Teste Público de Segurança Sistema Eletrônico de Votação Brasília 2016
2016 Tribunal Superior Eleitoral É proibida a reprodução total ou parcial desta obra sem a autorização expressa dos autores. Secretaria de Gestão da Informação SAFS, Quadra 7, Lotes 1/2 70070-600 Brasília/DF Telefone: (61) 3030-9225 Presidente Ministro Dias Toffoli Secretário-Geral da Presidência Carlos Vieira von Adamek Diretora-Geral Leda Marlene Bandeira Secretário de Gestão da Informação Geraldo Campetti Sobrinho Unidade responsável: Secretaria de Comunicação Institucional Secretária de Comunicação Institucional: Juliana Neiva Coordenador de Comunicação Institucional: Márcio Ferreira Meireles Coordenador de Imprensa: Jean Peverari Coordenador de Rádio e TV: Eduardo Moura Editoração e revisão editorial Coordenadoria de Editoração e Publicações (Cedip/SGI) Editoração Seção de Editoração e Programação Visual (Seprov/Cedip/SGI) Capa e projeto gráfico Rauf Soares Revisão editorial Seção de Preparação e Revisão de Originais (Seprev/Cedip/SGI) Preparação e revisão Patrícia Jacob Helke Cunha Impressão e acabamento Seção de Impressão e Distribuição (Seidi/Cedip/SGI)
Sumário 1. Breve histórico da urna eletrônica...3 1.1. Modernização do sistema de votação brasileiro e Cadastro Nacional de Eleitores informatizado... 3 1.2. Criação da urna eletrônica... 4 1.3. Características da urna eletrônica... 6 2. Teste Público de Segurança do Sistema Eletrônico de Votação...8 2.1. O que é o Teste Público de Segurança?... 8 2.2. Edições anteriores do teste... 10 2.3. Não realização do teste em 2014... 12 3. Edição de 2016 do Teste Público de Segurança do Sistema Eletrônico de Votação...14 3.1. A Resolução-TSE nº 23.444/2015... 14 3.1.1. Consulta pública e aprovação da norma... 15 3.1.2. Principais pontos da Resolução nº 23.444/2015... 16 4. Referências...22
Teste Público de Segurança Sistema Eletrônico de Votação 1. Breve histórico da urna eletrônica 1.1. Modernização do sistema de votação brasileiro e Cadastro Nacional de Eleitores informatizado Em 1985, iniciou-se o processo de informatização da Justiça Eleitoral brasileira durante a presidência do Ministro Néri da Silveira no Tribunal Superior Eleitoral (TSE). Naquele ano, foi criado um cadastro único e informatizado de aproximadamente 70 milhões de eleitores, por meio do recadastramento eletrônico nacional. Antes do cadastro único, cada Tribunal Regional Eleitoral realizava o registro de forma independente, o que abria espaço para a existência de fraudes nos dados. Eleitores com registro em mais de um estado e pessoas mortas com cadastros ativos, por exemplo, eram algumas das situações de possíveis fraudes, as quais foram evitadas com a criação do cadastro único com numeração nacional. 3
Teste Público de Segurança Sistema Eletrônico de Votação O recadastramento possibilitou uma série de ações de modernização, dentre elas: A instalação de um parque computacional próprio para o TSE, para os 27 tribunais regionais eleitorais e para as 2.854 zonas eleitorais de todo o país. A implementação de uma rede de transmissão de dados, interligando todo o parque computacional da Justiça Eleitoral. Em 1994, na gestão do Ministro Sepúlveda Pertence com os eleitores registrados em um cadastro nacional, foi implantada a totalização informatizada dos votos, ou seja, na eleição daquele ano, os votos foram apurados manualmente, mas digitados e totalizados por computadores. 1.2. Criação da urna eletrônica Em 1995, durante a gestão do Ministro Carlos Velloso, iniciaram-se os trabalhos de informatização do voto. Uma comissão de juristas e técnicos de informática apresentou um protótipo da urna eletrônica. Para a elaboração do projeto técnico da urna eletrônica, incluindo o equipamento e os programas, foi constituído um grupo de trabalho que contou com a colaboração de especialistas em Informática, Eletrônica e Comunicações da Justiça Eleitoral, das Forças Armadas, do Ministério da Ciência e Tecnologia e do Ministério das Comunicações. O primeiro nome da urna eletrônica foi Coletor Eletrônico de Votos (CEV). Com essa máquina, objetivouse identificar as alternativas para a automação do 4
