Pedro Rezende: As urnas e o sistema fraudável sem riscos para o fraudador
Sobre o sistema de votação do TSE, o que posso dizer, atuando academicamente na área de segurança computacional na UnB há 17 anos, de onde publico há mais de 14, baseia-se no meu envolvimento com o tema, que tem sido pela perspectiva da sua concepção, desde o início da informatização até hoje. Meu envolvimento começou em um debate num congresso de segurança na Informática realizado em 2001, no ITA, onde eu fui palestrar como convidado. Ali constatei que as únicas defesas apresentadas em favor dessa concepção não eram técnicas, como se esperaria em um evento como aquele, mas apenas argumentos de autoridade e ataques ad-hominem a quem a criticasse.
Logo em 2002 tentei participar da equipe que analisaria o código dos programas do sistema do TSE para um dos Partidos, os quais junto com a OAB e o Ministério Público são as únicas entidades externas com direito a tal análise — ainda que só na forma regulamentada pelo TSE –, mas tive que desistir por discordar da exigência de que antes assinasse um termo de sigilo sobre o que viesse a conhecer do sistema. Desde então venho constatando que o padrão de justificativas, sejam técnicas ou jurídicas, para a concepção desse sistema continua a mesma. E nunca mais aceitei votar nesse sistema, justificando em viagens meu não-voto diante obrigação cívica de votar
A filosofia de segurança subjacente a sua concepção, posta em prática no projeto e implementação desse sistema do TSE, baseia-se em obscurecimento. Isso resulta, proporcionalmente à complexidade do projeto, em um sistema excessivamente vulnerável a falhas ou erros — involuntários ou não — de programação. Contudo, essa filosofia é a que melhor permite conceber e desenvolver um sistema fraudável sem riscos para o fraudador. As possíveis provas materiais podem ser blindadas pelo dono do sistema, contando com a virtualização completa do registro individual de votos, e se os meios possíveis para a fraude forem descobertos, eles podem ser rearranjados como se fossem meros erros ingênuos de programação.
Tal blindagem se absolutiza quando o dono do sistema coincide com a mais alta corte judiciária, entre ex, atuais e futuros presidentes e ministros do TSE, o qual se dispõe a gastar rios de dinheiro público para proteger a credibilidade do sistema com massiva propaganda oficial enganosa. Enquanto essa gastança serve, também, para cooptar a imprensa corporativa. Num tal contexto, onde qualquer acesso legalmente concedido para fins de auditoria ou fiscalização ao sistema teria que ser autorizado por esse mesmo dono, acho difícil conceber um protocolo de investigação externa que, partindo de eleitores ou partidos interessados, seja ao mesmo tempo eficaz do ponto de vista técnico e admissível para esse dono do sistema.
O problema não é a falta de ferramentas, disponíveis a especialistas em segurança computacional, para detectar contaminações em programas capazes de produzir fraudes automáticas durante o funcionamento da urna ou outros componentes do sistema. Essas ferramentas e especialistas existem, inclusive no CMInd. O problema é a concentração de poderes no dono do sistema, que até hoje impediu, e poderá continuar impedindo, qualquer investigação que seja independente o suficiente para ter ao mesmo tempo eficácia e legalidade. Autorizada e não passível de enquadramento como criminal, posto que a Lei eleitoral, até onde sei, criminaliza qualquer acesso não autorizado ao sistema de votação. No caso em tela, considerando as suspeitas levantadas por especialistas do PDT durante o exame de código desses programas, e os indícios de manipulações indevidas no primeiro turno, posso conceber apenas um protocolo de auditoria preventiva que seja tecnicamente eficaz, mas não necessariamente admissível e incondenável por esse dono.
Passo-a-passo da investigação
Pelo ordenamento jurídico vigente, a investigação externa deveria ser aberta pelo Ministério Público, através da Procuradoria Geral Eleitoral (PGE), a partir do de uma denúncia de irregularidade registrada por um eleitor ou Partido político. No caso que ensejou esta série de reportagens pelo Jornal GGN, todos os passos previstos em lei em busca de mediadas preventivas foram seguidos, mas sem nenhuma consequência até agora. O caso começou com a descoberta de vulnerabilidades no subsistema de instalação e segurança (SIS), nos primeiros dias de setembro de 2014, por um auditor externo devidamente cadastrado junto ao TSE. Esse auditor estava, junto com outros analistas, exercendo o direito de fiscalizar o código dos programas do sistema de votação de 2014 em nome do Partido que os cadastrou, sob as condições impostas por quem o desenvolve. Além dessas restrições, a lei limita esse direito de “auditoria” à OAB, Ministério Público (MP) e Partidos, mas tanto a OAB quanto o MP haviam se recusado a exercê-lo e a credenciá-los.
