Diego Aranha: Fragilidade de urna abre caminho para ‘voto de cabresto digital’

Tempo de leitura: 8 min

Diego Aranha: Fragilidade de urna brasileira abre caminho para ‘voto de cabresto digital’ (título original deste post)

por Conceição Lemes

Finalmente o Tribunal Superior Eleitoral (TSE) divulgou na semana passada o relatório final dos testes de segurança das urnas eletrônicas, realizados de 20 a 22 de março.

Assinado pela comissão avaliadora de “notáveis” designada pelo próprio TSE, ele é curtíssimo (tem 2 páginas), cheio de tabelas e siglas, em linguagem cifrada, sem qualquer explicação sobre os critérios, justificativas ou conclusões.

Em nenhum momento também ressalta o êxito da equipe coordenada pelo professor Diego Aranha, do Departamento de Ciência da Computação da Universidade Brasília (UnB), que demonstrou a existência de fragilidades no projeto do software das urnas eletrônicas.


O grupo G1PT1 (é o da UnB, do professor Aranha)  desembaralhou os votos gravados no arquivo chamado Registro Digital do Voto (RDV) sem deixar rastros ou vestígios do ataque.

Em “leiguês”: o grupo conseguiu quebrar a única defesa da urna eletrônica para garantir o sigilo dos votos, identificando a hora e a quem foi destinado o primeiro voto, o segundo, o terceiro, o quarto, e, assim, sucessivamente. Em tese, esse ataque bem-sucedido à urna (como se diz no jargão computacional) viabiliza a violação do sigilo das opções de cada eleitor. Basta simplesmente alguém anotar a hora que cada eleitor votou.

O professor Wilson Henrique Veneziano, colega de departamento de Diego Aranha, integrou a comissão do TSE que organizou e disciplinou o teste. Em entrevista ao Viomundo, ele diz:

“Os testes foram feitos com o software provisório de urna. É uma versão que está em processo de desenvolvimento. É uma primeira versão do que se vai usar agora.   Esse teste faz parte do processo de desenvolvimento”.

“A equipe do professor Diego fez um trabalho brilhante. Conseguiu vencer certa barreira de segurança da urna,  pois identificou um ponto de vulnerabilidade em que o tribunal já estava trabalhando. Mas isso só foi possível porque o TSE abriu-lhes totalmente o código-fonte e, ainda, forneceu todas as informações sobre o software e o hardware da urna”.

“Mesmo assim, o professor Diego não conseguiu nem de perto alterar o software que contabiliza os votos dos candidatos nem quem votou neles”.

“É preciso também que fique bem claro que isso aconteceu em teste de laboratório. Nada disso tem condições de ocorrer no período eleitoral sem que seja detectado. Aí, uma vez detectado o problema, a urna seria invalidada”.

Essa avaliação, porém, é contestada por especialistas independentes, entre os quais o engenheiro Amilcar Brunazo Filho,  moderador do Fórum do Voto Eletrônico.

BRUNAZO: “PARA OS REPRESENTANTES DO TSE MELECAR O TECLADO COM FEZES É MAIS PERIGOSO”

“O edital dos testes do TSE diz que o software a ser testado seria o mesmo usado em eleições regulares e que o relatório final da comissão avaliadora deveria ser divulgado em 29 de abril e conter descrição, avaliação e conclusões sobre os diversos testes. Nada disso foi cumprido pela comissão de notáveis”, critica Brunazo , especialista em segurança de dados. “Se era para fazer um relatório tão pífio, não havia necessidade de adiar a sua divulgação por duas semanas.”

“Os representantes do TSE continuam insistindo em minimizar o sucesso obtido pelo grupo do professor Diego Aranha com desculpas equivocadas”, prossegue Brunazo.   “Por exemplo, o acesso ao código fonte é garantido por lei em eleições normais (art. 66 da lei 9.504) e em nenhum momento a equipe da UnB cogitou modificar software das urnas. Ela obteve sucesso pleno na sua tentativa de violar o sigilo do voto sem mesmo tocar nas urnas. Acessou apenas dados como os arquivos de LOG e de RDV, que são publicados após a eleição, como prevê   o artigo 43 da Resolução 23.365/12 do TSE”.

“Art. 43. A Justiça Eleitoral fornecerá, mediante solicitação, cópia do Registro Digital do Voto para fins de fiscalização, conferência, estatística e auditoria do processo de totalização das eleições.
§ 1º O Registro Digital do Voto será fornecido em arquivo único, contendo a gravação aleatória de cada voto, separada por cargo.
§ 2º O pedido poderá ser feito por partido ou coligação concorrente ao pleito, nos Tribunais Eleitorais, observada a circunscrição da eleição, até 15 de janeiro de 2013.
§ 3º O requerente deverá especificar os Municípios, as Zonas Eleitorais ou Seções de seu interesse, fornecendo as mídias necessárias para gravação.
§ 4º Os Tribunais Eleitorais terão o prazo de 48 horas, a partir da totalização dos votos, para o atendimento do pedido.”

“Para disponibilizar esses arquivos”, chama atenção Brunazo, “ é a própria Justiça Eleitoral que normalmente rompe o lacre das urnas a fim de retirar o pen-drive onde eles ficam gravados!”

Por sinal, o código-fonte das urnas que serão usadas nas eleições municipais de 2012 já está aberto no TSE desde o dia 07 de abril. Brunazo esteve lá na quarta-feira da semana passada 11, para apresentar as credenciais como representante de Partido Político (PDT) e sua equipe já está começando a análise dos códigos.

O relatório final da Comissão Avaliadora, que é irrecorrível segundo as próprias regras do TSE, atribuiu ao trabalho da equipe da UnB a nota de avaliação de 0,0313 em 400 pontos possíveis. Essa nota equivale, numa escala de zero a 10, a menos que 0,0008.

“Uma avaliação tão baixa é um disparate”, contesta Brunazo.

Para ilustrar o absurdo, recorre a um caso que aconteceu em 2008, no interior do Maranhão. Após votar, um eleitor insatisfeito lambuzou o teclado da urna com fezes humanas. Com isso provocou a “indisponibilidade do equipamento” já que ninguém mais quis votar nele.

“Pois usando os critérios do TSE, esse ‘ataque’ teria nota 1 (em 400 pontos possíveis)”, detona Brunazo. “Ou seja, o relatório do TSE considerou que melecar o teclado da urna seria 30 vezes mais perigoso e danoso ao processo eleitoral do que a fragilidade apontada pela equipe da UnB, que permite ordenar os votos de todas das urnas eletrônicas usadas até 2010.”

ARANHA: “DERROTAMOS O ÚNICO MECANISMO PARA PROTEGER O SIGILO DO VOTO”

“De fato, não violamos nenhum lacre que já não seria violado ao final de uma eleição normal”, afirma o professor Diego Aranha. “Nós demonstramos que é possível, sim, montar um ataque com o objetivo de fraudar o sigilo do voto. Não se trata de provocar falha ou defeito, como está no relatório. Também não achamos que a pontuação reflita com precisão os nossos resultados.”

Do grupo coordenado por Diego Aranha fazem parte André de Miranda, Marcelo Monte Karam e Felipe Brant Sacarel, todos técnicos servidores do Centro de Informática (CPD) da UnB.

Viomundo – O senhor concorda com o relatório da comissão avaliadora do TSE?

Diego Aranha – O relatório atribuiu critérios de pontuação exclusivamente para o que foi feito em ambiente simulado. Por exemplo, listou como quatro os pontos de intervenção para que o nosso ataque fosse bem-sucedido. De fato, precisamos provocar intervenções nesses quatro pontos durante a execução do teste, por não haver outra forma de obter acesso aos dados num ambiente de testes.   Num cenário real, toda a informação necessária já é de natureza pública. Nesse sentido, a parte do relatório que, de fato, não entendemos foi a que qualifica nossa metodologia como tentativa de falha e não de fraude.

Viomundo – Daria para traduzir para o “leiguês” a avaliação do TSE?

Diego Aranha – O próprio edital de abertura do evento define falha como a imposição de um estado inconsistente ao equipamento de forma a fazê-lo operar fora de suas condições normais, sem haver qualquer impacto no sigilo ou integridade do voto.

Em termos leigos, um teste com essas características utilizaria um defeito na urna eletrônica para fazê-la “pifar”. Entretanto, a nossa urna eletrônica funcionou dentro dos seus limites normais de operação durante todo o teste. Não tivemos necessidade de invadir o perímetro físico do equipamento ou de alterar qualquer um de seus componentes. Não foi utilizado nenhum procedimento que não seria utilizado em uma votação oficial.

Viomundo – O que achou da pontuação?

Diego Aranha – A comissão utilizou os critérios acima e nos atribuiu 0.0313 pontos de um máximo de 400. Não acredito que essa pontuação reflita com precisão a própria apreciação da contribuição por parte do TSE, qualificada como “extremamente positiva” em mais de uma ocasião.

Viomundo – Tem alguma cláusula no edital do TSE que o impeça de divulgar a técnica que utilizou?

Diego Aranha – Não, inclusive tenho convites de universidades para ministrar palestra
a respeito e, nessas ocasiões, divulgarei a técnica que utilizamos. Também não há obstáculos para a divulgação da técnica em publicações científicas.

Viomundo — Depois dos testes, o TSE alterou os programas. Soube que o pessoal de TI do TSE queria que o senhor fizesse novos testes antes de eles completarem o relatório. É verdade que o senhor se recusou a fazer os testes?

Diego Aranha — Não é verdade. Ainda no último dia de testes, 22 de março, o pessoal técnico do TSE nos procurou na hora do almoço para analisarmos uma versão nova do código que supostamente corrigia a fragilidade encontrada pela equipe e repetir o teste que obteve sucesso.

Como tínhamos o relatório para finalizar, justificamos que a confecção desse documento tinha prioridade imediata na nossa lista de tarefas. Posteriormente, não recebemos nenhum pedido mais concreto para a realização da tarefa. Note também que o edital limitava a participação das equipes a, no máximo, sugerir correções para as vulnerabilidades encontradas. A disponibilidade para examinar uma nova versão do código não é uma obrigação, mas uma extensão da contribuição por parte da equipe.

Viomundo — O seu grupo demonstrou que associando os arquivos das urnas   é possível saber cada voto dado numa urna com a hora em que foi dado.   A justificativa oficial é de que numa eleição normal isso não é possível, pois
o código-fonte seria secreto. Isso é verdade?

Diego Aranha — Durante os testes, nós demonstramos que era possível recuperar os votos em ordem a partir dos produtos públicos de uma eleição. A informação adicional de que o LOG público da urna armazenava também o horário em que cada voto foi computado nos chegou após a conclusão dos testes. Com essa nova informação, é possível recuperar tanto os votos em ordem como correlacioná-los com os horários em que foram inseridos na urna, sem possibilidade de rastreamento, limitação de tempo ou inacurácia.

Ou seja: 1) nossa técnica não alterou nenhum componente nem utilizou nada diferente do que é convencional; 2) nosso programa de análise é instantâneo;   3) a metodologia é exata, não deixa rastros e funciona em qualquer ocasião.

