Terra Magazine

depois de intensa articulação nos bastidores e ministros disso e daquilo chamados às pressas, o presidente da república sancionou, sem vetos importantes, a nova lei eleitoral. dois temas principais da reforma, do ponto de vista de informática, vão mudar o estado das coisas, talvez de vez.

primeiro, ao contrário do que queriam os defensores da suposta segurança das atuais urnas eletrônicas, o voto vai ser auditado: uma porcentagem das urnas terá o voto impresso para posterior conferência. isso vai aumentar a transparência do processo de votação, senão do sistema eleitoral.

o sistema eleitoral brasileiro tem um problema radical, a concentração de poderes e execução do processo em uma única instituição, o TSE, que define a política, o processo, executa a eleição, dirime dúvidas e, do primeiro ao último caso, é o tribunal de si mesmo.

este blog fez uma longa série de considerações sobre o processo eleitoral antes das últimas eleições, em agosto e setembro de 2008, que você pode ver [pela ordem] aqui, aqui, aqui, aqui e aqui.

deixando o sistema eleitoral, como um todo, para lá [e por enquanto], começar a auditar as urnas pode ser parte do processo de mudança, da mesma forma que liberar a web, segunda parte da reforma no que diz respeito à informática, redefine o campo e parte das regras do jogo eleitoral.

isso porque revogamos parte do bisonho regulamento onde os candidatos só podiam usar, nas campanhas, o domínio “.can.br”, e onde a rede era tratada como se fosse, simplesmente, um amontoado de jornais eletrônicos. do jeito que ficou, candidatos e seus apoiadores [e opositores] podem usar do twitter ao facebook, do jeito que quiserem e até quando quiserem, para propagar seus planos e projetos. isso é muito bom.

mas o efeito desta “abertura” do processo eleitoral na web é bem menor do que poderia ser, porque apenas uma parcela do país está na rede, e em sua maior parte [acho eu] aquela que não será muito afetada pelos argumentos de um ou outro lado da política [se é que a política brasileira tem lados e não só interesses].

mas é claro que as novas regras para a rede, na próxima campanha, vão aumentar a transparência das eleições brasileiras. vamos todos poder dizer o que pensamos e queremos de candidatos, nossos e dos outros. haverá um aumento significativo do espaço e tempo ocupado por política na web. mas a mudança verdadeira não será na eleição que vem, e sim à medida em que muito mais gente, de todas as classes e lugares, se tornar cidadão de primeira classe, na rede.

pra isso, precisamos de mais e melhor rede, em todos os recantos do país, e este é um problema político, como sempre. assim como educação: estamos cansados de saber quais são os problemas essenciais do processo e sistema educacionais do país. por que, então, ainda não temos soluções verdadeiramente nacionais? por que ainda não temos nem o equivalente de um SUS para educação? será que interessa, para algum [ou muitos] grupo[s] manter uma grande maioria da população na ignorância?…

as respostas a estes ingênuos dilemas são conhecidas. quanto mais ignorantes, mais manipuláveis os indivíduos. quanto mais desinformados, menos educadas, mais ignorantes as pessoas. quanto mais fora da rede, quanto mais isoladas dos grandes fluxos nacionais e mundiais de conhecimento, das redes sociais de todos os tipos que são, o tempo todo, habilitadas pela internet, mais as pessoas estão sujeitas ao cabresto político que toma conta de boa parte do brasil, desde sempre.

a verdadeira eleição em rede só vai rolar quando quase cada um for capaz de, na mais ampla rede possível, discutir, sem preconceitos e ofensas, as propostas de todos os lados da eleição, refletindo e sintetizando premissas, princípios, valores, políticas, estratégias, ações, resultados e possíveis consequências das opções de representação democrática.

a maior contribuição da informática para as eleições, que se inicia de forma histórica, no brasil, na próxima eleição, é aumentar a transparência do processo eleitoral. tanto antes, na discussão na web, quanto durante, na auditoria da urna. é um grande passo.

mas ainda falta muito. a falta de transparência é o maior problema de lugares pouco civilizados como o nosso. a opacidade dos sistemas [que tal “atos secretos”?…], processos e instituições permite, o tempo todo, que indivíduos e instituições se apossem do bem público, das coisas públicas, quando não do imaginário público, em benefício único de suas obscuras causas, metas e, por que não dizer, profundos bolsos.

