(mensagem longa)
Esta mensagem está sendo enviada para uma lista de jornalistas e professores
universitários além dos destinatários aparentes
Título
Falhas de Segurança nas Urnas-E Americanas e Brasileiras
Aviso:
O autor deste artigo atua como representante técnico de alguns partidos políticos junto a Justiça Eleitoral brasileira, onde teve acesso a informações sobre o projeto interno das urnas eletrônicas. Para tanto teve que assinar um termo de compromisso de manutenção de sigilo de forma que não pode divulgar informações que obteve dentro daquele órgão oficial. Desta forma, as informações sobre o projeto das urnas-e brasileiras aqui apresentadas são apenas aquelas que podem ser obtidas em documentos e em procedimenos públicos como Resoluções e Instruções do Tribunal Superior Eleitoral (TSE), os descritivos técnicos incluidos nos editais de concorrência para o fornecimento de urnas eletrônicas, os relatórios técnicos oficiais apresentados por entidades acadêmicas (UNICAMP, SBC e COPPE-UFRJ), artigos técnicos de terceiros apresentados em congressos e na Internet, a participação em cerimônias públicas de carga, teste e lacração de urnas eletrônicas,
autos de processos públicos e perícias na Justiça Eleitoral, etc.
1- Introdução
No dia 11 de maio de 2006, foi tornado público pela ONG Black Box Voting (BBV)
a segunda parte do Relatório do especialista em informática Harri Hursti
contendo análise e testes livres desenvolvidos sobre as maquinas eletrônicas de
votar modelos TSx fabricadas pela empresa Diebold e vendidas nos EUA e no
Canadá e onde são cobrem em torno de 30% daqueles mercados.
Estes tipos de testes livres de ataque são tecnicamente denominados Teste de
Penetração e os Relatórios Hursti (1ª e 2ª partes) podem ser obtidos em:
http://www.blackboxvoting.org/BBVreport.pdf
http://www.blackboxvoting.org/BBVtsxstudy.pdf
A conclusão básica destes relatórios é que existem falhas de segurança nos
projetos e construção das máquinas de votar yanque/canadenses da Diebold que
permitem que o programa de votação possa ser adulterado para modificar o
resultado da apuração dos votos.
A primeira parte do Relatório Hursti, de dezembro de 2005, descrevia como foi
possivel adulterar os programas das máquinas de votar de Diebold utilizadas no
município de Leon na Flórida de forma a fraudar uma votação. A conseqüência
imediata da publicação deste relatório foi a demisão do presidente da Diebold
que, até então, afirmava ser impossível se fraudar suas máquinas de votar.
A repercursão do segundo relatório na imprensa americana foi rápida e intensa
como pode ser visto em:
- The New York Times
http://www.nytimes.com/2006/05/12/us/12vote.html?_r=1&oref=slogin
- The Register
http://www.theregister.com/2006/05/14/diebold_e-voting_flaw/
- The Beacon Journal
http://www.ohio.com/mld/beaconjournal/business/14561489.htm
Como a empresa Diebold possui quase 90% do mercado brasileiro de urnas
eletrônicas, onde com a marca Diebold-Procomp produziu 375 mil das 426 mil
urnas eletrônicas que serão utilizadas nas eleições presidenciais brasileiras
de outubro de 2006, se faz necessário analisar se as falhas de segurança
apontadas nos Relatorios Hursti também existem nos modelos de urnas eletrônicas
fornecidas no Brasil.
2- A Análise Hursti
A segunda parte do Relatório Hursti foi desenvovlvida sobre máquinas de votar TSx e TS6
da Diebold, fornecidas para o município de Emery no estado de Utah. Foi tornado público
com quase 50 expressões censuradas (substituídos pela expressão "redacted")
pelos responsáveis da BBV, em virtude de conterem informações que, porventura, poderiam
facilitar o uso escuso por terceiros em eleições futuras.
O relatório conclui pela existência de graves falhas de segurança que permitem
a adulteração dos programas de votação de forma a fraudarem uma eleição futura.
Os portas-voz do fabricante estão se defendendo afirmando que:
a) não existem provas de fraudes já ocorridas em eleições regulares;
b) as vulnerabilidades encontradas são "teoricas" e são baixas a probalilidade
de virem a ser exploradas.
e a "pérola" das desculpas esfarrapadas onde se disse que:
c) "está se supondo que funcionários eleitorais diabólicos intruduziriam software
malicioso nos equipamentos. Eu não acredito que estes funcionários eleitorais diabólicos
existam!"
