Urna eletrônica resistiu aos testes
Seguem trechos do relato da Info:
O desafio, encerrado na sexta-feira, teve início na terça-feira, e contou com a participação de 38 especialistas de diversas áreas, representando diferentes instituições e empresas privadas ligadas às ciências da computação. Cada equipe tentou, por diferentes meios, superar os dispositivos de segurança de software e hardware.
Na sexta-feira, por exemplo, especialistas da Procuradoria-Geral da República (PGR) e da Cáritas Informática, além de peritos da Polícia Federal (PF) tentaram mudar os programas usados nas urnas. “Não conseguimos porque existe um sistema de segurança que impede que programas não autorizados sejam usados na máquina geradora de mídias. Tentamos subverter esse programa, mas ele travou com a tentativa”, explicou o investigador da PF, Thiago Cavalcanti.
(…) De acordo com o secretário [de TI do TSE], a única ação bem-sucedida foi obtida pelos representantes da Cáritas Informática, que conseguiram retirar e repor o lacre de um envelope de mídias sem que isso fosse notado. Segundo Janino, isso, no entanto, não representa qualquer ameaça ao processo eleitoral, já que o pequenos sacos plásticos onde são transportados os disquetes de votação usados nas urnas eletrônicas está em fase de testes e a falha constatada não é significante. Afirmação compartilhada pelo próprio representante da Cáritas, Edison Alonso.
“[Com a falha do envelope] Eu poderia manipular os programas, colocando um programa que beneficiasse um determinado candidato, transferindo os votos de um partido para outro, por exemplo. No entanto, eu não consegui inserir o disquete modificado pois existe um sistema de segurança que acusa [qualquer modificação], não reconhecendo a mídia”, explicou Alonso.
Relatórios com as observações e sugestões de cada uma das nove equipes e mais as dos observadores que acompanharam os testes serão analisadas e, de acordo com Janino, servirão para o aperfeiçoamento de todo o processo. “Estamos totalmente abertos às sugestões que forem apresentadas e iremos estudar com cuidado cada uma delas com o objetivo de melhorar continuamente o processo eleitoral brasileiro”, comentou o secretário. (…) (via info.abril.com.br)
Saiba mais (info.abril.com.br).
@brlinuxblog
Feed RSS
Se a urna usasse o Windows, queria ver se seria tão difícil burlar o sistema. Hehehehehe…
Alguém tinha dúvida do resultado destes testes?
http://noticias.terra.com.br/brasil/noticias/0,,OI4059597-EI7896,00.html
Mas parece que o sistema do Operador Nacional do sistema elétrico não… :(
Ok a urna, mas as informações de cada urna será lida e transmitida para algum lugar (servidor).
Sendo a urna apenas uma unidade coletora, como fica o resto do caminho dos dados ???
Agora é esperar o TRE apresentar candidatos a eleição
a prova de:
Falcatruas
Corrupção
Negociatas
Desonestidade
Mentiras
Populismo
é mais fácil o TRE apresentar uma urna que forneça agua mineral geladinha ao eleitor do que cumprir uma das palavras citadas acima!
A partir da saída das urnas, o restante do processo é verificável, pois ao mesmo tempo em que exporta os dados, a urna emite um relatório em várias vias com os totais de votos de cada candidato. Elas são assinadas pelos fiscais dos partidos, e uma delas é afixada no próprio local.
Várias entidades (incluindo a imprensa e os próprios partidos, pelos seus próprios interesses) conduzem apurações paralelas a partir destes boletins, evitando a possibilidade de manipulação bem-sucedida do resultado a partir deste ponto.
O que muitos buscam é alguma forma de auditabilidade similar, mas que se aplique ao que ocorre da urna pra dentro, e não apenas da urna pra fora.
Este jogo tem mais cartas marcadas que o campeonato brasileiro de futebol…
só 3 dias? continua achando que tem como burlar… só falta a pessoa certa =D
Se agora com toda esta segurança que as urnas possuí, ainda as pessoas se sentem inseguras, imaginem antes que era tudo em papel… a segurança era mínima… acredito que deveria ser muito mais fácil burlar o sistema eleitoral antigamente…
Hoje tem toda a questão de impressão em várias vias dos totais das urnas e que ficam com os partidos, o que permite efetuar um melhor acompanhamento em todo o processo eleitoral.
