Há muitas que acham que conhecem TI fazendo comentários equivocados e alarmistas sobre eleições com urnas eletrônicas no Brasil.
Desse modo resolvi aqui dar minha contribuição. Como usual, me equilibro entre dois extremos: ainda que reconheça que o recibo do voto em papel aumenta a transparência para o eleitor, gostaria de mostrar que, a despeito disso, a votação eletrônica sem papel é bastante segura.
Na terra de milhões de especialistas em tudo via redes sociais, muitos até saíram recentemente na rua defendendo o voto auditável; a maioria sem a capacidade de entender como realmente funciona o processo eletrônico.
O desafio aqui é tentar escolher as palavras de forma que as pessoas possam entender, mesmo que sejam relativamente leigas em Informática, embora uma pessoa não familiarizada possa não entender parte da minha explicação, à despeito de tentar simplificar ao máximo.
Usamos urnas eletrônicas de 1ª geração?
Sim, essa parte é verdade.
Lá fora já existe a 3ª geração em alguns lugares.
Fala-se que apenas Brasil, Bangladesh e Butão adotam apenas a solução de primeira geração de maneira global.
É complexo checar essa afirmação. No entanto, é claro que alguns países adotam sistemas mistos, que incluem pedaços com a primeira geração, incluindo 7 estados dos Estados Unidos.
Outros adotam voto eletrônico apenas via Internet, como a França, que passa a ser uma opção entre os votantes.
Aqui tem mais dados, que pode server de ponto de partida para uma pesquisa, a partir de uma planilha que pode ser baixada.
Voto eletrônico com e sem papel
Inegavelmente nosso sistema não é o mais moderno, mas, mesmo assim, paradoxalmente, a segurança é muito maior do que parece à primeira vista.
De fato, o sistema é passível de invasão por hackers e não há registro de forma independente do registro eletrônico. A terceira geração torna o sistema totalmente à prova de paranoicos.
Aí alguém vai dizer:
– Ih, ele (no caso, eu) está reconhecendo a fragilidade do nosso sistema.
Não exatamente. A vantagem do “recibo” de papel do voto (que o eleitor não leva para casa, naturalmente) é mais no sentido de aumentar a transparência de voto para a população, o que aumenta a percepção de segurança, ainda que isso não aperfeiçoe, de fato, a segurança real, como veremos.
E é esse o motivo que a primeira geração não tem encontrado muito eco pelo mundo: não basta ser seguro, é preciso parecer seguro.
No entanto, a maioria dos que defendem o recibo de papel, falam em possibilidade real de fraude, a partir dessa insegurança aparente, inclusive o próprio presidente Bolsonaro, se referindo à eleição de 2018.
Bolsonaro dizia ter provas, mas nunca as apresentou, mesmo convocado para isso. O curioso, nesse caso, é que ele ganhou a eleição presidencial em 2018. Ou seja, a eleição teria sido roubada de forma amadora, porque se fosse para tirar o mito do jogo, os fraudadores iriam até o final.
Mergulhando de snorkel no mundo do hash
Não sei exatamente os detalhes do processo de segurança no Brasil relativo ao sistema de votação eletrônica; uma vez que o processo em si não é aberto. No entanto, é sabido que em todos os processos desse tipo, que usam softwares “sensíveis”, emprega-se o conceito de hash de arquivos e aqui não é diferente
O hash, em palavras simples, consiste em uma soma sofisticada (checksum) de todos os bytes (caracteres) de um arquivo, sistema, HD (disco rígido ou hard disk) ou máquina; de forma a resumir todo o conteúdo em apenas um único número.
Esse conceito é adotado por virtualmente TODOS que fazem sistemas com requisitos de segurança.
O sistema eleitoral é, em última análise, composto de um conjunto de arquivos, sendo que cada arquivo tem um hash bem definido.
Em geral, costuma existir um pequeno utilitário externo, que pode ser espetado em um pen drive, que consegue dar partida (boot) na máquina de forma independente do boot da máquina e, depois, testar vários tipos de hash referente à máquina, incluindo o hash do arquivo que desejar.
Por que esse tipo de programa costuma ser espetado de fora e não se trata de um programa instalado na própria máquina a ser testada?
Porque sempre é possível que alguém coloque um vírus na máquina, que assuma o seu controle quando ela é ligada. Esse vírus pode perfeitamente enganar o programa de hash, mostrando um valor que não corresponde ao verdadeiro hash do elemento que está sendo testado.
Em todo o caso, esse tipo de programa de fora pega um arquivo, um sistema, um HD ou mesmo a máquina inteira e calcula seu hash.
Acontece que o hash tem uma propriedade fascinante: é virtualmente impossível alterar o arquivo e manter esse hash, mesmo em décadas de tentativas. Em suma, um único bit que seja alterado no arquivo altera completamente o hash.
Alguém poderia ponderar:
– Ah, mas o hash é calculado na Serpro. Eu não confio. É tudo parte do esquema.
