- Campinas, março de 2001 -

Apresentação

Este documento descreve de forma resumida os resultados da análise do Sistema de Votação Eletrônica do Senado Federal (SVE-SF). Esta análise tem como objetivo responder às seguintes questões

1. O Sistema de votação eletrônica instalado no plenário do Senado Federal permite a violação do sigilo das votações secretas realizadas?
2. Há alguma evidência de violação do sigilo?

Os resultados deste trabalho servirão de subsídio para as investigações realizadas pela Comissão de Inquérito do Senado Federal instituída pelo Ato do Presidente nº 30 de 2001 e pela portaria do Primeiro Secretário nº 25 de 2001.

O trabalho de análise foi realizado pela equipe de especialistas formados pelos professores doutores José Raimundo de Oliveira, Marco Aurélio Amaral Henriques e Mário Jino, todos membros do Departamento de Engenharia de Computação e Automação Industrial (DCA) da Faculdade de Engenharia Elétrica e de Computação (FEEC) da Universidade Estadual de Campinas (Unicamp). Também colaborou nos trabalhos de levantamento de dados o professor Dr. Álvaro Penteado Crósta, chefe de gabinete adjunto da Reitoria da Unicamp. Os quatro membros foram designados para este trabalho pelo professor Dr. Hermano Ferreira Tavares, reitor da Unicamp.

Metodologia

Dentre os procedimentos adotados nesta análise, são destacados neste sumário executivo aqueles que visam preservar intactas todas as informações contidas nos discos rígidos dos cinco computadores do SVE-SF e dos dois outros presentes na sala de controle do sistema.

• Os computadores não foram religados com seus discos originais para evitar que qualquer sobre-escrita em áreas consideradas livres nos discos pelo sistema operacional.
• Os sete discos rígidos originais foram removidos e instalados como discos secundários em um computador especialmente configurado para realizar cópias fiéis dos mesmos (cópias no nível de trilhas e setores, que geram uma imagem precisa dos discos originais).
• Foram feitas duas cópias de cada disco; a primeira foi levada para análise nos laboratórios da FEEC/Unicamp e a segunda foi instalada nos computadores do SVE-SF.
• Os discos originais foram embalados, lacrados e entregues à Comissão de Inquérito.

É importante ressaltar que todos os procedimentos efetuados no Senado Federal tiveram o acompanhamento dos membros da Comissão de Inquérito e de representantes do Prodasen (Processamento de Dados do Senado Federal) e das empresas Eliseu Kopp e Panavídeo. Além disso, tais procedimentos foram detalhadamente documentados em fotografias e vídeo pelos funcionários da TV Senado.

Pontos de Vulnerabilidade detectados no Sistema de Votação Eletrônica do Senado Federal

1. Vulnerabilidade físicas

São vulnerabilidades relativas aos equipamentos (hardware e cabeamento) e às instalações físicas.

1.1 Existência de pontos de comunicação de dados entre computadores do SVE-SF em locais de acesso pouco restrito a rede dos sistema poderia se acessada, por exemplo, a partir dos cabos que chegam aos painéis eletrônicos situados nas galerias.
1.2 Existência de portas de comunicação abertas (não utilizadas) no equipamento de rede (HUB) do SVE-SF, localizado na sala de controle de votação; isto permitiria, por exemplo, que qualquer computador pudesse ser conectado à rede por estas portas.
1.3 Existência de vários cabos de rede não utilizados na sala de controle do SVE-SF. Os cabos estendem-se desde a sala de controle até as mesas dos senadores e até os painéis eletrônicos estes cubos facilitariam o acesso ao SVE-SF a partir de suas extremidades.
1.4 Existência de unidades de disquetes e discos ZIP nos computadores do SVE-SF; estas unidades não estão bloqueadas física nem logicamente, o que facilitaria a retirada ou a inserção de arquivos alheios ao sistema.
1.5 Existência na sala de controle do SVE-SF de dois computadores estranhos ao sistema e que estão conectados a uma rede externa a conexão destes computadores à rede externa é feita por uma interface padrão Token-Ring, incompatível com o padrão Ethernet da rede do SVE-SF. Apesar desta incompatibilidade, seria possível conectar as duas redes usando equipamentos de conversão de padrões, ou, de forma mais simples, um disquete poderia ser copiado no SVE-SF e lido em qualquer um dos dois computadores.

2. Vulnerabilidade dos Programas de controle (software) do SVE-SF

São vulnerabilidade relativas ao projeto e à implementação dos programas que controlam o SVE-SF.

