sexta-feira, 23 de março de 2012

Alunos de Universidade quebram a segurança da urna eletrônica

BLOG O MURAL: Para o bem da nossa democracia é essencial que as urnas eletrônicas emitam o papel de comprovação do voto, mesmo que essa comprovação seja criptografado, pois só assim poderemos em uma eventual fraude eleitoral apurar a real intenções dos eleitores. Veja a notícia abaixo feita por Conceição Lemes, via blog do viomundo
Nessa quinta-feira, 22, o repórter Luís Osvaldo Grossmann,do site Convergência Digital, revelou:
Um grupo da Universidade de Brasília (UnB) conseguiu quebrar a segurança da urna eletrônica, nos testes promovidos esta semana pelo Tribunal Superior Eleitoral (TSE). Eles conseguiram recuperar a sequência dos votos, o que, ao menos em tese, permite violar o sigilo das opções de cada eleitor.
“Conseguimos recuperar 474 de 475 votos de uma eleição na ordem em que foram inseridos na urna”, revela o coordenador do grupo, Diego Freitas Aranha, professor de Ciência da Computação da UnB, que fez doutorado em criptografia pela Universidade de Campinas (Unicamp).
Originalmente o plano de teste previa a recuperação de 20 votos, mas o próprio TSE desafiou o grupo a resgatar 82% dos votos de uma fictícia sessão eleitoral com 580 inscritos – percentual que equivale à média de comparecimento nas eleições brasileiras.
A exemplo das edições anteriores dos testes, o tempo limitado de acesso à urna eletrônica – três dias, entre 20 e 22/3 – impediu avanços ainda mais significativos na quebra da segurança do sistema eletrônico de votação.
O TSE minimizou o êxito do grupo do professor Diego Aranha, do qual fazem parte os alunos Marcelo Monte Karam, André de Miranda e Felipe Brant Sacarel.
O secretário de TI do TSE, Guizeppe Janino, disse que a reordenação  de votos, que o professor Diego Aranha demonstrou ser possível, não teria quebrado o sigilo do voto porque não teria apresentado o nome dos eleitores.
Em entrevista a O Globo, o ministro Ricardo Lewandowski, presidente do TSE, afirmou:
… não houve violação da urna eletrônica durante o teste, porque os especialistas tiveram acesso a um código…
… “Foi dentro de um ambiente controlado. Isto numa situação real seria absolutamente impossível porque ele não teria acesso à fonte”
…O eleitor pode ficar tranquilo que não é uma quebra, porque esta não era uma situação real e não há como vincular a sequência de votação ao eleitor”, disse o ministro.
“Ridícula a tentativa do TSE de minimizar a descoberta do professor Diego”, adverte o engenheiro Amílcar Brunazo Filho. “Tentando desconversar, o TSE utilizou argumentos grotescos e até ilógicos. Fizeram isso, para esconder a própria incompetência.”
Há anos Amilcar Brunazo Filho denuncia a vulnerabilidade das urnas eletrônicas brasileiras. Formado em Engenharia na Escola Politécnica da USP, ele foi pesquisador do Laboratório de Sub-sistemas Integráveis (LSI), onde estudou Criptografia e Inteligência Artificial. Especialista em segurança de dados, é moderador do Fórum do Voto Eletrônico.  Daí esta nossa entrevista.
Viomundo — O senhor sempre foi um crítico da urna eletrônica brasileira. Alertou inclusive que ela não era à prova de fraude. O que significa o feito do professor Diego Aranha?
Amilcar Brunazo — As urnas eletrônicas têm de atender a dois requisitos essenciais:
1) Princípio da publicidade: poder demonstrar que o resultado eleitoral foi correto.
Isso significa que o conteúdo do voto tem de ser público e conferível pelo eleitor no local de votação e pelo fiscal de partido durante a apuração.
2) Princípio do sigilo do voto: não possibilitar a identificação do autor do voto. É fundamental para se evitar a coação de eleitores, que é uma fraude com poder muito forte de distorcer o resultado eleitoral.
A urna eletrônica brasileira nunca atendeu corretamente ao requisito de transparência (publicidade). Por exemplo, o nosso eleitor não pode ver o conteúdo do Registro Digital do seu voto (o eleitor argentino e o alemão podem).
Até agora, acreditava-se que a urna preenchia o requisito do sigilo do voto.
Por lei (art. 59 da lei 9.504), cada voto confirmado pelo eleitor é gravado num arquivo chamado Registro Digital do Voto (RDV); é de forma embaralhada para que não pudesse ser usado para identificar a ordem de votação.
Aliás, vale lembrar aqui que um dos requisitos na antiga lei do voto manual (Inc IV do art. 103 do Código Eleitoral) já exigia que a urna de lona fosse suficientemente larga para embaralhar os registros (cédulas) do voto.
Pois bem, o professor Diego conseguiu desembaralhar o arquivo RDV. Com isso, provou que as urnas não garantem o sigilo do voto: uma vez ordenados os registros dos votos, há muitas formas de se coagir eleitores por identificação do voto de cada um.
Viomundo — Daria para trocar em miúdos o que o professor Diego conseguiu?
Amilcar Brunazo — Ele pegou o arquivo do RDV de uma urna eletrônica — um dado público que, por lei, é disponibilizado aos partidos depois da eleição — e desembaralhou os votos, colocando-os na mesma ordem em que foram votados.
Assim, basta aos fraudadores (que queiram coagir eleitores) anotar a ordem de votação dos eleitores e eles poderão identificar o voto de cada eleitor.
Existem outras formas de coação dos eleitores a partir de uma lista ordenada dos votos,  como o voto marcado (usa um voto cheio de zeros para marcar o início da sequência de votos de eleitores coagidos) e o  voto de cabresto pós-moderno (se vale da correlação entre candidatos peculiares, como descrito pelo professor Jorge Stolfi, da Unicamp).
Viomundo –  O TSE minimizou a importância do feito?