Em uma eleição normal, é preciso unicamente que se monitore a ordem ou horário em que os eleitores votam para posteriormente se fazer a correspondência entre voto e identidade do eleitor, algo perfeitamente factível de ser feito em escala controlada.

Em resumo: nós conseguimos derrotar o único mecanismo utilizado pela urna eletrônica para proteger o sigilo do voto.

A respeito do conhecimento do código-fonte, nenhuma definição plausível de segurança assume o segredo do mecanismo de segurança propriamente dito como fonte de confiança. Essa noção data de 1883, quando Auguste Kerckhoffs escreveu em seus princípios que técnicas de criptografia precisavam resistir aos ataques de um inimigo que as conhece em seus mínimos detalhes.

Mecanismos de segurança que não resistem a ataques nesse cenário são, na verdade, mecanismos apenas de ofuscação e com valor prático nulo. A razão é simples: quantos profissionais com os mais diversos interesses tiveram acesso ao código-fonte da urna
eletrônica em toda a sua história?

Qualquer técnica de segurança implementada na urna deve ser segura contra atacantes externos ou internos e deve assumir que o atacante detém todas as informações possíveis a seu respeito. Por esse motivo, faz absoluto sentido a possibilidade de se examinar o código-fonte da urna na fase de preparação dos testes de segurança, ainda que por um período curto e limitado.

Portanto, sob a ótica das áreas de Criptografia e Segurança Computacional, não procede a justificativa posterior de que a técnica é inviável na prática por exigir conhecimento “privilegiado” do sistema.

Viomundo — O fato de o seu grupo ter quebrado a principal barreira de proteção do sigilo do voto eletrônico abre caminho para que tipo de prática?

Diego Aranha — Essa possibilidade abre caminho para uma espécie de “voto de cabresto digital”. Um candidato capaz de comprar votos ou exercer pressão política consegue verificar posteriormente e com absoluta certeza se os eleitores coagidos de fato votaram em seu favor. Portanto, ainda que não seja alterado diretamente o resultado da urna, a prática influencia indiretamente o resultado das eleições.

Viomundo — Qual a solução para a fragilidade do sistema do TSE? Seria a urna imprimir o voto de cada eleitor após ele digitar os números dos seus candidatos?

Diego Aranha — O voto impresso tem outra finalidade: permitir a verificação independente e por amostragem da votação eletrônica.

A solução para a fragilidade encontrada pela equipe consiste na restauração da segurança do mecanismo implementado pela correção do erro de projeto que a ocasionou. Vale ressaltar que a nova versão do mecanismo de segurança não pode se restringir à ofuscação e precisa ser resistente a ataques externos ou internos.

Ainda que o voto impresso não tenha relação direta com o sigilo do voto, ele é fundamental para fins de verificação da integridade de uma eleição oficial que depende de urnas eletrônicas do tipo adotado no Brasil.

Viomundo – O ideal então seria utilizar outro tipo de urna eletrônica? O engenheiro Amilcar Brunazo Filho diz que ainda utilizamos as urnas de primeira geração, enquanto lá fora já estão na de segunda.

Diego Aranha – O ideal é utilizar um tipo de votação eletrônica que permita a verificação independente dos votos computados.

Leia também:

Até quando as urnas brasileiras não permitirão a verificabilidade do voto?

Amilcar Brunazo Filho: “Ridícula a tentativa do TSE de minimizar descoberta da UnB”


Siga-nos no


Comentários

Clique aqui para ler e comentar

Sistema de votação sob suspeita. TSE não responde perguntas sobre fraude « Viomundo – O que você não vê na mídia

[…] do Fórum do Voto Eletrônico, e os professores de Ciência da Computação Pedro Rezende e Diego Aranha,da Universidade de Brasília […]

Professor acompanhou relato de hacker: ‘Fraude plausível, muito séria’ | Samico

[…] Diego Aranha: Fragilidade de urna abre caminho para ‘voto de cabresto digital’ […]

Professor acompanhou relato de hacker: ‘Fraude plausível, muito séria’ « Viomundo – O que você não vê na mídia

[…] Diego Aranha: Fragilidade de urna abre caminho para ‘voto de cabresto digital’ […]

Emir Sader: Sob o poder de três ditaduras « Viomundo – O que você não vê na mídia

[…] Diego Aranha: Fragilidade de urna abre caminho para ‘voto de cabresto digital’ […]

Voto eletrônico: Hacker de 19 anos revela no Rio como fraudou eleição « Viomundo – O que você não vê na mídia

[…] Diego Aranha: Fragilidade de urna abre caminho para ‘voto de cabresto digital’ […]

Ivonir

Estamos prestes a eleicoes de 2012, votaremos, mas nao sabemos para quem nosso voto foi computado e tambem nao existe sigilo do voto as pessoas vao saber em quem eu votei. Isso ocorre somente no Brasil, se fosse em outro pais ja tinha quebrado tudo, as eleicoes seriam feitas com cedulas como antigamente.

Fazer o que?

Vamos em frente nao podemos desistir.

Folha: O estudo sobre a eleição na Venezuela e o que faltou dizer « Viomundo – O que você não vê na mídia

[…] Brasil, sim, o mecanismo que garantia o sigilo do voto foi derrotado por especialistas (ver aqui e aqui). Finalmente, é só ligar a TV ou ir a uma banca de jornal em Caracas para ver a diversidade de […]

Evo

Nas proximas eleicoes, vou levar meu celular com camara fotografica e tirar foto do meu voto, depois mostro para meu coronel que me deu um milheiro de telha para cobrir meu barraco! E pronto sou feliz e burlei o sistema, talvez daqui para la, haja portao igual aos bancos ou revista intima ou qualquer outra coisa para impedir que haja burla no sistema, ou ainda no futuro vao inventar um sistema infalivel contra qualquer coisa, acho que o cara que escreveu, que deveria ser um sorteio eh que esta certo! Ou nos precisamos mesmo eh de liderancas que nao servem para nada, liderancas politicas?

Amilcar Brunazo: Mais uma evidência de que o Brasil está na contramão « Viomundo – O que você não vê na mídia

[…] Diego Aranha: Fragilidade de urna abre caminho para ‘voto de cabresto digital’ […]

Amilcar Brunazo

vejam a nova entrevista do Prof. Diego, explicando com mais detalhes seu ataque bem sucedido ao sigilo do voto nas urnas eletrônicas em: http://www.youtube.com/watch?v=OI9dh5DzTuA

Luciano Bastiani

Srs.
Nosso país está nas mãos de uma classe de burocratas tão imbecil que só fazem o tempo todo prevalecer a tática do 'faça o que eu falo ,mas não faça o que eu faço.'
Querem um exemplo?
Os tais papeizinhos que o TSE não quer de jeito nenhum, recentemente foram tornados obrigatórios nos sistemas de ponto eletronico dos empregados de todas as empresas do Brasil. A alegação é de que os patrões fraudavam os registros eletrônicos, e com o papelzinho na mão o empregado tem como se defender da fraude. Tenho um cliente que encheu as burras de tanto vender relógio de ponto "de acordo com a nova lei…"
Pergunto: se pode para isto, por que não pode para aquilo?

Djijo

Taí mais um clube a ser mostrado as vísseras. E não admitem que podem estar errado. Parecem religiosos defendendo suas crenças. 2 casos graves: a urna pode ter seus dados acessados por pessoas que não participaram do projeto e os que montaram o programa, sabem como tudo funciona e, neste último ítem, quantos são e o que ganham para ficarem quietos? Se até os juízes dizem que se não tiverem ganhos correspondente a importância do trabalho que exercem podem ser corrompidos?!!!!

Rafael

Tem que ser impresso uma via em papel.Qual justificativa para não fazê-lo? Se aumenta a segurança, se aumenta confiabilidade então não há argumento para barrar a impressão em papel do voto para caso necessite de uma recontagem.
Se há um meio de aplicar um golpe com cara de democracia está aí o meio perfeito: fraudar urnas eletrônicas o resto é a coisa mais fácil do mundo basta pagar para um IBOPE da vida fazer uma simulação de voto que favoreça o golpista e pronto a direita volta ao poder por meio do golpe com cara de democracia. É modo perfeito de aplicar o golpe. Espere mais 3 mandatos com a senzala fora do poder e veremos o golpe se as urnas continuarem assim. O judiciário abemos de qual lado.

Leonardo

OS EUA nao querem;

A Inglaterra nao quer;

A França nao quer;

A Austrália nao quer;

A Russia nao quer;

O Paraguai DEVOLVEU e as nao quer;

A Índia mandou prender os envolvidos com as Urnas eletrônicas lá e também não quis.

NENHUM PAÍS NO MUNDO QUE ESSAS URNAS!

É o Brasil e sua invenção contra o resto do mundo! Alguma coisa tá errada.

Agora vejam quem cuida das urnas eletrônicas no Brasil:

[youtube dzodI_X9iMY http://www.youtube.com/watch?v=dzodI_X9iMY youtube]

Marcelo de Matos

Qual o motivo para nos preocuparmos com a segurança das urnas eletrônicas? Há comprovação de fraudes nas eleições? Se não há, melhor não dispender energia com isso. Há tantos problemas reais a serem resolvidos que não vale a pena essa preocupação com os hipotéticos. O TSE é o maior interessado na segurança das urnas, tanto que fez teste público de segurança das que serão usadas na próxima eleição. Participaram 9 grupos de 24 especialistas, sendo que o Professor Diego Aranha recebeu prêmio por alcançar a melhor performance. Sua equipe, da UNB, foi a única a quebrar a segurança da urna. Que fazer, então, para melhorar a segurança das urnas? Pressionar o TSE, através da mídia, para trocá-las por outras de nova geração e imprimir os votos para posterior auditoria? O caminho natural para isso é convencer o setor do TSE responsável pelas licitações a adquirirem esses produtos. Os órgãos públicos compram até capim seco, dependendo da eficiência do lobby e otras cositas mas.

JULIO/Contagem-MG

Na minha modesta opinião, as urnas e todo o processo de totalização dos votos são vulneráveis é passi
veis de fraudes se for interessante para alguma corrente partidária. Como funcionaria uma possivel fraude, primeiramente os institutos de pesquisas(gROBOpe, DATAfoia), calibrariam as intenções de voto num determina
do candidato, para não causar surpresa e revolta da população para o resultado fraudado.

Marcelo de Matos

Os maiores críticos da urna eletrônica que conheci foram Brizola e Paulo Henrique Amorim. Há outros menos ilustres, como o ex-deputado federal Fernando Chiarelli (PDT, mesmo partido de Brizola) que não se reelegeu, nem devolveu as chaves do apartamento funcional que ocupa. Chiarelli culpa a urna eletrônica por sua não reeleição: http://www.youtube.com/watch?v=K7MfCx-h_Cc Esse discurso, é claro, foi proferido naquela seção que, se não me engano, chama-se “Pinga Fogo”, à qual ninguém assiste. Só serve para posterior exibição do vídeo.

Urbano

Só não aparece o gênio para "desmanchar" e dizer realmente não presta, mas eis aqui o meu sistema e desafio quem queira quebrá-lo.

Eurico

Muita tempestade com um copo de água. Com todos os seus problemas, a urna eletrônica é muito melhor do que aquele papelzinho que usávamos antes. Temos que melhorar, isto eu concordo, mas não retroceder. Eu gostaria de votar pela internete, e hoje, com a certificação digital, isto pode ser feito com segurança. Eu penso que a urna eletrônica diminuiu muito o roubo, principalmente nos grotões do interior.

    Amilcar Brunazo

    Eurico, ninguem quer voltar pro que era antes e sim avançar para máquinas de votar de 2ª geração que estão sendo usadas no resto do mundo e que tem o voto impresso além do eletrônico.
    Votar pela Internet é impossível com segurança, que afirma isso são os inventores tanto da Internet quanto da certificação digital.
    Certificação depende de identificação da origem do documento digitado, e por isso não pode ser ussado (com responsabilidade com um voto cuja origem (eleitor) não pode ser identicado.
    É o próprio inventor da assinatura e certificação digital, PhD. Ronald Rivest, que propôs o Princípio da Independência do Software em Sistemas Eleitrorais que caracaterizam as urnas de 2ª geração (com voto impresso além do eletrônico).
    Eu tenho certeza que você não entende de certificação digital mais do que ele.
    Para apreender mais, veja em: http://pt.wikipedia.org/wiki/Independ%C3%AAncia_d

    nadja rocha

    Na Islândia a nova constituição foi eleborada e votada via web.
    Se bem que a Islândia tem apenas 100 mil habit.

Marcelo de Matos

Nenhum sistema eletrônico é indevassável, nem os tão bem elaborados sistemas operacionais do Bill Gates, nem os computadores do Pentágono. Isso nós, em nossa ignorância, já sabíamos, mesmo antes desse brilhante trabalho do professor Diego Aranha. O que você sugere em contrapartida? A volta do voto em papel? Aí as fraudes seriam corriqueiras. Essa aversão pela urna eletrônica é recorrente em nosso meio. Começou com Brizola que, naquela época, tinha razão, e passou para Paulo Henrique Amorim. Agora está conseguindo novos adeptos, tornando-se uma síndrome do preto no branco. Se não estiver impresso não vale.

    Diego Aranha

    Sugiro em contrapartida adotar um modelo de urna eletrônica que permita verificação independente e descentralizar o modelo atual de produção da urna para que haja auditoria externa no processo de desenvolvimento do software. Nenhum mecanismo de segurança plausível pode ser projetado assumindo que o atacante nunca virá de dentro ou não estará munido de toda a informação que precisa. Supor qualquer um dos dois causa uma falsa sensação de segurança que cause erros de projeto como o discutido aqui.

    bira

    diego, não entendo nada do assunto. como fazer para que essa verificação independente não seja usada de forma errada pelos partidos ?

    o atacante pode vir de dentro, sim. basta ver os afilhados políticos que ocupam cargos comissionados nos órgãos públicos dos 3 poderes. isso é um absurdo. ou acha que não tem parente de senador ocupando cargo no executivo ou no judiciário, sem concurso ? é só procurar.

    obrigado

    Diego Aranha

    Uma solução simples é o voto impresso conferido pelo eleitor, mas deixado na seção eleitoral. A totalização independente dos votos impressos, ainda que por amostragem para acelerar o processo, pode fornecer garantia acentuada de que não houve fraude sem no entanto violar o sigilo do voto.

    Amilcar Brunazo

    bira, enquanto o Diego não responde, eu adianto. A urna tem que ser segura contra TODOS os possíveis ataques por meio do seu software. Isto significa que tem que ser segura contra os fiscais dos partidos (que tem acesso limitado a ela) e, PRINCIPALMENTE, tem que ser segura contra aqueles que a desenvolvem e operam (pois têm acesso ilimitado a ela).
    Por isso, no resto do mundo, está se adotando sistemas eleitorais eletrônicos cuja segurança não dependa do software. Existem diversas soluções nesse sentido.

    Amilcar Brunazo

    caro Marcelo, agressivo defensor da autoridade eleitoral:
    1) leia a entrevista direito, e também o relatório do teste da equipe, que você verá que o prof. Diego propôs solução para o problema da falta de garantia das urnas para o sigilo do voto e que sua sugestão chegou a ser experimentada pelo TSE ainda durante os testes.
    2) ele deixou claro que o voto impresso é para atacar outro problema que não o que ele demonstrou existir.
    3) a rejeição à urna eletrônica pura de 1ª geração (sem materialização do voto) não acontece apenas "em nosso meio" e sim EM TODO O MUNDO. Mais de 60 países que vieram conhecer, e até testaram as urnas brasileiras, rejeitaram-na porque não dá garantias REAIS ao sigilo e à segurança do voto.
    TODOS os países que adotaram voto eletrônico desde 2004, optaram por sistemas de 2ª geração (com materialização do voto).

Gustavo Pamplona

O mais interessante é que somente com o advento da urna eletrônica o apedeuta que vocês tanto amam chamado Luís Inácio Lula da Silva passou a ganhar as eleções, não é mesmo?

Ai… ai… este pessoal não consegue largar do papelzinho do Brizola…. além do mais… papeis são fáceis de serem destruídos… queimando, rasgando… etc.

—-
Desde Jun/2007 largando do papelzinho de Brizolas no "Vi o Mundo"! ;-)

    Luís

    Apedeuta? Você não tem espelho em casa, né?

Fabio SP

Eu vou continuar votando totalmente confiante… O sujeito tem que ter acesso à urna, e vai listar a data e hora de cada um dos votos(sem saber quem votou). Isso implicaria um sujeito do lado de fora de cada sessão eleitoral marcando quem entrou e a que horas…

    Diego Aranha

    Não se esqueça que o sujeito pode estar DENTRO da seção eleitoral, até fazendo parte da mesa!

