Terra Magazine

estava eu conversando com pessoas muito bem informadas em evento de muito prestígio quando as eleições de 2010 vieram à tona. quieto estava, quieto fiquei, a discussão era sobre candidatos e opções para o futuro do país.

mas não demorou muito até que saísse um “as eleições brasileiras são as melhores do mundo”. como ando escrevendo sobre isso aqui há anos [veja o texto anterior aqui, da semana passada, explicando porque a OAB nacional não assinou digitalmente o software das eleições 2010], tive que dizer algo e disse, em largas palavras, o que tem sido publicado por aqui, sustentado não por minha particular expertise no assunto eleições eletrônicas, que é baixa, mas por sólidos argumentos que vêm do CMIND, o comitê multidisciplinar independente que estuda o processo eleitoral brasileiro. aliás, comentei este assunto em um podcast recente da CBN que você pode ouvir clicando neste link.

e a conversa rolou, rolou, e eu mencionei as eleições de alagoas em 2006… e não é que ninguém sabia de nada sobre o assunto? mas nada, nada mesmo. pessoas lidas, conectadas, que nunca haviam ouvido nada sobre o assunto.

talvez este seja também o caso do leitor, e talvez valha a pena, se for, ler um pequeno e muito instrutivo texto da advogada maria aparecida cortiz [que é membro do CMIND], publicado no portal unieducar há mais ou menos um mês.

o título do artigo é Princípio do contraditório e da imparcialidade no processo eletrônico de votação e doutora cortiz foi uma das pessoas que estudou de perto o caso “alagoas 2006”, que resumidamente… teve início em 11/2006 após ser detectado que os arquivos de LOG de 35% das urnas estavam corrompidos e não apontavam o destino de 22.000 (vinte e dois mil) votos dados pelos eleitores, além de arquivos com dados misturados e urnas computando votos para municípios inexistentes.

isso mesmo que você leu: as “melhores eleições do mundo” não foram tão boas assim [pelo menos] nas eleições de 2006 em alagoas e o destino de dezenas de milhares de votos ficou “no ar”. podem até ter sido dados para alguém, mas não se sabe se foram. e havia “municípios-fantasma”, uma inovação eleitoral indesejada, pois no passado eram somente os eleitores-fantasma que preocupavam.

a decisão do TSE sobre o assunto também é desconhecida das pessoas lidas e conectadas de que falo: o tribunal decidiu que mesmo havendo graves indícios de que alguma coisa está errada, tudo está certo.

aliás, como de praxe, o tribunal julga ele mesmo neste tipo caso e resolveu que não há com que se preocupar, pois… o fato do LOG não registrar um evento não significa que o evento não ocorreu. donde se conclui, usando lógica elementar, que “logs” [arquivos de registro de eventos ocorridos] são inúteis. de que adianta [para verificação de ocorrência de um evento…] um registro que não necessariamente registra a ocorrência de certos eventos, mesmo tendo os dito cujos acontecido?…

mais hora, menos hora, alguma coisa vai mudar; não vai ser possível sustentar por muito mais tempo este estado de coisas. mas o “público”, inclusive o que comenta textos como este aqui no blog, acha que “se as urnas são frágeis, porque a grande imprensa nunca diz nada sobre isso?”…

pergunte-se à grande imprensa. está cheio de gente, lá, que sabe muito bem que a eleição eletrônica brasileira não tem independência de poderes e, por isso, nenhuma chance de ter uma auditoria independente do processo e de seus resultados. se houver uma fraude, dificilmente ela será detectada, como até hoje não se sabe ao certo se “alagoas 2006” foi uma conjuntura de erros de sistema [há erros épicos de software das melhores famílias, como a NASA...] ou se havia cérebros e mão humanas mal intencionados por trás dos muitos eventos não esperados que rolaram por lá.

tomara que a tal da grande imprensa não tenha que mudar de posição e publicar algo apenas por causa de alguma catástrofe que está para acontecer… quando?…

leia, a seguir, trecho do artigo que você pode ver na íntegra clicando na imagem acima:

…O modelo brasileiro faz da Justiça Eleitoral uma fração especializada do Poder Judiciário (CE, CF/88 art. 92, V, 118 a 121), com absoluta concentração das três funções de Estado no mesmo ente. A junção dos artigos 61 da Constituição de 1988 com o artigo 1º do Código Eleitoral tornam o TSE no único órgão integrante da Justiça Brasileira que detém funções legislativa, normativa, administrativa/operacional e jurisdicional do processo eleitoral.

Essa indesejada concentração de poderes permite que os integrantes da Justiça Eleitoral mesmo legalmente impedidos possam julgar causas que versem sobre processo eletrônico de votação, visto que são partes e interessados no desfecho da lide, já que no exercício da função administrativa desenvolvem os programas das eleições e são responsáveis pela sua segurança e bom funcionamento.

