Geral

Vamos falar sobre as urnas eletrônicas?

No artigo passado fiz um tutorial de uma brincadeira com a urna eletrônica. Essa brincadeira não se assemelha em nada com o processo da urna eletrônica real e esse artigo de hoje não é um tutorial, mas é para ponderarmos a respeito das possibilidades relacionadas à urna e se isso pode influenciar no resultado das eleições.

Um pouco de história

As urnas eletrônicas entraram em ação no Brasil nas eleições municipais de 1996. Acredito que muitos devem lembrar do nome Diebold, um dos fabricante de urnas eletrônicas. Evidências de falhas graves nas urnas foram encontradas em sua terra de origem, na América do Norte e vetada por outras nações. Mesmo assim, o Brasil manteve a relação com a empresa, continuando a adquirir o produto já então banido em diversas nações e hoje, utiliza por dois outros regimes, sendo a Venezuela um “ótimo” exemplo, como veremos mais adiante.

Em 2006 a revista Fortune publicou uma reportagem sobre as falhas e fraudes no sistema eletrônico de votação dos EUA. O texto é assinado por Barney Gimbel, em colaboração de Susan Kaufman  com a seguinte frase abrindo a matéria, no que diz respeito à Diebold:

“Primeiro, entre em um negócio que você não entende, vendendo a clientes que pouco entendam do assunto também”.

A entrada no processo eleitoral brasileiro deu-se através de licitação, no final dos anos 90. Desde então, a empresa passou a lucrar não só com a fabricação de urnas eletrônicas, mas também com serviços correlacionados. Em 2011, a empresa venceu uma licitação no pregão eletrônico 13946/2011, que autorizava o governo a pagar até R$35.000.000,00 para atualização de hardware e fornecimento de peças.

As urnas são substituídas com pouco tempo de uso (veremos a respeito na parte técnica desse artigo), portanto é um negócio que gera custo constante aos cofres públicos. Segundo o TSE, a vida útil é de 10 anos, de forma que uma urna é utilizada por apenas 5 vezes antes de ser substituída, com no máximo (considerando segundo turno) 90 horas de uso.

Acervo criminal

Em 2004 a Diebold foi multada em 2,6 milhões de dólares por tentar encobrir falhas no processo eleitoral da Califórnia. Nesse artigo da BBC você poderá ler muita informação a respeito do processo falho que se repetiria. Os problemas apareciam mais facilmente em eleições acirradas, e nas quais o patido que está no poder se mostra propenso a interferir no processo de votação, como já ocorreu antes. Quando esses dois fatores se aliam, é quase certo que várias regras serão quebradas e a votação tomará um rumo sujo”, afirmou Andrew Gumbel, o correspondente em Los Angeles do jornal britânico The Independent e autor do Steal this Vote (roube este voto, em tradução livre). O jornalista cita como exemplos os casos da Flórida, na eleição presidencial de 2000, e de Ohio, na votação de 2004.

Na época, dois integrantes do “Grupo de Polícia Online” denunciaram as falhas e passaram a ser duramente pressionados pela empresa a manter silêncio.

Em 2010 a Diebold pagou uma multa de 25.000.000,00 de dólares de multa por ter inflado ganhos obtidos entre 2002 e 2007. Ninguém foi preso, mas fica clara a imagem dessa empresa.

Em 2013 ocorreram os crimes mais graves, onde a Diebold foi condenada a pagar cerca de 50.000.000 de dólares em multas por subornar agentes do governo para falsificação de documentos. Não por acaso, os países foram China, Indonésia e Rússia.

Confiabilidade dos equipamentos

Em 2006 foi ao ar pelo canal HBO nos EUA, um documentário chamado “Hacking Democracy”. Um acompanhamento de 3 anos de trabalho do grupo “Black Box Voting”, uma entidade sem fins lucrativos destinada a analisar a confiabilidade das máquinas eletrônicas de votação. Mais uma vez, a lider de problemas foi a Diebold.

O documentário mostra que, na eleição presidencial norte-americana de 2004, em Ohio, os primeiros 3% dos votos de cada uma das urnas eram simplesmente ignorados. Guarde essa parte agora, porque vamos falar disso mais adiante. Registros de votos foram encontrados em uma lixeira. O filme mostra também testes com outras 5 urnas, tendo sido possível fazer a alteração dos resultados. Na época, o software da urna era baseado no Microsoft Access, sem senha. Sim, as coisas evoluiram muito, mas veremos detalhes mais adiante.

