Voto Eletrônico, Voto Seguro?

quinta-feira, junho 29

O vídeo do teste na urna-e do Paraguai

Sobre o vídeo

Ontem, dia 27 de junho, logo após o início do jogo Brasil x Ghana, apareceu uma mensagem na lista do voto-e, escrita em castelhano, e dando um endereço onde tinha um vídeo sobre as urnas utilizadas no Paraguai. A mensagem dizia para ser ligeiro. Antes do término do jogo, a página já não estava mais no ar.

Felizmente, eu pude baixar o vídeo a tempo. (Será mesmo verdade o que dizem sobre as coisas acontecerem enquanto todos estão com seus olhares fixos na copa?).


Comentários sobre o Vídeo dos Teste no Paraguai

por Amilcar Brunazo Filho


O vídeo apresentado na TV paraguaia em junho de 2006 apresenta um teste de penetração que foi desenvolvido sobre uma urna eletrônica brasileira, modelo 96.

Tudo indica que era uma Urna-E verdadeira, cedida em comodato pelo TSE brasileiro ao TSJE paraguaio, e não uma imitação falsa. Os detalhes e entalhes no gabinete da urna testada são iguais aos que se pode ver em fotos da urna brasileira modelo 96 como a da foto acima.

As únicas diferenças são as 3 teclas de função, que estão escritas em espanhol, e a ausência do selo das Armas do Brasil na parte superior do teclado.

As telas iniciais apresentadas na inicialização da urna sob teste são as mesmas apresentadas pelo programa de votação oficial utilizado nas eleições internas do Partido Colorado em 19 de fevereiro de 2006, inclusive as telas com dizeres em português como a que aparece quando o cronometro indica 32, com os dizeres "Instalando os drives da urna".

Então, houve pelo menos dois momentos em que foi quebrada a segurança. O primeiro se refere ao sumiço de urnas eletrônicas em 2005. O segundo se refere ao vazamento de cópia dos programas oficiais de 2006 para ser carregado na urna mostrada no vídeo.

Mas o programa estava adulterado para provocar o desvio de votos da lista de candidatos nº 8 para a lista 2.

Nada indica que esta adulteração dos programas tenha sido utilizada durante a citada eleição. Pelo contrário, a penetração foi feita com o programa operando no modo de "capacitacion", como se vê na tela aos 41 seg com os dizeres "Urna operando em modo capacitacion" e na fita impressa ao final com os resultados onde aparece o termo "CAPACITACION".

Este modo de operação é a forma sob a qual se permite aos partidos desenvolverem testes de integridade do sistema. Nele ficam inertes as restrições de horário podendo a votação ser iniciada e finalizada a qualquer momento, porém seus os resultados são impressos com a palavra "CAPACITACION" no cabeçalho (no Brasil aparece a palavra "VPREPOS" de verificação pré e pós eleição).

O TSE e o TSJE sempre anunciaram que o programa na modalidade de teste ou de capacitação era exatamente o mesmo utilizado nas eleições apenas sem a limitação do horário de forma que o vídeo demonstra ser possivel adulterar o programa oficial de apuração dos votos sem que a sua autoverificação de integridade bloqueie seu funcionamento.

O vídeo é narrado por dois locutores com a voz distorcida eletronicamente para impedir sua identificação e tem duração aproximada de 30 minutos, marcados num cronometro sempre visível na tela para mostrar não ter havido montagem.

Porém, para se ter uma garantia completa de não ter havido montagem do vídeo seria necessária uma perícia técnica que detectasse, ou não, emendas de vídeo. É de se esperar que o TSJE denunciasse se encontrasse emendas no vídeo, mas não se tem notícia de nenhuma perícia que indicasse o vídeo ser montagem.

O cuidado de proteger a identidade dos locutores se deve ao fato do teste de penetração não ter sido produzido com autorização oficial. O TSJE segue a mesma orientação do TSE brasileiro que consiste em afirmar taxativamente a invulnerabilidade do sistema ao mesmo tempo que não permite que sejam efetuados testes livres de penetração que possam confirmar esta assertiva.

