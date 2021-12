Responsável pelo teste que comprovou falhas na segurança da urna eletrônica em 2012, Diego Aranha tem passagens pela Universidade de Brasília (UnB) e pela Unicamp, onde leciona hoje. Crítico da falta de transparência do processo, ele reclama que “não existem maneiras para um especialista independente e apartidário examinar o software de votação”.



A urna eletrônica brasileira é inviolável?

A pergunta correta não é necessariamente essa, pois nenhum equipamento é absolutamente inviolável. O objetivo da área de segurança é projetar mecanismos que resistam a um atacante com recursos compatíveis com ameaças do mundo real. No cenário de votação eletrônica, esse atacante é um fraudador eleitoral, munido de recursos financeiros e políticos substanciais.



Agora respondendo à pergunta mais específica: a urna eletrônica brasileira é segura contra um fraudador com essas características?



Categoricamente, não. Os principais problemas de segurança que encontramos na urna eletrônica estão exatamente ligados aos dois requisitos fundamentais para a lisura das eleições: sigilo e integridade dos votos. Durante os testes de segurança de que participei, encontramos uma vulnerabilidade que nos permitiu derrotar o único mecanismo de segurança implementado na software da urna para proteção do sigilo do voto.



Em 2012, o senhor coordenou a equipe que burlou a segurança da urna e verificou que é possível identificar a ordem dos votos. Houve alguma melhoria desde então?



A falta de transparência é endêmica em todo o processo. Não posso dizer que houve melhoria – ou regressão – de segurança no software de votação porque não existem maneiras para um especialista independente e apartidário examinar o software de votação. O TSE optou por não realizar testes públicos de segurança em 2014, única possibilidade que existia para se verificar a correção de problemas. Do ponto de vista da segurança de processos, o TSE anunciou recentemente a criação de um Grupo de Segurança, cujos objetivos incluem mapear requisitos de segurança e elaborar um plano nacional de ação.



Ainda existe a possibilidade de voto de cabresto, com acompanhamento de quem votou em quem?



Não tenho evidências a favor ou em contrário. O TSE alega ter corrigido a vulnerabilidade específica que encontramos, mas não sabemos de fato se qualquer alteração foi feita nem se a possível alteração representa melhoria, por simples falta de transparência. Em princípio, o sigilo do voto continua vulnerável, pois o dispositivo que identifica os eleitores é diretamente ligado à urna eletrônica por um cabo de comunicação, o que indica que a ligação entre eleitor e voto existe em algum momento na memória do equipamento, podendo ser capturada por software de votação malicioso. É sempre recomendável uma separação entre os dois terminais, conservando a exigência de que cada eleitor pode votar uma única vez. Há tecnologia simples para isso, ao contrário do que alega o TSE.



Após o início do uso dessas urnas eletrônicas no Brasil, o investimento em modernização dos equipamentos acompanharam as mudanças tecnológicas da sociedade?



Não, no sentido de que mecanismos de segurança continuam sendo projetados e implementados de maneira precária. Atualmente, a área de segurança se preocupa muito com agentes internos, que possuem acesso privilegiado às organizações, e atacantes chamados persistentes, pois são direcionados a um objetivo específico e bem-remunerados financeiramente. É inegável que os incentivos econômicos para se fraudar uma eleição são gigantescos, e o conhecimento para se contornar mecanismos de segurança está cada vez mais difundido na sociedade. A segurança da urna eletrônica, e talvez de maneira mais preocupante, dos processos de desenvolvimento associados, não têm acompanhado essas mudanças de paradigma.



A transmissão dos dados para os centros de processamento é segura?



Não posso afirmar, pois tanto a identificação biométrica quanto o sistema de transmissão/totalização foram declarados “fora de escopo” nos testes de segurança de que participei. Entretanto, permaneço cético à possibilidade de uma equipe de desenvolvimento ser capaz de produzir um sistema seguro, mas um sistema de votação cheio de vulnerabilidades, algumas delas clássicas. Não estou falando de tecnicalidades esotéricas, mas vulnerabilidades conhecidas há quase duas décadas.



O que é necessário para que as informações da eleição sejam efetivamente seguras?



Um ganho fundamental da transparência, que aprimora os processos e tecnologias que envolvem eleições. Atualmente, votamos com confiança incondicional na autoridade eleitoral, algo que não faz qualquer sentido do ponto de vista de segurança. Na medida que essa confiança for distribuída entre todos os interessados, sejam eles especialistas da academia e indústria capazes de auditar o sistema, ou eleitores capazes de verificar que seus votos foram registrados corretamente no dia da eleição, a confiabilidade dos resultados naturalmente será aprimorada.

