A Vulnerabilidade Tecnológica das Urnas Eleitorais

Em épocas de eleições a sociedade se movimenta e os ânimos ficam mais
exaltados. Mas independente da preferência de cada cidadão, 2 perguntas
sempre estão presentes: As urnas eleitorais seriam mesmo seguras? Há
alguma possibilidade de fraude?

Em uma enquete recente nas 3 principais Redes Sociais, a maioria dos
participantes demonstrou não confiar nas urnas eletrônicas. São 89% no
Facebook, 88% no Twitter e 86% no Youtube.

Para termos as respostas, antes de mais nada é preciso nos remeter ao início das técnicas para comunicação segura.

Tão antigo quanto se querer esconder as comunicações, como a criptografia, estão as tentativas de se querer decifrar, como a criptoanálise.

A criptografia clássica, muito associada hoje à tecnologia, começou há
milênios com frases faladas, evoluiu apenas há algumas décadas com
métodos usando caneta e papel e auxílios mecânicos simples. Passou pela
revolução industrial com meios mais sofisticados para o “embaralhamento”
das mensagens e textos, com máquinas mecânicas complexas e eletromecânicas, até culminar na era da eletrônica, com esquemas extremamente complexos.

Com a evolução dessas técnicas, e o princípio de “chave pública”, a
segurança digital desembarcou em ambientes governamentais, sendo
largamente usada em ambientes com códigos de programação, como por
exemplo os das urnas eletrônicas de hoje.

E se por um lado fraudes naturais como o voto de eleitores inexistentes
foram mitigadas pelas tecnologias de biometria, por outro lado surgiram as
vulnerabilidades digitais.

Sim. Existem.

“Nada, absolutamente nada é totalmente seguro” é um lema sagrado em
Tecnologia.

No caso das urnas eletrônicas, que hoje são quase 600 mil espalhadas pelo
Brasil, é preciso garantir 3 princípios básicos para uma eleição honesta:

  • Não violação do software;
  • Integridade do hardware;
  • Anonimato dos votos.

Então vale uma análise. Vamos lá:

O equipamento

O Brasil foi inovador com o surgimento da urna eletrônica mas parou no
tempo. É o único país que usa o modelo DRE (1a. geração) onde a
confiabilidade no voto é totalmente depende do software instalado.

A maioria dos países, incluindo Estados Unidos, Argentina, Índia e Rússia
usam o modelo VVPAT (2a. geração). O registro digital dos votos (RDV) é
acompanhado por um documento de auditoria em papel, conferido pelo
eleitor, e disponível para conferência por qualquer auditor externo.

Israel e Estados Unidos, já testam o modelo ESE (3a geração) mais avançado, que gera boleto de voto eletrônico e permite uma auditoria bem melhor.

O software

Antes terceirizado, hoje é feito totalmente pela equipe do TSE. O sistema
operacional na urnas é uma vertente de Linux, customizado pelo TSE, com o aplicativo VOTA e alguns aplicativos de apoio.

As urnas não são conectadas à Internet, o que não evita as vulnerabilidades.

Alternativa confiável

A Tecnologia é uma maravilha. Mas é manipulada por seres humanos.

A solução para se garantir um mínimo seria o voto impresso. Que apesar de estar previsto em lei, de fato não foi implementado por falta de recursos, segundo o TSE. Além de ter sido inviabilizado no STF por 8 votos a 2.

O que sempre deixa no ar… A quem isso interessaria, uma vez que traz a
transparência e segurança para a efetivação do voto do cidadão?

De qualquer maneira, esse tipo de controle estará implementado apenas a
partir das próximas eleições. E mesmo assim, em apenas 30 mil urnas (5%
do total).

Os testes

Nos períodos que antecedem uma eleição, o TSE disponibiliza os códigos das urnas para Testes Públicos de Segurança à grupos formados por técnicos independentes. Para trazer lisura ao processo e ajudar a identificar
problemas.

Em todos os testes realizados em 2009, 2012, 2016 e 2017 foram
encontradas vulnerabilidades.

