Texto original
disponível para
download
(.RTF, ZIP, 6 Kb) 		Análise Sucinta do Relatório Final da Unicamp
sobre o
Sistema de Votação Eletrônico do Senado Federal
elaborado a pedido do Senador Romeu Tuma
Corregedor do Senado Federal

por
Eng. Amilcar Brunazo Filho
Assessor da Subcomissão do Voto Eletrônico da CCJ do Senado

Eng. Dr. Walter Del Picchia
Professor Titular - Escola Politécnica da USP

- São Paulo, 14 de maio de 2001 -
(revisado em 06 de junho de 2001)

Artigos e Textos do
Voto Eletrônico

Índice
1. Introdução
2. Análise sobre o Relatório da UNICAMP
2.1 Equipe, Recursos e Procedimentos
2.2 Quesitos e Conclusões
2.3 Amplitude e Profundidade da Perícia
2.4 Lista dos Votos
2.5 As Vulnerabilidades
3. Conclusões e Propostas

1. Introdução

A presente análise foi feita a pedido do Senador Romeu Tuma com a finalidade de avaliar a "Relatório Final da Análise do Sistema de Votação Eletrônica do Senado Federal - SVE-SF", de agora em diante designado por "relatório", elaborado em abril de 2001, pela equipe designada pelo Reitor da UNICAMP, Prof. Dr. Hermano Tavares, em atenção à solicitação da Mesa do Senado Federal.
Esta análise não tem caráter de perícia ou auditoria, pois se restringiu apenas ao estudo do texto do relatório supra citado, não tendo sido feito nenhum levantamento de dados em campo ou conferência de informações.
Obs. 1: Antes deste relatório final sob análise, foi produzido um Sumário Executivo liberado para conhecimento público.

Obs 2.: Nesta análise também foram consideradas algumas informações genéricas conhecidas pelo Eng. Amilcar Brunazo Filho em encontro pessoal com equipe da UNICAMP, mas ressalte-se que, no momento deste encontro, nem ele nem a equipe da UNICAMP tinham conhecimento da solicitação que gerou a presente análise.

2. Análise sobre o Relatório da UNICAMP

2.1 Equipe, Recursos e Procedimentos

A Perícia Técnica sobre o SVE-SF, que resultou no relatório sob análise, foi desenvolvida por uma equipe da UNICAMP, de agora em diante designada apenas por "equipe", constituída por quatro técnicos dessa universidade coordenados pelo Prof. Dr. Álvaro P. Crósta, Chefe de Gabinete Adjunto da Reitoria da UNICAMP. Esta equipe demonstrou capacidade técnica adequada para alcançar os objetivos para os quais foi montada e atuou de forma coesa e consistente.
Os recursos técnicos - equipamentos e programas utilizados como ferramentas pela equipe - foram adequados para a profundidade exigida na perícia executada. Sempre que o andamento dos trabalhos exigiu ferramentas de análise mais poderosas, a equipe a elas recorreu, não tendo suas conclusões sofrido qualquer comprometimento por falta de recursos técnicos.
Também os procedimentos de segurança, adotados pela equipe, foram adequados para se evitar a perda ou destruição de informações úteis antes das mesmas serem recuperadas.

2.2 Quesitos e Conclusões

Segundo o relatório sob análise, a perícia desenvolvida pela equipe da UNICAMP foi executada para responder a dois quesitos específicos:
  • Quesito 1 - "O sistema instalado permite violação do sigilo das votações secretas?"
  • Quesito 2 - "Há alguma evidência de violação do sigilo?"
O objetivo do relatório, qual seja, responder a estas duas questões, foi atingido, tendo sido dada resposta afirmativa a ambas. As conclusões específicas foram:
  • Conclusão 1 - "... o sistema instalado apresenta vários pontos de vulnerabilidade explicitados... Estes pontos permitem a violação do sigilo das votações secretas."
  • Conclusão 2 - "Os vários indícios apontados pela análise dos discos e computadores do SVE-SF permitem concluir que ocorreu a violação do sigilo do sistema durante a votação secreta do dia 28/06/2000."
Estas respostas estão devidamente embasadas nos dados apresentados, havendo coerência lógica entre os dados e as respostas.
É importante ressaltar que todas as conclusões deste relatório da UNICAMP abordam apenas o problema da violação do sigilo do voto e que não há nenhuma conclusão, seja afirmativa ou negativa, que se refira à adulteração dos votos, como se vê a seguir.

2.3 Amplitude e Profundidade da Perícia

Em função dos dois quesitos apresentados à equipe, a amplitude da perícia ficou restrita à procura por evidências de violação do sigilo do voto. Não foram procuradas evidências de violação da qualidade do voto, ou seja, não se procurou descobrir se, em algum momento, houve modificação do voto dos senadores.
    Obs.: No presente texto, estamos usando as expressões:
  • violação do sigilo do voto: com o significado de identificação do voto;
  • violação da qualidade do voto: com o significado de alteração do voto.
A equipe da UNICAMP também restringiu a amplitude de sua perícia à votação secreta do dia 28 de junho de 2000, concentrando, deliberadamente, sua análise nos dados gravados em disco que:
  • aparentassem estar relacionados à quebra do sigilo;
  • estavam ativos em torno de tal data.
Desta forma, o relatório não é conclusivo sobre nada que não seja quebra do sigilo do voto no dia 28 de junho de 2000, ficando em aberto eventuais questões sobre outras violações ou relativas a outras datas.
A profundidade da perícia foi suficiente para se obter os dados que embasaram as conclusões. Assim que se obteve a convicção das respostas apresentadas, o aprofundamento das análises técnicas foi suspenso, não se procurando outros dados ou indícios num nível de profundidade mais avançado. Esta limitação da profundidade da análise técnica não compromete a qualidade das conclusões do relatório, as quais foram apoiadas em dados suficientes para sustentá-las.

