“A fraude em urnas eletrônicas é plausível, reveladora de muitos
detalhes da fase de totalização, e muito séria. Pois é nessa fase do
processo de votação que fraudes podem ocorrer de forma definitiva”
Com informações do Pragmatismo Político
Conceição Lemes, Viomundo
Na última segunda-feira 10, o auditório da Sociedade de Engenheiros e
Arquitetos do Rio de Janeiro, ficou lotado para assistir ao seminário A
urna eletrônica é confiável?
 |
| Professor
Pedro Rezende (na mesa, último à direita), da UnB, foi um dos
palestrantes do seminário A urna eletrônica é confiável?, realizado no
Rio de Janeiro. (Foto: Viomundo / Portal do PDT) |
O ponto alto foi o
relato de um jovem hacker de 19 anos,
que revelou fraudes em resultados na Região dos Lagos, no Rio de
Janeiro, na última eleição, em outubro de 2012. Identificado apenas como
Rangel por questões de segurança, ele mostrou como — através de acesso
ilegal e privilegiado à intranet da Justiça Eleitoral no Rio de Janeiro —
modificou resultados, beneficiando candidatos em detrimento de outros,
sem nada ser oficialmente detectado.
“A gente entra na rede da Justiça Eleitoral quando os resultados
estão sendo transmitidos para a totalização e depois que 50% dos dados
já foram transmitidos, atuamos. Modificamos resultados mesmo quando a
totalização está prestes a ser fechada”, explicou Rangel, ao detalhar em
linhas gerais como atuava para fraudar resultados.
A platéia, composta principalmente por especialistas em transmissão
de dados, computação, internet, representantes de partidos políticos e
autoridades policiais, ficou pasma.
Entre eles, o matemático e professor de Ciência da Computação Pedro
Antônio Dourado de Rezende, da Universidade de Brasília (UnB). Foi um
dos palestrantes do seminário. Há mais de dez anos ele que estuda as
fragilidades do voto eletrônico no Brasil.
Viomundo – O senhor acompanhou o relato do Rangel?
Pedro Rezende – Sim, integralmente.
O que achou da fraude relatada?
Plausível, reveladora de muitos detalhes da fase de totalização, e
muito séria. Pois é nessa fase do processo de votação que fraudes podem
ocorrer de forma definitiva. Ao mesmo tempo, curiosamente, essa fase é
sempre omitida nas avaliações externas e testes públicos de segurança,
alardeados como garantias de lisura do processo de votação.
A Justiça Eleitoral sempre restringiu os testes e avaliações à urna
eletrônica. E quando questionada sobre a segurança do processo de
votação como um todo, ela desconversa. Sempre confunde o entendimento da
questão com o da urna simplesmente.
O que o Rangel expôs é mesmo factível na prática?
Sim, por motivos sobre os quais escreverei mais detalhadamente quando
for publicado o vídeo do seminário. Por hora, em consideração à
seriedade com que o
Viomundo vem tratando a segurança do eleitor que quer eleições limpas no processo eleitoral, posso adiantar o seguinte.
A fraude descrita no seminário não tem nada a ver com a questão do
TSE utilizar ou não criptografia no processo, ou se a utiliza bem ou
mal.
A criptografia opera apenas em canais de comunicação, no tempo ou no
espaço. No caso em questão, nos canais entre o gateway de saída de um
ponto de coleta de Boletins de Urna (BU) eletrônicos, no cartório
eleitoral que os recebe de seções eleitorais, e o gateway da rede
interna do TRE (Tribunal Regional Eleitoral), onde se inicia o
processamento da totalização.
A modalidade de fraude que o jovem Rangel descreveu no seminário
ocorre dentro da rede interna do TRE que totaliza a eleição, na etapa
final da fase de totalização, através de um backdoor no firewall que
protegeria o correspondente gateway.
A fraude é executada alterando-se as tabelas de totais parciais.
Portanto, após os BUs eletrônicos terem sido descriptografados
(decifrados) e os números de votos por candidato para a seção eleitoral
correspondente terem sido lidos do resultado desta decifragem e
tabulados em uma planilha de totais parciais da eleição.
Consequentemente, após o uso da criptografia.
Essa modalidade de fraude não depende de ataque à criptografia
utilizada, pois nela o ataque é no canal de confiança capaz de dar
utilidade à forma de criptografia empregada na transmissão de BUs. Em
linguagem técnica, podemos dizer que se trata de um ataque de canal
lateral.
Isso faz sentido? Como o Rangel se apresentou?
Faz, e é coerente com o relato dele, que no seminário se identificou
como operador de um balcão para leilão de lotes de votos a fraudar no
Estado do Rio de Janeiro.
O quê?!
É isso mesmo! Ele realizava as fraudes por meio de pregões virtuais
para leiloar lotes de votos a serem burlados em tempo real, durante a
totalização.
Como ele executava essa modalidade de fraude?
O que ele nos disse pode ser explicado, em termos leigos, assim: é
através de uma porta de fundo oculta (backdoor) na barreira externa de
proteção (firewall) operada por uma companhia telefônica, que controla
canais de comunicação para a rede virtual privada (VPN) da Justiça
Eleitoral.
Por meio dessa porta oculta se tem acesso aos computadores da rede
interna ao Tribunal Regional, onde é processada a totalização. Por meio
de um nome de usuário (ID) e senha vazados por quem organiza o leilão,
ali ele burlava votos, executando a venda dos lances arrematados,
durante as últimas duas horas da fase de totalização, isto é, entre
aproximadamente 19 e 21h do dia da votação.
Qual companhia telefônica?
O Rangel não declinou o nome dela, mas o delegado da polícia civil que levou o jovem ao seminário identificou-a como sendo a Oi.
Aliás, na matéria publicada no portal do PDT e que nós reproduzimos, é citado um delegado…
É esse, o delegado Alexandre Neto, de Maricá. Foi ele quem levou o
jovem Rangel ao seminário. Segundo o delegado, o jovem foi flagrado, em
plena atividade leiloeira dessa modalidade, por um tenente da Polícia
Militar numa operação que investigava possível fraude na eleição de
2012.
O Rangel nos disse que o pagamento pelo seu serviço era na forma de
desconto quase total na cobrança do link dedicado, que ele contratava à
mesma companhia telefônica para operar seu negócio de lan house. Um link
dedicado, que é muito caro, é condição para boa performance em jogos
on-line.
O que mais o senhor poderia nos adiantar?
Pelo relato do Rangel, essa forma de fraude não seria detectada
somando-se os totais impressos de cada urna, possibilidade sempre
alardeada pela Justiça Eleitoral como garantia de lisura na fase de
totalização.
Sobre essa possibilidade, cabe esclarecer que totais impressos de
cada urna (BU impresso) só poderiam fazer prova de possível
irregularidade no resultado oficial quando coletados no encerramento da
seção eleitoral, assinados de punho pelo mesário, se estiverem de posse
do candidato prejudicado.
Além disso, para que um desses BUs impressos possa servir como prova
de irregularidade, ele teria não só que estar autenticado na origem,
pela assinatura de punho do mesário, mas também teria que diferir de sua
correspondente versão oficial eletrônica, isto é, do BU eletrônico
desta seção eleitoral que teria sido computado na totalização.
Porém, nesse tipo de pregão eletrônico, via de regra (pelo que
entendi do depoimento do jovem Rangel), os BUs eletrônicos que
constituem as parcelas da totalização parcial fraudada não são ajustados
para corresponderem, em correta soma, ao resultado depois da fraude.
Continuam, portanto, as parcelas dos BUs eletrônicos como estavam ao
serem transmitidos ao TRE
Daria para traduzir pro “leiguês” como esse tipo de fraude é praticado?
Segundo o Rangel, nesse tipo de pregão, o lote de votos que será
retirado de um ou mais candidato-vítimas corresponde a um terço ou à
metade dos votos obtidos numa parcial de totalização por essas vítimas.
Esse lote é oferecido em leilão, com preço mínimo.
Pelo que eu pude entender, complementado por outros depoimentos como o
do delegado Neto, o preço mínimo do lote varia conforme o cargo, a
porcentagem de seções eleitorais acumuladas para aquela parcial de
totalização e a posição das vítimas no ranking da totalização geral
divulgada até ali. Os lances, por telefone, precisam ser comunicados em
código, via nomes de animais, ou são invalidados se o participante na
linha falar diretamente em dinheiro. Quando o lance mínimo é coberto e o
lote arrematado, os votos correspondentes ao lote são subtraídos
diretamente do montante obtido pelos candidato-vítimas nessa parcial de
totalização, e somados ao montante correspondente do candidato que
arrematou o lote.
O perfil de permissões do usuário, cujo ID e senha são vazados por
quem organiza o leilão para quem vai operar um pregão nesse leilão (o
Rangel não seria o único), dá a este operador a capacidade de congelar a
inclusão desta parcial no total geral divulgado.
Essas parciais de totalização devem periodicamente ser alimentadas
pelo tribunal regional ao TSE, através do canal de VPN entre o TRE e o
TSE, já que nessa eleição o TSE, por motivos não divulgados, centralizou
as divulgações dos totais gerais para cada Estado, enquanto iam se
acumulando ao longo da fase de totalização. A parcial de totalização
sobre a qual se oferecem lotes fica então congelada para essa
transmissão até o arremate dos lotes oferecidos e à execução das
manipulações correspondentes aos lotes que foram arrematados.
Assim, pelo que entendi da explicação do jovem Rangel e de outros no
seminário, via de regra, as manipulações nos totais parciais por
candidato, relativas aos lotes de votos arrematados no pregão, não são
redistribuídas depois em correspondentes parcelas de BUs que compõem em
soma aquela parcial, o que seria necessário para manter a consistência
da totalização oficial.
É por isso que, neste caso, os BUs impressos não permitem detectar
manipulação alguma, pois esses vão coincidir — a menos que eventualmente
haja outra forma de fraude executada em fase anterior — com as
correspondentes versões eletrônicas. Somente a soma dos dados de todos
BUs eletrônicos, que depois são divulgados pelo TRE, comparada ao total
de votos do candidato na totalização final pronunciada como resultado
oficial, é que poderia detectar inconsistência na soma. No seminário,
quando questionado sobre essa possibilidade de detecção, o jovem Rangel
declarou que os leiloeiros não se preocupam com ela porque “ninguém faz
essa soma”.
Isso faz sentido?
Para mim, sim, devido à forma como a Justiça Eleitoral divulga
oficialmente os BUs eletrônicos, tornando impraticável essa verificação.
A divulgação, pela internet, é em momento e endereço não anunciados
previamente, e dentro de um prazo elástico – na eleição de 2010 era de
24 horas, na de 2012 saltou para três dias. E depois da divulgação do
resultado oficial, e com modo de acesso assaz peculiar, conforme observo
em artigo recentemente publicado.
Explico. Após esses BUs eletrônicos serem disponibilizados, o tempo
que se tem para efeito de prova de irregularidade na soma divulgada como
resultado oficial é de até 72 horas. Só que a gente não fica sabendo
exatamente quando isso acontece, pois a divulgação, pela internet, é em
momento e endereço não anunciados previamente, com modo de acesso manual
seção por seção, via formulário. Parece irracional, mas é desse jeito
que determina a resolução TSE 23.372, em seus artigos 145 e 150,
aprovada em plenário do Tribunal Superior Eleitoral em 14/12/11.
Assim, é praticamente impossível verificar isso com precisão. Razão pela qual ninguém a faz mesmo, como afirma o jovem Rangel.
Quando se quer provar que uma soma está correta, não há razão lógica
para se publicar tantas parcelas tão sorrateiramente, em até três dias
depois do resultado. A não ser que o real objetivo seja dificultar a
verificação externa dessa “prova” ou impedir sua utilidade, enquanto se
pode afirmar que ela está disponível a qualquer um. E, de fato, não
conheço ninguém que a tenha feito.
O senhor já sabia dessa possibilidade de fraude ou foi novidade?
Eu sabia que essa possibilidade era latente a uma análise de riscos
equilibrada do nosso processo de votação. Mas não tinha elementos
concretos para especular ou elaborar honestamente. De um lado, devido ao
ofuscamento com que o seu contexto sempre foi tratado oficialmente. De
outro, como a mídia corporativa sempre prestou serviço a esse
ofuscamento, sempre se fazendo de boba quanto à diferença entre
segurança “da urna eletrônica” e segurança do processo de votação como
um todo.
Consequentemente, nesta situação, não convinha, para mim e para o
valor das minhas críticas, nutrir com especulações puramente teóricas a
pecha de paranoico conspiracionista que ambas sempre tentaram me
impingir, ao longo de mais de dez anos de críticas ao nosso processo de
votação.
Essa possibilidade de fraude decorre da vulnerabilidade do sistema como um todo?
A meu ver decorre, em parte, da vulnerabilidade do sistema como um
todo. E, em parte, por tal vulnerabilidade ter passado desapercebida da
grande maioria dos eleitores por tanto tempo, enquanto as pessoas iam
sendo induzidas, com ingênuo ufanismo e propaganda massiva, a tomar a
segurança de uma coisa pela da outra.
O professor Pedro Rezende trabalhou
no Vale do Silício, Califórnia (EUA), com controle de qualidade na
Apple Computer e com as primeiras aplicações em hipertexto (hypercards),
em 1988. É consultor em criptografia e segurança na informática para
empresas, órgãos públicos, legisladores, operadores do Direito e
agências de fomento à pesquisa científica e à produção cultural.
Coordena o Programa de Extensão em
Criptografia e Segurança Computacional da UnB, onde montou e ministra o
primeiro curso de programação para Infraestrutura de Chaves Públicas
(ICP) no Brasil. Conselheiro do Instituto Brasileiro de Política e
Direito na Informática, ex-conselheiro da Free Software Foundation Latin
America (2006-2008) e ex-representante da sociedade civil no Comitê
Gestor da Infraestrutura de Chaves Públicas Brasileira, ICP-BR, por
designação do presidente da República (2003-2006).
A