As consequências malévolas dessa concentração de funções puderam ser comprovadas no julgamento realizado pelo TSE no dia 08/04/2010 envolvendo pedido de perícia nos programas usados nas eleições Estaduais de 2006 no Estado de Alagoas…

PS: em conversa via emeio com a doutora cortiz na noite passada, ela fez saber a este blog que os programas [perfeitos, como se sabe...] do sistema eleitoral brasileiro, que aliás não foram assinados pela OAB nacional dia 02/09 passado… apresentaram defeitos [surpreendente... não?] e estão sendo assinados novamente, sem grande divulgação [como manchete no jornal nacional, na primeira vez] começando ontem [13/09] e terminando hoje, sem qualquer supervisão externa, certamente porque, perfeitos que são, ninguém precisa se preocupar… é só votar e esperar que não tenhamos nenhum "brasil 2010".

interrompemos nossa programação [sobre tendências tecnológicas nos negócios, nesta década, primeiro, segundo, terceiro e quarto texto já publicados] para dar conta de uma notícia que não é nova mas que, pelo menos do ponto de vista do blog, passou desapercebida da mídia, grande e pequena.

não é que a OAB nacional não assinou o certificado digital do software das eleições de 2010? está bem aqui, na página do voto seguro… nestes termos:

…A OAB enviou o sr. Rodrigo Anjos, especialista em TI, como seu representante devidamente credenciado na cerimônia de lacração dos sistemas do TSE para avaliar o conjunto dos programas. Ao constatar que esse conjunto era composto por milhares de arquivos com mais de 16 milhões de linhas de código-fonte, a OAB nacional compreendeu que não teria condições técnicas de validar o sistema e decidiu que não iria assiná-los digitalmente, comunicando a decisão ao TSE.

A comprovação de que a OAB não assinou digitalmente os programas pode ser obtida nas Tabelas de Resumos Digitais dos Programas (a ser publicada na Internet pelo TSE) onde não consta nenhum arquivo com as assinaturas da OAB (como contra-exemplo, pode se ver os arquivos com as assinaturas digitais do PT).

Porém, nos minutos finais da cerimônia que encerrava um trabalho desenvolvido ao longo de seis meses, compareceu o sr. Francisco Caputo Neto , presidente da OAB do Distrito Federal e filho do ex-ministro do TSE Caputo Bastos, e representou uma cena "assinatura digital". Numa evidente demonstração de confiança cega, já que nenhuma equipe de seus técnicos gastou nem uma horinha analisando o conteúdo dos sistemas, o Sr. Caputo Neto assinou o "pacote" dos programas.

Como não assinou cada programa individualmente, o que atrasaria a cerimônia em duas ou três horas, os fiscais representantes do sr. Caputo Neto não terão como conferir se os programas instalados nas urnas e nos computadores dos cartórios seriam os originais com a sua respectiva assinatura digital.

E é assim que a autoridade eleitoral passou a dizer que "programação digital das urnas eletrônicas foi conferida, autenticada e… contou com a participação da OAB…".

o tema da segurança das urnas e do sistema de votação eletrônica do brasil tem sido recorrentemente tratado no blog, pelo menos desde as eleições municipais de 2008. veja alguns dos nossos textos neste link e um, especial e mais recente, sobre a prova de que as urnas indianas são inseguras, onde um dos maiores especialistas brasileiros no assunto diz em todas as letras que… “…tenho certeza que as urnas brasileiras também não resistiriam a um ataque realizado por gente capaz”.

este autor, em passado distante, escreveu mais de uma vez que a transição do sistema eleitoral do papel para o digital havia diminuído muito a incidência de fraudes, por simples incompetência temporal, à época, dos fraudadores em potencial. muitos anos depois da urna e seus sistemas acessórios sendo usados em escala nacional, com muitas [milhares de?…] pessoas em todo o país entendendo seu funcionamento e fraquezas, é preciso tomar outros cuidados com a segurança do voto que não a pura e simples propaganda governamental, tentando nos assegurar que o voto é seguro porque… é seguro. sei não, os problemas vêm de longe e, se eu trabalhasse lá na informática do TSE, estaria bem mais preocupado do que, pelo menos de público, a galera de lá parece estar.

