Eu peguei mais alguns comentários do vídeo sobre a Auditoria dos BUs do TSE que eu e minha equipe fizemos para comentar aqui. O vídeo foi um sucesso inesperado [N.T.: quase 125 mil views no momento que este texto está sendo editado], e muitas reações muito bacanas com relação ao conteúdo, teve até um comentário aqui que eu achei engraçado, que o rapaz (eu não lembro o nome dele), mas ele falou que eu fui muito prolixo, e que tudo mais. De fato eu tenho certo problema de conseguir fazer uma linha de raciocínio linear, porque minha cabeça vai pensando em muitas coisas ao mesmo tempo, então às vezes eu quero fazer um contexto maior de determinada informação, depois volto o assunto, e tudo mais, mas acho que deu para passar a mensagem que eu queria.
Mas vamos lá… Mais comentários do vídeo da Auditoria dos BUs.
Andre Buzzi falou: “Não é difícil fraudar as eleições.
1-pelo numero do titulo, ex: Cada titulo de final 13, o voto irá ao 13.
2- a cada 99 votos o 100°, suplanta o voto digitado, pondo o 13
3-títulos fraudados, o titulo é votado pelo fraudador e impedir a votação do verdadeiro dono do titulo.
4-fraudadores miliciano, impediam que pessoas votassem, em especial os de títulos fraudados, para que este não vá votar, não aparecendo a fraude, passando por abstenção.”
Bom, cara, vamos lá… Para todo mundo que tem algum tipo de questionamento com relação à manipulação do código-fonte da urna, eu vou falar uma coisa que fica meio dúbia, mas é a realidade. Primeiro, é possível manipular o código-fonte? A princípio, qualquer sistema, independente de ser do TSE, da NASA, do Elon Musk, não importa, ele tem possibilidade de ter falhas de segurança. É por isso que as Big Techs, empresas gigantescas, como Facebook, Microsoft e Apple, recompensam que encontra bugs dentro dos sistemas deles, porque nenhum sistema é impenetrável, beleza? Se fosse assim, o FBI não seria invadido, a CIA não seria invadida, e toda essa galera é invadida em algum momento. Agora, quando você começa a analisar todo o processo que seria necessário para fazer algum tipo de manipulação do código-fonte… Vamos imaginar que, dentro da equipe do TSE tenha 50 programadores fazendo o código-fonte. Você teria que “comprar” todo mundo para passar um código malicioso. Depois, você teria que “comprar” a galera que faz a auditoria dos códigos, porque tem a auditoria dos códigos, empresas de segurança, exército, tudo mais. Passando tudo isso, aí sim talvez você consiga fazer uma manipulação via código, mas é tanta gente, é tanta possibilidade de dar merda, de vazar, entendeu? Uma única pessoa desse ciclo que viesse a público ou fizesse um relatório e jogasse pra imprensa ia dar um reboliço e, até hoje, eu nunca vi alguém de dentro do TSE vir a público falar que encontrou uma fraude. Então eu acho muito improvável, ok?
No nível sistêmico, aí eu vou me aprofundar um pouquinho, quando se estuda segurança da informação (que foi uma das áreas que eu me especializei), a gente entende o seguinte: o ato de fazer um hack, um crack, um Black Hat dentro de uma aplicação, (a mídia usa o termo hack e a comunidade usa o termo Black Hat para descrever esse tipo de intrusões maliciosas), tem três possibilidades: tem a possibilidade sistêmica, que é fazer alteração no código-fonte, e aí obviamente a pessoa que está fazendo isso precisa ter um conhecimento técnico absurdo não só para fazer esse código, mas também esconder o rastro; O segundo seria um hack físico, o hacker que vai trabalhar dentro do TSE, por exemplo, um Black Hat especializado entra na instituição para conseguir fazer o seu hack que ele não consegue externamente, porque às vezes a proteção em volta daquele sistema é muito boa, então precisa de alguém de dentro pra poder fazer, mas obviamente você tem que pensar nas implicações disso, tem que ter muita coragem, porque se o cara for pego, ele vai preso, é crime federal você fraudar uma votação; O terceiro, que, no meu ponto de vista, pode ser o mais assertivo nessa análise, é a engenharia social. O hacker Kevin Mitnick fez um livro, que depois virou filme, chamado “A Arte de Enganar”, e ele era muito bom em manipular pessoas para que elas fizessem o que ele queria, mesmo sem precisar diretamente interferir no processo. A engenharia social é muito poderosa, o hacker consegue entrar no sistema sem precisar digitar uma linha de código. Esses caras são os mais perigosos, porque tem todo um processo de manipulação mental das pessoas envolvidas. Eu recomendo a todos, “A Arte de Enganar”, o livro, mas o filme também é legal pra caramba, pra vocês conseguirem entender como funciona a engenharia social. No meu ponto de vista, como especialista em segurança, engenharia social é muito mais plausível nesse cenário do que uma interferência em nível de código. Algumas pessoas estavam falando que teve um chip modificado, mas quando a gente começa a dissecar esse problema, você começa a ver: o chip é produzido por uma empresa lá da China; até seria possível colocar um código malicioso dentro do chip, mas tem várias coisas que precisariam ser feitas para conseguir alguém de dentro, depois passar por QA, por analistas, e você vai vendo que o negócio vai ficando cada vez mais complicado de ser feito… E normalmente o trabalho do hacker é tentar achar a forma mais fácil de fazer o negócio, não é tão simples entrar numa linha de produção de chips e convencer um chinês a fazer uma manipulação, então é bem complexa toda essa hipótese quando você para pra pensar logicamente.
