'A urna é o mais difícil de atacar', diz pesquisador que atuou junto ao TSE e militares

Marcos Simplício explica que o maior risco são as teorias da conspiração e a guerra de discursos

Por JORNAL DO BRASIL com Agência Pública

Marcos Simplício, pesquisador do Departamento de Engenharia de Computação e Sistemas Digitais da Universidade de São Paulo (USP)

Clarissa Levy - Testes públicos de segurança, análises do código-fonte e auditorias externas são algumas das etapas de inspeção a que as urnas eletrônicas foram submetidas para o processo eleitoral de 2022.

Apesar de serem apenas um dos grupos convidados para esse processo, a participação das Forças Armadas tem gerado conflito e desinformação no debate sobre a segurança do voto eletrônico — em agosto, um coronel do Exército que atuou na inspeção do código-fonte foi excluído do grupo após reportagens revelarem que ele compartilhou conteúdo duvidando da segurança das urnas, sem apresentar provas.

Nesta semana, reportagem da "Folha de S. Paulo" afirmou que as Forças Armadas pretendem realizar uma “apuração paralela” dos resultados das votações, uma ação ainda não totalmente esclarecida pelos militares. Após a reportagem, o Ministério da Defesa afirmou em nota que as Forças Armadas não solicitaram qualquer permissão de acesso diferenciado em tempo real aos dados da votação. Já o TSE negou acesso diferenciado a dados brutos das votações para os militares.

A Agência Pública conversou com o pesquisador do Departamento de Engenharia de Computação e Sistemas Digitais da Universidade de São Paulo (USP), Marcos Simplício, que participou dos testes de segurança das urnas. Junto aos militares, o Laboratório de Arquitetura e Redes de Computadores (Larc), do qual Simplício faz parte, foi um dos convidados para o processo de verificação da segurança.

Simplício também foi um dos especialistas que participou da Auditoria Especial no Sistema Eleitoral Brasileiro de 2014, à época solicitada pelo PSDB que teve seu candidato, Aécio Neves, derrotado no pleito por Dilma Rousseff (PT).

Para as eleições de 2022, Simplício e outros pesquisadores do Larc passaram cerca de dois meses testando a segurança do hardware e software usado pelo Tribunal Superior Eleitoral (TSE) nas urnas. “Testamos nove linhas de ataque à segurança do sistema, além de abrirmos as urnas e buscarmos meios de fisicamente alterá-las”, conta Simplício, vice-coordenador do projeto de cooperação técnica firmado entre a universidade e o TSE. Os pesquisadores chegaram a desmontar urnas para tentar alterar ou extrair informações, mas não obtiveram sucesso.

“Do ponto de vista da urna em si, o processo está bem robusto. Honestamente, a urna nunca esteve tão segura”, afirma o pesquisador. “Acho que o maior risco são as teorias da conspiração e a guerra de discurso”, complementa. Após os meses de análises, em 2 de setembro de 2022, os sistemas que serão utilizados nas urnas foram assinados e lacrados em cerimônia no TSE.

Desde setembro de 2021, quando foi criada a Comissão de Transparência das Eleições (CTE) e o Observatório de Transparência Eleitoral (OTE), representantes de diversos órgãos reuniram propostas e contribuições para o aperfeiçoamento e segurança do sistema eletrônico de votação.

Simplício comenta os procedimentos de fiscalização e a viabilidade de iniciativas de auditoria e contagem de votos por grupos como os militares.

 

Nesta semana, foi noticiado que as Forças Armadas fariam uma conferência paralela dos votos, a partir de dados brutos das urnas e também dos boletins. Do ponto de vista técnico, quais são exatamente os dados que poderiam ser coletados? Como você vê essa proposta de contagem?

Nada está muito claro, mas o que entendi é que eles querem fazer a conferência dos boletins de urna físicos com os digitais correspondentes. E isso é feito desde 2014. A ideia de pegar o papel e conferir se bate com o que o TSE colocou online, usando o QR Code para verificar a autenticidade, é um procedimento de auditoria previsto no processo eleitoral.

Em 2014, quando teve o pedido de auditoria do PSDB, isso foi feito. A gente pegou os boletins de urna de várias cidades do Brasil e fizemos uma conferência [o pesquisador da USP integrou a equipe de técnicos que fez auditoria da disputa presidencial solicitada pelo PSDB].

