Caro Jurandyr,
Como representante do PDT, conjuntamente com a adv. Maria Cortiz, já tentamos
todos estes recursos que você sugere (abaixo).
Dezenas de vezes peticionamos, protestamos, impugnamos junto ao TSE. O
resultado é padrão: pede-se um parecer contrário da Secretaria de Informática
e, mesmo com argumentos falsos e falciosos, decide-se pelo arquivamento do
processo.
Também já representamos alguns temas ao MP. Eles levam nossas denuncias ao TSE,
que lhes remete um parecer da Secretaria de Informática, como sempre cheio de
falsidades, e o MP decide: arquive-se a representação. Por fora, eles dizem que
têm assuntos mais urgentes do que questionar a Justiça Eleitoral que parece
estar funcionando tão bem.
Levar qualquer tema ao Supremo (STF ou STJ) é inútil. Pela Constituição 6 dos 7
juizes do TSE veem destas cortes que também indicam o presidente, o vice e o
corregedor do TSE. Os demais ministros do Supremo que ainda não estão no TSE,
estarão em breve, devido ao sistema de rodízio que intituiram. Votando no STF
ou no STJ eles nunca acatam (tomam conhecimento) de nada que venha apresentando
recursos contra decisões deles próprios no TSE.
No Congresso, temos assessorados deputados e senadores. No momento existem 4
projetos de lei que apoiamos. Também há 3 pedidos de audiência pública
aguardando serem marcadas. Mas nada anda se as cúpulas não deixarem andar. Tem
um projeto de lei muito simples, que pede que os boletins de urna sejam
disponibilizados na Internet para facilitar a fiscalização, que foi aprovado
pela CCJ da Câmara e está quase há um ano ser colocado em votação no plenário
pelo presidente da casa. Mas se a sociedade não empurrar, a coisa simplesmente
não anda...
Também já fomos ao meio acadêmico. Apresentamos teses e palestras e
participamos de debates. A reação: palmas ao final e inação depois.
Ao Vaticano ainda não recorri, mas já fui à OAB, à ABI, à imprensa escrita,
televiosionada e internetada, e, como você mesmo ja percebeu como jornalista, a
apatia da imprensa é incompreensível. Eles noticiam os problemas das urnas
americanas mas são incapazes de falar dos problemas das urnas brasileiras.
Com isto tudo eu lhe repasso a perguntinha inocente: Como chamar a atenção dos
políticos, da imprensa, da comunidade acadêmica e do eleitor leigo para o
absurdo de se votar em máquinas que não permitem auditoria da apuração?
[ ]s
Amilcar
Jura Passos escreveu:
Obrigado, Professor.
Perguntinha inocente: não é possível protocolar no TSE, no Ministério
Público, no Supremo, no Congresso ou no Vaticano uma denúncia apontando
tudo que está abaixo e no site do voto seguro, chamando oficialmente a
atenção de todos para os riscos institucionais que estamos criando? Será
que não basta o que já ocorreu, mais o que está ocorrendo em São Paulo
em termos de "surpresas", isto é, desgraças anunciadas que ninguém quer
admitir?
Saudações,
Jurandyr Passos
2006/5/15, Amilcar Brunazo Filho <[EMAIL PROTECTED]
<mailto:[EMAIL PROTECTED]>>:
(mensagem longa)
Esta mensagem está sendo enviada para uma lista de jornalistas e
professores universitários além dos destinatários aparentes
Título
Falhas de Segurança nas Urnas-E Americanas e Brasileiras
Aviso:
O autor deste artigo atua como representante técnico de alguns
partidos políticos junto a Justiça Eleitoral brasileira, onde teve
acesso a informações sobre o projeto interno das urnas eletrônicas.
Para tanto teve que assinar um termo de compromisso de manutenção de
sigilo de forma que não pode divulgar informações que obteve dentro
daquele órgão oficial. Desta forma, as informações sobre o projeto
das urnas-e brasileiras aqui apresentadas são apenas aquelas que
podem ser obtidas em documentos e em procedimenos públicos como
Resoluções e Instruções do Tribunal Superior Eleitoral (TSE), os
descritivos técnicos incluidos nos editais de concorrência para o
fornecimento de urnas eletrônicas, os relatórios técnicos oficiais
apresentados por entidades acadêmicas (UNICAMP, SBC e COPPE-UFRJ),
artigos técnicos de terceiros apresentados em congressos e na
Internet, a participação em cerimônias públicas de carga, teste e
lacração de urnas eletrônicas,
autos de processos públicos e perícias na Justiça Eleitoral, etc.
1- Introdução
No dia 11 de maio de 2006, foi tornado público pela ONG Black Box
Voting (BBV) a segunda parte do Relatório do especialista em
informática Harri Hursti contendo análise e testes livres
desenvolvidos sobre as maquinas eletrônicas de votar modelos TSx
fabricadas pela empresa Diebold e vendidas nos EUA e no Canadá e
onde são cobrem em torno de 30% daqueles mercados.
Estes tipos de testes livres de ataque são tecnicamente denominados
Teste de Penetração e os Relatórios Hursti (1ª e 2ª partes) podem
ser obtidos em:
http://www.blackboxvoting.org/BBVreport.pdf
<http://www.blackboxvoting.org/BBVreport.pdf>
http://www.blackboxvoting.org/BBVtsxstudy.pdf
A conclusão básica destes relatórios é que existem falhas de
segurança nos projetos e construção das máquinas de votar
yanque/canadenses da Diebold que permitem que o programa de votação
possa ser adulterado para modificar o resultado da apuração dos votos.
A primeira parte do Relatório Hursti, de dezembro de 2005, descrevia
como foi possivel adulterar os programas das máquinas de votar de
Diebold utilizadas no município de Leon na Flórida de forma a
fraudar uma votação. A conseqüência imediata da publicação deste
relatório foi a demisão do presidente da Diebold que, até então,
afirmava ser impossível se fraudar suas máquinas de votar.
A repercursão do segundo relatório na imprensa americana foi rápida
e intensa como pode ser visto em:
- The New York Times
http://www.nytimes.com/2006/05/12/us/12vote.html?_r=1&oref=slogin
<http://www.nytimes.com/2006/05/12/us/12vote.html?_r=1&oref=slogin>
- The Register
http://www.theregister.com/2006/05/14/diebold_e-voting_flaw/
- The Beacon Journal
http://www.ohio.com/mld/beaconjournal/business/14561489.htm
Como a empresa Diebold possui quase 90% do mercado brasileiro de
urnas eletrônicas, onde com a marca Diebold-Procomp produziu 375 mil
das 426 mil urnas eletrônicas que serão utilizadas nas eleições
presidenciais brasileiras de outubro de 2006, se faz necessário
analisar se as falhas de segurança apontadas nos Relatorios Hursti
também existem nos modelos de urnas eletrônicas fornecidas no Brasil.
2- A Análise Hursti
A segunda parte do Relatório Hursti foi desenvovlvida sobre máquinas
de votar TSx e TS6 da Diebold, fornecidas para o município de Emery
no estado de Utah. Foi tornado público com quase 50 expressões
censuradas (substituídos pela expressão "redacted") pelos
responsáveis da BBV, em virtude de conterem informações que,
porventura, poderiam facilitar o uso escuso por terceiros em
eleições futuras.
O relatório conclui pela existência de graves falhas de segurança
que permitem a adulteração dos programas de votação de forma a
fraudarem uma eleição futura.
Os portas-voz do fabricante estão se defendendo afirmando que:
a) não existem provas de fraudes já ocorridas em eleições regulares;
b) as vulnerabilidades encontradas são "teoricas" e são baixas a
probalilidade de virem a ser exploradas.
e a "pérola" das desculpas esfarrapadas onde se disse que:
c) "está se supondo que funcionários eleitorais diabólicos
intruduziriam software malicioso nos equipamentos. Eu não acredito
que estes funcionários eleitorais diabólicos existam!"
