“Não há país no mundo que tenha migrado para a votação eletrônica que não use o registro físico do voto como mecanismo de transparência. O registro físico é inegociável. É um instrumento básico de transparência”. Diego Aranha, especialista em segurança de sistemas.
Todos os quatro testes públicos nas urnas eletrônicas realizados em 2009, 2012, 2016, 2017, provaram que o sistema de votação brasileiro, é fraudável, vulnerável e inseguro.
Segundo relatam as equipes participantes, incluindo peritos da Polícia Federal, apesar de todas as restrições técnicas impostas pelo TSE, ficaram comprovados riscos sobre o sigilo do voto, adulteração nos resultados e outras graves vulnerabilidades.
Extraído das matérias: Agência Senado (2018), Congresso em Foco (2016) e G1 (2012).
Embora o TSE diga que o sistema é totalmente seguro, especialistas que testaram a urna eletrônica apontam diversas ameaças de violação, tanto quanto ao sigilo, como ao desvio dos votos.
Utilizada pela primeira vez em 1996, a urna eletrônica só foi submetida a testes públicos 13 anos depois, em 2009. Na ocasião, o perito em informática Sérgio Freitas conseguiu violá-la utilizando um modesto radinho AM/FM. Aplicando uma técnica chamada “ataque tempest”, ele foi capaz de quebrar o sigilo dos votos ao detectar o som que as teclas da urna emitiam.
2009- Quebrado sigilo do voto com um modesto radinho AM/FM
“Enquanto digitava na urna, eu consegui rastrear a interferência que isto provocava na onda, gravando um arquivo WAV com estes sons”, explica Sérgio.
Após gravar os ruídos provocados pelos botões da urna, o analista de sistemas fez a decodificação que lhe permitiu descobrir quais candidatos eram escolhidos pelo eleitor, quebrando assim o sigilo do voto. Ver mais aqui.
2012 – Cinco minutos para invadir a urna e encontrar falhas graves e “infantis”, expostas à fraude

Apenas cinco minutos, em 2012, foram suficientes para que a tão defendida “inviolabilidade da urna” pelo TSE fosse duramente contestada. Uma falha grotesca na segurança do sistema de votação foi encontrada pela equipe liderada pelo professor e doutor em Ciência da Computação Diego Aranha, da Universidade de Campinas (Unicamp), que a classificou como “infantil”. O código que faz o embaralhamento dos votos, recurso que serve para impedir a identificação dos eleitores a partir de seus votos, foi facilmente encontrado pelo grupo. Provado o feito, o professor Diego, ao simular uma votação, descobriu a ordem cronológica de 474 dos 475 votos depositados na urna para um dos dois cargos cadastrados (vereador e prefeito), com uma taxa de acerto de 99,9%.
Acrescenta o prof. Aranha: “A vulnerabilidade presente no projeto e a implementação do RDV que utilizamos para reconstruir a lista dos votos em ordem reproduzia fielmente outra vulnerabilidade encontrada sem ajuda de código-fonte em 1995 por calouros da Universidade de Berkeley. O software da urna eletrônica, de natureza muito mais crítica que um simples software comercial, possuía um erro conhecido há pelo menos 17 anos. Além disso, também observamos algoritmos obsoletos (não-recomendados desde 2005) ou funcionando fora de sua especificação e com implementações repetidas diversas vezes ao longo do código, o que em muito dificulta uma auditoria do seu funcionamento correto.
Por fim, verificamos também que não existe a utilização frequente de ferramentas de análise de código-fonte, visto que a vulnerabilidade encontrada no embaralhamento do RDV utiliza uma função que produz alertas até nas ferramentas de análise gratuitas e mais primitivas.”
2014 – Dias Toffoli, presidente TSE não quis promover o teste
Em 2014, quando quase 142 milhões de eleitores brasileiros estavam aptos a votar inclusive para presidente, o TSE não realizou os testes públicos feitos nas duas disputas anteriores, alegando que eram desnecessários devido à “comprovada” eficácia do sistema.
NT: Na ocasião, especialistas que detectaram durante a lacração das urnas, um programa suspeito de fraudar resultados (Inserator), inúmeras queixas de eleitores alegando fraudes, o inusitado “apagão” dos resultados atribuídos ao fuso horário do Acre e a apuração secreta, restrita a somente 23 funcionários do TSE, motivaram a 1a auditoria externa, que concluiu a inauditabilidade das eleições.
Veja mais: Denúncias e defesas em detalhes na Audiência Pública da Câmara realizada em dez/2014.
2016 – Quatro vulnerabilidades foram apontadas pelos técnicos: três comprometem o sigilo do voto e uma possibilita a adulteração do resultado.
Com dois meses de antecedência, os selecionados tiveram acesso ao código-fonte do sistema, o que permitiu que eles escolhessem as áreas que seriam atacadas. Esta prévia é necessária porque o TSE concede apenas três dias para que os “investigadores” realizem os testes. Segundo especialistas, esse tempo é absolutamente insuficiente para analisar os mais de 12 milhões de linhas de comando que compõem o código. A título de comparação, seria como ler e analisar detalhadamente todas as páginas de 180 livros com a espessura de uma Bíblia em apenas 72 horas.
