http://www.pedro.jmrezende.com.br/sd.htm > urna eletrônica: avaliação

Falta de Tranparência no 
Sistema Eleitoral Brasileiro: Consequências

Palestra proferida no Seminário do Voto Eletrônico,
Centro Cultural da Câmara dos Deputados em 28/05/02

Publicada no livro "Burla Eletrônica", de
O. Maneschy & M. Jacobiskind (ed)
editado pelo Instituto Alberto Pascualini, 2002

Prof. Pedro Antonio Dourado de Rezende
Departamento de Ciência da Computação
Universidade de Brasilia

OSVALDO MANESCHY (ornanizador): Com a palavra o professor de criptografia da Universidade de Brasília, Pedro Rezende.

Os perigos da revolução digital

PEDRO REZENDE: A revolução digital nos leva por um caminho estreito e perigoso. De um lado, há o abismo da tecnofobia paranóica. Do outro lado, o abismo da ingenuidade crédula. O maior risco que corre quem fala do tema deste seminário é ser percebido como alguém que está rolando pelo abismo da tecnofobia. Precisamos deixar claro que ningúem está aqui para tentar desmoralizar a tecnologia, para tentar nos empurrar para o abismo da tecnofobia. Ou seja, ninguém está aqui para pregar o retorno a sistemas eleitorais antigos.

Estamos na busca do equilíbrio entre os dois abismos. A questão é muito simples. Um sistema eleitoral é um tripé: votação, apuração e fiscalização. Sobre esse tripé se equilibra a democracia. Se a tecnologia entra no sistema eleitoral para facilitar a votação e acelerar a apuração, por que não estender seus benefícios para a outra perna do sistema de votação, que é a fiscalização? Caso contrário, com uma perna mais curta no tripé que lhe sustenta a democracia cairá.

Quando uma jornalista da Folha de S.Paulo fez uma matéria sobre as dúvidas que ainda persistem acerca da confiabilidade do sistema eleitoral eletrônico brasileiro, comentei com sua colega que havia gostado da matéria, exceto onde dizia que as possíveis fraudes no sistema eleitoral através de softwares seriam sofisticadas. Há um reparo a ser feito aí. Para quem sabe programar, as fraudes possíveis num sistema eleitoral como o nosso são muito simples. E num sistema mal fiscalizado, passam a ser também muito tentadoras.

A jornalista entrevistou-me depois sobre a simplicidade dessas fraudes, mas aqui, gostaria de abordar o assunto pelo ângulo das deficiências ne fiscalização. Para inciar, remeto-me antes à pergunta que abre este seminário: aurna é confiável? Na verdade, esta é quase sempre a primeira pergunta que me faz um repórter em entrevista sobre o tema. É claro que a urna eletrônica é confiável, mas não no sentido que lhe dá o contexto costumeiro dessa pergunta. É confiável no sentido em que uma máquina pode ser confiável, na acepção de ser previsível. No caso da urna, se entra software honesto sai eleição limpa. Se entra software desonesto sai eleição fraudada.

Se entrarem apenas programas honestos nas urnas e nas máquinas que fazem a totalização,, a verdade eleitoral estará quase que blindada contra fraudes de origem externa ao sistema. Porém, com as normas em vigor, basta uma pequena burla num desses programas, por parte de quem detém o privilégio ou a necessidade de manipular os mesmos, para a fraude assim armada ocorrer de forma indemonstrável para quem está de fora do sistema. Isto porque a norma hoje em vigor não permite aos partidos conhecer, a contento, os programas instalados na urna e no sistema de totalização. Vejam bem, não se trata de conhecer os programas que o TSE apresenta aos partidos noventa dias antes da eleição. A questão crucial é saber se o que entra na urna e na rede de totalização é o que foi antes examinado. Mais precisamente, a questão crucial é a de como saber se os programas que entram na urna e nas máquinas de totalização são ou não são os mesmos examinados durante a cerimônia de apresentação do TSE, noventa dias antes.

