Terra Magazine

este blog parecia ter terminado, ontem, uma série de textos sobre a segurança da votação eletrônica no brasil. oferecemos ao TSE um espaço para debater o questionamento de especialistas, o que foi aceito pelo secretário de informática do tribunal, guiseppe lino. o secretário, apesar de ter se esquivado de comentar as afirmações de amílcar brunazo filho, respondeu várias outras perguntas.

em particular, apontamos ao secretário de informática do TSE um esclarecimento público, da MICROBASE, fornecedora de software usado nas urnas eletrônicas, e segundo o próprio secretário… utilizado nas urnas modelos 96 [descontinuada em 2002], 98 e 2000, ou seja, um texto de gente que entende de votação eletrônica, pois está envolvido no projeto das mesmas e que tem urnas com seu software sendo usadas na atual eleição, pois segundo o próprio secretário apenas as urnas "modelo 96" foram descontinuadas.

a pergunta/resposta ao secretário, copiadas de nosso texto anterior, eram…

blog: o que foi feito, pelo TSE, desde 2006, e especialmente no que diz respeito ao que microbase [veja, aqui, nota de esclarecimento da microbase, empresa responsável por um dos sistemas operacionais usados nas urnas eletrônicas] chama de… "denúncias de fraudes eleitorais estão sendo comprovadas de modo irrefutável"?

giuseppe lino: As afirmações não procedem. No passado, o sistema operacional VirtuOS, da empresa Microbase, foi utilizado nas urnas modelos 96 (descontinuada em 2002), 98 e 2000. As Leis que obrigaram a abertura dos códigos-fontes foram posteriores (Leis 10.408/2002 e 10.740/2003 que alteraram a Lei 9.504/97). Com o advento da obrigatoriedade de mostrar todos os códigos-fonte, a Unisys, fabricante dos modelos das urnas de 96 e 2002, negociou com a empresa a abertura do código-fonte em atendimento a legislação. Assim, o código-fonte do sistema operacional da UE2002 foi apresentado na cerimônia de lacração dos sistemas eleitorais em 2002. É importante esclarecer que no ano de 2002, a Justiça Eleitoral passou a utilizar Windows CE como sistema operacional das urnas e, em 2008 utilizará o Linux.

Logo, o TSE cumpriu e continua cumprindo toda a legislação vigente. Ressalte-se que Nota de Esclarecimento em questão foi uma tentativa frustrada da Microbase de exigir do TSE pagamento para abertura do código-fonte do VirtuOS, o que de fato não ocorreu.

Quanto às denúncias de fraude, como nós vivemos num país democrático, as pessoas possuem liberdade de expressão. Notadamente, existem alguns que se especializaram em criticar a urna eletrônica. O objetivo das críticas diverge da busca da lisura e da transparência do processo. Ao contrário da opinião de alguns, todas as suspeitas não foram comprovadas e por diversas vezes a Justiça Eleitoral respondeu aos questionamentos a ela dirigidos. Ressalte-se que as respostas apresentadas não ganharam destaque na mídia.

e era por aí mesmo que a gente iria ficar, não fosse o longo comentário inserido ontem, no blog, por frederico gregorio, que vem a ser um dos sócios-gerentes da MICROBASE, em que se refuta, na íntegra, a resposta do TSE, incluindo o "cumpriu e continua cumprindo toda a legislação vigente", ao que a MICROBASE replica, no comentário… contestamos veementemente a declaração do Exmo. Sr. Secretário de que o TSE cumpriu a legislação vigente, visto que o código fonte do VirtuOS JAMAIS foi posto a disposição de qualquer interessado direta ou indiretamente no processo eleitoral, indo de encontro à Lei que obriga a apresentação de todos os fontes 

como a MICROBASE é fornecedora de sistemas que estiveram, estão e, se nada mudar, continuarão sendo usados nas eleições brasileiras, o blog resolveu dar ênfase a parte do comentário da empresa que talvez precise ser objeto de uma reflexão bem mais profunda quando discutirmos segurança de voto no brasil:

frederico gregorio, da MICROBASE: …Queremos aproveitar a oportunidade para dar nossa opinião, enquanto técnicos que participaram como empresa sub-contratada dos projetos de 1996, 1998 e 2000, a respeito da tão discutida segurança das Urnas Eletrônicas Brasileiras. As mesmas são, sob nossa opinião, absolutamente inseguras. Explicamos: independentemente de outros fatores que também comprometam a segurança, a possibilidade de BOOT pela unidade de disco externa é um procedimento absolutamente inadmissível, do ponto de vista de segurança, sendo a maior porta de entrada de contaminações de todos os tipos não importando o Sistema Operacional em uso. Aliás, o uso do Linux aumenta exponencialmente a possibilidade de criação de mecanismos de contaminação via boot do drive externo, uma vez que, sendo um sistema de código fonte aberto, conta com um número enorme de excelentes profissionais que conhecem profundamente o seu funcionamento desde a carga do setor de boot inicial até a sua plena entrada em funcionamento.

