Cryptorave 2014: Biometria e os riscos da urna eletrônica

Em abril de 2014, aconteceu a Cryptorave 2014. Uma de suas apresentações foi “Biometria e os riscos da urna eletrônica”, que pode ser assistida no YouTube. Para comodidade dos interessados, trago aqui um resumo do que é apresentado. Assim, os 73 minutos são comprimidos em apenas 9 (>87% de compressão)!

Palestrante: Diego Aranha.

A urna até agora

Na Alemanha, há uma determinação de que o sistema empregado para votação deve ser compreensível por pessoas sem treinamento técnico. Isso é importante, pois aí cada eleitor pode ser um fiscal do sistema, garantindo que ele funciona adequadamente. No Brasil, só quem tem conhecimento técnico na área vai conseguir compreender… Mas para piorar, só compreende de verdade alguém que trabalhe no TSE, pois professores universitários e especialistas de indústrias não têm acesso ao sistema para averiguarem como ele funciona, por exemplo, vendo o código-fonte. Apesar de que algumas organizações têm acesso para averiguar a programação, a urna usa 13 mihões de linhas de código, e por isso é inviável garantir que o programa inteiro funciona de forma adequada. Para comparação, nos EUA, um sistema de 60 mil linhas foi declarado impossível de ser inspecionado devidamente por conta de seu tamanho… Aqui são 13 MILHÕES! E de nada adianta, pois as pessoas têm que assinar um termo de não-divulgação, então não poderiam denunciar falhas no sistema se o TSE não permitir.

Em 2012, Diego conseguiu participar de um dos “testes públicos de segurança” organizados pelo TSE, uma rara oportunidade, e a equipe dele foi vencedora ao encontrar uma falha grave no sistema de proteção da privacidade dos eleitores, onde puderam, numa eleição de teste dentro do TSE, descobrir sem nenhuma margem de erro qual eleitor (1º, 2º, 3º…) votou em quais candidatos, entre os 470 eleitores. Era uma falha básica conhecida há 17 anos dentro do meio de segurança, que é ensinada em universidades a não ser feita, e cai em prova. Novidade nenhuma.

A arquitetura do sistema tinha também várias outras falhas, por exemplo, todas as urnas do país usarem a mesma chave criptográfica, que existe para impedir adulterações nos resultados. É como se todas as portas de uma cidade tivessem a mesma chave. E pior: a chave fica debaixo do tapete! A chave criptográfica fica armazenada junto do conteúdo a ser criptografado… “Segurança por obscuridade”. Os partidos não se importam muito com isso, e nem a imprensa, esta que reproduz somente a propaganda oficial do TSE.

Ou seja, o TSE faz o sistema, não deixa (quase) ninguém mexer nele, e fala que é seguro. A possibilidade de fraudar já foi confirmada, mas ninguém fica sabendo… Há cerca de 15 países com sistemas eletrônicos de votação, e Diego considera o do Brasil o PIOR deles. O resultado é rápido sim, mas o que importa é ser confiável, não rápido. Se der para ser rápido também, ótimo, mas é preciso sobretudo ser confiável.

Até mesmo na Venezuela, há um mecanismo mais confiável: o voto dado é impresso e depositado em uma urna convencional, que é contada também para confirmar que há coincidência no total. Na Argentina, interessantemente, a cédula de voto é tanto de papel quanto com chip, permitindo que os eleitores confirmem também que há coincidência. Enquanto isto, no Brasil, têm-se que confiar em 3 ou 4 fiscais de partidos.

A semana de testes que Diego teve é insuficiente para garantir que o código todo funciona corretamente, e mesmo que funcionasse, nada garantiria que os fiscais de partido cobrariam mudanças no código na semana seguinte, quando não houvesse mais auditoria independente do código-fonte… Não há transparência! E nas Eleições 2014, não haverão testes “públicos” de segurança. Depois das eleições, vai ser formada uma equipe de segurança para traçar os objetivos e métodos de segurança para a urna… E não havia até agora?? Como era possível então ter votação em urna eletrônica?

Biometria

Porquê biometria nas eleições? O TSE alega que é para evitar que uma pessoa vote no lugar da outra, mas qual é realmente a gravidade dessa fraude? Para alterar uma votação dessa forma, seria preciso mobilizar um grande número de pessoas, de forma a criar número de votos suficiente para fazer outro candidato vencer, do contrário não tem utilidade. Além disso, que mesário não perceberia que uma pessoa votou 20 vezes no lugar de outra? Seria preciso também envolver os mesários…

A verdade é que mesários podem votar no lugar dos eleitores. Há indícios de que isso tenha acontecido em votações passadas, com votos sendo dados muito rapidamente uns depois dos outros tarde da noite, pelo que se pode ver em registros. Porém, não dá para ter uma evidência inquestionável, pois o sistema é feito de forma a evitar a criação dessas provas. Com biometria, a autenticação dos eleitores ficaria independente dos mesários, então seria mais confiável, certo? Mas o TSE não ficou sabendo que a leitura de digitais não é 100% precisa?