por que? ora, veja só: uma auditoria independente estabelece, de forma inequívoca, que o  sistema do imposto de renda dos americanos é vulnerável e não garante confidencialidade, disponibilidade e integridade de dados. mas relaxe, você poderia dizer, é lá nos EUA e não tem nada a ver com eleições. então leia isso: aqui, em pindorama, ninguém menos que o TCU, tribunal de contas da união, diz que o vazamento de dados afeta 65% dos órgãos de governo e que a receita federal é só um exemplo. preocupante, não?…

como se não bastasse, o TCU diz –ainda por cima- que “a fraude eletrônica hoje é a mais limpa e a mais difícil de rastrear". o que deveria nos levar a refletir, juntos: as urnas são eletrônicas e todo o sistema eleitoral é eletrônico e sua segurança é baseada unicamente na palavra do TSE de que o sistema, como um todo, é seguro. mas o TCU diz que o vazamento de dados afeta 65% dos órgãos de governo e que “a fraude eletrônica hoje é a mais limpa e a mais difícil de rastrear". e aí, como ficamos?…

tem gente que acredita, piamente, na “propaganda governamental”: a urna é segura porque o governo garante que ela é segura. talvez a gente deva lembrar que o governo médici, em plena ditadura militar, mal copiando um original americano, introduziu o infame slogan “brasil: ame-o ou deixe-o”, tentando confundir a pátria com o governo, sem nunca ter lido mark twain: "Patriotism is supporting your country all the time… and your government when it deserves it". patriotismo é apoiar seu país o tempo todo… e seu governo, quando ele merece. simples assim.

temos o direito de ter eleições justas e limpas. e isso não depende de uma autoridade –por mais íntegra e respeitada que seja, como o TSE- garantir que elas são limpas mas de, transparente e independentemente auditadas, se mostrar que o processo eleitoral é comprovadamente limpo. o resto é propaganda governamental, da mesma classe do ame-o ou deixe-o. ou da versão TSE para 2010: “nestas eleições, deposite nelas [as urnas] mais do que o seu voto, deposite a sua confiança".

lá vêm as eleições e, com elas, o sistema eleitoral brasileiro. este blog fez uma longa série de considerações sobre o problema de segurança das urnas e do sistema, como um todo, antes das últimas eleições. em agosto e setembro de 2008, publicamos um bom número de textos que você pode ver [pela ordem] aqui, aqui, aqui, aqui e aqui.

logo a seguir, o TSE deu uma entrevista-resposta sobre o assunto da segurança das urnas, garantindo que as urnas eram seguras. só que, a seguir, um dos fabricantes das urnas declarou que sim, sem dúvida, as urnas eram inseguras.

o assunto acaba de voltar à tona com a publicação de um relatório do comitê multidisciplinar independente [CMIND] que acompanha o processo eleitoral. pra você ter uma idéia da importância que o relatório pode vir a ter, veja quais são as três principais conclusões, expressas no resumo executivo de duas páginas:

Tendo-se analisado com profundidade o relatório do comitê do TSE e juntando o conhecimento especializado e experiência dos autores no acompanhamento dos sistemas eleitorais do TSE desde 2000, concluiu-se o seguinte:

1. Há exagerada concentração de poderes no processo eleitoral brasileiro, resultando em comprometimento do Princípio da Publicidade e da soberania do eleitor em poder conhecer e avaliar, motu próprio, o destino do seu voto;

2. Desde 1996, no sistema eleitoral eletrônico brasileiro É IMPOSSÍVEL PARA OS REPRESENTANTES DA SOCIEDADE AUDITAR O RESULTADO DA APURAÇÃO DOS VOTOS. Em outras palavras, caso ocorra uma infiltração criminosa determinada a fraudar as eleições, restou evidente que a fiscalização externa dos Partidos, da OAB e do MP, do modo como é permitida, será incapaz de detectá-la.

3. Esta impossibilidade de auditoria independente do resultado eleitoral é que levou à rejeição de nossas urnas eletrônicas em todos os mais de 50 países que a estudaram.

o CMIND não é um grupo de hackers que se reuniu em uma mesa de bar ou porão pra maldizer o sistema eleitoral brasileiro, mas um grupo de pessoas independentes que avalia o processo eleitoral há anos e que resolveu dizer em público, e de uma vez por todas, que o sistema precisa mudar.

não se trata de mudar a só a urna, por exemplo. o problema é muito maior; segundo o CMIND, há que se mudar o processo, inclusive o papel do TSE, para aumentar a segurança e transparência do processo eleitoral. as três recomendações do CMIND são:

1. Propiciar separação mais clara de responsabilidades nas tarefas de normatizar, administrar e auditar o processo eleitoral brasileiro, deixando à Justiça Eleitoral apenas a tarefa de julgar o contencioso.

2. Possibilitar uma auditoria dos resultados eleitorais de forma totalmente independente das pessoas envolvidas na sua administração.

