http://idgnow.uol.com.br/especiais/eleicao_2006
Destaco abaixo as principais matérias de nosso interesse.
===============================================
Segurança > Ataques e Ameaças
Entrevistas: urna eletrônica é segura?
( http://idgnow.uol.com.br/seguranca/2006/09/25/idgnoticia.2006-09-25.9916053762 )Por Daniela Braun editora do IDG Now!
Publicada em 25 de setembro de 2006 às 22h36
São Paulo - Um especialista do PDT e o secretário de informática do TSE debatem a questão.
O voto eletrônico está comemorando 10 anos na eleição de 01 de outubro. Mas será que ela é de fato segura e garante uma eleição transparente?
O IDG Now! ouviu o engenheiro do PDT e autor de livro sobre fraudes nas eleições eletrônicas, Amilcar Brunazo, que critica processo de segurança praticado pelo TSE.
O secretário de tecnologia do TSE, Giuseppe Dutra Janino, rebate críticas à segurança das eleições eletrônicas e garante a segurança do processo. Leia:
Especialista questiona voto eletrônico
Engenheiro do PDT e autor de livro sobre fraudes nas eleições eletrônicas, Amilcar Brunazo, critica processo de segurança praticado pelo TSE.
TSE diz que urna eletrônica é segura
Secretário de tecnologia do TSE, Giuseppe Dutra Janino, rebate críticas à segurança das eleições eletrônicas.
===============================================
Segurança > Ataques e Ameaças
Entrevista: especialista questiona segurança do voto eletrônico
( http://idgnow.uol.com.br/seguranca/2006/09/25/idgnoticia.2006-09-25.2778398778 )Por Redação do IDG Now!
Publicada em 25 de setembro de 2006 às 22h00
Atualizada em 25 de setembro de 2006 às 22h26
São Paulo - Engenheiro do PDT e autor de livro sobre fraudes nas eleições eletrônicas, Amilcar Brunazo, critica processo de segurança praticado pelo TSE.
A segurança do processo eleitoral eletrônico é tema de estudos do engenheiro Amilcar Brunazo, desde 1996, quando foi contratado pelo PDT como técnico especializado na avaliação da urna eletrônica brasileira.
Em entrevista ao IDG Now!, Amilcar, que também é autor do livro "Fraudes e Defesas no Voto Eletrônico" e possui um site sobre o voto seguro afirma que a possibilidade de fraudes nas eleições eletrônicas vai além da urna e critica o processo de auditoria de segurança do TSE (Tribunal Superior Eleitoral).
A impressão do voto eletrônico pode eliminar possibilidades de fraudes levantadas no processo eleitoral?
O processo eleitoral eletrônico tem várias etapas: começa no cadastro eleitoral, passa para a votação, depois para a apuração e depois para a totalização. Qualquer uma dessas etapas pode ser atacada. Então, o problema vai além da urna eletrônica. Por exemplo, o ex-presidente do TSE (Tribunal Superior Eleitoral), Carlos Velloso Carlos Velloso, declarou recentemente que o cadastro eleitoral tem eleitores fantasmas. São títulos eleitorais que estão nas mãos de alguém e qualquer pessoa pode usar esses títulos para votar mais de uma vez.
Com a biometria, que será usada nas urnas eletrônicas, isso seria eliminado?
As 25 mil urnas com dispositivos de biometria compradas este ano ainda não serão usadas nestas eleições, porque é preciso fazer um cadastro das impressões digitais anteriormente. Mas a tecnologia não resolve totalmente este problema porque um título eleitoral fantasma permite a criação de, por exemplo, dez títulos para uma mesma pessoa. Um jeito muito mais fácil e barato de eliminar o problema, que já foi usado no Brasil em eleições em papel e é aplicado em outros países para evitar os eleitores fantasmas, é pintar o dedo do usuário com uma tinta especial. Essa tinta ficaria na pele por mais de 24 horas impedindo que a pessoa votasse novamente. Não é alta tecnologia, mas funciona.
