José Múcio confirma que Delgatti esteve na Defesa

Amanhã, quando o hacker Walter Delgatti se sentar às 9h, diante de deputados e senadores para ser inquirido sobre a sua participação nas atividades da campanha presidencial de 2022, contratado que foi pela deputada federal Carla Zambelli, será questionado sobre suas idas ao Ministério da Defesa, onde disse que colaborou com os militares – o então titular da Defesa, o general Paulo Sergio de Oliveira –, na elaboração de um questionário dirigido ao TSE.

Sabe-se que em 1996, quando as urnas eletrônicas foram elaboradas e lançadas para uso nos pleitos eleitorais do país, trabalharam nesse processo técnicos militares. Essa expertise, pelo visto, se perdeu. Foi preciso – segundo Delgatti contou ao seu advogado, Ariovaldo Moreira -, a sua ajuda para elaborar e encaminhar perguntas técnicas, porém nem tão complexas assim, sobre o funcionamento das urnas eletrônicas, ao Tribunal Superior Eleitoral. Incomodado com a possibilidade de Luiz Inácio Lula da Silva vencer a corrida presidencial, o que acabou acontecendo, o general Paulo Sérgio queria apurar “furos” no sistema. Todos se lembram, Bolsonaro gritava aos quatro cantos: “se as eleições forem limpas, eu serei eleito”.

Não vai ser possível negar que as conversas com o general aconteceram. Hoje (16/08), o atual ministro da Defesa, José Múcio, confirmou ao portal Uol que Walter Delgatti esteve no ministério conversando com militares. Sobre o que falaram, disse não saber. Certo é que o questionário com as perguntas foi encaminhado aos responsáveis pela eleição (TSE), e prontamente respondidas por ofício, do dia 10 de fevereiro de 2022. As respostas foram encaminhadas ao Senhor general de Divisão Heber Garcia Portella, do Centro de Defesa Cibernética do Comando de Defesa Cibernética do Exército Brasileiro, Integrante da Comissão de Transparência das Eleições (Referência: Ofícios nºs 001, 002, 003 e 004/2021. NUP: 65298.001410/2021-68 Assunto: Processo Eleitoral Brasileiro, Senhor General de Divisão).

Walter Delgatti foi aconselhado pelo seu advogado a se calar no depoimento que que prestou nesta tarde de 16/08 à Polícia Federal, conforme amplamente noticiado na mídia, mas falará na CPMI. Certamente não entregará todo o conteúdo do seu contrato de delação premiada, mas não poderá negar que esteve no Ministério da Defesa – sob pena de estar mentindo, o que é proibido. Caso confirme que elaborou o questionário enviado pelo general Paulo Sérgio de Oliveira (que ainda incorreu no erro de pedir o “código fonte das urnas”, àquela altura aberto fazia um ano), seriam as que seguem abaixo, as de sua autoria:

RESPOSTAS AO OFÍCIO nº 001

1. Organograma, incluindo os responsáveis pelas estruturas de Tecnologia da

Informação do TSE.

2. Norma de Gestão de Riscos relacionada à Gestão de Segurança da

Informação do TSE.

3. Relatório de Riscos do TSE dos últimos 4 anos.

4. Política de Segurança da Informação (PSI) do TSE.

5. Todos os normativos que suportam a política de segurança da informação

(PSI) do TSE.

6. Política de Antivírus do TSE.

7. Política de Auditoria e Registro de Logs do TSE.

8. Política de Backup do TSE.

9. Política de Continuidade de Negócio do TSE.

10. Política de Gestão de Ativos da Segurança da Informação do TSE.

11. Política de Gestão de Identidade de Acesso (AAA) do TSE.

12. Política de Gestão de Mudanças do TSE.

13. Política de Gestão de Vulnerabilidades do TSE.

14. Política de Privacidade do TSE.

15. Política de Senha do TSE.

16. Política de Uso Aceitável de TI do TSE.

17. Relatório de Análise de Impacto de Negócio relacionado à Gestão de Segurança da Informação do TSE.

18. Mapeamento dos Processos Críticos dos Sistemas que suportam o Processo Eleitoral.

19. Documentação de Requisitos de Software (requisitos funcionais, não funcionais etc) dos Sistemas que suportam o Processo Eleitoral.

20. Documentação do Processo de Desenvolvimento de Software dos Sistemas que suportam o Processo Eleitoral.

21. Documentação do Processo de Auditoria de Software dos Sistemas que suportam o Processo Eleitoral.

22. Lista com todas as versões do ramo principal (master) dos Sistemas que suportam o Processo Eleitoral, destacando as versões utilizadas em eleições.

23. Relatório com quantidade de linhas de código (sem contar comentários) e quantidade de arquivos dos Sistemas que suportam o Processo Eleitoral.

24. Lista com bibliotecas e APIS utilizadas de terceiros dos Sistemas que suportam o Processo Eleitoral.

25. Documentação do Processo de Verificação de Segurança de Software dos Sistemas que suportam o Processo Eleitoral.

26. Lista de Ferramentas de análise de segurança de código utilizadas dos Sistemas que suportam o Processo Eleitoral.

27. Documentação de Arquitetura da Solução, incluindo a topologia de rede que envolve os ativos de segurança (firewall, IDS, IPS, etc) dos Sistemas que suportam o Processo Eleitoral.

Segunda Parte: Ofício 02

1. Quais foram os parâmetros probabilísticos, entre eles o nível de confiança,

utilizados nos cálculos do TSE para definir a quantidade de 6, 8 ou 10 urnas por Unidade da Federação, no Teste de Integridade das urnas eletrônicas, conforme o art. 58 e 59, da Minuta de Resolução Nr XX.XXX – Instrução Normativa Nr 0600747-28-2019.6.00.0000?

2. Como foi feito o cálculo para chegar ao número máximo de 234 urnas submetidas ao teste de integridade, constante da medida 7 do Plano de Ação para Ampliação da Transparência do Processo Eleitoral 2022? Há relação com os artigos 8 e 59 da Minuta de Resolução Nr XX.XXX?

3. Qual o nível de confiança nos casos em que há ação judicial relativa aos

sistemas de votação e apuração, conforme estabelece o caput do art. 83, da Resolução nº 23.603/2019?

5. Como será observada a mesma rotina de uma votação normal no Teste de Integridade, incluindo a identificação biométrica?

6. É possível armazenar mais de um BU no aplicativo Boletim na Mão?

7. Em caso negativo, seria possível realizar uma alteração na aplicação Boletim

na Mão de forma que mais de um BU seja armazenado no aplicativo?

8. Seria possível realizar uma alteração na aplicação Boletim na Mão de forma que as informações do BU sejam enviadas para um servidor cujo endereço seja configurado pelo usuário?

9. Qual foi a motivação para incluir uma porta USB na urna modelo 2020, a despeito que normalmente tal implementação reduz, em tese, a segurança da urna?

10. Será realizada alguma auditoria externa nas novas urnas (modelo 2020), tendo em vista que as mesmas não estavam disponíveis durante o TPS 2021?

11. Qual a previsão do quantitativo de urnas que serão utilizadas por Estado da Federação, para as eleições de 2022, considerando também as de contingência?

12. Quais controles da ISO/IEC 27001:2013 foram implementados para verificar o código desenvolvido por programadores terceirizados?

13. O Sistema de Gerenciamento da Totalização de votos permite auditar o momento em que cada Boletim de Urna é consolidado na totalização realizada pelo TSE?

14. Como é realizada a gerência das chaves criptográficas?

15. Como a chave privada é gerada, armazenada e protegida?

16. Trata-se de uma solução somente de hardware, somente de software ou híbrida?

17. Como as chaves públicas são carregadas no sistema central de validação de votos?

18. Quais os procedimentos de forense digital que a TI do TSE aplica de forma a garantir a integridade das evidências, de uma suposta intrusão aos sistemas proprietários do TSE?

19. Quais são as rotinas de verificação da existência de programa indesejado em execução no sistema operacional da urna eletrônica?

20. Existe algum processo de registro?

21. Como são sincronizados os relógios das urnas eletrônicas?

22. A data influencia a execução do sistema VOTA e dos testes de integridade ou somente é necessário a hora?

23. Que órgão interno ou contratado realiza a auditoria dos códigos dos sistemas utilizados no processo eleitoral?

24. Quantas e quais foram as auditorias externas realizadas desde 2009?

25. Quais serão os controles e/ou formas de acompanhamento de que os códigos-fonte fornecidos, auditados e eventualmente corrigidos, serão os códigos utilizados durante as eleições de 2022?

26. Quais são os mecanismos que garantem a relação entre os códigos-fonte e binários que são assinados durante a cerimônia de assinatura digital e lacração dos sistemas eleitorais?

28. Quais são os procedimentos de verificação e geração de alertas para tentativas de inserção de códigos, legítimas ou não, durante todo o processo do processo do sistema eleitoral?

29. Qual o mecanismo de lacre utilizado para que não haja violação da urna eletrônica?

30. Quando do recebimento de urna com lacre violado, quais são os procedimentos adotados no caso dela conter votos e no caso dela não conter?

31. Porque houve a mudança de procedimento quanto a totalização dos votos, enviando diretamente ao TSE?

32. Qual é a percentagem de sucesso no reconhecimento de eleitores pela biometria?

33. Dado que o eleitor possui biometria cadastrada, qual a percentagem de verdadeiro positivo, verdadeiro negativo, falso positivo e falso negativo da detecção?

34. Dentre as soluções de VPN disponíveis (de mercado, customizada, código aberto, gratuita, paga) qual a adotada para a transmissão dos dados das seções eleitorais para o sistema central de consolidação dos votos, localizado no TSE?

35. Como garantir que eleitores que apresentaram justificativa eleitoral em razão de impedimento para comparecer no dia da votação, não constem como votado numa determinada eleição?

36. Há visualização de solução por parte do TSE para superar a possibilidade de perda de voto por falha de mídia eletrônica?

37. Caso uma eleição seja decidida por um número de votos menor do que o total que foi desconsiderado por falha na mídia eletrônica, como será resolvida uma possível incoerência que pode advir da desconsideração, total ou parcial, de votos?

38. Que tipo de equipamento (computador, estação de trabalho) é utilizado para a transmissão dos dados das seções eleitorais para o sistema central de consolidação de votos localizado no TSE?

40. Caso um equipamento (computador, estação de trabalho), utilizado para a transmissão dos votos de uma seção eleitoral, esteja comprometido, quais são os procedimentos adotados?

41. Como ocorre o procedimento de descarte das urnas eletrônicas consideradas ultrapassadas?

42. O TRNG é um chip de mercado ou de desenvolvimento customizado encomendado pelo TSE especialmente para as Urnas Eletrônicas?

43. Como é constituído o sistema de monitoramento de infraestrutura de rede que apoia o sistema eleitoral?

44. Como tais atualizações são incorporadas no UENUX?

45. Existe algum registro que mostre o tempo levado para que uma atualização na distribuição Linux seja incorporada no UENUX?

46. Quais são os mecanismos de controle utilizados para prevenir que um ataque de negação de serviço (DoS/DDoS) possa interferir na transmissão dos dados de votação para o sistema totalizador do TSE?

47. Já foram realizados testes para avaliar os controles configurados e em consequência estabelecer o nível de confiabilidade?

48. No processo de licitação das urnas, como é exigido dos fornecedores uma comprovação/certificação de que eles seguem as melhores práticas de segurança e de conformidade bem como aplicam as mesmas exigências para as respectivas cadeias de produção?