Para que possam entender a importância dessa questão, vou lhes mostrar o que poderia ser acrescido num desses programas, durante esses noventa dias, com o propósito de se armar fraudes. Não estarei com isso querendo dizer que eu poderia burlar um desses programa se quisesse. Nem, ao contrário, que somente o autor do programa poderia burlá-lo. Estou, sim, dizendo que quem tem acesso privilegiado ao ambiente de desenvolvimento e implantação desses programas poderia introduzir sorrateiramente pequenas alterações numa cópia do software e, sem que ninguém imbuído do honesto propósito de protege-lo perceba, trocar a versão honesta pela versão burlada, num dos vários pontos ou momentos em que os softwares precisam ser manipulados, seja para transmissão, adaptação ou instalação durante o processo eleitoral. Estes pontos e momentos ocorrem desde a lacração de um CD de referência no TSE, ao final da cerimônia de apresentação, até a inseminação dos programas nas urnas e máquinas de totalização. E quanto antes neste processo for feita esta troca, mais abrangente será a fraude.

Se perguntarmos como se dá o acesso privilegiado a esses softwares, podemos supor que este acesso é muito bem controlado, já que o sistema é de altíssimo risco, devido ao poder político que põe em jogo. Porém, em relação à atitude de quem comanda o controlador deste acesso, os sinais preocupantes se acumulam. O comando desse controle é a presidência do Tribunal Superior Eleitoral, e sua atual gestão tem feito lobby no Congresso para a aprovação de emendas à Lei Eleitoral que sabotam a capacidade de fiscalização dos partidos através da tecnologia.

Trata-se de uma situação delicada, pois não é a introdução de novos instrumentos para a execução do processo eleitoral que vai mudar a sua natureza. A natureza do processo eleitoral impõe-lhe a transparência como meio de grarantia da sua lisura, como registra não só a jurisprudência nesta área do Direito, como também o vetor da história da civilização contemporânea. Não pode ser a natureza dos novos instrumentos do processo eleitoral que iria mudar a sua própria, para justificar este lobby contra a eficácia fiscalizatória, no mais alto nível deliberativo a que está submetida sua organização em nossa democracia.

O modelo da segurança para um um sistema informatizado baseado no sigilo máximo tem as suas aplicações, mas também suas limitações. O paradigma obscurantista, baseado no princípio do máximo sigilo, ou seja, na regra quanto mais secreto suas entranhas, mais seguro será o sistema, é útil quando apenas dois interesses estão em jogo. Com mais de dois interesses em jogo este paradigma perde sua utilidade ao permitir o conluio, isto é, o abuso de quem constrói ou opera o sistema em benefício de outrem, sem risco da burla ser descoberta a tempo pelos prejudicados. Isto se dá porque tal paradigma ignora a possibilidade e consequências do conluio, conceito incabível onde não houver mais que dois interesses em jogo.

Quando há mais de dois interesses em jogo é o equilíbrio entre riscos e responsabilidades que pode trazer segurança a todos, porque entra em cena a natureza humana. E este equilíbrio só pode ser alcançado através do seu reflexo no modelo de segurança, na forma de equilíbrio entre transparências e segredos. Esta sabedoria está acumulada nas regras dos jogos de azar, na letra das leis eleitorais e das regras de contabilidade para empresas de capital aberto. Leis eleitorais em democracias modernas aí se incluem porque um tal sistema precisa considerar o interesse de sua organização e dos seus partidos, e portanto, mais de dois interesses. Se o sistema comporta mais de dois interesses, modelar sua segurança no paradigma obscurantista dará proteções gêmeas ao sistema: uma contra fraudes de origem externa, e outra para fraudes de origem interna, sendo que essas últimas não poderão ser demonstradas pelos prejudicados, caso ocorram.

Em alguns casos, mas não em todos, tal modelagem equivocada poderia ser aceita como mais um risco inerente à modernidade. Por exemplo, no sistema informatizado de um cassino, que pode muito bem estar roubando dos jogadores a favor da banca. Afinal, quem se dispõe a usar um sistema informatizado para jogar com a sorte o fará para alimentar um vício. Já no caso eleitoral, quem se dispõe a usar um sistema informatizado o fará para exercer seu dever de cidadania o do voto. Se o cidadão aceitar o acasalamento dessas duas proteções, promovido pelo modelo equivocado de segurança, para proteções das quais só deveria lhe interessar uma, estará pondo em risco a sua própria cidadania. Isto porque a neutralização das fraudes de origem interna fica, neste caso, dependendo apenas da boa-fé dos operadores do sistema eleitoral, transformados em seus únicos senhores e guardiões, quando sua senhora e guardiã deveria ser a sociedade toda. Tal aceitação caracterizaria, neste caso, um vício do sistema e não do usuário.