processo de votação e definir as medidas necessárias à sua implementação, a partir das eleições de 1996, em mais de 50 municípios brasileiros. Para facilitar a experiência do eleitor na hora de votar, foram definidos alguns requisitos técnicos importantes, como: Utilização de números para a indicação do voto. Teclado da urna eletrônica elaborado na mesma disposição do telefone. Em 1996, o projeto foi concluído. Sob a presidência do Ministro Marco Aurélio, foi realizada a primeira votação eletrônica do Brasil, nas eleições municipais daquele ano. As urnas adquiridas foram utilizadas em todo o Estado do Rio de Janeiro, nas demais capitais dos estados e nos municípios com mais de 200 mil eleitores, totalizando 57 cidades no país. Um terço dos quase 100 milhões de eleitores votou por meio das urnas eletrônicas. 5
Teste Público de Segurança Sistema Eletrônico de Votação Nas eleições de 1998, dois terços do eleitorado votaram eletronicamente. Por fim, no ano 2000, o projeto foi implementado em sua totalidade no Brasil. Até 2006, todo o software da urna eletrônica baseava-se nas plataformas VirtuOS e Windows CE, e era desenvolvido pela fabricante dela. Para o referendo do desarmamento em 2005, o sistema passou a ser feito pela equipe do TSE. Em 2008, o ecossistema da urna foi migrado para a plataforma Linux e passou a ser desenvolvido totalmente pelo TSE. 1.3. Características da urna eletrônica As principais diretrizes estabelecidas na criação da urna eletrônica foram: Solução universal: registro do voto pelo número do candidato ou do partido. Aderência à legislação vigente, com possibilidade de evolução para garantir que mudanças na legislação eleitoral não exigissem alterações na urna eletrônica. Processo amigável, de fácil utilização pelo eleitor, com a visualização do candidato, na tela de dados, antes da confirmação do voto. Custo reduzido: projeto economicamente viável, em função do elevado número de seções eleitorais. Perenidade: possibilidade de uso em várias eleições, diminuindo o custo do voto. Segurança: eliminação da possibilidade de fraude no registro do voto e apuração do resultado. 6
Facilidade na logística: urna pequena, robusta, de peso reduzido, de fácil armazenamento e transporte. Autonomia: uso de bateria nos locais onde não há energia elétrica. 7
Teste Público de Segurança Sistema Eletrônico de Votação 2. Teste Público de Segurança do Sistema Eletrônico de Votação 2.1. O que é o Teste Público de Segurança? Trata-se de evento inédito no mundo, criado por iniciativa do TSE, com o principal objetivo de promover o aperfeiçoamento contínuo do processo eleitoral brasileiro. Pautado na transparência institucional um dos pilares de atuação do TSE e de toda a Justiça Eleitoral brasileira, o teste reúne especialistas em Tecnologia da Informação e Segurança da Informação das mais diversas organizações, instituições acadêmicas e órgãos públicos para realizar planos de ataque aos softwares e hardwares da urna eletrônica e sistemas correlatos. 8
Com o teste, o TSE busca, principalmente: Identificar eventuais vulnerabilidades nos procedimentos e nos softwares eleitorais. Detectar possíveis falhas relacionadas à violação da integridade ou do anonimato dos votos de uma eleição, a partir da tentativa de destinar parte da votação de um candidato para outro ou de identificar como votou determinado eleitor. Possibilitar ao TSE a realização das devidas correções e aprimoramentos a partir dos resultados apresentados. Comprovar a confiabilidade da captação e da apuração dos votos. Ratificar a robustez e a maturidade do sistema eletrônico de votação e apuração brasileiro, com a finalidade maior de realizar melhorias contínuas no processo eleitoral, acompanhando os avanços na tecnologia mundial, especialmente nas áreas de Tecnologia e Segurança da Informação. Realizado nas dependências do TSE, o teste é acompanhado in loco pelas comissões competentes e também por observadores das áreas de Tecnologia e Segurança da Informação. Todo o ambiente de testes é monitorado por câmeras, e o acesso à Internet durante os dias de teste é supervisionado pelas comissões competentes. 9
Teste Público de Segurança Sistema Eletrônico de Votação 2.2. Edições anteriores do teste O TSE já realizou duas edições do Teste Público de Segurança do Sistema Eletrônico de Votação, em 2009 e 2012. Em ambas as oportunidades, foram selecionadas, por comissão avaliadora composta por acadêmicos e cientistas, as melhores propostas de ataque que contribuíram para o aprimoramento da segurança e da confiabilidade do sistema eletrônico de votação. Na primeira edição, realizada de 10 a 13 de novembro de 2009, nenhum dos testes conseguiu violar a urna e os programas colocados à prova. No entanto, as ideias apresentadas pelos especialistas concorreram para o aperfeiçoamento tecnológico da votação. Nesse evento, foram premiados os seguintes especialistas: 1 o lugar: Sérgio Freitas da Silva. Ele tentou violar o sigilo do voto por meio da captação de ondas eletromagnéticas emitidas pelas teclas da urna durante a digitação. 2 o lugar: Fernando Andrade Martins de Araújo e equipe da Controladoria-Geral da União. O grupo de técnicos analisou procedimentos relativos à preparação do pleito e apresentou diversas sugestões ao TSE. 3 o lugar: Antonio Gil Borges de Barros e equipe da Cáritas Informática. O grupo testou tanto os procedimentos de preparação do pleito quanto a urna e os softwares de votação. 10
A segunda edição do teste foi realizada de 20 a 22 de março de 2012. Nessa edição, de forma inédita, os investigadores puderam participar de uma fase de preparação, na qual tiveram acesso ao código-fonte do software da urna eletrônica, e se inteiraram ainda mais sobre as peculiaridades do sistema. Os três grupos de investigadores que apresentaram as três melhores contribuições na segunda edição do teste receberam certificados. Os premiados foram: 1 o lugar: grupo formado por um professor e por alunos da Universidade de Brasília (UnB). Eles conseguiram refazer o sequenciamento dos votos apresentados pelo Registro Digital do Voto (RDV) sem, contudo, quebrar o sigilo do voto. Isso porque eles não conseguiram relacionar o nome dos eleitores com os votos digitados na urna, que não guarda a sequência de comparecimento dos eleitores. Nesse sentido, os resultados alcançados pela equipe da UnB foram valiosos para o aperfeiçoamento e posterior substituição do algoritmo responsável pelo embaralhamento dos votos. Visando certificar a qualidade do novo algoritmo, foram realizados inúmeros testes pela Secretaria de Tecnologia da Informação do TSE, todos baseados em técnicas utilizadas internacionalmente, entre elas o diehard (teste de aleatoriedade que verifica a efetividade do embaralhamento de sequências). Foram utilizadas, nesse procedimento, as regras estabelecidas pelo National Institute of Standards and Technology (NIST). 2 o lugar: grupo da Universidade Federal de Uberlândia. Eles tentaram inicializar a urna com um sistema 11
Teste Público de Segurança Sistema Eletrônico de Votação operacional diferente do desenvolvido pela Justiça Eleitoral e recuperar dados da memória da urna eletrônica por meio do uso de spray congelante. Não obtiveram sucesso. 3 o lugar: grupo do Instituto Sapientia. O desafio desse grupo foi clonar um cartão de memória com os dados de votação da urna eletrônica, mas eles também não tiveram sucesso no seu plano de teste. O propósito maior do teste público é a identificação de oportunidades de melhoria no conjunto de softwares e hardwares utilizados nas eleições. As duas edições do teste foram extremamente positivas e deram ao TSE a chance de aperfeiçoar a segurança e aumentar a confiabilidade dos sistemas, a partir das análises e conclusões feitas pelas equipes de pesquisadores. 2.3. Não realização do teste em 2014 A última edição do Teste Público de Segurança do Sistema Eletrônico de Votação e Apuração ocorreu em março de 2012. Nos anos seguintes, o TSE optou por não realizar novos testes pelos seguintes motivos: As funcionalidades críticas e as barreiras de segurança implementadas nos sistemas eleitorais que seriam utilizados nas Eleições 2014 eram as mesmas já submetidas aos testes anteriores, salvo aprimoramentos. A realização do teste requer um planejamento prévio de, pelo menos, um ano de antecedência. No entanto, de abril de 2012 a outubro de 2014 (mês das eleições gerais), o Tribunal teve três presidentes 12
e, dessa forma, não houve tempo hábil para que a nova gestão planejasse, organizasse e executasse o evento com o necessário cuidado e dedicação. A decisão pela não realização do teste não se restringiu a uma única administração. Em ambas as edições do teste, o TSE recebeu críticas e sugestões quanto à metodologia de avaliação dos trabalhos realizados pelos investigadores, quanto à seleção de softwares passíveis de serem investigados e quanto à forma de acesso ao códigofonte dos sistemas. Mesmo em vista do benefício da realização do teste, pois a segunda edição incorporou várias sugestões apresentadas na primeira, o TSE optou por suspender a realização de novos testes a fim de revisar a sua metodologia como um todo. Desde a edição de 2012, o TSE vem estudando formas para aprimorar o modelo do teste público, com o objetivo de ampliar a participação da comunidade científica e de qualquer cidadão interessado na melhoria contínua do processo eletrônico de votação. 13
Teste Público de Segurança Sistema Eletrônico de Votação 3. Edição de 2016 do Teste Público de Segurança do Sistema Eletrônico de Votação De 8 a 10 de março de 2016, o TSE realizará a terceira edição do Teste Público de Segurança do Sistema Eletrônico de Votação. A partir dessa edição, os testes serão regidos pela Resolução nº 23.444/2015, publicada no Diário de Justiça Eletrônico (DJE) do TSE no dia 21 de maio. 3.1. A Resolução-TSE nº 23.444/2015 Esse dispositivo legal dispõe sobre a realização obrigatória e periódica do Teste Público de Segurança do Sistema Eletrônico de Votação ou, simplesmente, Teste Público de Segurança (TPS) nos sistemas eleitorais por ele especificados. De acordo com a norma, o TPS fica instituído no ciclo de desenvolvimento dos sistemas de votação e apuração, constituindo parte integrante do processo eleitoral brasileiro. A resolução estabelece algumas premissas, dentre as quais: O TPS deverá ser realizado antes de cada eleição ordinária, preferencialmente no segundo semestre dos anos que antecedem os pleitos eleitorais, isto é, nos anos ímpares. A presidência dos trabalhos relativos ao TPS será exercida pelo presidente do TSE. Os sistemas eleitorais que poderão ser objeto do TPS são aqueles utilizados para a geração de mídias, 14
votação, apuração, transmissão e recebimento de arquivos, todos lacrados na Cerimônia de Assinatura Digital e Lacração dos Sistemas, incluindo o hardware da urna e seus softwares embarcados. Cada edição do TPS será regida por edital a ser publicado no DJE do TSE e divulgado no site do Tribunal. 3.1.1. Consulta pública e aprovação da norma A Resolução-TSE nº 23.444 foi aprovada, por unanimidade, pelo Plenário do TSE, na sessão administrativa do dia 30 de abril de 2015. Até o dia 24 do mesmo mês, a Presidência do TSE recebeu sugestões para o aprimoramento da minuta de resolução que trata do tema. Cinco petições de cidadãos e entidades foram apresentadas em consulta pública disponibilizada pelo Tribunal. Algumas sugestões nelas contidas foram acolhidas pelo presidente do TSE e relator da minuta de resolução, Ministro Dias Toffoli, em seu voto levado ao Plenário, após a análise das propostas das petições pelos órgãos técnicos da Corte. A proposta de realização obrigatória e periódica do teste de segurança foi apresentada pelo vice-presidente do TSE, Ministro Gilmar Mendes, por meio de ofício dirigido à Presidência do Tribunal. A minuta de resolução foi elaborada em conjunto pelos grupos de trabalho do TSE responsáveis pela inovação tecnológica das urnas eletrônicas e pelo ecossistema da 15
Teste Público de Segurança Sistema Eletrônico de Votação urna, todos convocados pela Diretoria-Geral do TSE e sob a coordenação da Coordenadoria de Sistemas Eleitorais da Secretaria de Tecnologia da Informação do Tribunal. Também participaram da elaboração do texto a Diretoria-Geral do Tribunal Regional Eleitoral de Tocantins e representantes do Instituto Nacional de Pesquisas Espaciais (Inpe) e da Universidade de Brasília (UnB). 3.1.2. Principais pontos da Resolução nº 23.444/2015 A Resolução-TSE nº 23.444 trata dos seguintes pontos e os elucida: a) Objetivos Segundo a norma, o principal objetivo do Teste Público de Segurança é fortalecer a confiabilidade, a transparência e a segurança da captação e da apuração dos votos e propiciar melhorias no processo eleitoral. Além disso, os testes buscam identificar vulnerabilidades e falhas relacionadas à violação da integridade ou do anonimato dos votos de uma eleição. b) Comissões A resolução prevê a constituição de quatro comissões que atuarão, observadas as respectivas atribuições, em prol da plena realização do Teste Público de Segurança. São elas: Comissão Organizadora, composta pelas áreas da Diretoria-Geral, Administração, Segurança, Imprensa e Comunicação Social, lnfraestrutura de 16
Tecnologia da Informação e Cerimonial. Ela será responsável por:» Planejar e elaborar o projeto geral para a realização do evento.» Organizar e prover a infraestrutura necessária para a realização de todas as fases do TPS.» Convocar as demais áreas do Tribunal, observadas as respectivas atribuições administrativas, a fim de providenciar ações ou infraestrutura para a realização do evento.» Manter informadas a Presidência e a Diretoria-Geral do Tribunal sobre o andamento dos trabalhos. Comissão Reguladora, cujos componentes serão indicados por portaria. Ela terá as seguintes atribuições:» Definir os procedimentos e a metodologia utilizados.» Aprovar as inscrições dos técnicos e/ou dos grupos de técnicos que tenham atendido às exigências constantes do edital.» Supervisionar e documentar todas as fases do evento.» Aprovar os planos de testes elaborados pelos técnicos e/ou grupos de técnicos.» Realizar outras atividades relacionadas à disciplina do TPS, visando ao fiel cumprimento da norma, ressalvadas as atribuições das demais comissões e da Presidência do TSE.» Elaborar, em conjunto com a Comissão Organizadora, a minuta do edital que disciplinará a convocação e as etapas do TPS. Comissão Avaliadora, que será composta por: um representante indicado pelo presidente do 17
Teste Público de Segurança Sistema Eletrônico de Votação TSE; membros da comunidade acadêmica ou científica de notório saber na área de Segurança da Informação; um representante do Ministério Público Federal; um representante da Ordem dos Advogados do Brasil; um representante do Congresso Nacional; um perito criminal federal da área de Informática, do Departamento de Polícia Federal; um engenheiro elétrico/eletrônico ou de computação, com o devido registro profissional no Conselho Regional de Engenharia e Agronomia, indicado pelo Conselho Federal de Engenharia e Agronomia; e um representante da Sociedade Brasileira de Computação (SBC). Essa comissão será responsável por:» Validar a metodologia e os critérios de julgamento definidos pela Comissão Disciplinadora do Teste Público de Segurança.» Avaliar e homologar os resultados obtidos e produzir relatório final conclusivo. Comissão de Comunicação Institucional, composta pela Diretoria-Geral, pela Secretaria de Tecnologia da Informação e pela Assessoria de Imprensa e Comunicação Social do TSE. Suas atribuições são as seguintes:» Elaborar o plano de comunicação sobre o evento.» Receber as solicitações de informação do público externo e centralizar a publicação de informações e notícias sobre o TPS, observadas as orientações da Presidência e da Diretoria-Geral.» Responsabilizar-se pela cobertura jornalística do evento e pelo credenciamento dos veículos de comunicação. 18
c) Participação nos testes Para participar do TPS na condição de técnico e/ou de grupos de técnicos, os interessados deverão ser cidadãos brasileiros maiores de 18 anos. Não poderá participar do evento, nas condições descritas, nenhum componente das comissões Organizadora, Reguladora, Disciplinadora e de Comunicação Institucional. A quantidade máxima de participantes e equipes, bem como os critérios para inscrição, seleção e avaliação, serão definidos no edital relativo a cada edição do teste. Em caso de inscrições em quantidade superior à definida no edital, haverá sorteio público entre as inscrições aprovadas. Conforme a resolução, ao final da fase de realização dos testes, cada técnico ou grupo de técnicos deverá apresentar relatório técnico das ações executadas e resultados alcançados, de acordo com as regras definidas no edital. Caso seja identificada alguma falha, vulnerabilidade explorada ou fraude, os técnicos ou grupos deverão apresentar as respectivas sugestões de melhoria. d) Fases do teste A realização do Teste Público de Segurança será composta das fases de preparação, realização e avaliação. A fase de preparação contemplará as seguintes ações ou eventos: Audiência pública com o objetivo de esclarecer as regras do TPS. 19
Teste Público de Segurança Sistema Eletrônico de Votação Publicação do edital que deverá contemplar as regras específicas e datas para a realização de todas as demais fases e ações do evento. Palestra informativa sobre o sistema eletrônico de votação com o objetivo de subsidiar os eventuais participantes sobre o funcionamento do sistema eleitoral. Apresentação, em ambiente controlado, dos códigos-fonte dos sistemas eleitorais que farão parte do TPS. Geração de versão a ser utilizada no TPS, observados os procedimentos da Cerimônia de Assinatura Digital e Lacração dos Sistemas. Preparação e configuração dos sistemas adicionais que serão utilizados no teste e elaboração dos respectivos planos de teste. Recebimento das inscrições e planos de teste dos técnicos que desejam participar do evento. Na fase de realização, os técnicos com inscrições homologadas comparecerão ao local determinado para a realização do Teste Público de Segurança a fim de executarem, no ambiente de teste, os planos de teste previamente definidos, conforme as regras estabelecidas no edital. Na fase de avaliação, por sua vez, a Comissão Avaliadora, de posse dos planos de teste e documentação de execução dos testes, deverá elaborar relatório com as ponderações quanto à aplicabilidade das possíveis falhas, às vulnerabilidades exploradas ou às fraudes identificadas durante os testes. 20
Por fim, o TSE promoverá evento de encerramento para demonstrar os resultados alcançados, que deverá contar com a presença dos técnicos e/ou grupos de técnicos e da Comissão Avaliadora. Além disso, a Secretaria de Gestão da Informação (SGI) do TSE será responsável por editar publicação específica, em formato físico e eletrônico, com compêndio da documentação produzida e conclusões da Comissão Avaliadora. A publicação eletrônica deverá ser disponibilizada no site do Tribunal Superior Eleitoral. 21
Teste Público de Segurança Sistema Eletrônico de Votação 4. Referências BRASIL. Tribunal Superior Eleitoral. Por dentro da urna. Brasília: TSE, 2010, 22 p. Disponível em: <http:// www.tse.jus.br/hotsites/catalogopublicacoes/pdf/57_ pordentrodaurna1.2.pdf>. Acesso em: 3 ago. 2015.. Resolução nº 23.444, de 30 de abril de 2015. Dispõe sobre a realização periódica do Teste Público de Segurança TPS nos sistemas eleitorais que especifica. Disponível em: <http://www.tse.jus.br/eleicoes/ biometria-e-urna-eletronica/pa-18862-testes-publicosde-seguranca-do-sistema-eletronico-de-votacao-etotalizacao>. Acesso em: 3 de ago. 2015.. Sistema Eletrônico de Votação: perguntas mais frequentes. Brasília: TSE, 2014, 24 p. Disponível em: <http://www.justicaeleitoral.jus.br/arquivos/ tse-perguntas-mais-frequentes-sistema-eletronico-devotacao>. Acesso em 3 ago. 2015. 22
Esta obra foi composta na fonte Zurich Cn BT, corpo 11, entrelinhas de 13,2 pontos, em papel Couché 115g/m 2 (miolo) e papel Couché 115g/m 2 (capa).