Como esse tipo de auditoria “pro forma” tem sido permitida somente sob compromisso de confidencialidade, as vulnerabilidades descobertas, e as respostas insatisfatórias dos técnicos do TSE sobre por que ocorriam, foram relatadas com pedido de providências, pela advogada do Partido credenciada para isso, através da Petição TSE Nº 23.891, dirigida ao presidente do TSE em 4 de setembro de 2014. Mas a Petição foi tratada pelo Secretário da Presidência do Tribunal como reclamação sobre votação — que ainda não havia ocorrido –, e não como impugnação de programas analisados, conforme o contexto — previsto na Resolução 23.397/2013 que disciplina essa auditoria “pro forma” dos programas –, o que propiciou-lhe uma espetaculosa manobra de saída pela tangente.
Na função de juiz “auxiliar”, esse secretário desqualificou a advogada e o pedido, indeferiu e mandou arquivar tudo, como se os fatos narrados nos autos fossem irrelevantes. Ao invés de enviar esses autos para análise do Ministério Público, nomear um juiz Relator que daria parecer para julgamento em plenário, como manda a supracitada norma do próprio Tribunal para esses casos, ele saciou-se com aquela intempestividade e com um parecer parcialmente secreto da sua Secretaria de Informática (STI). A STI, que com a empresa privada que desenvolveu e mantém o SIS deveriam responder como réus, explicou-se num documento cujo trecho nos autos não tem pé nem cabeça: o Inserator — programa indistinguível de uma porta de fundos escamoteada para permitir invasões sorrateiras ao sistema — , relatado como a principal vulnerabilidade descoberta, está no SIS mas não é mais usado, embora continua lá porque ainda é usado “noutros projetos”.
Pedidos de audiência do presidente daquele Partido com o do TSE foram até aqui ignorados. Todavia, como essa manobra, ao arquivar a Petição, desfez juridicamente aquele compromisso de confidencialidade, coube à advogada e aos demais membros do CMInd — do qual ela faz parte — prosseguir, alertando publicamente o eleitor para os riscos representados por aquelas descobertas, buscando quais projetos seriam esses que precisam do Inserator, e por que a empresa que o mantém no SIS consegue pular tantas averiguações. Para isso, não precisamos ir longe. Tão logo saiu o resultado do 1° turno, surge o primeiro candidato a tal “projeto”: um suspeito de interferir na votação, pelas enormes discrepâncias entre pesquisas de boca de urna e resultados em vários estados.
Todavia, se este for um tal projeto, seu efeito nesse primeiro turno não pode mais ser auditado. Pois o tipo de contaminação possibilitada pelo Inserator, em programas inseminados na urna, poderia perfeitamente após o feito ter se apagado a si mesma de todas as urnas atingidas. Auditoria preventiva contra esse tipo de “projeto”, agora, só é possível contra o efeito que poderia ter no segundo turno. Seria por meio de uma análise forense nos programas instalados em urnas que já estejam preparadas para serem usadas no segundo turno, amostradas e analisados através de um protocolo que possa ser executado sem nenhuma interferência de quem as preparou, ou de quem possa ter interesses contrariados pela eficácia de tal auditoria, exceto para poderem se certificar de que os resultados obtidos na sua análise forense sejam íntegros. Diante da conduta do Ministério Público até aqui, não creio que poderíamos contar com ele para a execução de um tal protocolo.
Especialistas discutem como hacker de 19 anos fraudou eleições no RJ, em 2012Apesar de ser legalmente a única entidade competente para executar auditorias externas independentes no sistema de votação, o MP nunca sequer participou da análise de código de programas prevista em lei e controlada pelo TSE, aquela espécie de auditoria “pro forma” prevista em lei à guisa de direito do eleitor. Mesmo assim o MP tem participado das cerimônias de homologação do sistema, cohonestando o processo com assinatura do Procurador Geral da República. O MP nunca se dignou a enviar técnicos para conhecer o sistema, e quando recebe denúncias de conduta tecnicamente abusiva por agentes da Justiça Eleitoral, nunca abre investigação, eventualmente arquivando-as.
