Análise encontra novas falhas de segurança na urna eletrônica
Uma análise de segurança realizada na urna eletrônica identificou três novos problemas em potencial na urna, um deles idêntico a outra vulnerabilidade encontrada na urna em 2012, além de um sistema de geração de mídias que possui conexão com a internet. As brechas foram divulgadas na semana passada em um seminário na Universidade Federal da Bahia, mas o Tribunal Superior Eleitoral (TSE) já havia sido comunicado formalmente pelo PDT, partido que encomendou a análise, em uma petição no início do mês.
O blog Segurança Digital procurou o tribunal para comentar as questões levantadas, mas não recebeu uma resposta até a tarde desta terça-feira (23). Caso seja enviado, o posicionamento do TSE sobre os pontos neste post será incluído.
Na cerimônia que lacrou o software da urna eletrônica no dia 4 de setembro, o ministro do TSE Dias Toffoli declarou que a ausência dos partidos para fiscalizar a cerimônia – apenas o PDT e o PCdoB estavam presentes – era um atestado da segurança da urna. “A grande prova da garantia da urna eletrônica se mostra pela quantidade de partidos políticos aqui presentes. A confiabilidade do sistema é tão grande que não há divergências a esse respeito”, disse ele, de acordo com uma reportagem da “Agência Brasil”.
Embora todos os partidos políticos, a Ordem dos Advogados do Brasil (OAB) e o Ministério Público tenham autorização da lei para fiscalizar o código fonte da urna, apenas o PDT realizou esta fiscalização neste ano, segundo um artigo do professor Pedro Dourado de Rezende da Universidade de Brasília (UnB) publicado no “Observatório da Imprensa”. Foi essa análise que permitiu ao partido encontrar as falhas.
São quatro problemas:
– uma fragilidade na geração de números aleatórios para fins de segurança – idêntica àquela que foi descoberta em 2012 em um teste de segurança promovido pelo TSE;
– um código chamado de “Inserator” que retorna uma chave de segurança embutida no código, o que significa que qualquer pessoa com acesso ao código da urna também tem acesso a essa chave;
– uma segunda chave embutida no código usado para proteger mídias;
– a possibilidade de conexão com a internet em um sistema que gera mídias no TSE. (Entenda as falhas em detalhes abaixo.)
A petição enviada ao TSE foi assinada pela advogada Maria Cortiz. Segundo ela, as brechas encontradas são “indistinguíveis” de códigos que seriam incluídos especificamente para viabilizar fraudes na urna. Ela observa que foram detectados indícios de fraude nas eleições de 2010 em Alagoas e também identificou que uma urna usada nas eleições de Londrina em 2012 foi carregada com um software não oficial.
A advogada criticou a Justiça Eleitoral por não mudar o sistema e por deter o controle de todo o sistema eleitoral. “Estamos aqui, com um sistema inauditável sustentado por um poder anômalo, que legisla, administra, operacionaliza e julga suas próprias ações. Esse é o único órgão que é ao mesmo tempo réu e julgador. Desse jeito não há como confiar”, declarou.
Um dos itens encampados pelo partido é a impressão do voto, o que permitiria a recontagem. Um sistema com essa capacidade já é usado em diversos outros países, como a Argentina e a Índia. A impressão do voto no Brasil foi criada por uma lei aprovada no Congresso Nacional, mas a medida foi suspensa por uma decisão do Supremo Tribunal Federal (STF). Para a Procuradoria-geral da República (PGR), que pediu ao TSE a suspensão da impressão do voto, há dificuldades em conciliar o sigilo do voto e a impressão.
Pelo entendimento da PGR, a urna deveria, de acordo com a lei, imprimir um voto com a “assinatura digital do eleitor”, o que o identificaria. No entanto, o eleitor não tem assinatura digital no sistema eleitoral brasileiro.