As falhas foram tão notórias que motivaram o banimento das urnas da Diebold pelos governos da Alemanha, EUA, Holanda e Paraguai.

A situação no Brasil

Em matéria da Folha de São Paulo de Novembro de 2015, Gilmar Mendes ainda não havia se tornado ministro do TSE, e afirmava ter “toda a confiança na urna eletrônica”, tendo chamado de “lenda urbana” a possibilidade de falhas no processo. Essa afirmação também pode ser encontrada facilmente através do google, em outros portais como nesse link da UOL TV.  Por acaso, em 2016 ele mandou investigar o caso da “aparição” de 77 mil votos, das eleições de 2014, por eleitores que haviam justificado ausência. Mas esse foi o segundo evento que causou incômodo. Em 2014, logo após as eleições, o PSDB solicitou a auditoria das urnas, cujo pedido foi intermediado pelo Instituto Brasileiro de Peritos e o escritório de direto digital Opice Blum.

As urnas da Smartmatic também foram questionadas e o TSE se manifestou sobre o artigo publicado no blog de Rodrigo Constantino, nesse artigo. Na nota do TSE, ficou pior o remendo, onde afirmam que as urnas utilizadas no sistema eleitoral brasileiro foram projetadas por técnicos a serviço da Justiça Eleitoral e são produzidas sob sua coordenação direta. Mas houve sim um contrato com a empresa Smarmatic, que teve escopo de recrutamento e contratação de aproximadamente 14 mil profissionais que atuaram no suporte técnico operacional em 2014 – ano cuja diferença de votos entre Dilma e Aécio Neves foi “profetizada” pelo Lula. Ainda na nota do TSE, eles afirmam que “o resultado das eleições de 2014 foi objeto de auditoria solicitada pelo PSDB, na qual não foram encontradas irregularidades que comprometessem a fidedignidade do resultado divulgado”. De fato, não foi possível extrair as informações necessárias para comprovar fraudes porque o processo de auditoria segue o estilo Jumanji, cujas regras escabrosas não permitem formar com acuidade um laudo. Mas outra vez, veremos a respeito na parte técnica desse artigo.

Só quero citar mais um trecho do referido texto do TSE para que mais adiante as peças desse quebra-cabeça comecem a se encaixar melhor:

“…Fica impedido, assim, que ocorram fraudes como a que recentemente foi denunciada na Venezuela.”

Resolução 23.399 do processo eleitoral

Esse documento do TSE é público e pode ser apreciado por qualquer pessoa. Na seção V, parágrafo 5, está definido que “Os arquivos log referentes ao Sistema Gerenciador de Dados, Aplicativos e Interface com a urna eletrônica somente poderão ser solicitados pelos partidos políticos, coligações, Ministério Público e Ordem dos Advogados do Brasil à autoridade responsável pela geração das mídias nos locais de sua utilização”. Ou seja, um popular não tem acesso à informação. Em continuação, no parágrafo sexto, as cópias solicitadas são entregues através de um intermediário, não são coletadas.

Nesse documento também cita-se o processo de lacração das memórias de votação. Em 2014, muitas memórias foram recolhidas sem lacre.

Essa resolução também informa sobre o ajuste de hora/calendário interno da urna após a lacração – isto é, antes de ir para a seção eleitoral. Em havendo a necessidade do ajuste de hora, utiliza-se um “programa específico desenvolvido pelo Tribunal Superior Eleitoral, por técnico autorizado pelo Juiz Eleitoral, notificados os partidos políticos, coligações, Ministério Público e Ordem dos Advogados do Brasil, lavrando-se ata”. Ainda não vamos entrar no assunto técnico, mas essa é a primeira possibilidade aberta para vulnerabilidades. A urna eletrônica tem um compartimento através do qual se pode acessar uma porta USB para inserir o dispositivo de ajuste de hora, tecnicamente conhecimento como RTC, que é um dispositivo ativo, alimentado externamente por uma bateria e que mantém em seu programa o gerenciamento de data/hora. Esse dispositivo possui um programa que pode interagir com o dispositivo a qual for conectado, no caso, a urna.

