A segurança das urnas eletrônicas é um assunto que vem ganhando destaque há alguns anos, principalmente durante os períodos eleitorais no país. O Tribunal Superior Eleitoral (TSE) defende a segurança das urnas eletrônicas e a confiabilidade das eleições, mas o assunto ainda gera controvérsias que são destacadas por especialistas na área de segurança, assim como já publicamos anteriormente.
A equipe do WLS entrou em contato com Diego Aranha, especialista em segurança de sistemas e atual professor na Universidade de Aarhus, na Dinamarca, que participou de auditorias públicas realizadas com as urnas eletrônicas no Brasil, e esclareceu algumas questões sobre o assunto. Diego recebeu em 2015 e 2016 os prêmios Google Latin America Research Awards para pesquisa em privacidade e Inovadores com Menos de 35 Anos Brasil da MIT Technology Review por seu trabalho com o voto eletrônico.
WLS - Você coordenou a primeira equipe de investigadores independentes que conseguiram detectar e explorar vulnerabilidades no software da urna eletrônica no Brasil em testes públicos de segurança, organizados pelo TSE, e também participou como observador externo em anos anteriores. Qual a sua visão sobre as auditorias realizadas? Existem restrições de acesso?
Considero que os testes de segurança são importantes e desejáveis, mas continuam claramente insuficientes no formato atual. Primeiramente, há o obstáculo de se ter que examinar uma quantidade gigantesca de código (da ordem de dezenas de milhões de linhas) em poucos dias sob supervisão do TSE, sem a possibilidade de fazer modificações para entender melhor seu funcionamento. Não há nenhuma garantia de que o código examinado nos testes será de fato utilizado nas eleições, pois o desenvolvimento do sistema continua até a eleição seguinte e pode introduzir novas vulnerabilidades. Além disso, todo o funcionamento é bastante burocrático, toda a documentação toma bastante tempo para ser produzida no ambiente de testes. Na edicão de 2017, preenchemos múltiplas instâncias de 8 tipos diferentes de formulários. Há também restrições no uso de papel para fazer anotações, não é possível utilizar nossas próprias máquinas e equipamentos, sendo necessário montar um ambiente de trabalho nos primeiros dias do evento. Entretanto, mesmo com todos esses obstáculos e limitações, falhas de segurança bastante importantes já foram descobertas e exploradas no ambiente de testes, o que de certa forma indica o grau de vulnerabilidade do sistema.
WLS - Durante os testes que você participou, quais foram as vulnerabilidades mais graves encontradas? Todas as falhas reportadas ao TSE foram corrigidas na época?
Nos testes de 2012, conseguimos recuperar os votos em ordem de uma eleição simulada, usando apenas informação pública. Esse ataque poderia ser usado para violar o sigilo do voto de uma seção eleitoral inteira sob controle de um mesário malicioso que mantém a ordem de votação dos eleitores, ou então de um eleitor ilustre com horário de votação conhecido, como o presidente do próprio TSE. Documentamos também uma série de outras falhas de segurança envolvendo o mecanismo de verificação de integridade do software.
"O sistema continua especialmente vulnerável contra um fraudador interno com acesso privilegiado por longos períodos de tempo".
Já em 2017, alcançamos o objetivo inédito de conseguir adulterar o software de votação para trocar os programas instalados nas urnas eletrônicas por versões maliciosas antes de uma eleição simulada. Os programas maliciosos podiam efetuar qualquer tarefa para a qual fossem programados, como quebrar o sigilo do voto de eleitores específicos, impedir que votos fossem registrados e fazer propaganda de candidatos na tela de votação. Os testes foram interrompidos enquanto executávamos programas para desviar votos. O resultado foi alcançado precisando apenas de acesso aos cartões de memória que instalam as urnas, considerando que cada cartão instala individualmente 50 equipamentos. Em uma eleição real, o ataque não necessitaria de acesso às urnas eletrônicas no dia da eleição para atingir a escala desejada. Uma das vulnerabilidades exploradas para atingir os resultados já havia sido detectada e publicada em 2012, mas que até hoje não havia sido devidamente mitigada.
As correções e mitigações aplicadas pelo TSE são suficientes para aumentar a resistência do sistema contra fraudadores externos, mas o sistema continua especialmente vulnerável contra um fraudador interno com acesso privilegiado por longos períodos de tempo.
WLS - A eleição deste ano celebra 22 anos de urna eletrônica. Na sua opinião, por que a segurança das urnas começou a ser questionada apenas nos últimos anos no Brasil? Esse processo já tem sido estudado em outros países, mas apenas agora (nos últimos anos) começamos a nos perguntar se é realmente seguro?
Na minha opinião, houve blindagem jurídica e técnica em torno do sistema, de forma que a única informação pública a respeito vinha da propaganda oficial. Apenas em 2012, após 14 anos de operação, foi possível examinar pela primeira vez o código-fonte do sistema sem restrições de um Termo de Sigilo para se começar um debate técnico baseado em evidências em torno do tema. A imprensa também não tem colaborado muito, havendo muitas vezes clara preferência em repetir a propaganda oficial no lugar de apresentar as múltiplas posições técnicas sendo colocadas. Desconstruir essa situação para que seja possível evoluir o debate é um esforço hercúleo e muito frustrante.
WLS - Como você observa a evolução dos testes realizados com as urnas eletrônicas no Brasil? Você tem percebido algum avanço ou preocupação sobre o tema por parte das instituições responsáveis?
Há avanços importantes, especialmente na forma que os técnicos da Justiça Eleitoral encaram nossas observações e no esforço empregado para tentar mitigar vulnerabilidades do ponto de vista técnico e procedimental. Entretanto, ainda há enormes obstáculos para se tratar do tema de forma transparente com as instâncias superiores do Judiciário, que entendem que a defesa incondicional do sistema é a única postura possível, o que polui o debate técnico e a cobertura da imprensa. A polarização recente em torno do tema termina sendo consequência dessa postura, na medida que há desconfiança generalizada nas instituições, e concentrada naquelas que não satisfazem requisitos mínimos de transparência.
WLS - O que poderia ser feito para melhorar a segurança das urnas eletrônicas e tornar o processo eleitoral transparente?
"É fundamental a introdução de um registro físico do voto para permitir aos eleitores verificarem o comportamento correto do sistema durante a votação".
Penso que é fundamental a introdução de um registro físico do voto para permitir aos eleitores verificarem o comportamento correto do sistema durante a votação, associado a um procedimento rigoroso de custódia dos registros para eventual verificação independente e auditoria. Se implantado corretamente com depósito automático em urna convencional após conferência do eleitor, o voto impresso permite verificar a integridade da contagem eletrônica a partir da contagem dos registros físicos, ainda que por amostragem. Isso aumenta significativamente a dificuldade de uma fraude indetectável ao exigir que intervenções idênticas sejam realizadas nas versões digital e impressa dos votos.
Essa foi a forma que todos os outros países com eleições eletrônicas em escala nacional encontraram para realizar eleições auditáveis, mesmo cientes de que todo sistema computacional possui falhas e vulnerabilidades. Ao invés de especialistas inspecionarem antes das eleições uma fração razoável dos milhões de linhas de código que compõem os programas, o entendimento da comunidade técnica é que faz muito mais sentido auditar o comportamento do sistema durante a votação, que é quando realmente importa.