Quantcast
Crédito: Helena Wolfenson

​O homem contra a urna eletrônica

Felipe Maia

Felipe Maia

O professor Diego Aranha, da Unicamp, tenta provar que as urnas utilizadas no Brasil são bem zoadas. Para o TSE, nosso entrevistado “ameaça a democracia”.

Crédito: Helena Wolfenson

Reza a cartilha do TSE (Tribunal Superior Eleitoral) que, depois de apertar a tecla verde, o apito da urna eletrônica confirma sua participação na maior festa da democracia. Diego Aranha não acredita nessa história. Ele desconfia da confirmação, da festa, da democracia e do TSE. Todo o trabalho desenvolvido por esse doutor de apenas 32 anos aponta para uma única conclusão: nosso modelo de urna eletrônica pode ser fraudado de muitas maneiras, e rastrear uma mutreta é quase impossível.

"As vulnerabilidades são tão numerosas que uma hora você tropeça nelas", diz Diego. Num relatório divulgado em 2012, o professor expôs falhas no sigilo e no destino dos votos, além de 19 outros pontos fracos do sistema. Naquele ano, o então doutor liderou uma equipe da UnB (Universidade de Brasília) num teste público da urna. Convocada pelo próprio TSE, a audição acontecia pela segunda vez, mas, ao contrário da primeira rodada, de 2009, desta vez foi permitida a análise do código-fonte do software, que se mostrou vulnerável a ameaças.

Um dos problemas está no gerador aleatório: o mamão com açúcar do curso dado pelo professor lá na Unicamp. "Eu costumo colocar um teste sobre isso como bônus nas provas dos meus alunos de graduação e 80% deles acertam", dispara. Diego lembra que, durante os testes, essa brecha surgiu tão rapidamente quanto um voto. "Em cinco minutos a gente achou uma falha no arquivo que faz o embaralhamento do registro dos votos", afirma. Assim como a urna física, a urna digital mistura as cédulas virtuais, mas, de acordo com o professor, essa mistura dos dados pode ser desfeita com o uso de uma única variável matemática, a chamada "hora da zerésima".

"Em vez de usar um parâmetro aleatório, o TSE escolheu a hora de impressão da zerésima." A tal da "zerésima" é o documento impresso na abertura da urna, entre 7h e 8h do dia de votação.

Ao juntar a hora da zerésima ao gerador aleatório, é possível reordenar os votos de maneira cronológica e eliminar o sigilo deles. Todas essas informações são mais ou menos públicas. A hora da zerésima fica no log da urna, documento disponível no site do TSE. O gerador aleatório e o candidato de cada voto estão no código-fonte do software e no Registro Digital do Voto, respectivamente. Por lei, ambos são acessíveis a todos os partidos políticos.

Crédito: Helena Wolfenson

Essa situação abre margem a fraudes em que eleitores são pressionados a votar em determinado candidato, o chamado "voto de cabresto". Basta saber a hora exata do voto da vítima. "Você tem tanto o voto de cabresto digital quanto o ataque a um eleitor ilustre", que poderia ter seu voto revelado. Pode parecer complicado, mas esse cenário é plausível para qualquer grupo com interesse e conhecimento suficientes. "O sistema da urna eletrônica foi projetado por pessoas sem treinamento. Dada as devidas proporções, meus alunos escrevem softwares mais seguros", acusa o professor.

'Meus alunos escrevem softwares mais seguros', acusa o professor.

Ele alerta para uma vulnerabilidade ainda maior do sistema, que permitiria a manipulação pura e simples dos registros de votos nas urnas, tirando ou adicionando índices a qualquer um dos candidatos. Isso poderia ser feito por um funcionário com acesso ao sistema ou por uma pessoa externa infiltrada, de acordo com Diego. O acesso aos dados nessas circunstâncias não deixaria rastros.

O que impede fraudes assim é a assinatura digital do software, uma espécie de carimbo que só trabalha com uma chave criptográfica. Esse carimbo confirma que o programa realmente é do TSE e sua chave é compartilhada entre milhares de urnas, segundo Diego. Se descoberta por alguém com interesses escusos, essa chave permitiria a adulteração no software de todas as urnas do país com a chancela da assinatura digital, diz o professor. "É o equivalente a ter milhares de portas com a mesma fechadura", compara.

O carimbo digital também atesta a veracidade dos resultantes da urna, como o log, o Registro Digital de Voto e o Boletim de Urna, este último um documento utilizado para contagem do pleito. "O TSE soma todos os boletins e publica o resultado oficial. Se você tiver esse carimbo, você pode assinar qualquer coisa", explica. Um mesário a serviço de alguém poderia, por exemplo, trocar a memória flash com o Boletim de Urna por alguma que tivesse quaisquer outros votos, contanto que o pen drive viciado tivesse o timbre virtual já surrupiado do TSE. "Se você quiser, um terço dos votos vai do candidato B pro A, ou 5% deles podem ir para outra pessoa qualquer", completa.

O TSE REBATE

Uma das formas de se evitar fraudes seria o uso de biometria. Por esse método, o eleitor coloca o polegar num detector de digitais e, só depois disso, é autorizado a votar. Mas a biometria falha muito. É comum as máquinas simplesmente engasgarem na hora de reconhecer a identidade de um cidadão. Nestes casos, o mesário teria uma senha que autorizaria o eleitor a votar. Diego teme que essa senha seja outra brecha para fraudes.

Ele diz que os índices de falhas na leitura biométrica chegaram a 75% nas eleições de 2010, quando o sistema existia em caráter experimental. Mas Giuseppe Janino, secretário de Tecnologia da Informação do TSE, defende o sistema, dizendo que atualmente os erros não chegam a 10%. Autoridade máxima da instituição quando o assunto é software e hardware, ele conversou conosco sobre os pontos levantados pelo professor Diego Aranha e por uma comunidade ferrenha que se espalha em fóruns, grupos e listas de email.

"Nós temos 18 anos de eleições eletrônicas e não há sequer um registro de fraude. Os próprios testes de segurança não conseguiram resultados. A única fragilidade encontrada foi no embaralhamento dos votos, em 2012", sentencia Giuseppe. De acordo com ele, testes públicos como o daquele ano não aconteceram em nenhum outro lugar do mundo e, como não fazem parte de uma obrigatoriedade da Justiça, ocorrem segundo a própria vontade do TSE.

O secretário do tribunal eleitoral frisa que a urna e seu sistema são revisados a cada dois anos. Em abril deste ano foi criado um grupo de segurança, cuja maioria dos membros estavam vinculados ao governo com carteira assinada: funcionários do próprio TSE ou de algum Tribunal Regional Eleitoral. O professor Mamede Lima-Marques, da UnB, é a única exceção do grupo. Procurado, ele não se pronunciou até o fechamento dessa matéria.

A única fragilidade encontrada foi no embaralhamento dos votos, em 2012

O secretário de TI do TSE ressalta que o sistema todo é auditável pelos partidos eleitorais durante 180 dias antes das eleições. Segundo ele, a assinatura digital é protegida por várias chaves fechadas em um cofre. "São vários certificados digitais e cada urna tem seu certificado, cada uma tem sua chave", diz. Para fechar a blindagem, Giuseppe relata que os quase 300 programadores do TSE trabalham sob um regime de segregação de conhecimento. "Aquele que desenvolve um determinado módulo conhece muito pouco ou nada do outro módulo: quem trabalha com votação não conhece totalização e não conhece divulgação", garante.

Diego, fiel a seu método contestador, segue questionando: "Se alguém no TSE quiser realizar uma fraude em larga escala, eu duvido que se consiga verificar isso. Fraudes internas acontecem na indústria, em bancos, acontecem o tempo todo. O Snowden é um desses", diz ele, sem esquecer de que é favorável à conduta do norte-americano nesse caso. Uma arma antifraude seria uma prova física do voto, como uma nota fiscal de uma compra online, ainda segundo Diego. Ele defende que, além da cédula virtual, haja uma comprovação do voto em papel que confronte os resultados do sistema digital. "Nesse caso, você obriga o fraudador a manipular papel, além de alterar o software", diz.

Crédito: Helena Wolfenson

Ao fim de 2013, o Supremo Tribunal Federal julgou inconstitucional o voto em papel. Relatora do processo, a ministra Carmen Lúcia alegou que ele daria margem à quebra do sigilo da votação. Detalhe importante: ela também era presidente do TSE na época. Enquanto isso, na Argentina e na Índia as eleições já funcionam assim: feito o voto na urna eletrônica, o eleitor tem a sua disposição um bilhete com sua escolha impressa. Para Diego, uma recontagem só é possível nesses casos. "No Brasil, qualquer recontagem de fraude vai dar um resultado fraudado. Os bits não guardam história."

Mais que possíveis falhas de impressão ou quebra de sigilo, Giuseppe, por sua vez, acredita que a utilização de papel nas eleições brasileiras seria um retrocesso. "Por que o processo evoluiu para um processo eletrônico? A mão do homem traria falhas. Se trouxermos a eleição para o papel, ele terá de ser contado, e quem vai contar é a mão do homem. Estaríamos trazendo um método fracassado para um cenário novo", sentencia.

A única prova física do resultado das eleições é o Boletim de Urna que, além de armazenado na memória enviada ao TSE, também é impresso ao fim da eleição por cada uma das urnas do pleito. Embora acredite que o processo todo é uma peneira, Diego Aranha se baseia nesse documento para a elaboração de seu recente projeto, o Você Fiscal. "A única coisa que a sociedade pode verificar hoje é o que não depende de software: comparar se o boletim impresso é compatível com o boletim emitido pelo TSE. A gente pode bater as duas versões. Se o software for adulterado, a gente não detecta isso, mas a gente pode detectar fraude na transmissão de dados", explica.

A ÚNICA COISA QUE A SOCIEDADE PODE VERIFICAR HOJE É O QUE NÃO DEPENDE DE SOFTWARE

O sistema criado pelo professor funcionará como um aplicativo para smartphone. A verba do projeto foi obtida via crowdfunding com um total que beira os R$ 50 mil, 60% além da meta inicial. "A ideia não é parar nessas eleições. A gente quer financiar esse aplicativo uma única vez, porque ele será aberto, todos os dados ficarão disponíveis no site do Você Fiscal de maneira auditável. Não deixa de ser uma lição de transparência também", afirma o professor.

Ao fim dos testes da urna, em 2012, ele assinou um relatório que apontava as falhas do sistema e suas possíveis soluções. Em seguida, o TSE emitiu nota oficial em que se lê: "Querer enfatizar um dado comercial ou o fato de se ter descoberto, num teste público, uma fraqueza técnica que pode ser consertada e a partir daí defender medidas sem a devida cautela é ameaçar a democracia". Diego, persona non grata da autoridade maior das eleições brasileiras, não vê democracia do lado de lá: "O TSE nunca aparece em debate nem nunca nos convidou para escutar o lado acadêmico."

Leia mais matérias de ciência e tecnologia no canal MOTHERBOARD.
Siga o Motherboard Brasil no Facebook e no Twitter.
Siga a VICE Brasil no Facebook , Twitter e Instagram .