O processo de Sala de Apresentação de auditoria das urnas eletrônicas é suficiente para garantir a segurança do processo de voto eletrônico?
É absolutamente inútil, não é só insuficiente. No processo realizado de abril a setembro deste ano, a OAB (Ordem dos Advogados do Brasil) e o Ministério Público Federal não compareceram. Dos partidos compareceram três [PDT, PT e PV] e o processo [de Sala de Apresentação] não permite que seja acompanhado o desenvolvimento porque não são apresentados todos os sistemas.
Quais sistemas são apresentados?
Este ano fiz petições em junho, julho e agosto pedindo para o TSE mostrar os sistemas operacionais que são colocados nas urnas. Hoje existem três sistemas - VirtuOS, Windows CE 4.0 e Windows CE 4.2. Solicitei que estes três sistemas fossem apresentados para análise em junho e só apresentaram o Windows CE 4.2 uma semana antes do encerramento da apresentação em setembro.
Outra dificuldade é que, na Sala de Apresentação, as dúvidas dos técnicos não são solucionadas na hora. É preciso enviar uma petição com a dúvida e, às vezes, isso leva meses para ser respondido.
Em que momento o processo eleitoral eletrônico pode sofre maior risco?
Existem duas maneiras de atacá-lo. Uma delas envolveria o pessoal encarregado da transmissão de informações. Outra se daria no momento em que são transmitidos em flash cards os programas dos cartórios para as urnas eletrônicas [processo de 'inseminação da urna']. Neste momento, o flash card que contém as informações é muito vulnerável por serem fáceis de duplicar, adulterar e não serem lacrados.
Mas quem fica responsável pelo manuseio destes flash cards não são funcionários do TSE?
Nem sempre são funcionários do TSE. Como aumenta muito a carga de trabalho na preparação das urnas, neste período, eles contratam 13 mil funcionários terceirizados que trabalham de agosto a outubro. São funcionários que recebem em torno de 400 reais por mês e podem estar muito vulneráveis à corrupção. Isso é muito perigoso.
Qual seria o modelo ideal de segurança para o voto eletrônico?
Lembrando que o problema é maior do que a urna eletrônica, neste ponto do processo, o ideal é a urna eletrônica real, que é aquela que emite um comprovante materializado do voto, que o eleitor possa conferir e que depois seja usada para fazer uma conferência da apuração eletrônica. A rapidez do processo continua, mas haveria a possibilidade de conferir o voto. Esse tipo de urna foi usada nas duas últimas eleições na Venezuela e é a urna que está se tornando obrigatória nos Estados Unidos, em mais da metade dos Estados.
Existe algum processo eleitoral 100% seguro?
O processo eleitoral depende sempre de pessoas. Costumo dizer que é necessária a participação de três tipos de pessoas para que ocorram fraudes: candidatos corruptos, que queiram atacar o sistema; funcionários corruptos, que aceitem serem comprados para facilitar ou bloquear acessos ao sistema; e fiscais despreparados, que não percebam as fraudes que estejam ocorrendo. A única chance de os partidos diminuirem isso é termos condições de fiscalização mais adequadas, preparando fiscais.
É possível que o eleitor vote em um candidato e que a urna registre outro? Como isso ocorre?
Tecnicamente é possível. Para fazer isso é necessário adulterar o programa original que está na urna. Isso pode ser feito em dois locais: dentro da Justiça Eleitoral ou no momento em que as urnas são carregadas nos cartórios eleitorais. De acordo com um recente teste feito pela Universidade de Princenton, nos Estados Unidos, é possível adulterar o software com um códido malicioso e ainda contaminar urna por urna cada vez que ela for carregada.
Qual a importância da realização de testes de segurança das urnas como foi feito pela Universidade Princenton em setembro deste ano?
Estes testes devem ser feitos por pessoas capacitadas a atacar os sistemas de urnas eletrônicas. É mais do que sabido que em o nosso complexo sistema eleitoral - com mais de 50 mil arquivos - é natural que sobrem falhas de segurança que o projetista não consegue identificar. Os ataques de penetração têm esse objetivo.