    Marcelo de Matos

    Desculpe, mas, penso que quanto mais gente pusermos para fiscalizar o sistema, inclusive os tais auditores, maior o risco de violação das urnas.

    Marcelo de Matos

    O pessoal que fica dentro da seção eleitoral não mexe na urna, quer seja mesário ou fiscal de partido. Sou aposentado da Justiça Eleitoral e trabalhei em várias eleições. Os mesários só conferem a lista de votantes e seus documentos com foto. Nem isso farão em futuro próximo. Na urna biométrica é só colocar o polegar e está feita a identificação. Desculpe, mas, sempre que a urna eletrônica é colocada sob suspeita imagino que estão querendo vender algum complemento para o governo. Pode ser impressoras, softwares, etc. Em matéria eleitoral há muito que avançar, não exatamente com relação a equipamentos e programas. É preciso fazermos uma reforma política, reduzindo as atuais três dezenas de partidos, criar o financiamento público de campanhas para acabar com as doações de Deltas e Camargo Correas, etc.

    Diego Aranha

    Vale ressaltar que nosso ataque não requer acesso físico à urna, apenas a monitoração da ordem dos eleitores… Você sabia que no caso da urna biométrica, caso a autenticação da impressão digital não tenha sucesso, o mesário pode contornar a biometria com uma senha-mestre?

    Não tenho ligação com partidos, empresas ou qualquer interesse escondido. Sou funcionário público (exatamente como os servidores do TSE), interessado apenas em contribuir com o processo e verificar como meus impostos estão sendo aplicados.

    Amilcar Brunazo

    O Marcelo Matos, ex-funcionário e confesso adepto do administrador eleitor, repete frases feitas equivocadas.
    Mesários não tocam nas urnas SE FORAM HONESTOS. Mesários não fazem mau uso da senha para liberar o voto para eleitores falsos em urnas biométricas SE NÃO FOREM CORROMPIDOS.
    Todas as urnas já possuem impressoras para imprimir a zerésima e o BU. Portanto, como ocorre no resto do mundo, não é necessário de nova impressora para imprimir os votos.
    O voto impresso (conferido pelo eleitor e usado em auditoria contábil da apuração eletrônica) torna o sistema Independente do software, quer dizer, ninguém está querendo vender software nenhum.
    o prof. Diego não "colocou a urna em suspeita", ele PROVOU que ela não garantia o sigilo do voto e propôs as soluções possíveis para aperfeiçoá-la.

    Antonio Sousa

    Diego, os mesários tambem são parte interessada.
    É facílimo para qualquer integrante da mesa anotar a sequencia de votantes.
    Trabalhei em muitas eleicoes e em algumas vi mesários fazendo anotacoes para uso próprio ou do partido a que pertenciam.
    Parabens pelo seu belo trabalho, voce está coberto de razão.

    Diego Aranha

    Obrigado! Fico feliz em receber essa validação de alguém que já esteve em campo na posição de mesário.

    chicorasia

    Sim, Diego, essa seria a maneira mais *fácil* de se fazer o registro de hora exata da votação. Como "mesário veterano", posso te dizer que a carga de trabalho dos mesários é bastante grande, principalmente do presidente de seção, que é quem opera o microterminal e sabe a hora do voto e o nome de cada eleitor. Como você deve saber, a mesa de votação é composta por quatro pessoas, que se fiscalizam mutuamente, além dos fiscais dos partidos, que ficam estacionados em cada seção.

    Em tese, é possível manter esse registro. Fazer isso sem levantar suspeitas, no entanto, é muito mais complicado – o sistema eleitoral é todo baseado na fiscalização mútua e na transparência. Ataques à urna eleitoral, o registro dos momentos de voto, o acesso ao log público da urna, seriam ações criminosas que, como tal, exacerbam os limites da normalidade da operação eleitoral. Nenhuma política (policy) é imune a ataques criminosos, o que não quer dizer que, necessariamente, haja algo errado com a política em si.

    Diego Aranha

    "Ataques à urna eleitoral, o registro dos momentos de voto, o acesso ao log público da urna, seriam ações criminosas que, como tal, exacerbam os limites da normalidade da operação eleitoral. "

    Errado. Os arquivos de LOG que já contém os instantes de tempo em que as pessoas votaram são entregues aos partidos que os requisitarem em até 60 dias após as eleições. Além disso, o próprio TSE e seus funcionários têm acesso a toda essa informação. Até onde eu entendo, anotar a hora em que alguém votou não é e nem nunca será crime eleitoral. Se fosse, a mídia não publicava que certa autoridade votou numa determinada seção às 15 horas.

    Cid

    Paaaaaaara………
    Prefiro acreditar no que é nosso, do que na capacidade dos gringos.

    Marcelo de Matos

    Estou contigo Fábio. Até agora não houve nenhum fato que nos fizesse desconfiar da seriedade das apurações.

Fabio SP

Eu vou continuar votando totalmente confiante… O sujeito tem que ter acesso à urna, e vai listar a data e hora de cada um dos votos(sem saber quem votou). Isso implicaria um sujeito do lado de fora de cada sessão eleitoral marcando quem entrou e a que horas…

Pergunta simples…. E daí?

    Diego Aranha

    O sujeito não tem que ter acesso à urna. Nosso ataque utiliza arquivos públicos por lei e disponibilizados para os partidos após as eleições.

Heraldo Bittencourt

Parabéns ao Diego Aranha e toda equipe da UnB que conseguiram provar para o Brasil o quanto as Urnas Eletrônicas são vulneráveis, aos incrédulos meus sentimentos, não era exatamente isso que vocês esperavam, mas a realidade chegou e agora é uma questão de tempo e divulgação para a sociedade tomar consciência e exigir que o voto seja também impresso, além de ser eletrônico,claro.

