Este pesquisador garante que as urnas eletrônicas são hackeáveis
Foto: Helena Wolfenson Montagem: Brunno Marchetti
Motherboard

Este pesquisador garante que as urnas eletrônicas são hackeáveis

Em teste promovido pelo TSE no ano passado, Diego Aranha mudou mensagem na tela da urna, alterou registros de votação e encontrou uma maneira de quebrar o sigilo do voto. Agora ele afirma que é possível fraudar eleições.
24.5.18

Faltava só uma horinha para Diego Aranha provar um ponto que defende há anos: as urnas eletrônicas do Brasil podem ser fraudadas. Era uma sexta-feira de dezembro, e um grupo de três pesquisadores liderados por ele trabalhava há cinco dias numa sala do terceiro andar do Tribunal Superior Eleitoral. O objetivo era desviar votos de um candidato para outro em uma eleição fictícia. Tudo parecia encaminhado para isso quando, às 18 horas, o tempo acabou.

Publicidade

“Foi como se a gente estivesse no Masterchef, todo mundo teve que levantar a mão da bancada na hora”, diz Aranha, enquanto caminha em direção a sua sala no Instituto de Computação da Universidade em Campinas, com uma estante cheia de bonequinhos de super-heróis, desenhos e personagens de cultura pop. Há seis anos uma das vozes mais proeminentes nessa discussão, não esconde um sorriso quando perguntado se já encheu o saco de falar sobre o tema. “Eu já cansei, descansei, cansei de novo. Mas continuo.”

Apesar de não ter conseguido o objetivo final de fraudar as urnas no teste do TSE, Diego explorou falhas interessantes. À frente de um grupo que juntou os pesquisadores Paulo Matias, Pedro Barbosa, Thiago Cardoso e Caio Lúders, ele conseguiu mudar mensagem na tela da urna, alterar os registros de votação e encontrou uma maneira de quebrar o sigilo do voto.

“É fato científico que as urnas são inseguras”, afirma o especialista em criptografia e segurança computacional. Segundo ele, se tivesse mais tempo no teste, conseguiria o cheque-mate: desviar votos e provar para leigos que as urnas são inseguras. No mundo real, insiste, as coisas são diferentes do teste. São mais fáceis. “Em uma eleição real nenhum reloginho vai controlar os passos dos atacantes.”

Ele tem cacife para fazer as afirmações. Em 2012, Aranha foi o primeiro pesquisador a encontrar uma vulnerabilidade no software usado pelas urnas durante teste promovidos pelo TSE. Era um erro rudimentar conhecido desde 1995 que permitia saber a ordem certa dos votos depositados em determinada urna. No mesmo ano, também observou que a chave criptográfica necessária para instalar o programa de votação em 600 mil urnas ao redor do país era uma só e estava às claras no código-fonte.

Publicidade

O que isso significa? Bem, a explicação não é tão simples. A instalação do software de votação é feita por meio de um cartão de memória conhecido como flash de carga. Segundo o TSE, cada flash de carga é usado em entre 20 e 50 urnas. Se inserido em um computador comum, o conteúdo é indecifrável. A não ser que você tenha a chave criptográfica. E foi isso que Aranha descobriu não ser difícil de achar.

"Para todos os efeitos, estávamos programando a urna"

Em outubro de 2017, quando o grupo passou três dias inspecionando a olho nu 10 milhões de linhas de código-fonte da nova versão do programa, a estratégia inicial foi buscar por essas falhas identificadas por Diego seis anos atrás. Era a primeira fase de provas, feita em uma sala hermética do TSE, de onde não saiam nem anotações. E para a alegria dos pesquisadores, a chave do flash de carga continuava visível.

Em novembro, quando chegou a hora de colocar a mão nas urnas, foi questão de tempo acessar o conteúdo do cartão. Em tese, todos os arquivos deveriam ter uma segunda camada de proteção - uma assinatura digital -, mas alguns deles estavam descobertos. O primeiro passo foi fazer alterações pontuais nesses arquivos e rodar uma eleição de testes. Funcionou sem problemas. “Tínhamos mecanismo para injetar o nosso código em um pedaço do software. Para todos os efeitos, estávamos programando a urna”, diz Diego.

Foto: Helena Wolfenson Montagem: Brunno Marchetti

Em seguida, os pesquisadores exploraram as funções controladas pelos arquivos desprotegidos, inclusive a que fazia com que a urna lesse comandos inseridos por um teclado comum de computador. Para alterações mais significativas, era preciso utilizar o caminho aberto. Isso interferiria em recursos protegidos com a assinatura digital.

Difícil, mas não impossível. No começo da tarde de sexta, mudaram o nome da versão do programa usado nos testes de ‘A Hora da Estrela’ para ‘A Hora da Treta’. Em seguida, alteraram o texto ‘Seu Voto Para’, exibido no canto superior esquerdo da urna, para ‘Vote 99’ - a verdadeira boca de urna eletrônica.

Publicidade

Faltava o golpe final. Diego e companhia já haviam encontrado o caminho para desviar votos de um candidato para outro. Com o horário próximo do limite, prepararam o flash de carga que acabaria com a discussão de uma vez por todas e o inseriram na urna para rodar uma última eleição virtual — processo que demorava mais de uma hora. Enquanto isso, Paulo, professor do Departamento de Computação da UFSCar, fazia testes no simulador para ver se estava tudo certo. Não estava. “Deu erro. Voltei para checar e vi que havia digitado um comando errado em três linhas de código”, conta ele. “Falei ‘cancela, fiz besteira’.” Mas era tarde demais.

Amigo ou inimigo do TSE?

Para o TSE, não há dúvida de que as urnas são seguras. “As urnas são a melhor solução tecnológica para as eleições brasileiras. Eventos como nosso teste só reforçam a segurança da urna, pois são agentes catalisadores da evolução de seus mecanismos de proteção”, afirmou o Tribunal, por e-mail.

O discurso oficial, que contemporiza as falhas encontradas, incomoda Aranha. O primeiro contato dele com essa realidade foi logo após divulgar as primeiras falhas que encontrou em 2012. Na manhã seguinte, acordou com a notícia, divulgada pelo Tribunal, de que a vulnerabilidade já havia sido solucionada e validada por ele mesmo. “Tudo isso enquanto eu ainda dormia”, conta ele.

Por fim, depois detalhar todas as falhas encontradas em uma entrevista ao G1, o TSE subiu o tom: “Querer enfatizar um dado comercial ou o fato de se ter descoberto, num teste público, uma fraqueza técnica que pode ser consertada e a partir daí defender medidas sem a devida cautela é ameaçar a democracia”. Era um recado pesado.

Publicidade

“Eles vieram com um tiro de bazuca”, diz o professor da Unicamp. No ano passado, diz, o clima era menos combativo. A briga sobre qual o significado prático das vulnerabilidades do sistema, no entanto, continuou. Em audiência pública feita no começo de março no Senado, representantes do TSE não compareceram para contestar os argumentos dos especialistas em segurança de informação. Uma semana depois, sem a presença dos interlocutores críticos ao modelo, o Tribunal foi a uma nova audiência e reforçou a tese de que os testes não indicam que a urna possa ser fraudada.

“Ninguém pode alegar que a mudança que fizemos ao colocar ‘Vote 99’ no monitor da urna não é gravíssima"

“Ninguém pode alegar que a mudança que fizemos ao colocar ‘Vote 99’ no monitor da urna não é gravíssima", diz Aranha. Chamamos técnicos do TSE para ver e eles tomaram um susto, aquilo nunca poderia acontecer. É novamente frustrante, porque reagem assim e no relatório dizem que é um sucesso mas surtiria pouco efeito em uma eleição real”, explica Aranha.

O TSE afirma que todas as vulnerabilidades encontradas nos testes de 2017 (aqui o relatório completo) já estarão solucionadas nas eleições. Nos dias 7 e 8 de maio, o Tribunal promoveu testes de verificação para os pesquisadores checarem se os erros foram sanados. A princípio, Aranha e companhia haviam pedido tempo extra de trabalho com a versão antiga do software para provar que seriam capazes de adulterar os votos. O pedido foi negado.

A missão de provar que não é teoria da conspiração

A solução mais simples defendida por especialistas para garantir a confiabilidade das urnas eletrônicas é a adoção do voto impresso aliado ao digital. Serviria tanto para dar ao eleitor a capacidade de conferir suas escolhas quanto para permitir uma auditoria.

Como entrave, há dois fatores: o valor (o custo estimado para implementar o modelo em todo Brasil é de R$ 2.5 bilhões, segundo o TSE) e a resistência do próprio Tribunal.

Publicidade

Ainda assim, a impressão de comprovantes — que ficam armazenados junto das urnas após verificação dos eleitores — foi aprovada em lei de 2015 e valerá já neste ano. A perspectiva é que 5% das urnas contem com impressoras, o equivalente a 30 mil dispositivos, com adesão total até 2028. Isso se não rolar nenhuma reviravolta. Em fevereiro, a procuradora-geral da República Raquel Dodge ingressou com uma ação no STF para impedir a novidade.

Além dos pesquisadores, outro grupo segue a discussão de perto: teóricos da conspiração e a galera que compartilha fake news na maiorzona. Para Diego, trata-se de uma confusão aproveitada por funcionários do TSE para reduzir críticas a sensacionalismo virtual. “Mistura uma questão técnica, baseada em evidências científicas, ao cara que diz que o Foro de São Paulo programou as urnas para eleger determinado candidato.”

De qualquer forma, já deu. “Resolvi que a minha participação em testes está concluída. Em 2017 conseguimos completar o que a gente sequer pode começar em 2012, que foi adulterar um software de votação.” Prestes a assumir uma posição na Universidade de Arrhus, na Dinamarca, ele não vai estar aqui nas eleições deste ano. “Tudo que posso desejar é que elas sejam justas e tranquilas, mas tô me aposentando.”

No github, os pesquisadores disponibilizam uma cópia do código utilizada por alterar os votos durante os testes, com direito a simular gráfico da urna.

Leia mais matérias de ciência e tecnologia no canal MOTHERBOARD .
Siga o Motherboard Brasil no Facebook e no Twitter .
Siga a VICE Brasil no Facebook , Twitter, no Instagram e no YouTube.