http://www.cic.unb.br/~rezende/sd.php > Urna-e | Avaliação

Devagar com o andor da urna

Comentários sobre testes de penetração no TSE e de sua cobertura midiática


Professor Pedro A. D. Rezende *
Departmento de Ciência da Computação
Universidade de Brasília
29 de novembro de 2009



Versões e versões

Noticias recentes sobre a iniciativa do TSE em premiar os melhores testadores da urna eletrônica poderiam, se quisessem os autores, melhor informar o eleitor. Ao eleitor que quer mesmo eleições limpas, pouco importam questões paralelas, como a sujeira permitida em ficha de candidato, ou a opinião pública sobre a segurança do sistema de votação. Tais questões pouco importam se outras sujeiras puderem ser varridas para debaixo do dogma de um sistema inatacável. Sistema confiável por decreto ou por teatro, e dogma abraçado por ingênuo ufanismo.

No dia da premiação, 20/11, o TSE divulgou nota oficial [1] com avaliação do ministro vice-presidente, que coordenou os testes. Cinco dias depois, sobre a conclusão do ministro a nota oficial dizia que os testes "podem levar o Tribunal a reforçar, ainda mais, alguns pontos do sistema". Nela o ministro frisa, entre aspas: "Mas o sistema mostrou ser seguro, porque foi testado por pessoas do mais alto gabarito técnico de todo o Brasil". Aí, cabem perguntas. Para que o "ainda mais" se o sistema, assaz oneroso, já estaria seguro? E por que o "Mas"?

Talvez porque a nota oficial tenha sofrido retoques. Ao que tudo indica, nela trocou-se depois um "absolutamente" por esse "Mas". Pois logo à sua divulgação, muitos portais na web frisavam um ministro quiçá mais eufórico: "O sistema demonstrou ser absolutamente seguro porque foi testado por pessoas do mais alto gabarito técnico de todo o Brasil". A nota oficial do TSE não deixa rastro direto de versões anteriores, nem no seu próprio arquivo nem na wayback machine, mas é só googlar com as aspas para se ter um rastro indireto da primeira: 318 páginas citando in verbis, absolutamente, a versão inicial da nota oficial, de 20/11. Até na mídia corporativa, como em o Globo [2] e a Folha [3].

Devagar com o andor

Alguns desses veículos, como o portal IDG Now [4], foram até criativos. A matéria do IDG diz que os testadores eram "especialistas convocados pelo TSE". Mas o IDG foi criativo demais. Para a sua matéria foi ouvir o maior premiado, sem censura. Noutras aspas, o que frisou ali o premiado expôs contradições que podem ter provocado esta, digamos, derrapagem com o andor do santo byte [5]. Contradições expostas, o IDG não quis ficar com pecha de leviano e foi ouvir novamente o TSE, três dias depois. Para (também) retocar sua matéria, e nela incluir:

"Procurado pela reportagem, o TSE confirmou que, ao contrário do que havia confirmado anteriormente [6], quando disse que nenhuma estratégia de ataque havia tido sucesso, que o teste de Sérgio foi bem sucessido (sic), mas fez ressalvas."

Aí, volta à cena o maior cartel midiático do país, defendendo seu cacife no jogo da eleição-como-espetáculo, do eleitor-como-espectador (nunca como fiscal da contagem de votos). Encilha o premiado e lhe pesca com aspas, as quais o expoem pedalando para trás, perante o maior público. A estratégia de ataque testada por Sérgio Feitas, baseada na técnica conhecida como "Van Eck Phreaking", teria tido sucesso só "teórico" [7] Absoluta ressalva, da qual o IDG segue se defendendo [8]. E você? Entenda: nesse teatro, os reais significados de "convocado", de "mais alto gabarito", de "sistema seguro", de "ataque só teórico", e outros, não são aqueles que saltam logo à mente do leigo nesse enredo faz-de-conta.

Vocação cívica

Convocados, talvez treze; mas não por lhes ser mandada uma ordem judicial, como aos mesários nas sessões eleitorais. Dos vinte "especialistas" (e não 32 ou 37) que aceitaram as regras e apareceram para testar ataques pré-autorizados, nenhum deles apresentava histórico de sucesso anterior em ataques de adulteração de software. Treze deles são funcionários públicos, técnicos escalados pelo chefe que atendera por telefone algum pedido nesse sentido. Pois com o sufoco do prazo de inscrição dos testadores vencendo, e apenas um interessado submetendo-se às regras impostas pelo dono do objeto do teste, a saída foi adiar o prazo, culpar a greve dos correios, e partir para a criatividade. Para uma convocação, digamos, cívica.

Especialistas do mais alto gabarito, mas não, necessariamente, no sentido técnico. Talvez nalgum sentido cívico, por terem aceitado substituir, de surpresa e sob inócuas condições, os partidos políticos que haviam solicitado autorização para efetuarem testes independentes, estes afastados pelas regras impostas. Sem direito de acessar ou compilar código fonte dos softwares (pois "foge ao escopo"), e sem tempo para conhecer detalhes de implementação do sistema, restava aos técnicos que aceitassem as regras -- imaginou-se -- tentar adulterar algum código executável, na busca de sucesso em ataques pré-autorizados. Porém, durante os testes, nenhum dos vinte técnicos sequer utilizou linguagem Assembly no modo protegido dos processadores da urna. Técnicos que ali não seriam hackers, seriam lamers "do bem"?

Sistema seguro, mas, seguro para quem, e contra o quê? Quem quiser fraudar eleição não vai submeter-se às mesmas regras desse teste. Vai fugir desse escopo, vai para o do tráfico de influências, em busca de fontes e acessos privilegiados. Vai, no processo, tocaiar-se em sorrateiros "puxadinhos". Desse jeito o sistema pode ser seguro, sim, para quem o controla. Seguro contra revelação de falhas, vulnerabilidades e eventuais penetrações independentes, se todas as formas de penetrá-lo forem conhecidas dos controladores. Mas, no sufoco, o Sérgio foi convidado. E ele sabia da forma "Van Eck Phreaking" de penetrar. Van do quê? O inimaginado teste Van-não-sei-das-quantas foi autorizado, o Sérgio compareceu, e deu no que deu. Adeus, camuflagem da nudez hodierna do voto limpo-e-secreto. Ou não?

Teoria e prática

O ataque foi, de fato, no campo teórico; o radinho AM-FM que o Sérgio usou no seu teste tinha que estar a meio palmo da urna para grampear remotamente -- com ajuda de um software analisador de frequências -- as teclas do voto digitado. E o que significa isto, na prática? Significa que uma maleta especializada, daquelas cuja foto foi usada -- com ajuda dos cartéis da mídia -- para detonar um diretor da Polícia Federal por excessiva competência, pode fazer mais [9]. Pode grampear votos à sorrelfa, de boas distâncias. Mas só no campo teórico? É o que diz crer o secretário de informática do TSE. Para o secretário, conforme declarações publicadas [4], se o ataque fosse sério o Sérgio teria levado uma tal maleta para o teste. Secretário que depois deu meia volta, opinando que se o Sérgio tivesse levado a maleta não adiantaria [10].

Nessa forma de interação entre autoridades judiciais e cartéis midiáticos, eleitor significa ciberbobo [11]. Como se, para eleitor, escândalos do tipo painel do senado, ou da grampeagem indemonstrável sobre/de autoridades republicanas, fossem só telenovelas globais. Para os eleitores, na prática, uma teoria para sigilo e integridade do voto de passivos ufanistas, outra teoria para sigilo e veracidade da futrica de paranóicos ministros e intocáveis banqueiros. Para os eleitores, agora, identificação biométrica obrigatória, por atributos de forênsica criminal homologados pelo FBI, exigida em edital para compra de 250 mil novas urnas. Com as devidas portas de fundo no software, à guisa dos inevitáveis falsos negativos.

Isto para que os eleitores elejam políticos nos quais não confiam, os quais aprovam leis que ditam como as eleições devem ser controladas. Isso já desandou em revolução, em 1930. Pelo que cabe então perguntar: quem vai ter acesso a esse gigantesco cadastro bio-forênsico, quando, como, e para quê? Se a resposta for só teórica, cabe ainda uma última pergunta, só teórica por enquanto. Para onde caminha essa democracia?  Aos que quiserem ouvir, encerro com uma visão. A julgar por onde caminham outras, e pelos sinais dos tempos, rumo a um governo subterrâneo, concentrador e finalmente -- na tribulação -- global e tirânico. Para os que ficarem, após o arrebatamento da Igreja de Cristo.


Referências

[1]- http://agencia.tse.gov.br/sadAdmAgencia/noticiaSearch.do?acao=get&id=1255520
[2]- http://g1.globo.com/Noticias/Politica/0,,MUL1386429-5601,00-TSE+PREMIA+ HACKERS+QUE+DERAM+CONTRIBUICOES+PARA+O+SISTEMA+ELEITORAL.html
[3]- http://www1.folha.uol.com.br/folha/brasil/ult96u655263.shtml
[4]- http://idgnow.uol.com.br/seguranca/2009/11/20/perito-quebra-sigilo-eleitoral-e- descobre-voto-de-eleitores-na-urna-eletronica
[5]- http://www.cic.unb.br/~rezende/trabs/santobyte.html
[6]- http://idgnow.uol.com.br/seguranca/2009/11/18/tse-exalta-acao-de-hackers- nas-urnas-mas-descarta-teste-promovido-pela-web/
[7]- http://oglobo.globo.com/pais/mat/2009/11/21/tse-vai-investigar-email-falso- sobre-violacao-de-urnas-eletronicas-914868176.asp
[8]- http://idgnow.uol.com.br/seguranca/2009/11/24/perito-premiado-esclarece- teste-de-seguranca-com-urna-eletronica/IDGComment_view?id=11713&start:int=0
[9]- http://vimeo.com/2008343
[10]- http://www.tse.gov.br/internet/eleicoes/arquivos/Comentario_TSE_INPE.pdf
[11]- http://www.cic.unb.br/%7Erezende/trabs/entrevistaDM.html


revisado em 06.01.


* O Autor

Pedro Antonio Dourado de Rezende é matemático e professor concursado no Departamento de Ciência da Com­putação da Universidade de Brasília. Membro do Conselho do Ins­tituto Brasileiro de Política e Direito de In­formática, ex-membro do Conselho da Fundação Softwa­re Li­vre América Latina, e do Comitê Gestor da Infraestrutura de Chaves Públicas Brasileira (ICP-BR), en­tre junho de 2003 e fevereiro de 2006, como representante da Sociedade Civil. http://www.­cic.unb.br/~rezende/sd.php

Direitos do Autor
Pedro A D Rezende, 2009:
Este artigo foi produzido para publicação a convite no portal de notícias da UnB, e publicado no portal do autor sob a licença disponível em http://creativecommons.org/licenses/by-nc/2.5/br