Viomundo
publicado em 13 de dezembro de 2012 às 10:34
O professor Pedro Rezende (na mesa, último à direita), da UnB, foi um dos palestrantes do seminário A urna eletrônica é confiável?, realizado no Rio de Janeiro
por Conceição Lemes
Na última segunda-feira 10, o auditório da Sociedade de Engenheiros e
Arquitetos do Rio de Janeiro, ficou lotado para assistir ao seminário A urna eletrônica é confiável?
O ponto alto foi o relato de um jovem hacker de 19 anos, que
revelou fraudes em resultados na Região dos Lagos, no Rio de Janeiro,
na última eleição, em outubro de 2012. Identificado apenas como Rangel
por questões de segurança, ele mostrou como — através de acesso ilegal e
privilegiado à intranet da Justiça Eleitoral no Rio de Janeiro —
modificou resultados, beneficiando candidatos em detrimento de outros,
sem nada ser oficialmente detectado.
O Viomundo reproduziu, aqui, a denúncia publicada no portal do PDT, um dos promotores do seminário:
“A gente entra na rede da Justiça
Eleitoral quando os resultados estão sendo transmitidos para a
totalização e depois que 50% dos dados já foram transmitidos, atuamos.
Modificamos resultados mesmo quando a totalização está prestes a ser
fechada”, explicou Rangel, ao detalhar em linhas gerais como atuava para
fraudar resultados.
A platéia, composta principalmente por especialistas em transmissão
de dados, computação, internet, representantes de partidos políticos e
autoridades policiais, ficou pasma.
Entre eles, o matemático e professor de Ciência da Computação Pedro
Antônio Dourado de Rezende, da Universidade de Brasília (UnB). Foi um
dos palestrantes do seminário. Há mais de dez anos ele que estuda as
fragilidades do voto eletrônico no Brasil.
Viomundo – O senhor acompanhou o relato do Rangel?
Pedro Rezende – Sim, integralmente.
Viomundo — O que achou da fraude relatada?
Pedro Rezende -- Plausível, reveladora de muitos detalhes da fase de totalização, e muito séria. Pois é nessa fase do processo de votação que fraudes podem ocorrer de forma definitiva. Ao mesmo tempo, curiosamente, essa fase é sempre omitida nas avaliações externas e testes públicos de segurança, alardeados como garantias de lisura do processo de votação.
Pedro Rezende -- Plausível, reveladora de muitos detalhes da fase de totalização, e muito séria. Pois é nessa fase do processo de votação que fraudes podem ocorrer de forma definitiva. Ao mesmo tempo, curiosamente, essa fase é sempre omitida nas avaliações externas e testes públicos de segurança, alardeados como garantias de lisura do processo de votação.
A Justiça Eleitoral sempre restringiu os testes e avaliações à urna
eletrônica. E quando questionada sobre a segurança do processo de
votação como um todo, ela desconversa. Sempre confunde o entendimento
da questão com o da urna simplesmente.
Viomundo — O que o Rangel expôs é mesmo factível na prática?
Pedro Rezende — Sim, por motivos sobre os quais escreverei mais detalhadamente quando for publicado o vídeo do seminário. Por hora, em consideração à seriedade com que o Viomundo vem tratando a segurança do eleitor que quer eleições limpas no processo eleitoral, posso adiantar o seguinte.
Pedro Rezende — Sim, por motivos sobre os quais escreverei mais detalhadamente quando for publicado o vídeo do seminário. Por hora, em consideração à seriedade com que o Viomundo vem tratando a segurança do eleitor que quer eleições limpas no processo eleitoral, posso adiantar o seguinte.
A fraude descrita no seminário não tem nada a ver com a questão do
TSE utilizar ou não criptografia no processo, ou se a utiliza bem ou
mal.
