Testes de Penetração em Urnas Eletrônicas

1. O que é Teste de Penetração

Testes de Penetração é a denominação técnica para testes de resistência contra ataques intencionais em sistemas informatizados complexos, onde se permite que pessoas capazes possam tentar burlar as defesas de segurança do sistema.

A finalidade dos testes de penetração é descobrir falhas de segurança, ignoradas pelos projetistas, de forma a permitir a correção das falhas antes do sistema entrar em operação regular.

Existem normas técnicas internacionais e brasileiras que estabelecem os Critérios Básicos de Avaliação da Segurança em Sistemas Informatizados, como a ISO 15.408 conhecida como Common Criteria, que indicam o uso de testes de penetração como ferramenta adequada para avaliação da confiabilidade de sistemas.

Em dezembro de 2005 e em maio de 2006, foram publicados pela ONG Black Box Voting (BBV) dois relatórios do especialista em informática Harri Hursti contendo o resultado de Testes de Penetração desenvolvidos sobre as máquinas eletrônicas de votar modelos TSx fabricadas pela empresa Diebold.

Em setembro de 2006 foi o Center for Information Technology Policy da Universidade de Princeton que publicou um relatório e um vídeo também desenvolvidos sobre as urnas TSx da Diebold.

Os testes revelaram a possibilidade de se adulterar o software daquelas máquinas de votar em menos de um minuto e sem que as suas defesas lógicas detectem a adulteração.

Como são máquinas feitas pelo mesmo fabricante que as urnas-e brasileiras e similares em seus aspectos de segurança, de imediato sugerem que as máquinas brasileiras também deveriam passar por tais testes.

Porém, até o momento (agosto de 2008) o Tribunal Superior Eleitoral tem impedido o desenvolvimento de Testes de Penetração nas urnas-e brasileiras sob alegações falaciosas e com obscurantismo como se procura demonstrar com a documentação apresentada a seguir.

2. Um Teste de Penetração em 1934

A Justiça Eleitoral brasileira afirma enfaticamente, em sua propaganda oficial, a absoluta segurança de suas urnas eletrônicas. Mas, por outro lado, tem rejeitado qualquer possibilidade de se efetuar Testes de Penetração que possam confirmar sua propaganda.

Mas nem sempre a Justiça Eleitoral brasileira agiu desta forma obscurantista e autoritária.

Nos idos de 1934 (é mil novecentos e trinta e quatro, mesmo), ainda respirando os ares de sua fundação em 1932 para moralizar o processo eleitoral, que então tinha a fama de regularmente fraudado pela "Política do Café com Leite" e pelo "voto a bico de pena", registrou-se um caso que enriqueceu sua história.

No então denominado Tribunal Regional de Justiça Eleitoral de São Paulo houve uma licitação para a confecção de urnas de aço (2.000 urnas). A licitação foi ganha pelo Lyceu de Artes e Ofícios. Quando as urnas foram apresentadas houve denuncia de que era possível abrir as urnas com uma técnica pouco conhecida: a chave do tipo "micha".

O então diretor da Escola de Polícia, Moysés Marx, que acompanhara o projeto das novas urnas foi designado para proceder às investigações e criou-se uma Comissão de Investigação composta por técnicos de renome como Luis Ignácio de Anhaia Mello e outros da Escola Politécnica da USP.

A Comissão decidiu pela realização de um teste oficial sobre a segurança daquelas urnas, até então ditas "invioláveis". Hoje o teste seria chamado de "Teste de Penetração" e consistiu em se levar ao Tribunal o cidadão que dizia saber abrir a urna sem deixar vestígios e permitir-lhe demonstrar o que afirmava.

O teste teve sucesso. Uma falha de segurança foi encontrada, o que levou ao aperfeiçoamento posterior do mecanismo de tranca das urnas.

Dentro do espírito de transparência que levou à criação da Justiça Eleitoral em 1932, todo o desenrolar deste evento foi devidamente registrado, dia após dia, no Diário Oficial da época.

Eram tempos em que vigorava o Princípio de Transparência da Coisa Pública no processo eleitoral!

3. Os não-testes nas Urnas-E Brasileiras

Desde o ano 2000, os partidos políticos que se apresentam para acompanhar o desenvolvimento dos sistemas informatizados de eleição, normalmente o PT e o PDT, têm apresentado petições ao TSE solicitando permissão para efetuarem testes de penetração nas urnas eletrônicas com o intuito de verificarem ou não a existência de falhas no esquema de segurança projetado.

Em 2000 e 2002, os pedidos apresentados à Secretaria de Informática do TSE foram simplesmente ignorados e nenhuma resposta oficial foi dada. Extra-oficialmente, demonstrando total incompreensão da função de testes de penetração, dizia-se que não queriam permitir que os testes "desmoralizassem" as suas urnas eletrônicas.

Em 2004, o PT voltou a apresentar um pedido à Secretaria de Informática do TSE para que lhe fosse permitido testar o sistema de embaralhamento dos votos. Desta vez, houve resposta oficial. Negaram o pedido "por falta de previsão na regulamentação". O que não disseram é que a tal "regulamentação" fora escrita pela própria Secretaria de Informática do TSE.

