Professor: urna brasileira abre brecha para voto de cabresto
- Demétrio Rocha Pereira
A equipe do professor Diego Aranha, da Universidade de Brasília (UnB), precisou de 1 hora de análise do código-fonte da urna eletrônica brasileira para identificar uma fragilidade que permitiu a violação do sigilo do voto. Com ataques não-invasivos e não-rastreáveis, o grupo foi capaz de desembaralhar o Registro Digital do Voto (RDV) e reordenar as escolhas dos eleitores durante os Testes Públicos de Segurança do Sistema Eletrônico de Votação, promovidos pelo Tribunal Superior Eleitoral (TSE) em março. Segundo Diego, uma falha conhecida há pelo menos 17 anos abriu a brecha para que fosse derrubado o único mecanismo da urna para proteger o sigilo da votação.
"Essa vulnerabilidade advém de um erro de projeto e implementação no software e reproduz fielmente uma outra vulnerabilidade encontrada em 1995 por calouros de doutorado da Universidade de Berkeley no navegador Netscape. Ou seja, passaram-se 17 anos e os mesmos erros continuam sendo cometidos", afirma Diego.
Para embaralhar os votos, o software recorre a um gerador de números que produz uma sequência aleatória a partir de uma "semente". A fragilidade foi identificada quando a equipe constatou que a semente utilizada pela urna era uma tomada de tempo com precisão de segundos - parâmetro que, além de não ser verdadeiramente aleatório, era tornado público na "zerésima", documento emitido antes da votação para atestar que a urna está "zerada".
A semente exposta deixou a equipe à vontade para - sem sequer tocar na urna nem deixar rastros e com um programa de análise de apenas 133 linhas - recuperar com sucesso absoluto a ordem da votação em testes com 10, 16, 21 e 475 eleitores. O TSE alega que o grupo "não conseguiu quebrar o sigilo do voto, pois não conseguiu relacionar o nome dos eleitores com os votos digitados na urna".
De fato, burlar o RDV (cujo conteúdo é impresso no Boletim de Urna para fins de recontagem dos votos) não é suficiente para consumar a tarefa. Ocorre que, depois dos testes, a equipe achou nos arquivos de LOG da urna, também de acesso público, o horário de cada voto. Para descobrir quem votou em quem, basta confrontar o LOG com os horários em que cada eleitor computou a sua opção, o que abriria caminho para um "voto de cabresto digital", como Diego vem chamando, em alusão ao sistema de coação de eleitores típico do coronelismo.
"Vale ressaltar que a semente deveria ser aleatória e confidencial até para o próprio TSE. O erro encontrado é, portanto, inadmissível, especialmente quando se considera que o equipamento em questão é de missão crítica", diz o professor, que observa que desde 1883 é recomendado a um sistema criptográfico resistir a inimigos que o conheçam em seus mínimos detalhes.
Inimigo forjado em poucos dias (para a análise do código, foram apenas cinco horas), o grupo do professor Diego mereceu do TSE nota 0,0313 em escala de 0 a 400 (o equivalente a 0,0007825 em escala de 0 a 10), ainda que a contribuição do time tenha sido apreciada como "extremamente positiva". "Considero duas hipóteses válidas para a nossa pontuação ínfima: ou a Comissão Avaliadora apontada pelo TSE não entendeu a seriedade das consequências provocadas pela vulnerabilidade encontrada, ou houve uma tentativa deliberada de descaracterizar e minimizar o ocorrido. Na minha opinião, ambas as hipóteses são absolutamente preocupantes", diz Diego.
O TSE responde que "o ataque só foi possível graças à disponibilização do código-fonte de todos os softwares executados pela urna, algo que, em uma eleição normal, não ocorre". Contra essa posição pesa o artigo 66 da Lei 9.504, que garante a técnicos de partidos a conferência dos programas. "Imagine agora quantos fiscais de partido, ex-funcionários, técnicos ou terceirizados tiveram acesso ao trecho de código vulnerável. É justamente por isso que a segurança da urna eletrônica não pode depender unicamente da confidencialidade do código-fonte ou do sigilo dos seus mecanismos de segurança", afirma o professor.
Com tamanho acompanhamento técnico, pode causar surpresa que uma fragilidade com 17 anos de idade não tenha sido apontada antes, mas Diego salienta que um acordo de não-divulgação veta aos fiscais falar sobre os programas. "Dessa forma, os fiscais de partido honestos são impedidos de prestar contas à sociedade sobre a qualidade do que é feito no software, enquanto os fiscais de partido desonestos possuem toda a liberdade para tentar articular fraudes eleitorais sem qualquer risco de vazamento das vulnerabilidades encontradas. Do jeito que está estabelecida, a fiscalização por parte dos partidos é completamente inócua para incremento de segurança. Como a fiscalização por investigadores independentes é extremamente limitada, consistindo em apenas alguns dias e sob monitoração completa do Tribunal, na prática nenhuma fiscalização efetiva é realizada sobre o software do sistema eletrônico de votação. Como a integridade dos resultados depende unicamente da integridade desse software, fica montado um cenário perfeito para fraudes que não deixam vestígios."
Segundo o professor, apenas uma semente verdadeiramente aleatória, que não possa ser recuperada ou determinada mesmo pelos projetistas do sistema, seria capaz de proteger o embaralhamento dos votos - correção que não demandaria alto custo nem grande esforço técnico. O que ele sugere, entretanto, é eliminar de vez o RDV. "Como a estrutura é produzida pelo mesmo software que produz o Boletim de Urna com as contagens parciais, é tão vulnerável quanto o que tenta proteger. A redundância dessa informação também em meio digital não serve a nenhum propósito prático além de permitir a quebra do sigilo do voto, caso seja projetada ou implementada de forma insegura", afirma.
Outras fragilidades indicariam software "imaturo"
Além de desembaralhar os votos, Diego também alega ter encontrado uma série de "práticas não-recomendáveis" que, "na minha opinião", ele diz, "atestam que o processo de desenvolvimento do software da urna eletrônica ainda é bastante imaturo do ponto de vista de segurança".
Entre esses problemas estaria a utilização de apenas uma chave criptográfica para cifrar as mídias de todas as urnas, crítica rechaçada pelo TSE: "Essa chave não é a única barreira de segurança provida pelo sistema. Para exemplificar, é utilizada chave específica para as partições das mídias eletrônicas, outra chave para o sistema operacional. A utilização de criptografia é apenas uma das inúmeras barreiras de segurança. De toda forma, mesmo a afirmação de chave única, se vista isoladamente, não procede. A cada eleição, o TSE gera e cifra uma chave única desse sistema de arquivos que é gravada nas mais de 400 mil urnas eletrônicas. Por critério de segurança, essa mídia é cifrada por uma única chave, com o objetivo de evitar ataques criptoanalíticos baseados em estimadores estatísticos. Portanto, qualquer outro procedimento, como o de utilizar-se de várias chaves para cifrar o mesmo conteúdo com o objetivo de prover sigilo, torna por si só o resultado fragilizado. Por esse motivo, a cada eleição, o TSE gera uma chave que é utilizada para manter sigilo da mídia que é gravada em cada urna."
Segundo o professor da UnB, essa justificativa acaba "contrariando fortemente o bom senso (vazar essa chave uma única vez tem efeito absolutamente devastador) e princípios básicos da área de segurança (que se orienta a minimizar a quantidade de material protegido com a mesma chave para reduzir o impacto de um vazamento)". Diego entende nessa prática um exemplo de que a Justiça Eleitoral tem fechado os olhos para a possibilidade de atacantes internos, conhecedores do sistema. Questionado, o TSE não respondeu sobre as consequências de um eventual vazamento da chave.
Ainda outra fragilidade teria sido a desativação da função que deveria verificar a integridade de parte do software. Com isso, um fraudador poderia alterar trechos do programa e, por exemplo, desviar votos para um candidato sem que o sistema acusasse qualquer irregularidade.
O TSE nega ter sido alertado: "Essa informação não foi registrada em qualquer um dos relatórios apresentados nos Testes Públicos de Segurança. Dessa forma, o TSE não pode emitir opinião por desconhecimento do conteúdo da alegação." O professor diz que o dado ficou de fora do relatório por não ter feito parte dos testes e garante ter se voluntariado, em reunião com o TSE depois do evento, a ministrar palestra elencando todas as fraquezas que viu no programa. "Não houve convite posterior para tal. Informei publicamente o TSE a respeito desse e de outros problemas na ocasião da audiência pública para debate sobre o voto impresso verificável pelo eleitor, realizada na Comissão de Constituição, Justiça e Cidadania (CCJ) do Congresso Nacional."
Em 2008, o ministro Carlos Ayres Britto, que então presidia o TSE e que hoje é presidente do Supremo Tribunal Federal (STF), atribuiu às urnas brasileiras ares de "absolutamente invioláveis". Na audiência de maio na CCJ da Câmara, Diego Aranha apontou que "não existe sistema inviolável. Isso é até uma impossibilidade teórica. Na área de segurança de softwares, o trabalho não é projetar sistemas invioláveis; é projetar sistemas onde o custo do ataque seja demasiadamente alto". E deixou para o TSE o trabalho de dar tamanho ao bolso de quem tem interesse em fraudar eleições.