Amilcar Brunazo –  Com certeza, numa reação de auto-defesa, o TSE tentou atenuar a desconfiança gerada pela descoberta do professor Diego.
Viomundo – Por que o TSE fez isso?
Amilcar Brunazo — Para esconder a própria incompetência, já que sempre divulgaram que o RDV era embaralhado e garantia o sigilo do voto.
Aliás, quem apareceu, primeiro, dando desculpas pelo TSE  foi o secretário de TI, que é exatamente o responsável pelo projeto e operação das urnas. Ou seja, é aquele que deveria propiciar as garantias e não o fez.
Portanto, ridícula essa tentativa do TSE de minimizar a descoberta do grupo da UnB. Para tentar desconversar, o TSE utilizou argumentos grotescos e até ilógicos. Disse que “conseguiu-se refazer o sequenciamento dos votos apresentados pelo Registro Digital do Voto (RDV), sem contudo quebrar o sigilo do voto“.
Tentaram, assim, induzir à ideia de que desembaralhar os registros do voto não seria importante.
Mas por que, então, o embaralhamento era a exigência legal nos tempos do voto manual e também é praticado pelo TSE no voto eletrônico?
Eles insistem:  “sem contudo quebrar o sigilo do voto”.
Mas, numa fraude real (em campo), isso é feito pelas várias alternativas (citadas acima). Essas formas, que completam a fraude, independem da urna eletrônica e não têm como serem impedidas por ela.
Uma vez quebrada a defesa da urna, quer dizer, uma vez desembaralhado os votos, o restante da fraude ocorre fora dela e sem que ela possa mais defender.
Viomundo – O presidente do TSE, ministro Ricardo Lewandowski, disse que “…isto numa situação real seria absolutamente impossível porque ele não teria acesso à fonte”;  “O eleitor pode ficar tranquilo que não é uma quebra, porque esta não era uma situação real e não há como vincular a sequência de votação ao eleitor”.

Amilcar Brunazo –  Repare como ele, convenientemente, desconsidera,  que em situação real, há gente com acesso ao código-fonte, como os funcionários de TI do TSE e os assessores contratados.
O que o professor Diego demonstrou, de fato, é que quem tem acesso ao código-fonte das urnas, como o pessoal da Justiça Eleitoral, pode quebrar o sigilo do voto para, eventualmente, usar na coação de eleitores… E nós, da sociedade civil, não temos nenhuma outra defesa contra eles.
Se todos eles forem sempre honestos, tudo bem. Se algum deles for corruptível…..
Viomundo – O TSE continua insistindo que o sigilo não foi quebrado…
Amilcar Brunazo —  É óbvio que o sigilo foi quebrado durante os testes que simulavam o ambiente real.  Repito. O embaralhamento dos votos é um requisito legal e essencial para garantir o sigilo do voto que já existia antes mesmo das urnas eletrônicas e do RDV, como estabelecido pelo art. 103 do Código Eleitoral, que  diz:
” Art. 103. O sigilo do voto é assegurado mediante as seguintes providências: …
IV ­   emprego de urna que assegure a inviolabilidade do sufrágio e seja suficientemente ampla para que não se acumulem as cédulas na ordem que forem introduzidas”
e o art. 220 do mesmo CE diz que:
” Art. 220. É nula a votação:
IV ­    quando preterida formalidade essencial do sigilo dos sufrágios. “
Inequivocamente, o professor Diego demonstrou em testes que simulavam o ambiente real (como está dito no edital dos testes) que a urna eletrônica não assegura a inviolabilidade do sufrágio, já que, para quem conhece o código do software das urnas (como os funcionários de TI do TSE), é possível achar a ordem em que os registros dos votos (RDV) foram introduzidos.

Conclusão: deveriam ser nulas as eleições com urnas eletrônicas que não garantissem o embaralhamento dos votos.

Viomundo – Isso significa que eleições podem ser anuladas?
Amilcar Brunazo –  Nenhuma eleição será anulada por isso, porque o administrador eleitoral — que não soube fazer uma urna que garantisse o embaralhamento dos votos — e os juízes – que irão julgar se as urnas estão contra a lei — são exatamente as mesmas pessoas. Logo, nunca vão condenar a si próprios.
A nota oficial do TSE, dizendo que o desembaralhamento dos votos não quebrou o sigilo do voto, é uma mostra que eles são perfeitamente capazes de “reinterpretar a lei”, quando for necessário para esconder os próprios erros e incompetência administrativa.
Viomundo – E, agora?
Amilcar Brunazo — O TSE vai mudar o software para contornar esse tipo específico de ataque, mas isso não significa que o sistema ficou invulnerável.
Nunca foi nem nunca será invulnerável enquanto não for atendido o princípio da publicidade em sistemas eleitorais, como é exigido pelo Tribunal Constitucional da Alemanha.
O próprio professor Diego disse que se tivesse mais tempo e melhor ambiente de trabalho, ainda haveria possibilidade de se demonstrar outras vulnerabilidades.
Todo esse imbroglio só é mais uma demonstração de como é nocivo o acúmulo de poderes da autoridade eleitoral brasileira. Mas, dessa evidência de inconstitucionalidade os jornalões não falam, a OAB não reclama e o rebanho de brasileiros nem chega a compreender.
No fim, dá sempre nisso. A única garantia que o TSE oferece ao eleitor comum é que nós todos somos sempre muito honestos. Tipo la garantia soy yo.
PS do Viomundo: O grupo da UnB que demonstrou a vulnerabilidade da urna eletrônica brasileira:
Diego de Freitas Aranha, doutor em Ciência da Computação pela Universidade Estadual de Campinas (Unicamp); é professor substituto na Faculdade de Ciências da Computação.
Marcelo Monte Karam, graduado em Tecnologia em Segurança da Informação (é do CPD da UnB).
André de Miranda, aluno de redes de computadores da União Educacional de Brasília (Uneb).
Felipe Brant Sacarel, bacharel em Ciência da Computação pela UnB.

Sem comentários: