Relatorio urna

Vulnerabilidades no software da urna
eletrônica brasileira
Diego F. Aranha1
, Marcelo Monte Karam2
, André de Miranda2
, Felipe Scarel2
1
Departamento de Ciência da Computa¸cão – Universidade de Bras´ılia (CIC/UnB)
2
Centro de Informática – Universidade de Bras´ılia (CPD/UnB)
Versão 1.0.2
31 de Mar¸co de 2013
1
Coordenador da equipe.

Resumo
Este relatório apresenta uma análise de seguran¸ca do software da urna
eletrônica brasileira baseada na experiência dos autores enquanto partici-
pantes da 2a edi¸cão dos Testes Públicos de Seguran¸ca do Sistema Eletrônico
de Vota¸cão organizados pelo Tribunal Superior Eleitoral (TSE). Durante
o evento, foram detectadas vulnerabilidades no software que permitiram a
recupera¸cão em ordem dos votos computados. Apresentamos cenários onde
as vulnerabilidades permitem a possibilidade de fraude eleitoral e sugestões
para se restaurar a seguran¸ca dos mecanismos afetados. Também são apon-
tadas outras fragilidades no software e nas práticas utilizadas para confeçcão
do mesmo. Em particular, este relatório versa sobre os principais problemas
de projeto e/ou implementa¸cão de mecanismos de seguran¸ca detectados no
software da urna eletrônica:
• Prote¸cão inadequada do sigilo do voto: os votos são armazenados
fora de ordem, mas é trivial recuperá-los em ordem a partir unicamente
dos produtos públicos de uma elei¸cão e conhecimento superficial do
código-fonte, também de acesso público aos partidos pol´ıticos.
• Cifra¸cão inadequada: a mesma chave criptográfica é utilizada para
cifrar as m´ıdias de todas as urnas eletrônicas. Utilizando a analogia
clássica de um cadeado como abstra¸cão de técnica criptográfica, isto
é equivalente a proteger meio milhão de cadeados com uma mesma
chave, visto ser este o número aproximado de equipamentos em opera-
¸cão. Além disso, a chave que decifra todas as m´ıdias é armazenada às
claras na por¸cão decifrada das m´ıdias. Utilizando a mesma analogia,
isto equivale a esconder a chave do cadeado embaixo do tapete e confiar
no segredo dessa localiza¸cão como fonte de seguran¸ca;
• Utiliza¸cão de algoritmos obsoletos: a fun¸cão de resumo crip-
tográfico utilizada não mais oferece a seguran¸ca esperada para aplica-
¸cão em verifica¸cão de integridade. Esta aplica¸cão espec´ıfica da fun¸cão
escolhida não é mais recomendada há pelo menos 6 anos;
• Formula¸cão equivocada do modelo de atacante: há ênfase de-
masiada no projeto de mecanismos resistentes apenas a atacantes ex-
ternos, quando agentes internos representam risco muito maior;
• Processo de desenvolvimento defeituoso: práticas inseguras per-
mitem a inser¸cão acidental ou maliciosa de vulnerabilidades de soft-
ware, claramente atestando que o processo de desenvolvimento ado-
tado pelo TSE é imaturo do ponto de vista de seguran¸ca;

• Verifica¸cão insuficiente de integridade: o software da urna ele-
trônica verifica sua própria integridade durante o processo de inici-
aliza¸cão, mas toda a informa¸cão necessária para subverter esse me-
canismo encontra-se armazenada nas próprias urnas eletrônicas, com
dificuldades distintas para um ataque, dependendo da presen¸ca do
módulo de seguran¸ca em hardware. Em urnas sem este recurso, o
problema de verifica¸cão é reduzido a si próprio, sem fonte externa de
confian¸ca. Nesse caso, “software auto-verificável” [1] por assinatura
digital equivale a confiar a autenticidade de uma assinatura de punho
em um documento apenas ao testemunho do próprio “autor”, que, as-
sim, pode se passar por quem quiser. É importante ressaltar ainda que
uma assinatura autêntica apenas atesta o processamento do conteúdo
assinado em algum ponto no tempo e espa¸co no qual também estava
presente a chave de assinatura. Mesmo que os mecanismos de veri-
fica¸cão de integridade não sejam contornados e funcionem a contento,
ainda não há qualquer garantia de que o conteúdo do documento é de
fato o desejado, visto que no caso o mesmo (software) tem extensão
da ordem de milhões de linhas (de código). Caso o software possua
vulnerabilidades (como as descritas neste documento), a verifica¸cão de
integridade (quando não subvertida) tem o efeito colateral de garantir
que as mesmas vulnerabilidades estarão presentes em todas as urnas.
A versão do código observada pelos autores apresentava ainda como
desativada a verifica¸cão de integridade de parte do software contido
na urna, evidenciando as limita¸cões intr´ınsecas da técnica.
Mais detalhes a respeito dos problemas acima são fornecidos no decorrer
deste relatório, mas pode-se observar de antemão que várias dos recursos im-
plementados no software da urna eletrônica não representam mecanismos de
seguran¸ca, mas apenas de ofusca¸cão, não resistindo a colaboradores internos
ou atacantes persistentes. Como vários dos problemas encontrados resultam
de falhas arquiteturais ou premissas inadequadas de projeto, é improvável
que a interven¸cão pontual em algumas dessas questões resolva as causas fun-
damentais para a sua ocorrência. É imprescind´ıvel que se execute revisão
cr´ıtica completa dos processos de desenvolvimento de software para que se
estabele¸cam boas práticas que tenham condi¸cões de evitar que novas vulne-
rabilidades sejam inseridas acidentalmente ou intencionalmente por agentes
maliciosos internos ou externos. Como o modelo de urna eletrônica adotado
no Brasil depende exclusivamente da integridade do software para se atin-
gir integridade dos resultados, os problemas discutidos aqui adquirem uma
caráter cr´ıtico e exigem urgência na introdu¸cão de mecanismos que permi-
tam a auditabilidade de resultados independente do software. Apenas com
uma revisão de práticas e instala¸cão de metodologia cient´ıfica para avalia¸cão
cont´ınua do sistema, é poss´ıvel que o software da urna eletrônica satisfa¸ca
requisitos m´ınimos e plaus´ıveis de seguran¸ca e transparência.
2

Sumário
1 Introdu¸cão 3
1.1 Objetivo deste relatório . . . . . . . . . . . . . . . . . . . . . 3
1.2 Visão superficial do sistema . . . . . . . . . . . . . . . . . . . 4
1.3 Organiza¸cão do documento . . . . . . . . . . . . . . . . . . . 5
1.4 Agradecimentos . . . . . . . . . . . . . . . . . . . . . . . . . . 5
2 Testes Públicos de Seguran¸ca 6
2.1 Formato . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
2.2 Objetivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
2.3 Metodologia . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
2.4 Resultados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
2.5 Pontua¸cão . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
2.6 Aprimoramento . . . . . . . . . . . . . . . . . . . . . . . . . . 10
3 Vulnerabilidades 13
3.1 Registro Digital do Voto (RDV) . . . . . . . . . . . . . . . . . 13
3.2 Hipótese . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
3.3 Projeto e implementa¸cão . . . . . . . . . . . . . . . . . . . . . 15
3.4 Ataques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
3.5 Conseqüências . . . . . . . . . . . . . . . . . . . . . . . . . . 18
3.6 Corre¸cões . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
4 Fragilidades 21
4.1 No software . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
4.1.1 Prote¸cão inadequada ao sigilo do voto . . . . . . . . . 21
4.1.2 Fonte inadequada de entropia . . . . . . . . . . . . . . 22
4.1.3 Verifica¸cão insuficiente de integridade . . . . . . . . . 23
4.1.4 Compartilhamento de chaves criptográficas . . . . . . 24
4.1.5 Presen¸ca de chaves no código-fonte . . . . . . . . . . . 25
4.1.6 Cifra¸cão fora dos limites de opera¸cão . . . . . . . . . . 26
4.1.7 Escolha inadequada de algoritmos . . . . . . . . . . . 26
4.1.8 Implementa¸cões repetidas de primitivas criptográficas 27
4.2 No processo de desenvolvimento . . . . . . . . . . . . . . . . . 27
1

4.2.1 Complexidade acentuada . . . . . . . . . . . . . . . . 27
4.2.2 Auditoria externa insuficiente . . . . . . . . . . . . . . 28
4.2.3 Ausência de análise estática de código . . . . . . . . . 28
4.2.4 Formula¸cão equivocada de modelo de atacante . . . . 29
4.2.5 Ausência de exerc´ıcios internos . . . . . . . . . . . . . 29
4.2.6 Falta de treinamento formal . . . . . . . . . . . . . . . 30
4.2.7 Disponibiliza¸cão de dados cr´ıticos aos investigadores . 30
4.2.8 Ignorância da literatura relevante . . . . . . . . . . . . 30
4.2.9 Falsa sensa¸cão de seguran¸ca . . . . . . . . . . . . . . . 31
5 Conclusões e perspectivas 32
2

Cap´ıtulo 1
Introdu¸cão
O Brasil vem adotando crescente informatiza¸cão das suas elei¸cões desde o
ano de 1996, culminando no cenário atual onde se vislumbra a instala¸cão
de dispositivos de identifica¸cão biométrica em todos os equipamentos de
vota¸cão. Marcos importantes na história da iniciativa foram a realiza¸cão
das primeiras elei¸cões puramente eletrônicas em 2000, a transferência da
responsabilidade exclusiva do desenvolvimento de software para o TSE a
partir de 2006 e a ado¸cão de um sistema operacional de código aberto
(GNU/Linux) a partir de 2008. Ao se estabilizar os componentes básicos
do sistema eletrônico de vota¸cão e procedimentos relacionados, entende-se
que a preocupa¸cão direta deve ser focada no incremento da seguran¸ca para
que seja poss´ıvel executar elei¸cões confiáveis que conservem absolutamente
o sigilo e a integridade das escolhas definidas pelo eleitor.
Uma iniciativa louvável nesta dire¸cão é a realiza¸cão desde 2009 de testes
periódicos e públicos de seguran¸ca que permitem, ainda que com algumas
restri¸cões indesejáveis, a equipes de especialistas da academia e indústria
avaliar de forma independente a seguran¸ca dos mecanismos adotados pelo
sistema eletrônico de vota¸cão.
1.1 Objetivo deste relatório
O objetivo geral do relatório é formalizar as observa¸cões realizadas pela
equipe de autores quando de sua participa¸cão na 2a edi¸cão dos Testes Públi-
cos de Seguran¸ca organizados pelo Tribunal Superior Eleitoral (TSE). Os
relatórios que foram produzidos em conjunto com o Tribunal, e por ele publi-
cados a t´ıtulo de resultados, carecem de informa¸cões sobre outros problemas
encontrados que não se relacionam diretamente aos planos de teste formula-
dos e executados pela equipe. Assim, a motiva¸cão principal para apresentar
este relatório é delinear as limita¸cões do sistema eletrônico de vota¸cão ado-
tado no Brasil e contribuir para a evolu¸cão do seu processo de seguran¸ca.
Seguindo pol´ıticas padronizadas de divulga¸cão de vulnerabilidades utiliza-
3