Resultado, como era esperado. Infelizmente a maior “falha” está nos próprios testes “públicos”.
1- Os testes foram feitos em Brasília(um local bem inacessível).
2- As regras do “ambiente controlado”, eram rígidas.
3- Um dos grandes problemas relatados foi a não permissão para a utilização de métodos destrutivos. Ou seja não dava pra brincar de LHC.
De que adianta a urna ser inviolável se o próprio eleitor não é? O eleitor vende o voto, escolhe mal o candidato, é mal informado e chega na hora de votar sem nem saber em quem… daí não tem urna que resolva. Acho que deve ser feita uma campanha visando a melhor informação do eleitor, pelo TSE mesmo, que pode ter isenção nisso, sem favorecer um partido ou candidato. Quanto aos testes da urna, eu concordo com o Wagner que disse que o problema é o próprio pessoal que tem acesso às urnas… não viram a prova do ENEM? O mesmo pode acontecer com as urnas não? O que me garante que meu voto foi computado da forma que eu o realizei?
Como já trabalhei como mesário em eleições, sei que além do disquete (que é encaminhado ao TRE), são impressas 5 cópias do resultado da urna pelos mesários logo após o encerramento da sessão. Três delas são encaminhadas para o TRE, uma é dada para uma comissão interpartidária, e uma fica afixada na entrada da seção. Isso significa que o resultado da eleição em cada urna fica registrado em documento impresso à disposição dos partidos ANTES MESMO da contabilização via disquete pelos TREs, e sabe-se que cada partido confronta repetidas vezes após a eleição o que é divulgado via internet em sites do TSE com as boletins impressos pelas urnas, sendo que qualquer diferença entre esses resultados, o que tem mais valor é o boletim da urna, pois os dados ficaram registrados em papel imediatamente após o encerramento das eleições.
Ótima iniciativa do TSE e um avanço formidável.
“Os testes foram feitos em Brasília(um local bem inacessível).”
Brasilia inacessível? huahuahua
Agora falta o povo aprender a votar e começar a limpar a corja que está lá dentro cuidando do nosso dinheiro. Se sairem os piores Renans e Sarneys da vida já vai ser um avanço.
Marcos Alex, vai falar agora que é fácil ir pra Brasília, sem desembolsar uma boa grana com passagens aéreas, moradia e comida lá. Os testes deveriam ser realizados em cada estado.
Certo o software é “inviolável”. Mas e seu eu inserir, na urna, um hardware, programado pra ser ativado na hora das votação apenas e se desligar logo depois, que serviria como camada entre teclado e software da urna, por exemplo. E aí?
De que adianta as urnas serem seguras, o povo acaba votando nos mal caraters que seriam possíveis violadores :P
“Marcos Alex, vai falar agora que é fácil ir pra Brasília, sem desembolsar uma boa grana com passagens aéreas, moradia e comida lá. Os testes deveriam ser realizados em cada estado.”
Passagens e moradia você também teria de gastar se fosse para a capital do estado ou pra qualquer lugar que não fosse a sua casa.
Mania que o brasileiro tem de querer que o governo dê tudo de na mão…
Disquete? Ainda usam isto?
100% seguro nada é, mas parece que a urna e o sistema são suficientemente bons.
Agora é só aprendermos a votar e cobrar.
Os comentários estão começando a melhorar. Isso é bom.
Daniel, não entendi sua idéia do hardware. Colocar algo entre o teclado e a urna? O teclado é interno ao gabiente da urna, não dá para separar. Quanto à própria urna é lacrada. Então o máximo que daria para fazer, assumindo que fosse possível pegar a digitação do teclado externo do mesário, seria a lista de votantes, sem os respectivos votos. Ou seja, algo que já é público pela Justiça Eleitoral.
Concordo com o Augusto que o objetivo é garantir que o que o eleitor entrar seja secreto e imutável, garantindo que o voto seja computado de forma correta. O que se espera é que, com os softwares da urna sendo assinados e podendo ser verificados a qualquer tempo, seja possível impedir o funcionamento de um software não autorizado. Acho que os partidos tinham que poder selecionar um percentual de urnas escolhidas por eles momentos antes da eleição e o TRE subsituir estar urnas por outras de reserva. As urnas retiradas seriam ativadas como se fossem participar da eleição mas o resultado não seria transmitido, apenas conferido. Se vários partidos testarem a mesma urna, registrando o que votaram (tudo filmado para comprovar cada voto) e depois comparando os totais com o que foi inserido, serviria com uma auditoria por amostragem. Para não ficar cartas marcadas, cada partido escolheria as suas urnas, as lacraria com assinaturas de seus fiscais, do chefe da seção e de um funcionário do TRE e a enviaria para um local onde os partidos inseririam os votos durante todo o dia, para os candidatos que quisesse, como se fossem os eleitores daquela seção (o TRE forneceria a lista de eleitores daquela lista). Deste modo se o resultado fosse igual ao que foi inserido, ficaria provado que não há problemas. Como as amostras seriam aleatórias (cada partido escolheria suas urnas de onde quisesse), pode-se admitir que a amostragem representa o que acontece com o todo.
O grande risco da eleição eletrônica está em se conseguir manipular a urna para subvertê-la (alterando o que foi entrado e produzindo uma saída diferente do que deveria ser), o que explica porque a urna é alvo de tantas formas de segurança diferentes. Como não seria viável mudar apenas uma urna para alterar o resultado da eleição, seriam necessárias muitas urnas modificadas para atingir o objetivo pois cada resultado é impresso e pode ser conferido depois. Então uma amostragem de vários locais de votação, por partidos diferentes, seria uma boa indicação de não haver problemas.
Mas o maior vetor de fraude ainda é a compra de votos / ameaças ao eleitor. O eleitor é o ponto fraco da estrutura. É muito mais barato atuar sobre ele que partir para mirabolantes modificações na urna ou ainda mais improvavelemente à central de apuração.
Flávio
Assino com o Flávio
Concordo em quase tudo q o Flavio escreveu. Só discordo de “É muito mais barato atuar sobre ele que partir para mirabolantes modificações na urna ou ainda mais improvavelemente à central de apuração.”. Mudar uma cultura no país não tem preço (sem qq referencia ao cartao de credito). Pode-se empregar o PIB todo nisso q nao daria certo. Somente fatos com clamor patriótico pra mudar algo assim, tipo uma guerra ou coisa parecida.
E pra mim esse teste é uma furada total. O próprio teste não é confiável, imagina a urna. Não acredito q “hackers” tenham se inscrito pra testar isso. Foram alguns profissionais com alguma experiencia em segurança mas q nao tem as habilidades de um chamado “hacker”. Pra im foi tudo muito superficial e muito controlado.
Eu li os comentários e me parece que a maioria é absolutamente leiga com relação ao funcionamento da Urna Eletrônica. Seria interessante que vocês procurassem saber como funciona a utilização da urna antes de achar que qualquer gambiarra ou crack vai afetar a confiabilidade da urna.
Para mudar o resultado de uma eleição, você precisaria modificar CENTENAS de urnas, para ter algum efeito numa eleição. Cada urna representa apenas uma pequena fração do eleitorado de uma cidade. Eu não posso afirmar com certeza, mas cada urna computa cerca de 100 a 200 votos. São necessários milhares de votos para eleger um vereador numa cidade grande, e muito mais para um governador.
Um candidato sabe muito bem que para se eleger, ele precisa ter dinheiro, seja comprando votos, seja fazendo propaganda. Com esse método a eleição é garantida, não precisa ficar quebrando a cabeça tentando descobrir como burlar o sistema eleitoral…
John,
A eleição é controlada. O tempo de exposição da urna à atuação externa é de menos de 24 horas ( 8:00h às 18:00h do dia da eleição), não há conectividade com internet ou algo similar, tem criptografia em tudo, os dados da urna são publicados diretamente e só é enviada uma cópia dos mesmos dados (mesmo assim com criptografia forte para evitar alterações), o sistema central não é conectado à internet e só responde em portas específicas durante a eleição, só recebendo de certos IPs os boletins de urna (que são públicos) e os processando após conferir a criptografia.
A descrição acima é real e descreve um ambiente controlado. Porque o ataque à urna deve ter mais privilégios que isso? Os caras tiveram 3 dias ao invés das 10 horas da eleição. Já é muito privilégio. Resta garantir que a urna esteja íntegra antes da eleição ou pelo menos validá-la, conforme minha sugestão acima.