2.1 A comunicação de dados no SVE-SF é feita de forma aberta, sem uso de criptografia; todos os dados transitam pela rede sem codificação que dificultaria sua coleta e interpretação.
2.2 A armazenagem de dados no SVE-SF é feita de forma aberta, sem uso de criptografia, todos os arquivos do SVE-SF poderiam ser lidos diretamente, sem esforço de decodificação.
2.3 Um arquivo de rascunho temporário de votação secreta ou votação nominal é gerado no disco do computador principal do SVE-SF; este arquivo temporário contém a vinculação votante-voto e poderia ser copiado e editado enquanto a votação não fosse encerrada.
2.4 Os nomes dos arquivos (com informação sensíveis ou não) usados pelo SVE-SF (por exemplo votação.db, cadastro.db, entre outros) são muito óbvios isto facilitaria inferir a natureza de seus conteúdos.

3. Vulnerabilidade na utilização do sistema de votação (ambiente operacional e operação do SVE-SF)

São vulnerabilidades relativas ao ambiente operacional e à utilização do SVE-SF

Ambiente Operacional
3.1 Inexistência de um procedimento formal para controle da instalação de novas versões dos programas do SVE-SF.
3.2 Os códigos-fonte dos programas de votação estão armazenados nos mesmos discos rígidos em que se encontram os próprios programas de votação; isto facilitaria a geração de novos programas executáveis ou uso indevido dos códigos-fonte.
3.3 O ambiente de desenvolvimento de programas (compiladores, depuradores, entre outros) está instalado nos computadores do SVE-SF, isto daria acesso a ferramentas que facilitam a leitura dos dados e a geração de versões que permitiriam o uso indevido do sistema.
3.4 Todos os operadores do SVE-SF utilizam uma única conta para ingresso no sistema operacional, esta conta é do "administrador" do sistema operacional, a qual a possibilita total controle dos operadores do sistema.
3.5 A senha escolhida para a "administrador" do sistema operacional é de fácil dedução e de conhecimento de todos os operadores.
3.6 Os arquivos relativos ao SVE-SF são compartilhados de forma irrestrita entre todos os computadores conectados à rede isto permitiria que estes arquivos fossem visualizados até mesmo por um computador intruso na rede, como descritos nos itens 1.1, 1.2 e 1.3.

Operação do SVE-SF
3.7 O procedimento de definição e atribuição de senhas aos senadores é inadequado o senador não escolhe de forma privada sua própria senha.
3.8 O acesso às senhas dos senadores pode ser feito através de listas impressas ou cadastro armazenado em disco rígido de computador isto permite que elas sejam conhecidas por pessoas que não seus titulares.
3.9 Com o conhecimento da senha de um senador, é possível a alteração de seu voto durante o tempo em que a sessão de votação estiver aberta, em qualquer terminal de votação no plenário.

Resposta à questão: "O Sistema de votação eletrônica instalado no plenário do Senado Federal permite a violação do sigilo das votações secretas realizadas?"

A análise realizada pelos especialistas constatou que o sistema instalado apresenta vários pontos de vulnerabilidade, explicitados na seção anterior Pontos de vulnerabilidade no Sistema de Votação Eletrônica do Senado Federal - o SVE-SF. Esses pontos permitem a violação do sigilo das votações secretas.

Resposta à questão: "Há alguma evidência de violação do sigilo?"

Considerando a fragilidade na segurança de acesso aos computadores do SVE-SF, que permite a alteração de qualquer informação de sistema (data, hora e outros dados) dos arquivos neles residentes, pode-se afirmar que

1. a existência de arquivos com listas de votação não demonstraria irrefutavelmente que houve uma violação de sigilo, já que estes arquivos poderiam ter sido fabricados externamente e implantados no sistema de votação em qualquer momento.
2. a inexistência de arquivos com listas de votação também não demonstraria irrefutavelmente que não houve uma violação de sigilo, já que seria possível violar o sistema e copiar a lista para qualquer meio magnético removível ( disquete, por exemplo), ou imprimir a lista diretamente sem gravá-la em nenhum disco rígido.

Os dois argumentos acima levariam a que se considerasse inócua a busca de arquivos contendo listas de votação, pois seria impossível identificar de forma inequívoca seus autores e suas datas dentre outros atributos.

Contudo, é importante destacar que, durante a busca de arquivos apagados realizada nos discos rígidos, foram encontrados fragmentos de arquivos com nomes como "?enador.doc", "?enh_sen.doc" e "?adeiras.xls", cujas datas de criação coincidem com ou são próximas às de votações secretas. os atributos recuperáveis desses arquivos poderiam ser usados como indícios para investigações de outra natureza.

Comentários finais

Todas as vulnerabilidades do SVE-SF apontadas neste documento são sérias e comprometem a segurança e o sigilo das votações.

Entretanto, recursos já investidos na instalação, manutenção e adaptações às características do Senado Federal justificariam a continuidade de sua utilização, desde que sejam corrigidas as falhas descritas nesta análise.

A correção das falhas e a recuperação do atual sistema teriam um custo sensivelmente inferior ao da instalação de um novo. Além disso, esta solução propiciaria ao Senado Federal a utilização de um sistema cujo funcionamento seria bem conhecido por seus técnicos, com suas vulnerabilidades já mapeadas e corrigidas.