O engenheiro Carlos Rocha, que nos anos 1990 participou da criação da urna eletrônica, defende o controle externo sobre o processo de votação. Com isso, para ele, nem haveria necessidade de implementar o voto impresso para conferir os resultados. Seria uma solução intermediária em meio a uma nova guerra aberta entre o Tribunal Superior Eleitoral (TSE) e o presidente Jair Bolsonaro em torno das urnas eletrônicas, que agora também conta com a participação do Exército.
Formado pelo ITA e empresário do ramo de tecnologia, Rocha batalha há mais de 20 anos na Justiça pelo reconhecimento de que pertence a ele a patente pelo primeiro modelo da urna eletrônica, que foi depois adotado pelo TSE e que, de lá para cá, passou por vários aperfeiçoamentos.
Ele considera o equipamento bom e também reconhece a capacitação de técnicos do TSE. Mas sustenta que, sem certificação independente da urna eletrônica e de seus sistemas, não há como garantir a confiabilidade da votação eletrônica. Essa certificação, segundo ele, poderia ser realizada pelo Instituto Nacional de Metrologia, Qualidade e Tecnologia (Inmetro), autarquia pública vinculada ao governo; e também por auditorias externas, feitas por empresas especializadas.
De acordo com Rocha, o problema está na centralização de todo o processo no TSE, em que um grupo restrito de técnicos controla a elaboração do código-fonte, as ferramentas que o protegem e sua instalação nas urnas, e os testes feitos com especialistas externos.
“São necessárias auditorias independentes do TSE, que sigam as melhores práticas consolidadas, para garantir a integridade dos equipamentos e sistemas, antes, durante e após a eleição, e para assegurar a assertividade da totalização de resultados”, disse o engenheiro e empresário, em entrevista à Gazeta do Povo.
Após a publicação desta entrevista e em resposta às declarações de Carlos Rocha, o TSE enviou nota em que afirma que a votação eletrônica já tem auditoria externa (leia a íntegra aqui).
Assim como outros especialistas, ele não corrobora declarações de Bolsonaro e parte de seus apoiadores de que teria ocorrido fraude na eleição de 2018 ou de que existiria manipulação para adulterar votos no programa que roda dentro da urna. Mas avalia, por outro lado, que não há instrumentos disponíveis para rechaçar de forma segura essas hipóteses, justamente porque o sistema é fechado.
Carlos Rocha entende que a centralização aumenta os riscos, porque falhas humanas internas ou mesmo vulnerabilidades dos sistemas do TSE podem abrir brechas para invasores externos que queiram adulterar o software da urna. Isso ocorreu em 2018, quando um hacker, passando-se por funcionário da Justiça Eleitoral, conseguiu entrar em sistemas internos a partir de máquinas de Tribunais Regionais Eleitorais (TREs) e navegar por eles durante meses.
O engenheiro considera que o Comando de Defesa Cibernética do Exército, que passou a integrar uma comissão formada pelo TSE para fiscalizar o sistema de votação, pode colaborar para aperfeiçoar o sistema. Mas ele avalia que o melhor seria “segregar as funções”, permitindo que outros atores participem da certificação e verificação do sistema.
Leia abaixo, a entrevista concedida pelo engenheiro. Ela partiu das respostas dadas pelo TSE a dezenas de perguntas feitas pelo Exército no âmbito da comissão de fiscalização. da votação eletrônica.
É possível identificar vulnerabilidades, problemas ou falhas no sistema eletrônico de votação, com base nas respostas dadas pelo TSE ao Exército? Se sim, o que seria o mais grave, na sua visão?
Carlos Rocha – As respostas confirmam a falta de controle externo independente sobre o TSE, sobre os técnicos da administração eleitoral. Isso gera um grave risco de quebra de segurança no sistema eleitoral brasileiro, sem deixar qualquer rastro, a partir de uma invasão interna.
Invasão interna é uma invasão que nasce dentro da organização. Como ocorre? Tem várias formas. Alguém que trabalha dentro da organização e que tem permissão de acesso a diferentes sistemas – por exemplo, ao sistema que constrói o software das urnas. A forma mais comum, 95% das vezes de invasões identificadas, nascem de erros, falhas humanas. Quando uma pessoa comete um erro, alguém que quer fazer uma intervenção, pode se aproveitar daquele erro e, por exemplo, assumir as credenciais daquela pessoa que cometeu o erro.
Em casos mais raros, pode acontecer uma invasão interna por uma atividade indevida, [alguém de dentro] faz um ilícito. E pode ocorrer até por falha no programa, que não se comporta como deveria.
O que é o controle externo e como se previnem ataques internos?
Um controle externo significa ações de certificação externa. O TSE define as especificações técnicas e funcionais do produto, escrevendo um documento, dizendo que o produto tem que entregar tais resultados. Alguém fabrica o equipamento. Depois, precisa haver uma cadeia de confiança de outras pessoas, que vão receber as especificações técnicas, dos equipamentos e programas, fazer testes e emitir um laudo técnico, uma certificação e vão atestar, dentro das metodologias conhecidas, que aquilo que está especificado de fato acontece nos objetos de entrega, que são equipamentos e programas. A urna tem que ligar, coletar o voto de certa maneira, registrar daquela maneira. O que vai garantir a integridade, é aquilo que está certificado dentro da urna.
Portanto, alguém especifica o que deve ser entregue, alguém diferente desenvolve e entrega o produto, um terceiro diferente verifica a qualidade, e ainda um quarto certifica. A garantia do que é entregue se torna independente de pessoas. Tem um órgão que é administração que contrata, e outro órgão de certificação, que emite um laudo.
Qual a diferença para o que faz o TSE?
Hoje, a integridade dos resultados da eleição depende de um pequeno grupo de pessoas, segundo o site do TSE.
E, sem uma certificação externa independente, a administração eleitoral não consegue demonstrar tecnicamente que o conteúdo de cada voto recebido é o mesmo do registro digital do voto, que não é realizado de modo individual. Todos os votos são reunidos em um arquivo único chamado RDV, sem proteção.
[Comentário: RDV é um arquivo, no formato de uma tabela, que registra os votos dados por cada eleitor nos candidatos a cada um dos cargos em disputa. Nesse arquivo, não se identifica o eleitor e a ordem em que cada um votou naquela seção eleitoral é embaralhada. O TSE diz que há “assinatura digital de cada voto” pela urna eletrônica, “obtido mediante a aplicação de sistema de criptografia baseada em tecnologia de chaves assimétricas, conhecido como infraestrutura de chaves públicas”]
O risco se torna ainda mais grave, porque cada voto não é registrado de forma individual, em um documento eletrônico com validade legal, o eleitor não confere o seu voto, após o registro digital, e não há contagem pública dos votos, a contagem é secreta, sem qualquer controle da sociedade.
O TSE reconheceu a ocorrência de 712 riscos à votação eletrônica, sendo 68 riscos considerados críticos e 257 riscos altos. É um número grande e grave, no seu entender?
Essa ocorrência comprova que nem o sistema eletrônico de votação e nem a urna eletrônica, em particular, são invioláveis a quebras de segurança. Em especial, se mostra absolutamente falsa a afirmação repetida inúmeras vezes de que “as urnas eletrônicas são imunes a ataques, porque nunca são conectadas à internet ou a qualquer tipo de rede, o que impede invasões”.
Há um alto risco de invasão interna para alteração dos programas que operam a urna eletrônica, quando não há controle externo independente do TSE. Não existe sistema inviolável 100% seguro. Simples, assim.
Estatisticamente, seria impossível que não tivessem havido muitas tentativas de fraude, desde a eleição de 1996. Assim, a afirmação de que até hoje não foi identificada qualquer fraude no sistema eleitoral confirma que não há ferramentas para rastrear tentativas de quebra de segurança, que permitiriam garantir que não houve fraude.
No caso da invasão da rede do TSE por um hacker, em 2018, os logs [arquivos que guardam o histórico do acesso] foram apagados e não havia uma cópia de segurança para viabilizar um diagnóstico do que teria ocorrido.
A resposta do TSE também diz que “não são raros” ataques conhecidos “negação de serviço (DoS/DDoS)”. O que é isso? E o que a recorrência desses ataques diz sobre a segurança dos sistemas do TSE? O tribunal afirma trabalhar com operadoras de telecomunicações para bloquear os ataques de modo a restabelecer os serviços, e que é prática “bastante operacionalizada e, portanto, testada de modo a aferir sua efetividade”.
DDoS ou negação distribuída de serviço é um tipo de ataque cibernético que tenta tornar um sistema ou recurso de rede indisponível, ao inundá-lo com tráfego mal-intencionado a partir de múltiplas origens.
A prevenção a ataques de negação distribuída de serviços é uma ação necessária, em qualquer sistema de segurança de informação. A administração eleitoral deve implantar um sistema de segurança da informação, que passe por auditorias independentes e seja certificado na norma ISO 27001 de segurança da informação.
Mas reitero que o maior risco não vem de fora; é o de invasão interna à administração eleitoral. E ocorre quando não há o essencial controle externo.
Nas respostas do TSE aos questionamentos dos militares, é possível verificar que 224.999 (38,9%) das urnas eletrônicas a serem usadas neste ano são de um modelo lançado em 2020 que não passou pelo teste público de segurança realizado no ano passado, com técnicos externos chamados ao tribunal para invadir o equipamento. É um risco?
Os testes públicos de segurança não seguem uma metodologia consolidada, nas melhores práticas de segurança da informação. Mostra-se essencial a implantação da segregação de funções recomendada pela norma ISO27001 de segurança da informação, pelo Tribunal de Contas da União e por qualquer empresa de auditoria qualificada.
