A Vulnerabilidade das Urnas Eletrônicas
Em épocas de eleições 2 perguntas sempre estão presentes: As urnas eleitorais seriam mesmo seguras? Há alguma possibilidade de fraude?
Em épocas de eleições a sociedade se movimenta e os ânimos ficam mais exaltados. Mas independente da preferência de cada cidadão, 2 perguntas sempre estão presentes: As urnas eleitorais seriam mesmo seguras? Há alguma possibilidade de fraude?
Em uma enquete recente nas 3 principais Redes Sociais, a maioria dos participantes demonstrou não confiar nas urnas eletrônicas. São 89% no Facebook, 88% no Twitter e 86% no Youtube.
Para termos as respostas, antes de mais nada é preciso nos remeter ao início das técnicas para comunicação segura.
Tão antigo quanto se querer esconder as comunicações, como a criptografia, estão as tentativas de se querer decifrar, como a criptoanálise.
A criptografia clássica,muito associada hoje à tecnologia, começou há milênios com frases faladas, evoluiu apenas há algumas décadas com métodos usando caneta e papel e auxílios mecânicos simples. Passou pela revolução industrial com meios mais sofisticados para o “embaralhamento” das mensagens e textos, com máquinas mecânicas complexas e eletro-mecânicas, até culminar na era da eletrônica, com esquemas extremamente complexos.
Com a evolução dessas técnicas, e o princípio de “chave pública”, a segurança digital desembarcou em ambientes governamentais, sendo largamente usada em ambientes com códigos de programação, como por exemplo os das urnas eletrônicas de hoje.
E se por um lado fraudes naturais como o voto de eleitores inexistentes foram mitigadas pelas tecnologias de biometria, por outro lado surgiram as vulnerabilidades digitais.
Sim. Existem.
“Nada, absolutamente nada é totalmente seguro” é um lema sagrado em Tecnologia.
No caso das urnas eletrônicas, que hoje são quase 600 mil espalhadas pelo Brasil, é preciso garantir 3 princípios básicos para uma eleição honesta:
· Não violação do software
· Integridade do hardware
· Anonimato dos votos
Então vale uma análise. Vamos lá..
O equipamento
O Brasil foi inovador com o surgimento da urna eletrônica mas parou no tempo. É o único país que usa o modelo DRE (1a. geração) onde a confiabilidade no voto é totalmente depende do software instalado.
A maioria dos países, incluindo Estados Unidos, Argentina, Índia e Rússia usam o modelo VVPAT (2a. geração). O registro digital dos votos (RDV) é acompanhado por um documento de auditoria em papel, conferido pelo eleitor, e disponível para conferência por qualquer auditor externo.
Israel e Estados Unidos, já testam o modelo ESE (3a geração) mais avançado, que gera boleto de voto eletrônico e permite uma auditoria bem melhor.
O software
Antes terceirizado, hoje é feito totalmente pela equipe do TSE. O sistema operacional na urnas é uma vertente de Linux, customizado pelo TSE, com o aplicativo VOTA e alguns aplicativos de apoio.
As urnas não são conectadas à Internet, o que não evita as vulnerabilidades.
Alternativa confiável
A Tecnologia é uma maravilha. Mas é manipulada por seres humanos.
A solução para se garantir um mínimo seria o voto impresso. Que apesar de estar previsto em lei, de fato não foi implementado por falta de recursos, Segundo o TSE. Além de ter sido inviabilizado no STF por 8 votos a 2.
O que sempre deixa no ar… A quem isso interessaria, uma vez que traz a transparência e segurança para a efetivação do voto do cidadão.
De qualquer maneira, esse tipo de controle estará implementado apenas a partir das próximas eleições. E mesmo assim, em apenas 30 mil urnas (5% do total).
Os testes
Nos períodos que antecedem uma eleição, o TSE disponibiliza os códigos das urnas para Testes Públicos de Segurança à grupos formados por técnicos independentes. Para trazer lisura ao processo e ajudar a identificar problemas.
Em todos os testes realizados em 2009, 2012, 2016 e 2017 foram encontradas vulnerabilidades.
