
“A ocorrência de acesso à rede durante a compilação pode configurar relevante risco de segurança ao processo”, informa a Defesa em seu relatório de fiscalização.
Questionado pela reportagem sobre esse risco, o TSE respondeu que os computadores que executam a compilação dos códigos-fonte não ficam permanentemente conectados à internet. “Ao contrário, ficam em rede apartada da internet, com eventuais e controladas aberturas de acesso à rede mundial para atualização de drivers dos tokens utilizados pelas entidades externas (dentre elas, as FFAA [Forças Armadas]) para a realização de assinatura digital dos códigos-fonte”, esclareceu o tribunal.
Ou seja: o acesso à internet serve apenas para certificar as assinaturas digitais que os militares e outros técnicos inscrevem no código-fonte no momento da lacração. “Trata-se de um ambiente com controle totalmente diferenciado e com segurança superior aos ambientes de desenvolvimento de sistemas comuns nas demais organizações mundo afora, onde os ambientes de compilação não possuem restrições nesses níveis”, acrescentou o TSE.
Em relação aos programas de terceiros compilados junto com o código-fonte inspecionado, o TSE afirma que eles ficam em “repositórios usados para o desenvolvimento dos sistemas” e “não estão expostos na internet”. “Ficam em rede protegida dentro do TSE, com acesso controlado. Em casos que se fez necessário acesso remoto aos repositórios, e por não estarem expostos à internet, o acesso foi realizado mediante concessão de acesso individualizado, com VPN e uso obrigatório de solução de Múltiplo Fator de Autenticação”.
VPN é a sigla em inglês de “virtual private network”, ou seja, uma rede privada virtual. Em geral, ela usa a internet, mas os dados trafegam de forma fechada, segura e criptografada. O múltiplo fator de autenticação é um mecanismo de segurança que exige do usuário cumprir uma série de passos para verificar que, de fato, trata-se da pessoa autorizada para acessar algum serviço e não um invasor.
Versões do código-fonte das urnas eletrônicas
No relatório de fiscalização, o Ministério da Defesa expressou queixas em relação à inspeção do código-fonte, um arquivo com 17 milhões de linhas contendo os comandos executados pelas urnas eletrônicas.
Os militares disseram que, entre os dias 2 e 19 de agosto, foram ao TSE para verificar códigos de quatro sistemas, incluindo os de apuração, votação e totalização de votos. Mas a pasta registrou uma série de limitações. A primeira é que foi autorizada apenas uma análise estática, isto é, das próprias linhas de algoritmo, sem que fosse possível executá-las e observá-las funcionando numa urna. Por isso, os militares disseram que não puderam compreender o funcionamento do sistema como um todo. “O TSE autorizou que os técnicos acessassem a Sala de Inspeção portando somente papel e caneta”, diz o relatório dos militares.
A Defesa informou ainda que não teve acesso a um sistema de controle das versões do sistema de votação, “o que inviabilizou a comparação da versão compilada com a versão fiscalizada”. Ou seja, não houve a certeza de que o código disponibilizado para inspeção é aquele que roda nas urnas eletrônicas, porque não havia como comparar as diferentes versões do código. Por fim, a pasta disse que não teve acesso a softwares de terceiros que também são executados nas máquinas.
Nesse tópico, o TSE informou que “o código-fonte mantido no repositório de controle de versões foi integralmente disponibilizado para análise”. Em relação à suspeita de que os militares não acessaram a versão final do código, o tribunal disse que foi possível compará-lo com aquele posteriormente compilado, por meio de um mecanismo conhecido como “script”. “Todos os scripts utilizados durante a cerimônia estão disponíveis no ambiente de inspeção do código-fonte. A avaliação dos comandos empregados no processo de lacração deve ser feita nesse ambiente”, informou o TSE. A Corte acrescentou que, no momento da lacração das urnas, as Forças Armadas e as demais entidades fiscalizadoras puderam esclarecer dúvidas sobre os procedimentos adotados.
Por fim, o TSE destacou que o código-fonte ficou disponível por um ano, desde outubro de 2021, e que só no final do prazo a Defesa pediu acesso para inspeção, o que foi prontamente atendido. “Importa destacar que todo o código-fonte esteve disponível para auditoria das entidades fiscalizadoras pelo período de um ano. Durante esse período, diversas entidades, aí incluída a Polícia Federal, o Ministério Público Eleitoral, a Universidade de São Paulo, a Universidade Federal de Pernambuco e a Universidade de Campinas, dentre muitas outras instituições, realizaram verificações e não apontaram inconsistências nos sistemas”, afirmou o TSE.
“As próprias Forças Armadas, ainda que apenas a partir de agosto de 2022, também examinaram os códigos-fonte. Ao final desse período, todo o código-fonte que estava disponibilizado no ambiente de inspeção de código foi compilado durante cerimônia pública e assinado digitalmente por diversas instituições”, completou o Tribunal, em resposta à reportagem.
Em relação às limitações impostas, o TSE disse que “os técnicos [militares] tiveram acesso totalmente adequado, como todas as demais entidades fiscalizadoras”.
Durante a fiscalização, a Defesa questionou o TSE se seria possível ter acesso a um sistema de controle de versões. No dia 13 de agosto, os técnicos do tribunal informaram que os sistemas eleitorais se encontravam, à época, em desenvolvimento, e que ainda sofreriam modificações. Por outro lado, registraram que, no momento da lacração, em setembro, seria possível verificar que o código disponibilizado para inspeção seria o mesmo da compilação.
O TSE disse à Defesa que não seria possível autorizar a análise “dinâmica” dos códigos, isto é, seu funcionamento dentro da urna, o que seria possível somente no Teste Público de Segurança – evento ocorrido durante uma semana em 2021 no qual técnicos externos são chamados ao TSE para tentar atacar o sistema, para desviar votos ou quebrar o sigilo das escolhas do eleitor, por exemplo.
Teste de integridade com eleitores voluntários
No relatório de fiscalização, a Defesa também informou que o teste de integridade das urnas eletrônicas, com biometria de eleitores voluntários, deveria alcançar um número maior de votos. O teste de integridade consiste em retirar das seções eleitorais, no dia ou na véspera das eleições, algumas urnas para verificar se elas registram corretamente as escolhas dos candidatos.
Votos previamente preparados por partidos são digitados nas urnas e inscritos em cédulas, para que ao final os dois resultados sejam comparados. A Defesa sugeriu e o TSE acolheu a sugestão de chamar eleitores reais para ativar as urnas, de modo a evitar que elas pudessem identificar que estavam sendo testadas – a hipótese é que, se isso ocorresse, elas poderiam se comportar de maneira diferente e não como funcionam na eleição real.
Ainda assim, a Defesa afirmou que poucos eleitores foram chamados para participar. Assim, com uma votação bem abaixo da média de uma seção real, a urna também poderia perceber que estava sendo testada. A sugestão seria convidar mais eleitores.
Sobre essa questão, o TSE informou que não pode forçar eleitores a participar do teste. “A Justiça Eleitoral convidou os eleitores e eleitoras das seções onde foi realizado o projeto-piloto com biometria para participar do Teste. Desde o início foi informado, inclusive ao Ministério da Defesa, a necessidade que a participação fosse voluntária, e nem poderia ser diferente, pois a JE [Justiça Eleitoral] não poderia obrigar ninguém a participar da ação”, afirmou o TSE.