Por fim, não podemos deixar de observar que as respostas do Exmo. Sr. Secretário à entrevista concedida a este blog são, no mínimo questionáveis, para não dizermos risíveis e não merecem maiores comentários de quem realmente conhece todo o contexto das eleições eletrônicas do Brasil.

o blog entrou em contato com a MICROBASE para se certificar da autenticidade do comentário e falou, em pessoa, com frederico gregorio, de quem tivemos a autorização para reproduzir, nos termos e contexto acima, parte de sua intervenção.

assim, depois de mais esta rodada de conversa, parece estar claro que a informática do TSE vem tentando empurrar o problema de segurança do sistema eleitoral, senão com a barriga, com o discurso. e parece estar conseguindo pois, como o secretário de informática do TSE nos disse ontem, sobre as teses do engenheiro brunazo filho… as respostas apresentadas não ganharam destaque na mídia. ou seja, como a conversa do blog "não tem audiência na grande mídia", não deve ter qualquer fundo de verdade.

vamos ver agora, depois que uma empresa partícipe do projeto das urnas eletrônicas vem a público e diz que as urnas são absolutamente inseguras. com ou sem audência, é uma acusação pra jornal nacional nenhum botar defeito. com a palavra, a audiência.

depois da série de textos publicada pelo blog [veja os links 1, 2, 3, 4 e 5], o TSE entrou em contato com o terra magazine e se colocou à disposição para responder nossas indagações sobre a segurança do sistema eleitoral brasileiro. abaixo, trechos do emeio que enviamos ao secretário de tecnologia da informação do TSE, giuseppe dutra janino, e as respostas que nos foram enviados pelo secretário através de sua assessoria.

blog: nossas três primeiras perguntas seriam sobre suas reações às  respostas de amilcar brunazo filho às perguntas do blog…

giuseppe lino: As perguntas que se referem a entrevista anterior feita pelo blog não serão respondidas.

blog: por que até agora o TSE não permitiu o teste de penetração solicitado pelos partidos em 2006?

giuseppe lino: A contratação da FACTI para a organização e formatação dos testes é a comprovação do interesse deste TSE em atender a solicitação dos partidos políticos e realizar os testes de vulnerabilidade.

blog: por que os relatórios apresentados pela FACTI estão sendo mantidos secretos?

giuseppe lino: A FACTI foi contratada para ajudar na organização e formatação do teste de vulnerabilidade. Os testes não foram cancelados, foram apenas adiados e a FACTI continua cumprindo os compromissos contratuais intermediários, que contemplam o planejamento e a preparação desses. Até o presente momento foi entregue apenas o primeiro produto do contrato que é o Relatório de Planejamento e nenhum teste foi realizado.

O sistema eletrônico de votação brasileiro é seguro por força de um conjunto de mecanismos de segurança que atuam de forma integrada inviabilizando qualquer tentativa de fraude. Um desses elementos é exatamente a distribuição das atividades, sem que nenhum setor ou pessoa tenha o conhecimento, com profundidade, de todo o processo. O Contrato com a FACTI, em razão da necessidade de manutenção desse não compartilhamento do conhecimento, é pautado em termo de sigilo das informações, razão pela qual os produtos derivados não são publicados. Ressalta-se porém que isso não restringirá a atuação da comunidade científica quando da realização dos testes.

blog: por que as alterações nos programas do sistema, feitas por causa do relatório FACTI, não são mostradas e explicadas aos partidos que solicitaram?

giuseppe lino: A afirmação de que os sistemas foram alterados por causa do relatório da FACTI não procede. Isso pode ser comprovado pelo seguinte fato: a Lei 9.504/97, em seu artigo 66 e a Resolução TSE nº 22.714/2008, no seu Art. 3º, estabelecem “Os partidos políticos, a Ordem dos Advogados do Brasil e o Ministério Público, a partir de 6 meses antes do primeiro turno, poderão acompanhar as fases de especificação e de desenvolvimento dos sistemas, por representantes formalmente indicados e qualificados perante a Secretaria de Tecnologia da Informação”. Assim, desde o dia 04 de abril de 2008 e até o dia 12 de setembro de 2008, quando serão lacrados e assinados digitalmente, todos os códigos de todos os sistemas estão disponíveis para verificação e quaisquer alterações realizadas nesses são apresentadas aos interessados. Cabe ressaltar que a assinatura do Contrato com a FACTI data de 06 de maio, ou seja, data posterior ao início da apresentação dos programas aos interessados. Assim, caso houvesse, qualquer alteração nos programas derivados de relatório da FACTI poderia ser observada pelos interessados.

blog: o que foi feito, pelo TSE, desde 2006, e especialmente no que diz respeito ao que microbase [veja, aqui, nota de esclarecimento da microbase, empresa responsável por um dos sistemas operacionais usados nas urnas eletrônicas] chama de… "denúncias de fraudes eleitorais estão sendo comprovadas de modo irrefutável"?

giuseppe lino: As afirmações não procedem. No passado, o sistema operacional VirtuOS, da empresa Microbase, foi utilizado nas urnas modelos 96 (descontinuada em 2002), 98 e 2000. As Leis que obrigaram a abertura dos códigos-fontes foram posteriores (Leis 10.408/2002 e 10.740/2003 que alteraram a Lei 9.504/97). Com o advento da obrigatoriedade de mostrar todos os códigos-fonte, a Unisys, fabricante dos modelos das urnas de 96 e 2002, negociou com a empresa a abertura do código-fonte em atendimento a legislação. Assim, o código-fonte do sistema operacional da UE2002 foi apresentado na cerimônia de lacração dos sistemas eleitorais em 2002. É importante esclarecer que no ano de 2002, a Justiça Eleitoral passou a utilizar Windows CE como sistema operacional das urnas e, em 2008 utilizará o Linux.

