“A fraude em urnas eletrônicas é plausível, reveladora de muitos detalhes da fase de totalização, e muito séria. Pois é nessa fase do processo de votação que fraudes podem ocorrer de forma definitiva”
Conceição Lemes, Viomundo
Na última segunda-feira 10, o auditório da Sociedade de Engenheiros e Arquitetos do Rio de Janeiro, ficou lotado para assistir ao seminário A urna eletrônica é confiável?
O ponto alto foi o relato de um jovem hacker de 19 anos, que revelou fraudes em resultados na Região dos Lagos, no Rio de Janeiro, na última eleição, em outubro de 2012. Identificado apenas como Rangel por questões de segurança, ele mostrou como — através de acesso ilegal e privilegiado à intranet da Justiça Eleitoral no Rio de Janeiro — modificou resultados, beneficiando candidatos em detrimento de outros, sem nada ser oficialmente detectado.
“A gente entra na rede da Justiça Eleitoral quando os resultados estão sendo transmitidos para a totalização e depois que 50% dos dados já foram transmitidos, atuamos. Modificamos resultados mesmo quando a totalização está prestes a ser fechada”, explicou Rangel, ao detalhar em linhas gerais como atuava para fraudar resultados.
A platéia, composta principalmente por especialistas em transmissão de dados, computação, internet, representantes de partidos políticos e autoridades policiais, ficou pasma.
Entre eles, o matemático e professor de Ciência da Computação Pedro Antônio Dourado de Rezende, da Universidade de Brasília (UnB). Foi um dos palestrantes do seminário. Há mais de dez anos ele que estuda as fragilidades do voto eletrônico no Brasil.
Viomundo – O senhor acompanhou o relato do Rangel?
Pedro Rezende – Sim, integralmente.
O que achou da fraude relatada?
Plausível, reveladora de muitos detalhes da fase de totalização, e muito séria. Pois é nessa fase do processo de votação que fraudes podem ocorrer de forma definitiva. Ao mesmo tempo, curiosamente, essa fase é sempre omitida nas avaliações externas e testes públicos de segurança, alardeados como garantias de lisura do processo de votação.
A Justiça Eleitoral sempre restringiu os testes e avaliações à urna eletrônica. E quando questionada sobre a segurança do processo de votação como um todo, ela desconversa. Sempre confunde o entendimento da questão com o da urna simplesmente.
O que o Rangel expôs é mesmo factível na prática?
Sim, por motivos sobre os quais escreverei mais detalhadamente quando for publicado o vídeo do seminário. Por hora, em consideração à seriedade com que o Viomundo vem tratando a segurança do eleitor que quer eleições limpas no processo eleitoral, posso adiantar o seguinte.
A fraude descrita no seminário não tem nada a ver com a questão do TSE utilizar ou não criptografia no processo, ou se a utiliza bem ou mal.
A criptografia opera apenas em canais de comunicação, no tempo ou no espaço. No caso em questão, nos canais entre o gateway de saída de um ponto de coleta de Boletins de Urna (BU) eletrônicos, no cartório eleitoral que os recebe de seções eleitorais, e o gateway da rede interna do TRE (Tribunal Regional Eleitoral), onde se inicia o processamento da totalização.
A modalidade de fraude que o jovem Rangel descreveu no seminário ocorre dentro da rede interna do TRE que totaliza a eleição, na etapa final da fase de totalização, através de um backdoor no firewall que protegeria o correspondente gateway.
A fraude é executada alterando-se as tabelas de totais parciais. Portanto, após os BUs eletrônicos terem sido descriptografados (decifrados) e os números de votos por candidato para a seção eleitoral correspondente terem sido lidos do resultado desta decifragem e tabulados em uma planilha de totais parciais da eleição. Consequentemente, após o uso da criptografia.
Essa modalidade de fraude não depende de ataque à criptografia utilizada, pois nela o ataque é no canal de confiança capaz de dar utilidade à forma de criptografia empregada na transmissão de BUs. Em linguagem técnica, podemos dizer que se trata de um ataque de canal lateral.
Isso faz sentido? Como o Rangel se apresentou?
Faz, e é coerente com o relato dele, que no seminário se identificou como operador de um balcão para leilão de lotes de votos a fraudar no Estado do Rio de Janeiro.
O quê?!
É isso mesmo! Ele realizava as fraudes por meio de pregões virtuais para leiloar lotes de votos a serem burlados em tempo real, durante a totalização.
Como ele executava essa modalidade de fraude?
