domingo, 18 de abril de 2010

Críticas à votação totalmente eletrônica - I

O relatório CMInd tem repercutido de maneira bastante positiva nos últimos dias. O Presidente do Conselho Federal da OAB, demonstrando ter suas dúvidas e preocupações com o sistema eleitoral brasileiro, pronunciou frase que merece ser amplamente repercutida: "não é o Direito que tem que se adequar à informatização, mas esta é que tem que se adequar ao Direito". Irretocável! O acerto dessa proposição vai além das questões eleitorais. Silvio Meira também noticiou a publicação do relatório em seu blog, prometendo que ainda vai voltar ao assunto (sobre o qual, aliás, já se manifestou muitas vezes de forma bastante lúcida e ao mesmo tempo crítica). Aguardemos para ver se a mobilização aumenta!

Por ora, prossigo aqui no Direito em Bits apresentando algumas críticas que são opostas a esse nosso modelo de votação eletrônica. Não atuo na área eleitoral e até vir a participar das Comissões de Informática da OAB-SP o único contato que havia tido com nossas urnas eletrônicas fora apenas como eleitor. Aproximei-me do tema devido a dois fatores.

De um lado, estudando segurança da informação, criptografia, assinaturas digitais, prova por meios eletrônicos - assuntos mais próximos de minha atuação acadêmica e profissional, sobre os quais já publiquei alguns escritos - inevitavelmente cruzei com textos sobre votações eletrônicas que chamaram desde logo a minha atenção como cidadão. São, de fato, temáticas cujos problemas estão intimamente interrelacionados: votação eletrônica e provas por meio eletrônico. Em ambos nos deparamos com a credibilidade de sistemas informáticos como meio de demonstrar a verdade.

De outro lado, em 2001, quando do escândalo da violação do painel eletrônico de votação do Senado, eu já era Vice-Presidente da Comissão de Informática da OAB-SP, então presidida pelo meu colega de blog, Marcos da Costa, e resolvemos trazer a questão para observação da comissão; assim, realizamos alguns debates sobre o tema, nos quais ouvimos o perito que investigou a violação do painel, técnicos do TSE e críticos da urna eletrônica. Na esteira dos acontecimentos, acabei indicado pela OAB-SP para acompanhar as votações paralelas (uma espécie de "auditoria" promovida pela própria Justiça Eleitoral) em SP e, depois, pelo Conselho Federal da OAB, para fiscalizar o desenvolvimento e instalação dos programas, junto ao TSE. Aos poucos, pretendo comentar um pouco dessas experiências todas aqui no blog, pois delas extraí minhas conclusões pessoais sobre nosso sistema eleitoral. E acredito, portanto, que devam servir para que os leitores ponderem e tirem suas próprias conclusões.

Começo essa sequência de textos trazendo à baila algumas das manifestações de Bruce Schneier. Comecei a ler seus textos sobre segurança da informação ainda no final da década de 90. Para quem não o conhece, Schneier é um dos mais respeitados "gurus" na área de segurança da informação. Reúne formação acadêmica com experiência profissional no mundo "real"; é autor de livros e de sólidos algoritmos criptográficos. Ao que me lembre, foi em Schneier que me deparei com as primeiras análises críticas aos sistemas eleitorais informatizados, em dois pequenos "posts" que ele publicou no "Crypto-Gram", seu boletim mensal sobre segurança da informação, o primeiro em dezembro de 2000 , motivado pelos problemas ocorridos na Flórida durante a eleição presidencial norte-americana, e o outro em fevereiro de 2001.

No seu primeiro texto, de 2000, "Voting and Technology", Schneier afirma que a meta de um sistema de votação é fazer com que a intenção do eleitor resulte em um voto finalmente somado ao candidato por ele escolhido. Entretanto, entre o voto manifestado pelo eleitor e o resultado final da eleição ocorrem algumas etapas de "tradução" ou transposição dessa vontade e, segundo ele, os problemas ocorridos na Flórida foram fundamentalmente provocados pelas muitas etapas em que se fazia necessária essa "tradução", pois a cada etapa existem novas chances de ocorrerem erros:

"O sistema de Palm Beach tinha muitas etapas de tradução: eleitor para a cédula, para o cartão perfurado, para o leitor de cartões, para o tabulador de votos e para o totalizador central".

Reconhecendo que o sistema da Flórida era antiquado (o que parece óbvio), Schneier afirma, porém, que "tecnologias mais novas não fariam os problemas desaparecer magicamente". Ao contrário, "poderiam até piorar as coisas, acrescentando mais etapas de tradução entre os eleitores e os contadores de votos e evitando recontagens".

E prossegue:

"Eis minha principal preocupação acerca da votação por computador: não há nenhuma cédula em papel para recorrer de volta. Máquinas de votação computadorizada, tenham teclado e monitor ou uma tela sensível ao toque como as ATMs, podem facilmente piorar as coisas. Você tem que confiar no computador para registrar os votos corretamente, entabular os votos corretamente e manter registros precisos. Você não pode voltar às cédulas de papel e tentar descobrir o que o eleitor queria fazer. E computadores são falíveis; alguns dos computadores de votação nesta eleição falharam misteriosa e irrecuperavelmente".

E o que ele sugere?

"O sistema ideal de votação minimizaria o número de etapas de tradução e faria as remanescentes o mais simples possível. Minha sugestão é um computador de votação parecido com uma ATM, mas que também imprima uma cédula em papel. O eleitor confere a cédula para confirmação e então a deposita em uma urna lacrada. As cédulas em papel são os votos 'oficiais' e podem ser usados para recontagem e o computador proporciona uma rápida contagem inicial".

Entenderam? Schneier não é exatamente alguém que se possa dizer "avesso à tecnologia", certo? Nem que "não entende nada de tecnologia"...

Schneier voltou a escrever muitas outras vezes sobre o uso de computadores nas eleições e o voto remoto pela Internet. Vale a leitura. Uma busca no Crypto-Gram resultará em vários outros textos seus sobre o assunto. Talvez eu ainda volte a trazer a este blog outras citações suas.

Ao final deste seu texto publicado em 2000 Schneier afirmou que "O" web site sobre votações eletrônicas é esse aqui, mantido pela doutora Rebecca Mercuri. Li vários de seus textos e também a tenho como importante referência sobre o tema.

PS: Traduções deste autor-blogueiro. O texto original está no hyperlink indicado.

terça-feira, 13 de abril de 2010

Urna eletrônica: o relatório CMInd

Nesta semana, foi divulgado um relatório apontando críticas ao sistema eletrônico de votação brasileiro. Sou um dos que assinam o relatório, integrando o comitê, informalmente criado, que se auto-intitulou Comitê Multidisciplinar Independente, ou CMInd. Trata-se, de fato, de um comitê multidisciplinar, formado por profissionais de diferentes formações e experiências, que se conheceram ao longo dos últimos anos em torno das discussões sobre a urna eletrônica brasileira, e que espontaneamente se reuniram para produzir esse documento. E independente: cada um fala por si, com suas próprias convicções, não expressando nem representando a opinião de qualquer entidade, pública ou privada. A íntegra do relatório (com 105 páginas), está disponível aqui.

Possivelmente, virão os ataques de sempre: "Dinossauros!", "Não entendem nada de tecnologia!", "Querem trazer a fraude de volta!" e por aí vai... Esse costuma ser o nível do argumento que se apresenta contra quem discorda de alguma coisa neste país, especialmente utilizado quando o assunto são as duvidosas opções de uso da tecnologia adotadas pelos entes públicos.

Embora ainda longe de ser simples, a cada dia que passa a tecnologia mais e mais adentra a vida das pessoas, tornando mais fácil desenvolver publicamente um argumento racional e profundo sobre tais questões. Quem sabe agora a sociedade brasileira esteja mais madura para compreender que o modelo de votação eletrônico aqui adotado é inseguro e antidemocrático, e que este relatório possa contribuir para tal reflexão mais do que contribuiu, anos atrás, o chamado "Manifesto dos Professores", de 2003.

Em qualquer país minimamente sério, pensava eu àquele tempo, o Manifesto de 2003 já teria sido um escândalo. Foi assinado por oito professores universitários - alguns Titulares - de algumas das mais respeitadas Universidades do Brasil na área de Tecnologia, alertando sobre a "insegurança do sistema eleitoral informatizado" nacional. Fosse um país de primeiro mundo - o que, em termos civilizatórios e não apenas de crescimento do PIB, ainda estamos muito longe de ser - imagino que tal manifesto estaria nas primeiras páginas dos jornais, ou no horário nobre dos noticiários televisivos. Mal lhe deram bola, nem os agentes públicos, nem a imprensa.

O problema é que a imagem da urna eletrônica foi tão meticulosamente construída neste país que criticá-la é comparável à traição, a um ato lesa-pátria, ou a torcer para a Argentina ganhar a Copa. Incutiu-se no brasileiro a bravata ufanista de que a urna simboliza aquele sonho perdido do Brasil Grande dos 70's, de que "este é um país que vai prá frente, ou, ou, ou, ou ou...". É verdade que usou-se até dinheiro público para fazer propaganda da própria urna - ao invés de transmitir informações úteis ao eleitor. Lembro-me bem, anos atrás, de uma publicidade oficial do TSE em que uma mocinha bonitinha aparecia em uma vinheta exclusivamente para dizer que a urna era "a grande vedete da eleição", ou coisa que o valha... e que era "admirada e utilizada" por diversos países do globo (propaganda inequivocamente enganosa: ou, então, enumerem-se os tais "países").

A realidade nua e crua é a seguinte: nenhuma democracia que conta utiliza ou admira esse nosso modelo de eleição totalmente eletrônica! Há dúzias de textos críticos bastante fundamentados, pelo mundo afora, a esse modelo de eleição totalmente eletrônica. É rarissimo, aliás, encontrar quem ao mesmo tempo o conheça e o defenda... além do corpo técnico do TSE. Pode tentar no Google! Há, definitivamente, uns 99% de brasileiros que amam a urna, sem, contudo, conhecê-la.

Os autores do relatório CMInd, no entanto, podem dizer que a conhecem. Ao menos, na medida máxima que se lhes foi permitido conhecê-la: seis dos dez membros do CMInd atuaram como fiscais do desenvolvimento, especificação e carregamento dos programas da urna eletrônica. Eu incluso, vez que fui indicado como fiscal da OAB junto ao TSE, para a eleição de 2004.

Bem... por hoje é só! O relatório foi divulgado para quem quiser ler. Tentarei escrever mais vezes aqui no blog nos próximos dias, para prosseguir com mais detalhes sobre o tema.

sábado, 10 de abril de 2010

Senhas, Serra e segurança informática

Segurança informática envolve algumas precauções às vezes nada perceptíveis pela média das pessoas que usam computador ou a Internet; mas, mesmo pelas que têm alguma consciência do problema e dos riscos, as recomendações soam como aquelas corriqueiras regras de boa saúde: não fumar, exercitar-se, dormir bem, ter hábitos alimentares saudáveis, comer frutas e verduras, etc e tal. Todos as conhecem, mas nem sempre as seguem.

Serra lançou sua candidatura à Presidência da República neste último sábado e, como foi divulgado na imprensa, teria dito em seu discurso as seguintes palavras:

"Porque tudo o que eu sou aprendi em duas escolas: a escola pública e a escola da vida pública. Aliás, e isto é um perigo dizer, com freqüência uso senhas de computador baseadas no nome de minhas professoras no curso primário. E toda vez que escrevo lembro da sua fisionomia, da sua voz, do seu esforço, e até das broncas, de um puxão de orelhas, quando eu fazia alguma bagunça."

Pois é... querendo falar bem da escola pública de sua infância, o ex-governador acabou entregando um segredo muito delicado. Sem dúvida, "é um perigo dizer" isso!

Certa vez, um profissional de segurança da informação me relatou que um cliente seu, empresário, usava como senha para sistemas informáticos a placa do automóvel de um familiar - não a dos filhos ou da esposa, talvez a de algum tio ou primo mais distante (mas nem tanto). Achava isso tão seguro, que não se intimidava em dizer a uns e outros que sua senha era assim escolhida: afinal, quem iria conhecer a chapa do carro dessa pessoa, se nem sequer a pessoa saberia quem é? Tolice. Um cracker, com essa informação, não precisaria nem ver o carro. Foi-lhe entregue um padrão: três letras (possivelmente maiúsculas) seguidas de quatro números, nesta ordem. Isso restringe o universo de senhas a experimentar em um "ataque de força bruta", isto é, aquele em que o atacante põe alguns computadores para experimentar todas as senhas possíveis. Meu interlocutor considerou que, com essa dica, quebrar uma senha dessas seria moleza. Notem que estamos falando de um universo de 175 milhões de combinações possíveis:

26^3 x 9999 = 175.742.424

Na verdade, talvez bem menos, se considerarmos que uma placa existente, de um carro mais ou menos recente, deve começar por umas cinco ou seis letras iniciais do alfabeto, já que os Detrans ainda nem de longe esgotaram todas as combinações possíveis. Aí, tentando inicialmente com essas seis letras, estaríamos falando de "apenas" 40 milhões de combinações para experimentar, isto é:

6 x 26^2 x 9999 = 40.555.944.

Isso pode parecer difícil de quebrar mas, acreditem, não o é para um computador potente nas mãos de gente experimentada. Para comparar, vamos brevemente analisar aqui qual o grau de segurança daquela "boa receita de saúde" que muitos já ouviram dizer e mesmo assim não a seguem. Recomenda-se usar como senha de 6 a 8 caracteres aleatórios, mesclando letras minúsculas (são 26), maiúsculas (outras 26), algarismos (mais 10) e caracteres não alfanuméricos (digamos, uns 20...): são, assim, 82 possibilidades em cada uma das posições, o que equivale a 304 bilhões de combinações com seis caracteres, ou incríveis 2 quatrilhões, com oito caracteres:

82^6 = 304.006.671.424

82^8 = 2.044.140.858.654.976

Esse é um universo considerado seguro pelos especialistas...

Algo me diz que a "dica" dada pelo ex-governador é ainda mais útil a um cracker, do que a que foi dada pelo empresário da estória acima. Quantos nomes de mulher existem na língua portuguesa? Eu não sei dizer... mas quem lida com segurança da informação - para protegê-la ou quebrá-la - deve não apenas saber estimar aproximadamente esse número, como possivelmente tem um "dicionário" de nomes ao alcance dos dedos, quero dizer, do mouse. Mas arrisco dizer que deve ser de uma grandeza bem inferior do que as já fracas 40 milhões de possibilidades.

Mas a coisa foi ainda pior: Serra deve ter tido apenas quatro professoras primárias, salvo algum fato excepcional, como morte ou aposentadoria de algumas delas durante o ano letivo, o que provavelmente não levaria esse número para além de cinco ou seis. E não são nomes aleatórios: são nomes de pessoas reais que certamente constam dos registros escolares e da memória de outros alunos contemporâneos a ele. As senhas são "baseadas" em seus nomes, foi dito, o que permite supor que alguns caracteres devem ter sido inseridos ou alterados. Mesmo assim, dada esta dica inicial, a dificuldade de lançar um bem sucedido ataque de força bruta diminuiu... brutalmente!

Poucos se dariam ao trabalho de tentar "adivinhar" a senha de uma pessoa qualquer do povo que lhes desse tais dicas, ou de escarafunchar velhos registros escolares para encontrar os nomes de suas quatro professoras primárias. Serra, entretanto, é candidato ao mais alto cargo da República e, se eleito, virá a ocupá-lo. Suas senhas podem interessar a um bocado de gente, que não mediria esforços para obtê-las...

Enfim, usar variantes dos nomes de suas antigas professoras primárias até podia ser um método razoável para escolha de senhas. Afinal, pode ser mais seguro usar uma senha um pouco mais fácil que possa ser memorizada do que uma mais difícil que de tão aleatória precise ser anotada... Só que o critério não poderia ter sido anunciado publicamente! Acabou! Se estivesse em seu lugar, eu trocaria imediatamente todas as suas senhas e passaria a usar outros critérios para facilitar a sua memorização. Este não presta mais. De agora em diante, o nome de suas antigas professoras deve servir apenas para ocupar um lugar na mente e no coração.

PS: Textos como este, apontando falhas de segurança, costumam ser criticados por divulgar o problema. Não me parece o caso, aqui. Seu discurso foi público, amplamente divulgado na grande imprensa online e já deve ter sido fartamente analisado. Se eu, que sou "apenas um advogado", notei a gafe cometida com sua própria segurança, quem estivesse interessado numa invasão dos sistemas do ex-governador a essa hora já está estaria com as mãos na massa, e certamente não precisou ler este meu texto para localizar o alvo. A você que o está lendo agora, espero que tenha servido para que reflita um pouco mais sobre como protege as suas próprias senhas!