Quanto vale uma falha de segurança na urna eletrônica brasileira?

Nunca antes na história deste país, ao menos no que temos notícia, um ente público quebrou o gelo e expôs publicamente, ainda que de forma indireta, o reconhecimento aos conhecimentos dos hackers brasileiros, adquiridos fora dos almofadados bancos acadêmicos das famosas faculdades de informática.

Aconteceu algo a princípio utópico na área de segurança, que normalmente conta com profissionais sempre desconfiados e que nasceram com o chip do "desvie-se do risco". Uma chamada pública feita pelo TSE [1] pra que hackers ou afins tentassem descobrir falhas de segurança na urna eletrônica de votação, e demais ativos que com ela se integram.

Não se quer aqui desmerecer a iniciativa interessante e pioneira do TSE, aliás dá um passo a frente de muitos Security Officers e CSOs de órgãos públicos que têm certeza que são deuses e que gastam mais tempo contingenciando as fraudes dos "mequetrefes" da esquina do que reconhecendo suas habilidades e gerenciando riscos de forma pró-ativa. Os "tapa buracos".

Ao agir desta forma, o TSE atende aos clássicos princípios da Arte da Guerra de Sun-Tzu e, principalmente, reconhece um pressuposto básico da aquisição de experiência, que é reconhecer vulnerabilidades e erros, ainda que estes sejam aclarados com a ajuda de outras pessoas. Como dizia Earl Wilson, "a experiência é aquilo que lhe permite reconhecer um erro quando você o comete de novo".

Igualmente, tal medida demonstra a maturidade da Gestão da Segurança do TSE, que envolve o clássico Deming Cycle no processo de segurança eleitoral brasileiro, colaborando para o que se convenciona de plano de melhoria contínua. Assim, podem-se receber contribuições para o aperfeiçoamento do sistema eletrônico de votação, que já é considerado seguro pelo mundo.

Dentre os focos dos peritos digitais estão a própria urna em si, geração de mídias, etapas de preparação das urnas, mídia de dados, software de votação usado, dentre outros.

Até aí, tudo bem. Porém, o brilhantismo da iniciativa é arranhado pelas condições um pouco contraditórias dispostas no inédito edital [2]. Primeiramente, o hacker tem que previamente dizer para o TSE como vai agir em busca de vulnerabilidades, e o próprio TSE vai dizer se o hacker deve continuar ou não.

Ora, já se entrega a "receita do bolo", ainda que de forma genérica, na seleção. Tal fato já prejudica a liberdade de encontrar vulnerabilidades, pois, sinceramente, não creio que a equipe de segurança do Tribunal ficará paralisada aos testes, mesmo sabendo onde o hacker vai focar sua análise.

Prosseguindo, as exigências anunciam que o hacker tem que passar todo o know-how que possui, indicando previamente ao teste as ferramentas que vai utilizar, como utilizar a ferramenta (passo a passo), o impacto a ser supostamente gerado, e já transferir ao Tribunal a solução! Além disso, deve conceber meio para que o teste seja reproduzível a qualquer momento.

Não bastasse, o teste será fiscalizado pela comissão supervisora. Ora, é cediço que a produtividade de um profissional de segurança ou hacker é menor quando se tem alguém com uma "prancheta" às costas, anotando tudo o que é realizado.

Ainda não acabou. No ato da inscrição, o edital prevê ainda que os hackers deverão entregar todos os softwares que utilizarem nos testes! Mas o que é isso? Contribuição para o TSE ou cessão irrevogável de softwares? Ou seria transferência de tecnologia? Ou seria capacitação técnica ao Estado?

Desenvolveu aquele script de análise de vulnerabilidade? Ele deve ser entregue ao TSE. Você tem uma licença de treze mil dólares de um software de pentest (teste de intrusão)? Ele deverá ser entregue ao TSE. Ou seja, a linha proposta pelo Tribunal contraria regras básicas de análise de vulnerabilidade, qual seja, não revelar durante o teste, de forma aprofundada, as técnicas e ferramentas. Como pode um teste ser exitoso se antes do mesmo eu entreguei para a vítima todas as minhas armas? Como diria meu amigo hacker de quem preservo o nome, "teste bom é aquele que fechamos com o dono, sem que a equipe de resposta a incidentes saiba!". Ele está certo!

Mas talvez o prêmio deva compensar todas estas cessões compulsórias e obrigações? Infelizmente não! Parcos R$ 5.000,00 (cinco mil reais), é o que você leva por ir até Brasília, não poder usar o seu computador com seu kits de ferramentas, binários e scripts, e ter uma contribuição considerada "relevante"!

Cinco mil reais! É o que vale uma falha de segurança no sistema eleitoral brasileiro?

Por que não oferecer uma vaga nos quadros da administração pública, incentivando os jovens pesquisadores? Por que não disponibilizar o código-fonte publicamente, fazendo com que cada cidadão possa fiscalizar suas funções? Por que não liberar o uso de notebooks e ferramentas próprias? Por que não se permitir ser pego de surpresa por um hacker? Antes agora do que no dia da votação!

De qualquer maneira, este é um país democrático e participa quem quer! Só não estranho se a qualidade dos testes não seja a "desejável" pelo Tribunal ou que "ninguém" consiga "burlar" (sic) o sistema das urnas. A iniciativa do TSE foi inédita, energizante e excelente, só pecando no aspecto procedimental. Mas nada que uma emenda ao Edital não dê um jeito. Vale como aprendizado para os próximos editais. Enquanto isso, nós preferimos a caridade: "Substituam o disquete de 3½" já!".

---

NOTAS:

[1] http://www.tse.jus.br/internet/eleicoes/arquivos/resolucao23090.pdf

[2] http://www.tse.jus.br/internet/eleicoes/arquivos/Edital_DOU_Teste_Seguranca_parte_1.pdf