Pode parecer trivial afirmar que um programa de computador possa ser adulterado com finalidades maliciosas, mas a análise do Sr. Hursti é mais rigorosa e completa, afirmando além disso que as falhas de segurança encontradas na urnas-E modelos TSx da Diebold:
a) Permitem que as alterações possíveis não só desviem os votos como também enganem os
testes de verificação de integridade regularmente desenvolvidos como as simulações de
votação e as verificações de assinaturas digitais e resumos "Hash";
b) Foram introduzidas, em parte, de forma intencional pelos projetistas para
facilitarem os serviços de atualização do software;
c) Possibilita a modificação dos programas em 3 níveis de controle diferentes
(Sistema Incializador, Sistema Operacional e Programas Aplicativos) de forma
que as adulterações possam até sobre-existir a futuras atualizações,
recontaminando automaticamente as máquinas.
A possibilidade de modificação dos programas de computador das urnas-e não
seria problema grave se elas propiciassem alguma forma de se auditar o
resultado final da contagem dos votos. Por exemplo, o voto impresso conferido
pelo eleitor emitidos pelas urnas-e modelo SAES3000 da empresa Smartmatic, que
foram utilizadas nas eleições de 2004 e 2005 na Venezuela, permitiu a auditoria
da apuração eletrônica dos votos e, se houvesse adulteração dos programas de
votação, a fraude teria sido detectada.
Porém, as máquinas da Diebold, tanto as disponíveis nos EUA como as
brasileiras, não fornecem esta alternativa de auditoria da apuração dos votos
de forma que a confiabilidade do seu software é tudo que poderiam dar como
garantia de uma justa apuração.
Assim, se nestas máquinas o software das máquinas pode ser modificado à revelia
do fabricante, cai por terra qualquer possibilidade de se afirmar a
confiabilidade de tais equipamentos.
Entre as falhas de segurança do modelo TSx da Diebold estão:
a) o sistema de inicialização (boot) pode ser modificado por software;
b) é possivel se modificar os programas internos por meios digitais externos;
c) o Sistema Operacional (Windows CE) não possui recursos de segurança fortes;
d) o sistema de lacres físicos são ineficientes e o gabinete é fácil de abrir
sem nada destruir;
e) é possivel se reconfigurar os recursos de segurança por meio de "jumpers" na
placa-mãe;
f) existe um conector interno para cartões de memória "multimédia";
g) o botão externo de "teste de bateria" pode ser explorado em ataques
disparados pelo eleitor;
resultando que é necessário menos de 5 minutos para se contaminar uma máquina
sadia.
3- O modelo das urnas-e brasileiras
Os modelos (98, 2000, 2002, 2004 e 2006) das urnas-e brasileras são totalmente
controlados pelo corpo técnico do TSE de forma que as 51 mil fornecidas pela
Unisys (modelo 2002) e as 375 mil urnas fornecidas pela Diebold (demais
modelos) possuem exatamente as mesmas características de funcionamento,
usabilidade e de segurança.
Diferente dos modelos TSx americanos que, para interação com o eleitor, possuem
tela e teclado integrados (touch-screen), os modelos de urna brasileiras
possuem um teclado numérico fixo e uma tela de cristal líquido separados e
dispostos num mesmo desenho patenteado pelo seu primeiro projetista, o Eng.
Carlos Rocha.
Os modelos 98 e 2000, que representam 2/3 das urnas-e, possuem Sistema
Operacional VirtuOS, semelhante ao antigo DOS ampliado com funções
multi-tarefa, e os modelos seguintes possuem o mesmo Windows CE dos modelos TSx
americanos.
Por uma questão de padronização da interface com o eleitor e como o VirtuOS tem recursos
visuais muito limitados, todas as urnas brasileiras trabalham com tela totalmente em
formato de texto (DOS-like) sem os recursos de "janelas" do Windows.
Esta impossibilidade de configuração da tela como teclado é que provocou as dificuldades durante a
votação do Referendo de 2005 porque o teclado fixo não possue as teclas "SIM" e "
NÃO" que seriam necessárias.