No teste feito em Princenton foi usada uma urna e-virtual - mesma categoria das urnas brasileiras - mas um pouco mais moderna do que a nossa, por ser um modelo com teclado touch screen. Os sistemas de segurança e qualidade são equivalentes.
Este foi o primeiro teste de penetração de urnas eletrônicas?
Não. Já houve um teste de penetração não-oficial realizado no Paraguai com urnas eletrônicas brasileiras usadas nas eleições de fevereiro de 2006 mostrarando que era possível adulterar o software. Em maio, foi realizado o "Relatório Hursti" também com urnas da Diebold, nos Estados Unidos, por uma empresa especializada chamada Black Box Voting.
Isso tudo mostra a importância destes testes. Aqui no Brasil os projetistas insistem que o sistema é seguro, mas não permitem que este tipo de teste seja feito. Este ano, foi feito um novo pedido conjunto pelo PT e o PDT de realização de um teste de penetração, no início de junho, e até agora o processo está parado no TSE. A idéia é que a Justiça Eleitoral tenha tempo de corrigir os testes antes das eleições.
O TSE informou ter investido 200 milhões de reais na segurança do processo eleitoral eletrônico. De quanto seria o investimento ideal?
Os 200 milhões de reais que eles dizem que aplicaram foram dedicados exclusivamente em defesa da Justiça Eleitoral contra invasões externas, para proteger os códigos, desenvolver criptografias etc.
Esse é um modelo de segurança equivocado porque quem tem de ser protegido no processo eleitoral é o eleitor em primeiro lugar. Os outros agentes, que são os partidos, os fiscais e a própria Justiça Eleitoral também têm de ter suas cotas de proteção, mas a Justiça Eleitoral gasta milhões de reais e não permite a realização dos testes nas urnas, que garantem a transparência ao processo, por exemplo. Nesse instante o interesse dela não coincide com o interesse do eleitor.
Um exemplo marcante é o da OAB. Ela tem direito de fiscalizar os programas e em 2004 tentou fazer isso, mas chegou à conclusão que não era possível. Este ano, [a entidade] ficou de fora do processo por não ter dinheiro para verificar a carga de 400 mil urnas. A Justiça Federal não ajuda outras entidades a fazerem a fiscalização externa, que faz parte do processo de segurança das eleições como um todo.
Do jeito que estão aplicados, digo que os 200 milhões de reais não são suficientes porque está faltando investir na segurança fora [do ambiente] da Justiça Eleitoral. Ela gasta esse valor é dedicado à proteção dela, mas se alguém lá de dentro resolver fraudar o sistema não será alcançado pelos fiscais [dos partidos].
Para fazer a verificação da assinatura digital, por exemplo, é preciso de equipamentos e treinamento. Tudo isso poderia ser feito. Em relação aos programas de computador da urna, por exemplo, o TSE insiste que são mostrados, mas nem os partidos nem a OAB têm condições de passar seis meses analisando esses programas. O TSE poderia pagar os custos de uma auditoria externa independente.
Existe a possibilidade de termos eleições com urnas com impressão dos votos futuramente?
Acho que em longo prazo sim, mas aqui no Brasil como o processo errado foi iniciado, acho que vamos acabar ficando na rabeira do mundo.
O eleitor brasileiro está muito satisfeito com a eleição eletrônica. O resultado da eleição sai em seis horas, o brasileiro fica feliz da vida achando que tem o sistema mais moderno do mundo, mas este não é o mais moderno, é o mais rápido.
Acho que a rapidez é uma característica desejável. É bom que a apuração do sistema eleitoral seja rápida, mas a confiabilidade é uma característica necessária.
Talvez somente se acontecer alguma fraude que apareça para o público, ocorram mudanças.
===============================================
Segurança > Ataques e Ameaças
Entrevista: TSE diz que urna eletrônica é segura
( http://idgnow.uol.com.br/seguranca/2006/09/25/idgnoticia.2006-09-25.7125404963 )Por Redação do IDG Now!
