por Felipe Payão(*).
O professor Diego Aranha é uma das poucas pessoas independentes, sem relação com o governo, que conseguiram colocar as mãos nas urnas eletrônicas, realizar alguns testes de invasão e buscar vulnerabilidades. Aranha palestrou no evento Mind the Sec, em São Paulo, na quarta-feira passada (13), e o TecMundo conversou com ele por alguns minutos sobre a segurança das urnas eletrônicas no Brasil.
Professor da Universidade Estadual de Campinas (Unicamp), Aranha coordenou em 2012 a primeira equipe de investigadores independentes capaz de detectar e explorar vulnerabilidades no software da urna eletrônica em testes controlados organizados pelo Tribunal Superior Eleitoral. Em 2016, foi convidado para realizar novos testes, mas se negou — os motivos você descobre na entrevista. Agora, em 2017, Aranha colocará novamente as mãos nas urnas, e você saberá o resultado dos testes em novembro aqui no TecMundo.
No Mind the Sec, o papo que o professor levou foi outro, abordando temas como criptografia e segurança computacional. Segundo o próprio evento, a "palestra tratou da evolução das técnicas criptográficas e outras tecnologias de preservação da privacidade sob um ponto de vista histórico, até o desenvolvimento da chamada criptografia fim-a-fim implementada em aplicativos modernos para troca de mensagens". Mais sobre isso, você encontrará no canal oficial do Mind the Sec no YouTube.
Agora, você vai acompanhar a conversa que tivemos com Diego Aranha especificamente sobre as urnas eletrônicas. Acompanhe:
TecMundo: Qual foi o seu envolvimento nos testes das urnas eletrônicas?
Diego Aranha: Eu participei como coordenador da equipe vencedora dos testes do TSE na edição de 2012. Em 2016, atuei apenas como observador externo dos testes; isso porque naquele ano o TSE introduziu um Termo de Confidencialidade que me recusei a assinar. Basicamente, o termo determinava que tudo que aconteceria nos testes por lá teria que ficar (sem divulgação). Havia conflito com as informações obtidas em 2012, que deixaram a situação confusa. E também tem o problema natural que eu sou um funcionário público, que deve prestar contas à sociedade. Meu salário não é pago para que eu guarde segredos do TSE. Muito pelo contrário, é para observar o que está funcionando bem e funcionando mal e relatar para a sociedade qual é a minha interpretação. Então, em 2016 eu só fui observador, fiz parte da comissão de avaliação que tentou garantir que os testes fossem minimamente razoáveis. Agora, em 2017, eu vou participar de novo com um grupo de investigadores.
TecMundo: E desta vez não será confidencial?
Aranha: O Termo de Confidencialidade foi alterado, após muita pressão. Agora, você pode relatar publicamente sobre o que foi observado, como vulnerabilidades e afins, desde que o Tribunal Superior Eleitoral seja comunicado antes. Entendi ser razoável. Ainda existem restrições de escopo, sistemas que investigadores não podem olhar, como a identificação biométrica — que não está disponível para teste apesar de estar em produção.
TecMundo: E quem desenvolve é o próprio pessoal do TSE...
Diego Aranha: Sim, o software hoje é majoritariamente desenvolvido por equipe do TSE. Anteriormente, já foi inteiramente terceirizado, mas hoje é responsabilidade do TSE, que conta com uma equipe própria para desenvolver o sistema e mantê-lo ao longo do tempo.
Diego Aranha: Sim, foi um absurdo. Foi quando o ministro Toffoli foi presidente do TSE (ministro Dias Toffoli, 2014/2016), e o PSDB perdeu as eleições gerais e pediu auditoria. Boa parte da imprensa, na época, encarou como um terceiro turno — o que eu acho uma estupidez. Qualquer sistema, de qualquer ordem, deve ser passível de auditoria, e é totalmente legítimo solicitá-la. O problema é que as pessoas olham mais o aspecto político do que o aspecto técnico. A auditoria precisa ser livre para qualquer partido que seja.
Então, montaram uma equipe para realizar a auditoria — eu fui convidado, mas decidi não participar porque os meus esforços são completamente apartidários, não represento e não me envolvo com partido algum — e contactaram duas pessoas para fazer parte dessa equipe: o Alex Halderman (professor na Universidade de Michigan), que já peregrinou o mundo violando segurança de equipamentos de votação — chegou quase a ser deportado da Índia —, e o Rubira por ser absolutamente competente.
