Imprensa é oposição. O resto é armazém de secos e molhados."

(Millôr Fernandes)

quinta-feira, 30 de outubro de 2014

O TSE e a descoberta do programa de fraude nas urnas eletrônicas

Quinta, 30 de outubro de 2014

Jornal GGN - Há menos de três meses, um jovem hacker recém formado pela Universidade de Brasília acessou o sistema das urnas eletrônicas no TSE e descobriu, entre 90 mil arquivos, um software que possibilita a instalação de programas fraudados: o “Inserator CPT”. A ação foi planejada pela CMind (Comitê Multidisciplinar Independente), formado por especialistas em tecnologia.
A advogada Maria Aparecida Cortiz, que participa do grupo, articulou a estratégia dentro do Tribunal Superior Eleitoral, representando o PDT, depois que o presidente da Corte Dias Toffolli anunciou que não abriria edital para testes nas urnas das eleições 2014. “Não vai fazer teste? Então vamos por um hacker lá dentro para descobrir o que tem de errado”, disse em entrevista ao GGN.
Cortiz descobriu outra brecha no sistema: além do Inserator, o programa comandado pela empresa Módulo Security S/A – conforme relato do GGN a única proprietária do serviço por 13 anos com contratos irregulares – é transmitido de Brasília para os estados por meio da insegura rede da Internet.
As denúncias de irregularidades foram enviadas ao TSE em uma petição. Entretanto, a petição não virou processo e foi arquivada por um juiz da Secretaria de Informática. Além da omissão do próprio ministro Dias Toffoli, a advogada ainda denuncia o desaparecimento de quatro páginas do documento. “É o crime perfeito. O réu julga suas próprias ações”, conclui.

Leia a entrevista completa:

GGN: Como seria fazer uma auditoria preventiva para evitar as fraudes eleitorais?
O problema do TSE é a concentração do poder. Para fazer uma auditoria, temos os limitadores que eles próprios nos impõem.
Uma auditoria no software é inócua, porque é muito cara, muito demorada e existem sempre as cotas do fundo. E a gente não conseguiria ter certeza que tudo o que a gente pediu seria implementado e que estaria sendo usado no dia da votação.

GGN: E o processo de auditoria feito em janeiro de 2013, investigando as licitações da Módulo Security S.A.?
Todas as licitações foram feitas para manter a Módulo. Isso é fato, notório, público, por aquelas consultas que eu fiz nos Diários Oficiais, que são documentos públicos, que todos os procedimentos foram feitos para manter a empresa Módulo lá dentro, no TSE. O que é a empresa Módulo? É responsável pela segurança do sistema. É responsável pelos SIS, um sistema de instalação de segurança, é o primeiro sistema que confirma as assinaturas para validar os programas que são colocados na urna.
O TSE, com a concentração de poderes, não deixa a gente fazer nada e a gente não tinha mais solução para tentar mudar esse sistema. Aí eu propus para o grupo, que é o CMind [Comitê Multidisciplinar Independente], em que o Pedro Rezende e o Diego Aranha também trabalham, e que a gente milita. Propus a eles que a gente colocasse um hacker dentro do TSE. Eu falei: consigam a pessoa, que eu vou ficar com ele lá dentro, dar as dicas, porque, embora a minha formação não seja técnica, estou lá há muitos anos, eu sei como funciona.
O Diego e o Pedro escolheram um menino chamado Gabriel Gaspar, que foi aluno deles na UNB. Em agosto, conseguiu ir. Por orientação, ele foi trilhando o mesmo caminho do Diego no código fonte. Diego Aranha é aquele técnico da UNB, professor que descobriu o desembaralhamento dos votos, que dava para identificar o eleitor. Então, o Diego orientou, disse o caminho, o que era importante.
A gente descobriu, no meio de 90 mil arquivos, um artefato (a gente chamou assim) no sistema de segurança, que é desenvolvido pela Módulo. Achamos que aquilo era importante, e fizemos todo um estudo. Para que ele serve? O ministro [Toffoli] assina um programa, manda para os outros ministros, Ministério Público e OAB assinarem, envia esse programa para os estados, e só poderia funcionar nas urnas esses que vieram de Brasília, concorda? Só que usando o "Inserator" podem ser instalados programas na urna, assinados por esse artefato. Ele está apto a validar programas não oficiais. Foi uma descoberta muito importante. Isso foi agora, dia 4 de setembro.
Em 2013, eu não sabia como que eles faziam, quando eu fiz o estudo da licitação da Módulo, sabia que a empresa estava usando alguma coisa, mas não o que era. Neste ano, nas eleições 2014, eu descobri como o programa foi utilizado, lá em Londrina, em 2012: com o Inserator. A gente descobriu o nome dele e onde ele estava: dentro do sistema de segurança, é um subsistema.


GGN: E o resultado disso?
A partir daí, fiz uma petição com o ministro Dias Toffoli, explicando que, além disso, que é gravíssimo, tem outras vulnerabilidades. Descobrimos outra coisa muito, muito ruim: a Justiça Eleitoral não está usando mais aquela rede super segura, que sempre disseram que nada tem conexão com a internet, não é?
Só que eu pedi para fazer um teste lá [no sistema de urnas do TSE] e eles toparam, mas não sabiam a minha intenção com esse teste, não sabiam que eu estava com um hacker. Eu pedi para fazer o teste questionando se um computador que gera mídia – a mídia é aquele pendrive que vai carregar a urna – pode estar conectado à internet. Pedi: quero que façam o teste, um computador conectado e um não conectado. Aí eles falaram: nós vamos fazer, mas não tem sinal nenhum, porque nós usamos a internet.
Então, os programas que estão vindo para os estados, que são assinados, criptografados, vêm via internet. Não tem mais a rede hiper super segura. Eles próprios pagaram uma fortuna para abrir a rede, e abandonaram, porque ela não é segura de jeito nenhum.
Olha a situação: o Inserator existe, está dentro do SIS, o SIS é instalado no computador da Justiça Eleitoral, o computador da Justiça Eleitoral está conectado à internet. A pessoa que conhece o Inserator puxa um programa da Internet, as pessoas não sabem de onde veio aquele programa, assina no teclado e coloca na urna. Que dificuldades tem isso?
O partido político, o fiscal, o juiz que estiver lá não percebe. Não dá para perceber a diferença de colocar um programa original de um fraudado. Porque a justiça eleitoral confessou que precisa da Internet para gerar mídia.

GGN: Qual foi a consequência da petição?
Tudo que entra na Justiça vira processo. A minha petição foi para o juiz auxiliar secretário da presidência, julgada com um parecer da secretaria de informática, e mandada para o arquivo. Ela não tinha capa, não tinha número, só tinha número de protocolo, não virou processo. Eles tinham que, de qualquer maneira, desaparecer com isso, eles não podiam colocar como visível para outras pessoas. Tanto é que, você como jornalista, não encontra porque não fizeram número, não fizeram processo. É só um número de protocolo qualquer. [Anexo o acompanhamento processual no TSE]
Qual seria o trâmite, de acordo com a resolução: apresentada a impugnação, é escolhido um relator, o relator leva para a mesa, para julgar. E esse julgamento iria passar na televisão, ia ser público. Eles não podiam deixar isso acontecer, de jeito nenhum.
Então, foi grampeada a petição, com o parecer da secretaria de informática. O juiz indeferiu, mandou arquivar.
Nós fomos atrás desse processo. O parecer tem nove páginas, mas só tem cinco lá, o resto está faltando. Ninguém sabe onde está esse parecer. A gente está aguardando, para ver se eles acham o resto.

GGN: Não consegui encontrar o contrato da Módulo, ela venceu a licitação para as eleições de 2014?
Venceu. Eles fizeram uma coisa totalmente direcionada. A Módulo participa do projeto base, então só ela ganha [a licitação].

GGN: Por que os outros concorrentes não teriam critérios técnicos?
São eles que criam os critérios técnicos. Para ganhar. Então, não tem chance, não tem como ganhar. A Módulo tem contrato com todos os órgãos do governo. Não é só um, são todos.


GGN: Como mandou para o TSE, você poderia mandar esses documentos ao MPF, à OAB, para articular melhor a sua petição?
Eu mandei para a OAB, porque ela poderia mexer com isso. Mas o presidente do Conselho Federal da OAB [Marcus Vinicius Furtado Coêlho] falou uma coisa que eu quase morri do coração. Falou que as urnas brasileiras são exportadas para o mundo inteiro. Primeiro, que não é "TSE Limitada" e muito menos "S.A.". E outra, nenhum país do mundo aceita essas urnas. Então, eu fiz a petição, com a minha obrigação de ofício como advogada, entreguei para ele com as irregularidades. Mas ele não tomou conhecimento, não.

GGN: As auditorias podem ser feitas por qualquer órgão?
A lei 9.504 só permite que analisem os programas o Ministério Público, a OAB e Partidos Políticos. Então, embora eu faça parte do CMid, eu tenho que fazer parte de um partido político. Tanto que já sou filiada há muitos anos, mas não sou ligada ao PDT, não tenho nenhuma vinculação, a não ser esse trabalho de ir lá e fazer a análise de códigos.
Especialistas discutem como hacker de 19 anos fraudou eleições no RJ, em 2012
A Justiça Eleitoral, de quando em quando, publica o edital de que vão existir testes. O Diego participou de um teste nas urnas de 2012, desembaralhou os votos e descobriu quem votava em quem. Também estávamos juntos, porque ele não poderia falar [por não ter a autorização do TSE]. Então eu fiquei do lado dele, escutei [as conclusões] e passei para frente. Teve que ter toda uma estratégia.
Este ano, o ministro Toffoli disse que não ia fazer teste. Não vai fazer teste? Então vamos por um hacker lá dentro para descobrir o que tem de errado.

GGN: Legalmente falando, é possível?
A lei fala que o TSE tem que apresentar os códigos fonte para mim. Eu fui com base na lei. Só que eles não sabiam da capacidade do menino, se eles soubessem teriam bloqueado. Porque é muito, muito restrito. O PDT tem outros técnicos, mas um ficou fora, e eu sou advogada, normalmente eu não sento nas máquinas. Só que este ano a gente mudou de estratégia. Eu fui sozinha e levei o menino, que eles nem sabiam quem era. Eles achavam que ele era do PDT, e não da UNB.

GGN: Essa sua petição não foi a público?
Foi, está dando uma repercussão boa, porque eu falei dela na Universidade Federal da Bahia. O Pedro fez um site, eu fiz o debate na Bahia. Não é a mesma divulgação que Justiça eleitoral dizendo que nada é conectado à internet.
Se não fosse verdade, eu já teria respondido a milhares de processos pela Polícia Federal. Não tem como dizer que não está lá dentro, o programa está lá dentro.