Flávio
Ao Clésio, algumas gambiarras e/ou cracks fazem estragos por ai. É só questão de nomenclatura. Outra pessoa pode chamar de ferramenta forense. Cada um com o seu. Mas fique pensando assim, você como profundo conhecedor da urna deve estar certo. E não se apegue ao fato de algum candidato estar interessado em alterar o resultado. Pra isso como vc falou, o dinheiro resolve. O buraco é mais embaixo.
Ao Flávio, realmente 3 dias é muito tempo. Mas seria mandatório pra um teste decente q qualquer ferramenta fosse usada. Afinal, das 8:00 as 18hs no dia da eleição, sem internet e com criptografia eu ainda poderia usar qq software ou hardware de meu interesse.
Clésio Luiz:
Um candidato sabe muito bem que para se eleger, ele precisa ter dinheiro, seja comprando votos, seja fazendo propaganda. Com esse método a eleição é garantida, não precisa ficar quebrando a cabeça tentando descobrir como burlar o sistema eleitoral…
Concordo totalmente. Tirando governador e presidente, onde acho que contam mais o fator torcida e o fator ideológico, em todos os outros cargos, tanto no executivo quanto no legislativo, o fator principal que ganha uma eleição é dinheiro prá propaganda.
Existe uma certa histeria em relação à urna eletrônica, mas acho que no tempo das cédulas de papel a possibilidade de fraude era, de longe, MUITO maior.
John,
Não poderia usar qualquer coisa não. Tente ficar mais de 2 minutos na cabine de votação e o mesário vai lá perto perguntar se você precisa de ajuda. Mais de 5 minutos e ele vai seriamente desconfiar de algo. A janela, portanto, seria de 2 a 3 minutos por urna, se você for um bom ator e conseguir fingir que não sabe nada de urna (é bom que seja alguém idoso ou mostrando ser analfabeto para facilitar). E sem poder chegar perto da urna com muito volume pois também geraria desconfiança.
Sinceramente, é praticamente impossível fazer algo em 3 minutos sem deixar rastros (e provavelmente ser preso). Isso por urna. E ainda teria que achar centenas ou milhares de pessoas que quisessem, pudessem e estvissem aptas a perpetrar um ataque a um número significativo de urnas. Pouco viável.
A urna nem precisaria ser 100% segura a ataques, basta que fosse 100% segura a ataques não-instantâneos (< 5 minutos) ou remotos. Como a urna é 100% offline e a votação deveria durar segundos, vai ser bom assim para quebrá-la nesse tempo. O risco maior seria alguém "preparar" a urna nos TREs, mas há uma longa série de cuidados para que isso não ocorra.
Flávio
Realizar a alteração pela cabine é, digamos, pouco provável. Seria mais fácil corromper boa parte dos TREs. A urna pode ser lacrada, mas o iPod também é, e com as ferramentas adequadas rapidamente se abre um iPod, nada é efetivamente 100% lacrado.
Minha dúvida é quando ao hardware interno, com o devido acesso ao mesmo uma espécie de “miniurna” poderia ser inserida, esta “miniurna”, tomaria o controle do teclado e da tela e os virtualizaria para a urna original. Por exemplo, se eu votar no candidato nº 54, irá aparecer para mim o que aparece para todos em uma urna normal, o “obrigado pelo seu voto” e tudo mais, só que na verdade um teclado virtualizado estaria falsamente dizendo para a urna que o candidato votado foi o nº 32.
O gasto com esta operação pode até ser alto, algo como R$300 (hipotético) por urna. Mas ainda seria um método mas efetivo e econômico para o candidato ladrão, já que o mesmo normalmente gastaria milhões, com camisetas, colchões, panfletos, propaganda no carro de som, boca de urna, boné, cestas básicas, etc.
Lembrando que a segurança planejada para os TREs até pode ser ultra, mas na prática tudo é diferente, sabe como é né.
Outro teste que acho interessante seria, metrancar a urna de informações aleatórias, em busca de uma falha de exceção, aquelas que o Flash tem aos milhares.
Marcos Alex.
“Passagens e moradia você também teria de gastar se fosse para a capital do estado ou pra qualquer lugar que não fosse a sua casa.”
Com certeza. Mas posso te garantir que não gastaria mais que R$ 100 com passagens e estadias, caso fosse na capital de meu estado, ainda mais que há algo chamado, parentes e amigos, que costumam morar na capital de seu estado. Enquanto que R$ 100 não pagaria nem a passagem de ida para Brasília.