FERNANDO NETO BOTELHO
TELECOMUNICAÇÕES - QUESTÕES JURÍDICAS
Setembro 2006 Índice (Home)
26/09/06
• A "Urna" - de novo
----- Original Message -----
From: Fernando Botelho
To: Helio Rosa
Sent: Tuesday, September 26, 2006 9:40 AM
Subject: Re: A "Urna" - de novo
Hélio,
Obrigado mais uma vez pelo material.
Li ambas as entrevistas.
Tenho um comentário sobre a alegada possibilidade de o sistema computacional da
UE (Urna Eletrônica) ser alterado na fase de manipulação da UE por servidores da
Justiça Eleitoral ou mesários.
Nesta fase a UE já não estará só carregada (inseminada) com o sistema eleitoral
(inclusive lacrados os drives todos dela, com rubrica do Juiz Eleitoral)
mas terá sido gerada, na instalação, uma tabela eletrônica de correspondência
entre cada UE e o sistema instalado nela e esta tabela terá sido gravada, também
no momento da inseminação, em uma flash-card (a flash de geração da
tabela) cujo dado, por sua vez, terá sido, também no momento da
inseminação, imediatamente transmitido, telematicamente, para o CPD do TRE, que
passará a tê-lo centralizadamente, em seu sistema (cérebro) central.
Sem isso, isto é, sem a geração desta tabela de correspondência UE/sistema
operacional, ou sem fidelidade material dela com o sistema da UE, não há
possibilidade técnica de encaixe dos dados de cada UE, ao término da eleição, em
sua plataforma correspondente, gerenciada pelo CPD do TRE.
Alterar, então, uma plataforma, sem alterar a outra, é contar que o dado
alterado possa ficar ou funcionar, estanque, só na UE; isso implica em não se
poder transmitir/receber o dado finalizador da eleição, de cada UE, no programa
totalizador de votos, do TRE.
Para esta totalização centralizada, de cada TRE, tem de haver compatibilidade
entre a tabela de correspondência de dados gerada, durante a inseminação, por
cada UE - um arquivo do sistema instalado, pelo TRE, em cada UE - e a mesma
tabela gravada no software totalizador, do CPD/TRE.
Noutras palavras, um sistema - o software totalizador-central - tem que
identificar cada uma das UEs através da correspondência gerada quando da
inseminação de cada UE (a correspondência fica instalada no sistema da UE e,
correspondentemente, no CPD do TRE; é assim que o CPD do TRE consegue
identificar cada equipamento-UE e totalizar os votos dele, em estrita
correspondência com o BU - Boletim de Urna gerado, fisicamente,
pela impressão física do resultado de cada UE, ainda no local de votação, antes
da transmissão do dado ao TRE).
Sem isso, não há transmissão/recepção possível dos dados de cada UE (de cada
Seção Eleitoral).
Cada UE não atua, portanto, desconexa do programa central do TRE, que possui
aplicativo de réplica de cada dado inseminado em cada UE.
Numa das das matérias consta a informação que os TREs estão contratando
terceirizados para carga de sistemas operacionais na UE.
Em absoluto ! EM MG, somente servidores de carreira do TRE-MG têm acesso ao
sistema GM - Gerador de Mídias (para a inseminação), através de
logs computacionais que ficam gravados, um a um, a cada acesso, no head
do sistema, podendo ser auditados a cada momento, para identificação de cada
acesso, de cada servidor (que, por sua vez, não possuem códigos-fonte do sistema
operacional instalado).
E o MODA-GM - Montagem de Dados/Geração de Mídia - é
feito, em cada TRE, unificada e publicamente, para instalação em cada uma das
milhares de UEs (quando são geradas milhares das referidas tabelas de
correspondência, para gravação no sistema do CPD/TRE).
Grande abraço,
do amigo,
Fernando Botelho
E-Mail:
fernandobotelho@terra.com.br
Web Page:
http://www.wirelessbrasil.org/fernando_botelho/fb01.html
----- Original Message -----
From: Helio Rosa
To: Fernando Botelho
Sent: Tuesday, September 26, 2006 9:08 AM
Subject: Fw: A "Urna" - de novo, again, mais uma vez... :-)
Olá, Fernando!
Tudo bem?
Como informação, o IDG Now de ontem publicou textos sobre a Urna (transcrição
abaixo)
Entrevistas: urna eletrônica é segura? - Por Daniela Braun editora do IDG
Now! - Publicada em 25 de setembro de 2006 às 22h36
Um grande abraço
Helio
Entrevistas: urna eletrônica é segura?
Por Daniela Braun editora do IDG Now!
Publicada em 25 de setembro de 2006 às 22h36
São Paulo - Um especialista do PDT e o secretário de informática do TSE debatem
a questão.
O voto eletrônico está comemorando 10 anos na eleição de 01 de outubro. Mas será
que ela é de fato segura e garante uma eleição transparente?
O IDG Now! ouviu o engenheiro do PDT e autor de livro sobre fraudes nas eleições
eletrônicas, Amilcar Brunazo, que critica processo de segurança praticado pelo
TSE.
O secretário de tecnologia do TSE, Giuseppe Dutra Janino, rebate críticas à
segurança das eleições eletrônicas e garante a segurança do processo.
Leia:
- Especialista questiona voto eletrônico - Engenheiro do PDT e autor de livro
sobre fraudes nas eleições eletrônicas, Amilcar Brunazo, critica processo de
segurança praticado pelo TSE.
- TSE diz que urna eletrônica é segura - Secretário de tecnologia do TSE,
Giuseppe Dutra Janino, rebate críticas à segurança das eleições eletrônicas.
Entrevista: especialista questiona segurança
do voto eletrônico
Por Redação do IDG Now!
Publicada em 25 de setembro de 2006 às 22h00
Atualizada em 25 de setembro de 2006 às 22h26
São Paulo - Engenheiro do PDT e autor de livro sobre fraudes nas eleições
eletrônicas, Amilcar Brunazo, critica processo de segurança praticado pelo TSE.
A segurança do processo eleitoral eletrônico é tema de estudos do engenheiro
Amilcar Brunazo, desde 1996, quando foi contratado pelo PDT como técnico
especializado na avaliação da urna eletrônica brasileira.
Em entrevista ao IDG Now!, Amilcar, que também é autor do livro "Fraudes e
Defesas no Voto Eletrônico" e possui um site sobre o voto seguro afirma que a
possibilidade de fraudes nas eleições eletrônicas vai além da urna e critica o
processo de auditoria de segurança do TSE (Tribunal Superior Eleitoral).
A impressão do voto eletrônico pode eliminar possibilidades de fraudes
levantadas no processo eleitoral?
O processo eleitoral eletrônico tem várias etapas: começa no cadastro eleitoral,
passa para a votação, depois para a apuração e depois para a totalização.
Qualquer uma dessas etapas pode ser atacada. Então, o problema vai além da urna
eletrônica. Por exemplo, o ex-presidente do TSE (Tribunal Superior Eleitoral),
Carlos Velloso Carlos Velloso, declarou recentemente que o cadastro eleitoral
tem eleitores fantasmas. São títulos eleitorais que estão nas mãos de alguém e
qualquer pessoa pode usar esses títulos para votar mais de uma vez.
Com a biometria, que será usada nas urnas eletrônicas, isso seria eliminado?
As 25 mil urnas com dispositivos de biometria compradas este ano ainda não serão
usadas nestas eleições, porque é preciso fazer um cadastro das impressões
digitais anteriormente. Mas a tecnologia não resolve totalmente este problema
porque um título eleitoral fantasma permite a criação de, por exemplo, dez
títulos para uma mesma pessoa. Um jeito muito mais fácil e barato de eliminar o
problema, que já foi usado no Brasil em eleições em papel e é aplicado em outros
países para evitar os eleitores fantasmas, é pintar o dedo do usuário com uma
tinta especial. Essa tinta ficaria na pele por mais de 24 horas impedindo que a
pessoa votasse novamente. Não é alta tecnologia, mas funciona.
O processo de Sala de Apresentação de auditoria das urnas eletrônicas é
suficiente para garantir a segurança do processo de voto eletrônico?
É absolutamente inútil, não é só insuficiente. No processo realizado de abril a
setembro deste ano, a OAB (Ordem dos Advogados do Brasil) e o Ministério Público
Federal não compareceram. Dos partidos compareceram três [PDT, PT e PV] e o
processo [de Sala de Apresentação] não permite que seja acompanhado o
desenvolvimento porque não são apresentados todos os sistemas.
Quais sistemas são apresentados?
Este ano fiz petições em junho, julho e agosto pedindo para o TSE mostrar os
sistemas operacionais que são colocados nas urnas. Hoje existem três sistemas -
VirtuOS, Windows CE 4.0 e Windows CE 4.2. Solicitei que estes três sistemas
fossem apresentados para análise em junho e só apresentaram o Windows CE 4.2 uma
semana antes do encerramento da apresentação em setembro.
Outra dificuldade é que, na Sala de Apresentação, as dúvidas dos técnicos não
são solucionadas na hora. É preciso enviar uma petição com a dúvida e, às vezes,
isso leva meses para ser respondido.
Em que momento o processo eleitoral eletrônico pode sofre maior risco?
Existem duas maneiras de atacá-lo. Uma delas envolveria o pessoal encarregado da
transmissão de informações. Outra se daria no momento em que são transmitidos em
flash cards os programas dos cartórios para as urnas eletrônicas [processo de
'inseminação da urna']. Neste momento, o flash card que contém as informações é
muito vulnerável por serem fáceis de duplicar, adulterar e não serem lacrados.
Mas quem fica responsável pelo manuseio destes flash cards não são funcionários
do TSE?
Nem sempre são funcionários do TSE. Como aumenta muito a carga de trabalho na
preparação das urnas, neste período, eles contratam 13 mil funcionários
terceirizados que trabalham de agosto a outubro. São funcionários que recebem em
torno de 400 reais por mês e podem estar muito vulneráveis à corrupção. Isso é
muito perigoso.
Qual seria o modelo ideal de segurança para o voto eletrônico?
Lembrando que o problema é maior do que a urna eletrônica, neste ponto do
processo, o ideal é a urna eletrônica real, que é aquela que emite um
comprovante materializado do voto, que o eleitor possa conferir e que depois
seja usada para fazer uma conferência da apuração eletrônica. A rapidez do
processo continua, mas haveria a possibilidade de conferir o voto. Esse tipo de
urna foi usada nas duas últimas eleições na Venezuela e é a urna que está se
tornando obrigatória nos Estados Unidos, em mais da metade dos Estados.
Existe algum processo eleitoral 100% seguro?
O processo eleitoral depende sempre de pessoas. Costumo dizer que é necessária a
participação de três tipos de pessoas para que ocorram fraudes: candidatos
corruptos, que queiram atacar o sistema; funcionários corruptos, que aceitem
serem comprados para facilitar ou bloquear acessos ao sistema; e fiscais
despreparados, que não percebam as fraudes que estejam ocorrendo. A única chance
de os partidos diminuirem isso é termos condições de fiscalização mais
adequadas, preparando fiscais.
É possível que o eleitor vote em um candidato e que a urna registre outro? Como
isso ocorre?
Tecnicamente é possível. Para fazer isso é necessário adulterar o programa
original que está na urna. Isso pode ser feito em dois locais: dentro da Justiça
Eleitoral ou no momento em que as urnas são carregadas nos cartórios eleitorais.
De acordo com um recente teste feito pela Universidade de Princenton, nos
Estados Unidos, é possível adulterar o software com um códido malicioso e ainda
contaminar urna por urna cada vez que ela for carregada.
Qual a importância da realização de testes de segurança das urnas como foi feito
pela Universidade Princenton em setembro deste ano?
Estes testes devem ser feitos por pessoas capacitadas a atacar os sistemas de
urnas eletrônicas. É mais do que sabido que em o nosso complexo sistema
eleitoral - com mais de 50 mil arquivos - é natural que sobrem falhas de
segurança que o projetista não consegue identificar. Os ataques de penetração
têm esse objetivo.
No teste feito em Princenton foi usada uma urna e-virtual - mesma categoria das
urnas brasileiras - mas um pouco mais moderna do que a nossa, por ser um modelo
com teclado touch screen. Os sistemas de segurança e qualidade são equivalentes.
Este foi o primeiro teste de penetração de urnas eletrônicas?
Não. Já houve um teste de penetração não-oficial realizado no Paraguai com urnas
eletrônicas brasileiras usadas nas eleições de fevereiro de 2006 mostrarando que
era possível adulterar o software. Em maio, foi realizado o "Relatório Hursti"
também com urnas da Diebold, nos Estados Unidos, por uma empresa especializada
chamada Black Box Voting.
Isso tudo mostra a importância destes testes. Aqui no Brasil os projetistas
insistem que o sistema é seguro, mas não permitem que este tipo de teste seja
feito. Este ano, foi feito um novo pedido conjunto pelo PT e o PDT de realização
de um teste de penetração, no início de junho, e até agora o processo está
parado no TSE. A idéia é que a Justiça Eleitoral tenha tempo de corrigir os
testes antes das eleições.
O TSE informou ter investido 200 milhões de reais na segurança do processo
eleitoral eletrônico. De quanto seria o investimento ideal?
Os 200 milhões de reais que eles dizem que aplicaram foram dedicados
exclusivamente em defesa da Justiça Eleitoral contra invasões externas, para
proteger os códigos, desenvolver criptografias etc.
Esse é um modelo de segurança equivocado porque quem tem de ser protegido no
processo eleitoral é o eleitor em primeiro lugar. Os outros agentes, que são os
partidos, os fiscais e a própria Justiça Eleitoral também têm de ter suas cotas
de proteção, mas a Justiça Eleitoral gasta milhões de reais e não permite a
realização dos testes nas urnas, que garantem a transparência ao processo, por
exemplo. Nesse instante o interesse dela não coincide com o interesse do
eleitor.
Um exemplo marcante é o da OAB. Ela tem direito de fiscalizar os programas e em
2004 tentou fazer isso, mas chegou à conclusão que não era possível. Este ano,
[a entidade] ficou de fora do processo por não ter dinheiro para verificar a
carga de 400 mil urnas. A Justiça Federal não ajuda outras entidades a fazerem a
fiscalização externa, que faz parte do processo de segurança das eleições como
um todo.
Do jeito que estão aplicados, digo que os 200 milhões de reais não são
suficientes porque está faltando investir na segurança fora [do ambiente] da
Justiça Eleitoral. Ela gasta esse valor é dedicado à proteção dela, mas se
alguém lá de dentro resolver fraudar o sistema não será alcançado pelos fiscais
[dos partidos].
Para fazer a verificação da assinatura digital, por exemplo, é preciso de
equipamentos e treinamento. Tudo isso poderia ser feito. Em relação aos
programas de computador da urna, por exemplo, o TSE insiste que são mostrados,
mas nem os partidos nem a OAB têm condições de passar seis meses analisando
esses programas. O TSE poderia pagar os custos de uma auditoria externa
independente.
Existe a possibilidade de termos eleições com urnas com impressão dos votos
futuramente?
Acho que em longo prazo sim, mas aqui no Brasil como o processo errado foi
iniciado, acho que vamos acabar ficando na rabeira do mundo.
O eleitor brasileiro está muito satisfeito com a eleição eletrônica. O resultado
da eleição sai em seis horas, o brasileiro fica feliz da vida achando que tem o
sistema mais moderno do mundo, mas este não é o mais moderno, é o mais rápido.
Acho que a rapidez é uma característica desejável. É bom que a apuração do
sistema eleitoral seja rápida, mas a confiabilidade é uma característica
necessária.
Talvez somente se acontecer alguma fraude que apareça para o público, ocorram
mudanças.
Entrevista: TSE diz que urna eletrônica é
segura
Por Redação do IDG Now!
Publicada em 25 de setembro de 2006 às 22h35
São Paulo - Secretário de tecnologia do TSE, Giuseppe Dutra Janino, rebate
críticas à segurança das eleições eletrônicas em entrevista ao IDG Now!
Na avaliação de Giuseppe Dutra Janino, secretário de tecnologia da informação do
Tribunal Superior Eleitoral (TSE), o processo eleitoral eletrônico é cada vez
mais transparente.
Em entrevista ao IDG Now!, Janino rebate críticas relacionadas a possibilidades
de fraudes nas eleições eletrônicas, afirmando que o TSE ainda estuda a abertura
das urnas eletrônicas para testes de segurança, em 2007, nos moldes dos testes
de penetração realizados pela Universidade de Princeton, nos Estados Unidos, em
setembro.
>Especial: urna eletrônicas faz 10 anos
O processo de auditoria das urnas eletrônicas foi considerado insuficiente por
alguns partidos como PDT e PT. O TSE tem alguma intenção de modificar este
sistema ou contratar uma empresa terceirizada para realizar a auditoria das
urnas?
Antes de mais nada, gostaria de dizer que este grupo que critica a urna desta
maneira o faz desde 1996 e, muitas vezes, os interesses são divergentes. O
interesse do TSE é justamente tornar o voto informatizado, o mais transparente e
seguro possível. Aparentemente, este grupo deveria ter o mesmo interesse, mas
infelizmente, na prática isso não acontece na totalidade.
Nosso objetivo é justamente ouvir sempre este tipo de crítica e tudo o que é
pertinente tentamos implementar justamente com transparência e segurança.
O processo tem dez anos de implementação e a nossa diretriz é justamente a
melhoria contínua do processo. Então, essa questão da abertura do software já é
um resultado disso.
Em torno de 1998 e 2000 havia apenas uma semana para que todos os programas
fossem avaliados. Hoje, colocamos o prazo de seis meses justamente pelo fato de
haver a solicitação por parte dos partidos. Atualmente, colocamos os sistemas
abertos por um período de seis meses para que eles possam ser avaliados na sua
totalidade, desde a sua concepção até a avaliação final. Permitimos que os
partidos contratem empresas especialistas no assunto para que possam fazer uma
análise efetiva.
No final destes seis meses, assinamos o software digitalmente, após a última
análise por parte destes técnicos. A OAB (Ordem dos Advogados do Brasil) e o
Ministério Público Federal têm a oportunidade de analisar, assinam junto e aí
disponibilizamos esses softwares para serem carregados nas urnas eletrônicas.
Cabe ressaltar que, além de assinarmos digitalmente, permitimos que os partidos
políticos assinem com suas próprias chaves [criptográficas] para que eles possam
fazer esta verificação em qualquer tempo e local do País.
Além disso, publicamos também os resumos digitais (hashes) de todos os programas
usados na eleição na internet. Isso possibilita que qualquer fiscal, de qualquer
parte do País, possa fazer uma análise efetiva com relação à integridade dos
programas que já foram examinados e assinados pelos partidos políticos.
Qual a posição do TSE a respeito de testes de segurança feitos com urnas
eletrônicas, incluindo equipamentos brasileiros usados nas eleições do Paraguai?
Parece que alguns partidos solicitaram a realização de testes de penetração ao
TSE e o processo ficou parado.
Existe uma tendência de vincular o Brasil com o Paraguai com o objetivo de
distorcer a imagem do País O Brasil cedeu ao Paraguai 17 mil urnas do modelo de
1996, que já não utiliza mais e passou a tecnologia e o conhecimento em termos
de gestão de eleição informatizada. O Paraguai já faz hoje a sua eleição com o
conhecimento que cedemos e os procedimentos com relação à eleição.
Mas a urna é simplesmente um computador. Se você não tiver um procedimento
definido dentro de um processo consistente e completo de segurança, todo
computador vai ser falho. E o processo utilizado no Brasil é bastante
consistente, com maturidade de dez anos, que vem evoluindo neste tempo e que
hoje se encontra em uma situação de extrema confiabilidade em relação à
transparência e à intenção do eleitor no ato de votar.
O TSE tem o objetivo de permitir os testes de inseminação?
O TSE está aberto a fazer testes, inclusive o teste de penetração, só que
pedimos um adiamento em virtude de estarmos em pleno ano eleitoral. Nós
pretendemos fazer isso mais adiante, provavelmente no ano que vem, dentro de uma
especificação baseada em procedimentos acadêmicos, de normas e padrões
internacionais.
Nossas urnas são 'e-virtuais' com um processo totalmente digitalizado. A
impressão do voto eletrônico pode diminuir os riscos de fraudes?
Já passamos por essa experiência. Em 2002, houve a aprovação de uma lei no
Congresso obrigando que fosse feita a impressão do voto servindo para auditar o
mecanismo eletrônico. Isso foi implementado e se verificou que era um
procedimento totalmente inócuo, porque a grande motivação da informatização do
processo é justamente eliminar procedimentos manuais e a intervenção humana no
processo. Naquela situação, o voto impresso (manual) estava auditando o processo
eletrônico. Entendemos que era um mecanismo falho e que foi constatado na
prática já em 2002.
Dentro de um processo de melhoria contínua, ao invés de ser impresso em papel, o
voto é guardado nas memórias internas da urna eletrônica, como se fosse a
cédula, só que em forma digital. Isso permite, inclusive, a recontagem dos votos
É possível haver fraudes no processo de inseminação das urnas eletrônicas?
Quem divulga este tipo de fraude não conhece o processo na sua totalidade. Não
há possibilidade de se fazer tal procedimento pelo menos sem que se tenha
conhecimento de que aquilo foi praticado. Existe uma série de controles que não
permite que se faça uma alteração em um determinado código porque todos os
programas são assinados digitalmente.
No momento em que eles entram lá [na urna] a primeira coisa que é feita é
verificar se as assinaturas batem. Se elas não batem, automaticamente, o sistema
é paralisado. No momento em que se liga a urna e todos os sistemas, a primeira
coisa que é feita é verificar as assinaturas digitais.
As assinaturas digitais assinam também os resumos (hashes) - dígitos
verificadores de cada programa. Se for alterada uma vírgula de determinado
programa, a assinatura digital de todo aquele conjunto não vai bater mais. E
isso, a urna faz sempre que entra no ar.
Vamos supor que haja a possibilidade de alguém conseguir romper os lacres
físicos - embora a urna seja totalmente fechada - sem deixar pistas, ter acesso
aos cartões de memória e faça alterações nos programas. No momento em que o
sistema entrar no ar isso não vai funcionar. Além de outros controles
matemáticos de software que embutimos nos procedimentos físicos de segurança
envolvidos no processo, incluindo o acesso físico aos equipamentos.
As críticas ao processo de auditoria argumentam que o período de seis meses é
muito curto e que mudanças nos softwares podem ser feitas até uma semana, antes
da assinatura dos programas. Isso é fato?
Remos registro dos partidos que realmente vêm diariamente e verificam o
software. Se houver realmente o acompanhamento do desenvolvimento tem todo o
ferramental para verificar exatamente o que foi alterado. Isso em uma análise
técnica não procede porque existem recursos que permitem que, fazendo realmente
o acompanhamento regular, você chegue ao final com um software totalmente
revisado. Então, não procede o que é dito.
O TSE tomou conhecimento do livro "Fraudes e Defesas no Voto Eletrônico", do
engenheiro Amilcar Brunazo, que atua como consultor técnico do PDT?
Sim. Tivemos conhecimento e a grande maioria do que é levantado ali não se
consegue implementar a não ser que se considere que toda a equipe desenvolvedora
seja corrupta, que todos os mesários sejam corruptos e que todos os fiscais de
partidos sejam corruptos. Partindo dessa premissa, ainda assim, existe a
possibilidade de se verificar que a fraude realmente foi implementada buscando
os registros de todas as operações realizadas nos sistemas por meio de logs, que
permitem que seja feita uma auditoria e detectada uma fraude.
Denúncias há várias, mas até hoje, com dez anos de implementação do voto
eletrônico, nenhuma delas foi confirmada.