O próprio TSE organiza os testes e coordena os grupos que, curiosamente,
na sua maioria são compostos por profissionais do próprio TSE.

Curioso também o tempo escasso disponibilizado para análise.

Em 2014 por exemplo, 5hs para se analisar aproximadamente 5 milhões de
linhas de código. E com os laudos divulgados pelo TSE apenas em dezembro. No mínimo, um absurdo.

Vulnerabilidades encontradas

Os mecanismos que protegem o software tem falhas de projeto
fundamentais.

Desde 2012, mesmo com pouco tempo, em uma eleição simulada, os grupos
identificaram vulnerabilidades… graves:

  1.  Desembaralhamento – Foi recuperada a ordem dos votos. A hora de emissão era zerésima, documento que comprova a urna “vazia” no ínício da votação, é o bastante para se descobrir como votou cada eleitor.
  2. Horário de votos – a urna armazena o horário de votação de cada eleitor. Assim, se comparado com algumas informações adicionais, é possível descobrir quem votou em qual candidato.
  3. Senha de proteção – Os mecanismos de segurança tem falhas fundamentais de projeto. Todas as urnas compartilham o mesmo segredo de proteção do software de votação. Além de estar diretamente inserido no código-fonte do equipamento. Ou seja, cada urna das quase 600.000 urnas tem uma cópia da única senha
    claramente expressa em cartões de memória.  E se isso não bastasse, as chaves criptográficas são armazenadas, diretamente no código fonte. Uma prática insegura, que nunca deveria ser adotada. O que permitiu que nos testes de 2017, peritos da Polícia Federal conseguissem obter as chaves quando inicializaram o sistema em uma
    máquina virtual.
  4. Adulteração do comportamento do software – Em simulações, vários especialistas de algumas Universidades Federais conseguiram, com êxito, adulterar os códigos do software do VOTA (software de votação).
  5. Hacking – Há possibilidade de inclusão de códigos maliciosos em 2 bibliotecas compartilhadas, sem assinaturas digitais, usadas como apoio do sistema. A meu ver, a vulnerabilidade mais grave.

As urnas de fato não são auditadas e estudos com reconhecimento
internacional comprovaram que em 2014, a probabilidade de fraude nas
urnas foi da ordem de 73,14%.

Melhorias para 2018

Hoje, o software mudou e as novas urnas (ainda poucas) apresentam um
módulo de segurança em hardware, responsável por gerar números
aleatórios para um embaralhamento seguro e espaço para armazenar
chaves para encriptar a mídia.

Em resumo, há sim mecanismos de segurança, mas ainda muito simples.

Conclusão

Na realidade, mesmo com as atualizações, se combinadas as inúmeras
vulnerabilidades que ainda temos hoje, é totalmente possível se
comprometer o sigilo do voto, a integridade do software e as principais
propriedades de segurança das urnas eleitorais eletrônicas.

E a injeção de códigos fraudulentos no sistema, se ocorresse, permitiria o
controle total sobre a urna.

A luz no fim do túnel

Mesmo com todas essas vulnerabilidades, neste ano está sendo estruturada,
de maneira independente, uma operação tecnológica em um laboratório nos Estados Unidos, para checar a validade da apuração, em tempo real, no dia eleição.

Através de um cluster e servidores com alto poder de processamento,
capazes de processar e analisar o Banco de Dados do TSE.

Assim, o cruzamento dos dados do TSE com a curva da “Lei de Benford”,
apresentarão o índice de confiabilidade do resultado das eleições.
Em paralelo à apuração do TSE, e publicando os resultados já no dia 11 de
outubro, 4 dias após as eleições.


Enfim, após tantos anos de desmando, há uma luz no fim do túnel!

A luz da Tecnologia!

Fernando Lemos*

*Estrategista em Tecnologia e Inovação. 

Fonte para CollBusiness News em 06.10.2018

Divulgação do Projeto Tecnologia para Todos, de Fernando Lemos
2018-10-08T15:14:28+00:0006/10/2018|Mundo Digital|Nenhum Comentário
Translate »