3. Regulamentar mais detalhadamente o Princípio de Independência do Software em Sistemas Eleitorais, expresso no Art. 5 da Lei 12.034/09, definindo claramente as regras de auditoria com o Voto Impresso Conferível pelo Eleitor.

se você leu até aqui, vale a pena saber quem escreveu o que este blog está citando. o CMIND é…

Sérgio Sérvulo da Cunha, 74, jurista, membro da Comissão Permanente de Direito Constitucional do Instituto dos Advogados Brasileiros.

Augusto Tavares Rosa Marcacini, 45, membro da Comissão de Tecnologia da Informação do Conselho Federal da OAB no triênio 2004/2006, acompanhou o desenvolvimento dos sistemas eleitorais do TSE em 2004.

Maria Aparecida da Rocha Cortiz, 49, advogada eleitoral, acompanha o desenvolvimento dos sistemas eleitorais junto ao TSE desde 2002.

Jorge Stolfi, 59, Ph.D pela Stanford University em 1988 é Professor Titular do Instituto de Computação da Unicamp.

Clovis Torres Fernandes, 56, Doutor em Informática pela PUC-Rio em 1992, é Professor Associado da Divisão de Ciência da Computação do ITA.

Pedro Antônio Dourado Rezende, 57, matemático e criptógrafo, Professor de Criptografia e Ciência da Computação da Universidade de Brasília.

Márcio Coelho Teixeira, 46, engenheiro, projetou do protótipo de urna eletrônica em 1995 aprovado pela Comissão de Informatização do Voto do TSE e acompanhou a apresentação dos sistemas eleitorais do TSE em 2000.

Amilcar Brunazo Filho, 60, engenheiro, assistente técnico em perícias em urnas eletrônicas, acompanha o desenvolvimento dos sistemas do TSE desde 2000.

Frank Varela de Moura, 38, analista de sistemas, acompanha o desenvolvimento dos sistemas eleitorais do TSE desde 2004.

Marco Antônio Machado de Carvalho, 44, analista de sistemas e programador, acompanhou o desenvolvimento dos sistemas eleitorais do TSE em 2008.

o relatório completo, de 105 páginas, pode ser encontrado neste link. boa leitura. o debate só está começando e o blog vai voltar ao tema muito em breve.

depois de intensa articulação nos bastidores e ministros disso e daquilo chamados às pressas, o presidente da república sancionou, sem vetos importantes, a nova lei eleitoral. dois temas principais da reforma, do ponto de vista de informática, vão mudar o estado das coisas, talvez de vez.

primeiro, ao contrário do que queriam os defensores da suposta segurança das atuais urnas eletrônicas, o voto vai ser auditado: uma porcentagem das urnas terá o voto impresso para posterior conferência. isso vai aumentar a transparência do processo de votação, senão do sistema eleitoral.

o sistema eleitoral brasileiro tem um problema radical, a concentração de poderes e execução do processo em uma única instituição, o TSE, que define a política, o processo, executa a eleição, dirime dúvidas e, do primeiro ao último caso, é o tribunal de si mesmo.

este blog fez uma longa série de considerações sobre o processo eleitoral antes das últimas eleições, em agosto e setembro de 2008, que você pode ver [pela ordem] aqui, aqui, aqui, aqui e aqui.

deixando o sistema eleitoral, como um todo, para lá [e por enquanto], começar a auditar as urnas pode ser parte do processo de mudança, da mesma forma que liberar a web, segunda parte da reforma no que diz respeito à informática, redefine o campo e parte das regras do jogo eleitoral.

isso porque revogamos parte do bisonho regulamento onde os candidatos só podiam usar, nas campanhas, o domínio “.can.br”, e onde a rede era tratada como se fosse, simplesmente, um amontoado de jornais eletrônicos. do jeito que ficou, candidatos e seus apoiadores [e opositores] podem usar do twitter ao facebook, do jeito que quiserem e até quando quiserem, para propagar seus planos e projetos. isso é muito bom.

mas o efeito desta “abertura” do processo eleitoral na web é bem menor do que poderia ser, porque apenas uma parcela do país está na rede, e em sua maior parte [acho eu] aquela que não será muito afetada pelos argumentos de um ou outro lado da política [se é que a política brasileira tem lados e não só interesses].

mas é claro que as novas regras para a rede, na próxima campanha, vão aumentar a transparência das eleições brasileiras. vamos todos poder dizer o que pensamos e queremos de candidatos, nossos e dos outros. haverá um aumento significativo do espaço e tempo ocupado por política na web. mas a mudança verdadeira não será na eleição que vem, e sim à medida em que muito mais gente, de todas as classes e lugares, se tornar cidadão de primeira classe, na rede.

