O objetivo deste blog é discutir um projeto de desenvolvimento nacional para o Brasil. Esse projeto não brotará naturalmente das forças de mercado e sim de um engajamento político que direcionará os recursos do país na criação de uma nação soberana, desenvolvida e com justiça social.
domingo, junho 17, 2012
UNB prova que urna eletrônica é vulnerável
Entre os riscos, a prática do “voto de cabresto digital”, em municípios onde o “coronelismo” é exercido com rigor, e até a clonagem de urnas
Ricardo Rodrigues - Do Hoje em Dia - 17/06/2012
EUGENIO MORAES
Diego de Freitas Aranha: “Se falhas não forem corrigidas, as eleições não terão o curso perfeito”
Ao contrário do que o Tribunal Superior Eleitoral reitera há anos, a inviolabilidade da urna eletrônica é mera figura de retórica. A convite do próprio TSE, equipe da Universidade de Brasília (UnB), liderada pelo professor Diego de Freitas Aranha, mostrou em testes que o sistema utilizado no Brasil apresenta falhas. Uma delas é o risco de imperar o “voto de cabresto digital”, em municípios onde o “coronelismo” é exercido com rigor, e até a clonagem de urnas.
“Vulnerabilidades da urna eletrônica representam um ataque à imagem e à confiabilidade da autoridade eleitoral”, diz. O mais grave de tudo é que a falha era conhecida na área de segurança há pelo menos 17 anos.
A brecha que permitia a quebra de sigilo do voto foi relatada ao TSE por Aranha, que se prontificou a ajudar na solução das vulnerabilidades. Convite do tribunal para isso nunca chegou ao mestre e doutor em Ciência da Computação, especialista em implementação eficiente de algoritmos criptográficos e projeto de primitivas criptográficas para fornecimento de anonimato computacional.
Ele cita o caso de partido que já pagou para quebrar a inviolabilidade da urna eletrônica, mas não dá detalhes. “Os partidos podem falar mais sobre isso do que eu”.
Para atender “requisitos mínimos” de segurança, o acadêmico sugere que a urna adote o voto verificável pelo eleitor. A impressão do voto foi aprovada no Congresso e valeria a partir de 2014, mas foi suspensa pelo STF, sob a alegação de que imprimir o voto compromete o direito ao sigilo, oferecendo “uma falsa e cara sensação de segurança”.
Qual brecha permitia a quebra de sigilo do voto?
O software de urna não oferece segurança na forma como embaralhava o registro dos votos. Na prática, se alguém soubesse a ordem de votação – por exemplo, que você foi o quinto a votar –, era possível determinar, também, em quem você votou, sem que a urna fosse violada para isso. Nas eleições, isso significa que é possível determinar a ordem em que cada voto foi realizado e, sabendo a ordem de eleitores de uma sessão, determinar em quem eles votaram. Por isso, o RDV (registro digital do voto) tem os votos fora de ordem. O método (algoritmo) utilizado pela urna era previsível. Derrotamos o mecanismo de embaralhamento dos votos para armazenamento no RDV, única medida tomada pelo software para proteger o sigilo. Esse tipo de erro é conhecido na área de segurança há pelo menos 17 anos, mas só agora foi detectado e corrigido na urna brasileira.
É a volta do coronelismo e do voto de cabresto digital?
Temos a figura do ‘atacante’ capaz de comprar votos, exercer pressão política e monitorar eleitores. Há, pelo menos, três modalidades de voto de cabresto digital: os eleitores são coagidos a votar logo na abertura da seção; o primeiro eleitor coagido usa um marcador de bloco (números primos, por exemplo); os eleitores votam em horas ou posições pré-determinadas.
Como ocorrem ataques ao sistema eletrônico de votos?
Ataque direto é feito a partir da semente pública (código-fonte), que permite recuperar os votos em ordem do RDV – o substituto eletrônico do papel onde eram registrados os votos – um arquivo público disponibilizado aos partidos após o fim da eleição. Ataque indireto faz a busca exaustiva da semente e compara os ‘buracos’ do RDV. Hoje, só com informação pública é possível fazer ataques ao sistema de votação eletrônica. A partir do LOG (público aos partidos) é possível associar voto à hora de votação; recuperar votos em ordem a partir da semente pública; recuperar a semente a partir dos votos fora de ordem. Assim, fica derrotado completamente o único mecanismo de urna para proteger o sigilo do voto.
Como proteger o sigilo?
Mecanismos de segurança têm de resistir até a ataques internos. Esse embargo precisa ser feito para não afetar a segurança e sigilo do voto, pois o programa de urna tem de deixar informação para a auditoria dos partidos. O que pode ser feito para corrigir esses problemas é usar gerador de números verdadeiramente aleatórios em hardware; gerador nativo do GNU/Linux (random) com qualidade criptográfica; gerador nativo do GNU/Linux (urandom) sem qualidade criptográfica, mas superior. A questão exige estudo mais aprofundado para descobrir, na prática, se eles são viáveis e seguros.
O TSE utiliza práticas não recomendáveis?
Chaves criptográficas são declaradas no código-fonte. Mídias de todas as urnas são cifradas com a mesma classe criptográfica. Se vazou, abre meio milhão de urnas sem dificuldade. É como trancar a casa e por a chave debaixo do tapete, na esperança de que o ladrão não vai procurá-la ali. Essa vulnerabilidade poderia ser verificada por qualquer ferramenta de análise de código. Mas a integridade de bibliotecas dinâmicas não era verificada pelo TSE. À ausência de ferramentas de análise de código se somam a utilização de algoritmos obsoletos, implementações repetidas de primitivas criptográficas, além de informação sobre servidores, usuários e senhas.
O que mais preocupou os “investigadores” no teste?
A presença de uma chave secreta usada por todas as urnas brasileiras no código-fonte. O vazamento da chave compartilhada tem impacto devastador. Há preocupação demasiada em ofuscação ao invés de segurança. Ênfase em atacantes externos e não em atacantes internos, que compartilham dados de 500 mil urnas. Agentes internos têm muito mais potencial de exercer a fraude. O discurso de que a urna é inviolável distorce o senso crítico de quem trabalha com ela. Atualmente, há 100% de privacidade e 0% de verificação. O ideal seria 95% de privacidade e 95% de verificabilidade.
O ‘atacante’ já conhece o sistema desde muito antes?
Não sei se houve resultados alterados em eleições passadas. Desde 2003, o embaralhamento dos votos é feito (pelo RDV). Ou nas anteriores ele era melhor, ou era pior, seja lá o que isso significa, ou era equivalente. As três hipóteses são igualmente preocupantes. No nosso caso, apenas o equipamento “sabe’ para quem é o voto de cada eleitor.
Assinar:
Postar comentários (Atom)
Nenhum comentário:
Postar um comentário