Quinta, 30 de outubro de 2014
Jornal GGN - Há menos de três meses, um jovem hacker
recém formado pela Universidade de Brasília acessou o sistema das urnas
eletrônicas no TSE e descobriu, entre 90 mil arquivos, um software que
possibilita a instalação de programas fraudados: o “Inserator CPT”. A ação foi planejada pela CMind (Comitê Multidisciplinar Independente), formado por especialistas em tecnologia.
A advogada Maria Aparecida Cortiz, que participa do grupo, articulou a
estratégia dentro do Tribunal Superior Eleitoral, representando o PDT,
depois que o presidente da Corte Dias Toffolli anunciou que não abriria
edital para testes nas urnas das eleições 2014. “Não vai fazer teste?
Então vamos por um hacker lá dentro para descobrir o que tem de errado”,
disse em entrevista ao GGN.
Cortiz descobriu outra brecha no sistema: além do Inserator, o programa comandado pela empresa Módulo Security S/A – conforme relato do GGN a
única proprietária do serviço por 13 anos com contratos irregulares – é
transmitido de Brasília para os estados por meio da insegura rede da
Internet.
As denúncias de irregularidades foram enviadas ao TSE em uma petição.
Entretanto, a petição não virou processo e foi arquivada por um juiz da
Secretaria de Informática. Além da omissão do próprio ministro Dias
Toffoli, a advogada ainda denuncia o desaparecimento de quatro páginas
do documento. “É o crime perfeito. O réu julga suas próprias ações”,
conclui.
Leia a entrevista completa:
GGN: Como seria fazer uma auditoria preventiva para evitar as fraudes eleitorais?
O problema do TSE é a concentração do poder. Para fazer uma auditoria, temos os limitadores que eles próprios nos impõem.
Uma auditoria no software é inócua, porque é muito cara, muito
demorada e existem sempre as cotas do fundo. E a gente não conseguiria
ter certeza que tudo o que a gente pediu seria implementado e que
estaria sendo usado no dia da votação.
GGN: E o processo de auditoria feito em janeiro de 2013, investigando as licitações da Módulo Security S.A.?
Todas as licitações foram feitas para manter a Módulo. Isso é fato, notório, público, por aquelas consultas que eu fiz nos Diários Oficiais,
que são documentos públicos, que todos os procedimentos foram feitos
para manter a empresa Módulo lá dentro, no TSE. O que é a empresa
Módulo? É responsável pela segurança do sistema. É responsável pelos
SIS, um sistema de instalação de segurança, é o primeiro sistema que
confirma as assinaturas para validar os programas que são colocados na
urna.
O TSE, com a concentração de poderes, não deixa a gente fazer nada e a
gente não tinha mais solução para tentar mudar esse sistema. Aí eu
propus para o grupo, que é o CMind [Comitê Multidisciplinar
Independente], em que o Pedro Rezende e o Diego Aranha também trabalham,
e que a gente milita. Propus a eles que a gente colocasse um hacker
dentro do TSE. Eu falei: consigam a pessoa, que eu vou ficar com ele lá
dentro, dar as dicas, porque, embora a minha formação não seja técnica,
estou lá há muitos anos, eu sei como funciona.
O Diego e o Pedro escolheram um menino chamado Gabriel Gaspar, que
foi aluno deles na UNB. Em agosto, conseguiu ir. Por orientação, ele foi
trilhando o mesmo caminho do Diego no código fonte. Diego Aranha é
aquele técnico da UNB, professor que descobriu o desembaralhamento dos
votos, que dava para identificar o eleitor. Então, o Diego orientou,
disse o caminho, o que era importante.
A gente descobriu, no meio de 90 mil arquivos, um artefato (a gente
chamou assim) no sistema de segurança, que é desenvolvido pela Módulo.
Achamos que aquilo era importante, e fizemos todo um estudo. Para que
ele serve? O ministro [Toffoli] assina um programa, manda para os outros
ministros, Ministério Público e OAB assinarem, envia esse programa para
os estados, e só poderia funcionar nas urnas esses que vieram de
Brasília, concorda? Só que usando o "Inserator"
podem ser instalados programas na urna, assinados por esse artefato.
Ele está apto a validar programas não oficiais. Foi uma descoberta muito
importante. Isso foi agora, dia 4 de setembro.
Em 2013, eu não sabia como que eles faziam, quando eu fiz o estudo da
licitação da Módulo, sabia que a empresa estava usando alguma coisa,
mas não o que era. Neste ano, nas eleições 2014, eu descobri como o
programa foi utilizado, lá em Londrina, em 2012: com o Inserator. A gente descobriu o nome dele e onde ele estava: dentro do sistema de segurança, é um subsistema.
GGN: E o resultado disso?
A
partir daí, fiz uma petição com o ministro Dias Toffoli, explicando
que, além disso, que é gravíssimo, tem outras vulnerabilidades.
Descobrimos outra coisa muito, muito ruim: a Justiça Eleitoral não está
usando mais aquela rede super segura, que sempre disseram que nada tem
conexão com a internet, não é?
Só que eu pedi para fazer um teste lá [no sistema de urnas do TSE] e
eles toparam, mas não sabiam a minha intenção com esse teste, não sabiam
que eu estava com um hacker. Eu pedi para fazer o teste questionando se
um computador que gera mídia – a mídia é aquele pendrive que
vai carregar a urna – pode estar conectado à internet. Pedi: quero que
façam o teste, um computador conectado e um não conectado. Aí eles
falaram: nós vamos fazer, mas não tem sinal nenhum, porque nós usamos a
internet.