pra isso, precisamos de mais e melhor rede, em todos os recantos do país, e este é um problema político, como sempre. assim como educação: estamos cansados de saber quais são os problemas essenciais do processo e sistema educacionais do país. por que, então, ainda não temos soluções verdadeiramente nacionais? por que ainda não temos nem o equivalente de um SUS para educação? será que interessa, para algum [ou muitos] grupo[s] manter uma grande maioria da população na ignorância?…

as respostas a estes ingênuos dilemas são conhecidas. quanto mais ignorantes, mais manipuláveis os indivíduos. quanto mais desinformados, menos educadas, mais ignorantes as pessoas. quanto mais fora da rede, quanto mais isoladas dos grandes fluxos nacionais e mundiais de conhecimento, das redes sociais de todos os tipos que são, o tempo todo, habilitadas pela internet, mais as pessoas estão sujeitas ao cabresto político que toma conta de boa parte do brasil, desde sempre.

a verdadeira eleição em rede só vai rolar quando quase cada um for capaz de, na mais ampla rede possível, discutir, sem preconceitos e ofensas, as propostas de todos os lados da eleição, refletindo e sintetizando premissas, princípios, valores, políticas, estratégias, ações, resultados e possíveis consequências das opções de representação democrática.

a maior contribuição da informática para as eleições, que se inicia de forma histórica, no brasil, na próxima eleição, é aumentar a transparência do processo eleitoral. tanto antes, na discussão na web, quanto durante, na auditoria da urna. é um grande passo.

mas ainda falta muito. a falta de transparência é o maior problema de lugares pouco civilizados como o nosso. a opacidade dos sistemas [que tal “atos secretos”?…], processos e instituições permite, o tempo todo, que indivíduos e instituições se apossem do bem público, das coisas públicas, quando não do imaginário público, em benefício único de suas obscuras causas, metas e, por que não dizer, profundos bolsos.

precisamos incluir o ESTADO inteiro, aquele com “E” maiúsculo, de forma transparente, na rede. do processo eleitoral às decisões [e razões] dos tribunais. quando isso começar de fato a acontecer, os representantes do povo, que hoje são quase donos do povo, serão apenas… representantes do povo, mediadores da discussão e decisão democráticas. em qualquer poder. como nunca deveriam ter deixado de ser.

vai demorar. mas vai acontecer. quando chegarmos lá, daqui a muitas décadas, nossos tempos serão lembrados como uma espécie de idade média [moderna]. e as eleições “em rede”, começando pela de barack hussein obama II, serão comparadas a uma espécie de prensa de gutenberg da democracia. espere. e verá.

semana passada, este blog publicou uma entrevista onde um especialista em segurança de informação questionava a segurança do sistema eleitoral brasileiro. o entrevistado preferiu permanecer anônimo, o blog concordou e o texto resultante teve a maior audiência [o blog chegou a cair] e comentários [150+] da curta história deste espaço. a entrevista desmentia, pura e simplesmente, a declaração do presidente do TSE de que o sistema eleitoral brasileiro seria "inviolável".

uma boa parte dos comentários [contra e a favor] é conseqüente e resulta da reflexão de quem leu o texto com atenção e deu, honestamente, sua opinião. esta parte da discussão ajuda, e muito, a esclarecer as dúvidas que todos nós temos -ou deveríamos ter- sobre o sistema eleitoral brasileiro.

outra parte das contribuições veio da histeria dos que defendem cegamente algo que não entendem, combinado com gente que acredita em papai noel e não tem nenhum outro espaço para se manifestar a não ser comentários em blogs. como a galera que quer desclassificar alguma opinião, sem pensar, só porque vinda de fonte anônima. será que esta gente não sabe o tipo e a intensidade das forças que operam em ambientes tão críticos como o processo eleitoral? será que ainda há quem ache que se pode dizer tudo, em qualquer espaço, em qualquer época, de peito aberto, sem temer pelo seu emprego, relações e, em certos casos, vida? será que há quem acredite que a liberdade de informar [incluindo o sigilo das fontes] e os direitos individuais, impressos nas constituições, estão lá apenas porque o texto é esteticamente belo?…

mas vamos deixar tais considerações prá lá, por enquanto, pois sempre haverá espaço para discuti-las aqui e em todo lugar, por muito tempo. e vamos ver duas notícias desta semana, sem nenhuma relação direta com o texto deste blog semana passada, mas com tudo -e mais- a ver com o assunto que tratamos.

o primeiro, neste link, vem direto da subcomissão especial de segurança do voto eletrônico da câmara dos deputados, através de seu presidente, deputado geraldo magela [do pt/df, representante do governo, portanto]. o deputado afirmou, dia 1º, que "as urnas eletrônicas fabricadas pela norte-americana Diebold, utilizadas nas eleições do país, não são seguras e não dão garantia de que a vontade do eleitor será respeitada". e disse mais [o que de resto é sabido há tempos por todo mundo que esteve perto do assunto]: "o voto eletrônico significa um avanço democrático e pode ser aperfeiçoado". uia!… foi a mesma coisa que dissemos alguns dias atrás, e vem com o carimbo da comissão da câmara que estuda o problema de segurança do voto eletrônico [e a gente não estava lá pra ajudá-los a chegar em tal conclusão].