Para a eleição de 2014, permaneceu nessa conduta tecnicamente passiva mesmo depois de ter sua função constitucional investigativa temporariamente cerceada por Resolução do TSE. E mesmo depois de alertas sobre o risco que esse tipo de conduta representa para a nossa democracia, oferecidos inclusive pela mesma advogada e por mim, em audiência pública realizada pelo próprio MP em março deste ano. Diante desse quadro, se o MP fosse executar um protocolo eficaz de auditoria externa “preventiva” no sistema de votação do TSE, estaria tacitamente admitindo sua anterior inépcia e descaso com sua função constitucional no processo eleitoral informatizado.
Quem pode investigar?
O cidadão comum não tem absolutamente nenhum direito de fiscalizar diretamente o processo de votação do TSE, conforme a legislação vigente e as resoluções do próprio TSE. Pode quando muito colaborar com quem teria direito de contestar, como no projeto vocefiscal por exemplo. Para detecção do tipo de fraude mais perigosa, que são as praticáveis por contaminação do software nas urnas, como aquelas que podem ser facilitadas por programas como o Inserator, mesmo se o cidadão comum tivesse direito de analisar livremente os programas na urna ele dificilmente teria o expertise para detectar comportamento anômalo indicativo de contaminação visando a fraude.
Quanto a especialistas fora do TSE, só caberia legalmente fazerem uma auditoria preventiva sob demanda do MP, através da PGE. Quanto a ferramentas, existem várias que podem auxiliar um perito forense a reconstruir a lógica de programas de computador que estejam em formato executável. E com chances de sucesso crescentes na medida em que o programa tenha propósitos rastreáveis, como é o caso de fraudes na contagem dos votos coletados pela urna, e tenha sido escrito e compilado sem a expectativa de que pudesse vir a ser dissecado por uma dessas ferramentas.
De qualquer forma, independente da competência do perito, a eficácia de uma auditoria externa independente e tempestiva, aqui chamada preventiva, depende inteiramente de um protocolo para garantir a autonomia do auditor poder ser executado em todos os detalhes. Esta é uma questão delicada porque qualquer deslize na concepção ou sabotagem na execução desse protocolo pode concorrer para que o resultado da análise forense não revele nada de anormal mesmo havendo, e o interessado na auditoria seja enquadrado em acusações de calúnia e difamação, ou mesmo de atentado à segurança nacional.
Partidos como reféns
Para mim o impacto mais palpável deste caso está na revelação de que os Partidos políticos se veem reféns desse arranjo institucional. Com poucas honrosas exceções, eles preferem tratar do assunto nos bastidores, com medo de sofrer retaliações se demonstrarem publicamente sinais de desconfiança na estabilidade desse arranjo, independente do real motivo para preferirem os bastidores. E também, a mídia corporativa. É gritante o boicote ao tema e o tabu que representa, como ameaça a tão profícuo cliente publicitário. A minha sensação é a de que o eleitor que acredita em democracia ao pé da letra ficou órfão.
República Velha: história semelhante
A história do Brasil já passou por um impasse semelhante antes, na Republica Velha. A Republica Velha foi fundada pelas elites oligárquicas que derrubaram o império e instituiram uma democracia de fachada, conhecida por sua política apelidada de “café-com-leite”. Nesse arranjo da nossa infância democrática os poderes republicanos sobre a esfera eleitoral se concentravam no legislativo. O congresso nacional no Rio de Janeiro tinha oito meses para receber das províncias os mapas eleitorais, feitos a bico de pena, e, conforme acordo de bastidores, refaziam alguns e descartavam outros a pretexto de alegadas fraudes, antes de homologar os “resultados”. As eleições eram refeitas nesse “terceiro turno”, que camuflava os conflitos de interesse, em que o “resultado” alternava no poder candidatos previamente escolhidos por essas elites, geralmente entre São Paulo e Minas.
A forma que o país encontrou para sair daquele conflito foi através de uma aliança liberal, que organizou a Revolução de 1930, envolvendo traição ao e dos mineiros e ascensão ao poder de um estadista gaúcho. Mas a Revolução de 1930 apenas deslocou esse conflito, ou vício de nossa república, do legislativo para o judiciário, numa reação política pendular que na ocasião parecia apta a neutralizar o conluio conhecido como política café-com-leite.