Publicada em 25 de setembro de 2006 às 22h35
Atualizada em 25 de setembro de 2006 às 22h42
São Paulo - Secretário de tecnologia do TSE, Giuseppe Dutra Janino, rebate críticas à segurança das eleições eletrônicas em entrevista ao IDG Now!
Na avaliação de Giuseppe Dutra Janino, secretário de tecnologia da informação do Tribunal Superior Eleitoral (TSE), o processo eleitoral eletrônico é cada vez mais transparente.
Em entrevista ao IDG Now!, Janino r ebate críticas relacionadas a possibilidades de fraudes nas eleições eletrônicas, afirmando que o TSE ainda estuda a abertura das urnas eletrônicas para testes de segurança, em 2007, nos moldes dos testes de penetração realizados pela Universidade de Princeton, nos Estados Unidos, em setembro.
>Especial: urna eletrônicas faz 10 anos
O processo de auditoria das urnas eletrônicas foi considerado insuficiente por alguns partidos como PDT e PT. O TSE tem alguma intenção de modificar este sistema ou contratar uma empresa terceirizada para realizar a auditoria das urnas?
Antes de mais nada, gostaria de dizer que este grupo que critica a urna desta maneira o faz desde 1996 e, muitas vezes, os interesses são divergentes. O interesse do TSE é justamente tornar o voto informatizado, o mais transparente e seguro possível. Aparentemente, este grupo deveria ter o mesmo interesse, mas infelizmente, na prática isso não acontece na totalidade.
Nosso objetivo é justamente ouvir sempre este tipo de crítica e tudo o que é pertinente tentamos implementar justamente com transparência e segurança.
O processo tem dez anos de implementação e a nossa diretriz é justamente a melhoria contínua do processo. Então, essa questão da abertura do software já é um resultado disso.
Em torno de 1998 e 2000 havia apenas uma semana para que todos os programas fossem avaliados. Hoje, colocamos o prazo de seis meses justamente pelo fato de haver a solicitação por parte dos partidos. Atualmente, colocamos os sistemas abertos por um período de seis meses para que eles possam ser avaliados na sua totalidade, desde a sua concepção até a avaliação final. Permitimos que os partidos contratem empresas especialistas no assunto para que possam fazer uma análise efetiva.
No final destes seis meses, assinamos o software digitalmente, após a última análise por parte destes técnicos. A OAB (Ordem dos Advogados do Brasil) e o Ministério Público Federal têm a oportunidade de analisar, assinam junto e aí disponibilizamos esses softwares para serem carregados nas urnas eletrônicas.
Cabe ressaltar que, além de assinarmos digitalmente, permitimos que os partidos políticos assinem com suas próprias chaves [criptográficas] para que eles possam fazer esta verificação em qualquer tempo e local do País.
Além disso, publicamos também os resumos digitais (hashes) de todos os programas usados na eleição na internet. Isso possibilita que qualquer fiscal, de qualquer parte do País, possa fazer uma análise efetiva com relação à integridade dos programas que já foram examinados e assinados pelos partidos políticos.
Qual a posição do TSE a respeito de testes de segurança feitos com urnas eletrônicas, incluindo equipamentos brasileiros usados nas eleições do Paraguai? Parece que alguns partidos solicitaram a realização de testes de penetração ao TSE e o processo ficou parado.
Existe uma tendência de vincular o Brasil com o Paraguai com o objetivo de distorcer a imagem do País O Brasil cedeu ao Paraguai 17 mil urnas do modelo de 1996, que já não utiliza mais e passou a tecnologia e o conhecimento em termos de gestão de eleição informatizada. O Paraguai já faz hoje a sua eleição com o conhecimento que cedemos e os procedimentos com relação à eleição.
Mas a urna é simplesmente um computador. Se você não tiver um procedimento definido dentro de um processo consistente e completo de segurança, todo computador vai ser falho. E o processo utilizado no Brasil é bastante consistente, com maturidade de dez anos, que vem evoluindo neste tempo e que hoje se encontra em uma situação de extrema confiabilidade em relação à transparência e à intenção do eleitor no ato de votar.