Logo, o TSE cumpriu e continua cumprindo toda a legislação vigente. Ressalte-se que Nota de Esclarecimento em questão foi uma tentativa frustrada da Microbase de exigir do TSE pagamento para abertura do código-fonte do VirtuOS, o que de fato não ocorreu.

Quanto às denúncias de fraude, como nós vivemos num país democrático, as pessoas possuem liberdade de expressão. Notadamente, existem alguns que se especializaram em criticar a urna eletrônica. O objetivo das críticas diverge da busca da lisura e da transparência do processo. Ao contrário da opinião de alguns, todas as suspeitas não foram comprovadas e por diversas vezes a Justiça Eleitoral respondeu aos questionamentos a ela dirigidos. Ressalte-se que as respostas apresentadas não ganharam destaque na mídia.

aí estão, pois, as considerações do TSE sobre o debate que este blog vem realizando. o secretário giuseppe lino resolveu nem comentar as respostas de amilcar brunazo filho ao blog e desmente, categoricamente, a noção de que possa ter havido qualquer tipo de fraude no processo eleitoral. o secretário diz também que… "as respostas apresentadas não ganharam destaque na mídia" o que, na nossa opinião, não determina que as as respostas sejam boas, ruins, certas ou erradas. o mundo sempre esteve cheio de verdades, idéias e projetos que foram solenemente ignorados pela mídia de suas épocas. na hora em que as métricas de acertos e erros da sociedade forem decididos apenas por exposição e audiência, o país certamente terá se tornado uma telenovela. talvez, por sinal, já tenha até se tornado… e este blog não saiba.

falando em não saber, o secretário nos informa que… "sobre um suposto bloqueio do blog “dia a dia, bit a bit” dentro da rede do TSE, informo que nunca houve tal restrição". então tá. o blog agradece a audiência dos colaboradores do TSE. mais dia, menos dia, voltaremos ao assunto. até lá.

este é o último texto da série em que publicamos uma entrevista com amilcar brunazo filho, engenheiro e programador que acompanha desde 2000 o desenvolvimento do sistema eleitoral brasileiro. a primeira parte, com o currículo de brunazo e o contexto de nossa conversa, está neste link. na pergunta inicial da entrevista, tratamos de uma consultoria contratada pelo TSE para avaliar a segurança das urnas e que já concluiu que o sistema de votação do país mais parece uma peneira. na segunda, tratamos de segurança e fraude na votação, e onde e como gente que entende do sistema poderia atacar o processo eleitoral.

a seguir, a última das perguntas que fizemos [por emeio] a brunazo filho e sua resposta, como nos foi enviada.

blog: você tem sido uma das pessoas a criticar, contínua e consistemente, o processo eleitoral eletrônico. o que sua experiência de anos a fio em contato com os processos, pessoas e instituições envolvidas nos ensina? será que é possivel ter uma eleição eficiente e, ao mesmo tempo, eficaz, segura e a custos razoáveis?

Em 1996, quando comecei a me interessar pela segurança do voto eletrônico, eu achava que bastaria corrigir alguns erros de projeto das urnas eletrônicas, como a falta do voto materializado para auditoria e a irresponsável identificação do eleitor na mesma máquina de votar, que o problema estaria resolvido.

Mas acabei descobrindo que, aqui no Brasil, o problema da confiança e transparência do processo eleitoral nasce em outro nível, o do acúmulo de poderes nas eleições. No Brasil não há a tri-partição de poderes eleitorais. Uma mesma entidade (o TSE) tem os poderes de 1) escrever as regras, 2) administrar as eleições, 3) definir o que pode ser fiscalizado, 4) controlar e distribuir toda a verba oficial e, o que é uma aberração, 5) julgar até os casos em que é ré como executora e administradora do processo eleitoral. Tamanha concentração de poderes não ocorre no resto do mundo, como mostra o estudo do Senado que pode ser baixado deste link (em formato aberto que pode ser lido com o OpenOffice).

Mas como "poder não se pede, se toma", uma boa parte da sociedade haveria que se engajar numa cruzada pela "Partição dos Poderes Eleitorais", senão nada acontecerá. Quem tem poder em excesso não vai abrir mão dele espontaneamente e, como sempre acontece, os puxa-sacos e os lambe-botas continuarão os defendendo.

♦ ♦♦ ♦♦♦♦ ♦♦♦♦♦♦♦♦ ♦♦♦♦ ♦♦ ♦

o assunto, obviamente, não se esgota aqui e tampouco nesta eleição. o autor deste blog sempre defendeu a tese de que a votação eletrônica tem sido melhor do que as velhas urnas e mapas de totalização [veja aqui um texto nosso, de 2004]. há evidências de que a bagunça eleitoral diminuiu muito com a adoção do sistema eletrônico de votação e, por isso, está de parabéns o TSE e o brasil.

mas, ao mesmo tempo, e à medida que o conhecimento sobre o sistema eletrônico e suas falhas se espalha pela sociedade, cada vez mais gente vai entendendo como fraudar o processo [veja aqui outro texto nosso, de 2006], e desta vez sem deixar rastro algum. não é possível falar em eleições limpas e listas de candidatos sujos sem que, ao mesmo tempo, se discuta a segurança e transparência do processo eleitoral. na berlinda, por isso, estão o TSE e o brasil.