A pirotecnia como forma de ação

Para dar seqüência ao que desejo relatar, vou elaborar um pouco sobre o jogo de gato-e-rato que decorre da aceitação coletiva de um modelo de segurança equivocado para o sistema eleitoral. As queixas de quem percebe onde poderia se ocultar uma fraude de origem interna são desprezadas sob o argumento da paranóia, já que o crítico não conhece o sistema por dentro. Ou então, quando a estridência das denúncias atinge nível desconfortável, alguma novidade pirotécnica é adotada por decisão geralmente tomada em condições desconhecidas, e anunciada através de manchetes talhadas para sepultar o assunto. Manchetes do tipo "agora, a solução definitiva para a segurança da urna.

Tais decisões têm se mostrado de grande efeito publicitário, mas de pouca eficácia para a neutralização das vulnerabilidades denunciadas. Um exemplo foi a adoção do voto impresso, e, depois, do teste da votação em paralelo, na forma em que foram regulamentadas. Essas medidas vieram aplacar a inquietação geral decorrente do escândalo do painel do Senado, mas suas regulamentações seguiram caminhos estranhos. Devido ao limite de tempo, vou falar apenas da primeira.

Para falar desta medida, gostaria de repetir uma frase que vou aqui citar como metáfora do que seja segurança. Principalmente da segurança na informática, onde as coisas vulneráveis não são materiais, e onde só podemos vê-las com a intermediação de alguma inteligência alheia. Devo creditar esta frase ao meu amigo Fernando Nery, um dos diretores da maior empresa de segurança de informática no Brasil, por sinal a empresa contratada para proteger a comunicação digital entre o TSE e os Tribunais Regionais, quem gosta de repeti-la incansavelmente: segurança é como uma corrente, que será tão forte quanto seu elo mais fraco. Quando nos deparamos com uma solução mágica e definitiva para garantir a lisura do processo eleitoral, oferecida pelo Poder que arquiteta, controla, produz e julga a eficácia do seu sistema informatizado, temos que focar nossa atenção não na robustez dos novos elos que correspondem à solução anunciada, mas sim, naqueles que passam a ser os elos mais fracos da nova corrente da segurança. Os principais suspeitos serão, naturalmente, as emendas dos novos elos na corrente.

No caso do voto impresso, por exemplo, devemos perguntar: por que o sorteio dos 3% das urnas que terão seus votos impressos conferidos precisa ser na véspera da eleição? Ao encaminhar, na véspera da votação, aos senadores governistas que iriam votar na Comissão de Constituição e Justiça do Senado o projeto de lei introduzindo o voto impresso nas urnas eletrônicas, um pedido para que incluíssem 19 emendas nesse projeto, das quais uma no dispositivo que determina o momento do sorteio desses 3% das urnas, para que a data do sorteio fosse antecipada do dia da eleição para a véspera, o motivo alegado pelo presidente do TSEpara esta emenda foi por razões técnicas. A emenda foi encampada e aprovada pelos senadores governistas, e o projeto modificado se tornou a Lei 10.408/02. Mas que razões técnicas seriam essas? Até onde sei, essas razões nunca foram publicamente oferecidas. Doutra feita, até onde consigo pensar, razões técnicas só existem para nunca se antecipar a data do sorteio, se o objetivo da medida do voto impresso for evitar a possibilidade de fraude de origem interna na urna.

Vou poder explicar melhor o porquê quando estiver explicando de que forma a inserção de algumas poucas linhas de código num programa, replicado em milhares de urnas, poderia alterar o resultado de uma eleição. Posso antes tentar explicar, grosso modo, por que a medida do voto impresso para fiscalização por amostragem não foi muito bem emendada na corrente da segurança eleitoral, pela Lei 10.408/02. É que o sorteio na véspera permite ao programa na urna sorteada ser avisado que estará, naquela urna, sendo fiscalizado no dia seguinte. Assim, quem for burlar o programa pode incluir na trapaça um dispositivo de segurança para a fraude, que desliga o desvio de votos e faz aquela urna se comportar direitinho na eleição, se for antes avisada. Um tal dispositivo poderia ser montado com cerca de duas linhas extras de código no programa burlado, por quem conhece o programa e tenha o acesso necessário, isto é, o acesso para poder trocar a versão limpa do programa pela versão burlada, no momento adequado.