2.4 Lista dos Votos

O relatório faz referências ao arquivo "votos.db" e, possivelmente, ao arquivo "Prs66_00.txt", como aqueles que contiveram a qualidade dos votos dos senadores na data de 28/06/2000, mas a lista específica, em forma impressa, não é apresentada porque não pôde ser reconstruída a partir dos dados obtidos nos computadores do SVE-SF.
No entanto, declarações posteriores à emissão do relatório, feita por depoentes na Comissão de Ética do Senado, revelaram detalhes sobre a forma física da tal lista impressa, as quais sugerem que ela teria sido editada antes de ser impressa, em um programa instalado em outro computador.
O Senador Antônio Carlos Magalhães e a Sra. Regina Célia Peres Borges declararam que a lista impressa tinha apenas uma folha com os nomes dos 81 senadores ao lado de seus votos. O arquivo em formato "txt", que é gerado a partir do arquivo da base de dados "votos.db" através de uma função do SVE-SF, não é formatado e portanto teria que ser editado para que fosse disposto em colunas.
A Sra. Regina Célia declarou que uma cópia do arquivo com os votos dos senadores, sem dizer qual o nome do arquivo, foi tirada do computador da sala de controle do painel do Senado e levada a outro local para ser impressa. Mas como não seria possível imprimir o arquivo antes de uma formatação adequada, poderia haver pistas sobre o conteúdo de tal lista no computador onde foi feita a impressão que, por ser externo ao SVE-SF, não foi coberto pela perícia da UNICAMP.

2.5 As Vulnerabilidades

O relatório da UNICAMP apresentou uma lista de vulnerabilidades do SVE-SF dividida em três blocos:
  • Vulnerabilidades físicas: cinco brechas para conexão ou comunicação externas.
  • Vulnerabilidades dos programas: armazenamento e comunicação de dados em aberto, nomes óbvios de arquivos e existência do "botão macetoso" para registro da presença do senador.
  • Vulnerabilidades de operação: facilidade de adulteração de programas, controle de senhas de acesso demasiadamente frágil, inclusive com a impressão da lista das senhas dos senadores.
O relatório também apresentou algumas sugestões para a correção destes problemas. Mas deve-se ressaltar que a fraude que foi apontada, qual seja, a geração da lista impressa com os votos dos senadores por adulteração do programa por membros escolhidos pela diretoria do Prodasen (órgão responsável pela guarda e operação do SVE-SF), poderia ocorrer mesmo que tais vulnerabilidades não existissem. O ataque interno partiu da diretoria responsável pelo sistema e foi executado com os meios necessários para vencer os obstáculos e suficientes para atingir seus objetivos.

3. Conclusões e Propostas

  • A composição da equipe que fez o relatório, os recursos técnicos utilizados e os procedimentos adotados foram adequados para o objetivo proposto.
  • O relatório é conclusivo e afirmativo somente com relação à quebra do sigilo do voto na sessão de 28 de junho de 2000.
  • O relatório não é conclusivo, nem negativa nem afirmativamente, sobre a ocorrência de modificação do voto dos senadores.
  • O computador onde foi impressa a lista dos votos não foi coberto pela perícia da UNICAMP.
  • A fraude descoberta fez uso de algumas das vulnerabilidades apontadas no relatório mas, contando com a participação de agentes internos ao SVE-SF, outros tipos de fraude poderiam ocorrer mesmo que essas vulnerabilidades não existissem.
  • Não há mentalidade de segurança no SVE-SF, de modo que seus funcionários e usuários (senadores) não são instruídos para cuidarem da segurança geral do sistema. Convém criar programas de treinamento em segurança.
  • O contrato de fornecimento do SVE-SF deveria ser avaliado para determinar as responsabilidades por vulnerabilidades dos programas; nossa impressão é que a especificação técnica do sistema (Edital de concorrência) não deu a devida ênfase à segurança.
ABF / WDP
Artigos e Textos do
Voto Eletrônico
Baixar arquivo
para imprimir
Voltar ao Índice
Artigos e Textos do
Voto Eletrônico
Baixar arquivo
para imprimir
Voltar ao Índice
Artigos e Textos do
Voto Eletrônico
Baixar arquivo
para imprimir
Voltar ao Índice
Artigos e Textos do
Voto Eletrônico
Baixar arquivo
para imprimir
Voltar ao Índice
Artigos e Textos do
Voto Eletrônico 		Baixar arquivo
para imprimir 		Voltar ao Índice