parece evidente que o mecanismo de segurança por obscuridade, escondendo o software e os mecanismos de segurança, e ausência de sistemas e instituições independentes de conferência e auditoria do processo eleitoral, conjugados com a concentração de todos os poderes eleitorais em um único corpo, o TSE, não contribui para uma eleição de melhor qualidade e sobre a qual pairem menos suspeitas. estruturar o processo de tal forma que os planejadores planejem, os administradores administrem, os executores executem e os julgadores julguem parece óbvio. mas não é, tanto que não está sendo feito, apesar das investidas da sociedade, até agora desorganizada, nesta direção.

muito se disse, nos comentários aos textos anteriores do blog, sobre a eleição no resto do mundo. é bom que se saiba que eleição é fraudada em todo lugar, de condomínio e diretório acadêmico até presidência das mais educadas e pacatas repúblicas. e ninguém, do lado de cá do blog, é ingênuo a ponto de estar propondo a importação do sistema dali ou de outrem e muito menos a volta ao papel e mapas antigos, para substituir o nosso.

estamos propondo, e parece que muito mais gente está, inclusive no legislativo nacional e na comunidade de segurança de informação, que melhoremos nosso próprio processo, a ponto de torná-lo tão bom quanto possível, referência mundial de verdade e capaz de ser exportado para outros, muitos outros países. se o sistema é tão bom assim, por que a gente não faz o bem e, ainda por cima, ganha dinheiro com as urnas e o sistema eleitoral, realizando eleições no mundo inteiro? ou será que não podemos ter uma "embraer" do voto?…

talvez não. porque primeiro é preciso não fugir ao debate, ao escrutínio público, ao questionamento aberto e amplo da sociedade. seguindo o exemplo de sociedades democráticas e abertas como irã, arábia saudita e china, o TSE -pelo que um passarinho me contou- está filtrando, internamente, o acesso a este blog. quem entrar em nosso endereço encontra o texto “Página Bloqueada de Acordo com a Resolução Nº-20882/2001 do TSE” e mais nada. todos os outros blogs do terra magazine podem ser acessados normalmente, como era o caso deste blog até a série de perguntas e respostas sobre o voto eletrônico. por que será? [@11:30... o blog está vetado em toda a rede do TSE, incluindo todos os prédios dos TREs brasil afora...]

na ditadura militar, muitos dos textos -bons e ruins- que nos faziam questionar o estado de coisas eram proibidos. andar de metrô ou ônibus com um deles na mão… nem pensar. nem no bar ou restaurante, tampouco na escola. só se você quisesse perder -no mínimo- umas unhas no DOI-CODI. cantar sua canção predileta? uuui… e esta não é uma parte "legal" da história do brasil. e nem precisava da ação da polícia política da época, pois os puxa-sacos e os lambe-botas a que brunazo se refere estavam lá, prontos pra apontar "o mal" que estava tentando destruir a sociedade da época. e nada disso é novidade: o brasil tem uma looonga história de censura.

mas… enquanto os colaboradores do TSE estiverem lendo [e eu também leio!] iuri rubim e o blog das ruas, odara carvalho e paula guedes no blog do repique [pixadores barbarizam galeria!] e altino machado no blog da amazônia [e os índios do peru!] vai estar rolando, menos de um mês antes das eleições de 2008, uma ampla discussão, na rede e fora dela, talvez sem ninguém do TSE, sobre o processo eleitoral. tomara que o TSE não seja vítima da síndrome da ilha fiscal. tomara.

este texto é uma continuação da entrevista de amilcar brunazo filho, engenheiro e programador que acompanha desde 2000 o desenvolvimento e utilização do sistema eleitoral eletrônico no brasil. a primeira parte, com o currículo de brunazo e o contexto de nossa conversa, está neste link. nela, tratamos de uma consultoria contratada pelo TSE para avaliar a segurança das urnas e que, segundo brunazo, já concluiu que o sistema mais parece uma peneira.

a seguir, a segunda das perguntas que fizemos [por emeio] a brunazo filho e sua resposta, como nos foi enviada.

blog: a urna, em particular, é segura? se você, que conhece -como muita gente- seus princípios, fosse fraudá-la, faria o que e em qual estágio do processo? que cuidados a mais o TSE deveria tomar para, mesmo com a urna insegura, diminuir tal risco?

O processo eleitoral se inicia com o cadastramento de eleitores, passa pela votação, apuração e termina na totalização. Qualquer um destes pontos pode ser atacado para se deturpar o resultado. E isto quer dizer que o melhor ponto para atacar é aquele ao qual se obtém acesso mais fácil.

Este tipo de ataque foi usado -e deu resultado- por técnicos da Universidade de Princeton, em urnas eletrônicas muito similares às brasileiras em termos de projeto de segurança. Um vídeo (em inglês) sobre este ataque está neste link . Mas é claro que é muito difícil prever todas as formas de ataque e projetar defesas contra cada uma delas é ainda mais complicado.

Por exemplo, o TSE anunciou para outubro deste ano testes em urnas com biometria para impedir a "compra de votos", ou seja, quando se paga a eleitores para fornecerem seus títulos a outras pessoas que votarão em seu lugar. O custo destas urnas biométricas será enorme. Mas o teste ainda nem foi feito e o TSE já sabe de modificações na forma de fraudar que burla as urnas biométricas, como a "compra do voto com celular", onde o eleitor usa o telefone celular para filmar a tela da urna com seu voto e a "compra da abstenção", quando se paga eleitores do adversário para fornecerem seus títulos e identidades, impedindo-os de votar. Há mais informação sobre estes problemas neste link .

