Confira em detalhes as 3 vulnerabilidades na Urna Eletrônica; E seus planos de correção. |
A terceira edição do TPS foi realizada de 8 a 10 de março de 2016, nas dependências do TSE, e teve como objetivo contar com a contribuição da sociedade para identificar possíveis vulnerabilidades e falhas relacionadas à violação da integridade ou do anonimato dos votos de uma eleição, bem como apresentar soluções de aperfeiçoamento ao sistema.
Primeira Vulnerabilidade
Foi apresentada pelo Grupo 1, composto por três integrantes e coordenado por Sérgio Freitas da Silva, analista de sistemas, desenvolvedor de software, advogado, graduado em Administração e Direito e mestrando em Administração com especialização em Engenharia de Sistemas, Auditoria e Gestão Pública.
O objetivo do teste foi alterar valores dos resultados de um Boletim de Urna (BU), gerar novos códigos de verificação – que estão impressos no BU – e, com esse BU forjado, digitar em outra urna eletrônica (também preparada para aquela seção específica), por meio do modo Sistema de Apuração (SA), valores divergentes dos apresentados no BU original.
O código verificador foi implementado pela Justiça Eleitoral no BU para, no caso de ser necessária a digitação do conteúdo do BU impresso no Sistema de Apuração, “validar” essa digitação. Ou seja, o código verificador impede que seja concluída a digitação de um conteúdo que não corresponda exatamente ao conteúdo do BU original impresso.
O plano do Grupo 1 atacou o algoritmo responsável pela geração do código verificador, e foi um dos que obtiveram êxito. Assim, seria possível gerar novos códigos verificadores válidos e que poderiam ser aceitos pela urna eletrônica, apesar de serem diferentes do original. Dessa forma, seria possível alterar o resultado da votação em uma seção. Para conseguir executar o teste, o Grupo teve acesso ao código-fonte do sistema em janeiro deste ano, na fase de preparação, quando conheceu e entendeu as especificidades do algoritmo.
Cabe destacar alguns pré-requisitos para que o ataque tenha sucesso em uma ocasião normal de votação: conhecimento sobre como é calculado o código verificador, acesso a um BU legítimo, acesso a uma urna em modo Sistema de Apuração, e interceptação e eliminação do BU verdadeiro e mídia de resultado.
A solução sugerida por Sérgio Freitas seria “a utilização de assinatura digital nos documentos impressos na urna, incluindo o Boletim de Urna, permitindo aos interessados conferir a autenticidade dos documentos a partir de um código de autenticação impresso nos documentos”.
As alterações já foram feitas pelo TSE e os investigadores terão a oportunidade de executar novamente o plano e testar a barreira imposta pelo novo código verificador.
Vulnerabilidade 2
Foi composto por cinco integrantes e coordenado pelo doutor em Engenharia Mecânica Luis Fernando de Almeida, representou a Universidade de Taubaté (Unitau), em São Paulo. O objetivo do plano de teste foi quebrar o sigilo do voto, baseado em gravação do áudio disponibilizado pela urna eletrônica para pessoas com deficiência visual. A reprodução de áudio pela urna é uma ferramenta de exceção disponível para que eleitores que possuem deficiência visual e desconhecem o sistema de leitura em Braille, possam votar. Uma vez ativada, a urna emite a narração das teclas digitadas pelo eleitor para que ele possa ter a certeza de que esta digitando o número do candidato escolhido.
Para saber quais são os sons emitidos pela urna habilitada, seria preciso instalar um aparelho transmissor de áudio (plug). No caso, o grupo desenvolveu um microcomputador que transmitiria digitalmente para outro computador esse áudio, utilizando uma rede wi-fi. Esse dispositivo de escuta seria colocado na saída de áudio da urna eletrônica. Esse trabalho teria que ser feito por um mesário, presidente da seção ou pelo próprio eleitor sem que ninguém mais veja, ou diante do conluio entre as pessoas que trabalham em determinada seção eleitoral.
Dessa forma, seria gravado o áudio reproduzido pela urna, disponibilizado para pessoas com deficiência visual, e associada à sequência de votação na urna com a sequência de eleitores que compareceram à seção. Algum mesário, presidente de seção, ou alguém da fila de eleitores teria que anotar a sequência das pessoas que votaram para correlacionar essa informação com a sequência de votos registrados na urna e, por meio da gravação do áudio reproduzido, violar o anonimato do eleitor, identificando para quem ele votou.
A sugestão de correção apresentada pelo grupo seria criptografar o áudio emitido pela urna e a Justiça Eleitoral disponibilizar um fone de ouvido que contaria com tecnologia suficiente para descriptografar o som emitido, a fim de que o eleitor possa compreendê-lo. Essa medida seria altamente onerosa e há outras maneiras mais simples e baratas de resolver essa questão.
A Justiça Eleitoral já está estudando formas de tornar essa prática ainda mais inviável. Será desenvolvido, já para a eleição deste ano, um mecanismo que evidencie que o áudio da urna está habilitado. A intenção é deixar claro para o eleitor que o áudio da urna está habilitado, quer seja ele deficiente físico ou não. E o cidadão será instruído posteriormente para saber identificar isso. Caso ele não tiver solicitado esse recurso, deverá comunicar aos mesários para que o áudio seja desativado.
Vulnerabilidade 3
O teste do investigador individual João Felipe de Souza, professor do Instituto Federal do Triângulo Mineiro - campus Paracatu, graduado em Ciência da Computação e mestre em Engenharia Agrícola, baseou-se em um plano teórico em hipóteses: o atacante deveria interromper a votação, desligar a urna eletrônica, retirar as memórias flash da urna e copiá-las. Após, iria reiniciar a votação com o código de reinício, computar o último voto e encerrar a votação. Em seguida, deveria restaurar as memórias flash para o estado anterior e encerrar novamente a votação.
Nesse cenário, o último voto poderia ser deduzido pela comparação dos dois Boletins de Urna, ocorrendo quebra de sigilo do último voto computado antes da retirada da memória flash.
Como pré-requisitos para o sucesso do ataque teria que haver o acesso físico irrestrito à urna e a violação do lacre do equipamento.
De acordo com o próprio investigador, “o plano de teste foi bem sucedido no ponto de vista em que se conseguiu explorar uma falha na urna, mas em termos práticos é um plano inviável de ser executado, porque é um plano teórico em hipóteses”.
João Felipe disse ainda que levantou uma hipótese e consegui prová-la, mas para que o teste seja aplicado seria preciso corromper muitas pessoas como o cartório eleitoral, os mesários, os fiscais dos partidos e até mesmo os eleitores. “Então é um teste impraticável, não há a possibilidade de alguém executar ele para alterar o resultado da eleição ou quebrar o sigilo do voto”, concluiu. (Via TSE)
E então eleitor qual é a sua opinião? comente abaixo!