Pode parecer trivial afirmar que um programa de computador possa ser
adulterado com finalidades maliciosas, mas a análise do Sr. Hursti é
mais rigorosa e completa, afirmando além disso que as falhas de
segurança encontradas na urnas-E modelos TSx da Diebold:
a) Permitem que as alterações possíveis não só desviem os votos como
também enganem os testes de verificação de integridade regularmente
desenvolvidos como as simulações de votação e as verificações de
assinaturas digitais e resumos "Hash";
b) Foram introduzidas, em parte, de forma intencional pelos
projetistas para facilitarem os serviços de atualização do software;
c) Possibilita a modificação dos programas em 3 níveis de controle
diferentes (Sistema Incializador, Sistema Operacional e Programas
Aplicativos) de forma que as adulterações possam até sobre-existir a
futuras atualizações, recontaminando automaticamente as máquinas.
A possibilidade de modificação dos programas de computador das
urnas-e não seria problema grave se elas propiciassem alguma forma
de se auditar o resultado final da contagem dos votos. Por exemplo,
o voto impresso conferido pelo eleitor emitidos pelas urnas-e modelo
SAES3000 da empresa Smartmatic, que foram utilizadas nas eleições de
2004 e 2005 na Venezuela, permitiu a auditoria da apuração
eletrônica dos votos e, se houvesse adulteração dos programas de
votação, a fraude teria sido detectada.
Porém, as máquinas da Diebold, tanto as disponíveis nos EUA como as
brasileiras, não fornecem esta alternativa de auditoria da apuração
dos votos de forma que a confiabilidade do seu software é tudo que
poderiam dar como garantia de uma justa apuração.
Assim, se nestas máquinas o software das máquinas pode ser
modificado à revelia do fabricante, cai por terra qualquer
possibilidade de se afirmar a confiabilidade de tais equipamentos.
Entre as falhas de segurança do modelo TSx da Diebold estão:
a) o sistema de inicialização (boot) pode ser modificado por software;
b) é possivel se modificar os programas internos por meios digitais
externos;
c) o Sistema Operacional (Windows CE) não possui recursos de
segurança fortes;
d) o sistema de lacres físicos são ineficientes e o gabinete é fácil
de abrir sem nada destruir;
e) é possivel se reconfigurar os recursos de segurança por meio de
"jumpers" na placa-mãe;
f) existe um conector interno para cartões de memória "multimédia";
g) o botão externo de "teste de bateria" pode ser explorado em
ataques disparados pelo eleitor;
resultando que é necessário menos de 5 minutos para se contaminar
uma máquina sadia.
3- O modelo das urnas-e brasileiras
Os modelos (98, 2000, 2002, 2004 e 2006) das urnas-e brasileras são
totalmente controlados pelo corpo técnico do TSE de forma que as 51
mil fornecidas pela Unisys (modelo 2002) e as 375 mil urnas
fornecidas pela Diebold (demais modelos) possuem exatamente as
mesmas características de funcionamento, usabilidade e de segurança.
Diferente dos modelos TSx americanos que, para interação com o
eleitor, possuem tela e teclado integrados (touch-screen), os
modelos de urna brasileiras possuem um teclado numérico fixo e uma
tela de cristal líquido separados e dispostos num mesmo desenho
patenteado pelo seu primeiro projetista, o Eng. Carlos Rocha.
Os modelos 98 e 2000, que representam 2/3 das urnas-e, possuem
Sistema Operacional VirtuOS, semelhante ao antigo DOS ampliado com
funções multi-tarefa, e os modelos seguintes possuem o mesmo Windows
CE dos modelos TSx americanos.
Por uma questão de padronização da interface com o eleitor e como o
VirtuOS tem recursos visuais muito limitados, todas as urnas
brasileiras trabalham com tela totalmente em formato de texto
(DOS-like) sem os recursos de "janelas" do Windows.
Esta impossibilidade de configuração da tela como teclado é que
provocou as dificuldades durante a votação do Referendo de 2005
porque o teclado fixo não possue as teclas "SIM" e " NÃO" que seriam
necessárias.
5- As características de segurança das urnas-e brasileiras
No Brasil, o TSE acumula funções como a regulamentação da
fiscalização, a administração do processo eleitoral e o julgamento
que qualquer recurso em matéria eleitoral até mesmo aqueles que
sejam contra seus atos administrativos.