A criptografia opera apenas em canais de comunicação, no tempo ou no espaço. No caso em questão, nos canais entre o gateway
de saída de um ponto de coleta de Boletins de Urna (BU) eletrônicos, no
cartório eleitoral que os recebe de seções eleitorais, e o gateway da rede interna do TRE (Tribunal Regional Eleitoral), onde se inicia o processamento da totalização.
A modalidade de fraude que o jovem Rangel descreveu no seminário
ocorre dentro da rede interna do TRE que totaliza a eleição, na etapa
final da fase de totalização, através de um backdoor no firewall que protegeria o correspondente gateway.
A fraude é executada alterando-se as tabelas de totais parciais.
Portanto, após os BUs eletrônicos terem sido descriptografados
(decifrados) e os números de votos por candidato para a seção eleitoral
correspondente terem sido lidos do resultado desta decifragem e
tabulados em uma planilha de totais parciais da eleição.
Consequentemente, após o uso da criptografia.
Essa modalidade de fraude não depende de ataque à criptografia
utilizada, pois nela o ataque é no canal de confiança capaz de dar
utilidade à forma de criptografia empregada na transmissão de BUs. Em
linguagem técnica, podemos dizer que se trata de um ataque de canal
lateral.
Viomundo – Isso faz sentido? Como o Rangel se apresentou?
Pedro Rezende — Faz, e é coerente com o relato dele,
que no seminário se identificou como operador de um balcão para leilão
de lotes de votos a fraudar no Estado do Rio de Janeiro.
Viomundo – O quê?!
Pedro Rezende – É isso mesmo! Ele realizava as
fraudes por meio de pregões virtuais para leiloar lotes de votos a serem
burlados em tempo real, durante a totalização.
Viomundo – Como ele executava essa modalidade de fraude?
Pedro Rezende — O que ele nos disse pode ser explicado, em termos leigos, assim: é através de uma porta de fundo oculta (backdoor) na barreira externa de proteção (firewall)
operada por uma companhia telefônica, que controla canais de
comunicação para a rede virtual privada (VPN) da Justiça Eleitoral.
Por meio dessa porta oculta se tem acesso aos
computadores da rede interna ao Tribunal Regional, onde é processada a
totalização. Por meio de um nome de usuário (ID) e senha vazados por
quem organiza o leilão, ali ele burlava votos, executando a venda dos
lances arrematados, durante as últimas duas horas da fase de
totalização, isto é, entre aproximadamente 19 e 21h do dia da votação.
Viomundo – Qual companhia telefônica?
Pedro Rezende – O Rangel não declinou o nome dela, mas o delegado da polícia civil que levou o jovem ao seminário identificou-a como sendo a Oi.
Viomundo – Aliás, na matéria publicada no portal do PDT e que nós reproduzimos, é citado um delegado…
Pedro Rezende – É esse, o delegado Alexandre Neto,
de Maricá. Foi ele quem levou o jovem Rangel ao seminário. Segundo o
delegado, o jovem foi flagrado, em plena atividade leiloeira dessa
modalidade, por um tenente da Polícia Militar numa operação que
investigava possível fraude na eleição de 2012.
O Rangel nos disse que o pagamento pelo seu serviço era na forma de
desconto quase total na cobrança do link dedicado, que ele contratava à
mesma companhia telefônica para operar seu negócio de lan house. Um link dedicado, que é muito caro, é condição para boa performance em jogos on-line.
Viomundo – O que mais o senhor poderia nos adiantar?
Pedro Rezende – Pelo relato do Rangel, essa forma de
fraude não seria detectada somando-se os totais impressos de cada urna,
possibilidade sempre alardeada pela Justiça Eleitoral como garantia de
lisura na fase de totalização.
Sobre essa possibilidade, cabe esclarecer que totais impressos de
cada urna (BU impresso) só poderiam fazer prova de possível
irregularidade no resultado oficial quando coletados no encerramento da
seção eleitoral, assinados de punho pelo mesário, se estiverem de posse
do candidato prejudicado.
