Ao longo das primárias do dia 3 em Iowa, de acordo com relatos da imprensa, centrais de delegados de todo o estado tiveram dificuldades para usar um aplicativo de celular feito às pressas e testado de maneira inadequada, desenvolvido por uma empresa de tecnologia obscura, com fins lucrativos, para reportar resultados ao Partido Democrata de Iowa. Essa parece ter sido a causa principal dos atrasos maciços na publicação dos resultados das primárias.

Matt Blaze: Um sistema em que a votação é realizada literalmente dividindo as pessoas em grupos está aparentemente sendo interrompido por uma falha de software.

Quando a mídia soube no mês passado que o Partido Democrata de Iowa planejava usar um aplicativo para relatar resultados das primárias, o partido se recusou a revelar muitos detalhes sobre o programa. Os democratas não publicaram o código-fonte para que pesquisadores de segurança independentes o inspecionassem nem forneceram quaisquer informações sobre como o aplicativo havia sido testado (aparentemente, não com muito cuidado). O partido nem sequer informou o fornecedor contratado para desenvolver o aplicativo, a Shadow Inc., alegando que isso poderia inadvertidamente ajudar potenciais invasores cibernéticos.

Detentores de cargos eletivos também não obtiveram respostas. O escritório do senador Ron Wyden pediu detalhes ao comitê nacional três vezes antes das primárias de Iowa, mas os pedidos foram ignorados, de acordo com o Wall Street Journal. Wyden é ele próprio um democrata, representante do Oregon.

Ron Wyden: Meus alertas sobre essa tecnologia foram ignorados, e o resultado é um caos e uma perda de confiança em nossas eleições. A menos que os Estados deixem de usar tecnologias não comprovadas em nossas eleições, isso continuará acontecendo.

Dustin Volz: O escritório do senador @RonWyden pediu detalhes sobre o aplicativo ao DNC três vezes durante o período que antecedeu as primárias de Iowa, mas não recebeu resposta, disse um assessor do senador.

Isso é o contrário do que o Partido Democrata de Iowa deveria ter feito.

Ocultar os detalhes de como um sistema de computador funciona não ajuda a torná-lo mais seguro. Isso é conhecido como “segurança pela obscuridade”, e oferece uma falsa sensação de segurança, além de dificultar que as pessoas confiem que o sistema realmente funciona conforme o esperado.

Os sistemas eleitorais, por sua vez, devem basear-se no princípio de segurança da informação do “design aberto”. O Instituto Nacional de Padrões, a agência federal americana responsável por recomendar padrões que agências da indústria e do governo devem seguir, lista o design aberto como um princípio importante para o design de sistemas de computador seguros. “A segurança do sistema não deve depender do sigilo da implementação ou de seus componentes”, diz o guia para segurança geral de servidores do instituto.

Essa prática de design aberto é comum na indústria de software, especialmente em sistemas que lidam com dados muito sensíveis. O aplicativo Signal, por exemplo, é amplamente conhecido como um dos melhores aplicativos de mensagens criptografados de ponta a ponta. Ao contrário do aplicativo de relatórios usado nas primárias de Iowa:

  • O código fonte do Signal está disponível gratuitamente na internet para qualquer pessoa inspecionar. É possível encontrar o código fonte do Android neste repositório no GitHub, o do iPhone neste, e o código-fonte do aplicativo de desktop neste outro.
  • O funcionamento interno do algoritmo de criptografia do Signal é documentado publicamente, e a implementação foi revisada por pares.

Embora seja possível que os ciberataques possam usar essa riqueza de informações sobre como o aplicativo funciona para encontrar vulnerabilidades, os benefícios do design aberto superam de longe os riscos. Quando falhas são inevitavelmente encontradas, é mais provável que elas sejam corrigidas do que exploradas silenciosamente pelos invasores, e o ecossistema de software como um todo melhora por conta disso. E, talvez o mais importante, o design aberto dá aos usuários confiança na segurança do aplicativo sem que seja preciso confiar cegamente nas alegações dos desenvolvedores.

Kim Zetter: O desastre das primárias de Iowa tem a ver com a divulgação rápida dos resultados, não com a votação em si. Por favor, mantenham essas duas coisas separadas. Os votos são registrados em papel. O problema foi com o sistema de entrega para divulgar os resultados rapidamente.

O aplicativo de relatórios das primárias de Iowa não foi usado para que as pessoas votassem através dele, mas para entregar mais rapidamente os resultados desses votos ao partido no estado. Ainda assim, os sistemas eleitorais são grandes e complexos. Se insistirmos em usar a tecnologia para qualquer parte deles – o que fazemos e provavelmente continuaremos a fazer –, é importante que cada parte seja o mais transparente possível.
Todo software relacionado a eleições, seja para cadastrar eleitores, votar, entregar resultados eleitorais a um banco de dados central ou qualquer outra coisa, deve usar princípios de design aberto.

Eis o que o Partido Democrata de Iowa deveria ter feito (e o que todo mundo no ramo das eleições deveria fazer) para garantir que o software eleitoral fosse o mais seguro e confiável possível, e que os eleitores pudessem confiar no seu uso:

  • Comprometer-se com total transparência sobre todo o processo, o que definitivamente inclui dizer qual fornecedor escolhe para desenvolver o software relacionado às eleições e como chegou a essa decisão.
  • Antes da eleição, verificar se o design e a implementação do software, incluindo o código fonte e a documentação completos, estão disponíveis gratuitamente ao público, para que os especialistas possam investigá-lo quanto a problemas.
  • Contratar profissionais para realizar auditorias de segurança de terceiros, corrigir quaisquer problemas encontrados e publicar os resultados dessas auditorias. (Essa é uma prática comum para empresas que levam a segurança a sério. O sistema de envio de denúncias SecureDrop publicou recentemente os resultados de uma auditoria de segurança assim como o provedor de VPN TunnelBear).
  • Receber pesquisa de segurança externa, trabalhar com equipes de pesquisa da universidade e realizar um programa de recompensas por bugs, em que indivíduos possam ser pagos pela divulgação de vulnerabilidades que descobrirem.
  • Realizar uma execução de teste ou um teste de baixo risco do software usando usuários finais reais.
  • Todos os itens acima implicam fortemente oferecer muito mais tempo do que os dois meses supostamente dados à equipe por trás do aplicativo Shadow para colocá-lo em funcionamento em Iowa.

Mesmo isso não garantiria a segurança das eleições. “Nenhuma medida pode garantir a segurança nos dias de hoje”, disse Douglas Jones, professor associado de ciência da computação na Universidade de Iowa, ao Intercept. “Portanto, precisamos construir toda a nossa estrutura para o uso da tecnologia de tal maneira que não dependamos dela para ser segura.” Isso, pelo menos, o Partido Democrata de Iowa fez corretamente. Quando o aplicativo de relatórios falhou, foi possível retornar aos registros em papel, embora com atrasos extensos.

Jones também acredita que a nova tecnologia nunca deve ser implantada pela primeira vez em eleições nacionais de alto risco. “As novas tecnologias de votação devem ser usadas primeiro em pequenas eleições locais, onde as apostas são baixas”, disse ele, acrescentando que “o melhor momento para implantar novas máquinas de votação nos EUA é logo após novembro de um ano par”.

Tradução: Cássia Zanon