Saiba o que os militares disseram de fato sobre urnas eletrônicas

Todos os posts, Últimas notícias

Foto: Antonio Augusto/secom/TSE

Revelada na íntegra pelo Tribunal Superior Eleitoral (TSE) nesta quarta-feira, 16, a lista de questionamentos sobre o processo eleitoral formulada pelas Forças Armadas inclui dúvidas sobre a política de antivírus, backup e senhas da Corte; especificidades técnicas das urnas eletrônicas, como a presença de portas USB e a taxa de sucesso do reconhecimento por biometria; mecanismos de segurança física dos equipamentos, como o lacre que impede sua violação; entre outras.

As dúvidas apresentadas pelos militares foram usadas pelo presidente Jair Bolsonaro (PL) para lançar dúvidas sobre a segurança das urnas, tema ao qual ele recorre com frequência desde o ano passado, colocando em dúvida o resultado das eleições. Na semana passada, o chefe do Executivo disse que as Forças Armadas haviam encontrado “dezenas vulnerabilidades” nos equipamentos, dando a entender que os questionamentos foram motivados por suspeitas de fragilidade. Nada nos questionamentos, porém, como já havia sinalizado o TSE, sugere a identificação de risco.

A Corte não previa tornar públicas as informações, mas alegou ser necessário diante do “vazamento da existência das perguntas que foram formuladas”. Parte das respostas dá detalhes sobre as estratégias de segurança da Corte, como a que descreve os lacres das urnas: “ (…) são confeccionados pela Casa da Moeda do Brasil (CMB), a partir de um substrato de poliéster (amarelo para as Eleições 2022), revestido de adesivo tipo acrílico”.Segundo nota do TSE, as respostas “não impactam a segurança cibernética da Justiça Eleitoral”.

A decisão de divulgar o documento, que tem 69 páginas e descreve o funcionamento de cada etapa preparatória das eleições, foi tomada em conjunto pelo atual presidente Luís Roberto Barroso e seus sucessores no cargo, Edson Fachin e Alexandre de Moraes. Os ministros justificam que “as informações prestadas às Forças Armadas a respeito do processo eletrônico de votação são de interesse público”.

Veja a lista de informações requisitadas:

Organograma, incluindo os responsáveis pelas estruturas de Tecnologia da Informação do TSE;

Norma de Gestão de Riscos relacionada à Gestão de Segurança da Informação do TSE;

Relatório de Riscos do Tribunal dos últimos 4 anos;

Política de Segurança da Informação (PSI) do Tribunal;

Todos os normativos que suportam a política de segurança da informação (PSI) da Corte;

Política de Antivírus do Tribunal;

Política de Auditoria e Registro de Logs do TSE;

Política de Backup da Corte;

Política de Continuidade de Negócio;

Política de Gestão de Ativos da Segurança da Informação;

Política de Gestão de Identidade de Acesso (AAA) do TSE;

Política de Gestão de Mudanças do Tribunal;

Política de Gestão de Vulnerabilidades do TSE;

Política de Privacidade da Corte;

Política de Senha do TSE;

Política de Uso Aceitável de TI do Tribunal;

Relatório de Análise de Impacto de Negócio relacionado à Gestão de Segurança da Informação da Corte;

Mapeamento dos Processos Críticos dos Sistemas que suportam o Processo Eleitoral;

Documentação de Requisitos de Software (requisitos funcionais, não funcionais etc) dos Sistemas que suportam o Processo Eleitoral;

Documentação do Processo de Desenvolvimento de Software dos Sistemas que suportam o Processo Eleitoral;

Documentação do Processo de Auditoria de Software dos Sistemas que suportam o Processo Eleitoral;

Lista com todas as versões do ramo principal (master) dos Sistemas que suportam o Processo Eleitoral, destacando as versões utilizadas em eleições;

Relatório com quantidade de linhas de código (sem contar comentários) e quantidade de arquivos dos Sistemas que suportam o Processo Eleitoral;

Lista com bibliotecas e APIS utilizadas de terceiros dos Sistemas que suportam o Processo Eleitoral;

Documentação do Processo de Verificação de Segurança de Software dos Sistemas que suportam o Processo Eleitoral;

Lista de Ferramentas de análise de segurança de código utilizadas dos Sistemas que suportam o Processo Eleitoral;

Documentação de Arquitetura da Solução, incluindo a topologia de rede que envolve os ativos de segurança (firewall, IDS, IPS, etc) dos Sistemas que suportam o Processo Eleitoral;

Quais foram os parâmetros probabilísticos, entre eles o nível de confiança, utilizados nos cálculos do TSE para definir a quantidade de 6, 8 ou 10 urnas por Unidade da Federação, no Teste de Integridade das urnas eletrônicas, conforme o art. 58 e 59, da Minuta de Resolução Nr XX.XXX – Instrução Normativa Nr 0600747-28-2019.6.00.0000?