5- As características de segurança das urnas-e brasileiras
No Brasil, o TSE acumula funções como a regulamentação da fiscalização, a administração do processo eleitoral e o julgamento que qualquer recurso em matéria eleitoral até mesmo aqueles que sejam contra seus atos administrativos.
Devido a natureza humana, este acúmulo de poderes, inexistente em regimes
democráticos maduros, naturalmente leva ao autoritarismo e a falta de
transparência. Por este motivo, pedidos oficiais de Testes Livres de Penetração
apresentados repetidas vezes por alguns Partidos Políticos tem sido
sistematicamente impedidos por este super-órgão eleitoral pelo simples fato de
que ele tem poder de centralizar a decisão e impedir tais testes.
Assim, inexistem relatórios no Brasil que sejam similares aos Relatórios
Hursti, mas ainda é possivel se descobrir as fragilidades das urnas-e
brasileiras pela análise de documentos oficiais publicos como as especificações
técnicas em concorências para o fornecimento de urnas e laudos de perícias
técnicas ocorridas dentro de processos judiciais.
Desta forma, se pode afirmar que são muito similares os recursos de segurança
(e de insegurança) das urnas eletrônicas brasileiras quando comparadas com o
descrito do Relatório Hursti sobre o modelo TSx da Diebold:
a) não emitem o voto impresso conferido pelo eleitor que permita auditoria da
contagemn dos votos, de forma que são altamente dependentes da confiabilidade
do software;
b) Possuem chip da BIOS (com inicializador) preso em soquete e regravável por
software, como especificado nos editais de concorrência;
c) Possuem "extensão de BIOS" habilitada por "jumper" na placa-mãe (informação obtida na
perícia das urnas-e utilizadas no recadastramento no município de Camaçari, BA, onde a "extensão da
BIOS" estava desabilitada, ver [CHA-02]) que permitem a inicialização (boot) a partir do soquete externo
para cartão de memória flash-card.
d) É possivel a execução de software "batch file" gravado em disquete conforme
descrito no Relatório Unicamp [UNI-02]
e) O programa aplicativo que verifica a integridade interna do sistema é
extremamente vulnerável a adulterações [REZ-04]
f) Sistema de lacres e de fechamento do gabinete são simples e permitem acesso
ao soquete do cartão de memória interno, conforme descrito no laudo da perícia
no município de Sto. Estevão, BA [REG-04]
Este conjunto de características de (in)segurança das urnas brasileiras as
tornam tão passíveis de fraudes quanto suas similares americanas.
A possibilidade de inicializar (boot) as urnas-e brasileiras através de cartão
de memória instalado no soquete externo é uma enorme falha de segurança pois o
programa que comanda o boot pode fazer o que se quiser a seguir, inclusive
adulterar todo o software interno anteriormente instalado. Mas este recurso foi
implementado proposidamente pelos projetistas do sistema para se poder fazer a
atualização simplificada do programa de votação nas urnas-e, como se conclui
analisando-se os procedimentos (públicos) de carga e recarga do software, como
a seguir descrito:
i) Procedimentos de carga normal das urnas.
É feito por meio de um Flash-card "de carga" que é colocado no conector externo das urnas-e.
Ao se ligar as urnas com este dispositivo de memória instalado se pode ver que o boot é dado pelo drive D: (conector externo de flash-card), que então copia todo o software oficial para a flash interna das urnas-e.
Durante esta instalação é apagado tudo que tinha no flash-card interno, exceto
(a partir de 2004) o arquivo de log com eventual carga anterior do mesmo
sistema.
Neste arquivo de log são lançados as informações da carga atual pelo próprio
programa de instalação (que está gravado na flash externa) como se pode deduzir
no item (ii) seguinte.
Depois da carga, o flash-card externo é substituido por outro sem sistema de
inicialização de forma que, durante a eleição/votação, a inicialização passa a
ser controlada pela software instalado no flash-card interno.
ii) Procedimentos de carga excepcional utilizado em 2002:
Em 2002, o software de votação utilizado no 1º turno apresentou falhas intermitentes que levaram a modificações para a votação do 2º turno. A instalação deste novo software foi feita de uma forma diferente da instalação normal.