A seqüência de eventos apresentada no vídeo é:

1- São ligados o cronometro e a urna-e para iniciliazação do sistema;

2- Logo no primeiro minuto aparecem as mensagens de verificação de integridade do ambiente e do software instalado no cartão de memória interno, chamado de FI. Estas verificações (das assinaturas "hash") não detectam a adulteração, continuando o processo de incialização;

3- Após sete minutos é completada a iniciliazação e aparece a tela para impressão da "acta de urna vacia", que no Brasil é chamada de Zerésima. Depois da impressão ela é colocada sobre a própria urna para permanecer visível durante todo o teste;

4- A seguir é liberada a urna para receber os votos do primeiro eleitor. Estavam em distupa seis cargos de membros da Junta de Governo, membros da Seccional e delegados convencionais. Assim, cada eleitor devia, para cada cargo em disputa, digitar o número da chapa escolhida seguido da tecla SI (CONFIRMA) duas vezes;

5- Foram depositados os votos de oito eleitores. Os seis primeiros votos eram sempre para as chapas de número 8. O dois votos finais foram para as chapas 2 ou 24. Para cada cargo em disputa, este era o resultado esperado: chapa 8 > 6 votos; chapa 2 > 2 votos;

6- Ao final da votação do oitavo eleitor foi digitada a senha de encerramento da votação e emitida a "acta de escrutinio", que no Brasil é chamada de Boletim de Urna, com os resultados da apuração naquela urna;

7- No entando, o impresso revela, para cada cargo, o seguinte resultado obtido: chapa 8 > 3 votos; chapa 2 > 5 votos.

Três votos da chapa 8, em cada cargo, foram desviados para a chapa 2 (ou chapa 24 conforme o caso).

Durante a votação, é possivel se ver na tela que os votos dos eleitores 2, 4 e 6 na chapa 8 eram susbtituídos pelo número 2 quando a segunda tecla SI era digitada. O locutor afirma que foram introduzidos "suficientes parâmetros" para permitir que a substituição do voto ficasse visível.
Numa fraude verdadeira, dificilmente o programador invasor iria deixar visível a troca do número digitado pelo eleitor. Assim, fica claro que a adulteração do software e o próprio vídeo paraguaio foram desenvolvidos com natureza didática, para derrubar a tese da invulnerabilidade do sistema que o TSE e o TSJE insistem em afirmar, e não para fraudar uma eleição de fato.

Pela sequência de eventos mostrado no vídeo, pode-se induzir que a adulteração no software da Urna-E consistiu em:
  • Introduzir modificações no programa AUTOEXEC.BAT para se desviar das verificações de integridade do ambiente e do software;
  • Incluir um programa controlador do teclado, tipo sniffer, para alternadamente substituir a seqüência de teclas <8,> pela seqüência <8,>.
Esta troca na seqüência de teclas digitadas funciona da seguinte forma:

  • a tecla 8 digitada pelo eleitor indica sua escolha;
  • a primeira tecla SI (que é a tecla CONFIRMA nas urnas brasileiras) faz aparecer a foto do candidato (8);
  • a segunda tecla SI confirma e encerra o voto;
  • ao trocar este segundo SI, digitado pelo eleitor, pela tecla NO (que é a tecla CANCELA nas urnas brasileiras) o voto no número 8 é cancelado;
  • a tecla 2, incluida pelo programa adulterado, seleciona o candidato 2
  • as teclas SI e SI, incluida duas vezes, confirma o 2 e encerra a votação.

Se entre as 3 teclas falsamente incluídas se incluir ainda pequenos atrasos de tempo, a susbstituição pode ser visualizada na tela. Caso estes atrasos não sejam incluídos, a troca é rapidamente processada e o eleitor não a percebe.

A possibilidade deste tipo de adulterações funcionarem em urnas eletrônicas brasileiras foi prevista e descrita pelo Prof. Pedro Rezende, da UNB, em seu artigo Análise de um Sistema Eleitoral Eletrônico publicado em setembro de 2004 no Observatório da Imprensa.

Infelizmente o aviso do prof. Rezende não recebeu a devida atenção da imprensa nem foi levado a sério pelo TSE. Um técnico do TSE, Sr. Oswaldo Catsumi, um dos projetistas das Urnas-E brasileiras, chegou a publicar uma réplica à tese do Prof. Rezende, alegando que nada daquilo seria possivel.

O vídeo do teste paraguaio deixa inequívoco que o Sr. Catsumi ou não sabia sobre o que falava, ou sabia, mas queria esconder a fragilidade do sistema que ele próprio projetara.

Assista o vídeo:

Formato .WMV.ZIP - 60 Mb
- Para baixar o arquivo clique no atalho acima;
- Na nova tela vá ao final e clique em FREE;
- Na tela seguinte aparece um contador que indica 60 segundos, aguarde a contagem regressiva terminar;
- Aparecerá um campo onde deve ser escrito um código de 3 letras coloridas;
- Escreva o código e clique em DOWNLOAD FROM MIRROR;
- Após completar a baixa do arquivo é necessário descompactá-lo (ZIP) para poder assistir.