Eleições 2018 – Manipulação de Votos

Já falamos no Lab sobre o engajamento político de hackers e/ou grupos brasileiros ao realizar ataques de desfiguração de página, negação de serviço e vazamento de dados. Hoje vamos ampliar o escopo e realizar uma análise sobre cenários de ataques cibernéticos que podem ocorrer durante as Eleições 2018 no Brasil.

Para fixar uma baliza de análise vamos considerar que os ataques cibernéticos tenham como objetivo manipular as Eleições 2018, isto é, modificar o resultado que seria obtido se nenhuma ação ofensiva fosse praticada.

Vamos assumir que existem duas maneiras distintas de se manipular as Eleições 2018: a manipulação do sistema de votação/apuração (manipulação de votos) e a manipulação da participação eleitoral (manipulação dos eleitores).

Vamos definir a manipulação de votos como as ações ofensivas cibernéticas desferidas contra o sistema de votação e/ou apuração com o objetivo de alterar o resultado do pleito (Ex.: Candidato A recebeu menos votos nas urnas, mas vence pela modificação do resultado feita por um ataque cibernético).

De outro lado a manipulação de eleitores seriam as ações ofensivas cibernéticas praticadas contra aspectos anímicos dos eleitores com o objetivo de tumultuar o debate eleitoral, modificar as intenções de voto ou dissuadir o eleitorado de participar do pleito (Ex.: campanha contra o Candidato A, que lidera as pesquisas, com o intuito de reduzir suas intenções de voto).

Vamos abordar o cenário de manipulação de votos no artigo a seguir, enquanto reservamos o cenário de manipulação dos eleitores para um artigo subsequente. Nada impede, contudo, que na prática as duas formas sejam combinadas por um único ator.

Manipulação de Votos

A manipulação de votos parece ser o melhor custo-benefício de se modificar o resultado das eleições, pois trabalha com menos variáveis (tem foco em pessoas e sistemas utilizados pela Justiça Eleitoral) e não com aspectos anímicos de mais de 144 milhões de eleitores.

Nesse cenário de manipulação das Eleições 2018 os alvos de ataques cibernéticos seriam os servidores públicos e os sistemas vinculados à Justiça Eleitoral.

A Justiça Eleitoral é composta do Tribunal Superior Eleitoral (TSE), Tribunais Regionais Eleitorais (TRE) – um para cada unidade da federação -, pelas juntas eleitorais e pelos juízes eleitorais.

Urna Eletrônica

O ponto mais notório dos sistemas utilizados durante o processo eleitoral é a urna eletrônica. Numa busca rápida na internet é possível perceber que esse é um tema que atrai atenção da opinião pública quando se trata da hipótese de manipulação do processo eleitoral.

Entre a comunidade hacktivista a urna eletrônica também chama a atenção:

Sabiam que a empresa que criou a urna eletrônica foi condenada por corrupção nos Estados Unidos? Diante de tantos vídeos, provas e argumentos de pessoas experientes na área de TI, foi possível encontrar inúmeras falhas que só reforçam a ideia de fraude (mudança dos votos computados para um candidato) facilitando assim sua eleição.

Há diversas outras publicações que questionam a urna eletrônica brasileira, como essa postagem que reproduz fala de Beatriz Kicks.

De outro lado, o TSE realiza o Teste Público de Segurança do Sistema Eletrônico de Votação (TPS 2017) com a ajuda da comunidade de segurança da informação para auditar a urna eletrônica.

Artigos já foram escritos sobre vulnerabilidades e fragilidades existentes na urna eletrônica utilizada no pleito brasileiro, destaque para o artigo da equipe de Diego Aranha (Unicamp).

Embora algumas das vulnerabilidades descritas sejam preocupantes, o TSE informou que já foram corrigidas.

Além disso, a manipulação de uma eleição majoritária de nível nacional no Brasil, se realizada no dia da eleição (momento no qual os votos são registrados na urna eletrônica), requereria um ataque cibernético coordenado contra centenas de milhares de urnas eletrônicas para que o resultado do pleito fosse modificado.

A manipulação das urnas eletrônicas também poderia ocorrer antes do dia da eleição, durante a preparação da infraestrutura para votação – nos lotes de preparo dos fabricantes – ou no processo de distribuição das mesmas pelos TREs.

Os fatores de organização/logística são aspectos que tornam difícil a condução de um ataque às urnas eletrônicas como forma de manipulação das Eleições 2018 num pleito majoritário em nível nacional. Em eleições majoritárias em nível municipal ou estadual a manipulção de votos envolveria menos urnas, o que poderia tornar esse cenário mais provável.

Isso não torna o TPS da urna irrelevante, pois os processos de aprimoramento dos artefatos utilizados no processo eleitoral são desejáveis a despeito das dificuldades que eventuais atacantes encontrariam ao conduzir uma ação ofensiva em escala nacional.

Para que um ataque dirigido às urnas eletrônicas – no dia da eleição ou na logística que a antecede – modifique o resultado de uma eleição majoritária nacional, seria necessária uma operação bastante complexa e custosa, o que torna essa ação improvável no presente momento.

Sistema de Apuração eleitoral

Outro aspecto a ser considerado como alvo de ataques cibernéticos ao processo eleitoral é a infraestrutura de apuração eleitoral.

É razoável assumir que a infraestrutura de TI de TSE e TREs pode ser alvo de ataques cibernéticos que tenham como objetivo ganhar acesso a sistemas utilizados durante a apuração dos votos.

Não é do nosso conhecimento, mas parece ser improvável que o eventual acesso obtido por uma ação ofensiva originária da internet tenha condições acessar esses sistemas críticos por meio de movimentos laterais nas redes da Justiça Eleitoral.