Um novo flash de carga foi preparado e, quando colocado no soquete externo das urnas-e, apenas trocava o software de votação defeituoso pela nova versão, "preservando-se" todos os demais dados e arquivos gravados na flash-card interna durante o primeiro turno, e lançando no arquivo de log uns eventos diferentes do programa de carga normal.
obs.: as aspas na palavra "preservando-se" foi colocada porque, naturalmente, os fiscais externos
não tinham como saber se os dados anteriores eram mesmo sendo preservados ou não, especialmente depois do
caso das "Dança dos Hashs" denunciada por um membro do Fórum do Voto-e, quando se descobriu que
havia diferenças entre as assinaturas "hashs" no sistema final instalado nas urnas e o que fora
apresentado aos fiscais na sede do TSE antes da nova carga.
Estes dois procedimentos, normal e excepcional, de carga das urnas-e
brasileiras demonstram que é perfeitamente possível se instalar software
integral ou parcialmente nas urnas-e pelo uso de um flash card externo
devidamente preparado e que os registros no tal arquivo de log é totalmente
controlado pelo próprio programa no flash externo.
Para piorar, é este mesmo software externo, que é passado para flash intermo,
que comandará a máquina durante a votação, durante a apuração e, pasmem,
durante os testes de assinatura digital permitido aos fiscais externos.
Quer dizer, um programa "bem preparado" instalado via flash-card externo poderá
burlar tanto a apuração dos votos como os testes de confiabilidade também...
6- Conclusões
As semelhanças entre as falhas de segurança nas urnas-e brasileiras e
americanas da Diebold, que são dependentes da segurança do software mas que
permitem que este software seja adulterado por agentes externos, parecem mais
que simples coincidência.
No Brasil se desenvolveu uma imagem positiva das urnas eletrônicas, apesar destas não permitirem auditoria da apuração dos votos.
Os recursos de segurança aqui aplicados, mesmo não sendo suficientes do ponto de vista estritamente técnico, foram suficientes para convencer os eleitores leigos com a publicidade oficial que repetia insistentemente utilizar "avançados recursos tecnológicos de assinatura digital e de criptografia".
O publico leigo não entendia direito para o que isto servia mas acreditou nos chavões de que as urnas eletrônicas "são 100% seguras" e que "acabaram as fraudes eleitorais".
A Diebold conhecia o sucesso até o momento desta desta experiência social, onde recursos
de segurança eram usados não com eficácia mas apenas como meio de publicidade ilusória. É
natural que tentasse a mesma "estratégia" nos EUA.
Mas a inexistência de uma órgão central com super-poderes como a Justiça Eleitoral brasileira parece estar criando dificuldades à estratégia que aqui vingou.
No Brasil, o TSE conseguiu, desde 2000 até hoje, impedir por meio de decisões
obscuras e autoritárias que fosse feita qualquer tipo de análise livre se suas
urnas, como a análise do Sr. Hurst, e continua escondendo, dos eleitores
desatentos, as fragilidades de seu sistema eletrônico de votação.
7- Referências
[CHA-02] - http://www.votoseguro.org/textos/camacari1.htm
resumo - http://www.votoseguro.org/arquivos/camacari1.zip
[UNI-02] -
http://www.tse.gov.br/eleicoes/seguranca/relatorio_unicamp/rel_final.zip
resumo - http://www.votoseguro.org/textos/relfuncamp1.htm
[REZ-04] - http://www.cic.unb.br/docentes/pedro/trabs/analise_setup.html
[REG-04] - http://www.votoseguro.org/arquivos/stoestevao.zip
resumo - http://www.votoseguro.org/textos/stoestevao1.htm
------------------------
[ ]s
Amilcar Brunazo Filho
www.votoseguro.org
EU SEI EM QUEM VOTEI.
ELES TAMBÉM.
MAS SÓ ELES SABEM QUEM RECEBEU O MEU VOTO.
______________________________________________________________
O texto acima e' de inteira e exclusiva responsabilidade de seu
autor, conforme identificado no campo "remetente", e nao
representa necessariamente o ponto de vista do Forum do Voto-E
O Forum do Voto-E visa debater a confibilidade dos sistemas
eleitorais informatizados, em especial o brasileiro, e dos
sistemas de assinatura digital e infraestrutura de chaves publicas.
__________________________________________________
Pagina, Jornal e Forum do Voto Eletronico
http://www.votoseguro.org
__________________________________________________
