Testes de Penetração em Urnas Eletrônicas

- atualizado em dezembro 2010 -


ÍNDICE
  1. O que é Teste de Penetração
  2. Um Teste de Penetração em 1934
  3. Teste nas Urnas-E brasileiras no Paraguai
  4. Testes nas Urnas-E Diebold norte-americanas
  5. Teste nas Urnas-E Nedap da Holanda - em inglês
  6. Teste Verdadeiro nas Urnas-E da Índia

  7. Os Falsos Testes na Índia e no Brasil
  8. Testes Livres ou Restritos ?
  9. Painel na FGV-RJ - Um Desafio Lançado

 
Voltar ao Índice
Artigos e Textos
do Voto Eletrônico

1. O que é Teste de Penetração

       Testes de Penetração é a denominação técnica para testes de resistência contra ataques intencionais em sistemas informatizados complexos, onde se permite que pessoas capazes possam tentar burlar as defesas de segurança do sistema.

       A finalidade dos testes de penetração é descobrir falhas de segurança, ignoradas pelos projetistas, de forma a permitir a correção das falhas antes do sistema entrar em operação regular.

       Existem normas técnicas internacionais e brasileiras que estabelecem os Critérios Básicos de Avaliação da Segurança em Sistemas Informatizados, como a ISO 15.408 conhecida como Common Criteria, que indicam o uso de testes de penetração como ferramenta adequada para avaliação da confiabilidade de sistemas.

       A partir de dezembro de 2005, em vários países, testes de penetração livres e bem sucedidos foram desenvolvidos em máquinas de voto eletrônico, inclusive sobre urnas-e brasileiras usadas no Paraguai e sobre urnas americanas feitas pelo mesmo fabricante das urnas brasileiras.

       Um junho de 2009, as autoridades eleitorais da Índia e do Brasil, programaram testes de penetração controlados (não livres), isto é, sob o jugo de regras restritivas, que resultaram em insucesso.

       Em abril de 2010, as urnas indianas foram submetidas a um teste livre e bem sucedido mostrando que as regras restritivas foram as verdadeiras causadoras do insucesso nos testes oficiais no Brasil e na Índia.

       Neste artigo são apresentados comentários sobre todos estes testes realizados em urnas eletrônicas do Modelo DRE (Direct Recording Electronic) em todo o mundo.



2. Um Teste de Penetração em 1934

       A Justiça Eleitoral brasileira afirma enfaticamente, em sua propaganda oficial, a absoluta segurança de suas urnas eletrônicas. Mas, por outro lado, tem rejeitado qualquer possibilidade de se efetuar Testes de Penetração livres que possam confirmar sua propaganda.

       Mas nem sempre a Justiça Eleitoral brasileira agiu desta forma obscurantista e autoritária.

       Nos idos de 1934 (é mil novecentos e trinta e quatro, mesmo), ainda respirando os ares de sua fundação em 1932 para moralizar o processo eleitoral, que então tinha a fama de regularmente fraudado pela "Política do Café com Leite" e pelo "voto a bico de pena", registrou-se um caso que enriqueceu sua história.

       No então denominado Tribunal Regional de Justiça Eleitoral de São Paulo houve uma licitação para a confecção de urnas de aço (2.000 urnas). A licitação foi ganha pelo Lyceu de Artes e Ofícios. Quando as urnas foram apresentadas houve denuncia de que era possível abrir as urnas com uma técnica pouco conhecida: a chave do tipo "micha".

       O então diretor da Escola de Polícia, Moysés Marx, que acompanhara o projeto das novas urnas foi designado para proceder às investigações e criou-se uma Comissão de Investigação composta por técnicos de renome como Luis Ignácio de Anhaia Mello e outros da Escola Politécnica da USP.

       A Comissão decidiu pela realização de um teste oficial sobre a segurança daquelas urnas, até então ditas "invioláveis". Hoje o teste seria chamado de "Teste de Penetração" e consistiu em se levar ao Tribunal o cidadão que dizia saber abrir a urna sem deixar vestígios e permitir-lhe demonstrar o que afirmava.

       O teste teve sucesso. Uma falha de segurança foi encontrada, o que levou ao aperfeiçoamento posterior do mecanismo de tranca das urnas.

       Dentro do espírito de transparência que levou à criação da Justiça Eleitoral em 1932, todo o desenrolar deste evento foi devidamente registrado, dia após dia, no Diário Oficial da época.

       Eram tempos em que vigorava o Princípio de Transparência da Coisa Pública no processo eleitoral!



3. Teste nas Urnas-E brasileiras no Paraguai


Urna brasileira usada em 2006 no Paraguai

O teste livre e bem sucedido foi publicado em maio de 2006.

[ Veja aqui os detalhes do teste ]





4. Testes nas Urnas-E Diebold norte-americanas


Urna AccuVote TS da Diebold

       Até o momento (2010) já foram publicados teste de penetração livres bem sucedidos em 6 modelos de urnas-E usadas nos EUA, dos quais destacamos os testes nas urnas Diebold AccuVote TS por serem modelos de arquitetura de segurança (DRE) idêntica e feitas pelo mesmo fornecedor das urnas-E brasileiras.