Por sua vez, o PDT tentou em 2004 apresentar sua petição diretamente ao Ministro Presidente do TSE, na esperança que sua imparcialidade pudesse levar a aprovação da petição.

Vã esperança!

O Ministro Sepulveda Pertence, então presidente do TSE, remeteu a petição à Secretaria de Informática a qual respondeu que suas urnas-E eram invulneráveis como deveria saber o autor da petição. Com esta falaciosa resposta em mãos, o presidente do TSE deu sua decisão "largamente" justificada em uma linha manuscrita: "comunique-se ao interessado (que ele deveria saber que o sistema é invulnerável) e arquive-se" !

Em junho de 2006, o PT e o PDT resolveram apresentar uma petição conjunta para poder efetuar um Teste de Penetração nas urnas-e brasileiras. Até este momento (novembro de 2008) esta petição ainda não foi oficialmente respondida como se descreve a seguir.

4. A Petição Conjunta PT e PDT em 2006 - atualizado em agosto de 2008

Em 08 de junho de 2006, o Partido dos Trabalhadores, PT, e o Partido Democrático Trabalhista, PDT, apresentaram a Petição Conjunta PET TSE nº 1896/2006, solicitando ao TSE permissão para efetuar testes de vulnerabilidades contra ataques nas urnas eletrônicas, também chamados de testes de penetração.

No dia 23 de maio de 2007, o Secretário de Informática do TSE, Sr. Guizeppe Janino, em audiência pública na CCJC da Câmara Federal, questionado sobre a demora em permitir os testes de penetração afirmou que os testes seriam permitidos em Novembro de 2007.

A informação era falsa. Diante da omissão do TSE, em junho de 2008 o Partido da República, PR, aderiu à petição do PT e do PDT.

Para conhecer o andamento desta petição acesse o sistema PUSH do TSE para acompanhamento de processos e siga os seguintes passos:

digite 1896
clique em Pesquisar
selecione a PET-1896 ou o protocolo 8708/2006
marque o botão Todos
clique em Visualizar

O resumo da tramitação da PET TSE 1896/06 é:

junho de 2006

é apresentada a petição inicial

maio de 2007

Diretor Geral e Secretário de Tecnologia da Informação (STI) do TSE comparecem a audiência pública na Câmara Federal e informam que os testes de penetração pelos partidos serão feitos em novembro de 2007

junho de 2007

nos autos da PET 1896/06, a STI se manifestou favorável à execução dos testes no mês de novembro de 2007

outubro de 2007

despacho do ministro relator solicita à STI definição dos critérios para a realização dos testes

maio de 2008

através do Contrato TSE 032/2008, foram contratadas a Fundação de Apoio à Capacitação de Tecnologia da Informação - FACTI - e o Centro de Pesquisas Renato Archer - CenPRA - com o objeto de elaboração e análise de testes de vulnerabilidade quanto a segurança do sistema eletrônico de votação

agosto de 2008

diante dos relatórios parciais da FACTI, que apontaram inúmeras falhas de segurança no processo eletrônico de votação, a STI/TSE decide:

manter os relatórios totalmente secretos para impedir que o eleitor brasileiro saiba que o sistema possui vulnerabilidades;
impedir os testes de Penetração solicitados em 2006 pelos Partidos Políticos;
Abandonar, após as eleições de 2008, o projeto atual das urnas eletrônicas por causa dos vícios de segurança insanáveis;
aditar o contrato com a FACTI/CenPRA para tentar desenvolver um novo projeto de urnas eletrônicas mais confiáveis para 2010;
desinformar o público por meio de propaganda falsa: negando a existência de falhas de segurança e afirmando que o Teste de Penetração será permitido em 2010 ! ;

Em resumo, a despeito de reiteradas declarações de transparência do processo eleitoral e da invulnerabilidade do seus sistema eletrônico de votação, o andamento desta petição revela que a atual Administração Eleitoral brasileira perdeu totalmente o espírito de transparência que a norteava durante os Testes de Penetração em 1934

5. Casos Anteriores - a Recusa do TSE em 2004

Você pode baixar o arquivo .DOC com a Petição do PDT em 2004, protocolizada sob número: Protocolo TSE n 14307/2004.

Segue abaixo o fac simile das 3 páginas com a negativa oficial do TSE à petição para testes de penetração apresentada pelo PDT em 2004.

Na primeira página se pode ver o despacho manuscrito do presidente do TSE mandando dar ciência ao autor e arquivar o pedido. Na segunda página está o argumento central de que o autor devia tomar conhecimento:

"... a agremiação impugnante indicou o técnico Amílcar Brunazo Filho, o qual teve oportunidade de conhecer e verificar todos os procedimentos de segurança adotados pela Justiça Eleitoral que inviabilizam qualquer ataque e ou alteração dos sistemas eleitorais e da urna eletrônica. "

Em resumo, ao pedido para efetuar testes de penetração nas urnas eletrônicas, o presidente do TSE respondeu que o autor do pedido sabia (ou deveria saber) que é inviável qualquer tipo de ataque contra as defesas de suas urnas eletrônicas... e impediu os testes.

Diante desta atual postura autoritária e obscurantista da Justiça Eleitoral há que se lamentar a perda daquele espírito democrático e transparente que a guiava em 1934.