Como foi feito o cálculo para chegar ao número máximo de 234 urnas submetidas ao teste de integridade, constante da medida 7 do Plano de Ação para Ampliação da Transparência do Processo Eleitoral 2022? Há relação com os art 8 e 59 da Minuta de Resolução Nr XX.XXX?
Qual o nível de confiança nos casos em que há ação judicial relativa aos sistemas de votação e apuração, conforme estabelece o caput do art. 83, da Resolução nº 23.603/2019?

Qual a consequência para o processo eleitoral como um todo em face da observância de irregularidades na contagem dos votos da amostra utilizada no teste de integridade, a fim de não descaracterizar a auditoria por amostragem?

Como será observada a mesma rotina de uma votação normal no Teste de Integridade, incluindo a identificação biométrica?

É possível armazenar mais de um BU no aplicativo Boletim na Mão?

Em caso negativo, seria possível realizar uma alteração na aplicação Boletim na Mão de forma que mais de um BU seja armazenado no aplicativo?

Seria possível realizar uma alteração na aplicação Boletim na Mão de forma que as informações do BU sejam enviadas para um servidor cujo endereço seja configurado pelo usuário?

Qual foi a motivação para incluir uma porta USB na urna modelo 2020, a despeito que normalmente tal implementação reduz, em tese, a segurança da urna?

Será realizada alguma auditoria externa nas novas urnas (modelo 2020), tendo em vista que as mesmas não estavam disponíveis durante o TPS 2021?

Qual a previsão do quantitativo de urnas que serão utilizadas por Estado da Federação, para as eleições de 2022, considerando também as de contingência?

Quais controles da ISO/IEC 27001:2013 foram implementados para verificar o código desenvolvido por programadores terceirizados?

O Sistema de Gerenciamento da Totalização de votos permite auditar o momento em que cada Boletim de Urna é consolidado na totalização realizada pelo Tribunal?

Como é realizada a gerência das chaves criptográficas?

Como a chave privada é gerada, armazenada e protegida?

Trata-se de uma solução somente de hardware, somente de software ou híbrida?

Como as chaves públicas são carregadas no sistema central de validação de votos?

Quais os procedimentos de forense digital que a TI do Tribunal aplica de forma a garantir a integridade das evidências, de uma suposta intrusão aos sistemas proprietários do TSE?

Quais são as rotinas de verificação da existência de programa indesejado em execução no sistema operacional da urna eletrônica?

Existe algum processo de registro?

Como são sincronizados os relógios das urnas eletrônicas?

A data influencia a execução do sistema VOTA e dos testes de integridade ou somente é necessário a hora?

Que órgão interno ou contratado realiza a auditoria dos códigos dos sistemas utilizados no processo eleitoral?

Quantas e quais foram as auditorias externas realizadas desde 2009?

Quais serão os controles e/ou formas de acompanhamento de que os códigos-fonte fornecidos, auditados e eventualmente corrigidos, serão os códigos utilizados durante as eleições de 2022?

Quais são os mecanismos que garantem a relação entre os códigos-fonte e binários que são assinados durante a cerimônia de assinatura digital e lacração dos sistemas eleitorais?

Os códigos-fonte relacionados com os binários assinados podem ser auditados após a cerimônia de assinatura digital e lacração dos sistemas eleitorais?

Quais são os procedimentos de verificação e geração de alertas para tentativas de inserção de códigos, legítimas ou não, durante todo o processo do processo do sistema eleitoral?

Qual o mecanismo de lacre utilizado para que não haja violação da urna eletrônica?

Quando do recebimento de urna com lacre violado, quais são os procedimentos adotados no caso dela conter votos e no caso dela não conter?

Por que houve a mudança de procedimento quanto a totalização dos votos, enviando diretamente ao Tribunal?

Qual é a percentagem de sucesso no reconhecimento de eleitores pela biometria?