O que ele nos disse pode ser explicado, em termos leigos, assim: é através de uma porta de fundo oculta (backdoor) na barreira externa de proteção (firewall) operada por uma companhia telefônica, que controla canais de comunicação para a rede virtual privada (VPN) da Justiça Eleitoral.
Por meio dessa porta oculta se tem acesso aos computadores da rede interna ao Tribunal Regional, onde é processada a totalização. Por meio de um nome de usuário (ID) e senha vazados por quem organiza o leilão, ali ele burlava votos, executando a venda dos lances arrematados, durante as últimas duas horas da fase de totalização, isto é, entre aproximadamente 19 e 21h do dia da votação.
Qual companhia telefônica?
O Rangel não declinou o nome dela, mas o delegado da polícia civil que levou o jovem ao seminário identificou-a como sendo a Oi.
Aliás, na matéria publicada no portal do PDT e que nós reproduzimos, é citado um delegado…
É esse, o delegado Alexandre Neto, de Maricá. Foi ele quem levou o jovem Rangel ao seminário. Segundo o delegado, o jovem foi flagrado, em plena atividade leiloeira dessa modalidade, por um tenente da Polícia Militar numa operação que investigava possível fraude na eleição de 2012.
O Rangel nos disse que o pagamento pelo seu serviço era na forma de desconto quase total na cobrança do link dedicado, que ele contratava à mesma companhia telefônica para operar seu negócio de lan house. Um link dedicado, que é muito caro, é condição para boa performance em jogos on-line.
O que mais o senhor poderia nos adiantar?
Pelo relato do Rangel, essa forma de fraude não seria detectada somando-se os totais impressos de cada urna, possibilidade sempre alardeada pela Justiça Eleitoral como garantia de lisura na fase de totalização.
Sobre essa possibilidade, cabe esclarecer que totais impressos de cada urna (BU impresso) só poderiam fazer prova de possível irregularidade no resultado oficial quando coletados no encerramento da seção eleitoral, assinados de punho pelo mesário, se estiverem de posse do candidato prejudicado.
Além disso, para que um desses BUs impressos possa servir como prova de irregularidade, ele teria não só que estar autenticado na origem, pela assinatura de punho do mesário, mas também teria que diferir de sua correspondente versão oficial eletrônica, isto é, do BU eletrônico desta seção eleitoral que teria sido computado na totalização.
Porém, nesse tipo de pregão eletrônico, via de regra (pelo que entendi do depoimento do jovem Rangel), os BUs eletrônicos que constituem as parcelas da totalização parcial fraudada não são ajustados para corresponderem, em correta soma, ao resultado depois da fraude. Continuam, portanto, as parcelas dos BUs eletrônicos como estavam ao serem transmitidos ao TRE
Daria para traduzir pro “leiguês” como esse tipo de fraude é praticado?
Segundo o Rangel, nesse tipo de pregão, o lote de votos que será retirado de um ou mais candidato-vítimas corresponde a um terço ou à metade dos votos obtidos numa parcial de totalização por essas vítimas. Esse lote é oferecido em leilão, com preço mínimo.
Pelo que eu pude entender, complementado por outros depoimentos como o do delegado Neto, o preço mínimo do lote varia conforme o cargo, a porcentagem de seções eleitorais acumuladas para aquela parcial de totalização e a posição das vítimas no ranking da totalização geral divulgada até ali. Os lances, por telefone, precisam ser comunicados em código, via nomes de animais, ou são invalidados se o participante na linha falar diretamente em dinheiro. Quando o lance mínimo é coberto e o lote arrematado, os votos correspondentes ao lote são subtraídos diretamente do montante obtido pelos candidato-vítimas nessa parcial de totalização, e somados ao montante correspondente do candidato que arrematou o lote.
O perfil de permissões do usuário, cujo ID e senha são vazados por quem organiza o leilão para quem vai operar um pregão nesse leilão (o Rangel não seria o único), dá a este operador a capacidade de congelar a inclusão desta parcial no total geral divulgado.
Essas parciais de totalização devem periodicamente ser alimentadas pelo tribunal regional ao TSE, através do canal de VPN entre o TRE e o TSE, já que nessa eleição o TSE, por motivos não divulgados, centralizou as divulgações dos totais gerais para cada Estado, enquanto iam se acumulando ao longo da fase de totalização. A parcial de totalização sobre a qual se oferecem lotes fica então congelada para essa transmissão até o arremate dos lotes oferecidos e à execução das manipulações correspondentes aos lotes que foram arrematados.
