Paulo Pagliusi

CMG (RM1-IM), Ph.D., CISM

CEO MPSafe CyberSecurity Awareness

Vice-Presidente CSABR | Diretor ISACA-RJ

pagliusi@mpsafe.com.br

www.mpsafe.com.br

Twitter: @ppagliusi

www.cyber-manifesto.org

Sumário

Antes das eleições: funcionamento do processo eleitoral

A segurança da urna eletrônica

Diferença entre as gerações de voting machines

O teste aberto de segurança realizado em 2012

O caso do hacking adolescente

A urna atual está obsoleta? Ela é insegura?

Antes das eleições:

funcionamento do processo

eleitoral

Cadastro de Eleitores

Registro de Candidatos

Assinatura Digital de Sistemas Eleitorais

Geração de Mídias

Urna Eletrônica

É um microcomputador de uso específico composto por:

• Terminal do mesário ou micro terminal, onde o eleitor é identificado pelo número de seu título eleitoral e autorizado a votar.

• Terminal do eleitor, onde é registrado numericamente o voto.

Carga das Urnas Eletrônicas

Flashes de carga lacradas

Carga das Urnas Eletrônicas

Tabela de Correspondência

Após a carga, a tabela de correspondência é publicada na Internet.

São cadastradas todas as urnas válidas, incluindo:

• Urna de votação

• Urna de contingência

• Mesa receptora de justificativa eleitoral

Município: 61018 – ADAMANTINA

Zona Eleitoral: 0157

Seção Cód. UE Cód. F.C. Código da carga Data e hora

0001 00577979 F966FB1D 847.050.926.773.598.887.371.225

25/09/2006 08:31:27

Lacre Físico da Urna

Cada compartimento da urna é lacrado fisicamente com um conjunto de adesivos micro-serrilhados, assinados pelo juiz da seção eleitoral:

• Tampa do pen drive

• Tampa do cartão de memória

• Gabinete

• Micro terminal

• Tampa do conector do teclado alfanumérico ou porta USB

0000001

0000001

0000001

0000001

0000001

0000001

0000001

0000001

0000001

0000001

Processo de Votação

• Após às 7 horas do dia da eleição, a urna eletrônica é ligada.

• Na presença dos mesários e fiscais de partidos políticos, é emitido em cada seção eleitoral, um relatório de “zerésima”.

Zerésima

O relatório de “zerésima” contém toda a identificação daquela urna e comprova que nela estão registrados todos os candidatos com zero votos.

Habilitação do Eleitor

Após as 8 horas é iniciada a votação.

O mesário:

a) recebe do eleitor o título eleitoral;

b) digita o número do título no terminal do mesário;

c) identifica o eleitor, por meio do nome mostrado na tela do microterminal, e o autoriza a votar.

d) pressiona a tecla “Confirma” no terminal do mesário, e assim libera o terminal do eleitor, localizado em uma cabine indevassável.

Urna Biométrica

• A partir de 2006 começaram a ser fabricadas urnas com leitor biométrico.

Ato de Votar

Ao chegar à cabine, o eleitor encontra a urna eletrônica pronta para receber seu voto para o cargo indicado na tela.

Ato de Votar

• Após a digitação do número, a tela expõe visualmente o número, o nome, a sigla do partido e a fotografia do candidato.

• Essa apresentação da tela possibilita a conferência pelo eleitor.

• Feita a conferência, aciona-se a tecla “Confirma”. O voto, então, é contabilizado pela urna.

Ato de Votar

• A tecla “Corrige”, pressionada antes da confirmação, recomeça toda a operação.

• Ao corrigir a tela volta a situação original.

• Há a possibilidade do registro do voto “Em branco” mediante tecla específica.

• Concluída a votação, a urna eletrônica apresenta a tela “FIM”, permitindo que outro eleitor seja habilitado a votar.

Apuração

Após às 17 horas, quando a eleição é encerrada, o presidente da seção eleitoral, utilizando senha própria:

a) encerra a votação.

b) emite o “boletim de urna” da seção.

Boletim de Urna - Exemplo

Eleição Proporcional

Município: 01473 – MARTE Zona Eleitoral: 0005 Seção: 0006

Seções agregadas: Esta seção não possui seções agregadas.

