novembro 10, 2015

[Segurança] Somos um risco à soberania nacional?

O relatório da Auditoria Especial no Sistema Eleitoral 2014 realizado pelo PSDB tem um trecho que chamou a atenção de várias pessoas. Na página 102 ele diz:
"Os analistas tiveram que ser pré-aprovados pelo TSE, tendo sido recusada a inscrição do professor Alex Halderman e do analista de segurança Rodrigo Branco, por alegado risco à soberania nacional. Um pedido de reconsideração dessa recusa não foi respondido até o final dos trabalhos da análise."
Basta acompanhar as histórias e notícias sobre todas as iniciativas de auditoria do processo eleitoral brasileiro para perceber que o TSE limita, e muito, qualquer tentativa de avaliação séria da segurança das urnas eletrônicas. Pior ainda: eles promovem uma falsa sensação de transparência, pois ao mesmo tempo que promovem iniciativas de auditoria independente, eles controlam com mão de ferro como estas auditorias devem ser feitas. Todas as pessoas participantes, ferramentas e metodologias de teste devem ser previamente avaliados e aprovados pelo TSE.

Por isso, não causa surpresa ver que um dos mais conhecidos profissionais e pesquisadores de segurança brasileiros teve a sua participação na equipe de auditoria rejeitada pelo TSE. O espantoso é o motivo alegado: "risco à soberania nacional". Parece piada, não é? E assim foi tratado por várias pessoas.

O assunto é mais interessante se analisamos o motivo para essa decisão. Segundo a transcrição da decisão do TSE o Rodrigo Rubira Branco foi apresentado como "residente nos EUA", e por isso o TSE entendeu que as informações sobre o processo eleitoral "não podem ter seu acesso franqueado a pessoas físicas ou jurídicas estrangeiras, ou vinculadas a países ou entidades internacionais". Uma explicação fraca, que pode facilmente ser questionada, pois o Rodrigo é Brasileiro, com direito a voto - apenas mora no exterior.

Voltando a questão da segurança das urnas eletrônicas, o extenso relatório do PSDB não deixa dúvidas: o sistema é falho, inseguro e impossível de ser auditado. Para exemplificar, o capítulo 4.4.2.5.8, que menciona a exclusão do Rodrigo Branco, diz respeito a "Análise do Código-fonte Disponível", aonde foi executada uma análise estática do código, o que permitiu que fossem encontradas diversas falhas, conforme podemos ver na transcrição abaixo:
"Uma parte da análise consistiu na execução do programa de verificação estática de código CppCheck, em busca de vulnerabilidades e pontos de atenção. Tal execução apontou mais de 1000 trechos identificados como erros (i.e., problemas considerados graves pelo programa de análise) e mais de 2000 alertas (i.e., sugestões relativas a técnicas de programação defensiva, que podem evitar falhas)."

Ainda neste capítulo, é discutida também a segurança do sistema operacional sobre o qual o sistema da urna eletrônica é executado. E a análise foi...
"Especificamente para as urnas eletrônicas, o TSE optou por utilizar o sistema operacional de software livre Linux com algumas adaptações. O Linux foi congelado na versão 2.6.16.62 de 2009.
Por ser esta uma versão antiga, várias atualizações e implementações de segurança, feitas pelo projeto Linux ao longo dos últimos 6 anos, ficaram de fora da versão congelada pelo TSE."
Resumindo ainda mais o resumo das conclusões do relatório da auditoria realizada pelo PSDB sobre o 2º turno da eleição presidencial de 2014, temos um quadro desastroso, mas que não causa surpresa a qualquer profissional de segurança que já tenha gasto poucos minutos analisando ou simplesmente refletindo sobre o nosso sistema eleitoral. Veja os principais pontos identificados pelo PSDB:
  • A coleta de dados para auditoria teve sua confiabilidade prejudicada porque enfrentou restrições administrativas, tendo sido negada a entrega de parte dos dados solicitados;
  • Não foi possível se determinar a confiabilidade dos resultados produzidos pelas urnas eletrônicas, pois:
    • Não é possível fazer uma auditoria contábil da apuração dos votos em um sistema de urnas eletrônicas que é essencialmente dependente de software e não produz um registro material do voto (o voto impresso) que tenha sido visto e conferido pelo eleitor e que possa ser utilizado como trilha de auditoria;
    • Não é possível fazer uma validação e certificação minimamente confiável do software embarcado nas urnas eletrônicas para verificar sua integridade devido a restrições impostas pela autoridade eleitoral;
  • o sistema eletrônico de votação do TSE não está projetado e implementado para permitir uma auditoria externa independente e efetiva dos resultados que publica.

Ou seja, só nos resta perguntar, sarcasticamente: quem será que é o verdadeiro risco à soberania nacional?

Um comentário:

Unknown disse...

Anchises,

concordo plenamente com seus comentários sobre o processo e o absurdo de proibir o Rodrigo de participar. Apenas quero comentar sobre o uso de ferramenta de análise estática. O fato da ferramenta apresentar vários "findings" não quer dizer que o código é vulnerável. Obviamente que também não quer dizer que é seguro. rs...

Só é importante ressaltar que ferramentas de análise estática não são efetivas para afirmar que um código é vulnerável, é preciso analisar os findings e confirmar se não é um falso positivo.

Abs

Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.