São necessárias auditorias independentes do TSE, que sigam as melhores práticas consolidadas, para garantir a integridade dos equipamentos e sistemas, antes, durante e após a eleição, e para assegurar a assertividade da totalização de resultados. A totalização dos votos deve ser realizada, de forma distribuída, pelos Tribunais Regionais Eleitorais. A centralização aumenta muito o risco de manipulação, sem deixar rastros.
Outro problema sério é que não há certificação prévia independente dos equipamentos e programas, como ocorre com qualquer produto técnico – como o celular, o roteador WiFi e a balança da padaria. No Brasil, a urna eletrônica deve ser o único equipamento eletrônico profissional, em um sistema de missão crítica, que não é certificado por um laboratório independente credenciado pelo Inmetro, Anatel ou similar.
Há tempos a comunidade científica cobra mais transparência do TSE por meio da divulgação pública do código-fonte da urna eletrônica. Restringi-los aos técnicos do tribunal não o deixa mais seguro? Se não, por quê?
Concordo plenamente que a publicação do código-fonte de todo o sistema eleitoral traria governança e transparência, com significativo aumento da segurança do sistema. O site do TSE informa que “somente um grupo restrito de servidores e colaboradores do TSE tem acesso ao repositório de código-fonte e está autorizado a fazer modificações no software. Uma consequência disso é que o software utilizado nas eleições é o mesmo em todo o Brasil e está sob o controle estrito do TSE”.
É exatamente aí que reside o grave risco de quebra de segurança do sistema eleitoral, incompreendido pelos ministros do TSE, por falta da qualificação técnica mandatória para conduzir a administração eleitoral.
O TSE tem uma estrutura institucional adequada para a segurança do voto?
Uma ótima solução para garantir isenção política e competência técnica na administração eleitoral seria o Congresso Nacional transformá-la em um órgão de Estado exclusivamente técnico, independente do TSE.
Na minha opinião, devemos adotar uma organização similar à de uma agência reguladora, seguindo as melhores práticas de governança organizacional pública, transparência, segregação de funções e segurança da informação.
O conselho diretor da administração eleitoral, incluindo o seu presidente, deveria ser absolutamente isento, proibido de qualquer atuação política, e possuir a qualificação profissional construída pela formação técnica superior acadêmica e pela experiência executiva acumulada na administração de organizações complexas com forte base tecnológica, durante dez anos, no mínimo.VEJA TAMBÉM:
- Declarações de ministros do TSE causam incômodo nos militares, e podem levar a reação
- Como militares, governo e aliados avaliam as respostas do TSE sobre as urnas eletrônicas
- Nova urna eletrônica é mais segura e rápida, mas não extingue vulnerabilidades, dizem especialistas
O Exército pode realmente colaborar para atestar a integridade do sistema?
O Comando de Defesa Cibernética do Exército ( ComDCiber) já está contribuindo de modo relevante, através da interação construtiva com o TSE, para o aperfeiçoamento técnico do sistema eletrônico de votação. O ComDCiber é uma organização altamente qualificada, que coordena e executa ações para proteger o país de ataques cibernéticos.
Para atestar a integridade do sistema eletrônico de votação, a administração eleitoral deve implantar a segregação de funções, recomendada pela norma ISO 27001, pelo Tribunal de Contas da União e por qualquer empresa de auditoria qualificada, através da certificação prévia independente de equipamentos e sistemas, pela cadeia de confiança do Inmetro. Deve-se realizar, adicionalmente, auditorias da integridade do sistema e da assertividade da totalização dos votos, por empresas independentes, previamente credenciadas.
O voto impresso é necessário para trazer segurança e transparência aos resultados das eleições?
Como a impressão do voto, usada em vários países, não foi aprovada pelo Congresso, há uma solução de baixo custo e viável para implantar nas eleições deste ano. Minha sugestão é criar um documento eletrônico para cada voto, com validade legal certificada pela ICP-Brasil [Infraestrutura de Chaves Públicas Brasileira, sistema brasileiro de certificação digital, mantido pelo governo], utilizando um token criptográfico conectado na urna eletrônica.
Um token e um certificado digital, para cada urna eletrônica, seriam fornecidos por empresas certificadoras credenciadas pelo Instituto Nacional de Tecnologia da Informação [ITI, órgão do governo responsável pelo ICP-Brasil], independentes do TSE.
Em seguida, o voto é gravado em uma nova memória de resultados, com tecnologia de última geração para proteger o voto contra apagamento ou alteração. O sigilo do voto do eleitor fica garantido, com a gravação do documento na memória, de modo aleatório, sem dados do eleitor e sem informação temporal.
O documento eletrônico do voto poderá ser exibido ao eleitor, na tela da urna eletrônica, para a sua verificação e confirmação. A contagem pública ocorreria na seção eleitoral, com a exibição de cada voto na tela, para a fiscalização dos partidos. Auditorias independentes fariam a recontagem dos documentos eletrônicos dos votos, após a eleição.
Be the first to comment on "Votação eletrônica do TSE precisa de auditoria externa, diz um dos criadores da urna"