Bem, a lei obriga que os votos de pessoas com título de eleitor com foto possam votar, independente de biometria. Então o TSE criou uma burla para a biometria, dando uma senha aos mesários para pularem a identificação biométrica e deixarem a pessoa votar direto. Logo, a fraude do mesário votar no lugar dos eleitores continua possível… A biometria não impede. Não é segurança, é só aparência de segurança. Diego suspeita que a Polícia Federal teve “um dedo” nesta medida, ou de repente alguma compra em massa de equipamentos, talvez mesmo algo “não democrático”.

Respostas da seção de perguntas

Rodada 1

O boletim de urna ao fim da eleição imprime um resultado de votos da urna, e antes da votação passam fiscais para garantir que está zerada. Mas de nada adianta se o software dentro da urna for desonesto, não funcionar como prometido. E como eleitores, não temos como saber. Até porquê o software é entregue em cartões de memória, então mesmo que o TSE faça um software honesto, alguém com esse cartão poderia estudá-lo para fazer um software similar que aparente ser aquele entregue pelo TSE, e engane o sistema. É o próprio software no cartão que verifica se o software no cartão foi adulterado, com assinatura digital, mas isso é o mesmo que alguém medir o próprio corpo, constatar que está saudável, e decidir que não precisa ir ao médico. Diego não teve tempo de demonstrar com certeza, mas seu grupo pôde averiguar que é possível.

Diego se preocupa sim com o armazenamento dos dados biométricos, pois se os programadores do TSE já fizeram um sistema de votação inseguro, porquê fariam um sistema de armazenamento de digitais que fosse seguro? Para dar a ideia, para os leigos, que as fraudes são possíveis sim, em um país conseguiram desviar uma urna eletrônica e instalar um jogo de xadrez. Daí, as pessoas deduziram que as máquinas podem rodar qualquer programa, e as votações passaram a ser em papel novamente. No Brasil, o STF e o STE são quase a mesma coisa, devido a terem basicamente os mesmos membros, então eles determinaram que é inconstitucional obrigar a impressão de voto, e ficou por isso mesmo.

Os dados registrados não parecem ter nenhuma garantia de que não podem ser compartilhados com outros órgãos, já que uma lei que garantia que tudo menos o candidato votado poderia ser compartilhado nem foi aprovada. E o STE fez uma parceria com a SERASA para compartilhar dados! Depois de causar um mal-estar na mídia, foi cancelada.

Rodada 2

Além do sistema da urna eletrônica, o grupo do Diego solicitou também avaliar o sistema de biometria e de totalização dos votos, mas o TSE, que tinha de autorizar o teste, negou, justificando que fugia ao escopo. Algo que não entendo, pois de nada adianta a urna ser honesta, se o sistema de totalização de votos, transmissão dos dados, etc estiverem comprometidos.

Última rodada

Pessoa na plateia: fui assistente de segurança nas últimas eleições, e achei estranhíssimo o fato das urnas terem sido reprogramadas a dois dias da votação, através de um update.

Diego Aranha de novo: automatizar o sistema de votação não significa que ele vai ser mais seguro como a propaganda afirma. Ao passo que é mais fácil fraudar 1 voto impresso do que 1 eletrônico, pelo eletrônico ser automatizado é muito mais fácil fazer fraudes em larga escala, pois basta aprender o processo uma vez e automatizar. O TSE gosta de se gabar falando que representantes de mais de 60 países vieram ao Brasil conhecer o sistema de nossa urna, mas sempre se esquece de falar que, depois de conheceram, nenhum adotou ela ou um sistema eletrônico! Os elogios que acontecem são diplomáticos, e na hora da decisão isso não se confirma. Ou, são pela rapidez, e não pela segurança.

Ser software livre, ter código-fonte aberto, poderia ajudar na confiabilidade da urna, mas como garantir que o programa que se viu em casa é o mesmo da urna? Não adiantaria muito… Na Austrália o software é aberto, mas não sei se tem uma forma de confirmar que o programa é o mesmo.

Deixe uma resposta

O seu endereço de e-mail não será publicado.

*