O próprio TSE organiza os testes e coordena os grupos que, curiosamente, na sua maioria são compostos por profissionais do próprio TSE.
Curioso também o tempo escasso disponibilizado para análise.
Em 2014 por exemplo, 5hs para se analisar aproximadamente 5 milhões de linhas de código. E com os laudos divulgados pelo TSE apenas em dezembro. No mínimo, um absurdo.
Vulnerabilidades encontradas
Os mecanismos que protegem o software tem falhas de projeto fundamentais.
Desde 2012, mesmo com pouco tempo, em uma eleição simulada, os grupos identificaram vulnerabilidades… graves.
1) Desembaralhamento – Foi recuperada a ordem dos votos. A hora de emissão da zerésima, documento que comprova a urna “vazia” no início da votação, é o bastante para se descobrir como votou cada eleitor.
2) Horários de votos - A urna armazena o horário de votação de cada eleitor. Assim, se comparado com algumas informações adicionais, e possível de descobrir quem votou em qual candidato.
3) Senha de proteção - Os mecanismos de segurança tem falhas fundamentais de projeto. Todas as urnas compartilham o mesmo segredo de proteção do software de votação. Além de estar diretamente inserido no código-fonte do equipamento.
Ou seja, cada urna das quase 600.000 urnas tem uma cópia da única senha claramente expressa em cartões de memória.
E se isso não bastasse, as chaves criptográficas são armazenadas, diretamente no código fonte. Uma prática insegura, que nunca deveria ser adotada. O que permitiu que nos testes de 2017, peritos da Polícia Federal conseguissem obter as chaves quando inicializaram o sistema em uma máquina virtual.
4) Adulteração do comportamento do software - Em simulações, vários especialistas de algumas Universidades Federais conseguiram com êxito adulterar os códigos do software do VOTA (software de votação).
5) Hacking – Há possibilidade de inclusão de códigos maliciosos em 2 bibliotecas compartilhadas, sem assinaturas digitais, usadas como apoio do sistema. A meu ver, a vulnerabilidade mais grave.
As urnas de fato não são auditadas e estudos com reconhecimento internacional comprovaram que em 2014, a probabilidade de fraude nas urnas foi da ordem de 73,14%.
Melhorias para 2018
Hoje, o software mudou e as novas urnas (ainda poucas) apresentam um módulo de segurança em hardware, responsável por gerar números aleatórios para um embaralhamento seguro e espaço para armazenar chaves para encriptar a mídia.
Em resumo, há sim mecanismos de segurança, mas ainda muito simples.
Conclusão
Na realidade, mesmo com as atualizações, se combinadas as inúmeras vulnerabilidades que ainda temos hoje, é totalmente possível se comprometer o sigilo do voto, a integridade do software e as principais propriedades de segurança das urnas eleitorais eletrônicas.
E a injeção de códigos fraudulentos no sistema, se ocorresse, permitiria o controle total sobre a urna.
A luz no fim do túnel
Mesmo com todas essas vulnerabilidades, neste ano está sendo estruturada, de maneira independente, uma operação tecnológica em um laboratório nos Estados Unidos, para checar a validade da apuração, em tempo real, no dia eleição.
Através de um cluster e servidores com alto poder de processamento, capazes de processar e analisar o Banco de Dados do TSE.
Assim, o cruzamento dos dados do TSE com a curva da “Lei de Benford”, apresentarão o índice de confiabilidade do resultado das eleições.
Em paralelo à apuração do TSE, e publicando os resultados já no dia 11 de outubro, 4 dias após as eleições.
Enfim, após tantos anos de desmando, há uma luz no fim do túnel!
A luz da Tecnologia!
Fernando Lemos
Estrategista em Tecnologia Corporativa, Palestrante e colunista de Tecnologia na midia, é o Idealizador do Portal sobre Tecnologia Corporativa FERNANDOLEMOS.info
Contato: contato@kameeleon.com.br
Palestras: www.fernandolemospalestras.com.br
LinkedIN: www.linkedin.com/in/fernandolemostecnologia
Mais sobre o tema
Mais de Fernando Lemos