das na área de Seguran¸ca da Informa¸cão, são apresentadas aqui descri¸cões
suficientes das fragilidades e problemas de processo encontrados, acompa-
nhadas de múltiplas sugestões de corre¸cão. Desta forma, a parte interessada
encontra-se em posi¸cão adequada para implementar contra-medidas efetivas.
É importante salientar ainda que o presente relatório trate apenas do
software da urna eletrônica, não se manifestado a respeito dos aspectos
f´ısicos ou do hardware do equipamento. Esta decisão foi tomada respeitando-
se os campos de especialidade dos autores. Ainda assim, também vale ressal-
tar que as observa¸cões coletadas referem-se apenas a uma pequena – ainda
que estratégica – fra¸cão do código-fonte do software, exclu´ıdos também os
componentes de software que constituem o sistema de vota¸cão do qual a urna
faz parte, visto que as regras do evento, e o limite de tempo na participa¸cão
dos investigadores, não permitiram uma avalia¸cão mais detalhada. Por fim,
o conteúdo e as conclusões aqui apresentados são de inteira responsabilidade
dos autores e não representam de forma alguma a opinião da Universidade
de Bras´ılia ou quaisquer outros órgãos aos quais eventualmente os autores
prestaram ou venham a prestar servi¸cos.
1.2 Visão superficial do sistema
A urna eletrônica brasileira pode ser classificada como um modelo do tipo
DRE (Direct Recording Electronic), sem impressão do voto. Em termos
gerais, uma elei¸cão utilizando o sistema eletrônico de vota¸cão segue as se-
guintes etapas de prepara¸cão:
1. Lacra¸cão dos componentes de software e produ¸cão de m´ıdias de carga;
2. Instala¸cão do software nas urnas eletrônicas com m´ıdias de carga;
3. Distribui¸cão das urnas às respectivas se¸cões eleitorais.
No dia determinado para realiza¸cão das elei¸cões, cada urna eletrônica
deve executar uma seqüência bem-definida de procedimentos:
1. Impressão da zerésima, documento oficial que supostamente atesta que
nenhum voto foi previamente computado para qualquer candidato;
2. Abertura da vota¸cão pelo mesário responsável;
3. Acesso dos eleitores à urna eletrônica para que suas escolhas sejam
inseridas;
4. Encerramento da vota¸cão, realizada também pelo mesário responsável;
5. Emissão de vias do Boletim de Urna (BU) em papel, contendo a tota-
liza¸cão parcial dos candidatos;
4

6. Grava¸cão autenticada dos produtos públicos de vota¸cão, abrangendo
principalmente as versões digitais do BU, arquivo de registro cro-
nológico de eventos (LOG) e Registro Digital do Voto (RDV);
7. Rompimento do lacre e retirada pelo mesário da M´ıdia de Resultados
(MR) contendo os produtos públicos da elei¸cão;
8. Transmissão dos produtos públicos para o totalizador a partir de rede
privada de comunica¸cão.
O papel do totalizador consiste em combinar todas as totaliza¸cões par-
ciais no resultado declarado oficial das elei¸cões.
1.3 Organiza¸cão do documento
O documento obedece a estrutura a seguir. O Cap´ıtulo 2 descreve breve-
mente o formato do evento e resultados obtidos nos Testes Públicos de Segu-
ran¸ca. O Cap´ıtulo 3 apresenta em detalhes a seqüência de vulnerabilidades
que permitiu aos autores executar um plano de testes que terminou por der-
rotar o único mecanismo de seguran¸ca utilizado pela urna eletrônica para
proteger o sigilo do voto. Tambem são descritas alternativas para corre¸cão
das vulnerabilidades e cenários realistas que amea¸cam o caráter secreto do
voto, caso as vulnerabilidades não sejam corrigidas. O Cap´ıtulo 4 apresenta
outro conjunto de fragilidades detectadas no software e no processo de de-
senvolvimento utilizado pelo TSE. Finalmente, o Cap´ıtulo 5 apresenta as
conclusões e sugestões para que se incrementem a transparência e auditabi-
lidade do sistema eletrônico de vota¸cão.
1.4 Agradecimentos
Os autores gostariam de agradecer ao colega Prof. Pedro Rezende da Uni-
versidade de Bras´ılia, ao Prof. Dr. Jeroen van de Graaf da Universidade
Federal de Minas Gerais, ao Prof. Dr. Paulo S. L. M. Barreto da Universi-
dade de São Paulo e ao Prof. Dr. Francisco Rodr´ıguez-Henr´ıquez do Centro
de investigación y de Estudios Avanzados del Instituto Politécnico Nacional
de México por discussões relevantes durante a prepara¸cão deste documento.
Agradecimentos especiais para o Prof. Dr. J. Alex Halderman da Universi-
dade do Michigan por seus comentários extremamente abrangentes em uma
versão preliminar deste documento.
5

Cap´ıtulo 2
Testes Públicos de Seguran¸ca
Formalmente, o evento teve in´ıcio com a inscri¸cão das equipes mediante
chamada pública de participa¸cão e protocola¸cão de documenta¸cão corres-
pondente no setor responsável dentro do TSE. Segundo consta no edital
de abertura [4], apenas as equipes com inscri¸cões previamente aprovadas
pelo Tribunal teriam oportunidade de participar das atividades. A grande
novidade da 2a edi¸cão do evento em rela¸cão à 1a foi a possibilidade de se
examinar o código-fonte do software de vota¸cão. A 1a edi¸cão do evento
consistiu exclusivamente em testes de “caixa preta”.
2.1 Formato
As 9 equipes compostas por 24 investigadores com inscri¸cões aprovadas par-
ticiparam das duas etapas que compreenderam intervalos de 3 dias, cada
um com 10 horas de atividades: (i) fase de prepara¸cão, entre os dias 6 e 8
de Mar¸co de 2012, quando as equipes puderam examinar o código-fonte do
software e solicitar esclarecimentos técnicos, em busca de formular hipóteses
e planos de teste para avalia¸cão da qualidade dos mecanismos de seguran¸ca
implementados na urna eletrônica; (ii) fase de testes, entre os dias 20 e 22 de
Mar¸co de 2012, quando as equipes não mais teriam acesso ao código-fonte e
poderiam executar os planos de teste com a finalidade de validar hipóteses e
obter conclusões e resultados. Mesmo que os autores não tenham sentido a
necessidade de fazer uso desse recurso, é importante registrar que a restri¸cão
de acesso ao código-fonte foi relaxada no segundo dia da fase de testes.
As atividades concretas da 2a edi¸cão dos Testes Públicos de Seguran¸ca
tiveram in´ıcio no dia 6 de Mar¸co de 2012, com a realiza¸cão de uma palestra
de abertura [5] onde foram apresentados o formato do evento e uma visão su-
perficial dos procedimentos para realiza¸cão de elei¸cões e uma descri¸cão mais
detalhada dos mecanismos de seguran¸ca implementados na urna eletrônica.
O objetivo da palestra foi nivelar o conhecimento dos participantes a res-
peito do sistema. A equipe de autores, identificada como “Grupo 1”, assistiu
6

atentamente à palestra de abertura para se familiarizar com caracter´ısticas
técnicas do sistema e come¸car a detectar pontos de ataque promissores.
No per´ıodo compreendido entre as duas etapas, foi solicitado que as
equipes protocolassem também os planos de teste elaborados a partir das
informa¸cões coletadas na fase de prepara¸cão, visto que apenas as meto-
dologias aprovadas pela Comissão Disciplinadora do evento poderiam ser
colocadas em prática posteriormente na fase de testes.
2.2 Objetivos
O edital de abertura ainda discriminou os objetivos das equipes em duas
classes bastante distintas de testes, aqui copiadas por completo [4]:
• Falha: evento em que se observa que um sistema violou sua especi-
fica¸cão por ter entrado em um estado inconsistente e imprevisto oca-
sionado por uma imperfei¸cão (defeito) em um software ou hardware
impedindo seu bom funcionamento, sem interferir na destina¸cão e/ou
anonimato dos votos dos eleitores;
• Fraude: ato intencional que tenha alterado informa¸cões e/ou causado
danos, interferindo na destina¸cão e/ou anonimato dos votos, e que
tenha sido efetuado de forma a não deixar vest´ıgios percept´ıveis.
Pode-se interpretar a primeira classe como um ataque de nega¸cão de
servi¸co, onde o atacante tem interesse em impossibilitar a utiliza¸cão do equi-
pamento pelos eleitores. A segunda classe captura os ataques com potencial
de causar fraude eleitoral.
A equipe elaborou e submeteu dois planos de teste, intitulados “Ten-
tativa não-rastreável de quebra do sigilo de vota¸cão” [6] e “Tentativa não-
rastreável de fraude no resultado de vota¸cão” [7], ambos claramente obje-
tivando satisfazer as exigências para uma tentativa de fraude em elei¸cão
simulada realizada seguindo procedimentos oficiais. Dado o tempo ex´ıguo,
apenas o primeiro plano de testes foi executado por completo.
2.3 Metodologia
A metodologia executada pelo plano de testes exigiu a divisão da equipe em
duas partes, aqui identificadas por A e B, que alternavam sua presen¸ca no
ambiente de testes para impedir qualquer tipo de comunica¸cão. Os experi-
mentos seguiram os procedimentos a seguir:
1. Gera¸cão pelo TSE de uma lista secreta de votos fict´ıcios abrangendo
os cargos de vereador e prefeito;
2. Entrega da lista secreta de votos para a parte A da equipe;
7

3. Carga da urna com cartão fornecido pelo TSE e impressão da zerésima;
4. Inser¸cão dos votos na urna eletrônica, seguindo a ordem da lista e
efetuada pela parte A da equipe sob monitora¸cão de funcionários do
TSE;
5. Rompimento do lacre e entrega da M´ıdia de Resultados (MR) para a
parte B da equipe;
6. Execu¸cão de um programa de análise que analisa o Registro Digital do
Voto armazenado na MR e produz uma lista de votos em ordem que
supostamente representa os votos inseridos na urna;
7. Compara¸cão da lista mantida secreta para a parte B com a lista de
votos produzida pelo programa de análise.
O critério de sucesso para a metodologia é naturalmente a correspon-
dência entre as duas listas. Observe que, dentro do ambiente de testes, houve
a necessidade de se romper o lacre da MR para se completar a simula¸cão,
visto que esta era a única forma de se obter o RDV correspondente à vota¸cão
simulada. Em elei¸cões reais, o RDV é de acesso público garantido por lei [8].
Naturalmente, também houve a necessidade de se dispor de acesso f´ısico à
urna para inserir os votos contidos na lista fornecida pelo TSE, o que foi
feito conforme o protocolo descrito acima.
2.4 Resultados
Como consta em relatório final da equipe escrito em conjunto com o TSE [6],
a metodologia de avalia¸cão da qualidade dos mecanismos de prote¸cão do si-
gilo do voto obteve sucesso absoluto em recuperar em ordem os votos de
elei¸cões simuladas com 10, 16, 21 e 475 eleitores (20, 32, 42 e 950 votos,
respectivamente, já que cada eleitor votava para os cargos de Prefeito e
Vereador). Esta última foi realizada para cumprir exigência do TSE em
reproduzir a prova de conceito já apresentada para elei¸cões pequenas com
uma massa de dados realista, que inclusive reproduz a média de compare-
cimento das elei¸cões de 2010 no universo de 580 eleitores fict´ıcios utilizado
como conjunto de treinamento do evento. Como a metodologia executada
consistia apenas em análise dos produtos públicos de vota¸cão, não foi ne-
cessária nenhuma altera¸cão em qualquer componente da urna eletrônica ou
qualquer invasão do per´ımetro f´ısico do equipamento. Por esse motivo, a
metodologia é essencialmente não-rastreável e não deixa nenhum vest´ıgio
percept´ıvel.
Registrar os votos inseridos pelo eleitor de forma desordenada é um pro-
cedimento cr´ıtico para se proteger o sigilo do voto. Fica claro, portanto,
que a metodologia da equipe permitiu derrotar o único mecanismo utilizado
8

pela urna eletrônica para proteger o sigilo do voto. Vale salientar que não
foi poss´ıvel, entretanto, obter uma rela¸cão em ordem das identidades dos
eleitores a partir unicamente dos produtos públicos de vota¸cão, existindo
a necessidade de obten¸cão dessa informa¸cão por meios externos para que
fosse poss´ıvel efetuar a correspondência direta e exata entre a identidade do
eleitor e sua escolha de candidatos. Até onde se pôde verificar, os produtos
públicos de vota¸cão armazenam apenas a identifica¸cão dos eleitores faltosos
em ordem lexicográfica. Discutimos no próximo cap´ıtulo como a possibili-
dade de recupera¸cão dos votos em ordem pode ser utilizada para se montar
fraudes eleitorais em cenários realistas.
Não houve tempo suficiente para executar o segundo plano de testes, que
objetivava avaliar os mecanismos de seguran¸ca que protegem a integridade
de uma vota¸cão. A prioridade para o primeiro plano de testes foi conferida
por sua simplicidade e pela quase completa independência de sua execu¸cão
de qualquer colabora¸cão significativa por parte do TSE. Efetuar ataques à
integridade dos resultados exige que no m´ınimo se verifique que os resulta-
dos fraudados ainda são detectados como autênticos pelos mecanismos de
auditoria existentes.
2.5 Pontua¸cão
Foram estabelecidos critérios objetivos de pontua¸cão e uma fórmula para
compara¸cão objetiva do desempenho das diversas equipes [9]. Sem justifica-
tivas detalhadas e mesmo atingindo absoluto sucesso no teste que se propôs
a executar, o plano de testes da equipe recebeu a pontua¸cão´ınfima de 0,0313
em uma escala de 0 a 400 pontos [10]. Os critérios para a penaliza¸cão da
pontua¸cão da equipe são absolutamente discut´ıveis. Não ficou claro, por
exemplo, por que foram aplicadas penalidades causadas por pontos de in-
terven¸cão que só existiam no ambiente simulado dos testes e que não eram
obstáculos a uma instancia¸cão do ataque em ambiente real. A Comissão de
Avalia¸cão entendeu como quatro os pontos de interven¸cão: acesso f´ısico à
urna, lacre e m´ıdias e visualiza¸cão do código-fonte. Seria imposs´ıvel simular
qualquer elei¸cão sem nenhum acesso f´ısico à urna e também seria imposs´ıvel
analisar os produtos públicos de vota¸cão simulada sem o rompimento do la-
cre que protege a M´ıdia de Resultados. O ataque não exigiu acesso ao equi-
pamento além do acesso permitido ao eleitor durante o processo de vota¸cão
ou ao mesário durante o encerramento da sessão. Vale ressaltar que os parti-
dos pol´ıticos recebem o conteúdo da M´ıdia de Resultados sem a necessidade
de qualquer acesso f´ısico a uma determinada urna eletrônica. Além disso,
parece incoerente penalizar a equipe por ter visualizado o código-fonte do
software, quando o objetivo do evento era justamente avaliar a qualidade
dos mecanismos de seguran¸ca implementados neste. Por fim, a equipe con-
tinua sem entender o porquê de sua metodologia ter sido classificada como
9

uma tentativa de causar falha ao invés de fraude na elei¸cão simulada, visto
que em nenhum momento qualquer dos equipamentos utilizados apresentou
qualquer defeito. Ainda assim, a equipe consagrou-se como vencedora do
evento por obter os resultados mais contundentes e oferecer a contribui¸cão
melhor qualificada para aprimoramento da seguran¸ca do sistema eletrônico
de vota¸cão.
Conclu´ımos com duas hipóteses válidas para a pontua¸cão ´ınfima: ou
a Comissão Avaliadora apontada pelo TSE não entendeu a seriedade das
conseqüências provocadas pela vulnerabilidade encontrada, ou houve uma
tentativa deliberada de descaracterizar e minimizar o ocorrido. Ambas as
hipóteses são absolutamente preocupantes.
2.6 Aprimoramento
A participa¸cão da equipe nos Testes Públicos de Seguran¸ca permitiu ainda
coletar algumas sugestões pontuais de aperfei¸coamento do evento em si:
• Minimiza¸cão da interven¸cão do pessoal de apoio: ainda que
seja compreens´ıvel a necessidade de se monitorar os investigadores
durante a execu¸cão dos testes, a falta de privacidade e as interven¸cões
constantes terminaram por causar desconforto à equipe;
• Redu¸cão da burocracia: novamente, ainda que seja perfeitamente
compreens´ıvel a necessidade de se registrar todos os procedimentos
efetuados pelos investigadores, percebeu-se que satisfazer os requisi-
tos burocráticos exigidos consumiu tempo que poderia ser dedicado à
execu¸cão de planos de testes adicionais;
• Amplia¸cão do tempo: um per´ıodo de 3 dias é absolutamente insufi-
ciente para se analisar uma por¸cão significativa do código-fonte da urna
eletrônica, que em seu total possui milhões de linhas de código. Como
em dispotivos de missão cr´ıtica todo o código termina por se configu-
rar código de seguran¸ca, visto que uma vulnerabilidade em um trecho
inofensivo de código pode disparar um ataque a um trecho cr´ıtico de
código, é desejável que a dura¸cão do evento seja maximizada;
• Amplia¸cão da capacidade de exame do código-fonte: foi dedi-
cada uma sala lacrada espec´ıfica para o exame do código-fonte. Visto
que a sala foi equipada com apenas 4 computadores, a falta de ca-
pacidade terminou por limitar o tempo de exposi¸cão do código-fonte.
Em particular, a equipe dos autores só obteve acesso ao código-fonte
às 11:00 da manhã do segundo dia da fase de prepara¸cão, pois uma
das equipes obteve acesso exclusivo à sala no primeiro dia. No total, a
equipe dispendiou apenas 5 horas da fase de prepara¸cão investigando
trechos estratégicos do código-fonte da urna. A disponibiliza¸cão de
10

ferramentas simples de processamento de texto (grep, vi, cat, etc) no
ambiente de exame de uma base de código de tal tamanho é essencial
para a utilidade dos testes e deve ser conservada;
• Amplia¸cão do escopo dos testes: o foco do evento foi exclusiva-
mente nos mecanismos de seguran¸ca implementandos na urna eletrô-
nica. A justificativa fornecida para tal pode parecer razoável à pri-
meira vista, ao argumentar que qualquer entidade pode fazer uma
totaliza¸cão independente dos resultados, na medida que todos os BUs
são publicados na Internet. Desta forma, qualquer ataque ao sistema
totalizador no máximo atrasaria a apura¸cão e divulga¸cão posterior dos
resultados. Entretanto, na opinião da equipe, ataques com sucesso ao
totalizador podem for¸car ambigüidade ou altera¸cão dos resultados di-
vulgados. Estes podem ser detectados e neutralizados posteriormente
apenas em situa¸cões onde as respectivas garantias, de que os resul-
tados corretos de cada urna correspondem aos que são publicados na
Internet, estejam acess´ıveis a candidatos potencialmente prejudicados.
O sucesso de um ataque dessa natureza pode ainda comprometer a
imagem e reputa¸cão da autoridade eleitoral ou até mesmo qual o re-
sultado correto das elei¸cões;
• Aprimoramento dos critérios de pontua¸cão: a fórmula utilizada
para avaliar o desempenho das equipes foi mal-concebida e tinha foco
demasiado em aplicar penalidades. Além disso, a aprecia¸cão oficial
e irrecorr´ıvel por parte do Comitê de Avalia¸cão [10] não justificou
qualquer de suas decisões, limitando-se apenas a listar os pontos de
interven¸cão e a pontua¸cão final;
• Altera¸cão da natureza do evento: o formato atual de competi¸cão
incentiva as equipes a não compartilhar informa¸cões e a utilizar ex-
clusivamente uma métrica de custo/benef´ıcio. Ou seja, restrige o es-
copo a decidir qual das vulnerabilidades encontradas permite modelar
um ataque executado na menor quantidade de tempo. Desta forma,
várias metodologias sofisticadas perdem prioridade por exigir maior
dedica¸cão. Mesmo que essas caracter´ısticas modelem uma parcela dos
potenciais atacantes, conclui-se que uma avalia¸cão mais criteriosa e
colaborativa dos mecanismos de seguran¸ca permite a modelagem de
atacantes bem-informados e munidos de recursos para executar ata-
ques persistentes.
A avalia¸cão completa e cuidadosa do software da urna eletrônica requer
enorme esfor¸co e muito tempo de dedica¸cão. Sem a possibilidade de se efe-
tuar testes extensos e sem qualquer tipo de restri¸cão, seguindo metodologia
cient´ıfica, não é poss´ıvel afirmar que o formato atual do evento colabora sig-
nificativamente para o incremento da seguran¸ca da urna eletrônica. Permite
11

apenas encontrar vulnerabilidades pontuais que permitam ataques de f´acil
execu¸c˜ao, mas com efeitos limitados.
12

Cap´ıtulo 3
Vulnerabilidades
Neste Cap´ıtulo, é descrita a seqüência de vulnerabilidades que permitiu à
equipe de autores recuperar os votos em ordem de várias elei¸cões simuladas,
uma das quais utilizando um conjunto de dados de tamanho realista.
3.1 Registro Digital do Voto (RDV)
Desde a promulga¸cão da lei eleitoral 9.504/97 [11], que oficializou a vota¸cão
eletrônica com o modelo atual de urna DRE, o voto impresso verificável
pelo eleitor foi institu´ıdo no Brasil pela primeira vez em 2002, através da
lei 10.408/02 [12]. A finalidade desse recurso é permitir para todos os elei-
tores, agentes com maior interesse no processo democrático de vota¸cão, a
possibilidade de verifica¸cão independente do seu voto. Sem verifica¸cão in-
dependente, a confian¸ca é depositada apenas na habilidade dos partidos
pol´ıticos em fiscalizar a confeçcão dos programas e na boa fé dos técnicos
do TSE em produzir software correto [13, página 23]. A proposta do voto
impresso sugere produzir uma versão materializada do voto, que pode ser
conferida pelo eleitor, sem no entanto permitir que o próprio comprove suas
escolhas para uma parte interessada qualquer. Após alega¸cões de dificulda-
des operacionais e alto custo por parte do TSE, o voto impresso terminou
descontinuado pela lei 10.740 em 2003 [8]. Em seu lugar, adotou-se um
substituto puramente digital.
O Registro Digital do Voto, ou RDV, é uma tabela separada por cargos
em disputa eleitoral que armazena desordenadamente os votos propriamente
ditos inseridos pelos eleitores na urna eletrônica. O objetivo desse embara-
lhamento dos votos é desassociar a ordem em que os votos foram inseridos
da ordem em que foram armazenados.
O RDV foi introduzido no lugar do voto impresso para supostamente
permitir a mesma capacidade de verifica¸cão independente dos resultados
da urna. Por essa razão, é um documento público disponibilizado para os
partidos após as elei¸cões. Entretanto, enquanto o voto impresso permite
13

de fato a verifica¸cão independente dos votos computados eletronicamente, o
RDV é produzido pelo mesmo componente de software que produz o Boletim
de Urna (BU) contendo os totais de cada candidato computados pela urna.
Desta forma, qualquer ataque que comprometa a integridade do BU pode
também comprometer o RDV.
Pode-se concluir, portanto, que o RDV não serve a nenhum propósito
prático, além de permitir a viola¸cão do sigilo do voto caso seja projetado e
implementado de forma insegura. A Figura 3.1 apresenta um RDV fict´ıcio
para uma elei¸cão com 3 cargos com comparecimento de 3 eleitores em um
espa¸co de apenas 7 eleitores poss´ıveis. O primeiro eleitor escolhe 13 para
Governador, 31 para Senador e BRANCO para Presidente. O segundo
eleitor escolhe 71 para Governador, anula seu voto para Senador com um
número inválido e escolhe 37 para Presidente. O terceiro e último eleitor
também escolhe 71 para Governador, BRANCO para Senador e 37 para
Presidente. Observe que na versão final do arquivo, a princ´ıpio não é poss´ıvel
estabelecer correspondência entre a posi¸cão do eleitor na ordem de vota¸cão e
suas escolhas; e que as posi¸cões vazias são conservadas pelo embaralhamento.
SenadorGovernador Presidente
13
31
BRANCO
(a) Registro do primeiro voto.
13
31
BRANCO
71
NULO
37
(b) Registro do segundo voto.
13
31
BRANCO
71
NULO
37
71
BRANCO
37
(c) Registro do terceiro voto.
13
31
BRANCO
71
NULO
37
71
BRANCO
37
(d) Aspecto final do arquivo.
Figura 3.1: Exemplo de armazenamento fora de ordem dos votos no RDV.
14

3.2 Hipótese
A apresenta¸cão desse mecanismo de embaralhamento foi encarada com ime-
diata desconfian¸ca pela equipe após sua apresenta¸cão durante a palestra de
abertura [5]. A razão para tal foi a constata¸cão de que a ordem em que os
votos são armazenados precisa atingir rigor criptográfico de aleatoriedade,
e apenas um profissional com algum treinamento básico na área de Segu-
ran¸ca Computacional observaria que o mecanismo de embaralhamento é tão
cr´ıtico para o sigilo do voto quanto a verifica¸cão de integridade do software
para a integridade dos resultados. Desta forma, ainda na palestra de aber-
tura, a equipe levantou a hipótese de que o RDV não havia sido projetado
e implementado de forma segura. Com apenas algumas buscas por fun¸cões
conhecidamente inseguras para a gera¸cão de números aleatórios efetuadas na
primeira hora de exame do código-fonte, a hipótese já ficou extremamente
fortalecida. Restava apenas determinar que informa¸cões seriam necessárias
para se reverter o embaralhamento e recuperar os votos na ordem em que
foram inseridos.
3.3 Projeto e implementa¸cão
O mecanismo de embaralhamento foi projetado e implementado utilizando
uma progressão de erros que terminou por permitir a sua reversão. A
implementa¸cão utiliza um gerador de números pseudo-aleatórios, procedi-
mento computacional que produz uma seqüência de números aparentemente
aleatórios, mas que pode ser unicamente determinada a partir de um pe-
queno parâmetro chamado semente que precisa ser escolhido de forma ver-
dadeiramente aleatória. Quando é necessária a impossibilidade de deriva¸cão
independente da seqüência por um atacante, a semente deve ser não só
apenas verdadeiramente aleatória, mas também mantida em segredo. A se-
guir, apresentamos a progressão de vulnerabilidades no software que for¸cou
o gerador de números pseudo-aleatórios a funcionar fora de seus limites de
opera¸cão, não atingindo suas propriedades de seguran¸ca:
1. Escolha inadequada de gerador de números pseudo-aleatórios:
foi escolhido o gerador pseudo-aleatório padronizado da linguagem de
programa¸cão C implementado com as fun¸cões rand()/srand(). Este
gerador possui per´ıodo curto e aceita sementes muito pequenas, com
comprimento de apenas 32 bits. Logo, não alcan¸ca qualidade crip-
tográfica [14]. A simples ecolha desse gerador pseudo-aleatório já for-
nece uma metodologia probabil´ıstica de ataque;
2. Escolha inadequada de semente: a semente consistia em uma
tomada de tempo com precisão de segundos no fuso horário UTC
(Coordinated Universal Time) implementada com a fun¸cão time()
15

e executada na inicializa¸cão do sistema de vota¸cão. Esta escolha de
semente obviamente não é verdadeiramente aleatória. Como o sistema
de vota¸cão deve ser inicializado entre as 7 e 8 da manhã do dia de
elei¸cão, ainda reduz significativamente o espa¸co de sementes poss´ıveis
em caso de busca exaustiva para apenas 3600 valores;
3. Publica¸cão da semente: não obstante a não-aleatoriedade da se-
mente, a mesma ainda era tornada pública mediante registro em LOG
e impressão em documento oficial, a zerésima. A zerésima torna-se
pública logo após sua emissão, o LOG de eventos torna-se público aos
partidos após o final das elei¸cões. De posse da hora de emissão da
zerésima, é poss´ıvel reproduzir a ordem de armazenamento dos votos
com exatidão e eficiência, sem probabilidades de erro ou necessidade
de busca exaustiva. O mecanismo de assinatura digital do arquivo de
LOG e as assinaturas convencionais dos fiscais de partido na zerésima
ainda garantem que os documentos são autênticos e que o horário ne-
les contido consiste de fato na semente necessária para se recuperar os
votos em ordem.
Os Algoritmos 3.1 e 3.2 apresentam versões simplificadas de como funcio-
navam a inicializa¸cão do gerador pseudo-aleatório e o armazenamento de um
voto em posi¸cão pseudo-aleatória do RDV, respectivamente. A Figura 3.2
apresenta uma cópia de zerésima encontrada na Internet, com a semente
(que deveria ser aleatória e secreta) apresentada em destaque. Seja n o
números de eleitores que votaram em um espa¸co total com m eleitores. Da
forma como foi projetado e implementado, a presen¸ca de posi¸cões vazias no
arquivo RDV final permite testar valores distintos de semente para obten¸cão
da semente correta sempre que o comparecimento na se¸cão eleitoral não é
absoluto. Esse teste é poss´ıvel pela compara¸cão entre as posi¸cões vazias do
arquivo final e as posi¸cões vazias geradas pela semente sendo testada quando
n votos são registrados.
Algoritmo 3.1 Inicializa¸cão do RDV.
Entrada: Tabela T representando o RDV, total de m de eleitores.
Sa´ıda: Tabela T inicializada e gerador pseudo-aleatório alimentado com
semente na forma de tomada de tempo.
1: srand(time(NULL));
2: for i ← 0 to m do
3: T[i] ← VAZIO
4: end for
16

Algoritmo 3.2 Armazenamento de um voto no RDV.
Entrada: Tabela T representando o RDV, número 0 ≤ i < n do voto V .
Sa´ıda: Tabela T atualizada com o voto V inserido.
1: j ← rand() mod m
2: if T[j] = VAZIO then
3: {Colisão encontrada!}
4: Incrementar ou decrementar j até encontrar próxima posi¸cão livre
5: end if
6: T[j] ← V
Figura 3.2: Zerésima destacando a semente do embaralhamento de votos.
3.4 Ataques
A progressão de vulnerabilidades apresentada na se¸cão anterior permite a
formula¸cão de duas metodologias de ataque distintas:
• Ataque direto: a partir da semente, que não deveria ser pública
mas vinha sendo, recuperada a partir do LOG de eventos ou zerésima
da se¸cão eleitoral, é poss´ıvel simular o embaralhamento de n votos e
detectar em que posi¸cão cada voto foi armazenado no RDV da se¸cão,
que deve ser público e vem sendo, permitindo assim a recupera¸cão dos
votos em ordem, a partir de documentos que o atual sistema configura
como necessários para a fiscaliza¸cão do processo eleitoral.
• Ataque indireto: a partir dos votos embaralhados, é poss´ıvel realizar
uma busca exaustiva no espa¸co de sementes poss´ıveis e recuperar a
17

semente correta pela compara¸cão das posi¸cões vazias. De posse da
semente correta, o ataque direto pode ser efetuado.
Como os ataques descritos acima não envolvem a modifica¸cão ou al-
tera¸cão de qualquer componente do software ou hardware da urna eletrônica
e especificamente não exigem a invasão do per´ımetro f´ısico de seguran¸ca do
equipamento, pode-se concluir que ambos são essencialmente não-rastreáveis.
A razão para isso é que a leitura de produtos públicos de vota¸cão nunca deixa
rastro percept´ıvel, visto que não é poss´ıvel diferenciar a fiscaliza¸cão da in-
forma¸cão pública de um procedimento de ataque ao sigilo do voto. Além
disso, os ataques são determin´ısticos, exatos e reprodut´ıveis, sem haver qual-
quer chance de erro. Fica então derrotado o único mecanismo utilizado pelo
software da urna eletrônica para proteger o sigilo do voto, observando-se o
critério de voto secreto como requisito constitucional do sistema de vota¸cão.
O Algoritmo 3.3 apresenta o ataque direto descrito acima.
Algoritmo 3.3 Recupera¸cão em ordem dos votos do RDV.
Entrada: Tabela T representando o RDV, semente pública s, número n de
eleitores que votaram dentre m eleitores poss´ıveis.
Sa´ıda: Lista de votos em ordem.
1: srand(s);
2: for i ← 0 to n do
3: j ← rand() mod m
4: if T[j] = MARCA then
5: {Colisão encontrada!}
6: Incrementar ou decrementar j até encontrar T[j] = MARCA
7: end if
8: Imprimir voto armazenado em T[j]
9: T[j] ← MARCA
10: end for
Posteriormente, foi obtida a informa¸cão de que o LOG também público
de eventos registra o instante de tempo em que cada eleitor confirmou seu
voto [15]. Quando esse registro temporal é associado à lista de votos recupe-
rados em ordem, fica também poss´ıvel recuperar um voto espec´ıfico inserido
em um certo instante de tempo.
3.5 Conseqüências
Agora suponha um atacante capaz de coagir k eleitores e monitorar o com-
portamento de eleitores no dia de elei¸cão. A recupera¸cão dos votos em
ordem permite que esse atacante tenha sucesso com certeza matemática em
um conjunto de fraudes eleitorais, aqui denominadas por voto de cabresto
digital:
18

• Inser¸cão dos eleitores coagidos nas k primeiras posi¸cões da fila de
vota¸cão e posterior recupera¸cão dos k primeiros votos. Isto não parece
dif´ıcil se o atacante transporta os k eleitores e simplesmente comparece
com antecedência à abertura da se¸cão eleitoral;
• Utiliza¸cão de um voto marcador que indica o in´ıcio do bloco de k elei-
tores coagidos. Caso a chegada com antecedência seja um obstáculo,
o atacante pode também instruir um eleitor a votar de maneira pré-
determinada (anulando seu voto, por exemplo), a partir do qual tem
in´ıcio a seqüência dos votos dos k eleitores coagidos;
• O registro da ordem ou do horário de vota¸cão de todos os eleitores
da urna eletrônica sob ataque permite a quebra do sigilo do voto para
todos os n eleitores que registraram seu voto, mesmo aqueles não coa-
gidos pelo atacante. Observe que essa informa¸cão pode ser obtida com
colabora¸cão dos mesários ou fiscais de partido.
Um horário de vota¸cão espec´ıfico determina a posi¸cão na ordem de
vota¸cão que um certo eleitor confirmou seu voto. Examinando a posi¸cão
correspondente na lista de votos recuperada em ordem do RDV revela direta-
mente quais foram as escolhas de um certo eleitor. Este ataque de quebra de
sigilo direcionado pode, além de violar o critério de voto secreto assegurado
pela constitui¸cão [16], causar constrangimento significativo para personali-
dades públicas (pol´ıticos, empresários, industriais, ministros). Note que o
local e horário de vota¸cão destas personalidades é frequentemente noticiado
pela imprensa no dia de elei¸cão [17, 18].
3.6 Corre¸cões
A corre¸cão da progressão de vulnerabilidades parte do fortalecimento do
gerador de posi¸cões aleatórias para armazenamento no RDV. Este apri-
moramento pode inclusive ser implementado a partir de componentes já
dispon´ıveis na própria urna eletrônica. A forma mais segura para se efe-
tuar a corre¸cão é substituir o gerador pseudo-aleatório atualmente utilizado
por outro gerador pseudo-aleatório com propriedades estat´ısticas superiores.
Exemplos de geradores assim são documentados em padrões [19] e podem
ser encontrados em bibliotecas criptográficas de uso geral [20]. Resta apenas
determinar fontes de semente para o gerador pseudo-aleatório melhorado.
Para satisfazer o critério de aleatoriedade verdadeira, recomenda-se que a
semente seja produzida por um gerador em hardware baseado em efeito f´ısico
bem estudado. Segundo especifica¸cão da urna eletrônica modelo 2009 [21],
um gerador com estas caracter´ısticas já deveria estar dispon´ıvel no módulo
de seguran¸ca em hardware do equipamento. O processador AMD Geode
mencionado na especifica¸cão também possui um gerador de números ver-
dadeiramente aleatórios [22] acess´ıvel a partir do arquivo /dev/hw random.
19

Para os modelos anteriores, compromissos de engenharia precisam ser atingi-
dos. Uma solu¸cão poss´ıvel é a obten¸cão da semente do arquivo /dev/random,
que comprime eventos de sistema operacional em entropia de qualidade crip-
tográfica acessada por leituras bloqueantes. Problemas para se adotar essa
solu¸cão envolvem a previsibilidade da inicializa¸cão da urna eletrônica, que
pode não fornecer a entropia necessária para obten¸cão de uma semente se-
gura, e o preju´ızo de funcionalidade do equipamento por bloqueio da leitura
na situa¸cão de falta de entropia. A última solu¸cão recomendada é relaxar
o requisito de qualidade criptográfica e efetuar a obten¸cão da semente do
arquivo /dev/urandom a partir de leitura não-bloqueante. Ainda que nesse
caso o rigor criptográfico seja perdido, a qualidade do embaralhamento de
votos deverá ser significativamente superior à constru¸cão atual.
Não custa enfatizar que é preciso realizar testes cuidadosos para determi-
nar se as corre¸cões sugeridas atendem aos requisitos m´ınimos de seguran¸ca
estabelecidos para o mecanismo de embaralhamento. Os autores se eximem
de qualquer responsabilidade caso as solu¸cões sugeridas ainda mantenham
o mecanismo de embaralhamento como vulnerável.
20

Cap´ıtulo 4
Fragilidades
O exame do código-fonte do software da urna eletrônica não revelou apenas
a vulnerabilidade no projeto e implementa¸cão do mecanismo de prote¸cão do
sigilo do voto, como discutido no cap´ıtulo anterior, mas também evidenciou
um conjunto de fragilidades em componentes cr´ıticos do software. Cada
fragilidade apresentada aqui representa uma vulnerabilidade em potencial
que permite a um agente interno ou externo formular uma metodologia de
ataque. A presen¸ca de fragilidades, até mesmo em componentes cr´ıticos do
software, atesta a presen¸ca de fragilidades no próprio processo de desenvol-
vimento de software utilizado.
4.1 No software
A seguir, discutimos as fragilidades encontradas no software, algumas já an-
teriormente discutidas no Relatório elaborado pela Sociedade Brasileira de
Computa¸cão em 2002 [13], ou na análise acadêmica do software de vota¸cão
das urnas utilizadas nos Estados Unidos e fabricadas pela Diebold [23],
mesma companhia que fabrica o hardware das urnas brasileiras e produ-
ziu as versões iniciais do software.
4.1.1 Prote¸cão inadequada ao sigilo do voto
O Registro Digital do Voto (RDV) institu´ıdo por dispositivo legal e apre-
sentado no cap´ıtulo anterior não fornece nenhuma capacidade de verifica¸cão
independente adicional, por ser gerado pelo mesmo software que realiza a
contabiliza¸cão parcial e gera o Boletim de Urna (BU). Por essa razão, a
possibilidade de adultera¸cão do BU implica diretamente na possibilidade de
adutera¸cão do RDV, o que significa que o RDV se qualifica apenas como
informa¸cão redundante, tão pass´ıvel de ataque quanto aquilo que tenta pro-
teger. Como o RDV não possui qualquer valor prático, serve apenas como
uma fonte de ataque ao sigilo do voto caso o mecanismo de embaralhamento
21

dos votos não seja projetado e implementado de forma segura. Além disso,
o próprio projeto da urna não elimina completamente a possibilidade de
se vincular a identidade do eleitor ao seu voto através de software adulte-
rado [13, página 28], visto que ambos os equipamentos que coletam essas
informa¸cões estão conectados eletronicamente. É poss´ıvel concluir que am-
bas as informa¸cões co-existem no estado interno da urna em algum momento
e assim podem ser capturadas por um programa malicioso.
Como o RDV foi institu´ıdo em 2003, é interessante imaginar se a mesma
vulnerabilidade discutida no cap´ıtulo anterior estava presente no software
utilizado nas quatro elei¸cões passadas. Ainda que os autores não tenham atu-
almente nenhuma inten¸cão de investigar essa possibilidade, existem apenas
três respostas poss´ıveis para essa pergunta: (i) o mecanismo de embaralha-
mento dos votos era mais vulnerável; (ii) o mecanismo de embaralhamento
era tão vulnerável quanto o examinado pela equipe; (iii) o mecanismo de
embaralhamento era menos vulnerável. As duas primeiras hipóteses indi-
cam que houve prote¸cão inadequada ao sigilo do voto nas quatro últimas
elei¸cões, sendo essa propriedade de seguran¸ca pass´ıvel de ataque por agentes
internos ou externos com algum conhecimento do mecanismo. A terceira
hipótese indica que a qualidade do software de vota¸cão se degenera com o
passar do tempo, existindo a possibilidade do mesmo se tornar menos seguro
de uma elei¸cão para outra. As três hipóteses são igualmente preocupantes,
especialmente quando se considera que o sigilo do voto é cláusula pétra da
Constitui¸cão Federal e que o pa´ıs sempre foi campo fértil para a fraude
eleitoral tradicionalmente conhecida como “voto de cabresto”.
Recomenda¸cão. Eliminar o RDV e substitui-lo por um mecanismo
que forne¸ca a possibilidade real de verifica¸cão independente de resultados,
como o voto impresso verificável pelo eleitor. Caso a presen¸ca do RDV
seja uma exigência, recomendamos no m´ınimo a elimina¸cão das posi¸cões
vazias do arquivo em seu formato final, para dificultar a busca exaustiva no
espa¸co de sementes poss´ıveis. Caso o mecanismo de embaralhamento dos
votos continue frágil, essa compacta¸cão não resiste a ataques realizados por
agentes internos ou bem-informados.
4.1.2 Fonte inadequada de entropia
Entropia tem caráter cr´ıtico para várias opera¸cões criptográficas que reque-
rem dados aleatórios, como a gera¸cão de chaves efêmeras ou a alimenta¸cão
com semente de geradores pseudo-aleatórios, e em muitos casos é poss´ıvel
contornar completamente a técnica criptográfica com ataques apenas na
fonte de entropia. Obter entropia suficiente em equipamentos com intera-
tividade limitada a partir unicamente de recursos de software é uma tarefa
praticamente imposs´ıvel. Como discutido no Cap´ıtulo anterior, o software
da urna eletrônica brasileira utilizava apenas a medida do tempo em re-
solu¸cão de segundos como fonte de entropia, mesmo tendo dispon´ıvel fontes
22

de melhor qualidade em hardware.
A coleta de informa¸cão previs´ıvel para utiliza¸cão inadequada como entro-
pia não é uma vulnerabilidade desconhecida em sistemas de vota¸cão ou soft-
ware comercial. A urna eletrônica utilizava nos Estados Unidos empregava
técnicas igualmente inseguras [23, Problema 5.2.12], obtendo informa¸cão a
partir do conteúdo da tela e de uma medida de tempo com resolu¸cão de
milissegundo desde a inicializa¸cão do sistema operacional. Em 1995, ca-
louros de doutorado da Universidade de Berkeley descobriram sem acesso
ao código-fonte que a versão 1.1 do navegador Netscape apresentava exata-
mente a mesma vulnerabilidade [24], utilizando inclusive a mesma chamada
na linha 1 do Algoritmo 3.1.
Recomenda¸cão. Adotar as sugestões apresentadas na Se¸cão 3.6.
4.1.3 Verifica¸cão insuficiente de integridade
A urna eletrônica conta com um mecanismo de verifica¸cão de integridade de
software que tem como objetivo verificar se houve adultera¸cão dos progra-
mas da urna eletrônica entre sua a produ¸cão e a sua execu¸cão propriamente
dita no equipamento. Este mecanismo de verifica¸cão de software muda radi-
calmente com a presen¸ca do módulo customizado de seguran¸ca em hardware.
Por essa razão, a análise será dividida em dois cenários.
Urnas eletrônicas sem módulo de seguran¸ca em hardware. A verifica¸cão da
integridade do software cabe a si próprio, podendo ser desativada caso
haja acesso livre às por¸cões dos programas que efetuam a verifica¸cão.
Para mitigar esse risco, costuma-se implementar um mecanismo pre-
liminar de verifica¸cão na BIOS (Basic Input/Output System), que as-
segura que o software executado em seguida é ´ıntegro. Entretanto,
esta técnica apenas reduz a integridade do software à integridade do
firmware programado na BIOS. O problema de verifica¸cão de integri-
dade da BIOS, por sua vez, é reduzido a si próprio, sem fonte externa
de confian¸ca.
Urnas eletrônicas equipadas com módulo de seguran¸ca em hardware. A ve-
rifica¸cão funciona como descrito anteriormente, com a exce¸cão de que
a verifica¸cão do conteúdo da BIOS é agora efetuada pelo módulo de
seguran¸ca. Neste cenário, o problema de verifica¸cão de integridade de
software termina por se reduzir a uma fonte de confian¸ca armazenada
no interior do módulo de seguran¸ca, sob a forma de uma cadeia auto-
contida de certifica¸cão digital para valida¸cão das assinaturas digitais
realizadas nos demais componentes de software. Derrotar um meca-
nismo de verifica¸cão implementado nesses moldes requer a colabora¸cão
de um agente interno capaz de desativar o módulo de seguran¸ca ou
substituir a cadeia de certifica¸cão digital e realizar assinaturas digitais
do software adulterado utilizando as chaves privadas correspondentes
23

ao certificado digital inserido posteriormente. Entretanto, segundo a
própria especifica¸cão do módulo de seguran¸ca em hardware utilizado
nas urnas eletrônicas a partir de 2009, há a necessidade de se pro-
gramar o módulo de seguran¸ca com o resumo criptográfico correto da
BIOS [21]. Isto nos leva a concluir que a BIOS transmite o seu próprio
resumo para verifica¸cão pelo módulo de seguran¸ca, ao invés de exigir
que o módulo de seguran¸ca verifique de forma ativa o conteúdo da
BIOS. Assim, uma BIOS maliciosa pode personificar a BIOS leg´ıtima,
a partir da transmissão do resumo criptográfico correto, e desativar a
verifica¸cão de assinaturas digitais no caminho seguinte da cadeia de
confian¸ca.
Em último lugar, vale ressaltar que os autores observaram que a linha de
código no Gerenciador de Aplicativos (GAP), responsável pela verifica¸cão
de integridade das bibliotecas dinâmicas, encontrava-se desativada com um
comentário, atestando que mesmo que a cadeia de confian¸ca seja estabelecida
de forma correta, o processo de verifica¸cão de integridade ainda é sujeito a
sabotagens ou erros de programa¸cão.
O Relatório da SBC já apresentava ceticismo expl´ıcito a respeito da
possibilidade de auto-verifica¸cão de software através de técnicas cripto-
gráficas [13, página 24]. À esta preocupa¸cão, soma-se a observa¸cão de que
garantir que o software sendo executado na urna eletrônica é exatamente o
mesmo produzido pelo TSE não torna o software seguro, apenas confirma
sua origem, mesmo quando o mecanismo de verifica¸cão de integridade de
software funciona corretamente.
O problema de verifica¸cão de integridade de software é endêmico em
sistemas de vota¸cão eletrônica. Este é um problema particularmente dif´ıcil
de se resolver na prática. A mesma limita¸cão nos controles de integridade
também foi observada no software da urna eletrônica utilizada nos Estados
Unidos [23, Problemas 4.1.5 e 4.1.6]. É por essa razão que se recomenda
a instala¸cão de mecanismos que forne¸cam capacidade de verifica¸cão inde-
pendente de software dos resultados, para que os resultados da elei¸cão não
dependam unicamente da integridade do software.
Recomenda¸cão. Promover a verifica¸cão ativa do conteúdo da BIOS
pelo módulo de seguran¸ca em hardware. Essa recomenda¸cão coincide com
observa¸cões realizadas pelo Grupo 6 durante os Testes Públicos de Segu-
ran¸ca [25]. De forma mais geral, recomenda-se transferir a pressão da
verifica¸cão de integridade do software para a verifica¸cão independente dos
resultados produzidos pelo software.
4.1.4 Compartilhamento de chaves criptográficas
Todas as urnas eletrônicas em opera¸cão no pa´ıs utilizam a mesma chave
criptográfica para cifrar as parti¸cões protegidas nos cartões de memória.
24

O vazamento dessa chave criptográfica tem impacto devastador e revela ao
atacante o conteúdo completo dos cartões de memória, incluindo a´ı o soft-
ware de vota¸cão, os mecanismos de verifica¸cão de integridade implementados
em software e a chave privada RSA que realiza a assinatura digital dos pro-
dutos públicos de vota¸cão [26]. Esta última chave é compartilhada ainda por
todas as urnas eletrônicas da mesma unidade federativa [27] e seu vazamento
permite a uma atacante produzir um arquivo forjado (LOG, RDV ou BU)
mas verificado como autêntico, em nome de uma urna escolhida arbitraria-
mente. Observa-se que o módulo de seguran¸ca em hardware introduzido nas
urnas eletrônicas possui capacidade ociosa para armazenamento seguro de
chaves privadas [21]. Ou seja, o sigilo da chave privada e, conseqüentemente,
a integridade dos boletins de urna com a totaliza¸cão parcial dos votos, re-
side apenas na confidencialidade de uma chave de cifra¸cão compartilhada
por meio milhão de equipamentos [5].
Em posi¸cão oficial, o TSE argumenta que utilizar chaves múltiplas para
cifrar os mesmos arquivos pode revelar alguma caracter´ıstica estat´ıstica do
texto claro cifrado [28]. Ataques dessa natureza já são estudados na li-
teratura criptográfica, mas não representam nenhum perigo prático rele-
vante [29]. Fica claro, portanto, que este risco nem de perto se compara
ao vazamento da chave massivamente compartilhada. A utiliza¸cão de um
modo de opera¸cão que aleatoriza o texto claro também elimina trivialmente
este risco quando o texto claro não pode ser escolhido arbitrariamente pelo
atacante [29], como é o caso discutido aqui.
Recomenda¸cão. Atribuir uma chave criptográfica distinta para cada
equipamento, ou pelo menos, para cada cartão de memória utilizado para
inseminar um conjunto reduzido de urnas eletrônicas. Mecanismos de de-
riva¸cão de chaves são ferramentas criptográficas projetadas exatamente para
resolver este problema.
4.1.5 Presen¸ca de chaves no código-fonte
O compartilhamento da chave de cifra¸cão das m´ıdias é agravado pela sua
presen¸ca às claras no código-fonte do software. Isto significa que qualquer
agente interno que possua acesso ao repositório onde é mantido o código-
fonte também possui automaticamente acesso à chave criptográfica que pro-
tege as parti¸cões cifradas dos cartões de memória, podendo realizar o vaza-
mento de impacto devastador mencionado anteriormente. Além disso, isto
também significa que a chave de cifra¸cão faz parte do módulo do sistema
operacional responsável por acessar a parti¸cão cifrada e tornar dispon´ıvel seu
conteúdo, e por isso precisa estar armazenada às claras dentro do próprio
cartão de memória. Ou seja, o objeto cifrado é armazenado no mesmo lu-
gar em que é armazenada a chave criptográfica que o decifra, qualificando
este mecanismo como apenas de ofusca¸cão ao invés de verdadeira seguran¸ca.
Basta que um atacante conhe¸ca a posi¸cão em que é armazenada a chave de
25

cifra¸cão, por análise da por¸cão do software armazenada às claras nos cartões
de memória, para que o vazamento da chave se torne poss´ıvel até para agen-
tes externos.
Recomenda¸cão. Armazenar a chave de cifra¸cão no módulo de segu-
ran¸ca em hardware ou, preferivelmente, em dispositivo criptográfico seguro
externo ao ambiente da urna eletrônica.
4.1.6 Cifra¸cão fora dos limites de opera¸cão
O algoritmo de cifra¸cão das parti¸cões protegidas nos cartões de memória é o
Advanced Encryption Standard (AES) [30] no n´ıvel de seguran¸ca de 256 bits,
padrão vigente para cifra¸cão em aplica¸cões cr´ıticas. O modo de opera¸cão
selecionado é o Cipher Block Chaining (CBC). A combina¸cão de algoritmo e
modo de operacão é particularmente recomendada. Entretanto, o modo de
opera¸cão compartilha, além da mesma chave de cifra¸cão, o mesmo vetor de
inicializa¸cão, elemento responsável justamente por aleatorizar o texto claro a
ser cifrado e eliminar qualquer propriedade estat´ıstica indesejável ao se cifrar
o mesmo programa com chaves múltiplas. Escolher de forma uniformemente
aleatória um novo vetor de inicializa¸cão para cada opera¸cão de cifra¸cão é
requisito inclusive do modo de opera¸cão CBC [31]. A argumenta¸cão de
se utilizar, por alguma questão estat´ıstica, uma única chave compartilhada
para cifrar todas as m´ıdias de todas as urnas perde completamente o sentido
quando o próprio modo de opera¸cão de cifra¸cão não está sendo utilizado de
forma correta e dentro dos limites de opera¸cão onde sua seguran¸ca é bem
entendida.
Recomenda¸cão. Selecionar um novo vetor de inicializa¸cão para cada
opera¸cão de cifra¸cão realizada pelo software da urna eletrônica, respeitando
assim a especifica¸cão do modo de opera¸cão escolhido.
4.1.7 Escolha inadequada de algoritmos
Além da escolha absolutamente inadequada de algoritmo para gera¸cão de
números pseudo-aleatórios, o software da urna eletrônica também utiliza a
fun¸cão de resumo criptográfico SHA-1 [32] para fins de assinatura digital e
verifica¸cão de integridade. Esta fun¸cão de resumo espec´ıfica tem uso não-
recomendado para essas aplica¸cões desde 2006, quando se verificou que a
mesma não fornecia a resistência a colisões esperada, ficando recomendada
como prudente a migra¸cão rápida para fun¸cões de resumo mais seguras [33].
Recomenda¸cão. Utilizar um gerador de números pseudo-aleatórios de
qualidade criptográfica, como comentado na Se¸cão 3.6, e uma fun¸cão de re-
sumo criptográfico padronizada e resistente a colisões, como as pertencentes
à fam´ılia SHA-2 [32]. Caso o comprimento da cadeia de caracteres produ-
zida como sa´ıda da fun¸cão de resumo seja cr´ıtico para a conferência por
humanos, basta utilizar uma fun¸cão de resumo com seguran¸ca superior à
26

necessária e truncar o resultado.
4.1.8 Implementa¸cões repetidas de primitivas criptográficas
Os autores encontraram diversas implementa¸cões repetidas de algoritmos
criptográficos ao longo da base de código. A impressão é que cada compo-
nente de software que utiliza um algoritmo criptográfico recebe sua própria
implementa¸cão do algoritmo, dificultando em muito a auditoria completa de
todas as implementa¸cões e aumentando significativamente a chance de erro.
Recomenda¸cão. Concentrar todas as implementa¸cões de primitas crip-
tográficas em uma mesma biblioteca cr´ıtica de fun¸cões que permita fácil au-
ditoria de suas propriedades. Ou ainda, utilizar uma biblioteca criptográfica
com reputa¸cão estabelecida, como o OpenSSL [20].
4.2 No processo de desenvolvimento
As fragilidades discutidas na Se¸cão anterior são produto de um processo de
desenvolvimento de software também frágil. Discutimos a seguir as fragili-
dades encontradas ou inferidas pelo contexto nesse processo de desenvolvi-
mento. Vários dos mesmos problemas foram também detectados no processo
de desenvolvimento da urna utilizada nos Estados Unidos [23, Se¸cão 4.3].
4.2.1 Complexidade acentuada
Seguran¸ca advém de simplicidade, transparência e correta avalia¸cão de pre-
missas e condi¸cões de confian¸ca. O volume de milhões de linhas de código-
fonte empregado para se realizar elei¸cões no Brasil elimina qualquer possi-
bilidade de auditoria completa ou eficaz do software. Pode-se argumentar
que uma parte significativa dessas milhões de linhas são provenientes do sis-
tema operacional e não precisam de auditoria. Entretanto, verificou-se que o
TSE realiza interven¸cões nos componentes do sistema operacional, para por
exemplo inserir a chave criptográfica de cifra¸cão no módulo correspondente.
Além disso, quando não há compartimentaliza¸cão suficiente, mesmo vulne-
rabilidades em trechos inofensivos de código podem criar vulnerabilidades
severas em trechos cr´ıticos que afetem os mecanismos de seguran¸ca.
Um volume de código dessa magnitude irá possuir, inevitavelmente, vul-
nerabilidades que podem ser exploradas. Por essa razão, a base de código
deve ser completamente orientada em torno de um pequeno conjunto cr´ıtico
de funcionalidades, das quais depende o funcionamento correto e seguro do
equipamento. Como um valor de referência, os pesquisadores que realiza-
ram a avalia¸cão das máquinas de votar dos Estados Unidos em um intervalo
de 60 dias conclu´ıram que os milhares de código dedicados às camadas de
aplica¸cão daquele equipamento são de complexidade tal que não é poss´ıvel
tornar o software seguro [23, Problema 4.1.2].
27

Recomenda¸cão. Reduzir o volume de código a partir de técnicas de
reuso e componentiza¸cão, como exemplificado na Se¸cão 4.1.8. Evitar inter-
ven¸cões no código-fonte externo ao TSE e isolar as por¸cões de código de
sistema operacional e aplica¸cão para facilitar a auditoria interna do soft-
ware.
4.2.2 Auditoria externa insuficiente
Os partidos possuem a prerrogativa legal de examinar o código-fonte do
software da urna eletrônica, mas para isso precisam assinar um Acordo de
Não-Divulga¸cão (AND) que os impede de detalhar publicamente qualquer
problema observado no código, mediante imposi¸cão legal. Desta forma, os
fiscais de partidos são impedidos de prestar contas à sociedade sobre a qua-
lidade do que é feito no software, enquanto agentes desonestos possuem toda
a liberdade para tentar articular fraudes eleitorais, sem qualquer risco de va-
zamento dos detalhes das vulnerabilidades encontradas. Como a fiscaliza¸cão
por investigadores independentes é extremamente limitada, consistindo em
apenas alguns dias e sob monitora¸cão completa, ou mais recentemente, por
um per´ıodo em que a imensa base de código é constantemente modificada
e em condi¸cões inadequadas, na prática nenhuma fiscaliza¸cão efetiva é rea-
lizada sobre o software do sistema eletrônico de vota¸cão. Como afirma de
forma contundente o Relatório SBC [13, página 23]:
A seguran¸ca e corretude dos programas usados na urna baseia-se
em confiar na boa fé dos técnicos do TSE. Repetimos: não há
nenhuma razão para duvidar da boa fé destas pessoas. Mas isto
fere as boas práticas de seguran¸ca.
Como a integridade dos resultados depende unicamente da integridade
desse software, fica montado um cenário perfeito para fraudes que não dei-
xam vest´ıgios.
Recomenda¸cão. Permitir a auditoria do código-fonte por qualquer
cidadão brasileiro, especialista ou não, sem qualquer obstáculo legal.
4.2.3 Ausência de análise estática de código
A fam´ılia de fun¸cões vulnerável utilizada para embaralhamento dos votos é
detectada como potencialmente insegura por qualquer ferramenta de análise
estática de código. A ferramenta gratuita Flawfinder [34], por exemplo, pro-
duz o seguinte alerta quando examina um trecho de código contendo a cha-
mada de fun¸cão, como por exemplo o programa de análise que implementa
o Algoritmo 3.3:
This function is not sufficiently random for security-related func-
tions such as key and nonce creation. Use a more secure techni-
que for acquiring random values.
28

Recomenda¸cão. Utilizar ferramentas sofisticadas de análise de código
para minimizar o impacto de erros de programa¸cão que produzem vulnera-
bilidades, respeitando as boas práticas para desenvolvimento de software de
missão cr´ıtica.
4.2.4 Formula¸cão equivocada de modelo de atacante
O projeto de mecanismos de seguran¸ca utilizado preocupa-se exagerada-
mente com atacantes externos e ignora o risco de atacantes internos. Em
particular, como demonstra a própria posi¸cão oficial do TSE [28], a deteçcão
de comportamento malicioso por agentes internos é reduzida a processos de
auditoria também executados por humanos, obviamente internos. A questão
da chave compartilhada de cifra¸cão é um exemplo perfeito deste fenômeno,
visto que há enorme preocupa¸cão com ataques estat´ısticos esotéricos monta-
dos por atacantes externos, enquanto o risco muito maior de vazamento da
chave por um agente interno é completamente ignorado. O armazenamento
às claras desta mesma chave de cifra¸cão dentro da própria urna eletrônica
evidencia que os mecanismos de seguran¸ca não são projetados para resistir
a atacantes que dispõem de informa¸cão privilegiada.
Recomenda¸cão. Adotar mecanismos de seguran¸ca que resistam a agen-
tes externos e, particularmente, a agentes internos que os conhecem em seus
m´ınimos detalhes.
4.2.5 Ausência de exerc´ıcios internos
Em reunião após a audiência pública para presta¸cão de contas, realizada en-
tre a equipe e vários membros dos setores responsáveis pelas fases de projeto,
produ¸cão e log´ıstica da urna eletrônica, os autores ofereceram a possibili-
dade de ministrar uma palestra técnica para detalhar todos os problemas
encontrados no software e o racioc´ınio espec´ıfico que os levou à deteçcão e
explora¸cão da vulnerabilidade discutida no Cap´ıtulo 3. A proposta foi bem
recebida, por permitir aos interessados o entendimento exato de “como fun-
ciona a mente do atacante”, nas palavras dos próprios membros do TSE.
Não houve convite concreto posterior para tal, mas a leitura dos autores a
partir dessa afirma¸cão é de que não existe um time interno responsável por
simular o atacante, exercitar metodologias de ataque e tentar derrotar os
mecanismos de seguran¸ca.
Recomenda¸cão. Instituir, treinar e orientar um time interno de ata-
cantes simulados, prática recomendada para software de missão cr´ıtica [23].
Não faz sentido projetar mecanismos de seguran¸ca sem que existam tentati-
vas simultâneas de subvertê-los.
29

4.2.6 Falta de treinamento formal
As fragilidades discutidas nesse Cap´ıtulo, presentes inclusive em mecanismos
cr´ıticos de seguran¸ca, demonstram claramente que os membros da equipe de
desenvolvimento de software do TSE não recebem treinamento suficiente
para implementar software de seguran¸ca. A própria hipótese formulada
pelos autores, ainda na palestra de abertura, de que o mecanismo de em-
baralhamento dos votos poderia não ter sido projetado e implementado de
forma segura, por entender que apenas uma equipe com treinamento for-
mal poderia fazê-lo, já demonstra o grau da falta de treinamento observado.
A ausência de simula¸cões internas que modelem satisfatoriamente atacan-
tes plaus´ıvels, por falta de entendimento sobre o modo de atua¸cão de um
atacante, também corrobora essa observa¸cão, visto que um profissional com
treinamento adequado na área de seguran¸ca já naturalmente costuma se
alternar entre os papéis de projetista e atacante por todo o tempo.
Recomenda¸cão. Instituir uma pol´ıtica para treinamento especializado
da equipe de desenvolvimento é fundamental para se incrementar a qualidade
geral do software. Não é plaus´ıvel esperar software seguro como resultado
do trabalho de uma equipe de desenvolvimento sem treinamento formal.
4.2.7 Disponibiliza¸cão de dados cr´ıticos aos investigadores
As máquinas dedicadas por exibir o código-fonte na sala lacrada durante os
Testes Públicos de Seguran¸ca pareciam ter vindo diretamente da equipe de
desenvolvimento. A razão para tal é a disponibiliza¸cão para todos os inves-
tigadores de informa¸cões cr´ıticas a respeito de nomes de usuário, senhas e
o caminho na rede interna para servidores de versionamento do código da
urna. Um atacante externo que consiga invadir a rede interna do TSE e
esteja munido dessas informa¸cões consegue ainda realizar altera¸cões malici-
osas no código-fonte e efetivá-las sob a alcunha de um membro leg´ıtimo da
equipe de desenvolvimento, transferindo completamente para um inocente a
responsabilidade por seus atos.
Recomenda¸cão. Sanitizar equipamentos disponibilizados para visitan-
tes externos, para que os mesmos não revelem informa¸cões cr´ıticas.
4.2.8 Ignorância da literatura relevante
Como discutido no Cap´ıtulo 3, a vulnerabilidade encontrada no embara-
lhamento dos votos é conhecida há pelo menos 17 anos [24]. Além disso,
várias fragilidades apresentadas nesse relatório já foram descritas em laudos
técnicos de outros sistemas de vota¸cão [23], e mesmo em do próprio [13],
os quais contrariam o bom senso e a especifica¸cão formal das técnicas crip-
tográficas utilizadas. A persistência desses problemas em uma base de código
com 16 anos de história é injustificável e evidencia claramente que a equipe
30

de desenvolvimento do TSE não acompanha de forma adequada os movi-
mentos relevantes na área de vota¸cão eletrônica.
Recomenda¸cão. Responsabilizar parte da equipe de desenvolvimento
por estudar e disseminar avan¸cos relevantes de caráter acadêmico ou prático
para a seguran¸ca de sistemas.
4.2.9 Falsa sensa¸cão de seguran¸ca
A repeti¸cão incessante de que a urna eletrônica brasileira é absolutamente se-
gura e inviolável, mesmo que isso constitua até uma impossibilidade teórica,
perturba o senso cr´ıtico dos membros da equipe de desenvolvimento, que
terminam por suspender seus próprios mecanismos de avalia¸cão. O processo
de desenvolvimento do software da urna eletrônica parece funcionar sob o
efeito de suspensão de descren¸ca, instalando uma falsa sensa¸cão de seguran¸ca
generalizada. Este não é o ambiente ideal para se desenvolver solu¸cões de
seguran¸ca, especialmente quando as mesmas precisam satisfazer o requisito
de missão cr´ıtica.
Recomenda¸cão. Adequar o processo de desenvolvimento de software
para que estimule a verifica¸cão mútua e cr´ıtica do trabalho realizado, com
parâmetros realistas de avalia¸cão.
31