do outro lado, na bancada da oposição, o  vice-líder do psdb, deputado Gustavo Fruet, diz que "diante de tantas denúncias de grampos e suspeitas de participação da Agência Brasileira de Inteligência (Abin) no vazamento de escutas telefônicas, o partido vai propor à Ordem dos Advogados do Brasil (OAB) a realização de uma auditoria externa sobre um novo sistema de criptografia que a Abin apresentará à Justiça Eleitoral para utilização nas urnas eletrônicas, durante as eleições deste ano".

e faz todo sentido do mundo: você deixaria, no contexto atual, a abin tomar conta da criptografia de sua conta bancária? não é que a agência não seja competente ou confiável… é que evidências de sua atuação recente a deixam numa situação muito difícil como provedor de criptografia e assinaturas para o processo eleitoral, ou seja, como principal responsável pela segurança e sigilo das eleições. não é "culpa" da agência, mas de ações esporádicas e recentes [como grampear o mundo ao seu redor] que fizeram a sociedade concluir que ela, a abin, não é confiável ou isenta. o que é uma pena, pois instituições como abin têm, claramente, um papel muito importante no arranjo institucional de qualquer país complexo como o brasil.

este blog sustenta a tese de que o sistema "eletrônico" é muito melhor do que o "de papel", por razões óbvias: as urnas de lona, os votos em papel, as apurações do passado e seus "mapas" sempre foram uma fábrica de eleitos. muito mais que a metade do processo eleitoral rolava, sempre, na confusão pós urnas. mas este blog também entende que o sistema atual pode ser melhorado, e muito, pelo aumento de transparência ao redor da urna eletrônica e dos sistemas de informação que, depois do voto, pronunciam os eleitos.

depois de nosso texto sobre o assunto, o TSE convidou o terra magazine para testemunhar o lacre das urnas eletrônicas. nós agradecemos a deferência, mas entendemos que "testemunhar" a carga do software e o lacre das urnas não adiciona nenhum valor à qualidade do processo eleitoral. preferiríamos que o TSE, em nome transparência das eleições, contratasse grupos independentes de especialistas, dissociados de governo e partidos, para testar, verificar, validar e certificar o sistema eleitoral ou, eventualmente, encontrar as falhas que, corrigidas, tornariam o processo ainda melhor do que acreditamos que ele já seja. o custo de abrir o sistema inteiro para uma auditoria externa, independente, seria muito menor do que a permanente suspeita, velada aqui, explicita ali, de que há algo errado com o sistema informatizado de votação que usamos no brasil.

na prática, dá pra fazer alguma coisa para as próximas eleições? provavelmente não. mas há eleições, por aqui, de dois em dois anos. é um verdadeiro festival, quase contínuo, de votos. será que o TSE não deveria inovar e chamar um monte de gente pra perto do processo, ao invés de se fechar em torno de suas próprias crenças e tentar, colaborativamente, melhorar a qualidade do processo eleitoral como um todo, olhando para as eleições por vir? a sociedade agradeceria e o tribunal, ao fazer isso, ganharia aliados e alianças. e quase de graça, mesmo que caro fosse, considerando o benefício.

a infra-estrutura brasileira de eleições, informatizada e universal, é um feito da engenharia e políticas nacionais. não resta a menor dúvida de que a urna eletrônica e o sistema de apuração por trás dela funcionaram -e funcionam- muito melhor do que o sistema baseado em cédulas, mapas e tinta que tínhamos antes. prova disso é que famílias e coronéis, brasil a dentro, perderam o controle quase secular que tinham de algumas cidades [em certos casos, regiões] porque não aprenderam a fraudar o sistema eleitoral informatizado na velocidade de sua evolução.

mas, desde sua chegada, a urna eletrônica é cercada de polêmica. uns, mais radicais [e usando argumentos, digamos, convincentes] dizem que o sistema é furado, pura e simplesmente. outros, mais condescendentes, apontam as melhoras que poderiam ser introduzidas para tornar o sistema bem mais confiável do que é.

acontece que o crime organizado está querendo organizar muita coisa e as eleições são parte importante do que [parece] que pode ser "organizado". de um lado, tem gente cobrando eleitor tirando foto de voto na urna pra mostrar pra cabo [?] eleitoral, sob pena de danos muito significativos à sua existência terrena. estes são, poderíamos dizer, os brucutus, a turma da força bruta. de outro, está a galera da inteligência do crime, vendendo eleições, por milhões. ou pelo menos dizendo que vende -e entrega- resultados.