O Rubira trabalha na Intel, fora do Brasil, e tem muita experiência em segurança de software, segurança de aplicações, enfim. O TSE negou a participação dos dois com o argumento de que como um é cidadão estrangeiro e o outro vive em cidade fora do Brasil, isso viola a soberania nacional. Supondo que, sei lá, a Intel tivesse interesse em roubar tecnologia das urnas eletrônicas, como se fossem tão avançadas a ponto da Intel considerar isso estratégico. Resultado, um cidadão brasileiro com domicílio fiscal no país foi impedido de participar com esse argumento.
TecMundo: Voltando um pouco para 2012, quando você de fato colocou a mão no sistema. Quais vulnerabilidades mais graves foram encontradas?
Diego Aranha: Acho que a mais grave observada foi a que nos deu a vitória. Observação: em 2012, os testes eram uma competição entre times também, o que era ineficiente, e até sugerimos que mudasse. Após reunir muita gente dedicada a tornar o sistema mais seguro, não faz muito sentido competir entre si. Voltando: o que exploramos no ambiente de teste foi uma vulnerabilidade no sigilo do voto. Conseguimos, após realizar uma eleição simulada, recuperar os votos em ordem, baseado apenas em informação pública. A hora de emissão da zerésima era a informação que a gente precisava para descobrir como votou o primeiro eleitor, o segundo eleitor, o terceiro eleitor e assim por diante. Sem, no entanto, saber quem eram o primeiro, o segundo e o terceiro eleitores — apesar dessa informação ser fácil de conseguir com a ajuda de um mesário malicioso.
Também descobrimos que a urna armazena o horário de votação de cada um desses eleitores. Então, por exemplo, se você quisesse descobrir o voto de um ministro do Supremo Tribunal Federal, você precisaria do horário de emissão da zerésima da seção eleitoral dele (que é informação pública), de um arquivo que se chama Registro Digital do Voto (que coloca os votos embaralhados e também é informação pública para os partidos) e do horário que ele votou, para descobrir o lugar dele na fila. Recuperando então os votos em ordem, você sabe qual é o voto do ministro.
Observamos que não havia qualquer obstáculo técnico para, por exemplo, descobrir o voto do presidente do TSE nas eleições de 2010. Obviamente, não fizemos isso porque é antidemocrático e contra a lei, mas as condições técnicas estavam todas lá.
Também descobrimos que os mecanismos que protegem o software contra manipulação sofriam de falhas de projeto fundamentais. Todas as urnas compartilham o mesmo segredo para proteger o software de votação e isso está diretamente inserido no código-fonte do equipamento. Então, tem ao menos 500 mil cópias dessa informação às claras em cartões de memória, não dá nem para chamar isso de segredo. Mas não tivemos tempo de realizar um ataque em tempo real sobre essa vulnerabilidade, nos deram apenas três dias. Dois dias ficamos realizando ataques no sigilo do voto e o terceiro para montar o relatório e negociar com o TSE o que entraria no relatório. Então, tiveram vulnerabilidades que descobrimos, não atacamos ou exploramos, mas documentamos.
TecMundo: E depois de tudo isso as urnas passaram por alguma atualização?
Diego Aranha: Sim, o software mudou. Fisicamente é praticamente a mesma urna, mas algumas coisas mudaram. Em 2012, havia dois modelos principais: um que não tinha um módulo de segurança em hardware e outro que tinha esse módulo, mas não era usado para tarefas importantes. Esse módulo gera números aleatórios, exatamente para realizar esse embaralhamento de maneira segura; e também há um espaço para armazenar chaves para encriptar a mídia de maneira segura, mas não era usado assim... com o aparente argumento de que "se nem todas as urnas têm, nenhuma pode usar", o que não faz qualquer sentido em termos de segurança.
Desde então, a fração das urnas com esse módulo em hardware com certeza aumentou. As urnas antigas vão saindo de operação e as novas já têm esse recurso. É claro que, entendo e acredito, que o TSE integrou alguns desses mecanismos, que já estavam lá e já haviam sido comprados, nas versões mais novas do software. Eu não tenho evidências disso, mas seria algo natural — foi até o que recomendamos no relatório. Todos esses equipamentos são custeados por impostos, é o mínimo que podem fazer.
TecMundo: Os hackers estão cada vez mais jovens e o hacker brasileiro tem um certo costume de invadir sites por diversão, mesmo que falte um conhecimento técnico alto como atacante. Chegando para as urnas, é fácil se tornar um atacante desse sistema em específico?
Diego Aranha: O que observamos é o seguinte: os mecanismos de segurança que estavam no sistema não ofereciam custo proibitivo para algum atacante minimamente sofisticado. Um atacante de eleições é um atacante muito bem equipado, politicamente e financeiramente, tanto que possuem milhões para comprar votos.
Evidentemente eu também não sei se os atacantes de eleições brasileiras, como os políticos da velha guarda, possuem interesse real em fraudes tecnológicas. Eles têm vencido eleições do jeito antigo desde que o Brasil é Brasil. Não temos como especular. Mas, ao mesmo tempo, eu acho que não deveríamos estar nessa posição, até porque do ponto de vista custo-benefício, é um ponto tentador de ataque. Se você compromete alguém, por exemplo, que esteja dentro do TSE para escrever software que vai roubar votos para alguém, isso tem (em tese) custo muito mais barato do que comprar 100 mil votos em uma cidade. É um ponto tentador de ataque, que concentra risco. Eu não sei se os partidos e os políticos já perceberam ou se preocupam com isso, até porque eles encontram outras formas de ganhar eleições. Mas o que é evidente é o seguinte: infelizmente, temos uma comunidade muito profícua em produção de software malicioso e fraude financeira. As condições técnicas, caso sejam transportadas para as eleições, estão lá — ou estavam lá em 2012.
TecMundo: Ocorrem outros tipos de fraude?
Diego Aranha: Nós temos outros tipos de fraude menos tecnológicas nas eleições brasileiras, mas se fala pouco a respeito. A fraude do mesário, em que ele vota no lugar de pessoas que não foram votar. Então, quando a pessoa justifica a falta, percebe-se posteriormente que já votaram no lugar dela. Esse tipo de coisa acontece. Isso porque os mesários também concentram risco nas eleições, eles têm acesso privilegiado ao equipamento.
TecMundo: Mas como isso acontece, especificamente?
Diego Aranha: O mesário opera o equipamento e um eleitor que justificou o voto, por estar em outra cidade, observa posteriormente que o voto foi computado para o título de eleitor dele. O Tribunal Superior Eleitoral fez um cruzamento recentemente e acharam um volume, se não me engano, de dezenas de milhares de votos justificados, mas que receberam votos, que foram contabilizados. O TSE se manifestou de maneira inconclusiva, como se fosse uma questão dúbia. É evidente que foi uma fraude de mesários votando por pessoas que não foram votar.
Então, temos fraude eleitoral no Brasil. Temos compra de votos, temos fraude de mesário, temos modalidades menos tecnológicas de fraude eleitoral que ainda não são devidamente discutidas. Há uma preocupação excessiva com a urna, até porque o equipamento representa maior risco, mas existe fraude eleitoral no Brasil.
E quando a gente fala de dezenas de milhares de votos, estamos falando de algo decisivo em eleições de menor porte. Basta olhar para as recentes e diferentes eleições, como os resultados estão cada vez mais divididos e ao mesmo tempo apertados, como a eleição presidencial passada. Isso pode interferir nos resultados de uma eleição.
TecMundo: Fraudes menores passam despercebidas, certo? E com as eleições cada vez mais apertadas, isso pode fazer uma grande diferença...
Diego Aranha: As pessoas quando pensam em fraude, pensam em um cenário fictício e espetaculoso para uma fraude eleitoral. Mas, na verdade não é isso, às vezes são 500 votos que separam o primeiro do segundo turno. Aí tem um escândalo de corrupção prestes a estourar que vai fazer o candidato perder a eleição no segundo turno. Se ele consegue resolver ainda no primeiro, a vantagem é enorme. Então, sim, pode ser uma fração bem pequena de votos que decide os resultados.
Você apontou muito bem: a eleição presidencial passada e as nossas eleições daqui para frente serão muito polarizadas. A sociedade está se polarizando cada vez mais e fica cada vez mais complicado resolver disputas em resultados eleitorais, por isso transparência é tão importante.
As nossas eleições sempre vão ser muito disputadas. Se não tivermos um sistema minimamente auditável e transparente, isso só dificulta e atrapalha as coisas.
TecMundo: E o que poderia ser feito para aumentar a segurança das urnas e também tornar o processo eleitoral transparente?
Diego Aranha: No Brasil, utilizamos um sistema de votação com registro puramente eletrônico dos votos. Uma consequência direta desse fato é que tanto o sigilo do voto quanto a compatibilidade entre os resultados da eleição e a intenção do eleitorado dependem diretamente da qualidade do software de votação e de sua resistência contra manipulação por agentes internos e externos. Dessa forma, o aprimoramento do sistema passa não apenas pelo incremento de segurança do software de votação e de seus processos de auditoria, mas também da implantação de mecanismos que permitam ao eleitor verificar se o sistema registra sua intenção corretamente. Isso deve acontecer a partir de 2018, quando o TSE começará a implantar o voto impresso em 6% das urnas eletrônicos. É importante acompanhar esse processo para ver qual será o impacto no sistema.
Também descobrimos que os mecanismos que protegem o software contra manipulação sofriam de falhas de projeto fundamentais. Todas as urnas compartilham o mesmo segredo para proteger o software de votação e isso está diretamente inserido no código-fonte do equipamento. Então, tem ao menos 500 mil cópias dessa informação às claras em cartões de memória, não dá nem para chamar isso de segredo. Mas não tivemos tempo de realizar um ataque em tempo real sobre essa vulnerabilidade, nos deram apenas três dias. Dois dias ficamos realizando ataques no sigilo do voto e o terceiro para montar o relatório e negociar com o TSE o que entraria no relatório. Então, tiveram vulnerabilidades que descobrimos, não atacamos ou exploramos, mas documentamos.
TecMundo: E depois de tudo isso as urnas passaram por alguma atualização?
Diego Aranha: Sim, o software mudou. Fisicamente é praticamente a mesma urna, mas algumas coisas mudaram. Em 2012, havia dois modelos principais: um que não tinha um módulo de segurança em hardware e outro que tinha esse módulo, mas não era usado para tarefas importantes. Esse módulo gera números aleatórios, exatamente para realizar esse embaralhamento de maneira segura; e também há um espaço para armazenar chaves para encriptar a mídia de maneira segura, mas não era usado assim... com o aparente argumento de que "se nem todas as urnas têm, nenhuma pode usar", o que não faz qualquer sentido em termos de segurança.
Desde então, a fração das urnas com esse módulo em hardware com certeza aumentou. As urnas antigas vão saindo de operação e as novas já têm esse recurso. É claro que, entendo e acredito, que o TSE integrou alguns desses mecanismos, que já estavam lá e já haviam sido comprados, nas versões mais novas do software. Eu não tenho evidências disso, mas seria algo natural — foi até o que recomendamos no relatório. Todos esses equipamentos são custeados por impostos, é o mínimo que podem fazer.
TecMundo: Os hackers estão cada vez mais jovens e o hacker brasileiro tem um certo costume de invadir sites por diversão, mesmo que falte um conhecimento técnico alto como atacante. Chegando para as urnas, é fácil se tornar um atacante desse sistema em específico?
Diego Aranha: O que observamos é o seguinte: os mecanismos de segurança que estavam no sistema não ofereciam custo proibitivo para algum atacante minimamente sofisticado. Um atacante de eleições é um atacante muito bem equipado, politicamente e financeiramente, tanto que possuem milhões para comprar votos.
Evidentemente eu também não sei se os atacantes de eleições brasileiras, como os políticos da velha guarda, possuem interesse real em fraudes tecnológicas. Eles têm vencido eleições do jeito antigo desde que o Brasil é Brasil. Não temos como especular. Mas, ao mesmo tempo, eu acho que não deveríamos estar nessa posição, até porque do ponto de vista custo-benefício, é um ponto tentador de ataque. Se você compromete alguém, por exemplo, que esteja dentro do TSE para escrever software que vai roubar votos para alguém, isso tem (em tese) custo muito mais barato do que comprar 100 mil votos em uma cidade. É um ponto tentador de ataque, que concentra risco. Eu não sei se os partidos e os políticos já perceberam ou se preocupam com isso, até porque eles encontram outras formas de ganhar eleições. Mas o que é evidente é o seguinte: infelizmente, temos uma comunidade muito profícua em produção de software malicioso e fraude financeira. As condições técnicas, caso sejam transportadas para as eleições, estão lá — ou estavam lá em 2012.