Enquanto as manchetes dos jornais e telejornais garantem que o voto impresso demonstra a lisura do processo, essas linhas extras de código poderiam, por exemplo, permitir ao guardião das urnas juiz eleitoral ou mesário avisar às que tenham sido sorteadas para fiscalização, e que estão sob sua guarda, simplesmente ligando e desligando essas urnas antes da eleição. Ou, por uma sequência determinada de teclas acionadas pelo mesário no início da votação. Ele pode até ser instruído a dar à urna este sinal sem nem mesmo conhecer seu verdadeiro efeito, que neste caso seria o de fazer 3% de urnas honestas atestarem a lisura de 97% de urnas desonestas. Quem não entender as consequências desta antecipação estará propenso a acreditar que, de fato, a lisura das urnas sorteadas demonstrará a lisura de toda a eleição. E consequentemente, também a acreditar que a lógica aqui exposta é fruto de uma mistura de paranóia e saudosismo.

Dessa forma, enquanto o paradigma de segurança adotado pelo Poder eleitoral para o seu sistema for o obscurantista, balizado pelo sigilo máximo, o que podemos dele esperar, quando queixas e inquietudes o aconselharem a aprimorar a segurança do processo, serão concessões ao sigilo na menor medida possível suficiente para aplacar as denúncias. Como o leigo não alcança incomodar-se com a forma em que novos elos estão sendo emendados à corrente da segurança, irá se satisfazer com o fato de que esses novos elos são fortes. E irá se incomodar com os críticos nas próximas queixas, por continuarem impertinentes, paranóicos e aferrados ao passado. Assim, o jogo pirotécnico de gato-e-rato na mídia, em torno da segurança da verdade eleitoral, se perpetua.

Apenas quatro linhas podem alterar o resultado de uma eleição

Tendo dito isto, vejamos então como a burla de programas eleitorais poderia ser perpetrada com o objetivo de fraudar uma eleição, por alguém com privilégios para manipular os programas do sistema num momento apropriado, isto é, após estes terem sido examinados pelos partidos noventa dias antes da eleição, e antes de serem replicados para milhares de urnas e máquinas de apuração, sem despertar suspeitas. Para entendermos o efeito da burla, vejamos, primeiramente, três exemplos de momentos adequados para sua inserção.

  • Ao se abrir o CD que foi lacrado na cerimônia de apresentação, para transmissão do seu conteúdo aos TREs, insere-se o CD na máquina transmissora mas seleciona-se os arquivos a serem transmitidos de um outro diretório nesta mesma máquina. Uma maneira furntiva de fazê-lo seria com um diretório espelho do CD no HD, no qual está o programa burlado, e uma troca de letras no mapeamento padrão de drives, invertendo-se o do CD com o deste diretório.
  • Ou então, sob pretexto de se ter que alterar algum programa após a cerimônia de apresentação, o mesmo desvio na seleção de arquivos, no momento de se regravar o CD.
  • Ou então, no momento mesmo de se gravar este CD, ao final da cerimônia de apresentação, o mesmo desvio na seleção de arquivos, caso as condições de acompanhamento do processo de compilação pelos fiscais de partido sejam inadequadas.
    • E finalmente, que tipo de alteração num programa poderia burlá-lo para torná-lo fraudulento? Digamos que a fraude pretendida seja o desvio de uma porcentagem de votos de um candidato a outro, numa eleição majoritária. Neste caso bastaria a inserção de umas poucas linhas de código-fonte. A menos dos nomes das variáveis, que podem ser conhecidas por quem tem acesso privilegiado ao programa, indicadas abaixo em negrito, essas linhas de código poderiam ser como as que mostro em seguida.
    Trecho de código-fonte em linguagem C para desviar votos
    int fator= 40;
    int x= boletim.presitente.votos[23]/fator;
    boletim.presitente.votos[45]+= x;
    boletim.presitente.votos[23]-= x;

    Se essas linhas forem inseridas ao final do programa de votação, imediatamente antes do comando que fecha o arquivo contendo o boletim de urna, a urna assim burlada irá desviar um em cada 40, isto é, 5%, dos votos de um candidato para outro. Esses votos serão trocados depois do eleitor ter votado e confirmado seu voto. O eleitor verá a foto do candidato, confirmará o voto, o voto será contado corretamente, mas, no momento em que o programa da urna for registrar no boletim que irá para totalização o chamado boletim de urna os totais dos votos captados durante o dia, alguns desses votos estarão sendo trocados.