Avalio a situação observando que o poder político concentrado atrai o abuso, independentemente do ramo onde se concentra, e que podemos estar vivendo uma experiência histórica cíclica, onde os velhos vícios da Republica Velha parecem nos rondar novamente. E que a Revolução de 1930 levou quase uma década sendo gestada, precisando esperar pela eclosão de uma crise econômica global para concretizar-se, enquanto mais uma tal crise parece se aproximar.
Publicado originalmente em https://jornalggn.com.br/eleicoes/pedro-rezende-as-urnas-e-o-sistema-fraudavel-sem-riscos-para-o-fraudador/
Diego Aranha: “Os testes de segurança (nas urnas eletrônicas) são importantes e desejáveis, mas continuam insuficientes”
Em meio à tensão eleitoral, a segurança no processo eletrônico de votação tem sido um assunto bastante discutido.
Em entrevista, o especialista em segurança de sistemas, Diego Aranha, fala sobre o assunto.
Francisco Camurça
Francisco Camurça – 17 Oct 2018
A segurança das urnas eletrônicas é um assunto que vem ganhando destaque há alguns anos, principalmente durante os períodos eleitorais no país. O Tribunal Superior Eleitoral (TSE) defende a segurança das urnas eletrônicas e a confiabilidade das eleições, mas o assunto ainda gera controvérsias que são destacadas por especialistas na área de segurança, assim como já publicamos anteriormente.
A equipe do WLS entrou em contato com Diego Aranha, especialista em segurança de sistemas e atual professor na Universidade de Aarhus, na Dinamarca, que participou de auditorias públicas realizadas com as urnas eletrônicas no Brasil, e esclareceu algumas questões sobre o assunto. Diego recebeu em 2015 e 2016 os prêmios Google Latin America Research Awards para pesquisa em privacidade e Inovadores com Menos de 35 Anos Brasil da MIT Technology Review por seu trabalho com o voto eletrônico.
WLS – Você coordenou a primeira equipe de investigadores independentes que conseguiram detectar e explorar vulnerabilidades no software da urna eletrônica no Brasil em testes públicos de segurança, organizados pelo TSE, e também participou como observador externo em anos anteriores. Qual a sua visão sobre as auditorias realizadas? Existem restrições de acesso?
Considero que os testes de segurança são importantes e desejáveis, mas continuam claramente insuficientes no formato atual. Primeiramente, há o obstáculo de se ter que examinar uma quantidade gigantesca de código (da ordem de dezenas de milhões de linhas) em poucos dias sob supervisão do TSE, sem a possibilidade de fazer modificações para entender melhor seu funcionamento. Não há nenhuma garantia de que o código examinado nos testes será de fato utilizado nas eleições, pois o desenvolvimento do sistema continua até a eleição seguinte e pode introduzir novas vulnerabilidades. Além disso, todo o funcionamento é bastante burocrático, toda a documentação toma bastante tempo para ser produzida no ambiente de testes. Na edicão de 2017, preenchemos múltiplas instâncias de 8 tipos diferentes de formulários. Há também restrições no uso de papel para fazer anotações, não é possível utilizar nossas próprias máquinas e equipamentos, sendo necessário montar um ambiente de trabalho nos primeiros dias do evento. Entretanto, mesmo com todos esses obstáculos e limitações, falhas de segurança bastante importantes já foram descobertas e exploradas no ambiente de testes, o que de certa forma indica o grau de vulnerabilidade do sistema.
WLS – Durante os testes que você participou, quais foram as vulnerabilidades mais graves encontradas? Todas as falhas reportadas ao TSE foram corrigidas na época?
Nos testes de 2012, conseguimos recuperar os votos em ordem de uma eleição simulada, usando apenas informação pública. Esse ataque poderia ser usado para violar o sigilo do voto de uma seção eleitoral inteira sob controle de um mesário malicioso que mantém a ordem de votação dos eleitores, ou então de um eleitor ilustre com horário de votação conhecido, como o presidente do próprio TSE. Documentamos também uma série de outras falhas de segurança envolvendo o mecanismo de verificação de integridade do software.
“O sistema continua especialmente vulnerável contra um fraudador interno com acesso privilegiado por longos períodos de tempo”.