    Diego Aranha

    Obrigado pelo reconhecimento!

    Amilcar Brunazo

    Aproveito essa oportunidade criada pelo Heraldo, para tornar público meus parabéns à equipe da UnB capitaneada pelo Diego Aranha, pela enorme contribuição para confiabilidade do voto eletrônico.

    Lamento, apenas, que a autoridade eleitoral e seus agregados, insistam em continuar usando tapa-olhos para não ver a absoluta necessidade de evoluir o projeto das urnas brasileiras para modelos de 2ª e de 3ª geração.

Ana Prudente

Quando fui candidata em 2006, conheci vários outros candidatos que não encontraram nem seu próprio voto na seção onde votou. Se eu já não confiava nas nossas urnas eletrônicas, agora com o sucesso da equipe da UnB na violação do sigilo do voto posso dizer que me sinto violada integralmente. E acho também que um relatório deste tipo o qual nos foi apresentado não condiz com a realidade e tenta, de alguma forma, ocultar a verdade. O povo brasileiro está farto de ser enganado pelas nossas autoridades!

Sr. Indignado

Nossa, quanta inteligência. Há duas tabelas, hora/votante e hora/voto. Só agora… só!!!, viram que dava para indexar as colunas de hora. Piada pronta. Essa todo mundo sabia. Era a mais INGÊNUA.
Agora que tal um passo a mais e ver se no processador não estão gravados programas que alteram apenas alguns votos, não precisa muito, só um pouco, assim "não dá na cara". Mas pode ser em qq eprom. Fazer um laudo nesse sentido é que seria um show.
A única solução: P A P E L Z I N H O. O Brizola tinha razão!

Roberto Nego

Aos incrédulos resta o consolo de serem enganados ao terem seus votos direcionados para outro candidato, independente de suas vontades e desejos de um Brasil melhor. Ou será que os hackers entram em férias no período eleitoral ?

Marcelo

Sou contra eleições , na democracia todos são iguais e possuem os mesmos direitos e obrigações , sendo assim eleição é uma perda de tempo e dinheiro , se somos todos iguais basta fazer um sorteio .Mais democratico que isso impossivel .

    Sr. Indignado

    Nossa que simplista. Será q o Marcelo está certo? Fiquei na dúvida.

ricardo

Apesar de tudo o que foi dito, e da descoberta memorável da equipe da UNB, ainda não acredito que a urna eletrônica seja mais vulnerável que o arcaico voto de papel.

    Amilcar Brunazo

    mas certamente a urna eletrônica brasileira , de 1ª geração, é mais vulnerável ao ataque interno por software, do que as urnas de 2ª geração (com voto impresso além do eletrônico) já usadas no resto do mundo.

    Leonardo

    As urnas eletrônicas brasileiras estão sendo usadas no resto do mundo?

    ONDE?

    Amilcar Brunazo

    Não, Leonardo.
    As urnas eletrônicas brasileiras foram rejeitadas por TODOS os mais de 60 países que vieram conhecê-la (e alguns até fizeram experiências, como o Paraguai, Argentina e México, antes de rejeitar).
    As urnas que se está usando em outros países desde 2004 são de outro modelo (2ª geração), são fabricadas em outros países (EUA, Espanha, Argentina, etc) e permitem ao eleitor conferir se o registro do seu voto contém de fato o seu voto.

ricardo

Propor a impressão individual dos votos é instituir oficialmente o voto de cabresto. Seria muito mais fácil coagir pessoas obrigando-as a axibir seu comprovante impresso de voto, verificando assim se obedeceram à imposição de votar em determinado candidato.
Por isso, considero que imprimir os votos é uma ideia completamente equivocada, que teria efeito contrário ao que estão esperando.

    Amilcar Brunazo

    A sua conclusão, Ricardo, é fruto da sua total desinformação sobre o que é o voto impresso. Pela regra brasileira (Art. 5º da lei 12.034) o eleitor não pega o voto impresso nas mãos. Pelo sistema argentino, se o eleitor levar o voto impresso para fora da seção, seu voto não será contado porque o voto eletrônico está gravado na mesma cédula.
    Enfim, tem uma porção de soluções para evitar o voto de cabresto e só você ainda não sabe disso.

    Sr. Indignado

    Não é assim. Sai o voto impresso e você leva ele para uma urna no mesário. Repete-se todo o processo como é hoje e na dúvida vai-se à urna.

joão33

basta saber que as forças que impedem o papelzinho nas urnas , está entre as que apareçem o nelson jobin e a madame currou , sabendo que eles são parciais ao extremo , para desconfiar e muito das urnas do jeito que estão , é na simplicidade que os votos são desviados , a cpostura dos institutos de pesquisa , certas nomeações para o tse. a falta de transparência , as dificuldades e obstáculos para quem busca fiscalizar , a tecnologia para interferir a distância bem avançada , e por fim certos resultados brasil a fora muito estranhos e que não são divulgados , eles jogam com os percentuais reais dos candidatos interferindo em quem vai para segundo turno e outras coisas mais , a solução é o papelzinho e pronto , tem que haver cobrança da sociedade para termos papelzinho já e a hora é agora , pois estão aparecendo irregularidades por todos os lados , tj , desembargadores , procuradores , ALGUEM ACREDITA EM UM JUDICIÁRIO ONDE TODO TIPO DE BARBARIDADE ACONTECE E QUE NO TSE NÃO ACONTECE? QUE SÃO TODOS SANTOS E PUROS , OPSDB SÓ VEM SOBREVIVENDO GRAÇAS AS URNAS SEM PAPELZINHO.