TecMundo: Ocorrem outros tipos de fraude?
Diego Aranha: Nós temos outros tipos de fraude menos tecnológicas nas eleições brasileiras, mas se fala pouco a respeito. A fraude do mesário, em que ele vota no lugar de pessoas que não foram votar. Então, quando a pessoa justifica a falta, percebe-se posteriormente que já votaram no lugar dela. Esse tipo de coisa acontece. Isso porque os mesários também concentram risco nas eleições, eles têm acesso privilegiado ao equipamento.
TecMundo: Mas como isso acontece, especificamente?
Diego Aranha: O mesário opera o equipamento e um eleitor que justificou o voto, por estar em outra cidade, observa posteriormente que o voto foi computado para o título de eleitor dele. O Tribunal Superior Eleitoral fez um cruzamento recentemente e acharam um volume, se não me engano, de dezenas de milhares de votos justificados, mas que receberam votos, que foram contabilizados. O TSE se manifestou de maneira inconclusiva, como se fosse uma questão dúbia. É evidente que foi uma fraude de mesários votando por pessoas que não foram votar.
Então, temos fraude eleitoral no Brasil. Temos compra de votos, temos fraude de mesário, temos modalidades menos tecnológicas de fraude eleitoral que ainda não são devidamente discutidas. Há uma preocupação excessiva com a urna, até porque o equipamento representa maior risco, mas existe fraude eleitoral no Brasil.
E quando a gente fala de dezenas de milhares de votos, estamos falando de algo decisivo em eleições de menor porte. Basta olhar para as recentes e diferentes eleições, como os resultados estão cada vez mais divididos e ao mesmo tempo apertados, como a eleição presidencial passada. Isso pode interferir nos resultados de uma eleição.
TecMundo: Fraudes menores passam despercebidas, certo? E com as eleições cada vez mais apertadas, isso pode fazer uma grande diferença...
Diego Aranha: As pessoas quando pensam em fraude, pensam em um cenário fictício e espetaculoso para uma fraude eleitoral. Mas, na verdade não é isso, às vezes são 500 votos que separam o primeiro do segundo turno. Aí tem um escândalo de corrupção prestes a estourar que vai fazer o candidato perder a eleição no segundo turno. Se ele consegue resolver ainda no primeiro, a vantagem é enorme. Então, sim, pode ser uma fração bem pequena de votos que decide os resultados.
Você apontou muito bem: a eleição presidencial passada e as nossas eleições daqui para frente serão muito polarizadas. A sociedade está se polarizando cada vez mais e fica cada vez mais complicado resolver disputas em resultados eleitorais, por isso transparência é tão importante.
As nossas eleições sempre vão ser muito disputadas. Se não tivermos um sistema minimamente auditável e transparente, isso só dificulta e atrapalha as coisas.
TecMundo: E o que poderia ser feito para aumentar a segurança das urnas e também tornar o processo eleitoral transparente?
Diego Aranha: No Brasil, utilizamos um sistema de votação com registro puramente eletrônico dos votos. Uma consequência direta desse fato é que tanto o sigilo do voto quanto a compatibilidade entre os resultados da eleição e a intenção do eleitorado dependem diretamente da qualidade do software de votação e de sua resistência contra manipulação por agentes internos e externos. Dessa forma, o aprimoramento do sistema passa não apenas pelo incremento de segurança do software de votação e de seus processos de auditoria, mas também da implantação de mecanismos que permitam ao eleitor verificar se o sistema registra sua intenção corretamente. Isso deve acontecer a partir de 2018, quando o TSE começará a implantar o voto impresso em 6% das urnas eletrônicos. É importante acompanhar esse processo para ver qual será o impacto no sistema.
(*) Felipe Payão @felipepayao - Cybercrime reporter. Repórter em @Tec_Mundo
Fonte: TecMundo
Veja também:
(In)segurança do voto eletrônico no Brasil / Vulnerabilidades no software da urna eletrônica brasileira (Relatório do professor Diego Aranha)
Nenhum comentário:
Postar um comentário