Urna eletrônica: saiba como funciona e por que é impossível ser hackeada
Segundo dados do Tribunal Superior Eleitoral, a partir das Eleições de 1996, quando ocorreu a estreia das urnas eletrônicas, não houve nenhum caso de fraude detectado até o momento
Durante o período de eleições, notícias falsas que questionam a confiabilidade da urna eletrônica ressurgem com maior frequência. Muitas pessoas acabam acreditando nessas inverdades devido à falta de entendimento completo sobre seu funcionamento, o que pode contribuir para a disseminação da desinformação.
Segundo o Tribunal Superior Eleitoral (TSE), a principal medida de segurança adotada no sistema eleitoral do Brasil pode ser facilmente compreendida: as urnas não têm conexão com a internet, o que significa que nenhum hacker, mesmo o mais experiente, é capaz de acessar o dispositivo para alterar os votos em benefício de um candidato específico.
Contudo, existem muitas teorias que iludem o eleitorado ao sugerir que seria viável burlar o sistema de votação de maneiras diversas, como na fabricação das urnas, na hora de colocar lá dentro os programas que a fazem funcionar, no momento da transmissão dos votos ou na totalização.
A concepção da urna eletrônica, que utiliza tecnologia de ponta, contou com a participação de profissionais do Tribunal Superior Eleitoral (TSE), representantes dos tribunais regionais eleitorais e integrantes de órgãos como Instituto Nacional de Pesquisas Espaciais (Inpe), Instituto de Estudos Avançados da Aeronáutica, Telebras, Exército e Marinha. O equipamento foi criado no período de 1994 a 1996, quando o ministro Carlos Velloso presidiu o TSE.
“O Brasil constrói aviões na Embraer que são exportados para diversos países. Os brasileiros também foram capazes de desenvolver uma tecnologia de ponta como a urna eletrônica, que é elogiada internacionalmente. Somos a maior autoridade do mundo em eleições digitais. Realizamos uma das maiores eleições digitais do planeta, e alguns brasileiros desqualificam isso”, afirma Giuseppe Janino, ex-secretário de Tecnologia da Informação do TSE, que contribuiu para o aperfeiçoamento do voto informatizado, lamentando os ataques infundados que a urna eletrônica ainda sofre.
Segundo dados do Tribunal Superior Eleitoral, a partir das Eleições de 1996, quando ocorreu a estreia das urnas eletrônicas, não houve nenhum caso de fraude detectado até o momento.
Veja a seguir por que não é possível fraudar a urna eletrônica em nenhum momento
Código-fonte e auditorias
Toda a segurança do sistema de votação eletrônico brasileiro é baseada principalmente em dois atributos: integridade e autoria (autenticidade).
Na prática, o que isso significa? A integridade garante que não houve nenhuma modificação no programa que faz a urna funcionar desde que ele foi colocado lá dentro (e em nenhum outro programa usado no processo eleitoral). A autoria assegura que aquele programa é autêntico, foi mesmo produzido pelo TSE. Ou que aquele resultado de votação saiu mesmo de uma urna original, produzida pelo TSE.
E como isso funciona? Todos os programas de computador são escritos em linguagem de programação, linha por linha, determinando como o sistema vai funcionar. Esse conjunto de comandos se chama código-fonte. Com a urna eletrônica, não é diferente. Os programas que fazem a urna funcionar são totalmente desenvolvidos pelo TSE para cada eleição, em um processo de melhoria e aperfeiçoamento constante.
Já ouviu falar que o código-fonte é secreto, que ninguém pode inspecioná-lo e ver se tem algo errado lá? Ou que não é possível fazer auditoria nas urnas eletrônicas? É mentira. É possível fazer auditoria nas urnas em diversos momentos, e várias são feitas ainda antes da eleição (e também é possível fazer depois).
Durante o desenvolvimento dos programas que serão usados na próxima eleição, os seus códigos-fonte são abertos e ficam disponíveis por um prazo de pelo menos um ano para que diversas instituições, como partidos políticos, Sociedade Brasileira da Computação, Ministério Público, Polícia Federal, Ordem dos Advogados do Brasil (OAB) e universidades, entre outras, analisem linha por linha de cada programa que será utilizado na eleição — são mais de 100 programas, cerca de 20 apenas para a urna eletrônica.