No documento consta como “mídia de ajuste de data/hora”, mas o termo correto seria “dispositivo”.

No caso de anomalias na urna, elas podem ser substituídas pela reserva e a memória pode ser transferida, substituída, pode ser realizada nova carga. Ou seja, a fragilização completa do processo de votação, uma vez que passa a haver interação humana no processo.

O sistema permite regravação da memória, como descrito no documento supracitado. Veremos a respeito da implicação disso na parte técnica.

E se o candidato for inelegível?

Se considerarmos o capítulo IV da resolução 23.399 do TSE. No parágrafo V,  trata-se de “candidatos inaptos a concorrer à eleição, da qual constarão apenas os números, desde que não tenham sido substituídos por candidatos com o mesmo número”.

Vamos começar a falar tecnicamente?

Eu me desculpo de antemão com as pessoas que não são de tecnologia, mas tentarei ser o mais claro possível quanto ao assunto técnico disposto a partir de agora.

Iniciando pelo processo em si, ao ligar a urna deve-se imprimir a zerésima. Essa impressão tem a função de mostrar que não há votos registrados. Porém, trata-se de um sistema computacional, onde todo o tipo de evento é programável e a impressora poderia imprimir uma poesia, se fosse programada para isso. Se colocarmos em jogo a credibilidade dessa impressão, em que poderíamos nos apoiar? Bem, ao final da votação é tirada outra impressão, com a totalização, que tem que corresponder ao número de eleitores que votaram. A urna tem duas memórias:

Infelizmente, a urna não contém apenas os recursos mínimos para seu funcionamento. Possui também uma ferramenta de recuperação de dados, o que permite interação com o sistema de arquivos da urna. E onde isso poderia ser problema?

A urna possui a chave criptográfica para assinatura de programas e votos registrados. Quando finalizada a votação, os votos são carregados para a memória de contabilização. Desse modo, poderia ser tirado o hash de ambas as memórias e então certificar-se de que não houve manipulação da origem ao destino, certo? Daí entra uma questão; e se os dados forem inseridos localmente, houver a manipulação na midia de destino, depois ao término, a origem é sobrescrita? Jamais poderemos afirmar que isso ocorra. Também não podemos afirmar que não ocorra. Então, se na auditoria for solicitado o código que é responsável por gravar os votos nas memórias, essa dúvida seria sanada, certo? Talvez não. Qualquer sistema computacional tem uma porção de código que é executado em uma terceira memória, essa, volátil – a memória RAM. Um código que se inicie na memória RAM não deixa vestígios.

As últimas falhas públicas relatadas foram a do Prof. da Universidade Estadual de Campinas. Uma delas permitiu que se mudasse as mensagens exibidas na tela. Em minha primeira votação em urna eletrônica eu apertei apenas o primeiro botão, então a urna fez um “auto-complete”. Foi a coisa mais estranha que pude ver pessoalmente. Não foi concluída, mas a mudança de votos de um candidato para outro também estava começando a tomar forma.

Ele afirma que a equipe trabalhou em condições piores do que verdadeiros fraudadores o fariam, além da pressão do tempo, que é limitado pelo TSE. De qualquer forma, foi possível explorar pontos vulneráveis para adulteração do voto e entrar no ambiente da urna eletrônica.

Todo o software é potencialmente vulnerável, não há dúvidas, ainda mais com milhões de linhas de código, e Diego Aranha afirmou a necessidade do voto impresso.

-O registro físico é inegociável – Afirmou.

Cinco anos antes desse teste, ele participou de um outro e nesse outro, quebrava o sigilo dos votos. Duas vezes, 3 falhas.

-Demonstramos que era possível recuperar os votos da urna em ordem, sabendo exatamente como votaram o primeiro, o segundo, o terceiro eleitores e assim sucessivamente – explicou.

Me parece que essa falha já foi corrigida, mas teve que ser apontada nessas condições.

