Hacker revela como fraudou eleição no Rio

Foto da reunião de apresentação da fraude

Sim, a notícia é preocupante e ao que tudo indica é verdadeira. Durante um seminário organizados por dois partidos (PR e PDT) um jovem hacker (na verdade ele agiu como cracker no caso, mas essa é outra discussão) mostrou como ele fraudou a eleição. ATENÇÃO: não se trata de um caso que o jovem mostra como seria possível fraudar a eleição, e sim o caso onde, acompanhado por um delegado de polícia, mostrou aos presentes como ele FRAUDOU as últimas eleições.

Dada a gravidade do fato uma longa discussão está sendo travada em canais que levam o assunto a sério, como a lista de discussão do Voto Seguro, liderada pelo maior ativista da insegurança nas urnas no Brasil, Amílcar Bueno; a lista Transparência Hacker, que contém uma série de pessoas engajadas em usar a tecnologia para o bem; e por fim o Portal Vio Mundo, conhecido por ser a  “contra-inteligência” da imprensa de direita brasileira. Marco Gomes, presidente da boo-box que também é Calango, também comentou o assunto no seu twitter.

A grande pergunta a ser respondida é: o jovem de fato fraudou a eleição ou está apenas querendo aparecer ou fazendo alarde sem ter provas?

Bom, não pretendo comentar sobre a personalidade do garoto, muito menos imaginar o que ele ganharia vivendo sob proteção policial. O objetivo aqui é responder a seguinte pergunta: tecnicamente, a violação da urna é possível?

escrevi aqui sobre os vários problemas da Urna Eletrônica que o TSE vendeu pra sociedade como maravilhosa e totalmente segura, mas para quem não conhece o assunto vou elencar os principais problemas que vejo:

  • Problema básico: o código-fonte do sistema não é aberto, então não podemos fazer auditoria no sistema. O TSE argumenta que os partidos têm acesso ao código 90 dias antes da eleição, mas desafio qualquer um a conhecer inteiramente um sistema com mais de 1,5 milhão de linhas de código em 90 dias;
  • O código do SO que hospeda a urna também é fechado, então além de não podermos ver se há problemas no programa não podemos analisar o SO;
  • O hardware que hospeda a urna é fechado, então não podemos saber o que o fabricante do hardware colocou ali para termos certeza. Já pensou se o seu computador começa a realizar operações sem a sua autorização sem você saber? Acha impossível? Veja esse caso aqui.
  • O processo possui falhas de segurança, e esse ponto é preocupante. O TSE argumenta que a segurança das urnas está no processo, mas o mesmo está sujeito a falhas elementares.
  • Se o processo apresentar algum erro, é simplesmente impossível recontar os votos. Toda a confiança está no computador, já que não existe registro físico dos votos. É como se de repente eliminássemos todos os documentos em papel e começássemos a usar somente processos eletrônicos SEM BACKUP. Você confia?

Finalmente, veja um resumo de artigos sobre o tema aqui no site do Prof. Pedro Rezende, com quem tive a honra de estudar e acabou se tornando um dos maiores especialistas sobre o tema no Brasil.

Então vamos atacar o ponto citado na reportagem. O que o cara fez? Toda urna gera um registro eletrônico conhecido como Boletim de Urna, que possui um log de todas as votações daquela urna. Esse dispositivo é levado fisicamente a algum local da região e de lá transmitido ao TRE. De lá segue para o TSE para totalização e contagem, aquela que as emissoras acompanham na época da apuração e adoram. O que o nosso amigo disse que fez foi entrar no link de Internet que transmitia a contagem para o TRE e alterar os resultados que eram enviados, fornecendo mais votos para um certo candidato.

O que ele diz que fez é mais ou menos o mesmo que um grampo telefônico: você entra no fio que está transmitindo a conversa e consegue ouvi-la, ou pode desviar aquele fio para uma outra conversa que não era a intenção de quem discou. O mesmo vale para rede de computadores: as informações são armazenadas em pequenos pacotes, que são transmitidos por dispositivos físicos através de uma estrutura lógica na rede. Fazer isso com dados na Internet é o que chamamos de Wiretapping. Já escrevi sobre o caso também quando citei o que a Microsoft está fazendo com o Skype.

A segurança contra esse tipo de ataque é criptografar as transmissões de dados, de modo que mesmo interceptadas as informações não façam sentido para quem roubou. Além disso, é muito difícil conseguir penetrar num link de Internet corporativo, mas como Rangel já falou que tinha acesso à rede privilegiada da OI, passa a ser totalmente possível plugar um cabo lá e instalar uma tecnologia que “roube” os pacotes de dados. Logo, a grande questão é: os dados eram criptografados?

Entrei em contato com o Prof. Pedro Rezende para saber se a fala do garoto fazia sentido e se era tecnicamente possível realizar o ataque, mas ainda não obtive resposta. Contudo, a grande questão passa pela organização das redes corporativas, e conhecendo o que conheço das redes de Governo, não duvido em nada que haja um ponto de comunicação onde os dados não sejam criptografados, até porque a maior parte das pessoas não acha isso importante. Pense: quando você vai fornecer seus dados na Internet você se preocupa em verificar se a conexão utiliza HTTPS ou aquele cadeado aparece no seu navegador?

Assim, não só acho possível que o ataque tenha acontecido como acredito realmente nele. Há casos muito “estranhos” na eleição, como vários candidatos aparecendo com zero votos em suas sessões (nem eles votaram neles mesmos?) e algumas urnas apresentando erros quanto à confiabilidade do código-fonte que foi armazenado lá dentro. Poderiam ser falhas humanas, mas em que acreditar? Acreditamos que em toda eleição acontece um monte de erros ou que simplesmente tem alguém tirando vantagem com essa votação?

Não caia no papo do TSE: a urna brasileira NÃO É SEGURA! Ela é tão ruim que nem o Paraguai quis as urnas fornecidas GRATUITAMENTE. O Brasil é o único país do mundo que utiliza esse tipo de urna, e já houve várias tentativas de deputados tentando adicionar mais segurança ao processo, mas aí esbarram no principal problema: o TSE não só é responsável por organizar as eleições, mas também julga todas as ações que dizem respeito à elas. No caso da votação assumem o papel do Juiz Dredd: são juízes e executores ao mesmo tempo. Isso é democracia?

Siga o portal dos Calangos nas redes sociais



2 Responses to Hacker revela como fraudou eleição no Rio