No ano anterior às eleições, também é realizada uma auditoria chamada Teste Público de Segurança (TPS). Qualquer cidadão brasileiro maior de 18 anos pode se habilitar para participar, apresentando um plano de ataque (uma tentativa de invadir as urnas eletrônicas e adulterar os seus programas). Desde 2009, já foram sete edições da auditoria, com a participação de 148 profissionais altamente qualificados, que testam e aprimoram as barreiras de segurança do equipamento. Nesse período, nunca foi encontrada nenhuma vulnerabilidade capaz de alterar o resultado da eleição.
Integridade e autoria
Após as auditorias, esses programas são finalizados, para que depois sejam inseridos nas urnas eletrônicas. A partir desse ponto, quando já é comprovado que os programas são seguros e que fazem exatamente o que devem fazer, não haverá mais nenhuma alteração neles.
Como dá para ter certeza disso? Por causa dos atributos de integridade e autoria. Quando os programas são finalizados, há um processo de lacração dos sistemas, uma espécie de blindagem eletrônica que gera resumos digitais chamados de hashes. Esses resumos digitais são códigos únicos que correspondem a cada programa do sistema eleitoral (uma espécie de impressão digital de cada programa). Uma cópia dos hashes é entregue aos representantes que participam da cerimônia de lacração. A relação de hashes também é publicada na Internet
Com eles, qualquer partido político pode verificar se os programas lacrados no TSE são exatamente os mesmos encontrados em qualquer urna do país. Isso garante a integridade, ou seja, que não houve nenhuma modificação no código-fonte dos programas que estão de fato rodando nas urnas.
E a autoria? Nessa cerimônia de lacração dos sistemas no TSE, todos os programas são também assinados digitalmente por representantes de diversas instituições. As assinaturas digitais são feitas com base numa tecnologia chamada infraestrutura de chave pública, que tem validade jurídica e garante a autenticação da identidade de quem assina o documento, ou seja, a autoria.
Da mesma forma que os hashes, a assinatura digital também pode ser verificada nos locais de votação pelos partidos políticos e outras instituições, para se certificarem de que os programas que estão fazendo a urna funcionar são originais, exatamente os mesmos que foram produzidos pelo TSE.
Depois da cerimônia de lacração, os sistemas que serão usados na eleição são gravados em mídia não regravável e armazenados na sala-cofre do TSE, um ambiente altamente protegido contra radiação, inundação, incêndio, terremoto, acessível apenas por poucas pessoas identificadas, depois de diversas barreiras de segurança e monitorado por câmeras 24 horas por dia. Se houver qualquer dúvida de que houve alterações no programa em alguma urna, basta comparar com o arquivo original que fica lá guardado.
Código invisível
Em informática, não existe magia — apesar de às vezes a tecnologia ser tão surpreendente que realmente parece mágica. Mas tudo tem que estar escrito. Um programa executa uma série de comandos (o código-fonte) que faz o sistema funcionar. Não existe outra opção. Para executar qualquer operação, é preciso que exista um comando escrito para isso.
Assim, não é possível inserir qualquer comando em um código-fonte de um programa sem deixar rastros. Mesmo que fosse possível adulterar os programas da urna eletrônica para favorecer alguma candidatura (o que não é), isso seria facilmente verificável ao se comparar os programas que estão nas urnas com os programas que estão na sala-cofre do TSE, explica o secretário de Tecnologia da Informação do Tribunal Regional Eleitoral de São Paulo (TRE-SP), Daniel Forlivesi.
Segundo ele, a verificação de que os programas inseridos nas urnas são exatamente os mesmos do que aqueles que foram lacrados pelo TSE é feita rotineiramente pela Justiça Eleitoral no dia das eleições. Essa auditoria, chamada Teste de Autenticidade, ocorre em urnas sorteadas em todos os estados do país.
Além disso, não é possível fraudar as urnas eletrônicas por um motivo bastante simples de entender: se houver qualquer alteração em qualquer linha de programação do código-fonte que for inserido na urna, ela simplesmente não funciona. Isso graças a um componente chamado hardware de segurança, que recebe as chaves de verificação dos programas que serão acionados na urna eletrônica.
Hardware de segurança
O hardware de segurança é um dispositivo com um chip blindado fisicamente que fica dentro da urna eletrônica. Ali estão os certificados digitais produzidos pelo TSE. Ele é altamente protegido, inclusive com uma resina à base de epóxi que o deixa totalmente vedado. Os seus componentes são construídos de modo que nenhuma parte sensível, que tenha a capacidade de transmitir dados, fique exposta. Qualquer tentativa de acesso ao hardware de segurança resulta na destruição física do equipamento.