A interceptação dos votos já foi constatada em 10 de Dezembro de 2012, por um hacker identificado apenas como Rangel. Segundo ele, os votos podem ser interceptados no momento que enviados das urnas para a contabilização. Faz todo o sentido, uma vez que a chave que descriptografa a memória está contido no sistema de contabilização, cujo processo é feito em sala fechada. Em sua explicação, a interação foi feita após 50% do total de dados já transmitidos. Esse hacker esteve sob a proteção da polícia e atuou na modificação dos votos para um determinado deputado do hoje MDB. Ele escreveu um livro chamado “Burla Eletrônica”, gratuito, que pode ser baixado através desse link.

Indo mais a fundo

Interligado à urna, há somente um terminal do mesário, onde o eleitor é identificado e autorizado a votar. O protocolo de comunicação é bidirecional, obviamente. Dentro desse terminal, tem um ou mais firmwares, mas nunca foi objeto de auditoria, por não ter um sistema operacional. Pode lhe parecer “a teoria da conspiração”, mas tenho certeza que para a maioria dos leitores do meu site é totalmente plausível, uma vez que programamos milhares de firmwares para dispositivos microcontrolados. E esse código que está dentro do terminal, está disponível para auditoria? Como podemos tirar o hash dele para aferir sua integridade? Onde estão as especificações do protocolo de comunicação com a mesa?

O TSE afirma que não há possibilidade de verificar em quais candidatos um eleitor votou (por isso creio que tenha sido aplicada uma correção). Não penso em que isso seria útil, mas devemos pensar “fora da caixa”.  O linux é um sistema operacional tradicional, apenas não está rodando em um desktop. O processador utilizado é um velho Ciryx, que possui todas as suas velharias e falhas internas. Alguém lembra do K5? Pois é.

Um sistema operacional tem componentes gerenciados pelo chamado “espaço do usuário” e componentes gerenciados pelo cérebro, chamado “kernel”. Auditar todos os componentes do kernel que são carregados com o sistema ou carregados a partir do espaço do usuário também seria uma forma de perceber se há algum problema de segurança, principalmente no que se refere à interação com dispositivos periféricos. Tudo isso apenas para dizer que os dados passam primeiramente pelo driver de sistema, que é antes do que normalmente é auditado. Mas dá pra ser pior.

Vamos falar do teclado. Em um evento de testes do TSE foi percebido que o voto pode ser descoberto através do pressionamento da tecla, a qual gera uma frequência que pode ser capturada pelo equipamento que foi utilizado para tal finalidade, mas a uma distância muito próxima do teclado, o que não representaria um risco para o sigilo do voto. Mas não é o sigilo que me preocupa.

Um dispositivo de teclado pode ser feito de diversas maneiras, mas considerando a afirmação do ocorrido, suponho que o teclado seja uma matriz resistiva. Logo, um conversor AD (Analógico para Digital) precisa ser utilizado para converter o pressionamento em dado digital, então introduzi-lo na interface de sistema. Que tipo de hardware é utilizado no teclado? Alguém alguma vez aferiu para saber se por acaso não se trata de uma MCU (unidade microcontrolada)? Com uma MCU pode-se fazer coisas inimagináveis com os dados digitados, mas ai podemos no apoiar no display, que mostra a foto do candidato antes que o usuário clique em Confirmar, certo? É, mas…

…o display busca as imagens no sistema operacional ou é um display HMI, com altíssimo poder de processamento independente?  Qual o tempo necessário até que retorne ao display a resposta da informação que saiu do teclado e entrou no sistema? Porque se o teclado tiver uma MCU e o usuário votou em “A”, a MCU pode fazer a retransmissão em série dos passos para votar, repetindo a operação inteira de um candidato e enviando “B” invés de “A”. O algorítimo seria algo como:

  • Usuário escolheu A.
  • Usuário clicou em Confirmar.
  • Teclado corrige, digita B, envia Confirmar.

-Mas o usuário não veria o candidato na tela? – Sim, se houvesse tempo, mas em alguns milésimos de segundo a MCU faz a transação inteira e, repare ao votar, o display tem um tempo de carregamento para exibir a informação na tela. Não estou afirmando que ocorra, estou dizendo que é possível e tudo o que nos resta é acreditar na palavra do TSE.

Do mesmo modo, quais outros dispositivos periféricos compõe a urna? Todos os analistas se atém ao sistema de arquivos do sistema operacional e o único teste com hardware que tomei ciência foi esse do teclado.

