 |
| Pedro Rezende, à direita. Imagem: Divulgação |
Na
última segunda-feira 10, o auditório da Sociedade de Engenheiros e
Arquitetos do Rio de Janeiro, ficou lotado para assistir ao seminário "A
urna eletrônica é confiável?".
O ponto alto foi o relato de um jovem hacker de 19 anos,
que revelou fraudes em resultados na Região dos Lagos, no Rio de
Janeiro, na última eleição, em outubro de 2012. Identificado apenas como
Rangel por questões de segurança, ele mostrou como — através de acesso
ilegal e privilegiado à intranet da Justiça Eleitoral no Rio de Janeiro —
modificou resultados, beneficiando candidatos em detrimento de outros,
sem nada ser oficialmente detectado.
“A gente entra
na rede da Justiça Eleitoral quando os resultados estão sendo
transmitidos para a totalização e depois que 50% dos dados já foram
transmitidos, atuamos. Modificamos resultados mesmo quando a totalização
está prestes a ser fechada”, explicou Rangel, ao detalhar em linhas
gerais como atuava para fraudar resultados.
A platéia,
composta principalmente por especialistas em transmissão de dados,
computação, internet, representantes de partidos políticos e autoridades
policiais, ficou pasma.
O ponto alto foi o relato de um jovem hacker de 19 anos,
que revelou fraudes em resultados na Região dos Lagos, no Rio de
Janeiro, na última eleição, em outubro de 2012. Identificado apenas como
Rangel por questões de segurança, ele mostrou como — através de acesso
ilegal e privilegiado à intranet da Justiça Eleitoral no Rio de Janeiro —
modificou resultados, beneficiando candidatos em detrimento de outros,
sem nada ser oficialmente detectado.
“A gente entra
na rede da Justiça Eleitoral quando os resultados estão sendo
transmitidos para a totalização e depois que 50% dos dados já foram
transmitidos, atuamos. Modificamos resultados mesmo quando a totalização
está prestes a ser fechada”, explicou Rangel, ao detalhar em linhas
gerais como atuava para fraudar resultados.
A platéia,
composta principalmente por especialistas em transmissão de dados,
computação, internet, representantes de partidos políticos e autoridades
policiais, ficou pasma.
Entre
eles, o matemático e professor de Ciência da Computação Pedro Antônio
Dourado de Rezende, da Universidade de Brasília (UnB). Foi um dos
palestrantes do seminário. Há mais de dez anos ele que estuda as
fragilidades do voto eletrônico no Brasil.
Viomundo – O senhor acompanhou o relato do Rangel?
Pedro Rezende – Sim, integralmente.
O que achou da fraude relatada?
Plausível,
reveladora de muitos detalhes da fase de totalização, e muito séria.
Pois é nessa fase do processo de votação que fraudes podem ocorrer de
forma definitiva. Ao mesmo tempo, curiosamente, essa fase é sempre
omitida nas avaliações externas e testes públicos de segurança,
alardeados como garantias de lisura do processo de votação.
A Justiça
Eleitoral sempre restringiu os testes e avaliações à urna eletrônica. E
quando questionada sobre a segurança do processo de votação como um
todo, ela desconversa. Sempre confunde o entendimento da questão com o
da urna simplesmente.
O que o Rangel expôs é mesmo factível na prática?
Sim, por
motivos sobre os quais escreverei mais detalhadamente quando for
publicado o vídeo do seminário. Por hora, em consideração à seriedade
com que o Viomundo vem tratando a segurança do eleitor que quer eleições limpas no processo eleitoral, posso adiantar o seguinte.
A fraude
descrita no seminário não tem nada a ver com a questão do TSE utilizar
ou não criptografia no processo, ou se a utiliza bem ou mal.
A criptografia
opera apenas em canais de comunicação, no tempo ou no espaço. No caso em
questão, nos canais entre o gateway de saída de um ponto de coleta de
Boletins de Urna (BU) eletrônicos, no cartório eleitoral que os recebe
de seções eleitorais, e o gateway da rede interna do TRE (Tribunal
Regional Eleitoral), onde se inicia o processamento da totalização.
A modalidade de
fraude que o jovem Rangel descreveu no seminário ocorre dentro da rede
interna do TRE que totaliza a eleição, na etapa final da fase de
totalização, através de um backdoor no firewall que protegeria o
correspondente gateway.
A fraude é
executada alterando-se as tabelas de totais parciais. Portanto, após os
BUs eletrônicos terem sido descriptografados (decifrados) e os números
de votos por candidato para a seção eleitoral correspondente terem sido
lidos do resultado desta decifragem e tabulados em uma planilha de
totais parciais da eleição. Consequentemente, após o uso da
criptografia.
Essa modalidade
de fraude não depende de ataque à criptografia utilizada, pois nela o
ataque é no canal de confiança capaz de dar utilidade à forma de
criptografia empregada na transmissão de BUs. Em linguagem técnica,
podemos dizer que se trata de um ataque de canal lateral.