Então, os programas que estão vindo para os estados, que são
assinados, criptografados, vêm via internet. Não tem mais a rede hiper
super segura. Eles próprios pagaram uma fortuna para abrir a rede, e
abandonaram, porque ela não é segura de jeito nenhum.
Olha a situação: o Inserator existe, está dentro do SIS, o
SIS é instalado no computador da Justiça Eleitoral, o computador da
Justiça Eleitoral está conectado à internet. A pessoa que conhece o
Inserator puxa um programa da Internet, as pessoas não sabem de onde
veio aquele programa, assina no teclado e coloca na urna. Que
dificuldades tem isso?
O partido político, o fiscal, o juiz que estiver lá não percebe. Não
dá para perceber a diferença de colocar um programa original de um
fraudado. Porque a justiça eleitoral confessou que precisa da Internet
para gerar mídia.
GGN: Qual foi a consequência da petição?
Tudo que entra na Justiça vira processo. A minha petição foi para o
juiz auxiliar secretário da presidência, julgada com um parecer da
secretaria de informática, e mandada para o arquivo. Ela não tinha capa,
não tinha número, só tinha número de protocolo, não virou processo.
Eles tinham que, de qualquer maneira, desaparecer com isso, eles não
podiam colocar como visível para outras pessoas. Tanto é que, você como
jornalista, não encontra porque não fizeram número, não fizeram
processo. É só um número de protocolo qualquer. [Anexo o acompanhamento processual no TSE]
Qual seria o trâmite, de acordo com a resolução: apresentada a
impugnação, é escolhido um relator, o relator leva para a mesa, para
julgar. E esse julgamento iria passar na televisão, ia ser público. Eles
não podiam deixar isso acontecer, de jeito nenhum.
Então, foi grampeada a petição, com o parecer da secretaria de informática. O juiz indeferiu, mandou arquivar.
Nós fomos atrás desse processo. O parecer tem nove páginas, mas só
tem cinco lá, o resto está faltando. Ninguém sabe onde está esse
parecer. A gente está aguardando, para ver se eles acham o resto.
GGN: Não consegui encontrar o contrato da Módulo, ela venceu a licitação para as eleições de 2014?
Venceu. Eles fizeram uma coisa totalmente direcionada. A Módulo participa do projeto base, então só ela ganha [a licitação].
GGN: Por que os outros concorrentes não teriam critérios técnicos?
São eles que criam os critérios técnicos. Para ganhar. Então, não tem
chance, não tem como ganhar. A Módulo tem contrato com todos os órgãos
do governo. Não é só um, são todos.
Leia também: Como se montam as fraudes eleitorais
GGN: Como mandou para o TSE, você poderia mandar esses documentos ao MPF, à OAB, para articular melhor a sua petição?
Eu mandei para a OAB,
porque ela poderia mexer com isso. Mas o presidente do Conselho Federal
da OAB [Marcus Vinicius Furtado Coêlho] falou uma coisa que eu quase
morri do coração. Falou que as urnas brasileiras são exportadas para o
mundo inteiro. Primeiro, que não é "TSE Limitada" e muito menos "S.A.". E
outra, nenhum país do mundo aceita essas urnas. Então, eu fiz a
petição, com a minha obrigação de ofício como advogada, entreguei para
ele com as irregularidades. Mas ele não tomou conhecimento, não.
GGN: As auditorias podem ser feitas por qualquer órgão?
A lei 9.504 só permite que analisem os programas o Ministério
Público, a OAB e Partidos Políticos. Então, embora eu faça parte do
CMid, eu tenho que fazer parte de um partido político. Tanto que já sou
filiada há muitos anos, mas não sou ligada ao PDT, não tenho nenhuma
vinculação, a não ser esse trabalho de ir lá e fazer a análise de
códigos.
A
Justiça Eleitoral, de quando em quando, publica o edital de que vão
existir testes. O Diego participou de um teste nas urnas de 2012,
desembaralhou os votos e descobriu quem votava em quem. Também estávamos
juntos, porque ele não poderia falar [por não ter a autorização do
TSE]. Então eu fiquei do lado dele, escutei [as conclusões] e passei
para frente. Teve que ter toda uma estratégia.
Este ano, o ministro Toffoli disse que não ia fazer teste. Não vai
fazer teste? Então vamos por um hacker lá dentro para descobrir o que
tem de errado.
GGN: Legalmente falando, é possível?
A lei fala que o TSE tem que apresentar os códigos fonte para mim. Eu
fui com base na lei. Só que eles não sabiam da capacidade do menino, se
eles soubessem teriam bloqueado. Porque é muito, muito restrito. O PDT
tem outros técnicos, mas um ficou fora, e eu sou advogada, normalmente
eu não sento nas máquinas. Só que este ano a gente mudou de estratégia.
Eu fui sozinha e levei o menino, que eles nem sabiam quem era. Eles
achavam que ele era do PDT, e não da UNB.
GGN: Essa sua petição não foi a público?
Foi, está dando uma repercussão boa, porque eu falei dela na Universidade Federal da Bahia. O Pedro fez um site, eu fiz o debate na Bahia. Não é a mesma divulgação que Justiça eleitoral dizendo que nada é conectado à internet.
Se não fosse verdade, eu já teria respondido a milhares de processos
pela Polícia Federal. Não tem como dizer que não está lá dentro, o
programa está lá dentro.