Mais um aqui, carlos lapaz: “Esses dados que ele pegou foi do TSE que e do sistema quem garante que não foi alterado antes”. Bom, não tem como garantir que esses dados não foram alterados. Infelizmente é o que eu venho falando desde o começo, eu só consigo auditar as informações que está públicas, eu não consigo auditar as informações que não venham da exposição de dados públicos. Se não existe uma forma de contrapor os BUs, eu estou levando em consideração que eles estão corretos, mas eu não tenho como afirmar, esse é o ponto. Se tivesse outra forma de contrapor os dados dos BUs com um log ou alguma coisa do tipo, aí a gente conseguiria fazer uma auditoria completa, para falar teve manipulação ou não, mas, nesse momento, eu não consigo afirmar nada, eu só consigo contar.
Arilsson Da silva pinto: “Eu prefiro esperar pela resposta das nossas forças armadas.” Cara, eu concordo que as Forças Armadas têm muito mais acesso, eles estão fazendo auditoria da votação, a gente não está fazendo auditoria da votação. De novo, se o TSE em algum momento quiser chamar a gente para fazer os testes da votação, sensacional! A gente vai com o maior prazer e faz, gera um relatório, manda para os caras, faz vídeo aqui falando o resultado dessa auditoria interna da votação… Mas, como a gente não tem acesso a esses dados, eu não tenho como chegar numa conclusão. Provavelmente o relatório das Forças Armadas vai ser muito melhor do que o nosso, vai ser mais completo. Agora, uma parada que eu acho interessante é que os dados são públicos, qualquer pessoa pode fazer auditoria e quanto mais pessoas olharem esses dados, melhor fica. Então eu acho importante que todo mundo que tiver conhecimento e puder passar algumas horinhas estudando esses dados, para ver se encontra alguma inconsistência, o faça. Se encontrar algo de estranho, manda pro TSE para ver qual resposta eles dão. Essa discussão está muito num âmbito de especulação, poucas análises técnicas foram feitas de fato, esse é o problema. Fica uma especulação, tanto para um lado quanto para o outro, que não chega nenhuma conclusão. Fica um disse-me-disse, mas, na prática, a gente não tem muitas apurações técnicas com relação a esses resultados e eu acho super importante para o entendimento e para o nosso conhecimento técnico. Também é um super exercício passar um tempinho auditando o negócio e ver o resultado final.
E, importante, para quem for fazer isso, não tente manipular o resultado pelo seu posicionamento. Isso foi uma coisa que a gente fez questão, ser 100% profissional com relação ao resultado. Essa é a minha profissão, eu trabalho com tecnologia, então as pessoas confiam no meu trabalho e, se elas confiam no meu trabalho, ele tem que ser sempre feito de forma profissional. O relatório foi feito de forma profissional, foi automatizado, não teve nenhum tipo de intervenção manual, foi feito pelo software que a gente escreveu. Pode ter algum tipo de problema no código que a gente fez para poder fazer a auditoria? É por isso que a gente fez um GitHub público, para qualquer programador do Brasil ou do mundo poder olhar o nosso repositório e ver os códigos que a gente fez e, se tiver algum bug, a gente faz uma recontagem, não tem nenhum problema com relação a isso, entendeu? Então, assim, quem for fazer algum tipo de auditoria, que seja 100% honesto com relação ao resultado, independente de posicionamento político pessoal.
Enfim, espero que vocês estejam gostando do conteúdo. Muito obrigado a todos que assistiram ao vídeo da auditoria, foi inesperado, mas bacana pra caramba a repercussão toda. Eu vou ficando por aqui, a gente se vê numa próxima, valeu!
O conteúdo deste post foi retirado do vídeo “Respondendo a comentários do vídeo de Auditoria dos Bus do TSE – Parte 2”:
O vídeo original “Auditei os BUs do TSE, Veja o Resultado!” pode ser visto em: