Security Measures for Brazil's e-Vote
Act Three: Self-validation
Amilcar Brunazzo Filho; Pedro A. D. Rezende
ONG CIVILIS - Forum do Voto-EPrivacy International 2003 Contestant for
"Word's most stupid security measure"
Index
0. Background information
1. Introduction
DREs
Software certification and validation
Three acts by a post-modern Janus2. Enabling software audit
SIE: A system based on DREs
Software certification in SIE
Software validation in SIE3. Ruling on software audit
Security recommendations ordered
Security recommendations disparaged
Janus Play4. Epilogue
About the authors
Annexes
0. Background information
Brazil is a democratic federative republic, with the State organized in three levels. Municipalities under states (one federal district), under the federation. Unlike in other democratic federative republics whatever that means, electoral matters in Brazil are solely under federal law. State and municipal electoral laws are forbidden by the constitution. This has historical reasons. Tales of election fraud speckle our country's history since early independence (1860's), when the State was still a kingdom, newly separated from Portugal. These cases kept gaining density, particularly after Brazil became a Republic in 1889, culminating in a "revolution" (a small one, with a few dead) in 1930, aimed at getting rid of flawed electoral process which did not allowed for the typification of electoral fraud, the so called "bico de pena".As a result of the 1930 revolution, a branch of the Judiciary Power was formed, named The Electoral Justice. A bureaucracy in charge of all elections for public offices, it turned out to be less of a branch of the Judiciary and more of an oxymoron for the democratic principle of balance of powers, despite, or perhaps because of, two long interruptions in democratic ruling, form 1932 to 1945 and form 1964 to 1985 (http://www.ccc.commnet.edu/ stuweb/~quiterio5816/History.htm). Its mission being to enforce federal electoral legislation, in practice it was given the legislative power to regulate on how the measures or dispositions in such laws shall be enforced or fulfilled, the executive power to run the elections it regulates, and last but not least the judicial power to judge itself with regard to its two other functions. Brazil's Electoral Justice is hierarchically organized as a top federal court, named Superior Electoral Tribunal (TSE), and state courts named Regional Electoral Tribunals (TREs), with its original mission becoming a trinity of functions.
Following up on its informatization program, started with a centralized databasing of registered voters in 1987, TSE began specifying, bidding, buying and deploying to TREs, for use in all public office elections beginning in 1996, Direct Recording Electronic Voting Systems (DRE), called in Brazil urnas eletrônicas. We will henceforth refer to the DREs chosen for deployment at official elections in Brazil by the acronym "UE". They are basically Intel PC platforms with flashcard storage, sold by Procomp (the former IT subsidiary of Brazil's largest bank, now owned by Diebold Inc., from Ohio) and Unisys Brasil (image 1: photo of an UE by Procomp from http://www.politica.pro.br).The use of UEs in brazilian elections grew progressively to reach the totality of precincts in 2000 and 2002. Voting in Brazil is compulsory, there being today around 117 million registered voters, all of which were to vote in one of the more than 400 thousand UEs deployed for nationwide elections. That's Brazil's e-vote, which have yielded president Lula's all-time world record for votes given to an elected president, according to some boasted local media reports (http://www.lula.org.br/index1.asp). That is not a mere curiosity, for it may be setting trends, as we can figure by following the news on the modernization of electoral processes worldwide (http://www.psr.keele.ac.uk/election.htm).
1. Introduction
DREs
Among electronic voting machines, DREs are peculiarly amusing because they do not materialize a voter's vote. A DRE employs no paper, no electronics, nor any other media or means to register individual votes. It does not openly tally individual votes. It does not hold electronic representations of individual votes beyond the time frame the system's designer deems necessary for totaling the votes entered. Once the voting period is finished, all that remains available from a DRE machine are the totals per candidate, including undervotes (brancos) and overvotes (nulos) entered, and some statistics, for a particular election.A DRE solves the problem of electronically implementing the commonly held modern democratic principle of vote secrecy by doing away with election auditability. A DRE trades the possibility of recounting individual votes for vote secrecy, obtaining such secrecy through the easiest and shortest path. That is, through the path which mistakes integrity assurance and authorship for just the latter, as the predicate of such desired secrecy. Because of this, DREs rely solely on software certification and validation to inspire, in the technical sense, trust in the accuracy of the results they can yield. This trust will, obviously, be comparable to the rigourousness, thoroughness and care with which such certification and validation are done.
Software certification and validation for 400 thousand computers is undoubtedly not an easy task. In a democracy able to defend itself, the reliability of such complex process will hinge simultaneously on the independence, competence and efficacy with which the various steps of this process can be carried out, assuming their completeness. It will hinge on sufficient means to expose or neutralize, to an acceptable degree of certainty, not only design, implementation and operational flaws, but mainly the possible collusions amongst any subset of agents against its values and principles. With DREs, the reliability of an electoral system will, therefore, depend on a delicate balance of risks and responsibilities among its human agents.
Software Certification and Validation
According to Brazil's federal electoral law in place, the task of certifying and validating the softwares in the UEs and its system rests with the political parties running for the election (Lei 9504, art. 66). As the indenter, owner and operator of the UE machines and its system, as well as the regulator which writes the rules for this certification and validation, the Electoral Justice is responsible, in theory and practice, for the terms and conditions under which the political parties are to pursue this task.As explained before, TSE is a supreme court responsible for protecting the constitutional and legal rights of voters, at the same time that it also happens to be the operational arm of the State responsible for enabling and enforcing such rights, thus becoming their main potential violator as well. Therefore, it can only play balanced acts with its two faces if it is not to fail any of its functions. Since these functions make up a kind of holy trinity mission, failing one will mean failing the others. Thus, TSE's two faces are like the faces of Janus (image 2 from Encyclopedia Larousse), the Roman god of beginnings and portals. If one face has to turn right, the other face shall not want to turn left.
Has TSE been playing balanced acts? Well, depends on how one observes. One has to follow both faces at once to find out. This, plus the fact that contemporary mainstream media and cultures seems chronically incapacitated for looking at both faces of Janus at once, is what makes this story so interesting. Trust inspired by technical sense may not mean trust inspired by psycho social sense.
Three acts by a post-modern Janus
Some of the acts played out by this post-modern Janus at Brazil's political stage are worthy of notice, for their didactic value on the interface between information technology and political power. We selected, for Privacy International's 2003 contest, three of these acts. Our choice was based on the central role of some proclaimed security measures and on such didactic value they feature. For this article we chose an act we call Self-validation. The reader is invited to judge by him or herself as to the efficacy, boldness and possible effects of its central character. The other two acts are the Preemptive Sampling and the Parallel testing acts.2. Enabling software audit
SIE: a system based on DREs
With complete informatization attained through the deployment of UEs at the totality of precincts for any official election, the voting system in Brazil set up by TSE and known as SIE (Sistema Informatizado de Eleições) works, in general lines, as follows (http://www.tse.gov.br/).Initialization: The electoral official responsible for a precinct (sessão eleitoral) sets up the voting system by initializing the UE which has been prepared for that precinct by the corresponding TRE, in the presence of designated political party supervisors. The UE software holds a list of names and pictures of candidates for the elections taking place at the municipality of that precinct at that date. Upon initialization, the list of names of candidates is printed out in a paper ribbon by a printer built into the UE's CPU (larger module in figure 1). The CPU is placed in a closed booth and connected to the control terminal (smaller module in figure 1) by a long serial cable, which is placed a few meters away in a desk where electoral officials will sit. The picture of a candidate is shown to the voter who chooses said candidate, as part of the voting stage in which the voter is to confirm his vote.Vote: When someone comes into the precinct to vote, he/she is identified through an official list of voters registered to vote in that precinct, issued by TSE from its central voter registry database, against a personal document (which does not bear a photograph of its owner), issued by the precinct's corresponding TRE upon registration. The electoral official enters the voter registration number into the keyboard in the control terminal, and some voting software at the CPU checks whether that number belongs to that precinct and whether such voter has already voted in that election. If that number belongs and has not yet voted, the numerical keyboard of the UE's CPU is set to receive that voter's votes.
Finalization: At the end of the voting period, normally at 5 pm, the electoral official responsible for the precinct finalizes the vote by commanding the system to end voting. The UE software then records on magnetic media (a 3.5 diskette) a digitally signed electronic version of that precinct's voting report, called boletim de urna (BU), which is a list of candidates who have received at least one vote, followed by the number of votes he/she has received, and the null and empty votes from that precinct. It also prints copies of a textual version of the BU in paper ribbon. These copies have to be signed by the electoral officials and handed out to the party representatives who supervised that precinct's vote.
Polling: The diskette with the BU is then sent to electoral informatics poles, which are the end nodes of a computer network set up for polling the elections. Such poles are connected directly to the TREs, and these to TSE through a VPN with a tree topology. There is usually one pole for each group of approximately ten medium sized municipalities, set up at some electoral registrar. The task of these poles is to validate the BUs received, to transmit them to their upward TRE node and to store electromagnetic media and flow control papers and equipment. The TRE nodes are responsible for polling the results of municipal and statewide elections, to transmit polled results and BU votes for the presidential election (if applicable) to the root note at TSE, and to proclaim electoral results (except for presidential elections, done by TSE). TSE also runs a TCP/IP report service, for delivering on-line partial results for all the elections taken place in the country, through a specialized http browser developed and freely distributed for this purpose.
Software Certification in SIE
Modern States don't compare in scale to classical greek cities. Therefore, modern democracies are based on a fragile adaptation of its basic mechanism elections, raised to stand on a tripod whose legs are the processes of voting, polling and auditing. A weakness in any of these three pillars can fault the reliability of modern democracy's basic mechanism. The fascination with technology nurtured by our contemporary civilization has allowed decision makers and public officials to introduce information technologies in social processes under sole justifications of efficiency, as if the molding of social processes by any gauge of efficiency would risk no drawbacks.This shortsidedness, of which the preemptive sampling act is a case study, has weakened the third leg of the tripod sustaining Brazil's fragile democracy. In describing this act, we will mention some decisions taken by those in charge at TSE for regulating existing electoral legislation, on their lobbying for modifications on this legislation due to evolving informatization, on their judging of own conduct on this matter in a manner that can be construed as reckless for this third leg, and on how they have gotten away with it in the face of public opinion and legislative oversight. One of our hopes is that such a stance can be better challenged, not only in Brazil but in other scenarios to come from sorcerer's apprentices, with the help of honors this case may get from the Privacy International's 2003 contest.
Nationwide elections are held every two years in Brazil. For all elections held under federal Law 9504, that is since 1997, TSE had been interpreting very narrowly, through its regulations, article 66 of this Law, which establishes audit rights regarding information technologies involved in SIE. Article 66 of Law 9504 says (http://www.pt.org.br/assessor/PL4604.htm, translation by this author).
Art. 66: Political parties and their coalitions will be able to inspect all phases of the processes of preparation, vote and polling of elections, including the UEs and the electronic processing of polling results, being granted to them previous knowledge of the computer programs to be used.In all these elections, only some of the code, and access to its source code, was made available to designated party inspectors, and under extremely limited technical and legal circumstances. But just enough to generate headlines in mainstream media suggesting the fulfillment of article 66. Furthermore, these regulations had no provision for independent validation of whatever software was inspected, regarding its integrity between inspection and deployment. The type of software validation allowed for election 2002, in the context of ineffective inspections taken to the status of software certification, will be on focus in this act.A software presentation session, called by anchors of prime time TV news a "certification", was done 60 days before elections. It consisted of designated party inspectors being able to view, but not run, compile or test, in a controlled environment at TSE, roughly 3 million lines of code from about 35 thousand files in 5 days, and then, at the end, follow the screen monitor while this code was compiled, the executables generated were digitally signed and the files burned into CD media by TSE technicians. The source code available at this presentation session did not comprise the entire SIE software package (the VirtuOS operating system was not inspected), and the verification of the signatures on these executables was to be done by one of the softwares in the package. To participate, inspectors had to bind to a stringent, absolute and unending nondisclosure agreement with TSE regarding "any knowledge derived from the softwares available for inspection".
Software validation in SIE
The terms and conditions for later verifications of the digital signatures on the executables and binaries from this presentation, needed during replication, transport, aggregation of candidate tables at the TREs, and installation in the UEs and polling networks, constitutes the central character of this act. It should be said that so far any legal challenge to the classification of these procedures as fulfillment of article 66, mentioned above, were either sidetracked through legal technicalities or answered with outright debauchery.Some of the technicians, scholars and politicians involved with these procedures and legal challenges have co-authored a book, so far available only in portuguese in pdf format, entitled "Burla Eletrônica" (http://www.brunazo.eng.br/voto-e/arquivos/BurlaEletronica.pdf), narrating some tales and details, like the "certification" nondisclosure agreement, most of which collected, documented and presented by themselves in a seminar held at Brazil's National Congress in May 2002.
3. Ruling on software audit
Security recommendations ordered
At the same time that that seminar was held, TSE released a technical report signed by engineers from Universidade de Campinas (UNICAMP), hired by TSE to evaluate the security of SIE ("Valiação do Sistema Informatizado de Eleições (Urna Eletrônica) . http://www.tse.gov.br/servicos/download/rel_final.pdf). The item 4.3 of this report declares (translation by author):After the public compilation of all source files from SIE's software package at the end of presentation, the executables are digitally signed and recorded in non volatile media (CD-ROM), the media are sealed in an envelope which is hand signed by all participating inspectors. After this period, there are no simple and effective mechanism in place which permits party inspectors, anywhere in the country, to confirm that a software deployed in a UE corresponds faithfully to the homonimus file sealed and stored at TSE."To solve this voter security gap, that is, a lack of independent validation mechanism for SIE software, TSE technicians decided to follow a recommendation in this same report, issued in its item 5.4, which declares: (translation by the author)The compilation of source code of SIE software, and the computation of a cryptographic hash value for the corresponding executables, shall be done in the presence of designated party inspectors, and representatives of social institutions with effective knowledge of software systems. A table of the file names and corresponding hash values, together with the description of the algorithm employed for computing the hash, shall be publicly available to make possible the validation of these executable programs in the UEs during deployment and installation processes."Security recommendations disparaged
But what does "make possible the validation" means? TSE technicians decided they knew what that means. They decided not to allow party inspectors to use their own implementations of the appropriate hash algorithm to validate the software being deployed to the UEs at the TREs, laconically citing "security problems" as the reason for this denial. They have completely ignored a proposal, from one of the authors of this article, for a protocol that addressed their concerns about the most likely security problem behind these decisions, the risk of some malicious inspector raising false claims of counterfeit installations during validation.They decided that only their software could do it. For that, they included in UE's software package a self-validating program called VAUDIT.EXE. This program is launched by a special script file in a diskette, to be inserted in a UE for validation of its entire software package. Upon running, it would print the name and hash value of the files found in the UE storage (flashcards), plus the content of the file with the list of candidates.
These technicians declared they believed party inspectors would be getting a proof for themselves of the fact that all files installed in a UE are faithful copies of their homonims in TSE's sealed envelope, by watching the screen and printout produced by the VAUDIT.EXE running in that UE. That is, they say they believe that this self-authentication correspond to a software validation for UEs. Thus, what we get from engaging them in any debate is cross talk like
-- "But how does this proof works for the VAUDIT.EXE proper? How do we know the VAUDIT.EXE itself, running in the UE, is the same from TSE's sealed envelope? In other words, how do we know that the VAUDIT.EXE installed in a UE is really computing hashes, and not just printing from the hash table produced earlier at TSE's presentation session? And if the VAUDIT.EXE from the presentation session was substituted, in the way to the installation media, for one which prints that table instead of hash calculations, how do I know other files were not substituted as well?
--"That can't happen!"Janus play
Software installation in the UEs is done in one single operation. A UE features one fixed, internal flashcard and a removable, external flashcard. A master flashcard, called "flash de carga", is inserted in the external flash slot, the machine is booted from there, a script copies the files to be installed reading from there and writing onto the internal flashcard. The master flashcard is then replaced by the UE's external flashcard (which will keep copies of the systems' working files during a voting session), and the master flashcard is freed to deploy the package to another UE. Independent validation of the contents of the master flashcard were not allowed either, for the same impenetrable reason of "security problems".At least two political parties tried to contest this absurd security measure. There was a motion from PDT (Partido Democrático Trabalhista) [annex 1 paragraph 1C] and PMDB (Partido do Movimento Democrático Brasileiro) [anexo 2 parágrafos 11 e 12]. But from what came out of Janus' house in similar cases from previous elections, one can expect decisions to file these cases, due to some trickery or comic reason.
4. Epilogue
We hereby respectfully submit, as our candidate for the most stupid computer security measure in the world, the computer program for validating the authenticity of files bundled with it in the UE, called VAUDIT.EXE, together with the logic of its specification, named here the self-validation measure.The act presented here has been coadjuvated by some patriotic brazilians who, as concerned cybercitizens, hoped to sensitize election officials on the importance of sound computer security measures, and to get their society to hold them accountable for the consequences of their decisions. TSE has spent close to 150 thousand US dollars form taxpayer's money to obtain a technical report on SIE for playing pick-and-choose with its security recommendations, and very few seem to care. But before the hope of these concerned cybercitizens faded into oblivion, they got a boost from the chance of being heard by the public who might be touched by the outcome of Privacy International's 2003 contest. Good luck to us all, for no one in this world is safe today from the consequences of our collective fascination with technology as panacea.
About the authors
This document was produced through a cooperation effort among participants of CIVILIS.CIVILIS is the name of a core group of 12 activists from all over Brazil, organized around an open discussion list with about 200 subscribers and its web site, http://www.votoseguro.org, regarding electronic elections in Brazil, its process and reliability. The person responsible for the domain name of that site, Amilcar Brunazzo Filho, who is also its web master, participates in CIVILIS and took part in the elaboration of this document.
Anexes
Anexo 1
EXCELENTÍSSIMO SENHOR MINISTRO PRESIDENTE DO EGRÉGIO TRIBUNAL SUPERIOR ELEITORAL.
O Partido Democrático Trabalhista-PDT-Diretório Nacional, já qualificado, por sua advogada, vem respeitosamente perante V.Exa., com fundamento no artigo 21 da Resolução 20.997/2002, apresentar:
IMPUGNAÇÃO
Nos termos a seguir articulados:
1. Dos trabalhos de análise e lacre dos programas a serem utilizados nas eleições de 2002, detectou-se a existência de procedimentos tecnicamente inadequados, os quais restam impugnados conforme motivos abaixo:
a)Não foram disponibilizados os códigos fontes do programa VIRTUOS, que será utilizado nas urnas eletrônicas modelo 1996, 1998 e 2000, numa limitação ao exercício de fiscalização, o qual, somente poderia ser analisado se paga a importância de R$ 250.000,00 (duzentos e cinqüenta mil reais), atitude que contraria o disposto no artigo 66 da Lei 9.504/97;
b)Contrariamente ao divulgado por Edital, os impugnantes detectaram que parte dos programas executáveis finais já encontravam-se pré-compilados, como os do VIRTUOS que foram montados com a utilização de arquivos pré-compilados;c)O PDT, em 07/06/2002, apresentou sugestões à Secretaria de Informática desta Corte, objetivando a adoção de procedimentos para a homologação cruzada dos programas autenticadores (item 2.1.3 do documento) e para a conferência da integridade dos mesmos, quando carregados nas urnas eletrônicas (item 3.1 do documento).
A UNICAMP já havia proposto medida similar em seu relatório de avaliação do sistema informatizado de eleições do TSE, que uma vez adotadas, permitiriam aos partidos políticos conferirem a integridade dos programas gravados nas flash internas das urnas eletrônicas. Nenhuma destas sugestões foi aceita.
Inobstante, a logística desse E. Tribunal, foi no sentido de propiciar uma conferência da integridade dos programas carregados nas flash internas das urnas eletrônicas, que consiste em rodar os programas VAUDIT.EXE e WAUDIT.EXE, gravados previamente na própria flash interna, o que é insuficiente para dar garantias técnicas da integridade dos referidos programas, visto não poder ser considerada válida nem confiável uma auto-autenticação dada pelo próprio sistema a ser autenticado;d)O prazo de cinco dias, para a avaliação do conjunto de programas do sistema eleitoral de 2002, é insuficiente, pois teve seu tamanho e sua complexidade tremendamente aumentados em relação ao sistema utilizado em 2000, principalmente pela inadequada introdução do sistemas WINDOWS CE, com seus mais de 25.000 programas e 2 milhões de linhas de códigos fontes, forçando à duplicação dos programas das urnas eletrônicas.
O resultado desta opção, foi que os técnicos dos partidos só conseguiram analisar parcela ínfima dos códigos disponibilizados.2. Decorre do exposto, o Partido Democrático Trabalhista, consigna sua presença à cerimônia de apresentação, compilação e lacração dos programas, sem com isso, validar sua integridade e ainda, espera medidas (já sugeridas) que vez implementadas, venham a garantir um processo confiável, seguro, transparente e principalmente auditável.
Nestes Termos;
Pede Deferimento.
Brasília, 13 de setembro de 2002
pp.
Maria Aparecida Silva da Rocha Cortiz
Advogada OAB/SP 147.214
Amilcar Brunazo Filho
Engenheiro Representante do PDT junto ao TSE
Osvaldo Peres Maneschy
Representante do PDT junto ao TSE
Annex 2
Excelentíssimo Senhor Desembargador Presidente do Egrégio Tribunal Regional Eleitoral do Estado de São Paulo
O PARTIDO DO MOVIMENTO DEMOCRÁTICO BRASILEIRO PMDB, pessoa jurídica de direito privado, inscrita no CNPJ sob nª 45.302.874/0001-31, estabelecido nesta Capital com sede na Rua Marques de Paranaguá, 348, 3º andar, por sua advogada, vem respeitosamente perante V.Exa., com o acato necessário, e fundamento nos artigos 14 da Constituição Federal e 66 da Lei 9.504/97, apresentar PROTESTO em face dos procedimentos adotados por essa Colenda Corte, na condução do processo eleitoral de primeiro turno das eleições de 2002, nos moldes a seguir articulados:
1. Os agentes do processo eleitoral são, sem exclusões ou privilégios, os eleitores, partidos políticos, coligações e os candidatos. Para eles foi criado e mantido todo o arcabouço da Justiça Eleitoral e, para eles ela deve existir e trabalhar.
Para garantir que não haja obscurantismo e prevaleça a transparência dos pleitos, a legislação colocou à disposição dos agentes o direito de livremente fiscalizar todas as etapas do processo eleitoral.
2. Não somente uma garantia, mas acima de tudo um dever vinculado a soberania popular, onde não se vislumbra peias , pois a partir dele garante-se a supremacia da democracia, oriunda da vontade de cada eleitor.
3. Tecnicamente, a necessidade de se exercer uma fiscalização eficiente e ampla, foi sugestão proposta pela UNICAMP, que ao elaborar relatório a pedido do E. Tribunal Superior Eleitoral, recomendou:
...A confiabilidade do processo eleitoral depende crucialmente do controle sobre todas as etapas de sua condução, que deve ser exercida pela sociedade, por meio dos partidos políticos, dos fiscais dos mesários, dos juizes eleitorais e dos próprios eleitores. Algumas das recomendações acima só terão seus objetivos atendidos se houver a efetiva fiscalização e acompanhamento por representantes aptos a fazê-lo...
4. Os princípios insculpidos na legislação, que envolvem busca à plena democracia, voltados a construir uma sociedade livre, torna o processo eleitoral uma fonte de soberania, mas a implementação e prática da legislação, não se amolda a tais princípios e, data maxima venia pode-se assegurar que efetivamente os Egrégios Tribunais Regionais, criam normas capazes de afastar do processo seus legítimos interessados, dentre os quais os partidos políticos.
5. Cediço, que o processo eleitoral em seu início comunga a regulamentação da legislação e a análise e compilação dos programas apresentados aos interessados no Tribunal Superior Eleitoral. Essas etapas, comportam várias discussões, e meses de trabalho, nos quais muitas conquistas são feitas e outras deixaram por serem implementadas.
5.1. Timidamente, duas inovações, implementadas pelo Tribunal Superior Eleitoral, principiariam a aclarar o processo e, viabilizariam um início de fiscalização, quais sejam:
a)Autorização aos fiscais de partidos para presenciarem a Cerimônia de Geração de Mídias e assim, conferir a integridade dos programas;
b)No ato de carga e lacração das urnas, nos Estados, conferência de que os dados carregados, foram exatamente os trazidos do TSE, através da utilização dos programas validadores, VAUDIT.EXE E WAUDIT.EXE (lançados pelo disquete V.PRE), especialmente desenvolvidos com novas funções de verificação dos resumos criptográficos (assinatura digital) dos programas e apresentação das tabelas de candidatos de forma que as urnas poderiam ser lacradas imediatamente após a validação, teste e auditoria, sem necessidade de se voltar a carregá-la.
6. Ao implementar as inovações, esse Tribunal Regional, descuidou-se de regras processuais básicas, que acabaram por impossibilitar a fiscalização de forma adequada e eficiente.
6.1. Para presenciar a Cerimônia de Geração de Mídias, os partidos foram convocados, no próprio dia em que o ato seria realizado. Por motivos oficialmente não informados, os trabalhos iniciaram-se somente na noite seguinte, sem que fosse possível presenciar o seu início.
6.2. A presença ao ato de geração das mídias, demonstrou a ausência de Juiz Eleitoral ou membro do Ministério Público, que conduzisse e validasse os trabalhos,. A realização das tarefas ficou sob a responsabilidade de servidores do Tribunal e funcionários contratados pela empresa UNISYS do Brasil Ltda, que não portavam crachá ou qualquer outra identificação. A permanência dos fiscais ficou condicionada a uma distância de mais ou menos oito metros, impossibilitando efetivo acompanhamento e controle das mídias geradas.
As memórias flash cards de carga, eram acondicionadas em caixas individuais sem qualquer tipo de lacre ou assinatura e neles somente existia uma etiqueta, que identificava o conteúdo mas não a pessoa responsável pela geração, o que impossibilitava a conferência da autenticidade dos mesmos nos locais de carga.
As memórias utilizadas, do tipo flash card, podem ser facilmente copiadas ou ter seu conteúdo modificado pois não possuem proteções contra leitura ou gravação. Desta maneira, qualquer pessoa que a elas tivesse acesso fora das vistas dos fiscais poderia alterar seu conteúdo sem que estes fiscais pudessem detectar. A geração, a guarda e o translado destas memórias, sem lacres e assinaturas individuais, foi absolutamente propício para isso.
7. Fato relevante envolveu a contratação de suporte técnico para as eleições de 2002, que incluí participação na geração de mídias, primeiramente porque houve um absoluto e injustificável sigilo em relação aos nomes das pessoas contratadas, o que inviabilizou qualquer impugnação, embora subordinados à legislação eleitoral como auxiliares.
7.1. Contratados por força de processo licitatório onde foi vencedora a empresa UNISYS Brasil Ltda, CNPJ nº 33.426.420/0009-40, sediada no Rio de Janeiro, conforme informações encontradas no site do TSE na Internet. Essa empresa, além de fornecer novas 51 mil urnas eletrônicas e os Módulos de Impressão Externo, atuaria no fornecimento de suporte técnico, juntamente com a empresa Procomp que responde pelas demais urnas já em operação.
7.2. A contratação de mão de obra técnica foi terceirizada pela Contratada UNISYS do Brasil, à empresa TMP WORLWIDE do Brasil Ltda., criada em 23/02/2001, inscrita no CNPJ sob nº 03.936.022/0001-56, com quadro societário composto 99%, pela empresa estrangeira, TMP WORLWIDE INC., que se incumbiu de recrutar e selecionar os candidatos.
7.3. As inscrições foram recebidas através de portal na internet www.tmpurnas2002.com.br., criado em 11/06/2002, ou pelo envio de currículo para a caixa postal 27.521. para atuar, em caráter temporário, em níveis de gerente regional, gerentes, supervisores, técnicos e técnicos de cartórios, dando-se preferência aqueles que já trabalharam em eleições anteriores.
Houve também publicação de anúncios em jornais como exemplo de O Estado de São Paulo 16/06/2002, onde veicula a existência de vagas a qualquer interessado, cuja avaliação foi feita por meio de entrevista e treinamento de capacitação técnica, a cargo da UNISYS.
7.4. O salário médio do pessoal contratado girou em torno de R$ 250,00 para trabalhar por três meses, como estagiários.
A toda evidência, essa modalidade de contratação não corresponde aos objetivos do contrato e tão pouco é permitida pela legislação trabalhista.
Note-se portanto, a irregularidade da contratação, que favoreceu a empresa terceirizada em prejuízo dos direitos trabalhistas que a nossa legislação tenta fazer cumprir.
7.5. Sem razão a contratação da forma efetivada e ainda, o sigilo em torno dos seus nomes, considerando que poderiam incluir-se dentre aqueles, impedidos pela legislação eleitoral.
8.. A ratio legis obrigando a publicação dos nomes dos auxiliares da justiça tem por escopo impedir que a aproximação por laços de amizade das pessoas, acompanhada de eventual má-fé, possa implicar algum tipo de facilidade para fraudes eleitorais.
8.1 Na remota hipótese de se alegar motivos de segurança para a omissão, estar-se-ia afirmando, data maxima venia, que os partidos políticos são agentes perigosos para o processo eleitoral, pois poderiam fraudar as eleições.
9. No concernente à fabricação das urnas eletrônicas objeto da contratação, a Unisys declarou ...As eleições de 2002, envolvem um contingente que chega a 409 mil urnas eletrônicas, com as 51 mil unidades que estão sendo fabricadas em Camaçari, na Bahia...
9.1. Constatou-se no entanto, que no município de Camaçari, não existem fábricas da empresa UNISYS nem tão pouco, em outro local do Território Nacional, e a montagem das urnas adquiridas ficou a cargo da empresa TEGRA ELETRÔNICA LTDA, criada em 24/01/2002, inscrita no CNPJ sob nº 04.930.339/0001-48, sediada na Estrada do Coco, Km 9,5 s/n - Abrantes - Camaçari, evidenciando mais uma terceirização por parte da contratada.
10. Ademais, a empresa UNISYS, à época da licitação, possuía situação financeira irregular, pois em pesquisa cadastral no Estado do Rio de Janeiro, encontrou-se extensa relação de protestos lavrados e nenhuma ação para sustação dos mesmos.
11. Na segunda hipótese de fiscalização, a Cerimônia de Carga e Lacração das Urnas, outra não foi a situação encontrada, considerando que a forma colocada à disposição dos partidos para avaliar se os programas disponibilizados pelo TSE eram os mesmos colocados nas urnas, consistia numa auto-autenticação feita pelos programas validadores VAUDIT.EXE e WAUDIT.EXE (lançados pelo disquete V.PRÉ).
12. Esta forma de auto-autenticação, também foi objeto de impugnação no nascedouro, (TSE), pois não se pode considerar como validação de um programa um ato feito por ele próprio. Assim, a impugnação:
...Inobstante a logística desse E. Tribunal foi no sentido de propiciar uma conferência da integridade dos programas carregados nas flash internas das urnas eletrônicas, que consiste em rodar os programas VAUDIT EXE e WAUDIT.EXE, gravados previamente na própria flash interna, o que é insuficiente para dar garantias técnicas da integridade dos referidos programas, visto não poder ser considerada válida nem confiável uma auto-autenticação dada pelo próprio sistema a ser auditado...
Mesmo em se considerando as limitações técnicas do programa de teste como forma de validar os programas oficiais das urnas eletrônicas, outros óbices foram encontrados pelo Autor.
13. Participando da fiscalização na região de Pinheiros, presenciou-se a carga das urnas da 251a Zona Eleitoral, no qual não se logrou a presença de Juiz Eleitoral ou membro do Ministério Público em nenhum dos momentos em que lá esteve.
As cargas das urnas naquele local, foram conduzidas por Chefes de Cartórios, que proibiram, auditoria nas opções 3 e 4 do programa validador por força de Circular nº 71 de 26 de setembro de 2002 desse E. Tribunal Regional.
14 A Circular 71/02, confirmava a existência de defeito no programa validador e, o justificava com a afirmação de que não comportava um número de eleitores acima de 746, e esse problema era comum aos Estados do Rio de Janeiro, São Paulo e Minas Gerais.
14.1 O mesmo documento obrigava aos fiscais a substituição das novas opções 3 e 4 do programa validador pela antiga de número 5, sem no entanto levar em consideração fato de suma importância neste contexto, concernente na opção 5 do sistema verificador impedir, após sua execução, que a urna eletrônica possa ser lacrada tendo que voltar a ser carregada com os programas de votação corretos, uma vez que a opção (5) altera, de alguma forma, o comportamento do programa de votação e seus dados gravados nas memória das urnas.
14.2 Esta impossibilidade de se lacrar a urnas depois do teste impede que seja atendida a nova redação do parágrafo 5 do artigo 66 da lei 9504, dada pelo art. 3º da lei 10.408/02, in verbis:
§ 5º - A carga ou preparação das urnas eletrônicas será feita em sessão pública, com prévia convocação dos fiscais dos partidos e coligações para a assistirem e procederem aos atos de fiscalização, inclusive para verificarem se os programas carregados nas urnas são idênticos aos que foram lacrados na sessão referida no § 2o deste artigo, após o que as urnas serão lacradas.
Saliente-se que a necessidade de adequação deste sistema verificador aos termos da lei 10.408 foi estabelecido pelo TSE, conforme referido na Instrução Normativa n.º 7 da Diretoria Geral do TSE, que convocou os partidos políticos para o evento Análise e Lacre dos Programas a serem utilizados nas eleições 2002.
15. Foi justamente a necessidade de se adequar o sistema verificador a esta lei, determinante da lacração das urnas, após o teste, que forçou o TSE a incluir as opções (1) a (4) no sistema de verificação, que até as eleições de 2000 continha apenas a opção de simular a votação (atual opção 5), pois são estas novas opções (1) a (4) justamente as que permitiriam aos fiscais dos partidos, durante a carga das urnas, verificarem se os programas carregados nas urnas são idênticos aos que foram lacrados na sessão (de análise e lacre dos programas no TSE) e também verificarem se os dados dos candidatos carregados nas urnas estão corretos, SEM ALTERAR O CONTEÚDO DA URNA, PODENDO-SE LACRÁ-LA LOGO EM SEGUIDA SEM QUE SEJA NECESSÁRIO VOLTAR A CARREGÁ-LA.
15.1 A sugestão contida na Circular 71/02, quanto a simulação de votação lançada pela opção (5) permitir aos fiscais dos partidos a verificação satisfatória da integridade dos dados e programas carregados nas urnas, já havia sido contestada pela avaliação feita pela equipe técnica da Unicamp sobre o sistema informatizado de eleições, equipe esta de irrefutável qualidade e capacitação, escolhida para esta tarefa pelo próprio TSE e pelo Senado Federal, cujo relatório completo está apresentado na página do TSE na Internet.
No item 4.3 do relatório da Unicamp, referindo-se a possibilidade dos fiscais dos partidos testarem a integridade dos programas carregados nas urnas através da simulação de votação (opção 5 do atual programa validador), única opção permitida pelo sistema de verificação utilizado nas eleições de 2000, a equipe técnica da Unicamp afirmou:
Numa fase final, os programas passam à sessão de apresentação aos partidos durante um período de tempo determinado. Nesta sessão todos os arquivos que constituem o software da UE são gravados em um meio não volátil (CD-ROM), o qual é lacrado e assinado por todos os presentes à sessão de apresentação. Após este período, não há mecanismos simples e eficazes que permitam que representantes de algum partido, em qualquer lugar do país, possam confirmar que os programas usados na UE correspondem fielmente aos mesmos que foram lacrados e guardados no TSE (grifo nosso)
15.2 Esta constatação, apresentada pela equipe técnica da Unicamp, deixa claro que a simulação de votação propiciada pela opção (5) do programa validador não é suficiente para que os partidos políticos possam avaliar a integridade dos dados e programas carregados nas urnas e nem deve ser considerada como método confiável de auditoria.
15.3 Considerando que as opções (1) a (4) do sistema de verificação são essenciais para o cumprimento do disposto em lei e a simulação de votação permitida pela opção (5), como forma de verificação de integridade do conteúdo das urnas, já fora refutada na avaliação do sistema informatizado de eleições pela equipe técnica da Unicamp, conclui-se que as opções (1) a (4) são necessárias e a opção (5), resquício do sistema antigo, assessória e não importante.
Assim, os fiscais do Autor foram impedidos, por força da Circular 71/02, de exercitarem direito fundamental da fiscalização e conferência dos programas e dados carregados nas urnas eletrônicas.
16. A proibição de se efetuar a auditoria não se restringiu a fiscalização efetuada pelo Autor, pois o mesmo episódio aconteceu na 1a Zona Eleitoral da Capital, onde o Partido Democrático Trabalhista, também foi proibido de efetuar as devidas verificações.
16.1. Naquela, houve tentativa de impedir totalmente a auditoria, além de ausentes Juiz Eleitoral e Membro do Ministério Público. O Chefe de Cartório exigia fosse requerida a auditoria que somente seria concedida em dia e horário estabelecido pela Junta. Somente através de imensa discussão foi demovido o arbitrário funcionário, e procedida a auditoria, mesmo assim, com a proibição de auditar as opções 3 e 4 do programa Validador.
16.2. Naquela Zona, houve impugnação pelos seguintes motivos:
a)os flash cards de carga utilizados para carregar as urnas eletrônicas não se encontravam em embalagens lacradas, nem continham assinaturas que identificassem seus autores e fiscais presentes na sua geração, resultando que os fiscais partidários presentes na carga ficaram impossibilitados de verificar a integridade dos programas transferidos para as urnas eletrônicas;
b)os técnicos que operam (carregam e lacram) as urnas e manipulam as mídias (memórias) com os programas de computador do sistema eleitoral, são funcionários de empresa particular (UNISYS) e não tiveram seus nomes divulgados com antecedência que permitisse impugnação ( art. 36 § 2º e 120 § 3º do Código Eleitoral);
c)os referidos técnicos se ausentavam do local de carga, de posse dos flash card sem qualquer obstáculo ou fiscalização. Em determinado momento verificou-se que um deles possuía em suas mãos a memória de carga, que trouxera consigo ao adentrar a sala de carga.
d)As pessoas que ostentavam identificação não participavam dos trabalhos. Os técnicos que manuseavam os equipamentos não eram identificados por crachá, não se podendo avaliar se todos ali presentes estavam legitimados para o ato;
e)Não se logrou a presença do Exmo Sr. Juiz Eleitoral Presidente da Zona, nem tão pouco do Ilustre Representante do Ministério Público, embora tenha sido solicitada sua presença ante os inúmeros problemas ocorridos durante a Cerimônia;
f)A urna modelo 2002, relativa à seção 98, apresentou defeito por flash de votação inválido. Outra tentativa seria feita, quando os fiscais constataram que o novo flash trazido para a urna não possuía qualquer identificação, ou seja não possuía a etiqueta, sendo então rejeitado.
g)A urna relativa a seção 99 apresentou erro de validação do aplicativo, conforme foto juntada.
h)Na urna da seção 185, constatou-se erro na leitora do flash de votação, não encontrado o arquivo de foto D:|Foto|foto.DAT.
i)Na urna destinada à seção 292, que permitiria a auditoria pois não apresentou outros erros, foi proibida a escolha das opções 3 e 4 por força da Circular CI 71/02, desse E.Tribunal.
17. Ressalte-se que o erro de validação de aplicativo apresentado pela urna da seção 99 da 1ª Zona Eleitoral, significa que HAVIA PROGRAMA ADULTERADO carregado naquela urna. Trata-se de um fato de natureza gravíssima que demandaria providências imediatas para determinação de suas causas, mas cuja ausência do juiz naquela cerimônia resultou apenas numa nova carga da urna sem que nenhuma outra providência investigatória fosse tomada;
18. Também o erro na urna da seção 185ª, de que não foi encontrado o arquivo de fotos dos candidatos indica possível manipulação dos dados da urnas sob teste e, também neste caso, nenhuma providência investigatória foi tomada;
19. Detalhando o episódio presenciado pelo Partido Democrático Trabalhista, que contava com engenheiro no momento da auditoria, na 1ª Zona, verificou-se que a urna relativa à seção 98ª, modelo 2002, não conseguia rodar o programa validador apresentando defeito. Ao constatar o fato, um técnico da UNISYS que se encontrava carregando as urnas, tirou um flash card do bolso, sem etiqueta, e disse que com aquele flash preparado a máquina iria funcionar.
Imediatamente os fiscais daquele partido recusaram a inserção do flash card na máquina defeituosa e pediram que passassem para outra, que também apresentou defeito.
20. Consta da Ata de Cerimônia de Carga da 1ª Zona Eleitoral, que a referida urna foi testada, no dia seguinte aos fatos presenciados pelo PDT, por solicitação de servidora desse Egrégio Tribunal, na presença de fiscais de partido, inclusive uma representante do Autor e nenhuma irregularidade foi constatada. Não há que estranhar o funcionamento regular da urna, mas questiona-se como ela foi consertada, já que o técnico garantiu aos fiscais, no dia 28/09 qual o método a ser utilizado.
20.1. Ressalte-se ainda, que até o dia 11/10/2002, não havia na ata nenhuma assinatura de partidos políticos, não foram descritas as urnas testadas pelo PDT, e a solução técnica dada aos problemas apresentados, bem como, não se considerou que os defeitos somente eram constatados quando de sua submissão ao programa validador.
21. Na cidade de Santos, houve a possibilidade de auditar as urnas das Zonas Eleitorais 118, 272 e 273, requerida pelo PSB do município, inclusive com utilização das opções 3 e 4 do programa validador, constatando-se as seguintes situações irregulares:
a)os flash cards de carga utilizados para carregar as urnas eletrônicas não se encontravam em embalagens lacradas, nem continham assinaturas que identificassem seus autores e fiscais presentes na sua geração. Com tal fato, tornou-se impossível que os fiscais da carga pudessem verificar sua origem e autenticidade;
b)programa verificador de integridade VAUDIT.EXE, que apresenta os códigos de hash (resumo criptográfico) SHA1, necessário para verificação da integridade dos demais programas e dados gravados nas memórias (flash card) das urnas eletrônicas, - está gravado na flash card interna das urnas a que pretende validar e indicar autenticidade;
c)Cria-se assim um ciclo vicioso de auto-autenticação inválido. Desta forma ficam os fiscais partidários e até a própria justiça eleitoral impedidos de verificar a verdadeira integridade e autenticidade dos dados e programas carregados nas urnas eletrônicas.
d)o programa VAUDIT.EXE. dito de auditoria e teste do sistema e que entra em funcionamento pela colocação do disquete denominado V-PRÉ nas urnas sob teste, apresenta funcionamento errático, pois quando acionada a opção 04 do seu menu principal, não é encontrada a lista de candidatos a Deputado Estadual nem a lista completa de Deputado Federal. Quando acionada a opção 5 emite o relatório denominado zerésima no qual aparecem impressos os nomes dos candidatos omitidos pela opção 4;
e)se o programa de auditoria oferecido para teste das urnas carregadas apresenta defeito, evidente que não é confiável e nem deve ser utilizado para a geração do relatório que lista os resumos criptográficos (hash) que indicariam, se confiáveis a integridade dos demais programas, inclusive o de votação (VVOTA.EXE);
f)o teste de votação simulada executado pela opção 5 do programa verificador VAUDIT.EXE., é tecnicamente inválido para atestar a integridade do programa de votação (VVOTA.EXE) no dia da votação, visto claramente informar que se encontra sob teste (e não em condições normais de votação) ao imprimir a expressão AUDITORIA PRÉ-ELEIÇÃO diversas vezes no corpo do documento zerésima.
22. Além do erro no programa de auditoria das urnas eletrônicas, admitido na Circular 71/02 do TRE-SP, existiram também erros no programa de votação utilizados nas urnas eletrônicas, não detectados antes das eleições devido as precárias condições de auditoria permitidas aos partidos políticos.
22.1. Este problema, relativo a funções de criptografia do programa de votação, ocasionava erros no momento de gravação dos dados da apuração no disquete das urnas. A existência deste tipo de erro no programa de votação foi confirmado pelo TSE que, às pressas, no dia 8 de outubro de 2002, teve que convocar os partidos políticos para uma cerimônia de apresentação, compilação e lacração dos novos programas corrigidos para o segundo turno. Esta nova cerimônia, que não estava prevista no calendário das eleições, ocorreu entre os dias 11 e 13 de outubro de 2002, nas dependências do TSE.
23. Data maxima venia, mais uma tentativa de impedir a fiscalização por parte dos partidos políticos, legítimos interessados e para quem foi criado o processo eleitoral, foi perpetrada por esse Egrégio Tribunal, consistente em publicar no meio oficial de 10/10/2002, a disponibilização de Relatório Geral de Apuração, disparando o prazo para impugnação de seu conteúdo.
No entanto, naquela data, após veemente procura pelo Relatório, e não antes de protocolizar petição para saber de seu paradeiro, o Autor obteve a informação junto à Secretaria de Informática, que seria impresso e disponibilizado após às 18:00 horas de 10/10/2002.
24. Causa de nulidade, sem adoção de medida jurídica adequada, aconteceu na 14ª Seção Eleitoral, envolvendo a eleitora Marisa da Silva.
24.1. Através do Boletim de Ocorrência nº 1831/2002, lavrado junto ao plantão policial de Tupã, a eleitora Marisa , noticiou que não conseguira votar pois já havia registro de voto para o seu número de título de eleitor.
24.2. Observe-se que o fato é grave, pois possível haver utilização de documento falso e, nesse caso conforme estabelece o artigo 221, II, c do Código Eleitoral, a seção eleitoral poderia ser anulada, devendo para tanto, sofrer os rigores de uma perícia, o que não ocorreu.
O artigo 14 da Constituição Federal, garante o direito de voto e delegou à Justiça Eleitoral os meios e obrigações para que esse direito fosse exercido.
Embora tenha impugnado o ato legalmente, e o mesmo tenha constado de ata, a referida urna, s.m.j. foi apurada e considerados os votos nela expressos.
25. Se um eleitor votou por outro e se isso constituiu uma fraude, à mesma não foi dada a devida importância, relegando ao oblívio o direito do eleitor em exercer democraticamente o seu mister. Nenhuma perícia foi solicitada e a questão encontra-se sem solução.
26. Diante desse quadro, o obscurantismo propiciado por esse E. Tribunal, cerceando o direito de fiscalização, mantendo os nomes dos auxiliares incogntos e dificultando a participação dos fiscais na fiscalização do processo eleitoral de forma ampla, conforme garantido na legislação, faz surgir dúvidas quanto aos porquês desse procedimento.
27. Assim, serve o presente para PROTESTAR, contra tais medidas e ao mesmo tempo manifestar seu inconformismo diante das denunciadas apresentadas, requerendo sejam evitadas novamente tais praticas a bem da democracia e do espirito de justiça que sempre permeou as decisões desse Egrégio Tribunal Regional Eleitoral do Estado de São Paulo.
Nestes Termos;
Pede Deferimento.
São Paulo, 17 de outubro de 2002pp.
Maria Aparecida Silva da Rocha Cortiz
OAB/SP 147.214