Agora sobre os dados, existem dois dados brutos que são gerados pela urna, mas um é gerado a partir do outro, então, dão na mesma. Tem o dado chamado RDV, que consiste em cada voto individual lançado. E tem o dado do boletim de urna que é gerado a partir disso. Mas ambos são dados brutos — um digital, um no papel. Um mostra cada voto individual e o outro a soma destes, já feita pela urna.

Já existe de certa forma o acesso ao dado bruto, que está ali exposto na seção eleitoral. É claro que se pode fazer a conferência se o boletim e o dado digital batem. Mas o mais importante é o boletim de urna impresso — além de ser o mais fácil de usar.

 

Você considera que é possível contestar o resultado das eleições a partir da conferência de um grupo de amostragem de urnas? Um dado divergente de um boletim de urna seria suficiente para contestar os resultados do pleito, por exemplo?

Se tiver um boletim de urna que não bate com o dado que está no TSE certamente é possível contestar. Inclusive, é para isso que os boletins existem. Se os dados estão diferentes, existe alguma coisa errada e é preciso investigar o que aconteceu.

Mas o problema não é esse. O problema é quando os dados estão iguais e alguém fala que não estão. Porque essa é uma possibilidade. Alguém fala por exemplo: “O software na verdade está desviando votos antes da informação chegar no boletim de urna. Eu fui lá e digitei X mas a urna colocou Y”.

O problema é o que se pode criar de desconfiança em relação ao software. Porque honestamente isso que está se discutindo agora [boletim de urna e dados digitais] é o pedaço mais auditável. O problema é quando o boletim bate mas alguém fala que não, porque uma suposta fraude foi feita antes.

 

Grupos que questionam o processo eleitoral frequentemente levantam suspeitas sobre o software utilizado nas urnas. O Larc analisou o sistema utilizado pelo TSE, o que também foi feito por outras entidades como as Forças Armadas. Em relação ao software, o que vocês analisaram?

Nós recebemos todo o material de urnas e pudemos ficar com ele cerca de dois meses, o que é um tempo maior do que o período do teste público. No último ano, ocorreram pelo menos duas melhorias relevantes no software. Então, a princípio, pegamos o histórico de testes públicos existentes e replicamos os ataques ao sistema com melhorias. Depois, criamos novos ataques ao sistema, com base no que vínhamos estudando. Com isso, queríamos ver se ocorreria alguma variabilidade relevante do ponto de vista de quebra de sigilo ou desvios de voto.

Tentamos nove linhas de ataque diferentes ao software e não encontramos pontos críticos que permitiriam, por exemplo, desvio de votos. Revisamos também padrões e normas de segurança.

 

Para além da análise do software, quais outras etapas de auditoria do sistema fazem parte da preparação do processo eleitoral de 2022?

No sistema eleitoral temos vários momentos de auditoria. Claro que [o sistema] não é perfeito, afinal, nada é. Mas são vários pontos de verificação do software. O primeiro deles é a verificação do sistema na cerimônia de lacração das urnas. O software é pré aberto e as pessoas podem analisar o sistema antes da urna ser lacrada.

As urnas não rodam qualquer software, elas operam com o software oficial assinado pelo TSE. Então, a inspeção do software é uma fase importante para ver que não há vulnerabilidades — para demonstrar que não existe isso de que uma pessoa pode chegar em algum lugar, modificar uma urna e que ela vai começar a rodar outro software. Essa inspeção também é importante pois demonstra que não tem algum ponto inserido de propósito para fazer algum tipo de desvio de votos.

O segundo procedimento que ajuda na confiabilidade é a votação paralela, também chamada de teste de integridade das urnas. É como uma votação simulada. Funciona basicamente assim: você pega uma urna carregada com o sistema de votação e lança votos nela para fazer a verificação dos votos lançados. Aí compara os votos no papel com os votos registrados na urna, o que possibilita ver se algo foi desviado. É um mecanismo que mostra que o software não está fazendo nada de errado.