Do meu ponto de vista, a única forma de dar mais confiabilidade a qualquer processo eleitoral é dotá-lo de formas automáticas e eficazes de conferência da apuraçâo. No caso das urnas eletrônicas, seria necessário materializar o voto para usá-los em auditorias, obrigatórias, por amostragem. Este é o tipo de sistema que tem sido adotado em todo o mundo. Só aqui no Brasil continuamos usando urnas eletrônicas cujo resultado não tem como ser conferido. E esta, claramente, é a principal fraqueza da nossa urna eletrônica.

nas últimas semanas, este blog publicou dois textos sobre a segurança das urnas eletrônicas e, conseqüentemente, sobre a segurança de todo o processo eleitoral brasileiro. no primeiro [urna eletrônica NÃO é inviolável], um especialista anônimo [cognominado frodo] desmontou a afirmação do presidente do TSE, que havia dito ao país exatamente o contrário do título do nosso texto. no segundo [câmara dos deputados duvida da segurança das urnas eletrônicas] mostramos os dois opostos da política nacional, pt e psdb, concordando que o processo eleitoral precisa de mais segurança e transparência.

neste episódio, começamos a publicar uma entrevista com o engenheiro amílcar brunazo filho, que estuda o problema de segurança de voto eletrônico desde 1996 e que muita gente pensou [o blog recebeu vários emeios sobre isso...] que fosse a verdadeira identidade de frodo. mas não é. brunazo é um técnico que conhece o processo eleitoral eletrônico por dentro por dentro e afirma, há tempos, que sua segurança absoluta é mais propaganda do que realidade. comparativamente, as urnas e o sistema usados na venezuela, em 2006, já eram muito mais seguros do que o atual sistema brasileiro.

amilcar brunazo filho, engenheiro e programador, acompanha desde 2000 o desenvolvimento do sistema eleitoral eletrônico como representante do PDT junto ao TSE. colaborou com o TSE com sugestões que foram incorporadas ao processo eleitoral por lei ou resolução, como a obrigação do teste de votação paralela, a abertura dos programas feitos pela ABIN, a adoção de sistema operacional aberto nas urnas eletrônicas, a permissão para conferência das assinaturas digitais dos sistemas pelos partidos políticos e a publicação dos resultados por seção eleitoral na internet. também acompanhou processos e perícias oficiais sobre urnas eletrônicas, tendo detectado as quebras de integridade dos logs nas urnas de alagoas em 2006. o texto completo de seu livro "fraude e defesas no voto eletrônico" [que está esgotado] pode ser baixado neste link. brunazo filho é um dos especialistas por trás do site www.votoseguro.org.

a seguir, a primeira das perguntas que fizemos [por emeio] a brunazo filho e sua resposta.

blog: o TSE contratou uma consultoria para avaliar a urna eletrônica ou o sistema eleitoral como um todo? a quem e quando? no que resultou tal esforço, até agora? há resultados a divulgar? se sim, porque o TSE ainda não os apresentou à população?

Sim, em maio de 2008 firmou-se o Contrato TSE 032/2008 com a Fundação de Apoio à Capacitação de Tecnologia da Informação - FACTI - e o Centro de Tecnologia da Informação Renato Archer - CenPRA - com o objeto formal de elaboração e análise de testes de vulnerabilidade quanto à segurança do sistema eletrônico de votação. O CenPRA e a FACTI são entidades ligadas ao Ministério de Ciência e Tecnologia e foram chamadas para estudar e testar a segurança e confiabilidade das nossas urnas eletrônicas.

Mas o fato é que os relatórios parciais do FACTI apontam tantas vulnerabilidades insanáveis, desde a Geração de Mídias até a gravação do disquete, que o TSE decidiu: 1) manter os relatórios totalmente secretos para impedir que o eleitor brasileiro saiba que o sistema possui vulnerabilidades; 2) impedir os testes de penetração solicitados em 2006 pelos partidos políticos; 3) abandonar, após as eleições de 2008, o projeto atual das urnas eletrônicas; 4) aditar o contrato FACTI/CenPRA para tentar desenvolver um novo projeto, de urnas eletrônicas mais confiáveis, para as eleições de 2010 e 5) desinformar o eleitor, negando em público a existência de falhas de segurança e afirmando que testes de penetração serão permitidos em 2008. Para saber mais, clique neste link .

Enfim, o TSE já obteve, da FACTI/CenPRA, a confirmação de que uma parte muito importante de seu sistema eleitoral, a urna eletrônica, possui brechas de segurança que podem ser exploradas de forma maliciosa e capaz de alterar o resultado da eleição, mas continua, oficialmente, negando a dura realidade dos fatos e repetindo que o sistema eleitoral que oferece à sociedade é seguro e inviolável, quando sabe muito bem que este não é o caso.

amanhã, neste mesmo horário e canal, daremos seqüência à conversa com brunazo filho. até lá.

semana passada, este blog publicou uma entrevista onde um especialista em segurança de informação questionava a segurança do sistema eleitoral brasileiro. o entrevistado preferiu permanecer anônimo, o blog concordou e o texto resultante teve a maior audiência [o blog chegou a cair] e comentários [150+] da curta história deste espaço. a entrevista desmentia, pura e simplesmente, a declaração do presidente do TSE de que o sistema eleitoral brasileiro seria "inviolável".