precisamos incluir o ESTADO inteiro, aquele com “E” maiúsculo, de forma transparente, na rede. do processo eleitoral às decisões [e razões] dos tribunais. quando isso começar de fato a acontecer, os representantes do povo, que hoje são quase donos do povo, serão apenas… representantes do povo, mediadores da discussão e decisão democráticas. em qualquer poder. como nunca deveriam ter deixado de ser.

vai demorar. mas vai acontecer. quando chegarmos lá, daqui a muitas décadas, nossos tempos serão lembrados como uma espécie de idade média [moderna]. e as eleições “em rede”, começando pela de barack hussein obama II, serão comparadas a uma espécie de prensa de gutenberg da democracia. espere. e verá.

semana passada, este blog publicou uma entrevista onde um especialista em segurança de informação questionava a segurança do sistema eleitoral brasileiro. o entrevistado preferiu permanecer anônimo, o blog concordou e o texto resultante teve a maior audiência [o blog chegou a cair] e comentários [150+] da curta história deste espaço. a entrevista desmentia, pura e simplesmente, a declaração do presidente do TSE de que o sistema eleitoral brasileiro seria "inviolável".

uma boa parte dos comentários [contra e a favor] é conseqüente e resulta da reflexão de quem leu o texto com atenção e deu, honestamente, sua opinião. esta parte da discussão ajuda, e muito, a esclarecer as dúvidas que todos nós temos -ou deveríamos ter- sobre o sistema eleitoral brasileiro.

outra parte das contribuições veio da histeria dos que defendem cegamente algo que não entendem, combinado com gente que acredita em papai noel e não tem nenhum outro espaço para se manifestar a não ser comentários em blogs. como a galera que quer desclassificar alguma opinião, sem pensar, só porque vinda de fonte anônima. será que esta gente não sabe o tipo e a intensidade das forças que operam em ambientes tão críticos como o processo eleitoral? será que ainda há quem ache que se pode dizer tudo, em qualquer espaço, em qualquer época, de peito aberto, sem temer pelo seu emprego, relações e, em certos casos, vida? será que há quem acredite que a liberdade de informar [incluindo o sigilo das fontes] e os direitos individuais, impressos nas constituições, estão lá apenas porque o texto é esteticamente belo?…

mas vamos deixar tais considerações prá lá, por enquanto, pois sempre haverá espaço para discuti-las aqui e em todo lugar, por muito tempo. e vamos ver duas notícias desta semana, sem nenhuma relação direta com o texto deste blog semana passada, mas com tudo -e mais- a ver com o assunto que tratamos.

o primeiro, neste link, vem direto da subcomissão especial de segurança do voto eletrônico da câmara dos deputados, através de seu presidente, deputado geraldo magela [do pt/df, representante do governo, portanto]. o deputado afirmou, dia 1º, que "as urnas eletrônicas fabricadas pela norte-americana Diebold, utilizadas nas eleições do país, não são seguras e não dão garantia de que a vontade do eleitor será respeitada". e disse mais [o que de resto é sabido há tempos por todo mundo que esteve perto do assunto]: "o voto eletrônico significa um avanço democrático e pode ser aperfeiçoado". uia!… foi a mesma coisa que dissemos alguns dias atrás, e vem com o carimbo da comissão da câmara que estuda o problema de segurança do voto eletrônico [e a gente não estava lá pra ajudá-los a chegar em tal conclusão].

do outro lado, na bancada da oposição, o  vice-líder do psdb, deputado Gustavo Fruet, diz que "diante de tantas denúncias de grampos e suspeitas de participação da Agência Brasileira de Inteligência (Abin) no vazamento de escutas telefônicas, o partido vai propor à Ordem dos Advogados do Brasil (OAB) a realização de uma auditoria externa sobre um novo sistema de criptografia que a Abin apresentará à Justiça Eleitoral para utilização nas urnas eletrônicas, durante as eleições deste ano".

e faz todo sentido do mundo: você deixaria, no contexto atual, a abin tomar conta da criptografia de sua conta bancária? não é que a agência não seja competente ou confiável… é que evidências de sua atuação recente a deixam numa situação muito difícil como provedor de criptografia e assinaturas para o processo eleitoral, ou seja, como principal responsável pela segurança e sigilo das eleições. não é "culpa" da agência, mas de ações esporádicas e recentes [como grampear o mundo ao seu redor] que fizeram a sociedade concluir que ela, a abin, não é confiável ou isenta. o que é uma pena, pois instituições como abin têm, claramente, um papel muito importante no arranjo institucional de qualquer país complexo como o brasil.

este blog sustenta a tese de que o sistema "eletrônico" é muito melhor do que o "de papel", por razões óbvias: as urnas de lona, os votos em papel, as apurações do passado e seus "mapas" sempre foram uma fábrica de eleitos. muito mais que a metade do processo eleitoral rolava, sempre, na confusão pós urnas. mas este blog também entende que o sistema atual pode ser melhorado, e muito, pelo aumento de transparência ao redor da urna eletrônica e dos sistemas de informação que, depois do voto, pronunciam os eleitos.

depois de nosso texto sobre o assunto, o TSE convidou o terra magazine para testemunhar o lacre das urnas eletrônicas. nós agradecemos a deferência, mas entendemos que "testemunhar" a carga do software e o lacre das urnas não adiciona nenhum valor à qualidade do processo eleitoral. preferiríamos que o TSE, em nome transparência das eleições, contratasse grupos independentes de especialistas, dissociados de governo e partidos, para testar, verificar, validar e certificar o sistema eleitoral ou, eventualmente, encontrar as falhas que, corrigidas, tornariam o processo ainda melhor do que acreditamos que ele já seja. o custo de abrir o sistema inteiro para uma auditoria externa, independente, seria muito menor do que a permanente suspeita, velada aqui, explicita ali, de que há algo errado com o sistema informatizado de votação que usamos no brasil.

na prática, dá pra fazer alguma coisa para as próximas eleições? provavelmente não. mas há eleições, por aqui, de dois em dois anos. é um verdadeiro festival, quase contínuo, de votos. será que o TSE não deveria inovar e chamar um monte de gente pra perto do processo, ao invés de se fechar em torno de suas próprias crenças e tentar, colaborativamente, melhorar a qualidade do processo eleitoral como um todo, olhando para as eleições por vir? a sociedade agradeceria e o tribunal, ao fazer isso, ganharia aliados e alianças. e quase de graça, mesmo que caro fosse, considerando o benefício.

a infra-estrutura brasileira de eleições, informatizada e universal, é um feito da engenharia e políticas nacionais. não resta a menor dúvida de que a urna eletrônica e o sistema de apuração por trás dela funcionaram -e funcionam- muito melhor do que o sistema baseado em cédulas, mapas e tinta que tínhamos antes. prova disso é que famílias e coronéis, brasil a dentro, perderam o controle quase secular que tinham de algumas cidades [em certos casos, regiões] porque não aprenderam a fraudar o sistema eleitoral informatizado na velocidade de sua evolução.

mas, desde sua chegada, a urna eletrônica é cercada de polêmica. uns, mais radicais [e usando argumentos, digamos, convincentes] dizem que o sistema é furado, pura e simplesmente. outros, mais condescendentes, apontam as melhoras que poderiam ser introduzidas para tornar o sistema bem mais confiável do que é.

acontece que o crime organizado está querendo organizar muita coisa e as eleições são parte importante do que [parece] que pode ser "organizado". de um lado, tem gente cobrando eleitor tirando foto de voto na urna pra mostrar pra cabo [?] eleitoral, sob pena de danos muito significativos à sua existência terrena. estes são, poderíamos dizer, os brucutus, a turma da força bruta. de outro, está a galera da inteligência do crime, vendendo eleições, por milhões. ou pelo menos dizendo que vende -e entrega- resultados.

e acontece que estamos no brasil, e a oferta de "eleger quem fosse, por um preço" acabou vazando… por todo canto, como anúncio viral em rede social. e o ministro ayres britto [na foto], presidente do tribunal superior eleitoral, teve que reagir, na sua moeda. segundo declaração do ministro, "o sistema é absolutamente inviolável". acontece que este blog, além de cético, escreve software há 35 anos e não acredita em sistemas "absolutamente invioláveis"… até porque há resultados fundamentais [da teoria da computação...] que nos levam à conclusão exatamente oposta. tudo indica que, num sistema linguístico qualquer, temos que escolher entre consistência e completude. se o sistema for consistente [ou seja, não dá pra pra provar que 0=1], há verdades, no sistema, que não podem ser provadas. por outro lado, se pudermos demonstrar tudo o que é verdade, o sistema é inconsistente, ou seja, também podemos provar um 0=1 aqui, outro ali, enfim, em todo lugar. ou eleger qualquer um, mesmo sem voto…

mas uma discussão do sistema eleitoral nestes termos [teóricos] não é razoável, porque prática é a vida e as eleições. mesmo sabendo que o ministro está teoricamente [pois não existem sistemas -do tipo do sistema eleitoral- invioláveis] errado, resolvemos consultar um dos maiores especialistas brasileiros em segurança de informação sobre o assunto e a sua resposta a nosso emeio está abaixo. sabendo das implicações de suas declarações, nosso personagem se escondeu por trás do codinome frodo [baggins, o filho adotivo de bilbo, do senhor dos anéis], o hobbit que tomou pra si a responsabilidade de detonar orodruin, a montanha do mal da terra do meio, da trilogia fantástica de j. r. r. tolkien. coisas de gente de segurança.

sim: mas o que disse frodo? a conversa é longa. leia e entenda porque o ministro ayres britto está errado mas, mesmo assim, nosso sistema eleitoral informatizado pode continuar sendo melhor do que qualquer outro, de papel, desde que tomemos os devidos [muitos] cuidados…

blog: as urnas brasileiras sao invioláveis? até que ponto? por que? se alguém quiser violar uma urna, quais são as opções?

Um dos maiores erros cometidos por quem não trabalha diretamente na área de segurança de sistemas é afirmar que existe sistema inviolável. Não existe 100% de segurança. Sistemas mais críticos devem possuir mecanismos que permitam identificar que houve uma falha ou violação de segurança e, a partir disso, tornar possível a tomada de decisões sobre a falha. Não se pode afirmar que tal sistema seja inviolável, ou que qualquer sistema seja inviolável.

Um ponto de falho da segurança das nossas urnas é que elas são construídas sobre de sistemas operacionais tidos como inseguras como DOS, que é utilizado nas primeiras urnas e, mais recentemente, Windows CE. Estes dois sistemas permitem técnicas de debugging que facilitam a realização de engenharia reversa sobre a plataforma da urna. Quem tem mais de 30 anos lembra do DEBUG do DOS e o utilizou no seu dia a dia para depurar problemas de execução. Este mesmo procedimento pode ser utilizado nas nossas urnas e não é nada muito complicado de ser feito. Há rumores, não confirmados, de que grupos de especialistas em segurança tiveram acesso a urnas e utilizaram desta técnica para realizar alterações no funcionamento normal dos programas do sistema.

Ainda sobre esta pergunta, vale salientar e refletir sobre as palavras de Josef Stalin: “Quem vota e como vota não conta nada; quem conta os votos é que realmente importa.” O que nos leva a sair da urna e tentar entender o que acontece com os "votos" depois que eles "saem" das urnas. Quem garante que não há falhas nos sistemas de recepção e processamento dos dados? Outro ponto importante, nesta análise, é que alguns dos softwares utilizados no sistema eleitoral possuem falhas de segurança não divulgadas. O artigo The Vulnerability Economy ilustra o tamanho do mercado de segurança de falhas não divulgadas. Este problema não afeta apenas as urnas eleitorais mas qualquer sub-sistema que faz parte do sistema eleitoral. E é sabido que partes do sistema eleitoral possuem falhas não divulgadas.

blog: se alguém quisesse violar o sistema eleitoral, a fragilidade estaria só na urna?

Como dito anteriormente, existe um sistema de retaguarda que realiza a contagem dos votos e, no meu entender, os componentes deste sistema seriam o ponto ideal para fraudar o processo eleitoral. Stalin, entre outros, já via tal alternativa. Outro ponto importante e bastante negligenciado é que todos os envolvidos no processo eleitoral, do lado dos tribunais regionais e do TSE,afirmam que a urna é inviolável e que, em caso de violação (!), há mecanismos para identificar tais atos. Particularmente, eu  posso acreditar nisso. No entanto, a pergunta que fica no ar é: o que se faz quando tais violações ocorrem?

Vamos a um exemplo: ligar uma urna eletrônica antes do horário previsto não é permitido, e a urna acusa tal ação. Neste caso, a pergunta complicada é “porque, mesmo com o sistema acusando a falha no processo definido, a urna com problema não é considerada inapta?” Não houve violação (tecnológica) de segurança, mas de processo. E não parece haver um controle ou auditoria para vetar ou validar tais falhas. Assim, como dar credibilidade a um processo eleitoral que não consegue tratar nem casos simples como este?

blog: existe algum indício de que o sistema já foi violado em eleições anteriores?

O site www.votoseguro.org descreve várias situações, em eleições anteriores, que podem ser consideradas violações do sistema eleitoral. Há, também, relatórios de análises feitas por pesquisadores brasileiros e estrangeiros que têm conclusões bastante diferentes das do Ministro sobre a inviolabilidade do sistema eleitoral.

Como consultor, recebi uma análise feita em algumas urnas de um certo estado, que acusavam que os HASHs [nota do blog: um tipo de assinatura digital] dos programas utilizados nas urnas diferiam daqueles que o TSE indicava para muitas das urnas. Teria sido um erro no TSE ou, neste caso,  houve mesmo violação? Nunca ficamos sabendo, porque o TRE do estado e o TSE não investigaram o problema. Utilizando um debugger, como dito anteriormente, se identificaria desvios no fluxo de execução do programa. Mas, até onde eu sei, o TSE preferiu não investigar a fundo o ocorrido, daclarando que houve um erro lá mesmo no TSE. Bom… esta opção é a mais fácil e minimiza o problema. Só que, em segurança de sistemas, esta postura é ótima para qualquer hacker. Como se diz, no meu tipo de negócio, neste caso “La seguridad soy jo”.

blog: das últimas [supostas] evidências de violação até o momento, o que foi feito para que o sistema não seja violado [novamente]? se isso não é suficiente, o que deveria ser feito?

Não há evidência de evolução significativa na segurança do sistema eleitoral, por parte do TSE, pelo menos não com respostas concretas e comprováveis a problemas apontados em diversos relatórios sobre eleições passadas.

Para um processo considerado critico ter credibilidade, é necessário que seja regulado de forma clara e por uma entidade que não seja parte interessada nele. Um erro clássico, que ocorre neste caso do sistema eleitoral, é que o TSE desenvolve o sistema, define os procedimentos, regula sua aplicação e audita os resultados. Em tal tipo de contexto, qual o interesse do TSE em assumir que houve alguma falha grave no processo eleitoral, capaz de invalidar uma eleição? Quem garante que não se sabe de falhas (graves, talvez) mas elas não são divulgadas?

Acredito que um primeiro passo para melhorar a confiabilidade e transparência do processo eleitoral seria a criação de um sistema regulatório, a cargo de uma entidade isenta  e que, em caso de falha no processo, tenha condições de analisar o problema do ponto de vista de uma regulação previamente acordada. Não há um CNJ para a Justiça? Talvez fosse o caso de um CNE para as eleições, para supervisionar o sistema eleitoral.

Este seria o primeiro passo. Outra abordagem, que eu confesso não saber se foi feita, mas que algumas entidades  reclamam não ter tido a possibilidade de chegar a tal ponto, é fazer com que especialistas em segurança auditem a urna e tentem descobrir se ela é ou não violável. Eu, particularmente, me interessaria muito por tal trabalho. Esforços semelhantes sobre urnas semelhantes à nossa apontam muitas falhas na urna. Por fim, e neste caso eu não consegui verificar a autenticidade dos vídeos, há registros de violação da segurança de urnas emprestadas para votações no Paraguai. Se estas imagens (1, 2, 3, 4, veja nesta ordem) forem verdadeiras, acho que temos que ficar muito preocupados.

resumo da ópera? especialistas em segurança de informação, como frodo, não têm tanta confiança no nosso sistema de eleições eletrônicas quanto o presidente do TSE. não que o sistema seja furado e esteja sendo manipulado em todas as eleições. mas há indícios de que pode ter sido o caso e parece que, mantido o estado de coisas, pode acontecer de novo [ou de vera]. o sistema bem que poderia estar sujeito a uma auditoria pública, aberta, transparente, para aumentar a confiança do processo. por que não? não resta dúvidas de que nosso sistema eleitoral é um dos melhores do mundo. se pudermos fazê-lo ainda melhor e tão inviolável quanto possível, a um custo aceitável para a democracia brasileira, que razão nos levaria a não tentar?…