  • dez/2005 a mai/2006 - Testes da Black Box Voting nas Urnas Diebold americanas
  • set/2006 - Página do Teste em Princeton nas Urnas Diebold americanas - em inglês
  • Vídeo do Teste em Princeton - com legenda em português
  • Relatório do Teste em Princeton - em inglês


  • 5. Teste nas Urnas-E Nedap da Holanda


    Urna holandesa da Nedap

    Os testes livres e bem sucedidos encerram-se em outubro de 2006.

    [ Veja aqui os detalhes do teste ] - em inglês



    6. Teste Verdadeiro nas Urnas-E da Índia


    Urna indiana EVM

           Em abril de 2010, seis meses depois dos falsos testes patrocinados pela Comissão Eleitoral da Índia, especialistas indianos trabalhando junto com os técnicos de Princeton e da Holanda, publicaram o resultado de testes livres e bem sucedidos nas Urnas-E indianas.

  • Página do Teste Livre nas Urnas-E da Índia - em inglês
  • Vídeo do Teste Livre nas Urnas-E da Índia - em inglês
  • Relatório do Teste Livre nas Urnas-E da Índia - em inglês
  •        As urnas indianas possuem diferenças de segurança em relação às urnas brasileiras, como possuirem software fixo não modificado a cada eleição, o que as tornam mais difíceis de serem atacadas. Mas ambas ainda são do tipo DRE (Direct Recording Electronic), também chamadas de caixa-pretas eleitorais (Black-Box Voting Machines), e estes testes livres mais uma vez demonstraram a absoluta vulnerabilidade das máquinas DRE.



    7. Os Falsos Testes na Índia e no Brasil

           Em julho de 2009, quase simultaneamente, as autoridades eleitorais da Índia e do Brasil, decidiram permitir testes de penetração restritos (não-livres) em suas máquinas de votar. As regras impunham condições bastante limitadoras.

           O teste oficial regulado e controlado pela Comissão Eleitoral da Índia, ocorreu entre 03 e 08 de agosto de 2009, conforme notas a imprensa de convocação e de comunicação do resultado. A maioria dos críticos não concordaram com as limitações impostas e não se apresentaram para os testes. Assim, só se apresentaram uns poucos convidados não-especialistas e o resultado foi que ninguém teve sucesso em demonstrar vulnerabilidades nas urnas-E indianas.

           No Brasil tudo ocorreu de forma muito parecida. O teste oficial regulado e controlado pelo Tribunal Superior Eleitoral, ocorreu entre 10 e 13 de novembro de 2009, portanto, três meses após os testes na Índia. Os partidos políticos que haviam pedido permissão para efetuar os testes desde 2006 (PT, PDT e PR) e muitas pessoas capacitadas também não concordaram com as limitações impostas e não se apresentaram para os testes.

           Como não havia nenhuma inscrição feita até o dia 09/10, véspera do final do prazo de 30 dias para as inscrições, o TSE enviou convites formais a diversas entidades governamentais e fornecedores, como demonstram os documentos seguintes:

  • 09/10/2009 - Ofício 4.687/GP do TSE à Marinha - enviado na véspera do encerramento das inscrições
  • 18/10/2009 - Ofício 30-644/MB da Marinha ao TSE - inscrevendo seu pessoal 5 dias depois de encerrado o prazo
  •        Foi assim que o TSE anunciou a inscrição de 37 pessoas, a maioria delas funcionários públicos designados para uma tarefa (hackerismo e violação de sistemas eletrônicos) para a qual, com certeza, não possuiam habilitação específica.

           Aos testes, propriamente dito, só compareceram 20 pessoas, sendo 7 civis e 13 funcionários públicos, assim distribuídos:

    • 1 pessoa física
    • 1 da ONG ISSA-capitulo Brasil
    • 5 da empresa Cáritas
    • 4 do Ministério Público
    • 2 do STJ
    • 1 do TST
    • 5 da Marinha
    • 1 da Polícia Federal
           Mais 6 funcionários da CGU compareceram apenas para apresentar um relatório que trouxeram pronto, com sugestões sobre regulamentação eleitoral. NÃO FIZERAM NENHUM TESTE.

           O TSE chegou a disponibilizar em seu portal os relatórios oficiais dos testes, mas logo os retirou porque neles se comprova que não eram 37 os participantes do teste. Por exemplo, pode-se ver na pág. 36 que os funcionários da CGU iniciaram sua participação às 15:45 h e entregaram seu relatório já pronto às 15:46 h.

           Nenhuma dessas 20 pessoas que realmente participaram do teste tinha histórico ou experiência anterior bem sucedida em invasão de sistemas e adulteração de programas compilados. Vários, com os quais conversamos, nem sabiam o que era "modo protegido do micro-processador", conhecimento essencial para quem se apresenta para tal empreitada.

           O pessoal que se apresentou pela ISSA, STJ, TST e PF mostraram-se totalmente despreparados para a tarefa. Compareceram por apenas umas poucas horas, mostraram completo desconhecimento prévio sobre o sistema e apresentaram propostas ingênuas ou inócuas de penetração.

           Enfim, os "investigadores" que participaram do teste a convite do TSE, nem de longe tinham nível ou conhecimento técnico para serem chamados de hackers, o que não é nenhum demérito pessoal, pois não é qualificação peculiar e necessária para funcionários públicos. Sobre a falta de capacitação desse pessoal, leia-se o artigo Hackers ou "Rackers" ? de Maria Aparecida Cortiz.

           Assim, o resultado dos testes de penetração oficiais não-livres no Brasil também foi fraco: apenas a pessoa física teve sucesso em quebrar a inviolabilidade do voto e ninguém das equipes convidadas pelo TSE teve sucesso em modificar o resultado das urnas-E.



    8. Testes Livres ou Restritos ?

           Salta à vista a total correlação entre o sucesso do teste de penetração e a forma como ele é executado (livre ou sob restrições). Em 100% dos testes livres, obteve-se sucesso na penetração. Em 100% dos testes restritos, não se teve sucesso.

           É evidente e irrefutável que as regras restritivas impostas pelas autoridades eleitorais da Índia e do Brasil afetaram de forma determinística o resultado do teste, provocando o insucesso.

           Como o objetivo óbvio de se submeter urnas eletrônicas a testes de penetração seria tentar se descobrir falhas de segurança para aperfeiçoar os sistemas, não há o menor sentido em se organizar testes com regras restritivas que impedem que se encontre e se revelem tais falhas.

           Nesse sentido, os administradores eleitorais dos dois países mostraram-se incapazes de organizar testes que encontrem as fragilidades. O caso da Índia demonstra de forma definitiva: sob a tutela do administrador eleitoral o teste não revelou nada. Quando livre, o teste fez aflorar as fragilidades do sistema.

           Em dezembro de 2010, após estes testes oficiais muito semelhantes (no timing, nas restrições e no insucesso), a Comissão Eleitoral de Índia e o TSE assinaram um acordo de colaboração mostrando que continuam tentando defender as suas urnas eletrônicas de modelo DRE, mesmo que isso signifique ir de encontro à lógica, ao bom senso e a toda produção científica e acadêmica na área da segurança eleitoral.



    9. Painel na FGV-RJ - Um Desafio Lançado

           Desde 2000, os partidos políticos que têm comparecido ao TSE para acompanhar a apresentação dos sistemas, têm proposto ao administrador eleitoral que sejam permitidos testes livres de penetração, mas nunca foram atendidos.

           Em 03 de dezembro de 2010, o Prof. Alex Halderman (de Princeton) e do hacker holandês Rop Gonggrijp - que em conjunto participaram de 9 testes de penetração bem sucedidos em urnas eletrônicas DRE - apresentaram-se no painel Eleições e Tecnologia dentro do Seminário Interfaces 10, promovido pelo Fundação Getúlio Vargas no Rio de Janeiro.

           Veja o vídeo completo (1 h) do debate na FGV para o qual também foram convidados o Prof. Jorge Stolfi da UNICAMP e do CMind, o Sr. Guizeppe Janino (Secretário de TI do TSE) e o sr. Fernando Nery (diretor da Módulo, fornecedor do sistema SIS de segurança eletrônica ao TSE). Infelizmente os Srs. Janino e Nery não compareceram para defender a posição oficial do TSE.

           Ao final do debate, Halderman e Gonggrijp manisfestaram interesse em testar as urnas brasileiras em condições adequadas, isto é, sem as restrições artificiais que provocaram o insucesso do teste oficial do TSE em 2009.

           Apresentado por gente de inegável qualificação acadêmica internacional, o desafio está lançado à autoridade eleitoral brasileira e aos seus técnicos do Comitê Multidisciplinar do TSE, que desde 2000, com retórica diversionista, vêm se desviando e têm impedindo testes reais de segurança em suas urnas DRE.

    Em tempo: no dia 12 de dezembro de 2010, dois dias antes de ser assinado o acordo de colaboração eleitoral Brasil-Índia, Halderman e Gonggrijp chegaram à Nova Delhi, Índia, para participar do painel "Security Issues in Electronic Voting" dentro do 6º International Conference on Information Systems Security- ICISS 2010, mas foram retidos pelas autoridades indianas e só foram liberados depois de cancelado o debate, no qual também participaria o pesquisador indiano Hari K. Prasad.
    Voltar ao Índice
    Artigos e Textos
    do Voto Eletrônico
    Voltar ao Índice
    Artigos e Textos
    do Voto Eletrônico
    Voltar ao Índice
    Artigos e Textos
    do Voto Eletrônico
    Voltar ao Índice
    Artigos e Textos
    do Voto Eletrônico
    Voltar ao Índice
    Artigos e Textos
    do Voto Eletrônico
    Voltar ao Índice
    Artigos e Textos
    do Voto Eletrônico
    Voltar ao Índice
    Artigos e Textos
    do Voto Eletrônico
    Voltar ao Índice
    Artigos e Textos
    do Voto Eletrônico
    Voltar ao Índice
    Artigos e Textos
    do Voto Eletrônico
     
    Voltar ao Índice Artigos e Textos
    do Voto Eletrônico