As falhas identificadas
Falha 1: números aleatórios da ADH. A urna eletrônica só pode ser usada no dia e na hora da eleição. Por conta de eventuais defeitos no relógio interno da urna, é possível usar uma mídia de ajuste de data e hora (ADH). Essa mídia precisa ter segurança para que a urna não tenha seu horário alterado e seja usada fora do horário da eleição. Parte dessa segurança é fornecida por um gerador de números aleatórios, mascomputadores não podem “gerar” números do nada. Softwares precisam de uma informação para usar de base para o gerador de números. Essa informação é chamada de “semente”. A semente usada pelo gerador do TSE é a hora, que é considerada fraca, podendo viabilizar a criação de uma mídia ADH falsa por meio da “adivinhação” dos números aleatórios gerados. O código em questão faz parte do GEDAI, um software do ecossistema da urna
Como pode ser usada em uma fraude: uma mídia ADH pode ser usada para ligar a urna a qualquer hora, “convencendo” a urna de que a eleição é “agora”, e gravar nela os votos desejados. A mídia de armazenamento da urna – onde os votos são guardados – é substituída por outra, vazia. Ao final da eleição é usada a mídia anterior, na qual os votos foram registrados conforme desejado. Essa fraude hipotética requer, no mínimo, acesso à urna antes da eleição e rompimento do lacre da mídia de armazenamento.
Falha 1: números aleatórios da ADH. A urna eletrônica só pode ser usada no dia e na hora da eleição. Por conta de eventuais defeitos no relógio interno da urna, é possível usar uma mídia de ajuste de data e hora (ADH). Essa mídia precisa ter segurança para que a urna não tenha seu horário alterado e seja usada fora do horário da eleição. Parte dessa segurança é fornecida por um gerador de números aleatórios, mascomputadores não podem “gerar” números do nada. Softwares precisam de uma informação para usar de base para o gerador de números. Essa informação é chamada de “semente”. A semente usada pelo gerador do TSE é a hora, que é considerada fraca, podendo viabilizar a criação de uma mídia ADH falsa por meio da “adivinhação” dos números aleatórios gerados. O código em questão faz parte do GEDAI, um software do ecossistema da urna
Como pode ser usada em uma fraude: uma mídia ADH pode ser usada para ligar a urna a qualquer hora, “convencendo” a urna de que a eleição é “agora”, e gravar nela os votos desejados. A mídia de armazenamento da urna – onde os votos são guardados – é substituída por outra, vazia. Ao final da eleição é usada a mídia anterior, na qual os votos foram registrados conforme desejado. Essa fraude hipotética requer, no mínimo, acesso à urna antes da eleição e rompimento do lacre da mídia de armazenamento.
Brecha em 2012: exatamente a mesma “semente” era usada pelo programa da urna para embaralhar os votos cadastrados no arquivo de Registro Digital do Voto (RDV). O RDV é um arquivo público, cedido a todos os partidos depois da eleição. Uma equipe da Universidade de Brasília, liderada pelo professor Diego Aranha, mostrou que era possível desembaralhar o RDV, restaurando a ordem em que eles foram inseridos. Assim, bastaria ficar de olho em uma seção eleitoral e ver quem votou primeiro para, mais tarde, saber em quem aquela pessoa votou, comprometendo o sigilo do voto. A falha foi identificada em um teste promovido pelo próprio TSE em 2012. Se a urna eletrônica fosse de papel, o equivalente seria ter todas as cédulas em uma pilha na exata ordem em que os votos foram feitos.
Falhas 2 e 3: programa Inserator e chave embutida. Um código usado por um componente da urna retorna uma chave de segurança embutida nele próprio. Isso significa que qualquer pessoa que tem acesso a esse código, como funcionários do TSE, também tem acesso à chave. O programa que retorna essa chave é chamado de “Inserator”. Outra falha semelhante foi encontrada em um código que faz inicialização de mídias usadas em urnas dos modelos 2009 e mais recentes. Segundo o TSE, o “inserator” não é mais usado na urna desde 2004, mas o código ainda existe.
Como pode ser usado em uma fraude: qualquer pessoa que tem acesso ao código fonte poderia usar essa chave para obter as permissões que são concedidas por ela. Não há informações precisas sobre o que poderia ser feito na prática com essas chaves no cenário atual, mas há a possibilidade de uso de mídias não autorizadas na urna. O ideal é que o código seja separado das chaves de segurança.
Falha 4: Conexão com a internet. Segundo o levantamento, um sistema de geração de mídias no TSE pode estar conectado à internet e não há um mecanismo de proteção para garantir o isolamento dele da rede mundial.
Como pode ser usado em uma fraude: se o computador que gera as mídias de segurança no TSE estiver comprometido, podem ser extraviados dados que permitem a geração de outras mídias com conteúdo ou software não oficial.
(G1)
