Faltava só uma horinha para Diego Aranha provar um ponto que defende há anos: as urnas eletrônicas do Brasil podem ser fraudadas. Era uma sexta-feira de dezembro, e um grupo de três pesquisadores liderados por ele trabalhava há cinco dias numa sala do terceiro andar do Tribunal Superior Eleitoral. O objetivo era desviar votos de um candidato para outro em uma eleição fictícia. Tudo parecia encaminhado para isso quando, às 18 horas, o tempo acabou.
Publicidade
“Foi como se a gente estivesse no Masterchef, todo mundo teve que levantar a mão da bancada na hora”, diz Aranha, enquanto caminha em direção a sua sala no Instituto de Computação da Universidade em Campinas, com uma estante cheia de bonequinhos de super-heróis, desenhos e personagens de cultura pop. Há seis anos uma das vozes mais proeminentes nessa discussão, não esconde um sorriso quando perguntado se já encheu o saco de falar sobre o tema. “Eu já cansei, descansei, cansei de novo. Mas continuo.”Apesar de não ter conseguido o objetivo final de fraudar as urnas no teste do TSE, Diego explorou falhas interessantes. À frente de um grupo que juntou os pesquisadores Paulo Matias, Pedro Barbosa, Thiago Cardoso e Caio Lúders, ele conseguiu mudar mensagem na tela da urna, alterar os registros de votação e encontrou uma maneira de quebrar o sigilo do voto.“É fato científico que as urnas são inseguras”, afirma o especialista em criptografia e segurança computacional. Segundo ele, se tivesse mais tempo no teste, conseguiria o cheque-mate: desviar votos e provar para leigos que as urnas são inseguras. No mundo real, insiste, as coisas são diferentes do teste. São mais fáceis. “Em uma eleição real nenhum reloginho vai controlar os passos dos atacantes.”Ele tem cacife para fazer as afirmações. Em 2012, Aranha foi o primeiro pesquisador a encontrar uma vulnerabilidade no software usado pelas urnas durante teste promovidos pelo TSE. Era um erro rudimentar conhecido desde 1995 que permitia saber a ordem certa dos votos depositados em determinada urna. No mesmo ano, também observou que a chave criptográfica necessária para instalar o programa de votação em 600 mil urnas ao redor do país era uma só e estava às claras no código-fonte.
Publicidade
O que isso significa? Bem, a explicação não é tão simples. A instalação do software de votação é feita por meio de um cartão de memória conhecido como flash de carga. Segundo o TSE, cada flash de carga é usado em entre 20 e 50 urnas. Se inserido em um computador comum, o conteúdo é indecifrável. A não ser que você tenha a chave criptográfica. E foi isso que Aranha descobriu não ser difícil de achar.
Em outubro de 2017, quando o grupo passou três dias inspecionando a olho nu 10 milhões de linhas de código-fonte da nova versão do programa, a estratégia inicial foi buscar por essas falhas identificadas por Diego seis anos atrás. Era a primeira fase de provas, feita em uma sala hermética do TSE, de onde não saiam nem anotações. E para a alegria dos pesquisadores, a chave do flash de carga continuava visível.Em novembro, quando chegou a hora de colocar a mão nas urnas, foi questão de tempo acessar o conteúdo do cartão. Em tese, todos os arquivos deveriam ter uma segunda camada de proteção - uma assinatura digital -, mas alguns deles estavam descobertos. O primeiro passo foi fazer alterações pontuais nesses arquivos e rodar uma eleição de testes. Funcionou sem problemas. “Tínhamos mecanismo para injetar o nosso código em um pedaço do software. Para todos os efeitos, estávamos programando a urna”, diz Diego."Para todos os efeitos, estávamos programando a urna"
Em seguida, os pesquisadores exploraram as funções controladas pelos arquivos desprotegidos, inclusive a que fazia com que a urna lesse comandos inseridos por um teclado comum de computador. Para alterações mais significativas, era preciso utilizar o caminho aberto. Isso interferiria em recursos protegidos com a assinatura digital.
Publicidade
Difícil, mas não impossível. No começo da tarde de sexta, mudaram o nome da versão do programa usado nos testes de ‘A Hora da Estrela’ para ‘A Hora da Treta’. Em seguida, alteraram o texto ‘Seu Voto Para’, exibido no canto superior esquerdo da urna, para ‘Vote 99’ - a verdadeira boca de urna eletrônica.Faltava o golpe final. Diego e companhia já haviam encontrado o caminho para desviar votos de um candidato para outro. Com o horário próximo do limite, prepararam o flash de carga que acabaria com a discussão de uma vez por todas e o inseriram na urna para rodar uma última eleição virtual — processo que demorava mais de uma hora. Enquanto isso, Paulo, professor do Departamento de Computação da UFSCar, fazia testes no simulador para ver se estava tudo certo. Não estava. “Deu erro. Voltei para checar e vi que havia digitado um comando errado em três linhas de código”, conta ele. “Falei ‘cancela, fiz besteira’.” Mas era tarde demais.Para o TSE, não há dúvida de que as urnas são seguras. “As urnas são a melhor solução tecnológica para as eleições brasileiras. Eventos como nosso teste só reforçam a segurança da urna, pois são agentes catalisadores da evolução de seus mecanismos de proteção”, afirmou o Tribunal, por e-mail.O discurso oficial, que contemporiza as falhas encontradas, incomoda Aranha. O primeiro contato dele com essa realidade foi logo após divulgar as primeiras falhas que encontrou em 2012. Na manhã seguinte, acordou com a notícia, divulgada pelo Tribunal, de que a vulnerabilidade já havia sido solucionada e validada por ele mesmo. “Tudo isso enquanto eu ainda dormia”, conta ele.
Amigo ou inimigo do TSE?
Publicidade
Por fim, depois detalhar todas as falhas encontradas em uma entrevista ao G1, o TSE subiu o tom: “Querer enfatizar um dado comercial ou o fato de se ter descoberto, num teste público, uma fraqueza técnica que pode ser consertada e a partir daí defender medidas sem a devida cautela é ameaçar a democracia”. Era um recado pesado.“Eles vieram com um tiro de bazuca”, diz o professor da Unicamp. No ano passado, diz, o clima era menos combativo. A briga sobre qual o significado prático das vulnerabilidades do sistema, no entanto, continuou. Em audiência pública feita no começo de março no Senado, representantes do TSE não compareceram para contestar os argumentos dos especialistas em segurança de informação. Uma semana depois, sem a presença dos interlocutores críticos ao modelo, o Tribunal foi a uma nova audiência e reforçou a tese de que os testes não indicam que a urna possa ser fraudada.
“Ninguém pode alegar que a mudança que fizemos ao colocar ‘Vote 99’ no monitor da urna não é gravíssima", diz Aranha. Chamamos técnicos do TSE para ver e eles tomaram um susto, aquilo nunca poderia acontecer. É novamente frustrante, porque reagem assim e no relatório dizem que é um sucesso mas surtiria pouco efeito em uma eleição real”, explica Aranha.O TSE afirma que todas as vulnerabilidades encontradas nos testes de 2017 (aqui o relatório completo) já estarão solucionadas nas eleições. Nos dias 7 e 8 de maio, o Tribunal promoveu testes de verificação para os pesquisadores checarem se os erros foram sanados. A princípio, Aranha e companhia haviam pedido tempo extra de trabalho com a versão antiga do software para provar que seriam capazes de adulterar os votos. O pedido foi negado.“Ninguém pode alegar que a mudança que fizemos ao colocar ‘Vote 99’ no monitor da urna não é gravíssima"
Publicidade
A missão de provar que não é teoria da conspiração
Siga o Motherboard Brasil no Facebook e no Twitter .
Siga a VICE Brasil no Facebook , Twitter, no Instagram e no YouTube.