uma boa parte dos comentários [contra e a favor] é conseqüente e resulta da reflexão de quem leu o texto com atenção e deu, honestamente, sua opinião. esta parte da discussão ajuda, e muito, a esclarecer as dúvidas que todos nós temos -ou deveríamos ter- sobre o sistema eleitoral brasileiro.

outra parte das contribuições veio da histeria dos que defendem cegamente algo que não entendem, combinado com gente que acredita em papai noel e não tem nenhum outro espaço para se manifestar a não ser comentários em blogs. como a galera que quer desclassificar alguma opinião, sem pensar, só porque vinda de fonte anônima. será que esta gente não sabe o tipo e a intensidade das forças que operam em ambientes tão críticos como o processo eleitoral? será que ainda há quem ache que se pode dizer tudo, em qualquer espaço, em qualquer época, de peito aberto, sem temer pelo seu emprego, relações e, em certos casos, vida? será que há quem acredite que a liberdade de informar [incluindo o sigilo das fontes] e os direitos individuais, impressos nas constituições, estão lá apenas porque o texto é esteticamente belo?…

mas vamos deixar tais considerações prá lá, por enquanto, pois sempre haverá espaço para discuti-las aqui e em todo lugar, por muito tempo. e vamos ver duas notícias desta semana, sem nenhuma relação direta com o texto deste blog semana passada, mas com tudo -e mais- a ver com o assunto que tratamos.

o primeiro, neste link, vem direto da subcomissão especial de segurança do voto eletrônico da câmara dos deputados, através de seu presidente, deputado geraldo magela [do pt/df, representante do governo, portanto]. o deputado afirmou, dia 1º, que "as urnas eletrônicas fabricadas pela norte-americana Diebold, utilizadas nas eleições do país, não são seguras e não dão garantia de que a vontade do eleitor será respeitada". e disse mais [o que de resto é sabido há tempos por todo mundo que esteve perto do assunto]: "o voto eletrônico significa um avanço democrático e pode ser aperfeiçoado". uia!… foi a mesma coisa que dissemos alguns dias atrás, e vem com o carimbo da comissão da câmara que estuda o problema de segurança do voto eletrônico [e a gente não estava lá pra ajudá-los a chegar em tal conclusão].

do outro lado, na bancada da oposição, o  vice-líder do psdb, deputado Gustavo Fruet, diz que "diante de tantas denúncias de grampos e suspeitas de participação da Agência Brasileira de Inteligência (Abin) no vazamento de escutas telefônicas, o partido vai propor à Ordem dos Advogados do Brasil (OAB) a realização de uma auditoria externa sobre um novo sistema de criptografia que a Abin apresentará à Justiça Eleitoral para utilização nas urnas eletrônicas, durante as eleições deste ano".

e faz todo sentido do mundo: você deixaria, no contexto atual, a abin tomar conta da criptografia de sua conta bancária? não é que a agência não seja competente ou confiável… é que evidências de sua atuação recente a deixam numa situação muito difícil como provedor de criptografia e assinaturas para o processo eleitoral, ou seja, como principal responsável pela segurança e sigilo das eleições. não é "culpa" da agência, mas de ações esporádicas e recentes [como grampear o mundo ao seu redor] que fizeram a sociedade concluir que ela, a abin, não é confiável ou isenta. o que é uma pena, pois instituições como abin têm, claramente, um papel muito importante no arranjo institucional de qualquer país complexo como o brasil.

este blog sustenta a tese de que o sistema "eletrônico" é muito melhor do que o "de papel", por razões óbvias: as urnas de lona, os votos em papel, as apurações do passado e seus "mapas" sempre foram uma fábrica de eleitos. muito mais que a metade do processo eleitoral rolava, sempre, na confusão pós urnas. mas este blog também entende que o sistema atual pode ser melhorado, e muito, pelo aumento de transparência ao redor da urna eletrônica e dos sistemas de informação que, depois do voto, pronunciam os eleitos.

depois de nosso texto sobre o assunto, o TSE convidou o terra magazine para testemunhar o lacre das urnas eletrônicas. nós agradecemos a deferência, mas entendemos que "testemunhar" a carga do software e o lacre das urnas não adiciona nenhum valor à qualidade do processo eleitoral. preferiríamos que o TSE, em nome transparência das eleições, contratasse grupos independentes de especialistas, dissociados de governo e partidos, para testar, verificar, validar e certificar o sistema eleitoral ou, eventualmente, encontrar as falhas que, corrigidas, tornariam o processo ainda melhor do que acreditamos que ele já seja. o custo de abrir o sistema inteiro para uma auditoria externa, independente, seria muito menor do que a permanente suspeita, velada aqui, explicita ali, de que há algo errado com o sistema informatizado de votação que usamos no brasil.

na prática, dá pra fazer alguma coisa para as próximas eleições? provavelmente não. mas há eleições, por aqui, de dois em dois anos. é um verdadeiro festival, quase contínuo, de votos. será que o TSE não deveria inovar e chamar um monte de gente pra perto do processo, ao invés de se fechar em torno de suas próprias crenças e tentar, colaborativamente, melhorar a qualidade do processo eleitoral como um todo, olhando para as eleições por vir? a sociedade agradeceria e o tribunal, ao fazer isso, ganharia aliados e alianças. e quase de graça, mesmo que caro fosse, considerando o benefício.

a infra-estrutura brasileira de eleições, informatizada e universal, é um feito da engenharia e políticas nacionais. não resta a menor dúvida de que a urna eletrônica e o sistema de apuração por trás dela funcionaram -e funcionam- muito melhor do que o sistema baseado em cédulas, mapas e tinta que tínhamos antes. prova disso é que famílias e coronéis, brasil a dentro, perderam o controle quase secular que tinham de algumas cidades [em certos casos, regiões] porque não aprenderam a fraudar o sistema eleitoral informatizado na velocidade de sua evolução.

mas, desde sua chegada, a urna eletrônica é cercada de polêmica. uns, mais radicais [e usando argumentos, digamos, convincentes] dizem que o sistema é furado, pura e simplesmente. outros, mais condescendentes, apontam as melhoras que poderiam ser introduzidas para tornar o sistema bem mais confiável do que é.

acontece que o crime organizado está querendo organizar muita coisa e as eleições são parte importante do que [parece] que pode ser "organizado". de um lado, tem gente cobrando eleitor tirando foto de voto na urna pra mostrar pra cabo [?] eleitoral, sob pena de danos muito significativos à sua existência terrena. estes são, poderíamos dizer, os brucutus, a turma da força bruta. de outro, está a galera da inteligência do crime, vendendo eleições, por milhões. ou pelo menos dizendo que vende -e entrega- resultados.

e acontece que estamos no brasil, e a oferta de "eleger quem fosse, por um preço" acabou vazando… por todo canto, como anúncio viral em rede social. e o ministro ayres britto [na foto], presidente do tribunal superior eleitoral, teve que reagir, na sua moeda. segundo declaração do ministro, "o sistema é absolutamente inviolável". acontece que este blog, além de cético, escreve software há 35 anos e não acredita em sistemas "absolutamente invioláveis"… até porque há resultados fundamentais [da teoria da computação...] que nos levam à conclusão exatamente oposta. tudo indica que, num sistema linguístico qualquer, temos que escolher entre consistência e completude. se o sistema for consistente [ou seja, não dá pra pra provar que 0=1], há verdades, no sistema, que não podem ser provadas. por outro lado, se pudermos demonstrar tudo o que é verdade, o sistema é inconsistente, ou seja, também podemos provar um 0=1 aqui, outro ali, enfim, em todo lugar. ou eleger qualquer um, mesmo sem voto…

mas uma discussão do sistema eleitoral nestes termos [teóricos] não é razoável, porque prática é a vida e as eleições. mesmo sabendo que o ministro está teoricamente [pois não existem sistemas -do tipo do sistema eleitoral- invioláveis] errado, resolvemos consultar um dos maiores especialistas brasileiros em segurança de informação sobre o assunto e a sua resposta a nosso emeio está abaixo. sabendo das implicações de suas declarações, nosso personagem se escondeu por trás do codinome frodo [baggins, o filho adotivo de bilbo, do senhor dos anéis], o hobbit que tomou pra si a responsabilidade de detonar orodruin, a montanha do mal da terra do meio, da trilogia fantástica de j. r. r. tolkien. coisas de gente de segurança.

sim: mas o que disse frodo? a conversa é longa. leia e entenda porque o ministro ayres britto está errado mas, mesmo assim, nosso sistema eleitoral informatizado pode continuar sendo melhor do que qualquer outro, de papel, desde que tomemos os devidos [muitos] cuidados…

blog: as urnas brasileiras sao invioláveis? até que ponto? por que? se alguém quiser violar uma urna, quais são as opções?

Um dos maiores erros cometidos por quem não trabalha diretamente na área de segurança de sistemas é afirmar que existe sistema inviolável. Não existe 100% de segurança. Sistemas mais críticos devem possuir mecanismos que permitam identificar que houve uma falha ou violação de segurança e, a partir disso, tornar possível a tomada de decisões sobre a falha. Não se pode afirmar que tal sistema seja inviolável, ou que qualquer sistema seja inviolável.

Um ponto de falho da segurança das nossas urnas é que elas são construídas sobre de sistemas operacionais tidos como inseguras como DOS, que é utilizado nas primeiras urnas e, mais recentemente, Windows CE. Estes dois sistemas permitem técnicas de debugging que facilitam a realização de engenharia reversa sobre a plataforma da urna. Quem tem mais de 30 anos lembra do DEBUG do DOS e o utilizou no seu dia a dia para depurar problemas de execução. Este mesmo procedimento pode ser utilizado nas nossas urnas e não é nada muito complicado de ser feito. Há rumores, não confirmados, de que grupos de especialistas em segurança tiveram acesso a urnas e utilizaram desta técnica para realizar alterações no funcionamento normal dos programas do sistema.

Ainda sobre esta pergunta, vale salientar e refletir sobre as palavras de Josef Stalin: “Quem vota e como vota não conta nada; quem conta os votos é que realmente importa.” O que nos leva a sair da urna e tentar entender o que acontece com os "votos" depois que eles "saem" das urnas. Quem garante que não há falhas nos sistemas de recepção e processamento dos dados? Outro ponto importante, nesta análise, é que alguns dos softwares utilizados no sistema eleitoral possuem falhas de segurança não divulgadas. O artigo The Vulnerability Economy ilustra o tamanho do mercado de segurança de falhas não divulgadas. Este problema não afeta apenas as urnas eleitorais mas qualquer sub-sistema que faz parte do sistema eleitoral. E é sabido que partes do sistema eleitoral possuem falhas não divulgadas.

blog: se alguém quisesse violar o sistema eleitoral, a fragilidade estaria só na urna?

Como dito anteriormente, existe um sistema de retaguarda que realiza a contagem dos votos e, no meu entender, os componentes deste sistema seriam o ponto ideal para fraudar o processo eleitoral. Stalin, entre outros, já via tal alternativa. Outro ponto importante e bastante negligenciado é que todos os envolvidos no processo eleitoral, do lado dos tribunais regionais e do TSE,afirmam que a urna é inviolável e que, em caso de violação (!), há mecanismos para identificar tais atos. Particularmente, eu  posso acreditar nisso. No entanto, a pergunta que fica no ar é: o que se faz quando tais violações ocorrem?

Vamos a um exemplo: ligar uma urna eletrônica antes do horário previsto não é permitido, e a urna acusa tal ação. Neste caso, a pergunta complicada é “porque, mesmo com o sistema acusando a falha no processo definido, a urna com problema não é considerada inapta?” Não houve violação (tecnológica) de segurança, mas de processo. E não parece haver um controle ou auditoria para vetar ou validar tais falhas. Assim, como dar credibilidade a um processo eleitoral que não consegue tratar nem casos simples como este?

blog: existe algum indício de que o sistema já foi violado em eleições anteriores?

O site www.votoseguro.org descreve várias situações, em eleições anteriores, que podem ser consideradas violações do sistema eleitoral. Há, também, relatórios de análises feitas por pesquisadores brasileiros e estrangeiros que têm conclusões bastante diferentes das do Ministro sobre a inviolabilidade do sistema eleitoral.

Como consultor, recebi uma análise feita em algumas urnas de um certo estado, que acusavam que os HASHs [nota do blog: um tipo de assinatura digital] dos programas utilizados nas urnas diferiam daqueles que o TSE indicava para muitas das urnas. Teria sido um erro no TSE ou, neste caso,  houve mesmo violação? Nunca ficamos sabendo, porque o TRE do estado e o TSE não investigaram o problema. Utilizando um debugger, como dito anteriormente, se identificaria desvios no fluxo de execução do programa. Mas, até onde eu sei, o TSE preferiu não investigar a fundo o ocorrido, daclarando que houve um erro lá mesmo no TSE. Bom… esta opção é a mais fácil e minimiza o problema. Só que, em segurança de sistemas, esta postura é ótima para qualquer hacker. Como se diz, no meu tipo de negócio, neste caso “La seguridad soy jo”.

blog: das últimas [supostas] evidências de violação até o momento, o que foi feito para que o sistema não seja violado [novamente]? se isso não é suficiente, o que deveria ser feito?

Não há evidência de evolução significativa na segurança do sistema eleitoral, por parte do TSE, pelo menos não com respostas concretas e comprováveis a problemas apontados em diversos relatórios sobre eleições passadas.

Para um processo considerado critico ter credibilidade, é necessário que seja regulado de forma clara e por uma entidade que não seja parte interessada nele. Um erro clássico, que ocorre neste caso do sistema eleitoral, é que o TSE desenvolve o sistema, define os procedimentos, regula sua aplicação e audita os resultados. Em tal tipo de contexto, qual o interesse do TSE em assumir que houve alguma falha grave no processo eleitoral, capaz de invalidar uma eleição? Quem garante que não se sabe de falhas (graves, talvez) mas elas não são divulgadas?

Acredito que um primeiro passo para melhorar a confiabilidade e transparência do processo eleitoral seria a criação de um sistema regulatório, a cargo de uma entidade isenta  e que, em caso de falha no processo, tenha condições de analisar o problema do ponto de vista de uma regulação previamente acordada. Não há um CNJ para a Justiça? Talvez fosse o caso de um CNE para as eleições, para supervisionar o sistema eleitoral.

Este seria o primeiro passo. Outra abordagem, que eu confesso não saber se foi feita, mas que algumas entidades  reclamam não ter tido a possibilidade de chegar a tal ponto, é fazer com que especialistas em segurança auditem a urna e tentem descobrir se ela é ou não violável. Eu, particularmente, me interessaria muito por tal trabalho. Esforços semelhantes sobre urnas semelhantes à nossa apontam muitas falhas na urna. Por fim, e neste caso eu não consegui verificar a autenticidade dos vídeos, há registros de violação da segurança de urnas emprestadas para votações no Paraguai. Se estas imagens (1, 2, 3, 4, veja nesta ordem) forem verdadeiras, acho que temos que ficar muito preocupados.

resumo da ópera? especialistas em segurança de informação, como frodo, não têm tanta confiança no nosso sistema de eleições eletrônicas quanto o presidente do TSE. não que o sistema seja furado e esteja sendo manipulado em todas as eleições. mas há indícios de que pode ter sido o caso e parece que, mantido o estado de coisas, pode acontecer de novo [ou de vera]. o sistema bem que poderia estar sujeito a uma auditoria pública, aberta, transparente, para aumentar a confiança do processo. por que não? não resta dúvidas de que nosso sistema eleitoral é um dos melhores do mundo. se pudermos fazê-lo ainda melhor e tão inviolável quanto possível, a um custo aceitável para a democracia brasileira, que razão nos levaria a não tentar?…