Roberval

Temos dois enormes problemas para o próximo pleito eleitoral, quais sejam: 1o) Conseguir escolher um bom candidato que trabalhe por benefícios coletivos, e; 2o) Ter REAIS garantias do sigilo dos votos. Infelizmente, a instituição responsável por organizar o processo eleitoral não poderá resolver tudo, porém um desses problemas está sob sua governança e é factível resolvê-lo. Minha sugestão – gratuita – para começar a resolvê-lo é: 1o) deixem de lado a arrogância e a prepotência; 2o) internalizem a HUMILDADE e reconheçam as falhas; 3o) cumpram seus deveres de servidores públicos e trabalhem em prol da sociedade. Agora chega de trabalhar de graça! Mais que isso eu cobro.

Joao

Será que não dá para colocar as perguntas em negrito como nas outras entrevistas? Assim fica difícil de ler!

carneirouece

Mas que fraude? Dá para ver os resultados: "Durante os testes, nós demonstramos que era possível recuperar os votos em ordem a partir dos produtos públicos de uma eleição". Nada foi dito sobre alterá-los.

Em segundo lugar: não seria inviável, para TODAS as urnas realizar um ataque de 176 minutos?

Mas isso é, por um lado bom, pois o governo terá que reforçar a segurança das urnas.

    Diego Aranha

    Violar o sigilo do voto também é fraude eleitoral, porque permite uma influência indireta no resultado das eleições. O próprio edital do evento define fraude como ataques à integridade ou sigilo do voto.

    Amilcar Brunazo

    Carneiro, o sigilo do voto é, por lei e por tradição em todo o mundo, um requisito essencial de sistemas eleitorais para garantir e expressão da "verdade eleitoral". A equipe da UnB demonstrou cientificamente que o software das urnas (até 2010) não garantia o sigilo do voto.

    Leia o relatório do teste específico (e não o relatório manipulado dos "notáveis" do TSE) e você verá que o tempo de ataque efetivo era em torno de 5 mim. Que pode ser usado por quem quiser, depois da eleição, saber quem votou em quem numa seção eleitoral.

Fernando R.

O cara conseguiu pouco e alardeia muito. Se dinheiro trafega eletronicamente, por que os votos não o fariam também? Dizem que a urna seria vulnerável, e por isso mesmo o TSE andou fazendo estes testes. Aí a tal equipe consegue riscar o cofre-forte e sai dizendo que ele é vulnerável. É a eterna busca da fama.

    Diego Aranha

    Não creio que tenhamos conseguido pouco, apesar disso ser subjetivo. Como dito na matéria, derrotamos o único mecanismo que a urna utilizava para proteger o sigilo do voto. Se conseguimos derrotar uma barreira de segurança em apenas alguns dias de trabalho é porque ela era vulnerável, concorda? O problema não é o voto trafegar eletronicamente, é trafegar eletronicamente sem possibilidade de verificação independente.

    Não tem nada de busca pela fama aqui. Nossa postura é acadêmica, você mesmo pode ver pelas minhas respostas, sempre em tom técnico. Entretanto, acho importante analisar as conseqüências do problema encontrado caso a vulnerabilidade encontrada NÃO seja corrigida.

    Amilcar Brunazo

    Fernando R, o sucesso do ataque da equipe da UnB foi pleno e total dentro do proposto pela equipe e aprovado pelo TSE.
    Se desembaralhar os votos não é importante, então porque o TSE os embaralhava?

    Quebrar a única defesa do sigilo do voto, significa a plena possibilidade de distorcer os resultados de eleições com tal sistema, por meio da coação de eleitores.

    E não adianta os agregados da autoridade eleitoral quererem menosprezar o feito. Esse resultado se tornará histórico e, com certeza, repercutirá nos meios acadêmicos internacionais assim que um relatório em inglês for publicado.

    Outro Antonio

    Pense um pouco: você é um tremendo idiota ou pensa que pode nos fazer de idiotas?

Outro Antonio

Dá para imaginar que tem maracutaia nessa história das urnas eletrônicas, tão defendidas por quem comanda o TSE e por quem comanda a Justiça. Não querem que haja auditagem das urnas. E por isso, os indícios são fortes. Os caras não querem que a urna emita o comprovante do voto em papel que vai em urna de lona. Eles dão a desculpa do dinheiro gasto para a mudança. Eles nunca se importam com gastos e o dinheiro nao é deles. É do Estado, é do contribuinte que vota. O lance é investigar e pegar os caras com a mão na cumbuca e depois exigir a mudança no sistema, já que o Legislativo não legisla e o Judiciário faz a vez desse Poder para não mudar as coisas.

Bonifa

Não dá mais para acreditar na urna eletrônica como antes, quando a mídia hipnotizou o povo para que pusesse fé inabalável nas palavras de Nelson Jobim. Vamos votar sabendo que pode haver fraude.

Willian

Voltemos, pois, às cavernas.

    Lucas Gordon

    que volte você, e todos os que acreditam que a urna eletrônica é religiosamente inquebrantável e inquestionável.

    renato

    Não se preocupe, se a Dilma e o Lula ganharam é porque é seguro, se não, jamais ganhariam.
    Mas……os bandidos também evoluem, que nem bactéria. E pode ser que na eleição para São Paulo
    ganhe o Serra.
    Portanto engenheiros e pHds da informática, corram porque as eleições para presidente estão aí.
    E o resto de mundo está muito estranho.

    Fabio SP

    Já tá achando desculpa se o candidato dele perder…

    Sr. Indignado

    Humor
    Como assim? Tá me estranhando?

Deixe seu comentário

Leia também