Nada mais equivocado O cálculo de hash não tem a ver com nada feito ou produzido no Brasil. O sistema de votação eletrônica no Brasil usa o sistema Sha-512 (criado em 2001) exibido no formato radix64 (ver adiante), que não foi desenvolvido no Brasil. O algoritmo que gera esse código inclusive tem código aberto.
Ou seja, nem os hashes nem os programas que os geram são secretos.
Para ver o hash na prática, vá nessa ferramenta online, selecione um arquivo do seu computador e calcule o hash dele, pelo método Sha 512.
As ferramentas, em geral, exibem o código hash sob a forma hexadecimal (dígitos de 0 a 9, mais as letras de A a F), mas esse código pode facilmente ser convertido para base/radix 64 ou vice-versa.
O radix 64 usa 64 símbolos, incluindo letras maiúsculas, minúsculas, dígitos e mais 2 símbolos (+ e /) para representar um número, nessa ordem, tornando o código mais legível e curto do que a notação em hexadecimal.
Agora vá no seu arquivo (que pode ser bem grande) e experimente mudar 1 caractere dentro dele e, depois, recalcule o hash. Note que ele muda completamente!
Por que hackear é possível, mas inócuo?
Muitos, após lerem o conteúdo acima, podem pensar:
– Ih, moleza, é só ter hackers para invadir as máquinas e alterar os programas de forma a fraudar o sistema eleitoral.
De fato, invadir máquinas obviamente é possível. Com engenhosidade muitos conseguem fazer isso!
Houve vários casos de pessoas que conseguiram invadir sistemas pretensamente muito protegidos, apagando e danificando conteúdos. Até mesmo o Pentágono!
O que não se consegue com a invasão? Alterar os arquivos sem deixar vestígio!
Por que, se eles aparentemente consegue fazer qualquer façanha?
O problema é que os hashes mudados dos arquivos sinalizaram que eles foram mexidos por dentro. Não existe, como vimos acima, método viável para, nem em dezenas de anos, alterar arquivos, sem alterar seu hash!
Existe aqui uma cerimônia de lacração dos sistemas eleitorais, realizada no TSE. Eles possibilitam aos partidos políticos e ao Ministério Público verificar se os arquivos encontrados em qualquer urna do país correspondem aos arquivos lacrados no TSE.
Pelo exposto acima, vimos que a invasão de fora é perfeitamente possível, mas inócua do ponto de vista de fraude eleitoral, porque qualquer tentativa de fraudar o sistema, altera os hashes que são sempre checados por equipes internas, e, portanto, esse ato seria facilmente, desmascarado.
Por exemplo, vamos supor que alguém consiga invadir o servidor da Microsoft e incorporar um vírus no instalador em uma versão de instalação do Windows. É possível? Sim, mas é por isso que os fornecedores de software divulgam o hash de cada release de um aplicativo. Se o hash confere, não há o que temer.
Outros podem aventar:
– Então posso invadir as urnas depois desse processo e depois reverter.
Simplesmente, não é possível isso. As urnas, depois do programa copiado, funcionam de forma desconectada da Internet.
E o processo de totalização das urnas?
Quanto ao processo totalização das urnas, nada de prático pode ser feito em termos de fraude, porque a urna emite um boletim impresso com todos os votos no final do dia de votação.
Esse boletim fica disponível na nuvem para todos interessados, permitindo processos de apuração independente.
É possível inclusive examinar a apuração de cada seção, a partir da zona, turno e município!
Dess modo, a fraude só seria tecnicamente possível de se fazer no sistema que fica embutido na urna eletrônica.
Mas, então, como poderia se fraudar o voto?
Qualquer fraude teria que ser feita de dentro da Serpro (empresa pública que desenvolve e mantém o sistema eleitoral) e aí não seria trabalho de hackers, e sim, isso seria uma grande e intrincada conspiração.
Precisaria envolver um mínimo de pessoas que tem acesso à máquina, de forma independente.
A fraude não poderia ser perpetrada nos programas fontes. Programas fontes são a forma como os programas são normalmente escritos e compartilhados por equipes de programadores, em uma determinada linguagem de programação, como Java, Javascript, Python etc.
As mudanças maliciosas precisariam ser feitas diretamente nos arquivos executáveis (.EXE em sistemas Windows), que correspondem ao programas em linguagem de máquina.
Usualmente, executáveis são compostos de números (bytes) de 0 a 255, representados como uma sequência, aparentemente sem sentido, de números em hexadecimal de 2 dígitos, como 23, A8, F3, EA etc.
Correspondem, mais ou menos, aos formatos dos aplicativos de celulares, quando se baixa do Google Play ou Apple Store.
Alterar maldosamente os programas fontes é inviável, porque gera um rastro grande. Sistemas, quando vão sendo desenvolvidos, são naturalmente compartilhados entre várias pessoas, além de ser fácil de achar códigos esquisitos no meio do código funcional.
No caso de alterar diretamente o programa em linguagem de máquina essa tarefa pode ser feita por um grupo reduzido de pessoas, o que tornaria tudo mais fácil e a alteração fica bastante oculta, já que é feita de forma que quase ninguém percebe, ao visualizar o conteúdo dos arquivos.