Além disso, para que um desses BUs impressos possa servir como prova
de irregularidade, ele teria não só que estar autenticado na origem,
pela assinatura de punho do mesário, mas também teria que diferir de sua
correspondente versão oficial eletrônica, isto é, do BU eletrônico
desta seção eleitoral que teria sido computado na totalização.
Porém, nesse tipo de pregão eletrônico, via de regra (pelo que
entendi do depoimento do jovem Rangel), os BUs eletrônicos que
constituem as parcelas da totalização parcial fraudada não são ajustados
para corresponderem, em correta soma, ao resultado depois da fraude.
Continuam, portanto, as parcelas dos BUs eletrônicos como estavam ao
serem transmitidos ao TRE
Viomundo – Daria para traduzir pro “leiguês” como esse tipo de fraude é praticado?
Pedro Rezende – Segundo o Rangel, nesse tipo de
pregão, o lote de votos que será retirado de um ou mais
candidato-vítimas corresponde a um terço ou à metade dos votos obtidos
numa parcial de totalização por essas vítimas. Esse lote é oferecido em
leilão, com preço mínimo.
Pelo que eu pude entender, complementado por outros depoimentos como
o do delegado Neto, o preço mínimo do lote varia conforme o cargo, a
porcentagem de seções eleitorais acumuladas para aquela parcial de
totalização e a posição das vítimas no ranking da totalização geral
divulgada até ali. Os lances, por telefone, precisam ser comunicados em
código, via nomes de animais, ou são invalidados se o participante na
linha falar diretamente em dinheiro. Quando o lance mínimo é coberto e o
lote arrematado, os votos correspondentes ao lote são subtraídos
diretamente do montante obtido pelos candidato-vítimas nessa parcial de
totalização, e somados ao montante correspondente do candidato que
arrematou o lote.
O perfil de permissões do usuário, cujo ID e senha
são vazados por quem organiza o leilão para quem vai operar um pregão
nesse leilão (o Rangel não seria o único), dá a este operador a
capacidade de congelar a inclusão desta parcial no total geral
divulgado.
Essas parciais de totalização devem periodicamente ser alimentadas
pelo tribunal regional ao TSE, através do canal de VPN entre o TRE e o
TSE, já que nessa eleição o TSE, por motivos não divulgados, centralizou
as divulgações dos totais gerais para cada Estado, enquanto iam se
acumulando ao longo da fase de totalização. A parcial de totalização
sobre a qual se oferecem lotes fica então congelada para essa
transmissão até o arremate dos lotes oferecidos e à execução das
manipulações correspondentes aos lotes que foram arrematados.
Assim, pelo que entendi da explicação do jovem Rangel e de outros no
seminário, via de regra, as manipulações nos totais parciais por
candidato, relativas aos lotes de votos arrematados no pregão, não são
redistribuídas depois em correspondentes parcelas de BUs que compõem em
soma aquela parcial, o que seria necessário para manter a consistência
da totalização oficial.
É por isso que, neste caso, os BUs impressos não permitem detectar
manipulação alguma, pois esses vão coincidir — a menos que eventualmente
haja outra forma de fraude executada em fase anterior — com as
correspondentes versões eletrônicas. Somente a soma dos dados de todos
BUs eletrônicos, que depois são divulgados pelo TRE, comparada ao total
de votos do candidato na totalização final pronunciada como resultado
oficial, é que poderia detectar inconsistência na soma. No seminário,
quando questionado sobre essa possibilidade de detecção, o jovem Rangel
declarou que os leiloeiros não se preocupam com ela porque “ninguém faz
essa soma”.
Viomundo – Isso faz sentido?
Pedro Rezende – Para mim, sim, devido à forma como a
Justiça Eleitoral divulga oficialmente os BUs eletrônicos, tornando
impraticável essa verificação. A divulgação, pela internet, é em momento
e endereço não anunciados previamente, e dentro de um prazo elástico –
na eleição de 2010 era de 24 horas, na de 2012 saltou para três dias. E depois da divulgação do resultado oficial, e com modo de acesso assaz peculiar, conforme observo em artigo recentemente publicado.
