Sistema eleitoral brasileiro não é seguro e pode ser fraudado. Saiba como
Consultor em criptografia e segurança em informática relata que urnas eletrônicas usadas no Brasil são ultrapassadas e possuem várias aberturas para adulteração das eleições. Porém, apresenta soluções
Marcos Nunes Carreiro
O sistema eleitoral brasileiro é o mais moderno do mundo, pois pertence ao país que criou a urna eletrônica, que garante mais segurança e agilidade à votação.
Quem nunca ouviu essas sentenças? Os mais novos, que começaram a votar já no fim dos anos 2000, com certeza cresceram ouvindo tais afirmações. Bom seria se elas fossem, de fato, inquestionáveis. Não são. E com todas as dúvidas levantadas nos últimos meses em relação às eleições, o Jornal Opção procurou ouvir um dos especialistas que debatem a segurança do sistema eleitoral há mais de uma década.
O currículo de Pedro Antônio Dourado Rezende é grande: PhD em Matemática Aplicada pela Universidade da California, em Berkeley (EUA), trabalhou com controle de qualidade na Apple Computer e com as primeiras aplicações em hipertexto, no Vale do Silício, Califórnia (EUA), em 1988. É consultor em criptografia e segurança em informática e coordena o Programa de Extensão em Criptografia e Segurança Computacional da Universidade de Brasília (UnB), onde montou e ministra o primeiro curso de programação para Infraestrutura de Chaves Públicas (ICP) no Brasil.
Além disso, é conselheiro do Instituto Brasileiro de Política e Direito na Informática, ex-conselheiro da Free Software Foundation Latin America (2006-2008) e ex-representante da sociedade civil no Comitê Gestor da Infraestrutura de Chaves Públicas Brasileira. A ele, a reportagem perguntou: afinal, é possível fraudar as eleições no Brasil? E a resposta, como se verá nas próximas três páginas, é sim.
Pedro Rezende recebeu a reportagem em sua tranquila e aconchegante casa no Lago Norte, em Brasília, na semana passada. Por horas, o professor explicou como funcionam os mecanismos do sistema eleitoral brasileiro, apontando as suas falhas e demonstrando tecnicamente as formas de burlá-lo.
E a análise começa com a resposta à pergunta “as urnas eletrônicas são realmente seguras?”: “‘Seguro’ é um adjetivo associado ao verbo ‘proteger’, que é bitransitivo. Ou seja, a sequência só não fica ambígua quando colocados os dois complementos do verbo: proteger quem, do quê. Para o dono da urna, ela é segura, pois ninguém consegue provar o contrário, uma vez que ninguém tem acesso a ela. Logo, a palavra de quem gere a máquina é única”. E quem é “dono” da urna? “O Tribunal Superior Eleitoral” (TSE).
Uma primeira dúvida
Pedro Rezende aponta que, em 2012, um ex-aluno seu — o também professor Diego Aranha — participou dos testes públicos de segurança da urna e encontrou vulnerabilidades que lhe permitiram reconstruir a sequência e o horário de cada voto a partir do resultado oficial produzido ao final da votação. Também em 2014, outro ex-aluno seu foi credenciado pelo Partido Democrático Trabalhista (PDT) para examinar os programas do sistema, conforme permitido antes de eleições. O que ele encontrou no software de segurança para a preparação das urnas foi um programa que é “indistinguível de uma porta de fundo, isto é, que pode permitir a entrada de programas de origem desconhecida”, o que pode contaminar o sistema da urna e, assim, desviar ou alterar votos.
De acordo com o professor, esse programa, chamado Inserator, permite a introdução manual de chaves de verificação de assinatura digital, “o que faz com o programa que gera as mídias de carga receba, como se fosse do TSE, um programa de origem desconhecida com a assinatura que está entrando por baixo dos panos”. Mídia ou flash de carga é uma espécie de cartão de memória, gerado na segunda das seis fases do processo eleitoral, pelos Tribunais Regionais Eleitorais (TREs).