Já em 2017, alcançamos o objetivo inédito de conseguir adulterar o software de votação para trocar os programas instalados nas urnas eletrônicas por versões maliciosas antes de uma eleição simulada. Os programas maliciosos podiam efetuar qualquer tarefa para a qual fossem programados, como quebrar o sigilo do voto de eleitores específicos, impedir que votos fossem registrados e fazer propaganda de candidatos na tela de votação. Os testes foram interrompidos enquanto executávamos programas para desviar votos. O resultado foi alcançado precisando apenas de acesso aos cartões de memória que instalam as urnas, considerando que cada cartão instala individualmente 50 equipamentos. Em uma eleição real, o ataque não necessitaria de acesso às urnas eletrônicas no dia da eleição para atingir a escala desejada. Uma das vulnerabilidades exploradas para atingir os resultados já havia sido detectada e publicada em 2012, mas que até hoje não havia sido devidamente mitigada.
As correções e mitigações aplicadas pelo TSE são suficientes para aumentar a resistência do sistema contra fraudadores externos, mas o sistema continua especialmente vulnerável contra um fraudador interno com acesso privilegiado por longos períodos de tempo.
WLS – A eleição deste ano celebra 22 anos de urna eletrônica. Na sua opinião, por que a segurança das urnas começou a ser questionada apenas nos últimos anos no Brasil? Esse processo já tem sido estudado em outros países, mas apenas agora (nos últimos anos) começamos a nos perguntar se é realmente seguro?
Na minha opinião, houve blindagem jurídica e técnica em torno do sistema, de forma que a única informação pública a respeito vinha da propaganda oficial. Apenas em 2012, após 14 anos de operação, foi possível examinar pela primeira vez o código-fonte do sistema sem restrições de um Termo de Sigilo para se começar um debate técnico baseado em evidências em torno do tema. A imprensa também não tem colaborado muito, havendo muitas vezes clara preferência em repetir a propaganda oficial no lugar de apresentar as múltiplas posições técnicas sendo colocadas. Desconstruir essa situação para que seja possível evoluir o debate é um esforço hercúleo e muito frustrante.
WLS – Como você observa a evolução dos testes realizados com as urnas eletrônicas no Brasil? Você tem percebido algum avanço ou preocupação sobre o tema por parte das instituições responsáveis?
Há avanços importantes, especialmente na forma que os técnicos da Justiça Eleitoral encaram nossas observações e no esforço empregado para tentar mitigar vulnerabilidades do ponto de vista técnico e procedimental. Entretanto, ainda há enormes obstáculos para se tratar do tema de forma transparente com as instâncias superiores do Judiciário, que entendem que a defesa incondicional do sistema é a única postura possível, o que polui o debate técnico e a cobertura da imprensa. A polarização recente em torno do tema termina sendo consequência dessa postura, na medida que há desconfiança generalizada nas instituições, e concentrada naquelas que não satisfazem requisitos mínimos de transparência.
WLS – O que poderia ser feito para melhorar a segurança das urnas eletrônicas e tornar o processo eleitoral transparente?
“É fundamental a introdução de um registro físico do voto para permitir aos eleitores verificarem o comportamento correto do sistema durante a votação”.
Penso que é fundamental a introdução de um registro físico do voto para permitir aos eleitores verificarem o comportamento correto do sistema durante a votação, associado a um procedimento rigoroso de custódia dos registros para eventual verificação independente e auditoria. Se implantado corretamente com depósito automático em urna convencional após conferência do eleitor, o voto impresso permite verificar a integridade da contagem eletrônica a partir da contagem dos registros físicos, ainda que por amostragem. Isso aumenta significativamente a dificuldade de uma fraude indetectável ao exigir que intervenções idênticas sejam realizadas nas versões digital e impressa dos votos.
Essa foi a forma que todos os outros países com eleições eletrônicas em escala nacional encontraram para realizar eleições auditáveis, mesmo cientes de que todo sistema computacional possui falhas e vulnerabilidades. Ao invés de especialistas inspecionarem antes das eleições uma fração razoável dos milhões de linhas de código que compõem os programas, o entendimento da comunidade técnica é que faz muito mais sentido auditar o comportamento do sistema durante a votação, que é quando realmente importa.
Publicado originalmente em https://www.welivesecurity.com/br/2018/10/17/diego-aranha-os-testes-de-seguranca-nas-urnas-eletronicas/