Isso faz sentido? Como o Rangel se apresentou?
Faz, e é
coerente com o relato dele, que no seminário se identificou como
operador de um balcão para leilão de lotes de votos a fraudar no Estado
do Rio de Janeiro.
O quê?!
É isso mesmo!
Ele realizava as fraudes por meio de pregões virtuais para leiloar lotes
de votos a serem burlados em tempo real, durante a totalização.
Como ele executava essa modalidade de fraude?
O que ele nos
disse pode ser explicado, em termos leigos, assim: é através de uma
porta de fundo oculta (backdoor) na barreira externa de proteção
(firewall) operada por uma companhia telefônica, que controla canais de
comunicação para a rede virtual privada (VPN) da Justiça Eleitoral.
Por meio dessa
porta oculta se tem acesso aos computadores da rede interna ao Tribunal
Regional, onde é processada a totalização. Por meio de um nome de
usuário (ID) e senha vazados por quem organiza o leilão, ali ele burlava
votos, executando a venda dos lances arrematados, durante as últimas
duas horas da fase de totalização, isto é, entre aproximadamente 19 e
21h do dia da votação.
Qual companhia telefônica?
O Rangel não declinou o nome dela, mas o delegado da polícia civil que levou o jovem ao seminário identificou-a como sendo a Oi.
É esse, o
delegado Alexandre Neto, de Maricá. Foi ele quem levou o jovem Rangel ao
seminário. Segundo o delegado, o jovem foi flagrado, em plena atividade
leiloeira dessa modalidade, por um tenente da Polícia Militar numa
operação que investigava possível fraude na eleição de 2012.
O Rangel nos
disse que o pagamento pelo seu serviço era na forma de desconto quase
total na cobrança do link dedicado, que ele contratava à mesma companhia
telefônica para operar seu negócio de lan house. Um link dedicado, que é
muito caro, é condição para boa performance em jogos on-line.
O que mais o senhor poderia nos adiantar?
Pelo relato do
Rangel, essa forma de fraude não seria detectada somando-se os totais
impressos de cada urna, possibilidade sempre alardeada pela Justiça
Eleitoral como garantia de lisura na fase de totalização.
Sobre essa
possibilidade, cabe esclarecer que totais impressos de cada urna (BU
impresso) só poderiam fazer prova de possível irregularidade no
resultado oficial quando coletados no encerramento da seção eleitoral,
assinados de punho pelo mesário, se estiverem de posse do candidato
prejudicado.
Além disso,
para que um desses BUs impressos possa servir como prova de
irregularidade, ele teria não só que estar autenticado na origem, pela
assinatura de punho do mesário, mas também teria que diferir de sua
correspondente versão oficial eletrônica, isto é, do BU eletrônico desta
seção eleitoral que teria sido computado na totalização.
Porém, nesse
tipo de pregão eletrônico, via de regra (pelo que entendi do depoimento
do jovem Rangel), os BUs eletrônicos que constituem as parcelas da
totalização parcial fraudada não são ajustados para corresponderem, em
correta soma, ao resultado depois da fraude. Continuam, portanto, as
parcelas dos BUs eletrônicos como estavam ao serem transmitidos ao TRE
Daria para traduzir pro “leiguês” como esse tipo de fraude é praticado?
Segundo o
Rangel, nesse tipo de pregão, o lote de votos que será retirado de um ou
mais candidato-vítimas corresponde a um terço ou à metade dos votos
obtidos numa parcial de totalização por essas vítimas. Esse lote é
oferecido em leilão, com preço mínimo.
Pelo que eu
pude entender, complementado por outros depoimentos como o do delegado
Neto, o preço mínimo do lote varia conforme o cargo, a porcentagem de
seções eleitorais acumuladas para aquela parcial de totalização e a
posição das vítimas no ranking da totalização geral divulgada até ali.
Os lances, por telefone, precisam ser comunicados em código, via nomes
de animais, ou são invalidados se o participante na linha falar
diretamente em dinheiro. Quando o lance mínimo é coberto e o lote
arrematado, os votos correspondentes ao lote são subtraídos diretamente
do montante obtido pelos candidato-vítimas nessa parcial de totalização,
e somados ao montante correspondente do candidato que arrematou o lote.
O perfil de
permissões do usuário, cujo ID e senha são vazados por quem organiza o
leilão para quem vai operar um pregão nesse leilão (o Rangel não seria o
único), dá a este operador a capacidade de congelar a inclusão desta
parcial no total geral divulgado.
Essas parciais
de totalização devem periodicamente ser alimentadas pelo tribunal
regional ao TSE, através do canal de VPN entre o TRE e o TSE, já que
nessa eleição o TSE, por motivos não divulgados, centralizou as
divulgações dos totais gerais para cada Estado, enquanto iam se
acumulando ao longo da fase de totalização. A parcial de totalização
sobre a qual se oferecem lotes fica então congelada para essa
transmissão até o arremate dos lotes oferecidos e à execução das
manipulações correspondentes aos lotes que foram arrematados.