A urna eletrônica, pelo TSE

Nesse link fala-se sobre a segurança. Nesse PDF (também do TSE) é o mostrado o processo, tratando-se da assinatura digital, criptografia, hash e correspondência. Navegando pelo primeiro link desse parágrafo, encontram-se o link para o hashes dos sistemas alterados. O sistema operacional utilizado nas urnas eletrônicas é atualmente o Linux.

A geração dos hashes é feita mediante compilação dos programas na presença do representante. Se houver diferença nos hashes, significa que um determinado componente do sistema da urna é diferente do compilado. O processo é bem descrito no TSE, mas não deveriamos mesmo esperar de forma explícita esse tipo de fraude. Como não é permitida a execução da urna para testes de auditoria, se houver algum código falho ou malicioso, o hash não indicará anomalia alguma; o mal deveria estar lá.

O sistema operacional da urna eletrônica é iniciado, então alguns módulos são carregados para fazer o gerenciamento do hardware, então o resto do processo de boot do sistema segue normalmente. Um módulo alocado em memória tem a habilidade de escrever, por exemplo, um script shell e gravá-lo em um sistema de arquivos em memória, por exemplo, /dev/shm. Pode executá-lo de lá e esse script pode descarregar o módulo, removê-lo, executar-se durante todo o processo de votação e, ao desligamento da urna, esse script sumirá, não deixando vestígios do módulo outrora pertencente ao sistema e nem vestígios no sistema de arquivo, de forma que nem com uma pericia seria possível encontra algo, pois como o programa foi gravado em uma memória volátil, nunca esteve em um setor do sistema de arquivos do sistema operacional.

Em 2014, quando solicitada a auditoria da urna pelo PSDB, eu já era perito forense digital ad hoc e atuava como assistente técnico no Instituto Brasileiro de Peritos. No documento inicial (com diversas dezenas de páginas) onde escrevi parte, encontramos diversas quebras de protocolo. Memórias saíram sem lacre, pessoas no nordeste tinham diversos títulos de eleitor (já foi noticiado em outro momento a detecção de mais de 25 mil títulos duplicados), pessoas que foram votar e o voto já estava registrado, fotos de memória jogada no mato, livro de mesário jogado no mesmo mato (como não tivemos acesso físico ao livro, não dava pra saber se era original ou uma cópia feita para utilizar na mesa, onde o usuário comum não perceberia, sendo posteriormente trocado e entregue o original, daí o falso jogado fora). Depois do documento enviado ao já Ministro Dias Tófolli, em alguns dias saí do Instituto. O professor Diego Aranha foi chamado para participar do processo, mas não aceitou o convite. O Amilcar foi convidado, aceitou e bem, como eu não estava mais lá, não sei que fim deu, mas a conclusão é que não é possível fazer o escrutínio da totalização, parafraseando o advogado Felipe Marcelo Gimenez – e isso torna a urna eletrônica inconstitucional, porque todo o ato administrativo deve ser público. Além disso, o software utilizado está sob licença GPL, que afirma que  o código fonte deve estar disponível publicamente para todos através de um link público. Onde está o código fonte do sistema? Por fim, porque não é permitido que se façam testes com a urna ligada? Porque não é permitido fazer simulações, compilando os códigos a serem testados?

Para entender do ponto de vista jurídico, sugiro que assista esse excelente video onde o advogado supracitado discorre a respeito.

Aferição do sistema

E adivinha quem dá o aval para a utilização da urna? A ABIN – que responde diretamente ao gabinete da presidência. A ABIN, para quem não sabe, é a Agência Brasileira de Inteligência, algo como o FBI dos EUA. Mas para quem é mais velho, deve lembrar da operação Satiagraha da Polícia Federal, que envolveu o banqueiro Daniel Dantas e escutas telefônicas ilegais feitas a mando do ex-presidente Lula. Apenas pra efeito de leitura, você pode obter alguma infomação a respeito pesquisando no Google por “Operação Satiagraha”. A parte de criptografia é feita pela ABIN, todos os demais processos vão sendo executados pelas respectivas equipes, então a urna volta pra ABIN dizer que está tudo bem. Não é fantástico? Eles fazem, eles homologam.

Como será o processo de votação esse ano?

