16 de fev de 2018

Xadrez do fator urna eletrônica nas próximas eleições

Peça 1 – como fraudar a urna eletrônica

A decisão da Procuradora Geral da República Raquel Dodge de se colocar contra o voto impresso nas próximas eleições merecia ser melhor avaliada por ela.

Segundo Dodge, seria o caminho mais rápido para a volta do voto de cabresto, já que voltaria a identificação do eleitor.

Não é verdade. O voto impresso não é para ser escrutinado, mas para garantir a recontagem nos casos de dúvidas e de indícios de fraude. Bastará o TSE (Tribunal Superior Eleitoral) garantir o sigilo dos votos e eles permitirem a recontagem apenas em casos de dúvida ou por amostragem.

A versão de que o sistema brasileiro é tão seguro que está sendo adquirido, sem alterações por outros países, não procede. Em vários desses países constatou-se a vulnerabilidade do sistema e adotou-se a dupla checagem com os votos impressos.

Periodicamente, há testes para conferir a solidez do sistema contra ameaças externas. Em  dezembro passado, testes apontaram três falhas no sistema, mas o Tribunal Superior Eleitoral (TSE) não viu riscos (clique aqui).

Ora, os testes apenas apontam riscos externos ao sistema. E os riscos internos?

Não há dificuldades maiores em manipular sistemas eleitorais. Bastam duas condições:

1.     A participação dos desenvolvedores do sistema.

2.   O cuidado em montar algoritmos que não afrontem as pesquisas de opinião, distribuindo a manipulação de forma imperceptível, dentro da margem de erro.

Já se tem um caso histórico, da manipulação das eleições e 1982 pela Globo em auxilio ao regime militar. A Proconsult, empresa que desenvolveu os sistemas para apuração paralela das eleições, incluiu um algoritmo – chamado na época de fator X – que desviava votos dos demais partidos para a Arena.

Peça 2 - As vulnerabilidades do sistema

Desde que passou a ser implantado em massa, nas eleições de 2.000, as urnas eletrônicas foram objeto de vários relatórios sobre suas vulnerabilidades.

O mais relevante deles foi o Relatório Brisa (clique aqui), cujos resultados foram mantidos em sigilo por muitos anos. O Relatório concluiu que o principal engenheiro, desenvolvedor do software, não atendia aos parâmetros internacionais de transparência.

A essas mesmas conclusões chegou o Relatório CMIND e o Relatório UNB (clique aqui) que atestou a possibilidade de quebra de sigilo e uma possível adulteração dos votos.

Segundo o Relatório UNB, as principais vulnerabilidades observadas foram as seguintes:

·       Proteção inadequada do sigilo do voto: os votos são armazenados fora de ordem, mas é trivial recuperá-los em ordem a partir unicamente dos produtos públicos de uma eleição e conhecimento superficial do código-fonte, também de acesso público aos partidos políticos;

·       Cifração inadequada: a mesma chave criptográfica é utilizada para cifrar as mídias de todas as urnas eletrônicas. É equivalente a proteger meio milhão de cadeados com uma mesma chave, visto ser este o numero aproximado de equipamentos em operação.

·       Além disso, a chave que decifra todas as mídias é armazenada às claras na porção decifrada das mıdias. Equivale a esconder a chave do cadeado embaixo do tapete e confiar no segredo dessa localização como fonte de segurança;

·       Utilização de algoritmos obsoletos: a função de resumo criptográfico utilizada não mais oferece a segurança esperada para sua aplicação em verificação de integridade. Esta aplicação específica da função escolhida não é mais recomendada há pelo menos 6 anos;

·       Formulação equivocada do modelo de atacante: há ênfase demasiada no projeto de mecanismos resistentes apenas a atacantes externos, quando agentes internos representam risco muito maior;

·       Processo de desenvolvimento defeituoso: práticas inseguras permitem a inserção acidental ou maliciosa de vulnerabilidades de software, claramente atestando que o processo de desenvolvimento adotado pelo TSE é imaturo do ponto de vista de segurança.

Recentemente, pesquisadores indianos e norte-americanos analisaram a segurança das votações eletrônicas. E chegaram à conclusão de que o único controle efetivo é o voto impresso, permitindo recontagens em casos de dúvida (clique aqui).

Seria conveniente a PGR buscar experiências de outros países

Peça 3 – a receita completa para a manipulação

Juntando todas as peças, chega-se ao seguinte quadro:

1.     Sistema suscetível às manipulações internas.

2.     Facilidade em inserir códigos maliciosos.

3.     Falta total de transparência do engenheiro responsável pelo sistema.

4.     Informações de que um jovem hacker, em uma ação planejada pelo CMIN (Comitê Multidisciplinar Independente), formado por especialistas em tecnologia, descobriu, entre 90 mil arquivos do sistema, um software que possibilitava a instalação de programas fraudados, o “Inserator CPT” (clique aqui).

Em 2014, um dos maiores especialistas no tema, o engenheiro Pedro Rezende, escreveu um artigo especial para o GGN (clique aqui).

Segundo ele, o TSE impôs uma blindagem tão pesada ao sistema que “as possíveis provas materiais podem ser blindadas pelo dono do sistema, contando com a virtualização completa do registro individual de votos, e se os meios possíveis para a fraude forem descobertos, eles podem ser rearranjados como se fossem meros erros ingênuos de programação”.