e acontece que estamos no brasil, e a oferta de "eleger quem fosse, por um preço" acabou vazando… por todo canto, como anúncio viral em rede social. e o ministro ayres britto [na foto], presidente do tribunal superior eleitoral, teve que reagir, na sua moeda. segundo declaração do ministro, "o sistema é absolutamente inviolável". acontece que este blog, além de cético, escreve software há 35 anos e não acredita em sistemas "absolutamente invioláveis"… até porque há resultados fundamentais [da teoria da computação...] que nos levam à conclusão exatamente oposta. tudo indica que, num sistema linguístico qualquer, temos que escolher entre consistência e completude. se o sistema for consistente [ou seja, não dá pra pra provar que 0=1], há verdades, no sistema, que não podem ser provadas. por outro lado, se pudermos demonstrar tudo o que é verdade, o sistema é inconsistente, ou seja, também podemos provar um 0=1 aqui, outro ali, enfim, em todo lugar. ou eleger qualquer um, mesmo sem voto…

mas uma discussão do sistema eleitoral nestes termos [teóricos] não é razoável, porque prática é a vida e as eleições. mesmo sabendo que o ministro está teoricamente [pois não existem sistemas -do tipo do sistema eleitoral- invioláveis] errado, resolvemos consultar um dos maiores especialistas brasileiros em segurança de informação sobre o assunto e a sua resposta a nosso emeio está abaixo. sabendo das implicações de suas declarações, nosso personagem se escondeu por trás do codinome frodo [baggins, o filho adotivo de bilbo, do senhor dos anéis], o hobbit que tomou pra si a responsabilidade de detonar orodruin, a montanha do mal da terra do meio, da trilogia fantástica de j. r. r. tolkien. coisas de gente de segurança.

sim: mas o que disse frodo? a conversa é longa. leia e entenda porque o ministro ayres britto está errado mas, mesmo assim, nosso sistema eleitoral informatizado pode continuar sendo melhor do que qualquer outro, de papel, desde que tomemos os devidos [muitos] cuidados…

blog: as urnas brasileiras sao invioláveis? até que ponto? por que? se alguém quiser violar uma urna, quais são as opções?

Um dos maiores erros cometidos por quem não trabalha diretamente na área de segurança de sistemas é afirmar que existe sistema inviolável. Não existe 100% de segurança. Sistemas mais críticos devem possuir mecanismos que permitam identificar que houve uma falha ou violação de segurança e, a partir disso, tornar possível a tomada de decisões sobre a falha. Não se pode afirmar que tal sistema seja inviolável, ou que qualquer sistema seja inviolável.

Um ponto de falho da segurança das nossas urnas é que elas são construídas sobre de sistemas operacionais tidos como inseguras como DOS, que é utilizado nas primeiras urnas e, mais recentemente, Windows CE. Estes dois sistemas permitem técnicas de debugging que facilitam a realização de engenharia reversa sobre a plataforma da urna. Quem tem mais de 30 anos lembra do DEBUG do DOS e o utilizou no seu dia a dia para depurar problemas de execução. Este mesmo procedimento pode ser utilizado nas nossas urnas e não é nada muito complicado de ser feito. Há rumores, não confirmados, de que grupos de especialistas em segurança tiveram acesso a urnas e utilizaram desta técnica para realizar alterações no funcionamento normal dos programas do sistema.

Ainda sobre esta pergunta, vale salientar e refletir sobre as palavras de Josef Stalin: “Quem vota e como vota não conta nada; quem conta os votos é que realmente importa.” O que nos leva a sair da urna e tentar entender o que acontece com os "votos" depois que eles "saem" das urnas. Quem garante que não há falhas nos sistemas de recepção e processamento dos dados? Outro ponto importante, nesta análise, é que alguns dos softwares utilizados no sistema eleitoral possuem falhas de segurança não divulgadas. O artigo The Vulnerability Economy ilustra o tamanho do mercado de segurança de falhas não divulgadas. Este problema não afeta apenas as urnas eleitorais mas qualquer sub-sistema que faz parte do sistema eleitoral. E é sabido que partes do sistema eleitoral possuem falhas não divulgadas.

blog: se alguém quisesse violar o sistema eleitoral, a fragilidade estaria só na urna?

Como dito anteriormente, existe um sistema de retaguarda que realiza a contagem dos votos e, no meu entender, os componentes deste sistema seriam o ponto ideal para fraudar o processo eleitoral. Stalin, entre outros, já via tal alternativa. Outro ponto importante e bastante negligenciado é que todos os envolvidos no processo eleitoral, do lado dos tribunais regionais e do TSE,afirmam que a urna é inviolável e que, em caso de violação (!), há mecanismos para identificar tais atos. Particularmente, eu  posso acreditar nisso. No entanto, a pergunta que fica no ar é: o que se faz quando tais violações ocorrem?