Como todo procedimento, este também não é perfeito. E até uma coisa que os militares querem fazer é alterar um pouco este teste de integridade, adicionando a coleta da biometria de um eleitor real na iniciação das urnas sorteadas para teste. (o projeto-piloto para testes de integridade com uso de biometria foi aprovado pelo TSE na noite de 13 de setembro e será aplicado em até 10% das urnas separadas para teste). Nele, eleitores voluntários vão emprestar suas digitais para a liberação das urnas a serem testadas. Será realizada uma votação simulada, primeiro em papel e depois os mesmos votos são digitados em uma urna para verificar se a máquina está computando os dados corretamente.

 

Em relação a esse novo modelo de teste das urnas, que foi uma demanda das Forças Armadas, o que muda?

Nos testes de integridade que eram feitos até a última eleição, era o mesário quem iniciava a urna com sua biometria para inserir cada voto a ser verificado. Segundo a hipótese dos militares, o sistema de uma urna fraudada poderia reconhecer que a urna estaria sob teste se ela fosse iniciada repetidas vezes por um mesário. O que eles querem então é que a digital de um eleitor libere a urna, o que dificultaria o sistema da urna de “perceber” que está sob análise. Mas que fique bem claro que nenhum método vai ser perfeito. A liberação via biometria é só uma das estratégias a mais, que pode ser usada.

E, sinceramente, vai da teoria da conspiração que cada um mais gosta. Porque podem dizer: “ah, tem um auditor que segura uma tecla da urna por mais tempo e isso faz com que o sistema interno perceba que está sob análise e não opere a fraude”. Ou podem falar que a urna tem uma anteninha, um GPS.

A proposta dos militares adiciona custos, complica a logística e eu tenho certeza que vai confundir um monte de eleitor. Não é de todo ruim, mas vai causar confusão no eleitor que for chamado pra colocar a digital.

 

Em 2022, pela primeira vez, os dados dos Boletins de Urna serão disponibilizados na internet em seguida ao encerramento da votação. Qual será o impacto desta mudança?

O problema de acessar os dados no mesmo momento em que eles chegam é que pode gerar confusão. Porque, alguma falha técnica que ainda seria corrigida pode gerar um dado duplicado, por exemplo. É necessário que se tenha um processo interno para revisar os dados antes da disponibilização.

Antigamente esses dados demoravam alguns dias para ficarem disponíveis online porque é necessário os dados passarem por uma filtragem que verifique se, por exemplo, algum TRE não enviou duas vezes determinado arquivo. Por exemplo, em uma situação em que algum funcionário da Justiça Eleitoral estava usando uma máquina lenta, precisou trocar de máquina e o dado acabou sendo enviado duas vezes, ou qualquer coisa do gênero.

Para mim o problema dessa disponibilização instantânea é que pode haver divergências momentâneas entre a contagem do TSE e alguém que esteja fazendo a contagem por conta própria. Por exemplo, se uma pessoa soma numa ordem diferente do TSE os números parciais o resultado pode dar diferente

 

A partir da auditoria e das observações que vocês do Larc vêm fazendo, qual é o elo mais fraco considerando todo o processo eleitoral?

O que vejo é que todo problema vai no sentido da desinformação, de criar uma situação em cima do que está de fato acontecendo. Do ponto de vista da urna em si, o processo está bem robusto. Honestamente, a urna nunca esteve tão segura.

Uma crítica antiga ao modelo de urna é que as chaves criptográficas — que garantem a integridade dos votos e protegem a confidencialidade dos votos — ficavam no próprio código. Então, em princípio, se uma pessoa conseguisse extrair da memória da urna informações, daria para eventualmente alterar. Era uma crítica técnica.

Agora, as chaves criptográficas são guardadas em um hardware dedicado — um mecanismo de segurança. Então, na prática, o que se tem é um espaço de memória ali fisicamente protegido. Mesmo com acesso físico à urna, não dá pra extrair chaves ou informações de lá. A gente no Larc tentou fazer, inclusive.

A urna é o ponto mais difícil de atacar. Acho que o maior risco são as teorias da conspiração e a guerra de discurso, que é muito fácil de construir.

Pelos nossos testes fica claro que é difícil fraudar [a urna]. Nós não achamos um jeito de fraudar, mas obviamente isso não impede as pessoas de falarem e convencerem outras pessoas do contrário.