Cap´ıtulo 5
Conclusões e perspectivas
Este relatório apresentou um conjunto de vulnerabilidades no software da
urna eletrônica que permitiram a recupera¸cão eficiente, exata e sem deixar
vest´ıgios dos votos em ordem registrados eletronicamente. Associando essa
informa¸cão à lista em ordem de vota¸cão dos eleitores, obtida externamente,
possibilita a viola¸cão completa do sigilo do voto. A partir do registro cro-
nológico de eventos, também é poss´ıvel recuperar um voto computado em
um instante de tempo espec´ıfico. As conseqüências dessas vulnerabilida-
des foram discutidas sob um modelo realista de atacante e corre¸cões foram
sugeridas. Diversas fragilidades adicionais no software ou processo de de-
senvolvimento que o produz também foram detectadas e aqui discutidas,
com recomenda¸cões concretas de mitiga¸cão. Em particular, demonstrou-se
como derrotar o único mecanismo de prote¸cão do sigilo do voto utilizado
pelo software da urna eletrônica.
A necessidade de se instalar recursos para avalia¸cão cient´ıfica, indepen-
dente e cont´ınua do software torna-se evidente, havendo ampla disponibi-
lidade de especialistas na academia e indústria capazes de contribuir na
dire¸cão do incremento real das propriedades de seguran¸ca na solu¸cão ado-
tada para vota¸cão eletrônica no pa´ıs.
Esse conjunto de fragilidades e vulnerabilidades termina apenas por for-
necer evidências materiais para as preocupa¸cões já levantadas pelo Relatório
SBC de 2002 [13, Considera¸cões Finais]. Em particular, pode-se concluir que
não houve incremento significativo nas propriedades de seguran¸ca fornecidas
pelo software da urna eletrônica nos últimos 10 anos. Continuam preocu-
pantes a prote¸cão inadequada do sigilo do voto, a impossibilidade prática
de auditoria completa ou minimamente eficaz do software, e a verifica¸cão
insuficiente ou inóqua de integridade do software de vota¸cão. Como estas
três propriedades são atualmente cr´ıticas para garantir o anonimato e des-
tina¸cão correta dos votos computados, resta aos autores repetir as conclusões
do Relatório SBC e defender a reintrodu¸cão do voto impresso nos termos
apresentados em [13, página 29] como mecanismo simples de verifica¸cão de
32

integridade dos resultados da elei¸cões. O voto impresso distribui a auditoria
do software entre todos os eleitores, que tornam-se responsáveis por conferir
que seus votos foram registrados corretamente pela urna eletrônica, desde
que apura¸cão posterior seja realizada para verificar que a contagem dos vo-
tos impressos corresponde exatamente à totaliza¸cão eletrônica parcial. Essa
apura¸cão pode ser realizada por amostragem, de forma a não haver impacto
significativo na latência para divulga¸cão dos resultados. Vale ressaltar que
o voto impresso é para fins de conferência apenas no interior da se¸cão eleito-
ral e não pode servir de comprovante no ambiente externo à se¸cão eleitoral,
como determina a legisla¸cão a respeito [35]. A proposta de voto impresso
retornaria para o sistema brasileiro de vota¸cão nas elei¸cões de 2014, mas in-
felizmente foi suspensa por alega¸cões questionáveis de inconstitucionalidade.
Um movimento nesta dire¸cão acompanharia a tendência mundial vigente
em sistemas de vota¸cão eletrônica. Com a ado¸cão do voto impresso pela
Índia, o Brasil permanece como o único pa´ıs no mundo a adotar sistema de
vota¸cão sem verifica¸cão independente de resultados. Acreditamos que por
esse motivo, e dadas as fragilidades discutidas neste relatório, o software
utilizado no sistema de vota¸cão eletrônica brasileiro não satisfaz requisitos
m´ınimos e plaus´ıveis de seguran¸ca e transparência.
33

Referências Bibliográficas
[1] Janino, G. D.; Balcão Filho, A.; Montes Filho, A.; Lima-Marques, M;
Dahab, R.: Relatório do Comitê Multidisciplinar nomeado pela Portaria-
TSE 192, 2009.
[2] Stevens, M.: New collision attacks on SHA-1 based on optimal joint
local-collision analysis. EUROCRYPT 2013.
[3] Rivest, R. L.; Wack, J. P.: On the notion of “software independence”
in voting systems. Philosophical Transactions of The Royal Society A
366 (1881), 2008. Available at http://people.csail.mit.edu/rivest/
pubs.html#Riv08b
[4] Tribunal Superior Eleitoral. Edital No 01/2012. Arquivo dis-
pon´ıvel em http://www.justicaeleitoral.jus.br/arquivos/
tse-2-edicao-dos-testes-de-seguranca-na-urna-eletronica
[5] Azevedo, R.: Aspectos Técnicos da Seguran¸ca do Sistema
Eletrônico de Vota¸cão. Dispon´ıvel em http://www.tse.jus.br/
hotSites/testes-publicos-de-seguranca/arquivos/material/
Apresentacao_aspectos-tecnicos.pdf
[6] Grupo 1. Plano de Teste GP1T1 – Tentativa não-rastreável de quebra
de sigilo de vota¸cão. Dispon´ıvel em http://www.tse.jus.br/hotSites/
testes-publicos-de-seguranca/arquivos/G1PT1.pdf
[7] Grupo 1. Plano de Teste GP1T2 – Tentativa não-rastreável de fraude
no resultado de vota¸cão. Dispon´ıvel em http://www.tse.jus.br/
hotSites/testes-publicos-de-seguranca/arquivos/G1PT2.pdf
[8] Presidência da República. Lei No 10.740, de 1o de Outubro de 2003.
Dispon´ıvel em http://www.planalto.gov.br/ccivil_03/leis/2003/
l10.740.htm
[9] Tribunal Superior Eleitoral. Edital No 05/2012. Dispon´ıvel em http:
//www.tse.jus.br/hotSites/testes-publicos-de-seguranca/
arquivos/TSE-edital-5-2012-criterios-de-classificacao.pdf
34

[10] Comissão de Avalia¸cão. Avalia¸cões sobre o Teste de Segu-
ran¸ca. Arquivo dispon´ıvel em http://www.tse.jus.br/hotSites/
testes-publicos-de-seguranca/arquivos/RelatorioFinal.pdf
[11] Presidência da República. Lei No 9.504, de 30 de Setembro de
1997. Dispon´ıvel em http://www.planalto.gov.br/ccivil_03/leis/
l9504.htm
[12] Presidência da República. Lei No 10.408, de 10 de Janeiro de 2002.
Dispon´ıvel em http://www.planalto.gov.br/ccivil_03/leis/2002/
L10408.htm
[13] van de Graaf, J.; Custódio, R. F.: Tecnologia Eleitoral e a
Urna Eletrônica – Relatório SBC 2002. Dispon´ıvel em http:
//www.sbc.org.br/index.php?option=com_jdownloads&Itemid=
195&task=view.download&catid=77&cid=107
[14] Wheeler, D.: Secure Programming for Linux and Unix HOWTO,
2003. Dispon´ıvel em http://www.dwheeler.com/secure-programs/
Secure-Programs-HOWTO.html
[15] Tribunal Superior Eleitoral. Especifica¸cão do Arquivo e Registro de Log
das Urnas Eletrônicas para as Elei¸cões 2008, Versão 2. Dispon´ıvel em
http://www.tse.gov.br/internet/eleicoes/arquivos/logs2008/
EspecificacaoArquivoRegistroLogUrnasEletronicasEleicoes2008.
pdf
[16] Presidência da República. Lei No 4.737, de 15 de Julho de 1965. Dis-
pon´ıvel em http://www.planalto.gov.br/ccivil_03/leis/l4737.
htm
[17] Agência de Not´ıcias da Justi¸ca Eleitoral. Presidente do TSE vota em
trânsito na capital federal. Dispon´ıvel em http://agencia.tse.jus.
br/sadAdmAgencia/noticiaSearch.do?acao=get&id=1336461
[18] Correio Braziliense. Presidente do TSE, Ricardo Lewandowski, vota em
trânsito no IESB. Dispon´ıvel em http://www.correiobraziliense.
com.br/app/noticia/especiais/eleicoes2010/2010/10/03/
interna_eleicoes2010,216159/index.shtml
[19] National Institute of Standards and Technology. FIPS 186-1 – Digital
Signature Standard (DSS), 1998.
[20] The OpenSSL Project. Dispon´ıvel em http://www.openssl.org/
[21] Tribunal Superior Eleitoral. Aquisi¸cão de Urnas Eletrônicas – UE2009
/ PB – Projeto Básico. http://www.tse.jus.br/transparencia/
arquivos/tse-projeto-basico-audiencia-publica-2009
35

[22] AMD. Design without compromise, 2007. Dispon´ıvel em http://www.
amd.com/us/Documents/33358e_lx_900_productb.pdf.
[23] Calandrino, J. A.; Feldman, A. J.; Halderman, J. A.: Wagner,
D.; Yu, H.; Zeller, W. P.: Source Code Review of the Diebold Vo-
ting System, 2007. Dispon´ıvel em https://jhalderm.com/pub/papers/
diebold-ttbr07.pdf.
[24] Goldberg, I.; Wagner, D.: Randomness and the Netscape Browser. Dr.
Dobb’s Journal, 1996.
[25] Grupo 6. Plano de Teste GP6T1 – Teste de seguran¸ca do sistema
eletrônico de vota¸cão do TSE. Dispon´ıvel em http://www.tse.jus.br/
hotSites/testes-publicos-de-seguranca/arquivos/G6PT1.pdf
[26] Tribunal Superior Eleitoral. Elei¸cões 2010 – Lista-
gem de Hashs. Dispon´ıvel em http://www.tse.jus.br/
arquivos/tse-urna-eletronica-modelo-2009-eleicoes-2010-
turno-1-e-2-atualizado-em-22-09-2010-991ue09
[27] Tribunal Superior Eleitoral. Sistema OKEY - 1o Turno, 2010. Dis-
pon´ıvel em http://www.tse.jus.br/arquivos/tse-chaves-das-u.f.
s-eleicoes-2010-turno-1-e-2-991okey
[28] Coluna Seguran¸ca Digital, por Altieres Rohr. Falha na urna
brasileira “reproduzia fielmente” erro de 1995, diz professor.
http://g1.globo.com/platb/seguranca-digital/2012/05/28/
falha-na-urna-brasileira-reproduzia-fielmente-erro-de-1995
-diz-professor/
[29] Hong, J.; Sarkar, P.: New Applications of Time Memory Data Trade-
offs. ASIACRYPT 2005: 353-372.
[30] National Institute of Standards and Technology. FIPS 197 – Advanced
Encryption Standard (AES), 2001. Dispon´ıvel em http://csrc.nist.
gov/publications/fips/fips197/fips-197.pdf
[31] National Institute of Standards and Technology. Recommendation for
Block Cipher Modes of Operation, 2001. Dispon´ıvel em http://csrc.
nist.gov/publications/nistpubs/800-38a/sp800-38a.pdf
[32] National Institute of Standards and Technology. FIPS 180-2 – Secure
Hash Standard (SHS), 2002. Dispon´ıvel em http://csrc.nist.gov/
publications/fips/fips180-2/fips180-2.pdf
[33] National Institute of Standards and Technology. NIST comments
on Cryptanalytic Attacks on SHA-1, 2006. http://csrc.nist.gov/
groups/ST/hash/statement.html
36

[34] Wheeler, D.: Flawfinder. Dispon´ıvel em http://www.dwheeler.com/
flawfinder/
[35] Presidência da República. Lei No 12.034, de 29 de Setembro
de 2009. Dispon´ıvel em http://www.planalto.gov.br/ccivil_03/
_ato2007-2010/2009/lei/l12034.htm
37

Relatorio urna

Mais conteúdo relacionado

Mais procurados (9)

Destaque (9)

Semelhante a Relatorio urna (12)

Mais de João Rufino de Sales (20)

Relatorio urna