Sigilo em xeque
Sucesso na quebra de sigilo, pela equipe coordenada pelo professor Luís Fernando de Almeida, diretor do Departamento de Informática da Universidade de Taubaté (Unitau).
Uma das vulnerabilidades identificadas pelos especialistas em março está no sistema de áudio utilizado por deficientes visuais na hora da votação. A descoberta foi feita pelo grupo coordenado pelo professor Luís Fernando de Almeida, diretor do Departamento de Informática da Universidade de Taubaté (Unitau).
A liberação do recurso de áudio na urna é feita pelo presidente da seção, que pode “ouvir” os votos não apenas dos eleitores com deficiência visual, mas de todos os demais votantes daquela seção. “O maior risco é a habilitação e a captura da saída de áudio durante a votação de um eleitor ilustre, cuja quebra do sigilo do voto possa ser utilizada para fins políticos”, exemplifica Diego Aranha.
Ataque consegue adulterar os votos
O feito foi do analista de sistemas, Sérgio Freitas da Silva, ele mesmo um veterano dos testes patrocinados pelo TSE – e vencedor do primeiro teste, em 2009, quando violou o sigilo dos votos por rádio frequência, com um radinho AM/FM. Da entrevista ao portal Convergências Digital:
O Tribunal Superior Eleitoral apresentou nesta terça, 15/3, o resultado final dos testes de segurança na urna eletrônica. E com ele, uma surpresa: ao fazer o balanço das tentativas de quebra da segurança, na semana passada, o TSE esqueceu de mencionar que pela primeira vez um ataque teve sucesso em alterar os votos na urna.
“Foi a primeira vez que um ataque foi bem sucedido em violar a integridade do voto. Descobri uma vulnerabilidade no código verificador, usado como medida de contingência em casos, por exemplo, de urnas com defeito, e gerei um ataque para construir um boletim de urna falso.” (Esses boletins são a base de apuração dos votos. Se a urna é fraudada, o BU apenas imprime e materializa a fraude que já ocorreu na máquina).
Já o professor João Felipe Souza, do curso de informática do Instituto Federal do Triângulo Mineiro, conseguiu ‘formatar’ (reflash) a urna. Com isso seria possível votar novamente, mas só a partir de uma fraude interna, porque seria preciso abrir a urna para fazer alterações.
2017 – Sigilo do voto, desvio de votos, extraída a chave “secreta TSE”, entre outros.
Durante a gestão de Gilmar Mendes, enquanto o TSE se opunha publicamente à implantação do voto impresso aprovado em 2015, novamente várias equipes tiveram êxito fácil em invadir e identificar graves falhas. Explicou o professor Diego Aranha, convidado a falar na Comissão de Constituição, Justiça e Cidadania do Senado, em março 2018:
“Conseguimos, alterar mensagens de texto exibidas ao eleitor na urna para fazer propaganda a um certo candidato. Também fizemos progresso na direção de desviar voto de um candidato para outro”.
Peritos da PF tiveram êxitos em paralelo, conseguindo até extrair a chave secreta do TSE, que dá ao potencial fraudador, controle absoluto sobre as urnas.
Segundo Diego, as equipes trabalham em condições piores do que trabalhariam verdadeiros fraudadores, devido a restrições técnicas e de tempo impostas pelo TSE, mas ainda assim é possível explorar pontos vulneráveis para adulterar o software de votação, entrar e comandar o ambiente da urna eletrônica.
“Todo software é potencialmente vulnerável, por isso, a importância do registro físico para que a escolha do eleitor seja resguardada de outra forma. Esse é um entendimento da comunidade técnica internacional e segue a experiência de outros países. Não há país no mundo que tenha migrado para a votação eletrônica que não use o registro físico do voto como mecanismo de transparência. O registro físico é inegociável. É um instrumento básico de transparência”.
NT 1 – Apesar de todas essas evidências científicas, o STF não hesitou em derrubar pouco depois e pela 3a vez, o registro físico do voto, ou, a “inegociável” segurança ao arcaico modelo eleitoral.
NT 2- Como as equipes conhecidas do público deixaram de participar dos testes, não temos informações detalhadas de testes posteriores, ou seus resultados. Exceto por uma “monossilábica” notícia de 2019: Teste de segurança de urnas eletrônicas aponta “falhas superficiais”, segundo TSE. Talvez por alguma imposição reforçada de “sigilo”, participantes não podem mais expor sua experiência. Mas sabemos que as “falhas” teriam sido encontradas novamente, por peritos da PF, cuja associação defendeu o Voto Impresso no STF e assinou Carta Aberta, apontando a vulnerabilidade das eleições. E segundo o Professor Diego Aranha, mais uma vez, no teste de 2019 houve êxito na invasão.