O TSE tem o objetivo de permitir os testes de inseminação?
O TSE está aberto a fazer testes, inclusive o teste de penetração, só que pedimos um adiamento em virtude de estarmos em pleno ano eleitoral. Nós pretendemos fazer isso mais adiante, provavelmente no ano que vem, dentro de uma especificação baseada em procedimentos acadêmicos, de normas e padrões internacionais.
Nossas urnas são 'e-virtuais' com um processo totalmente digitalizado. A impressão do voto eletrônico pode diminuir os riscos de fraudes?
Já passamos por essa experiência. Em 2002, houve a aprovação de uma lei no Congresso obrigando que fosse feita a impressão do voto servindo para auditar o mecanismo eletrônico. Isso foi implementado e se verificou que era um procedimento totalmente inócuo, porque a grande motivação da informatização do processo é justamente eliminar procedimentos manuais e a intervenção humana no processo. Naquela situação, o voto impresso (manual) estava auditando o processo eletrônico. Entendemos que era um mecanismo falho e que foi constatado na prática já em 2002.
Dentro de um processo de melhoria contínua, ao invés de ser impresso em papel, o voto é guardado nas memórias internas da urna eletrônica, como se fosse a cédula, só que em forma digital. Isso permite, inclusive, a recontagem dos votos.
É possível haver fraudes no processo de inseminação das urnas eletrônicas?
Quem divulga este tipo de fraude não conhece o processo na sua totalidade. Não há possibilidade de se fazer tal procedimento pelo menos sem que se tenha conhecimento de que aquilo foi praticado. Existe uma série de controles que não permite que se faça uma alteração em um determinado código porque todos os programas são assinados digitalmente.
No momento em que eles entram lá [na urna] a primeira coisa que é feita é verificar se as assinaturas batem. Se elas não batem, automaticamente, o sistema é paralisado. No momento em que se liga a urna e todos os sistemas, a primeira coisa que é feita é verificar as assinaturas digitais.
As assinaturas digitais assinam também os resumos (hashes) - dígitos verificadores de cada programa. Se for alterada uma vírgula de determinado programa, a assinatura digital de todo aquele conjunto não vai bater mais. E isso, a urna faz sempre que entra no ar.
Vamos supor que haja a possibilidade de alguém conseguir romper os lacres físicos - embora a urna seja totalmente fechada - sem deixar pistas, ter acesso aos cartões de memória e faça alterações nos programas. No momento em que o sistema entrar no ar isso não vai funcionar. Além de outros controles matemáticos de software que embutimos nos procedimentos físicos de segurança envolvidos no processo, incluindo o acesso físico aos equipamentos.
As críticas ao processo de auditoria argumentam que o período de seis meses é muito curto e que mudanças nos softwares podem ser feitas até uma semana, antes da assinatura dos programas. Isso é fato?
Remos registro dos partidos que realmente vêm diariamente e verificam o software. Se houver realmente o acompanhamento do desenvolvimento tem todo o ferramental para verificar exatamente o que foi alterado. Isso em uma análise técnica não procede porque existem recursos que permitem que, fazendo realmente o acompanhamento regular, você chegue ao final com um software totalmente revisado. Então, não procede o que é dito.
O TSE tomou conhecimento do livro "Fraudes e Defesas no Voto Eletrônico", do engenheiro Amilcar Brunazo, que atua como consultor técnico do PDT?
Sim. Tivemos conhecimento e a grande maioria do que é levantado ali não se consegue implementar a não ser que se considere que toda a equipe desenvolvedora seja corrupta, que todos os mesários sejam corruptos e que todos os fiscais de partidos sejam corruptos. Partindo dessa premissa, ainda assim, existe a possibilidade de se verificar que a fraude realmente foi implementada buscando os registros de todas as operações realizadas nos sistemas por meio de logs, que permitem que seja feita uma auditoria e detectada uma fraude.
Denúncias há várias, mas até hoje, com dez anos de implementação do voto eletrônico, nenhuma delas foi confirmada.