Cada mídia ou flash de carga insemina em torno de cem urnas, que recebem os votos de cem seções eleitorais. “Temos cerca de 400 eleitores em cada sessão eleitoral, logo cada mídia de carga consegue controlar as urnas que vão receber cerca de 40 mil votos. Com um flash de carga adulterado uma pessoa pode desviar, por exemplo, 5%, 10% ou 15% dos votos de cem seções eleitorais”, ou seja, 2 mil votos ou mais.
“Para a porta de fundo permitir a entrada de software desonesto, basta saber como o código funciona. Por isso, o TSE não quer divulgar publicamente o código e exige termo de sigilo de quem vai fiscalizá-lo. A questão é: se entrar um software honesto na urna, a eleição será honesta; se entrar software desonesto, a eleição será fraudada. Como saber qual o tipo de software? Não há como”, relata o matemático.
Outras possibilidades
O processo eleitoral brasileiro é feito de seis etapas (veja gráfico na página ao lado), dos quais apenas dois envolvem a votação propriamente dita. O primeiro é a de desenvolvimento, responsabilidade da Secretaria de Tecnologia da Informação (STI) do TSE, e diz respeito à criação dos softwares usados na votação, na apuração e na contabilização dos votos.
Os partidos têm permissão para acompanhar o desenvolvimento dos programas, que acontece aproximadamente seis meses antes de começar a segunda etapa. Contudo, de acordo com o professor, é difícil acompanhar esse trabalho porque muitos dos 80 mil programas são criados por empresas terceirizadas. “Por exemplo, todo o sistema que controla a fase dois, o SIS, que não deveria deixar entrar softwares não criados para a votação, não é desenvolvido pelo TSE”, conta ele.
SIS é a sigla para Subsistema de Instalação e Segurança, local onde foi encontrado o Inserator. Pedro Rezende conta que esse sistema é desenvolvido por uma empresa chamada Módulo, “que é controlada por um ex-funcionário da Kroll [Sérgio Schiller Thompson-Flores], empresa de inteligência e espionagem, que atuou na época da privatização para o Brasil, espionando para Daniel Dantas”. Outras empresas também prestam esse serviço para o TSE. Todos os programas são apresentados 180 dias antes das eleições, ao final dos quais ocorre a cerimônia pública de compilação, assinatura e lacração das urnas.
A segunda fase é a de preparação das mídias, de responsabilidade dos TREs, e engloba a instalação dos programas nos equipamentos utilizados em todas as etapas da votação. Esse nível do sistema gera as mídias: de carga, que insemina as urnas; de votação; de resultados; e de Ajuste de Data e Hora, (ADH) que permite a votação apenas no dia previsto para que ela ocorra.
Essa última mídia permite o já conhecido ataque de urna clonada. “Quem tiver acesso ao flash ADH e a uma urna, pode rodar a data e hora e dizer a ela que já é o dia da eleição e, com o flash de resultado, gerar um boletim de urna com 400 votos para aquela sessão eleitoral”, explica o professor.
Como impedir esse tipo de ataque? Controlando quantos pendrives/cartões de memória são preparados e oficializados para cada eleição e registrando-os em ata, além de permitir aos fiscais acompanhar todos eles. “É preciso ter os de reserva, mas esses devem ser contabilizados antes e depois das eleições”, conta Pedro Rezende.
E isso é feito? Segundo o matemático, o TSE se recusa a registrar quantas mídias de resultados são gerados na fase dois. “Isso gera um risco sistêmico, o que permite a clonagem dos boletins de urna para as seções eleitorais. Em eleições municipais isso pode virar uma indústria”, argumenta.
A terceira fase é a de inseminação das urnas, que acontece nos TREs e nos cartórios eleitorais. As quarta e quinta fases remetem à votação em si: quarta, votação e apuração; quinta, totalização. A sexta é a divulgação do resultado.
Fonte: Jornal Opção
Nenhum comentário:
Postar um comentário