Quando qualquer computador comum é ligado, o primeiro componente que “acorda” é o BIOS (Basic Input/Output System, ou Sistema Integrado de Entrada e Saída), que começa a verificar se a memória está funcionando, se o teclado está funcionando e assim por diante. Depois ele começa a “chamar” as camadas de software, os programas que estão instalados na máquina. No caso da urna eletrônica, antes do BIOS, o primeiro componente que “acorda” é o hardware de segurança.
E o que ele faz? Antes de qualquer coisa, o hardware de segurança verifica justamente se a integridade e a autoria dos programas instalados naquela urna estão corretos por meio dos hashes e das assinaturas digitais. Se essa conferência não bater, a urna nem liga.
Ou seja, se alguém conseguisse fazer qualquer alteração nos programas da urna, isso seria identificado pelo hardware de segurança, que contém as chaves dos programas originais que foram amplamente auditados e verificados e ficam guardados na sala-cofre do TSE.
Hora da fabricação
E o que garante que algum componente das urnas eletrônicas não pode ser adulterado na hora da sua fabricação para que ela funcione de outro jeito? Por que algum funcionário mal-intencionado das empresas que são contratadas para fabricar as urnas não pode inserir algum código malicioso ali dentro? Os componentes usados para a fabricação da urna não podem vir de fábrica já com comandos específicos escondidos?
Em primeiro lugar, os componentes que integram a urna eletrônica não têm inteligência por si só, são itens básicos. Eles são entregues “vazios”, sem nenhum programa ali dentro. E, mesmo que alguém inserisse na urna algum vírus, algum código malicioso para executar qualquer operação, isso seria identificado nas etapas seguintes, quando a urna verifica a integridade e a autoria de tudo o que está instalado ali. De novo, em informática, não existe um comando que possa ficar invisível, ele precisa estar escrito em algum lugar.
Além disso, a empresa que vence a licitação simplesmente materializa o projeto que é feito pelo TSE. Durante a produção da urna, técnicos do TSE acompanham todas as etapas de fabricação. E, finalmente, quando a urna é concluída, o fabricante não consegue nem testar o equipamento. Para isso, é preciso que a Justiça Eleitoral cadastre uma chave própria, que faz com que a urna identifique que é um acesso autorizado, e só então ela começa a funcionar.
O hardware de segurança é entregue em branco, as chaves e os programas que ficam nele são colocados depois. A empresa que fabrica as urnas não tem acesso a elas nem ao código-fonte, são etapas separadas.
Essa segmentação também é utilizada como mais um recurso de segurança dentro do próprio TSE: as equipes que desenvolvem os softwares da urna são diferentes das equipes que fazem a transmissão dos dados, que por sua vez também não são as mesmas que trabalham nos sistemas que fazem a totalização dos votos e assim por diante. Ou seja, ninguém tem acesso a todos os programas, ninguém tem “a faca e o queijo” na mão. Isso também dificulta qualquer tentativa de burlar os sistemas por meio da infiltração de pessoas mal-intencionadas no TSE.
Inseminação das urnas
Como é amplamente sabido, as urnas não são conectadas à internet, e isso reforça muito a sua segurança. Afinal, elas não ficam expostas ao ambiente digital, em que qualquer hacker poderia tentar repetidamente quebrar as suas diversas barreiras. Mas como os programas que a fazem funcionar vão parar lá dentro? Não seria possível adulterar esses programas antes de serem inseridos nas urnas?
Em período próximo às eleições, eles são “inseminados” nas urnas em cerimônias públicas nos cartórios eleitorais, que são conduzidas pelo juiz eleitoral responsável e podem contar com a presença de representantes de diversas entidades fiscalizadoras e da imprensa — qualquer cidadão também pode acompanhar. Mas como esses programas que são colocados na urna chegam nos cartórios?
Todos os programas são transmitidos pelo TSE até as zonas eleitorais por meio de uma rede privada, exclusiva da Justiça Eleitoral (não é pela internet comum). Além disso, essa rede é criptografada. Isso significa que todos os dados que trafegam por ela são transformados em sinais e embaralhados. Quem recebe os programas (os cartórios) tem uma chave que desembaralha os dados. Ou seja, mesmo que alguém conseguisse interceptar esses dados, não conseguiria lê-los e processá-los.
Mas o que garante que os programas não podem ser modificados nos computadores dos cartórios, quando já estão desembaralhados, antes de serem inseminados nas urnas? Há uma grande infraestrutura de segurança que protege os computadores e a rede de toda a Justiça Eleitoral. Mas, mesmo que alguém conseguisse invadi-la e modificasse os programas nesse momento, na hora que eles fossem colocados nas urnas elas não funcionariam, por causa das conferências de integridade e autoria que são feitas pelo hardware de segurança da urna em diversos momentos.
Além disso, a legislação prevê que as entidades fiscalizadoras poderão verificar a integridade e autenticidade dos sistemas instalados nas urnas para a votação, podendo auditar até 6% das urnas já preparadas em cada zona eleitoral. Ou seja, através de uma aplicação que simula a votação, as entidades podem votar na urna e verificar se o Boletim de Urna expressa o resultado fiel dessa votação.
Lacres físicos
E por onde os programas “entram” na urna, já que elas não são conectadas à internet? Um hacker não poderia usar essas mesmas entradas para inserir algum código malicioso ali dentro em algum momento?
Depois que os programas são inseridos na urna, todas as entradas que são usadas nesse processo são lacradas fisicamente com lacres especiais produzidos pela Casa da Moeda. Esses lacres têm uma propriedade química que impede qualquer tentativa de violação: quando ele é retirado, mesmo que com todo o cuidado, imediatamente ele muda de aparência, deixando evidente que foi violado.
Além disso, as urnas têm um sistema de segurança que as mantém travadas até a eleição. Ela é programada para funcionar apenas no dia da eleição no horário da votação. E, mesmo que alguém conseguisse furar todos esses bloqueios, qualquer alteração dos programas seria identificada pelo hardware de segurança assim que ela fosse ligada, durante a verificação de integridade e autoria.
Transmissão dos votos
E como os votos saem da urna? Como eles são transmitidos para o TSE? O que garante que eles não podem ser interceptados nesse momento e adulterados?
Após a eleição, a chamada mídia de resultado, que contém os votos de uma determinada urna, é retirada do equipamento para que seja transportada até o local onde será feita a transmissão dos dados para o TSE (normalmente os cartórios eleitorais). Essa mídia é uma espécie de pendrive de formato exclusivo da Justiça Eleitoral. Esses dados são protegidos por assinatura digital e enviados em uma rede privada criptografada. Os pacotes de dados são transmitidos em frações de segundo. Isso significa que, para adulterá-los, seria preciso quebrar a criptografia da rede, depois quebrar a criptografia das assinaturas digitais, fazer alguma modificação e depois ainda assiná-los novamente para tentar enganar os computadores do TSE, o que é virtualmente impossível de se fazer, ainda mais em frações de segundo.
Além disso, quando esses dados adulterados chegassem ao TSE, qualquer modificação seria facilmente verificada por meio das chaves do sistema que garantem a integridade e a autoria. E qualquer alteração no resultado seria facilmente verificável por meio dos Boletins de Urna (BU) e dos Registros Digitais do Voto (RDV), que permitem que se faça uma auditoria do resultado (mais informações sobre BU e RDV abaixo).
E em caso de perda, furto, roubo ou qualquer acidente com esses pendrives? Não há problema nenhum, pois os dados com o resultado daquela urna também ficam salvos em uma mídia de votação dentro do equipamento. Se houver qualquer problema, é possível salvar novamente o resultado em outra mídia de resultado para a transmissão. Esses dados também podem ser usados para eventual auditoria depois das eleições.
Voto impresso x voto digital
Responda sinceramente: para uma conta gigante, com números enormes, você confia mais no resultado de uma calculadora ou numa conta manual, com papel e caneta? Se tem uma coisa que as máquinas sabem fazer bem, é contar.
Se fosse adotado o voto impresso como mais uma forma de auditoria, como alguns ainda defendem, isso não acrescentaria mais segurança, pelo contrário. Para contar os votos impressos e processar os resultados, seria preciso a intervenção humana em diversos momentos, e isso só diminuiria a segurança. Mesmo que não houvesse intenção deliberada de fraude, dispararia a probabilidade de falha. Afinal, como diz o ditado, errar é humano.
Todo o desenvolvimento das urnas eletrônicas buscou diminuir a participação humana no processo justamente para aumentar a segurança, por causa das inúmeras fraudes e falhas que existiam antes. Além disso, o processo de votação é digital, e a impressão é um processo mecânico, que também é muito mais sujeito a falhas.
Totalização do resultado
Mas é impossível fazer uma recontagem de votos sem o voto impresso? Isso é uma mentira que costuma ser muito propagada, muitas vezes por puro desconhecimento. Todos os votos são salvos em uma espécie de tabela digital dentro da urna, chamada Registro Digital do Voto (RDV).
Ali os votos são salvos de maneira embaralhada para não comprometer o sigilo do voto. Como? Primeiro, o RDV não registra o horário de cada voto, ou seja, não dá para saber, pelo horário em que cada pessoa compareceu ao local de votação, em quem ela votou.
Segundo, o RDV não salva os votos de cada pessoa para todos os cargos de forma ordenada. Ele salva na tabela digital todos os votos para todos os cargos de forma embaralhada. Assim, mesmo que uma pessoa vote em um candidato improvável (que teoricamente teria apenas um voto naquela seção), não dá para saber quais foram os outros candidatos em quem ela votou.
Os RDVs são como o voto impresso, mas “impresso digitalmente”. Isso é muito mais seguro, afinal, é muito fácil alterar uma cédula em papel, que pode ser subtraída, rasgada ou rasurada. Mas o RDV é protegido com diversas camadas de segurança, como criptografia, assinaturas digitais e hashes. Ou seja, mesmo que alguém conseguisse adulterar os votos daquela urna, isso seria facilmente identificado pelos programas que verificam a integridade e a autoria da tabela (esse processo é feito pela urna a todo momento, a cada voto).
Os partidos políticos e coligações podem solicitar os RDVs de todas as urnas que quiserem após a conclusão dos trabalhos de totalização. Pouco tempo depois, eles também são publicados na internet, na página de Resultados do TSE (clicar em “Dados de Urna”, no canto direito superior, em seguida selecionar o estado, a cidade, a zona eleitoral, a seção e depois “RDV”). Ou seja, qualquer partido ou qualquer pessoa pode fazer uma apuração paralela do resultado da eleição, desenvolvendo um programa para fazer a soma dos votos de todas as urnas e depois comparar com o resultado oficial divulgado pelo TSE. Ou até manualmente, com papel e caneta, se alguém quiser — a probabilidade de erro, nesse caso, obviamente seria muito maior.
O Boletim de Urna (BU) também é outro documento que permite a recontagem dos votos. Ao final da votação, o presidente da Mesa Receptora de Votos imprime um BU, em até dez vias. Um deles é afixado na porta da seção eleitoral para quem quiser conferir e os demais são distribuídos aos representantes dos partidos políticos, além de outros interessados. O BU traz a apuração dos votos registrados naquela urna, indicando quantos votos cada candidatura recebeu, além dos brancos, nulos e votos em legenda.
Esses boletins também podem ser consultados na página de Resultados do TSE (mesmo caminho do RDV, mas clicar em “Boletim de Urna” em vez de “RDV”). Há ainda o aplicativo gratuito Boletim na Mão, que verifica a autenticidade do documento por meio de um QR Code impresso no BU.
Por meio dos BUs, qualquer partido ou pessoa também pode fazer uma apuração paralela e comparar com os resultados oficiais divulgados pelo TSE (seja desenvolvendo um software para isso ou contando manualmente os resultados). Até hoje, desde que as urnas eletrônicas foram adotadas nas Eleições 1996, nunca foi comprovada nenhuma diferença.
Para demonstrar como a urna eletrônica é segura, a Justiça Eleitoral também realiza no dia das eleições uma espécie de votação paralela, chamada de Teste de Integridade. Como funciona? Basicamente, algumas urnas que já estavam lacradas e preparadas para a votação são sorteadas e retiradas dos seus locais um dia antes da eleição e encaminhadas para o local da auditoria. Essas urnas escolhidas para a auditoria são substituídas por outras.
No mesmo horário da votação, cédulas de papel, preenchidas pelos partidos com base na lista de candidatos oficial, são digitadas na urna eletrônica. O objetivo é comprovar que o resultado da soma dos votos dados no papel será o mesmo do BU emitido por aquela urna, demonstrando que o sistema de votação eletrônica registra corretamente os votos realizados pelos eleitores e eleitoras. Todo o processo é filmado para garantir que não haverá nenhum erro de digitação. Até hoje, também nunca houve nenhuma diferença nos resultados.