No entanto, os dados históricos registrados pelo nosso Sistema de Monitoramento Avançado Persistente sobre a infraestrutura da Justiça Eleitoral brasileira indicam que a infraestrutura de TI da Justiça Eleitoral sofre continuamente com diversos ataques cibernéticos.

  • Entre os anos de 2006 e 2018 foram registradas 33 desfigurações de página contra entidades da Justiça Eleitoral.
  • Em ao menos quatro ocasiões (nos últimos 6 meses) o módulo de análise reputacional do Monitoramento Avançado Persistente detectou comportamento consistente com o envio de spam por servidor da Justiça Eleitoral.
  • Durante as Eleições 2012 – estaduais e distritais – ao menos o TRE/AP e TRE/SE foram alvos de ataques de negação de serviço bem-sucedidos.
  • Ao menos em 184 ocasiões foram registrados vazamentos de dados – credenciais de acesso (usuário/senha) e e-mails corporativos – que referenciem domínios da Justiça Eleitoral.
  • Além disso, há ao menos um registro de exploração de vulnerabilidade Apache Struts em um servidor do TSE no ano de 2017.

É importante ressaltar que esses incidentes não significam que sistemas relacionados ao processo de apuração das eleições foram afetados. Também não são demonstração de que seria possível acessar esses sistemas por meio da repetição dessas ações pretéritas. São, contudo, indicadores de que a infraestrutura da Justiça Eleitoral já foi – e provavelmente continua sendo – alvo de ataques cibernéticos.

Atacantes que lograrem êxito em uma invasão de ativos da Justiça Eleitoral certamente tentarão (ou já tentaram) movimentar-se lateralmente pela rede em busca de sistemas relacionados à apuração de votos.

Conclusão

A manipulação das Eleições 2018 por meio de ataques cibernéticos contra o sistema de votação e/ou apuração é uma forma direta de modificar o resultado do pleito. Contudo, esbarra em dificuldades de escalabilidade (ataque contra urnas eletrônicas) e depende de uma campanha de infiltração de longo prazo contra infraestrutura da Justiça Eleitoral, sem a certeza de que permitiria o acesso aos sistemas críticos utilizados na apuração das Eleições 2018.

Razão pela qual a concretização desse cenário foi avaliada pelo Lab como de baixa probabilidade de ocorrência.

Atualização

Diante das oportunas colocações do Professor Diego Aranha, feitas nos comentários do presente artigo, é oportuno atualizar alguns pontos.

Inicialmente vale frisar que o artigo considerou o cenário de um ataque externo – proveniente de rede pública que invade e se move para softwares de votação/apuração de votos – ao passo que o Professor Diego Aranha aponta um cenário (com razão!) o cenário em que um atacante interno (insider) não teria limitações de escalabilidade em suas ações.

As preocupações apresentadas pelo Professor Diego Aranha no caso de um cenário em que atacante interno age com objetivo de alterar o resultado da votação são extremamente pertinentes e demonstrados no decurso do seu  relatório dos testes de 2017 elaborado por Aranha, Diego & Barbosa, Pedro & Cardoso, Thiago & Lüders, Caio & Matias, Paulo (2018).

Isto posto, é importante reconhecer que não era de nosso conhecimento – até a leitura do referido relatório – que os procedimentos de distribuição do software de votação em cartões de instalação eram tão concentrados em pontos específicos.

Distribution of software components: a specific ver-
sion of the software is frozen and compiled in a
public ceremony, to be later transmitted electroni-
cally to the local branches of the SEC a few days
before the election. Hence each new election runs
on a more recent version of the codebase.

Do ponto de vista do agente malicioso, esse momento de compilação do código para as urnas eletrônicas realizado pelo TSE constitui um ponto ótimo para realização de um ataque.

Mais adiante o artigo indica como a distribuição do código ocorre em nível estadual (TRE), depois de recebido o código, os cartões de instalação são levados a diferentes locais de votação para instalação em até 50 urnas eletrônicas.

Upon receipt of the official voting machine software, staff
in the local branches generate the install cards using Desktop computers. These memory cards are
then transported across the states to multiple places
where voting machines are stored in-between elections. Each card installs up to 50 voting machines.

De fato, esse seria outro ponto que um ataque poderia maximizar os resultados de alteração do resultado eleitoral em nível estadual (Governador, Senador, Deputados Federais).

Nosso julgamento de que uma ação a partir de redes públicas – embora a Justiça Eleitoral tenha sido vítima em inúmeras ocasiões de ataques cibernéticos – teria dificuldades em se mover lateralmente para os sistemas de votação/apuração porque o TSE reiteradamente menciona a segregação dos ambientes de desenvolvimento/produção e o restante da sua rede corporativa.

Essa segregação contribui para criação de um ambiente seguro, mas não é instransponível. Além disso, ainda que em ambiente controlado, uma rede segrega sempre terá algum nível de contato com o mundo exterior para receber atualizações e trocar informações. Casos clássicos em que esse contato foi suficiente para romper a segurança são o Stuxnet e os vazamentos contra a NSA realizados por Edward Snowden.

Os pontos de distribuição do software de votação descritos pelo artigo do Professor Diego Aranha são evidência de que mesmo ambientes segregados entram em “contato com o mundo real” e confeririam escalabilidade a esse ataque externo.

Com isso, cabe reparo em nossa conclusão. O cenário de ataque externo não teria problemas quanto à escalabilidade, mas ainda demanda uma elaborada campanha de infiltração de longo prazo contra infraestrutura da Justiça Eleitoral,  o que requereria que o agente adverso fosse uma ameaça avançada persistente, mas, ainda assim, sem a certeza de que a penetração na rede permitiria o acesso aos sistemas críticos utilizados na apuração das Eleições 2018.