Aptos: 184 Comparecimento: 165 Faltosos: 19

Tipo de urna: Apurada Origem: Urna Eletrônica

Data do recebimento: 25/09/2006 18:25:46 Código UE: 66142

Código da Carga: 000.664.580.006.134.900.062.755

Data da Carga: 25/09/2006 16:20:25 Código do FC: 30833A79

Cargo: Deputado Federal

Candidato/Legenda Quantidade de votos

2269 - CAIADO ROSENATO ERALDO KENNEDY 70

2270 - STELA LULA KENNEDY MODESTO 46

2271 - NILDO ARTUR LOPES ADROALDO 23

2299 - PERPETUO FARIAS MORIZ 1

2300 - RITA PICARELLI KENNEDY MODESTO 9

Votos válidos : 149

Votos em branco : 12

Votos nulos : 4

Votos anulados e apurados em separado : 0

Gravação do Pen Drive

• Emitido o boletim de urna, o sistema grava os dados contidos nos cartões de memória (flash card) em um pen drive.

Arquivos do Pen Drive

Diferença entre BU e RDV

Deputado Federal

Deputado Estadual

Senador Governador Presidente

9111 91111 911 91 91

9112 92112 921 92 92

9411 94111 BRANCO BRANCO BRANCO

9212 92112 921 94 94

9111 93111 NULO 91 BRANCO

Deputado Federal

9111 = 2

9112 = 1

9113 = 1

9212 = 1

9411 = 1

Brancos =0

Nulos=0

Deputado Estadual

91111 = 1

91112 = 2

93111 = 1

94111 = 1

Brancos =0

Nulos=0

Senador

911 = 1

921 = 2

931 = 0

Brancos =1

Nulos=1

Governador

91 = 2

92 = 1

94 = 1

Brancos =1

Nulos=0

Presidente

91 = 1

92 = 1

93 = 0

Brancos =2

Nulos=0

Boletim de Urna

Registro Digital do Voto

Envio dos Dados

• Cada pen drive contendo o resultado de uma seção eleitoral é transportado, em envelope lacrado, com a documentação da seção, para o local de transmissão.

• O pen drive é lido por programa específico da Justiça Eleitoral, que transmite os arquivos em rede “segura” para os TRE e para o TSE, para fins de totalização estadual e nacional e posterior divulgação.

Visão Geral do Processo Eleitoral

Retirada do Pen Drive

Transmissão do BU

Totalização dos BU no TRE

Divulgação dos resultados na INTERNET

Consolidação nacional dos resultados no TSE

Comunicação dos Dados

Seção Eleitoral

Impressão do BU

BU ASDJFHSDJFS

SADFJSJD LJ

DFJSDFJS SD

SKDFJSF HD

FJGDFJ KJ

JDKLSDS IT

HFFGHDD LI

DSHSDH RE

SKDFJSF HD

FJGDFJ KJ

JDKLSDS

Votação

Segurança da Urna Eletrônica

Mecanismos de Segurança da Urna Eletrônica

Objetivos da Votação Eletrônica: Garantir

• Apuração exata

• Confidencialidade do voto

• Impossibilidade de venda de voto

• Auditabilidade do eleitor

Propriedades de Segurança da Votação Eletrônica

As duas principais propriedades de segurança da votação referem-se ao anonimato e à destinação dos votos:

• Sigilo: votos devem ser secretos, de modo a prevenir sua venda e defender eleitores de coação por qualquer parte interessada;

• Integridade:

• votos devem refletir intenção dos eleitores individualmente

• sua apuração e totalização deve transferir a intenção coletiva dos eleitores para o resultado.

• Qualquer tentativa de violar a integridade de uma eleição deve ser detectável e corretamente atribuída.

Diferença entre as gerações de

voting machines

Os equipamentos de votação são classificados em diferentes modelos, organizados em níveis crescentes de transparência e decrescentes de dependência de software:

• 1ª Geração: Armazenamento eletrônico direto (DRE – Direct Recoding Electronic): os votos são armazenados e contabilizados de maneira puramente eletrônica, impedindo assim qualquer possibilidade de recontagem ou de verificação independente dos resultados, pois a adulteração não detectada do software causa distorções indetectáveis nos resultados.

Diferença entre as gerações de voting machines

• 2ª Geração: Voto impresso conferível pelo eleitor (VVPT – Voter Verified Paper Trail): os votos são impressos para verificação independente pelo eleitor e apuração posterior, sem no entanto funcionarem como comprovantes de suas escolhas.

Diferença entre as gerações de voting machines

Urna, com VVPT, usada no México desde 2012

• 3ª Geração: Verificabilidade fim-a-fim (E2E – End-to-end Verifiability): os eleitores podem verificar que seus votos foram registrados e contabilizados corretamente e que todos os votos foram incluídos no resultado final.

• Principal característica: independência do software e a grande facilidade de auditoria independente, de ponta a ponta, no processamento. digital do voto.

Diferença entre as gerações de voting machines

Maquina VotAR, com BVE, usada na Argentina desde

2010 e testada no Equador em 2014

35

Urna Eletrônica Brasileira: Mudança Radical no Modelo Aceito

A absoluta dependência da confiabilidade do software nos modelos DRE

encontrou muita resistência e a partir de 2004, na Venezuela, começou o fim do

ciclo de vida desse modelo, que passou a ser substituído por outros modelos

independentes do software.

Entre 2006 e 2012, a Holanda, a Alemanha, os EUA, o Canadá, a Rússia, a

Bélgica, a Argentina, o México, o Paraguai abandonaram o modelo DRE de 1ª

Geração.

Em 2014, chegou a vez da Índia e do Equador adotarem modelos mais

avançados, de maneira que restou apenas o Brasil ainda usando o modelo DRE

de 1ª Geração em todo o mundo.

O teste aberto de segurança realizado em

2012

Testes Públicos de Segurança

The Noite: Entrevista com vencedor do Teste Aberto

O caso do hacking

adolescente

http://revistagalileu.globo.com/Revista/Common/0,,EMI326470-17770,00-

HACKER+DE+ANOS+REVELA+COMO+FRAUDOU+ELEICOES+NO+RIO+DE+JANEIRO.html

A urna atual está obsoleta? Ela é insegura?

• Resultado do teste de 2012 apresentou conjunto de vulnerabilidades no software da urna eletrônica que permitiu a recuperação eficiente, exata e sem deixar vestígios dos votos em ordem registrados eletronicamente.

• Derrotou o único mecanismo de proteção do sigilo do voto utilizado pelo software de votação.

• A necessidade de se instalar recursos para avaliação científica, independente e contínua do software torna-se evidente.

• Há ampla disponibilidade de especialistas na academia e indústria, capazes de contribuir na direção do incremento real das propriedades de segurança na solução adotada para votação eletrônica no país.

A urna atual está obsoleta? Ela é insegura?

• Proteção inadequada ao sigilo do voto Recomendação. Eliminar o RDV e substitui-lo por um mecanismo que forneça a possibilidade real de verificação independente de resultados, como o voto impresso verificável pelo eleitor.

• Fonte inadequada de entropia (informação imprevisível) O software da urna eletrônica brasileira utilizava apenas a medida

do tempo em resolução de segundos como fonte de entropia, mesmo tendo disponíveis fontes de melhor qualidade em hardware. Recomendação. Para satisfazer o critério de aleatoriedade verdadeira, recomenda-se utilizar um gerador em hardware baseado em efeito físico bem estudado.

Fragilidades e Recomendações

• Proteção inadequada ao sigilo do voto Recomendação. Eliminar o RDV e substitui-lo por um mecanismo que forneça a possibilidade real de verificação independente de resultados, como o voto impresso verificável pelo eleitor.

• Fonte inadequada de entropia (informação imprevisível) O software da urna eletrônica brasileira utilizava apenas a medida

do tempo em resolução de segundos como fonte de entropia, mesmo tendo disponíveis fontes de melhor qualidade em hardware. Recomendação. Para satisfazer o critério de aleatoriedade verdadeira, recomenda-se utilizar um gerador em hardware baseado em efeito físico bem estudado.

Fragilidades e Recomendações

• Verificação insuficiente de integridade Recomendação. Transferir a pressão da verificação de integridade do software para a verificação independente dos resultados produzidos pelo software.

• Compartilhamento de chaves criptográficas Recomendação. Atribuir uma chave criptográfica distinta para cada equipamento, ou pelo menos, para cada cartão de memória utilizado para inseminar um conjunto reduzido de urnas eletrônicas.

• Presença de chaves no código-fonte O compartilhamento da chave de cifração das mídias é agravado pela sua presença às claras no código-fonte do software. Recomendação. Armazenar a chave de cifração no módulo de segurança em hardware ou, preferivelmente, em dispositivo criptográfico seguro externo ao ambiente da urna eletrônica.

Fragilidades e Recomendações

• Escolha inadequada de algoritmos software da urna eletrônica também utiliza função de resumo criptográfico para fins de assinatura digital e verificação de integridade com uso não recomendado desde 2006. Recomendação. Utilizar um gerador de números pseudoaleatórios de

qualidade criptográfica, e uma função de resumo criptográfico padronizada e segura.

• Além do software, no processo de desenvolvimento: Complexidade acentuada, Auditoria externa insuficiente. A segurança e corretude dos programas usados na urna baseia-se em confiar na boa fé dos técnicos do TSE. Não há razão para duvidar disto, mas isto fere as boas práticas de segurança.

• Formulação equivocada de modelo de atacante O projeto de mecanismos de segurança utilizado preocupa-se exageradamente com atacantes externos e ignora o risco de atacantes internos. Recomendação. Adotar mecanismos de segurança que resistam a agentes externos e, particularmente, a agentes internos que os conhecem em seus mínimos detalhes.

• Ausência de exercícios internos e • falta de treinamento formal

Fragilidades e Recomendações

• Esse conjunto de fragilidades e vulnerabilidades fornece evidências materiais para preocupações.

• Pode-se concluir que não houve incremento significativo nas propriedades de segurança fornecidas pelo software da urna eletrônica nos últimos 10 anos.

• Continuam preocupantes:

• a proteção inadequada do sigilo do voto

• a impossibilidade prática de auditoria completa ou minimamente eficaz do software

• a verificação insuficiente ou inócua de integridade do software de votação.

A urna atual está obsoleta? Ela é insegura?

• Como estas três propriedades são atualmente críticas para garantir o anonimato e destinação correta dos votos computados, defendemos a reintrodução do voto impresso (2ª ou 3ª Geração) como mecanismo simples de verificação de integridade dos resultados de eleições.

• O voto impresso distribui a auditoria do software entre todos os eleitores, que se tornam responsáveis por conferir que seus votos foram registrados corretamente pela urna eletrônica, desde que apuração posterior seja realizada para verificar que a contagem dos votos impressos corresponde à totalização eletrônica parcial.

A urna atual está obsoleta? Ela é insegura?

• Essa apuração pode ser realizada por amostragem, de forma a não haver impacto significativo na latência para divulgação dos resultados.

• Vale ressaltar que o voto impresso é para fins de conferência apenas no interior da seção eleitoral, e não pode servir de comprovante no ambiente externo à seção eleitoral, como determinava a legislação a respeito (LEI Nº 12.034, DE 29 DE SETEMBRO DE 2009).

• A proposta de voto impresso retornaria para o sistema brasileiro de votação nas eleições de 2014, mas infelizmente foi declarada inconstitucional sob alegações tecnicamente questionáveis.

A urna atual está obsoleta? Ela é insegura?

• Um movimento nesta direção acompanharia a tendência mundial vigente em sistemas de votação eletrônica.

• Com a adoção do voto impresso pela Índia, o Brasil permanece como o único país no mundo a adotar sistema de votação sem verificação independente de resultados.

• Acreditamos que por esse motivo, e dadas as fragilidades, o software utilizado no sistema de votação eletrônica brasileiro não satisfaz requisitos mínimos e plausíveis de segurança e transparência.

A urna atual está obsoleta? Ela é insegura?

51

Paulo Pagliusi

CMG (RM1-IM), Ph.D., CISM

CEO MPSafe CyberSecurity Awareness

Vice-Presidente CSABR | Diretor ISACA-RJ

pagliusi@mpsafe.com.br

www.mpsafe.com.br

Twitter: @ppagliusi

www.cyber-manifesto.org

MUITO OBRIGADO!

BONS VENTOS!