Vamos a um exemplo: ligar uma urna eletrônica antes do horário previsto não é permitido, e a urna acusa tal ação. Neste caso, a pergunta complicada é “porque, mesmo com o sistema acusando a falha no processo definido, a urna com problema não é considerada inapta?” Não houve violação (tecnológica) de segurança, mas de processo. E não parece haver um controle ou auditoria para vetar ou validar tais falhas. Assim, como dar credibilidade a um processo eleitoral que não consegue tratar nem casos simples como este?

blog: existe algum indício de que o sistema já foi violado em eleições anteriores?

O site www.votoseguro.org descreve várias situações, em eleições anteriores, que podem ser consideradas violações do sistema eleitoral. Há, também, relatórios de análises feitas por pesquisadores brasileiros e estrangeiros que têm conclusões bastante diferentes das do Ministro sobre a inviolabilidade do sistema eleitoral.

Como consultor, recebi uma análise feita em algumas urnas de um certo estado, que acusavam que os HASHs [nota do blog: um tipo de assinatura digital] dos programas utilizados nas urnas diferiam daqueles que o TSE indicava para muitas das urnas. Teria sido um erro no TSE ou, neste caso,  houve mesmo violação? Nunca ficamos sabendo, porque o TRE do estado e o TSE não investigaram o problema. Utilizando um debugger, como dito anteriormente, se identificaria desvios no fluxo de execução do programa. Mas, até onde eu sei, o TSE preferiu não investigar a fundo o ocorrido, daclarando que houve um erro lá mesmo no TSE. Bom… esta opção é a mais fácil e minimiza o problema. Só que, em segurança de sistemas, esta postura é ótima para qualquer hacker. Como se diz, no meu tipo de negócio, neste caso “La seguridad soy jo”.

blog: das últimas [supostas] evidências de violação até o momento, o que foi feito para que o sistema não seja violado [novamente]? se isso não é suficiente, o que deveria ser feito?

Não há evidência de evolução significativa na segurança do sistema eleitoral, por parte do TSE, pelo menos não com respostas concretas e comprováveis a problemas apontados em diversos relatórios sobre eleições passadas.

Para um processo considerado critico ter credibilidade, é necessário que seja regulado de forma clara e por uma entidade que não seja parte interessada nele. Um erro clássico, que ocorre neste caso do sistema eleitoral, é que o TSE desenvolve o sistema, define os procedimentos, regula sua aplicação e audita os resultados. Em tal tipo de contexto, qual o interesse do TSE em assumir que houve alguma falha grave no processo eleitoral, capaz de invalidar uma eleição? Quem garante que não se sabe de falhas (graves, talvez) mas elas não são divulgadas?

Acredito que um primeiro passo para melhorar a confiabilidade e transparência do processo eleitoral seria a criação de um sistema regulatório, a cargo de uma entidade isenta  e que, em caso de falha no processo, tenha condições de analisar o problema do ponto de vista de uma regulação previamente acordada. Não há um CNJ para a Justiça? Talvez fosse o caso de um CNE para as eleições, para supervisionar o sistema eleitoral.

Este seria o primeiro passo. Outra abordagem, que eu confesso não saber se foi feita, mas que algumas entidades  reclamam não ter tido a possibilidade de chegar a tal ponto, é fazer com que especialistas em segurança auditem a urna e tentem descobrir se ela é ou não violável. Eu, particularmente, me interessaria muito por tal trabalho. Esforços semelhantes sobre urnas semelhantes à nossa apontam muitas falhas na urna. Por fim, e neste caso eu não consegui verificar a autenticidade dos vídeos, há registros de violação da segurança de urnas emprestadas para votações no Paraguai. Se estas imagens (1, 2, 3, 4, veja nesta ordem) forem verdadeiras, acho que temos que ficar muito preocupados.

resumo da ópera? especialistas em segurança de informação, como frodo, não têm tanta confiança no nosso sistema de eleições eletrônicas quanto o presidente do TSE. não que o sistema seja furado e esteja sendo manipulado em todas as eleições. mas há indícios de que pode ter sido o caso e parece que, mantido o estado de coisas, pode acontecer de novo [ou de vera]. o sistema bem que poderia estar sujeito a uma auditoria pública, aberta, transparente, para aumentar a confiança do processo. por que não? não resta dúvidas de que nosso sistema eleitoral é um dos melhores do mundo. se pudermos fazê-lo ainda melhor e tão inviolável quanto possível, a um custo aceitável para a democracia brasileira, que razão nos levaria a não tentar?…