Devido a natureza humana, este acúmulo de poderes, inexistente em
regimes democráticos maduros, naturalmente leva ao autoritarismo e a
falta de transparência. Por este motivo, pedidos oficiais de Testes
Livres de Penetração apresentados repetidas vezes por alguns
Partidos Políticos tem sido sistematicamente impedidos por este
super-órgão eleitoral pelo simples fato de que ele tem poder de
centralizar a decisão e impedir tais testes.
Assim, inexistem relatórios no Brasil que sejam similares aos
Relatórios Hursti, mas ainda é possivel se descobrir as fragilidades
das urnas-e brasileiras pela análise de documentos oficiais publicos
como as especificações técnicas em concorências para o fornecimento
de urnas e laudos de perícias técnicas ocorridas dentro de processos
judiciais.
Desta forma, se pode afirmar que são muito similares os recursos de
segurança (e de insegurança) das urnas eletrônicas brasileiras
quando comparadas com o descrito do Relatório Hursti sobre o modelo
TSx da Diebold:
a) não emitem o voto impresso conferido pelo eleitor que permita
auditoria da contagemn dos votos, de forma que são altamente
dependentes da confiabilidade do software;
b) Possuem chip da BIOS (com inicializador) preso em soquete e
regravável por software, como especificado nos editais de concorrência;
c) Possuem "extensão de BIOS" habilitada por "jumper" na placa-mãe
(informação obtida na perícia das urnas-e utilizadas no
recadastramento no município de Camaçari, BA, onde a "extensão da
BIOS" estava desabilitada, ver [CHA-02]) que permitem a
inicialização (boot) a partir do soquete externo para cartão de
memória flash-card.
d) É possivel a execução de software "batch file" gravado em
disquete conforme descrito no Relatório Unicamp [UNI-02]
e) O programa aplicativo que verifica a integridade interna do
sistema é extremamente vulnerável a adulterações [REZ-04]
f) Sistema de lacres e de fechamento do gabinete são simples e
permitem acesso ao soquete do cartão de memória interno, conforme
descrito no laudo da perícia no município de Sto. Estevão, BA [REG-04]
Este conjunto de características de (in)segurança das urnas
brasileiras as tornam tão passíveis de fraudes quanto suas similares
americanas.
A possibilidade de inicializar (boot) as urnas-e brasileiras através
de cartão de memória instalado no soquete externo é uma enorme falha
de segurança pois o programa que comanda o boot pode fazer o que se
quiser a seguir, inclusive adulterar todo o software interno
anteriormente instalado. Mas este recurso foi implementado
proposidamente pelos projetistas do sistema para se poder fazer a
atualização simplificada do programa de votação nas urnas-e, como se
conclui analisando-se os procedimentos (públicos) de carga e recarga
do software, como a seguir descrito:
i) Procedimentos de carga normal das urnas.
É feito por meio de um Flash-card "de carga" que é colocado no
conector externo das urnas-e.
Ao se ligar as urnas com este dispositivo de memória instalado se
pode ver que o boot é dado pelo drive D: (conector externo de
flash-card), que então copia todo o software oficial para a flash
interna das urnas-e.
Durante esta instalação é apagado tudo que tinha no flash-card
interno, exceto (a partir de 2004) o arquivo de log com eventual
carga anterior do mesmo sistema.
Neste arquivo de log são lançados as informações da carga atual pelo
próprio programa de instalação (que está gravado na flash externa)
como se pode deduzir no item (ii) seguinte.
Depois da carga, o flash-card externo é substituido por outro sem
sistema de inicialização de forma que, durante a eleição/votação, a
inicialização passa a ser controlada pela software instalado no
flash-card interno.
ii) Procedimentos de carga excepcional utilizado em 2002:
Em 2002, o software de votação utilizado no 1º turno apresentou
falhas intermitentes que levaram a modificações para a votação do 2º
turno. A instalação deste novo software foi feita de uma forma
diferente da instalação normal.
Um novo flash de carga foi preparado e, quando colocado no soquete
externo das urnas-e, apenas trocava o software de votação defeituoso
pela nova versão, "preservando-se" todos os demais dados e arquivos
gravados na flash-card interna durante o primeiro turno, e lançando
no arquivo de log uns eventos diferentes do programa de carga normal.
obs.: as aspas na palavra "preservando-se" foi colocada porque,
naturalmente, os fiscais externos não tinham como saber se os dados
anteriores eram mesmo sendo preservados ou não, especialmente depois
do caso das "Dança dos Hashs" denunciada por um membro do Fórum do
Voto-e, quando se descobriu que havia diferenças entre as
assinaturas "hashs" no sistema final instalado nas urnas e o que
fora apresentado aos fiscais na sede do TSE antes da nova carga.