Se você está achando que não dá pra piorar, se enganou. A imagem abaixo foi obtida por meio de rede social, pode ser 100% falsa, então, sequer sugiro que dê credibilidade. Mas, e se for real?

Esse ano a apuração será comandada pela Smartmatic da Venezuela. Entendeu o problema? Se não, leia essa matéria da globo sobre o processo eleitoral na Venezuela.

A única “concorrente” da Smartmatic foi a desconhecida TSC Pontual Comercial e Distribuidora, que fornece gelo seco, púlpitos de acrílico e sinalização de obras em rodovias (cones etc) para órgãos do governo. Lembra que lá em cima eu citei mais 5 fabricantes? Pois então, ninguém mais usa essa urna ultrapassada, mas como o requerimento era voto sem impressão, aí  está no que teremos que confiar.

Em agosto, a BBC lançou uma matéria sobre a Smartmatic da Venezuela, onde há o apontamento claro das fraudes que ocorreram nas eleições. Sai Diebold, entra Smartmatic.

Fraudes menos tecnológicas

Lembra ali em cima no texto, onde citei os 77 mil votos que Gilmar mandou investigar? Essa é a fraude mais comum, mais simples de praticar e pode ser feita por qualquer mesário.

Nas eleições de 2014 muitas pessoas reclamaram de ter ido votar e o voto já estar registrado. Pessoas que justificam invés de ir votar são as principais vítimas desse tipo de problema, pois o mesário tem o acesso privilegiado necessário para votar e como o acesso biométrico ainda não foi implementado para todos, mantêm-se a lacuna. Essa fraude é evidente, sabida pelo TSE, não teve reparação até agora e nada será feito a respeito, ainda que constatado. Portanto vá votar, pelo bem de seu país.

Esse video mostra o que acontece quando se quebram os protocolos:

A resistência do TSE

Por incrível que pareça, apesar de ter sido aprovado como lei a impressão dos votos, o TSE utilizou-se de um argumento troncho, dizendo que não haveria recursos para a implementação do voto impresso para as eleições de 2018. O valor estipulado para a implementação seria de 2 milhões de reais, sendo que apenas em propagandas o estado gastou mais de 800 milhões em 2017. O questionamento feito pelos peritos federais por meio do Advogado que expôs a necessidade do voto impresso e quebrou todos os argumentos do TSE pode ser visto nesse video, onde os ministros ficam em polvorosa:

Pegadinha da legenda

Para candidato à presidência, são apenas os 2 digitos, mas para senador não vote na legenda. Você deve votar no número completo. Se o candidato for 99, procure saber o número designado para senador. Por exemplo, se quer votar no senador da mesma chapa, você deve obrigatoriamente preencher os 3 números, senão você estará anulando seu voto. Supondo que o número para senador seja 999, você estará votando no senador da chapa do seu candidato a presidente para o seu estado (em cada lugar do país deverá aparecer a foto do respectivo senador que representará o estado).

Cuidado com os puxadores de votos

Em 2010 um candidato recebeu uma montanha de votos e puxou mais 3 candidatos com ele, entre os quais, um baita de um mal caráter. Isso é chamado de “voto do coeficiente”. Portanto, escolha a dedo seu candidato para deputado federal e estadual, senão pode não resultar no esperado.

Deixo também esse link da USP sobre o tema e abaixo, um video do Amilcar, que fala entre outras coisas, do juiz que se julga. É surreal.

Conclusão

Todo o software tem falhas, algumas propositais outras não. No mês de Setembro dois ministros do STF garantiram que não há fraudes nas urnas ou no sistema eleitoral. Não tenho condições de avaliar a qualidade deles como ministros, mas sou capaz de afirmar que nenhum dos dois sabe nem abrir um gerenciador de tarefas no computador. Olhe lá se souberem instalar um aplicativo no smartphone, mas eles “querem” que acreditemos na palavra deles, que é baseada “na palavra de um amigo do vizinho”. Não podemos acusar sem provas, mas também não podemos depositar confiança porque está mais do que provado que existem possibilidades e sim, aconteceram esses eventos todos relatados. Em não havendo a possibilidade do escrutínio, sempre pairará a dúvida, que só não pode ser chamada de certeza por não termos como analisar de forma minunciosa. O fato é que o sistema eleitoral brasileiro é coisa de causar inveja até ao próprio Houdini.