O problema é que tudo é geralmente é logado. Assim, a fraude fica documentada: quem alterou, que horas e o que foi alterado.
Mesmo que não tivesse log, os hashes dos programas alterados mudam e não há como fugir disso.
Assim, seria preciso cooptar no clube dos conspiradores todos que potencialmente possam ler o hash e aí a quantidade de pessoas envolvidas podem chegar à casa de dezenas!
Esse complô precisaria incluir todo mundo que faz a eleição simulada. com representante de todos os partidos e do ministério público federal,. já que, nesse caso, os hashes também são testados.
Nessa eleição simulada, todas as pessoas presentes, incluindo os representantes de todos os partidos, votam. Esses votos são públicos. Esses votos então são apurados e depois conferidos com o boletim de votos emitidos pela urna.
O mais importante nessa eleição simulada não é nem a conferência em si, já que os “malandros” poderiam adulterar o sistema para funcionar corretamente apenas em uma data anterior às eleições.
É a própria conferência se os códigos hashes dos programas do sistema batem com os códigos hashes que foram lacrados.
Se não piora, por que não se implementa o voto impresso?
Em tese, o “recibo” impresso do voto como adendo ao sistema eletrônico não diminui a segurança do atual sistema, e ainda aumenta a transparência explícita para todos.
Então por que simplesmente não se faz isso para dar um cala-boca a aqueles que falam em fraude?
Ora, pode-se até fazer algum dia, mas ele adiciona custo ao processo, uma vez que a impressora tem partes mecânicas que serão muito mais exigidas do que hoje, e gerarão mais consumo de papel e tinta, além de aumentar a taxa de defeitos da urna eletrônica.
Além disso, a apuração das eleições ficará mais morosa e cara, dependendo da forma que os processos de recontagem sejam regulamentados.
Para quem alega que o nosso atual sistema já é caro e gastar um pouco mais não machuca, eu digo: sim, machuca: as pessoas esquecem que nosso país é pobre. Devemos tornar a nossa máquina pública mais barata e não mais cara.
Eleições é um “metagasto”. Ou seja, não é um gasto que gere utilidade real na ponta. Cada real a mais gasto aqui (como o fundo eleitoral) é um real a menos que sobra para melhorar um hospital federal, aumentar número de leitos, investir em educação etc
Além disso, quem cria na cabeça conspirações mirabolantes que tornam possível adulterar o voto eletrônico, não seria difícil imaginar esquemas mais ou menos mirabolantes de suborno, cooptação etc, para durante um processo de auditoria, acessar esses papéis vindos das urnas e os trocaram por outros papéis com votos mudados, com a finalidade de criar chicanas, uma vez que a recontagem não iria bater com a contagem eletrônica.
Provavelmente isso seria até mais factível do que adulterar programas, levando-se em conta a proteção conferida pelo hash.
E se a votação voltasse a ser 100% em papel, mais ainda, porque a insegurança passaria a estar disseminada em vários pontos do processo.
A contraditório é livre, mas ….
Claro que um artigo desse tipo gera reações mais variadas das pessoas, desde o reconhecimento do trabalho que foi escrevê-lo, até o mais puro e cristalino ódio.
Normal isso, em temas polêmicos como esse.
Acho ótimo que apareçam pessoas para contribuir, mas é preciso argumentos reais referindo-se ao que foi abortado nesse artigo, em pontos específicos.
Para mim não tem validade refutações genéricas (“O texto é repleto de inverdades e exageros”), falácia ad hominem (“O texto mostra uma profunda ignorância do autor que exprime conceitos sem tê-los entendido”), apelo à autoridade (“O Dr. John White, com PhD em Harvard e pós-doc em Cambridge diz que o voto eletrônico é muito frágil”), falácia da ausência de manada (“Só o Brasil, Butão e Bangladesh adotam esse sistema”) ou argumentos políticos (“O Congresso e o STF tem medo que o Bolsonaro vença em eleições limpas, e por isso não querem o voto impresso”).
Palavras finais
Em suma, os conspiradores precisariam cooptar todos os envolvidos, garantir que nenhum deles abra o bico e ter um plano B (assassinato?) se alguém se negue a colaborar. Isso é virtualmente impossível de acontecer.
Precisaria existir a coincidência impressionante de todos os envolvidos serem corruptíveis e discretos.
De modo geral, posso dizer, tendo em vista tudo que foi dito que é loucura pensar em fraude, mesmo que não tenhamos o sistema mais moderno.
Como dissemos, o sistema eletrônico de 3ª geração serve mais para diminuir a sensação de “caixa preta” do que, na prática, efetivamente aumentar a segurança contra fraudes.
O post Fraude em urnas sem papel? Pense de novo. apareceu primeiro em Papo de boteco.
from Papo de boteco https://papodeboteco.net/opiniao-princ/fraude-em-urnas-sem-papel-pense-de-novo/
source https://olhoclinico.tumblr.com/post/658742214700269568
Nenhum comentário:
Postar um comentário