[Cidadania] As urnas eletrônicas são seguras?

Após o debate no Mind The Sec São Paulo, e com a proximidade das eleições, a eterna discussão sobre a (in)segurança da urna eletrônica brasileira voltou a chamar a atenção.

Eu gostaria de destacar dois artigos recentes:

• "A urna eletrônica é segura? Em princípio sim, mas há quem discorde", da Exame;
• "A segurança da informação, a urna eletrônica e fraude das eleições", do Adilson Santos da Rocha.

A Exame fez uma pequena reportagem, curtinha, que aborda principalmente o painel que teve no Roadsec, e traz alguns pontos de vistas divergentes para enriquecer o artigo. A favor da urna eletrônica, ela sumarizou alguns pontos apresentados pelo representante do TSE e incluiu um depoimento do Fernando Amate e do Mikko Hyppönen:

• "Desde que foi implementada, não existem mais fraudes. Existem suspeitas, mas fraude, em si, não existe." - Rodrigo Coimbra, chefe da Seção de Voto Informatizado do TSE;
• "O código-fonte das urnas eletrônicas será aberto o mais breve possível" - Rodrigo Coimbra, TSE;
• Os partidos podem participar dos processos de auditoria;
• Quando são produzidas, as urnas têm responsividade apenas nas teclas anula e confirma, para evitar quaisquer tentativas de adulteração ou influência nos resultados. Todas as demais teclas só passam a funcionar depois que estão dentro do TSE;
• "Se a gente roubasse uma urna, o TSE cancelaria a assinatura eletrônica dela e os votos que nela constavam não seria incluídos na contagem" - Fernando Amatte, diretor de inteligência cibernética da Cipher;
• "Em todas as pontas do processo que eu conheço, o sistema de votação brasileiro é seguro" - Fernando Amatte, Cipher.

Do outro lado, questionando a segurança da urna, a Exame apresentou as opiniões do Diego Aranha, professor-assistente da Universidade de Aarhus, na Dinamarca:

• "Os principais problemas são o fato de o código-fonte não ser público, não haver nenhum registro em papel para uma auditoria com recontagem de um modo que não seja digital e o processo atual de auditoria existente, que pode dar margem à fraude interna." - Diego Aranha
• "Um ponto de crítica por ser o fato de que ele está sob uma entidade única que faz tudo, o TSE" - Fernando Amatte, Cipher.
• "A urna eletrônica ser como uma “caixa-preta” à qual poucas pessoas têm acesso" - Mikko Hyppönen, diretor de pesquisa da F-Secure;
• "O sistema de votação tradicional, em papel, funciona bem. Você pode recontar os votos, se quiser. Se você deixa isso com um computador, não há como checar duas vezes o número encontrado como no voto em papel" - Mikko Hyppönen, F-Secure.

No artigo do Adilson, ele deu uma visão rápida de alguns poucos cenários específicos de vulnerabilidades que poderiam afetar as urnas brasileiras: Acesso Físico (conectar algum pendrive ou dispositivo fisicamente na urna eletrônica), ataques via Eletricidade (alterar registros ou fazer um "wipe" dos dados através da rede elétrica?) e uso de Ondas Magnéticas para acessar a urna (via wireless, Bluetooth, IR) ou identificar as teclas pressionadas pelo eleitor para quebrar a sigilo do voto.

Dentro dessa análise superficial nesses cenários bem limitados, o Adilson concluiu que "fraudar uma eleição como um todo seria uma tarefa muito complicada", além de muito caro e perigoso.

Mas, em seu artigo, o Adilson não abordou o cenário de injeção no código da urna, seja por um agente interno do TSE (algum funcionário ou terceiro que tenha acesso ao código fonte) ou por alguma outra forma maliciosa. Afinal, essa uma das principais críticas do Diego Aranha: não há auditoria pública do código-fonte da urna e os controles de integridade do código são falhos. Lembro também de ter visto uma discussão, há algum tempo atrás, da possibilidade de alguém trocar os cartões de memória com o programa executável da urna, colocando uma versão adulterada código.

O risco, nesses cenários, é de que haja uma rotina maliciosa na urna que altere a contagem dos votos. Imagina se a urna trocar os votos de uma parcela dos eleitores: alguns dos eleitores que votarem no candidato "A"terão seu voto computado para o candidato "B". Faça isso para, por exemplo, 20% dos votos, para chamar menos a atenção. Além de não termos auditoria do programa que roda nas urnas, também não temos como auditar os votos, pois não é possível "recontar" os votos realizados.

Outros cenários de ataque, ignorados no artigo do Adilson, dizem respeito ao sistema de totalização dos votos: como garantir que os votos de cada urna foram transmitidos e calculados sem chance de adulteração.

Outro ponto a discutir é que, ao contrário do que diz o TSE, a identificação biométrica traz pouca segurança ao processo eleitoral. Um dos maiores problemas é o caso de pessoas que votam no lugar de outros eleitores - ou alguém que se identifique com um documento falso, ou o caso de mesários mal intencionados, que votam em nome dos eleitores que tenham faltado no dia da eleição. É comum ouvir histórias de pessoas que não foram votar mas tiveram a sua presença identificada pelo TSE. Google it! A identificação biométrica do eleitor poderia resolver isso, se não fosse por um detalhe: em caso de falha na identificação biométrica, o presidente da seção eleitoral pode liberar o voto do eleitor!

Ou seja, qualquer pessoa pode votar sem a necessidade de identificação biométrica, incluindo um mesário mal intencionado ou outra pessoa que se passe pelo eleitor original.

Recentemente, eu participei de um debate aonde, no final, questionaram sobre a segurança das urnas brasileiras. A minha resposta foi que me preocupa o fato do TSE conduzir os "testes públicos" de forma rígida, limitando os tipos de testes que podem ser realizados. E, nesse cenário, me preocupa saber que, mesmo assim, em ambiente controlado, em todos os testes foram encontradas falhas e vulnerabilidades.

Nós, Brasileiros, trocamos a garantia do voto (ou seja, a possibilidade de auditar o processo de votação), pela velocidade de apuração dos resultados.