Dado que o eleitor possui biometria cadastrada, qual a percentagem de verdadeiro positivo, verdadeiro negativo, falso positivo e falso negativo da detecção?

Dentre as soluções de VPN disponíveis (de mercado, customizada, código aberto, gratuita, paga) qual a adotada para a transmissão dos dados das seções eleitorais para o sistema central de consolidação dos votos, localizado no Tribunal?

Como garantir que eleitores que apresentaram justificativa eleitoral em razão de impedimento para comparecer no dia da votação, não constem como votado numa determinada eleição?

Há visualização de solução por parte do TSE para superar a possibilidade de perda de voto por falha de mídia eletrônica?

Caso uma eleição seja decidida por um número de votos menor do que o total que foi desconsiderado por falha na mídia eletrônica, como será resolvida uma possível incoerência que pode advir da desconsideração, total ou parcial, de votos?

Que tipo de equipamento (computador, estação de trabalho) é utilizado para a transmissão dos dados das seções eleitorais para o sistema central de consolidação de votos localizado no TSE?

Existe algum padrão ou norma de segurança para definir esse equipamento?

Caso um equipamento (computador, estação de trabalho), utilizado para a transmissão dos votos de uma seção eleitoral, esteja comprometido, quais são os procedimentos adotados?

Como ocorre o procedimento de descarte das urnas eletrônicas consideradas ultrapassadas?

O TRNG é um chip de mercado ou de desenvolvimento customizado encomendado pelo TSE especialmente para as Urnas Eletrônicas?

Como é constituído o sistema de monitoramento de infraestrutura de rede que apoia o sistema eleitoral?

Como tais atualizações são incorporadas no UENUX?

Existe algum registro que mostre o tempo levado para que uma atualização na distribuição Linux seja incorporada no UENUX?

Quais são os mecanismos de controle utilizados para prevenir que um ataque de negação de serviço (DoS/DDoS) possa interferir na transmissão dos dados de votação para o sistema totalizador do TSE?

Já foram realizados testes para avaliar os controles configurados e em consequência estabelecer o nível de confiabilidade?

No processo de licitação das urnas, como é exigido dos fornecedores uma comprovação/certificação de que eles seguem as melhores práticas de segurança e de conformidade bem como aplicam as mesmas exigências para as respectivas cadeias de produção?

Estadão  

Assinatura

CARTA AO LEITOR

O Blog da Cidadania é um dos mais antigos blogs políticos do país. Fundado em março de 2005, este espaço acolheu grandes lutas contra os grupos de mídia e chegou a ser alvo dos golpistas de 2016, ou do braço armado deles, o juiz Sergio Moro e a Operação Lava jato.

No alvorecer de 2017, o blogueiro Eduardo Guimarães foi alvo de operação da Polícia Federal não por ter cometido qualquer tipo de crime, mas por ter feito jornalismo publicando neste Blog matéria sobre a 24a fase da Operação Lava Jato, que focava no ex-presidente Lula.

O Blog da Cidadania representou contra grandes grupos de mídia na Justiça e no Ministério Público por práticas abusivas contra o consumidor, representou contra autoridades do judiciário e do Legislativo, como o ministro Gilmar Mendes, o juiz Sergio Moro e o ex-deputado Eduardo Cunha.

O trabalho do Blog da Cidadania sempre foi feito às expensas do editor da página, Eduardo Guimarães. Porém, com a perseguição que o blogueiro sofreu não tem mais como custear o Blog, o qual, agora, dependerá de você para continuar existindo. Apoie financeiramente o Blog

FORMAS DE DOAÇÃO

1 – Para fazer um depósito via PIX, a chave é edu.guim@uol.com.br

2 – Abaixo, duas opções de contribuição via cartão de crédito. Na primeira, você contribui mensalmente com o valor que quiser; na segunda opção, você pode contribuir uma só vez também com o valor que quiser. Clique na frase escrita em vermelho (abaixo) Doação Mensal ou na frase em vermelho (abaixo) Doação Única

DOAÇÃO MENSAL – CLIQUE NO LINK ABAIXO

https://www.mercadopago.com.br/subscriptions/checkout?preapproval_plan_id=282c035437934f48bb0e0e40940950bf

DOAÇÃO ÚNICA – CLIQUE NO LINK ABAIXO

https://www.mercadopago.com.br/subscriptions/checkout?preapproval_plan_id=282c035437934f48bb0e0e40940950bf