Explico. Após
esses BUs eletrônicos serem disponibilizados, o tempo que se tem para
efeito de prova de irregularidade na soma divulgada como resultado
oficial é de até 72 horas. Só que a gente não fica sabendo exatamente
quando isso acontece, pois a divulgação, pela internet, é em momento e
endereço não anunciados previamente, com modo de acesso manual seção por
seção, via formulário. Parece irracional, mas é desse jeito que
determina a resolução TSE 23.372, em seus artigos 145 e 150, aprovada em
plenário do Tribunal Superior Eleitoral em 14/12/11.
Assim, é praticamente impossível verificar isso com precisão. Razão pela qual ninguém a faz mesmo, como afirma o jovem Rangel.
Quando se quer provar que uma soma está correta, não há razão lógica
para se publicar tantas parcelas tão sorrateiramente, em até três dias
depois do resultado. A não ser que o real objetivo seja dificultar a
verificação externa dessa “prova” ou impedir sua utilidade, enquanto se
pode afirmar que ela está disponível a qualquer um. E, de fato, não
conheço ninguém que a tenha feito.
Viomundo — O senhor já sabia dessa possibilidade de fraude ou foi novidade?
Pedro Rezende — Eu sabia que essa possibilidade era
latente a uma análise de riscos equilibrada do nosso processo de
votação. Mas não tinha elementos concretos para especular ou elaborar
honestamente. De um lado, devido ao ofuscamento com que o seu contexto
sempre foi tratado oficialmente. De outro, como a mídia corporativa
sempre prestou serviço a esse ofuscamento, sempre se fazendo de boba
quanto à diferença entre segurança “da urna eletrônica” e segurança do
processo de votação como um todo.
Consequentemente, nesta situação, não convinha, para mim e para o
valor das minhas críticas, nutrir com especulações puramente teóricas a
pecha de paranoico conspiracionista que ambas sempre tentaram me
impingir, ao longo de mais de dez anos de críticas ao nosso processo de
votação.
Viomundo – Essa possibilidade de fraude decorre da vulnerabilidade do sistema como um todo?
Pedro Rezende — A meu ver decorre, em parte, da vulnerabilidade do sistema como um todo. E, em parte, por tal vulnerabilidade ter passado desapercebida da grande maioria dos eleitores por tanto tempo, enquanto as pessoas iam sendo induzidas, com ingênuo ufanismo e propaganda massiva, a tomar a segurança de uma coisa pela da outra.
Pedro Rezende — A meu ver decorre, em parte, da vulnerabilidade do sistema como um todo. E, em parte, por tal vulnerabilidade ter passado desapercebida da grande maioria dos eleitores por tanto tempo, enquanto as pessoas iam sendo induzidas, com ingênuo ufanismo e propaganda massiva, a tomar a segurança de uma coisa pela da outra.
PS do Viomundo: O professor Pedro Rezende
trabalhou no Vale do Silício, Califórnia (EUA), com controle de
qualidade na Apple Computer e com as primeiras aplicações em hipertexto
(hypercards), em 1988. É consultor em criptografia e segurança na
informática para empresas, órgãos públicos, legisladores, operadores do
Direito e agências de fomento à pesquisa científica e à produção
cultural.
Coordena o Programa de Extensão em Criptografia e Segurança
Computacional da UnB, onde montou e ministra o primeiro curso de
programação para Infraestrutura de Chaves Públicas (ICP) no Brasil.
Conselheiro do Instituto Brasileiro de Política e Direito na
Informática, ex-conselheiro da Free Software Foundation Latin America
(2006-2008) e ex-representante da sociedade civil no Comitê Gestor da
Infraestrutura de Chaves Públicas Brasileira, ICP-BR, por designação do
presidente da República (2003-2006).
Leia também:
Nenhum comentário:
Postar um comentário