Um pedido encaminhado para a Polícia Federal no dia 7 de novembro de 2018 solicitava investigação sobre uma possível invasão aos sistemas digitais
O então secretário de Tecnologia da Informação do
Tribunal Superior Eleitoral (TSE) durante as eleições de 2018,
Giuseppe Dutra Janino, encaminhou à Polícia Federal no dia
7 de novembro de 2018 um pedido para a PF investigar uma
invasão aos sistemas digitais da corte.
A carta foi elaborada a pedido da então presidente do TSE,
Rosa Weber, a partir do recebimento de uma denúncia feita
por um hacker ao portal de notícias "Techmundo". Weber pediu
que a Secretaria de Tecnologia analisasse o caso.
No documento, o secretário de tecnologia avalia ser necessário
a abertura de uma investigação pela Polícia Federal uma vez
que "existe a possibilidade de manipulação de arquivos de
configuração que alimentam o software da urna".
Veja abaixo os detalhes do documento:
- Trata-se de informar acerca do recebimento de denúncia
de acesso indevido de dados relativos aos sistemas eleitorais
e ao projeto do hardware da UE2018. tal denúncia foi
encaminhada por e-mail a assessoria de comunicação deste
tribunal, a qual solicitou esclarecimentos sobre o teor do e-mail
encaminhado pelo sr. Felipe Payão, identificado como repórter
do portal "Techmundo".
- Tal conteúdo evidencia o acesso indevido dos seguintes
dados: 1) Código-fonte completo do Gedai UE possivelmente da
versão usada nas eleições 2018, porém sem assinaturas da
cerimônia de lacração; 2) chaves e credenciais de acesso a
servidores usadas pelo Gedai UE; 3) senhas para oficialização
dos sistemas, candidaturas e horário eleitoral utilizadas para
eleição suplementar 2018 de Aperibé/RJ; 4) manual técnico da
impressora de votos desenvolvidas pelo FIT; 5) manual do QR
Code do boletim de urna.
- Não há evidência de acesso indevido do código fonte do
software da urna - Uenux, embora exista evidência de acesso
indevido de código comum entre o Gedai-UE e o Unenux.
- Com relação ao material acessado indevidamente, o impacto
é o seguinte:
1) o manual do QR-Code já é de domínio público e encontra-se
publicado na Internet;
2) o manual da impressora de votos não possui informação
sensível uma vez que trata-se da documentação de um protótipo
que nunca entrou em operação - o seu caráter sigiloso se deve
a uma relação contratual entre o FIT e a Quattro Eletronica;
3) as senhas de oficialização permitem, a alteração de dados
de partidos e candidatos "até mesmo a sua exclusão" no
contexto de um processo eleitoral. Ou seja, no caso concreto
afeta apenas a eleição suplementar 2018 de Aperibé/RJ;
4) as credenciais de acesso aos servidores usados pelo Gedai
UE podem permitir que alguém dentro na intranet da Justiça
Eleitoral consiga copiar os dados de eleitores e candidatos que
alimentam as urnas n, mas sem a capacidade de adulterá-los;
5) as chaves usadas pelo Gedai ainda requerem uma análise
de risco mais detalhada isso porque parte das chaves são
geradas no momento da lacração e os acesos indevido diz
respeito ao material presente no ambiente de desenvolvimento,
ou seja, o software lacrado usa chaves diferentes na hipótese
de serem as mesmas existe a possibilidade de manipulação de
arquivos de configuração que alimentam o software da urna;
6) o código fonte do Gedai acompanhado de seus binários
compilados permite a importação de dados oficiais das eleições
e carregamento de urnas com esses dados contudo o software
de urna utilizado não tem as assinaturas oficiais da lacração que
fica evidenciado pelo LED de segurança da urna e pelos
procedimentos de verificação de hash e assinatura; também
não seria possível a geração de um boletim de urna válido para
a totalização a partir disso;
7) diante desse cenário solicita-se a abertura de inquérito policial
junto a Polícia Federal para apuração dos fatos;
8) Outras providencias já estão em andamento nessa STI
para sanar as fragilidades que resultaram nesse acesso indevido
assim como tornar os sistemas expostos ainda mais seguros;
9) Finalmente, alerta-se sobre a necessidade de tramitação
urgente desse processo.
Procurado, o TSE não se manifestou.
Caio Junqueira, CNN