Assim, pelo que
entendi da explicação do jovem Rangel e de outros no seminário, via de
regra, as manipulações nos totais parciais por candidato, relativas aos
lotes de votos arrematados no pregão, não são redistribuídas depois em
correspondentes parcelas de BUs que compõem em soma aquela parcial, o
que seria necessário para manter a consistência da totalização oficial.
É por isso que,
neste caso, os BUs impressos não permitem detectar manipulação alguma,
pois esses vão coincidir — a menos que eventualmente haja outra forma de
fraude executada em fase anterior — com as correspondentes versões
eletrônicas. Somente a soma dos dados de todos BUs eletrônicos, que
depois são divulgados pelo TRE, comparada ao total de votos do candidato
na totalização final pronunciada como resultado oficial, é que poderia
detectar inconsistência na soma. No seminário, quando questionado sobre
essa possibilidade de detecção, o jovem Rangel declarou que os
leiloeiros não se preocupam com ela porque “ninguém faz essa soma”.
Isso faz sentido?
Para mim, sim,
devido à forma como a Justiça Eleitoral divulga oficialmente os BUs
eletrônicos, tornando impraticável essa verificação. A divulgação, pela
internet, é em momento e endereço não anunciados previamente, e dentro
de um prazo elástico – na eleição de 2010 era de 24 horas, na de 2012
saltou para três dias. E depois da divulgação do resultado oficial, e
com modo de acesso assaz peculiar, conforme observo em artigo
recentemente publicado.
Explico. Após
esses BUs eletrônicos serem disponibilizados, o tempo que se tem para
efeito de prova de irregularidade na soma divulgada como resultado
oficial é de até 72 horas. Só que a gente não fica sabendo exatamente
quando isso acontece, pois a divulgação, pela internet, é em momento e
endereço não anunciados previamente, com modo de acesso manual seção por
seção, via formulário. Parece irracional, mas é desse jeito que
determina a resolução TSE 23.372, em seus artigos 145 e 150, aprovada em
plenário do Tribunal Superior Eleitoral em 14/12/11.
Assim, é praticamente impossível verificar isso com precisão. Razão pela qual ninguém a faz mesmo, como afirma o jovem Rangel.
Quando se quer
provar que uma soma está correta, não há razão lógica para se publicar
tantas parcelas tão sorrateiramente, em até três dias depois do
resultado. A não ser que o real objetivo seja dificultar a verificação
externa dessa “prova” ou impedir sua utilidade, enquanto se pode afirmar
que ela está disponível a qualquer um. E, de fato, não conheço ninguém
que a tenha feito.
O senhor já sabia dessa possibilidade de fraude ou foi novidade?
Eu sabia que
essa possibilidade era latente a uma análise de riscos equilibrada do
nosso processo de votação. Mas não tinha elementos concretos para
especular ou elaborar honestamente. De um lado, devido ao ofuscamento
com que o seu contexto sempre foi tratado oficialmente. De outro, como a
mídia corporativa sempre prestou serviço a esse ofuscamento, sempre se
fazendo de boba quanto à diferença entre segurança “da urna eletrônica” e
segurança do processo de votação como um todo.
Consequentemente,
nesta situação, não convinha, para mim e para o valor das minhas
críticas, nutrir com especulações puramente teóricas a pecha de
paranoico conspiracionista que ambas sempre tentaram me impingir, ao
longo de mais de dez anos de críticas ao nosso processo de votação.
Essa possibilidade de fraude decorre da vulnerabilidade do sistema como um todo?
A meu ver
decorre, em parte, da vulnerabilidade do sistema como um todo. E, em
parte, por tal vulnerabilidade ter passado desapercebida da grande
maioria dos eleitores por tanto tempo, enquanto as pessoas iam sendo
induzidas, com ingênuo ufanismo e propaganda massiva, a tomar a
segurança de uma coisa pela da outra.
O
professor Pedro Rezende trabalhou no Vale do Silício, Califórnia (EUA),
com controle de qualidade na Apple Computer e com as primeiras
aplicações em hipertexto (hypercards), em 1988. É consultor em
criptografia e segurança na informática para empresas, órgãos públicos,
legisladores, operadores do Direito e agências de fomento à pesquisa
científica e à produção cultural.
Coordena
o Programa de Extensão em Criptografia e Segurança Computacional da
UnB, onde montou e ministra o primeiro curso de programação para
Infraestrutura de Chaves Públicas (ICP) no Brasil. Conselheiro do
Instituto Brasileiro de Política e Direito na Informática,
ex-conselheiro da Free Software Foundation Latin America (2006-2008) e
ex-representante da sociedade civil no Comitê Gestor da Infraestrutura
de Chaves Públicas Brasileira, ICP-BR, por designação do presidente da
República (2003-2006).
Dez/2012
Conceição LemesViomundo
Conceição LemesViomundo