Estes dois procedimentos, normal e excepcional, de carga das urnas-e
brasileiras demonstram que é perfeitamente possível se instalar
software integral ou parcialmente nas urnas-e pelo uso de um flash
card externo devidamente preparado e que os registros no tal arquivo
de log é totalmente controlado pelo próprio programa no flash externo.
Para piorar, é este mesmo software externo, que é passado para flash
intermo, que comandará a máquina durante a votação, durante a
apuração e, pasmem, durante os testes de assinatura digital
permitido aos fiscais externos.
Quer dizer, um programa "bem preparado" instalado via flash-card
externo poderá burlar tanto a apuração dos votos como os testes de
confiabilidade também...
6- Conclusões
As semelhanças entre as falhas de segurança nas urnas-e brasileiras
e americanas da Diebold, que são dependentes da segurança do
software mas que permitem que este software seja adulterado por
agentes externos, parecem mais que simples coincidência.
No Brasil se desenvolveu uma imagem positiva das urnas eletrônicas,
apesar destas não permitirem auditoria da apuração dos votos.
Os recursos de segurança aqui aplicados, mesmo não sendo suficientes
do ponto de vista estritamente técnico, foram suficientes para
convencer os eleitores leigos com a publicidade oficial que repetia
insistentemente utilizar "avançados recursos tecnológicos de
assinatura digital e de criptografia".
O publico leigo não entendia direito para o que isto servia mas
acreditou nos chavões de que as urnas eletrônicas "são 100% seguras"
e que "acabaram as fraudes eleitorais".
A Diebold conhecia o sucesso até o momento desta desta experiência
social, onde recursos de segurança eram usados não com eficácia mas
apenas como meio de publicidade ilusória. É natural que tentasse a
mesma "estratégia" nos EUA.
Mas a inexistência de uma órgão central com super-poderes como a
Justiça Eleitoral brasileira parece estar criando dificuldades à
estratégia que aqui vingou.
No Brasil, o TSE conseguiu, desde 2000 até hoje, impedir por meio de
decisões obscuras e autoritárias que fosse feita qualquer tipo de
análise livre se suas urnas, como a análise do Sr. Hurst, e continua
escondendo, dos eleitores desatentos, as fragilidades de seu sistema
eletrônico de votação.
7- Referências
[CHA-02] - http://www.votoseguro.org/textos/camacari1.htm
resumo - http://www.votoseguro.org/arquivos/camacari1.zip
<http://www.votoseguro.org/arquivos/camacari1.zip>
[UNI-02] -
http://www.tse.gov.br/eleicoes/seguranca/relatorio_unicamp/rel_final.zip
resumo - http://www.votoseguro.org/textos/relfuncamp1.htm
[REZ-04] - http://www.cic.unb.br/docentes/pedro/trabs/analise_setup.html
[REG-04] - http://www.votoseguro.org/arquivos/stoestevao.zip
resumo - http://www.votoseguro.org/textos/stoestevao1.htm
<http://www.votoseguro.org/textos/stoestevao1.htm>
------------------------
[ ]s
Amilcar Brunazo Filho
www.votoseguro.org <http://www.votoseguro.org>
EU SEI EM QUEM VOTEI.
ELES TAMBÉM.
MAS SÓ ELES SABEM QUEM RECEBEU O MEU VOTO.
______________________________________________________________
O texto acima e' de inteira e exclusiva responsabilidade de seu
autor, conforme identificado no campo "remetente", e nao
representa necessariamente o ponto de vista do Forum do Voto-E
O Forum do Voto-E visa debater a confibilidade dos sistemas
eleitorais informatizados, em especial o brasileiro, e dos
sistemas de assinatura digital e infraestrutura de chaves publicas.
__________________________________________________
Pagina, Jornal e Forum do Voto Eletronico
http://www.votoseguro.org
__________________________________________________