Continua ele:

O problema não é a falta de ferramentas, disponíveis a especialistas em segurança computacional, para detectar contaminações em programas capazes de produzir fraudes automáticas durante o funcionamento da urna ou outros componentes do sistema. Essas ferramentas e especialistas existem, inclusive no CMInd. O problema é a concentração de poderes no dono do sistema, que até hoje impediu, e poderá continuar impedindo, qualquer investigação que seja independente o suficiente para ter ao mesmo tempo eficácia e legalidade.

Peça 4 – Modulo, a avalista do sistema

Toda a segurança do sistema, então, passa a depender do aval técnico da empresa responsável por seu desenvolvimento e de seus engenheiros.

Trata-se da Modulo Security Solutions S/A.

Uma auditoria realizada em janeiro de 2013, assinada pela advogada especialista em processo eletrônico eleitoral, Maria Aparecida Rocha Cortiz, mostrou que a empresa Módulo prestava serviços de informática ao Tribunal Superior Eleitoral desde 1996, quando o sistema eletrônico foi implantado no Brasil, e que por treze anos (de 2000 a 2013) um único contrato foi firmado com infindáveis prorrogações (clique aqui). Os contratos são fechados na modalidade “inexigibilidade de licitação”.

A Módulo foi adquirida por Sérgio Thompson Flores, um aventureiro que enriqueceu nos processos de privatização de Fernando Henrique Cardoso. Sempre foi ligado ao sistema PSDB. Depois, se meteu em inúmeras aventuras pesadas, tentando assumir o controle da Gazeta Mercantil. Finalmente, montou na Bolsa de Londres um fundo para investimentos em bioenergia no Brasil, o Infinity. Era um fundo aventureiro, que fez aquisições sem pé nem cabeça, de usinas sem nenhuma viabilidade econômica. E depois quebrou.

Sérgio reapareceu como controlador da Módulo. Note-se que é a mesma empresa contratada por Eduardo Paes para processar as passagens de ônibus no Rio de Janeiro e calcular o valor dos subsídios devidos pela Prefeitura às empresas. Quando estourou a operação contra a associação os ônibus, seu nome apareceu de relance.

Antes da módulo, uma das empresas que fabricava urnas foi adquirida por Wilson Brummer, ex-presidente da Usiminas e tesoureiro das campanhas de Aécio Neves.

Peça 5 – os coronéis da SEI

Os desenvolvedores de sistemas são antigos técnicos egressos da SEI, a Secretaria Especial de Informática do regime militar e há anos ocupam cargos de assessoria tecnológica no STF e no TSE.

Coincidentemente, os dois tribunais padecem das mesmas suspeitas em relação aos algoritmos que distribuem os processos entre os Ministros.

O TSE tornou-se um tribunal partidário. Ficou nítido no julgamento das contas do PT e de Dilma Roussef nas eleições de 2014. Houve uma pressão pesada do relator Gilmar Mendes sobre os técnicos do TSE, visando criminalizar até classificação de equipamentos.

Na época, o GGN foi o primeiro veículo a chamar a atenção para a terceiro turno das eleições, pelo TSE, e a apontar a impossibilidade estatística dos dois processos – de Dilma e do PT - caírem com Gilmar Mendes (clique aqui), já que, teoricamente, a distribuição se dá através de algoritmos.

A mesma suspeita paira sobre o tal algoritmo do Supremo, responsável pela distribuição de casos pelos Ministros. Não ha calculo probabilístico que explique o fato dos 4 principais caciques do PSDB - Aécio Neves, José Serra, Aloisio Nunes e Cássio Cunha Lima – terem sido distribuídos para Gilmar. Como não há explicações estatísticas para Gilmar ter sido sorteado para todos os eventos decisivos nos processos que culminaram com o impeachment de Dilma.

No início, suspeitamos que havia um especialista analisando as probabilidades de cada Ministro cair com um processo (clique aqui). Ou seja, como o algoritmo levava em conta algumas regras, o especialista estudaria a sequencia de processos e saberia quando cairia com cada Ministro.

Mais tarde, outros indícios apareceram (clique aqui). Técnicos de Brasília aventaram a hipótese de haver uma gambiarra por cima do algoritmo do sorteio, pela qual se poderia colocar diretamente o nome do Ministro a ser sorteado em cada processo.

Tenho para mim que Aécio Neves perdeu as eleições de 2014 por erros finais de cálculo na manipulação. Tanto que foi informado antecipadamente da sua vitoria e ensaiou a comemoração.

Todas essas suspeitas foram levantadas na ocasião. Mas Dilma Roussef e o PT eram tão ingênuos no trato com o poder, que se passasse um leão faminto na sua porta, seriam capazes de convidá-lo para entrar e tomar um cafezinho.

De qualquer modo, se a PGR pretender dar uma contribuição para a democracia, mais eficaz do que impedir a posse em Ministérios de deputados do baixo clero, faria bem em estudar melhor esse tema. Principalmente porque o novo presidente do TSE, Ministro Luiz Fux, tem lado político.

Luís Nassif
No GGN

Nenhum comentário:

Postar um comentário

Comentários com links NÃO serão aceitos.

Os comentários são de total responsabilidade de seus autores e não representam necessariamente a opinião do blog

Comentários anônimos NÃO serão publicados, como também não serão tolerados spams, insultos, discriminação, difamação ou ataques pessoais a quem quer que seja.

É vetada a inserção de comentários que violem a lei, a moral e os bons costumes ou violem direitos de terceiros. O blog poderá retirar, sem prévia notificação, comentários postados que não respeitem os criterios impostos neste aviso ou que estejam fora do tema proposto.