1 de out. de 2016

Sistema eletrônico de votação. Um avanço de fato?

Tecnologia da informação para votação parece evolução, porém há fatos que põe em divida se, afinal, o sistema eletrônico de votação é um avanço de fato.

...Diego conclui que não é um especulação que o sistema de votação usado no país é inseguro. É demonstravelmente inseguro. Esta foi a conclusão dos testes coordenados pelo professor da UNB...

sistema-eletronico-de-votacao-um-avanco
1-Biometria e urna eletrônica

"O sistema eletrônico de votação adotado no Brasil é referência mundial" - é a afirmação encontrada no site do TSE, à respeito da biometria e a urna eletrônica.


Objetivo deste artigo


O objetivo aqui não é tomada de posição à favor ou contra. Apenas colocar os fatos e deixar que eles falem por si mesmos, pois como afirma um provérbio português, "contra fatos não há argumentos".

Os fatos em questão são relacionados à parte de programação envolvida nas urnas, apontados pelo especialista e professor da UNB, Diego Aranha, na Comissão de Ciência e Justiça do Senado Federal em 2013. Coloco abaixo adaptado e resumido o conteúdo da fala do especialista, destacando alguns trechos notoriamente mais alarmantes. O vídeo está disponível no Youtube e poderá ser assistido diretamente aqui, no final deste texto. 


Uma bateria de testes...


Diego Aranha participou como coordenador nos testes de segurança do software de votação em março de 2012, coordenando a equipe que venceu os testes, formada por 27 pessoas, entre nove equipes que participaram, convocadas via chamada pública promovida pelo TSE. 

Os membros da equipe fizeram testes divididos em duas fazes durante 12 dias. Na primeira faze as equipes tinham acesso ao código-fonte do software de votação, podendo solicitar esclarecimentos técnicos do pessoal do TSE. Tais solicitações eram protocoladas e o TSE se reservou o direito de não respondê-las. Foi descrito um mecanismo de segurança que produz o RDV - Registro Digital do Voto de forma embaralhada, ou seja, os votos são armazenados no RDV fora de ordem. Assim não é possível correlacionar a ordem que o eleitor votou, a posição dele, com o seu voto propriamente dito.


O que os testes mostraram...


A equipe coordenada por Diego começou na primeira fase os exames, buscando funções ou construções conhecidamente inseguras. Calcular permutações, como é chamado em computação. A equipe encontrou já nos primeiros 5 minutos uma construção conhecidamente insegura, sabidamente insegura há 17 anos naquele ano (2012), exatamente naquele arquivo que produzia o RDV. A equipe levantou a hipótese de que o RDV não havia sido projetado e implementado de maneira segura, de forma a proteger o sigilo do voto

Num total de 5 horas avaliando o código fonte, além desta primeira descoberta da construção insegura, Diego e sua equipe prosseguiram fazendo testes, buscando outras possibilidades de falhas de seguranças ou vulnerabilidades no código fonte do software de votação, que possivelmente interfeririam em outros fatores de segurança da eleição, como por exemplo a questão da integridade do voto, além do sigilo do mesmo. Diego descreveu àquela primeira vulnerabilidade encontrada como infantil, quando avaliava a questão do sigilo do voto

Em outro dia de testes o time do professor conseguiu reverter o embaralhamento dos votos, constatando a possibilidade de saber que eleitor votou em qual candidato, conferindo com a fila de votação. Isso abriria margem para fazer uma "versão digital" do que era chamado em outra época de "voto de cabresto", onde um indivíduo interessado em fraudar a eleição pressiona os eleitores a votar em determinado candidato, sob pena de sofrer algum tipo de punição. 

Em seguida, continuando os testes, encontrou diversos problemas de projeto, considerados mais preocupantes, e não apenas de implementação. Constatou que vários dos mecanismos de segurança no sistema de votação foram projetados de maneira incorreta, ou por falta de treinamento ou por falta de conhecimento da forma como aquela primitiva de segurança deve ser usada na prática, falta de auditoria externa, entre outros fatores... Enfim, um processo de desenvolvimento que não teve a segurança como prioridade. 

Erros fundamentais de projeto

Ao término dos testes a equipe redigiu um relatório de 40 páginas, disponível na internet neste link. Encontraram erros fundamentais de projeto no software na parte responsável pela integridade dos dados de votação. 

Como exemplo, todas as urnas eletrônicas disponíveis no país, em torno de meio milhão, compartilham a mesma chave de segurança, o que fazendo uma analogia corresponde a meio milhão de pessoas usando a mesma fechadura em suas casas. 

Isso quer que se o conteúdo desta chave segurança vazar uma única vez, o conteúdo de todas as urnas fica exposto, bem como a memória de todos os equipamentos em operação. 

Mais ainda: esta chave de segurança é armazenada às claras no cartão de memória que é chamado de cartão de carga, usado para instalar o programa de votação nas urnas. A parte protegida do cartão é onde está armazenado o programa, de forma a permitir à quem tiver acesso, lendo todo o seu conteúdo, manipular o software de votação para, por exemplo, fazer a contagem de maneira desonesta dos votos dos candidatos, como também produzir um registro digital do voto compatível com tal contagem ilícita. 

Assim, qualquer recontagem posterior irá necessariamente refletir o resultado fraudulento.


Conclusão

Diego concluiu que estes não foram erros de projeto sofisticados, ou seja, incomuns ou erros que exigem conhecimento de especialistas para serem identificados, porém erros primários que o próprio professor ensina no seu curso de graduação. 

O ataque simulado que ele realizou com sua equipe nos testes é usado como bônus nas provas do seu curso, onde 80% dos alunos acertam com absoluta exatidão. Portanto, não foi necessário conhecimento especializado para encontrar as vulnerabilidades nem para realizar os ataques ao software de votação.

Enfim, Diego conclui que não é um especulação que o sistema de votação usado no país é inseguro. É demonstravelmente inseguro. Esta foi a conclusão dos testes coordenados pelo professor da UNB.

Eis os fatos.

Para acrescentar, tem a entrevista seguinte do professor ao programa The Noite em 2014, reafirmando as conclusões do teste feito dois anos atrás e acrescentando algumas informações importantes, como a posição do TSE diante das falhas de segurança:




Deixe seu comentário - dúvidas, sugestões, críticas... e compartilhe...