Assim, pelo que entendi da explicação do jovem Rangel e de outros no seminário, via de regra, as manipulações nos totais parciais por candidato, relativas aos lotes de votos arrematados no pregão, não são redistribuídas depois em correspondentes parcelas de BUs que compõem em soma aquela parcial, o que seria necessário para manter a consistência da totalização oficial.
É por isso que, neste caso, os BUs impressos não permitem detectar manipulação alguma, pois esses vão coincidir — a menos que eventualmente haja outra forma de fraude executada em fase anterior — com as correspondentes versões eletrônicas. Somente a soma dos dados de todos BUs eletrônicos, que depois são divulgados pelo TRE, comparada ao total de votos do candidato na totalização final pronunciada como resultado oficial, é que poderia detectar inconsistência na soma. No seminário, quando questionado sobre essa possibilidade de detecção, o jovem Rangel declarou que os leiloeiros não se preocupam com ela porque “ninguém faz essa soma”.
Isso faz sentido?
Para mim, sim, devido à forma como a Justiça Eleitoral divulga oficialmente os BUs eletrônicos, tornando impraticável essa verificação. A divulgação, pela internet, é em momento e endereço não anunciados previamente, e dentro de um prazo elástico – na eleição de 2010 era de 24 horas, na de 2012 saltou para três dias. E depois da divulgação do resultado oficial, e com modo de acesso assaz peculiar, conforme observo em artigo recentemente publicado.
Explico. Após esses BUs eletrônicos serem disponibilizados, o tempo que se tem para efeito de prova de irregularidade na soma divulgada como resultado oficial é de até 72 horas. Só que a gente não fica sabendo exatamente quando isso acontece, pois a divulgação, pela internet, é em momento e endereço não anunciados previamente, com modo de acesso manual seção por seção, via formulário. Parece irracional, mas é desse jeito que determina a resolução TSE 23.372, em seus artigos 145 e 150, aprovada em plenário do Tribunal Superior Eleitoral em 14/12/11.
Assim, é praticamente impossível verificar isso com precisão. Razão pela qual ninguém a faz mesmo, como afirma o jovem Rangel.
Quando se quer provar que uma soma está correta, não há razão lógica para se publicar tantas parcelas tão sorrateiramente, em até três dias depois do resultado. A não ser que o real objetivo seja dificultar a verificação externa dessa “prova” ou impedir sua utilidade, enquanto se pode afirmar que ela está disponível a qualquer um. E, de fato, não conheço ninguém que a tenha feito.
O senhor já sabia dessa possibilidade de fraude ou foi novidade?
Eu sabia que essa possibilidade era latente a uma análise de riscos equilibrada do nosso processo de votação. Mas não tinha elementos concretos para especular ou elaborar honestamente. De um lado, devido ao ofuscamento com que o seu contexto sempre foi tratado oficialmente. De outro, como a mídia corporativa sempre prestou serviço a esse ofuscamento, sempre se fazendo de boba quanto à diferença entre segurança “da urna eletrônica” e segurança do processo de votação como um todo.
Consequentemente, nesta situação, não convinha, para mim e para o valor das minhas críticas, nutrir com especulações puramente teóricas a pecha de paranoico conspiracionista que ambas sempre tentaram me impingir, ao longo de mais de dez anos de críticas ao nosso processo de votação.
Essa possibilidade de fraude decorre da vulnerabilidade do sistema como um todo?
A meu ver decorre, em parte, da vulnerabilidade do sistema como um todo. E, em parte, por tal vulnerabilidade ter passado desapercebida da grande maioria dos eleitores por tanto tempo, enquanto as pessoas iam sendo induzidas, com ingênuo ufanismo e propaganda massiva, a tomar a segurança de uma coisa pela da outra.
O professor Pedro Rezende trabalhou no Vale do Silício, Califórnia (EUA), com controle de qualidade na Apple Computer e com as primeiras aplicações em hipertexto (hypercards), em 1988. É consultor em criptografia e segurança na informática para empresas, órgãos públicos, legisladores, operadores do Direito e agências de fomento à pesquisa científica e à produção cultural.
Coordena o Programa de Extensão em Criptografia e Segurança Computacional da UnB, onde montou e ministra o primeiro curso de programação para Infraestrutura de Chaves Públicas (ICP) no Brasil. Conselheiro do Instituto Brasileiro de Política e Direito na Informática, ex-conselheiro da Free Software Foundation Latin America (2006-2008) e ex-representante da sociedade civil no Comitê Gestor da Infraestrutura de Chaves Públicas Brasileira, ICP-BR, por designação do presidente da República (2003-2006).