dec 31, 2014 - A auditoria oficial das eleições de 2014,
concluiu que o nosso processo é inauditável,
ou seja, ele não produz elementos que
comprovem a lisura e a segurança do pleito.
Description:
A auditoria oficial das eleições de 2014, concluiu que o nosso processo além de antiquado é inauditável, ou seja, ele não produz elementos que comprovem a lisura e a segurança do pleito. Devemos confiar no anúncio do TSE, pois a auditoria não conseguiu concluir se a Dilma foi eleita ou se o Aécio foi derrotado. Isso está escrito no relatório final . São 217 páginas de terror ao ler sobre todas as restrições impostas pelo TSE que limitavam procedimentos e técnicas de auditoria. Aqui temos um resumo :
1. A imposição das resoluções TSE 23.397 e 23.399 ambas de 2013, como normas para a auditoria a ser realizada (auditado impondo regras) e que versam sobre procedimento para antes e durante as eleições, nunca para a apuração. Logo a seguir, atendendo a sua própria resolução, proibiram vários procedimentos forenses por não estarem previstos nas próprias normas impostas.
2. O TSE impôs a exigência de formalização jurídica no controle do processo de auditoria levando a um forte formalismo burocrático que exigia a submissão por escrito das perguntas mais básicas. Levaram dois meses para entregar os dados digitais solicitados inicialmente. O volume dos dados entregues, referentes a todas as urnas do Brasil, era de 360 GB, incluindo mais de 2,1 milhões de arquivos de dados (BU, RDV, logs, etc.) e mais de 2 bilhões de registros de log a serem processados e analisados.
3. A coleta de dados das urnas não foi permitida por cópia direta do conteúdo das suas mídias, mas sim indiretamente, usando os programas do TSE, que geraram novas mídias diferentes das que foram utilizadas na apuração. Problema grave, pois os dados foram gerados pelo próprio programa que estava sob auditoria, comprometendo o resultado final.
4. A autoridade eleitoral determinou que o software eleitoral seria analisado durante 10 dias uteis, nas dependências do TSE, usando os arquivos extraídos do DVD oficial lacrado antes da eleição.
5. Foi rejeitada pelo TSE a participação de duas pessoas na equipe de auditores, sob a alegação de que as presenças atentariam contra a soberania nacional:
6. Analista de Segurança Rodrigo Branco (engenheiro pelo ITA, Principal Security Researcher na Intel Corporation)
7. Alex Halderman (Professor Associado em Ciência da Computação na Universidade do Michigan e diretor do Center for Computer Security and Society).
8. Aconteceram problemas nos lacres, na votação paralela, na quantidade de votos gravados pela negação de entrega dos arquivos de BU, RDV, log e de eleitores aptos e faltosos para se verificar a consistência dos totais de votos válidos.
9. A autoridade eleitoral alegou “questão de sigilo” e recusou-se a fornecer uma descrição dos requisitos de segurança e as normas técnicas adotadas no projeto do sistema eleitoral. Não foi possível afastar as hipóteses de que, de fato, a autoridade eleitoral não possui uma relação formal de requisitos de segurança no projeto das urnas, ou seja, o sistema eleitoral eletrônico brasileiro não está em conformidade com qualquer norma técnica reconhecida de projeto voltado à segurança.
10. O TSE optou por criar sua própria autoridade certificadora, que não passa por qualquer auditoria externa ou pela certificação oficial da ICP-Brasil. Sendo assim, o certificado raiz, bem como todos os demais certificados utilizados no processo eleitoral, são gerados pelo próprio TSE, de modo que não tem como validar os certificados do TSE. O certificado raiz não é público para ser conferido ou usado na conferência das demais assinaturas digitais.
11. O software do sistema eleitoral é de grande porte (mais de 50 mil arquivos e 17 milhões de linhas de código fonte) e deveria ser considerado de missão crítica. A documentação do software disponibilizada para análise mostrou-se incompleta e inconsistente com a correspondente parte do código-fonte, o que dificultou sua validação e denotou a insuficiência em boas práticas em Engenharia de Software voltadas a projetos de grande porte e de missão crítica. Essa falha já havia sido apontada no relatório COPPE-UFRJ de 2002.
12. O DVD oficial lacrado com códigos fonte e compilados do sistema eleitoral, não continha a biblioteca de segurança desenvolvida pela ABIN, nem o firmware do BIOS e do circuito de segurança MSD (Master Secure Device) desenvolvidos pela fabricante das urnas (Diebold). A autoridade eleitoral não tem posse nem domínio dos mesmos, recusando-se a apresentar os códigos fonte e compilado do firmware sob a alegação de que tais itens não constavam do pedido inicial.
13. A análise do código ocorreu durante 10 dias em ambiente controlado pelo TSE. Não era permitido realizar cópia, análise dinâmica(debug) e compilação do código fonte. Só foi possível realizar análise estática do código fonte.
14. O aplicativo CppCheck, apontou mais de 1000 trechos identificados como erros e mais de 2000 alertas, incluindo vulnerabilidades graves como “buffer overflow”, ou seja, embora tenha sido apresentado como o código oficial que foi para a urna, aquilo nunca compilaria.
15. O TSE optou pelo Linux com kernel congelado na versão 2.6.16.62 de 2009, no qual foram feitas alterações em drivers de dispositivos e em utilitários do SO, pelo TSE e por seus fornecedores. Foram observados dezenas de pontos críticos nas alterações introduzidas, mas, sob as condições restritas de trabalho (pouco tempo e somente análise estática), não foi possível elaborar uma análise conclusiva sobre as potenciais vulnerabilidades encontradas.
16. O TSE não permitiu acesso aos programas compiladores nem compilar o código fonte da urna.
17. Foi avaliado o estado dos lacres de 684 urnas eletrônicas de 18 Estados, encontrando irregularidades em aproximadamente 21% das urnas examinadas, tais como lacres fixados com sinal de rompimento, lacres descolados sem sinais de rompimento e lacres com numeração incorreta. Constatou-se que, nesses casos, nenhuma observação constava nas respectivas atas da seção eleitoral e que nenhuma providência administrativa foi gerada por motivo de lacres danificados ou soltos durante a eleição.
18. Testes revelaram ainda que se um lacre for retirado com cuidado, colado sobre um papel adesivo branco e depois reaplicado no seu lugar, facilmente passara despercebido por uma inspeção não profissional como a que normalmente é feita pelos eleitores e fiscais de partidos nas seções eleitorais.
19. O Teste de Votação Paralela (TVP), anunciado como uma das salvaguardas de segurança mais importantes do sistema eleitoral e procedimento obrigatório por lei, constatou sinais evidentes de uso fora das “condições normais de votação”. Nas urnas com biometria avaliadas, a liberação de votos por senha do mesário foi superior a 98%, enquanto em eleições normais este número fica abaixo de 7%. Sob essas condições, não seria difícil para um eventual programa malicioso detectar com elevada confiança, que está sob o teste e mudar seu comportamento.
20. O caso das urnas com biometria e ainda mais grave, porque elas são incompatíveis com esse tipo de teste legal ao exigirem liberação repetida do eleitor pelo mesário. Repito, a urna biométrica é incompatível com o teste mais importante de validação de uma votação. Sua adoção reduz a segurança e a confiança do equipamento.
21. Verificou-se que os computadores dos Cartórios Eleitorais que executam o sistema de geração das mídias usadas na carga e preparação das urnas eletrônicas, não têm qualquer restrição quanto a sua conexão à Internet, viabilizando o acesso remoto às mídias quando geradas. Essa constatação contraria o que é costumeiramente divulgado como “salva-guarda” do sistema eleitoral por ausência de conexão com a Internet nos pontos críticos do processo.
22. A empresa Smartmatic foi alvo de várias denúncias em fraudes eleitorais em outros países, bem como de um esquema de fraude na totalização dos votos no Brasil, desde 2012, vem sendo contratada pelo TSE e por alguns TRE para fornecimento, entre outros, dos seguintes serviços: Procedimentos de atualização de software embarcado; Atualização dos certificados digitais nas urnas; Preparação, instalação e carga de software de eleição (até 1/3 podendo ser executado em outro local que não o de armazenamento); Testes e operacionalização das urnas eletrônicas; Suporte à geração B.U.; Recepção de mídias e transmissão dos boletins de urna (BU), via sistema de apuração. Esses são, claramente, serviços críticos.
Added to timeline:
A saga do voto impresso no Brasil
Date:
