A urna, de novo...

Em época de eleição, surgem muitas notícias sobre a famigerada urna eletrônica. A imagem que ilustra este post é uma dessas notícias, que saiu neste domingo (31/08/2008) no Correio Braziliense.

Para deixar as coisas bem claras, eu não sou contra o uso de equipamentos eletrônicos de votação. Muito pelo contrário, sou adepto do uso da informática para facilitar a vida das pessoas. O que me incomoda no caso da urna brasileira é a propaganda (veja no link o que realmente quero dizer com isso) feita em torno dela. E também a falta de transparência do processo eleitoral brasileiro.

O processo eleitoral é extremamente crítico num regime democrático e sua transparência e credibilidade são da maior importância. E a falta de transparência do processo eleitoral brasileiro tende a minar a sua credibilidade com o tempo.

Dito isso, temos a reportagem do Correio. E o problema já começa começa no título: Urnas mais seguras. Sem levar em conta o conteúdo da reportagem, seria uma excelente notícia. Quanto mais segura for a urna, melhor para todos. Mas a reportagem já começa com um equívoco: nunca foi detectada fraude nas urnas. Pode até ser, mas sempre que aparecem indícios, as autoridades rapidamente abafam o caso e desconversam. Assim é fácil: se não há investigação, não há como descobrir fraudes.

A reportagem continua afirmando que o motivo da maior segurança das urnas é um novo módulo de criptografia. E segue com declarações de que o novo módulo torna urna "praticamente inviolável". Só que a maioria dos sistemas que usam criptografia são quebrados usando falhas em outras partes do sistema, sem a necessidade de atacar os algoritmos criptográficos, como bem demonstrou o prof. Ross Anderson da Universidade de Cambridge em 1993. Mais ainda, este resultado é amplamente conhecido dentre os estudiosos de criptografia.

Ou seja, mesmo que o novo módulo criptográfico seja inviolável, isto não torna a urna inviolável. E mais, os algoritmos desenvolvidos no CEPESC são segredos de estado. Ou seja, enquanto forem utilizados, não há possibilidade de uma auditoria plena da urna eletrônica, indo contra o princípio de Kerckhoff, que diz que a segurança de um sistema criptográfico deve se basear no fato da chave, e não do algoritmo, ser secreta.

A reportagem também diz que os partidos políticos poderão testar o módulo de criptografia entre os dias 8 e 12 de setembro. Como assim? Uma semana? Nem nos melhores sonhos alguém teria esperança de quebrar um algoritmos criptográfico sério em uma semana. E, com certeza o pessoal do CEPESC é sério. Não infalível, mas sério. É ridículo dar um módulo binário para alguém analisar em uma semana e achar que vai fazer muita diferença.

No fundo, a reportagem não passa de uma boa peça de propaganda: devemos confiar cegamente no TSE e na Abin (ué, mas no mesmo jornal dizia que a Abin faz grampos ilegais...). Confiar cegamente no governo e aceitar de bom grado tudo que nos é empurrado goela abaixo. Ou será que o TSE tem medo de alguma coisa?

Quem sabe, sabe...

A Folha noticiou que o presidente do TSE confirmou a segurança da urna eletrônica brasileira:

"A urna eletrônica é segura. É impossível conhecer o conteúdo do voto, fraudar o resultado da eleição e impossível entrar no programa para desfigurá-lo", afirmou Britto. Segundo o ministro, o sistema é inviolável. "Fazemos um software inviolável e inacessível ao racker. Se o programa é alterado, a urna eletrônica se auto-defende. Ela se fecha e está auto-imunizada."

Pois bem. Se o Brasil realmente chegou neste nível tão avançado em termos de segurança da informação, o TSE deveria contribuir com o país e começar a arrecadar divisas exportando a tecnologia que desenvolveu. Se a urna fizer metade do que o TSE afirma, temos em mãos uma tecnologia única no mundo (um sistema auto-imune), que valeria uns bons dólares se fosse exportada.

Bom, voltando à realidade, o TSE continua tentando convencer o povo brasileiro de que a urna é boa "porque eu disse que é boa". E como aqui no brasil a urna é caso de segurança nacional, ninguém consegue ter acesso completo ao sistema para uma avaliação de sua segurança. Alias, nem mesmo o TSE conhece todo o código usado na urna: o código criptográfico da Abin é secreto inclusive para o TSE.

Ou seja, enquanto muitos países caminham para o uso de sistemas de votação com projeto aberto e implementação auditada, o Brasil vai na contramão da história por conta da arrogância do TSE. Mesmo nos Estados Unidos onde existem vários sistemas de votação completamente furados do ponto de vista de segurança, é nítida a evolução desde que universidades começaram a publicar as falhas de segurança descobertas em urnas eletrônicas. No mínimo eles sabem que os sistemas tem furos de segurança.

Por aqui, os ganhos em termos de auditabilidade (impressão de votos) são abandonados porque estavam causando problemas técnicos e de logística para o TSE. Ou seja a conveniência da autoridade eleitoral é mais importante que a auditabilidade da eleição por parte do cidadão.

O site Página do voto eletrônico tem muita informação e contrapontos ao TSE.

Segurança em Java

Eu estive quieto estes dias porque estava preparando minha última criação: um site com dicas de desenvolvimento seguro em Java, que já está disponível em http://java.sapao.net.

Para fazer este site, aproveitei para experimentar o Google Sites, o sistema do Google que parece uma wiki (tá, tem gente que vai dizer que não tem wikilink, mas eu achei o modo de funcionamento bem similar a uma wiki. Gostei bastante deste sistema, principalmente da edição WYSIWYG.

Bom, voltando ao java.sapao.net, a ideia é manter um repositório de dicas e boas práticas para desenvolvimento seguro em Java. Pra isso, vou precisar de colaboradores, então quem estiver disposto pode entrar em contato comigo.

No mais, estão todos convidados a dar uma olhada no site e me mandar críticas e sugestões.