    No exemplo acima, a porcentagem dos votos a serem trocados é determinada pela variável fator, podendo esta porcentagem ser escolhida pelo fraudador no momento em que for burlar o programa, o que pode acontecer até uma semana antes da eleição, já que os programas têm sido inseminados nas urnas durante a semana anterior. Se o fraudador confiar em alguma pesquisa de intenção de voto recente, poderá basear-se nela para saber a porcentagem que precisa desviar nas urnas se quiser inverter o resultado de uma eleição, mantidas as expectativas de intenção de voto e margem de erro desta pesquisa.

    Se a troca do programa original por uma versão assim burlada ocorrer no TSE, antes do envio aos Tribunais Regionais, este desvio ocorrerá em todas as urnas do país. Se a troca de programas ocorrer em um Tribunal Regional, após o envio pelo TSE e antes da redistribuição aos polos de informática eleitoral daquele Estado, atingirão todo o Estado, de modo que se a fraude pretender atingir um cargo estadual, ela estaria assim atingindo todas as urnas daquela eleição. Se a troca acontecer em um polo de informática que abrange alguns Municípios, antes da inseminação das urnas, a fraude alcançaria apenas as votações daqueles Municípios, o que seria suficiente para fraudar qualquer eleição municipal nesta área. Pode haver também uma briga de fraudes, com a burla inserida depois, abaixo na hierarquia de distribuição, podendo descartar a burla inserida antes, acima nessa hierarquia.

    O exemplo que acabo de mencionar não esgota as possibilidades. O programa burlado pode ser, alternativamente ao programa de votação, o sistema operacional ou o programa que faz a critpografia dos dados a serem gravados no disquete destinado à totalização. Neste caso a engenharia da burla seria um pouco mais sofisticada, mas não muito. No caso do programa de criptografia ser escolhido, as quatro linhas do exemplo teriam que ser antecedidas por um comando de abertura do arquivo contendo o boletim de urna, e o modo de referência aos campos contendo votos de candidatos teria que ser indireto. Para esta referência indireta seria necessário o conhecimento do formato do arquivo do boletim de urna, o que poderia ser obtido a partir de uma suposta necessidade de testes de validação desse programa. O acionamento deste trecho de código teria que ocorrer entre o encerramento da votação e a impressão e gravação do boletim de urna, condição que exigiria estar o programa de criptografia ativo em memória durante o processo de votação. Sobre esta condição, seria interessante lembrarmos o que ocorreu na eleição de 2000.

    Durante a apresentação dos programas daquela eleição, os fiscais do PDT perceberam que o programa de votação ativava, isto é, carregava em memória, o programa de criptografia no início do processo de votação. O programa de criptografia ficava ali, ativo, esperando sua vez de cifrar o arquivo destinado ao disquete de totalização. Eles usaram este fato para impugnar a apresentação dos programas, já que, naquela ocasião, o programa de criptografia não foi apresentado aos partidos, frustrando a pormessa do atual presidente do TSE no Senado Federal, três meses antes. Se o seu fornecedor o CESPESC e não o cliente o TSE é que estivesse compilando este programa de criptografia, o Poder eleitoral poderia estar inseminando todas as suas urnas com um programa que burla os votos, sem o saber.

    Mas o TSE negou o pedido de impugnação, sob dois argumentos. Um, o de que o programa de criptografia precisaria ser secreto para que sua segurança fosse preservada. Dois, o de que os softwares da urna teriam sofrido modificações, e, na nova versão, o programa de criptografia só era ativado após o encerramento da votação, no momento em que este se faz necessário para cifrar os dados do disquete destinado à totalização, não mais existindo razão para desconfiança.

    O primeiro argumento é falacioso. Se alguém quiser lhe vender uma fechadura com a chave presa nela, com a explicação de que assim ninguém poderá bisbilhotar o segredo da fechadura, não seria melhor comprar um trinco ao invés? E se você instalar na sua casa uma fechadura normal, será que vai querer desmontá-la e escondê-la no bolso junto com a chave, sempre que abrir a porta, para que um hacker oportunista não veja a fechadura nua? E se conseguisse impedir a qualquer hacker conhecer a nudez da sua fechadura, supondo que saiba identificar hackers mal intencionados, você acha que estaria assim os impedindo de arrombar a sua janela? O chefe da ABIN, ex-SNI, à qual está subordinado o Cepesc, dono do programa de criptografia da urna, compara o Cepesc ao fabricante de um cofre que perde o controle sobre o produto depois que o cliente cria o segredo para abri-lo. Mas quem mais, além da ABIN, conseguiria vender um cofre sem permitir ao cliente examinar a fechadura?

    Quanto ao segundo argumento, há nele dois problemas. Se o software da urna foi alterado depois da apresentação, o objetivo desta apresentação, que é a fiscalização dos programas pelos partidos, perde o sentido. E tendo perdido o sentido, como podem os partidos saber se a correção no programa anunciada aconteceu mesmo? O juiz do TSE que negou a impugnação do PDT afirma ter apoiado sua decisão no relato da autoridade competente, aquela que dirige a informatização do sistema. Haveria razão para duvidarmos deste relato, ou a dúvida seria sinal de paranóia?

    Esta questão, se a dúvida indica ou não paranóia, seria mais simples de ser resolvida se nossa inteligência não estivesse sendo testada de forma tão desafiadora, ao longo do debate público em torno da segurança do sistema eleitoral informatizado. Em várias palestras que apresentou, tanto antes da eleição de 2000 quanto da seguinte, inclusive para os Tribunais Regionais, o consultor de informática do TSE que coordena o desenvolvimento do sistema tem afirmado ser impossível que alguém agindo de dentro do sistema insira uma tal burla, porque este alguém teria que saber com antecedência quais são os números dos candidatos, coisa que não poderia saber, já que os números dos candidatos só são escolhidos posteriormente.

    Se os programadores do TSE não tem como saber, muito menos eu. Então, escolhi ao acaso o número do candidato que seria roubado e o número do que seria beneficiado pela burla no exemplo acima, indicados em itálico. São números hipotécos, apenas para ilustrar o mecanismo de burla. Se, por acaso, coincidirem com os números de candidados reais de eleições passadas, e se, por outro acaso, vierem esses números a coincidir com números de candidatos reais na próxima eleição, isto será mera coincidência. Diante de tais garantias, seria melhor aguardarmos o relatório da Unicamp para dirimirmos possíveis dúvidas sobre o segundo argumento técnico na negação da referida impugnação. Posso até ser acusado de paranóico devido a esta ilustração. Mas não, de acordo com a explicação do coordenador de desenvolvimento do sistema, de estar com ela insinuando o que quer que seja.

    Prossegindo, vamos examinar a escolha do ponto de inserção da burla no programa, pois esta escolha tem outros desdobramentos. Se o fraudador quiser, por exemplo, evitar que a burla seja detectada pelo teste de contagem dos votos impressos, a inserção precisaria ocorrer num ponto do programa posterior ao comando de impressão e anterior ao comando de encriptação do boletim de urna. Neste caso a versão impressa do boletim sairá limpa, mas a versão eletrônica a que será encaminhada para totalização sairá contaminada por fraude. Esses pontos existem no programa de votação e, se o programa de criptografia for ativado no início da votação, como o era na versão apresentada aos partidos para a eleição de 2000, também nele. Resta perguntar se esta forma de burla teria alguma chance de passar desapercebida.

    Para que uma burla deste tipo permaneça oculta, é necessário que ocorra pelo menos uma condição, dentre as três seguintes condições de deficiência fiscalizatória.

  • A urna possa ser avisada que foi escolhida para ter seus votos impressos contados;
  • A contagem dos votos impressos seja feita para conferir a versão impressa do boletim de urna, e não a versão eletrônica oficialmente totalizada;
  • Os partidos não tenham acesso às parcelas totalizadas eletronicamente, a tempo de poder inpugnar o resultado da eleição. Isto é, acesso às versões eletrônicas dos boletins de urna totalizados, dentro do prazo de 72 horas após a proclamação do resultado da eleição, para conferir cada um dos mais de 400 mil boletins de urna totalizados contra sua versão impressa nas respectivas sessões eleitorais, e os totais proclamados conferidos contra a recontagem da totalização dos boletins conferidos.


    • No caso da eleição de 2000 não havia voto impresso, e mesmo assim a terceira condição deficitária foi-nos imposta. As parcelas totalizadas a partir das versões eletrônicas dos boletins de urna só foram divulgadas meses depois da proclamação do resultado da eleição.

    Quanto à eleição de 2002, devido à letra da Lei 10.406/02 e das subsequentes regulamentações de seus dispositivos, sabemos que a contagem dos votos impressos não será efetiva, pois o sorteio das urnas a serem fiscalizadas será no dia anterior. Sabemos também que a conferição dos votos impressos se dará através de soma registrada por uma outra urna, por meio de voto cantado a partir do voto impresso. Os fiscais podem apenas conferir a digitação, mas não somar os votos com lápis no papel. Podem se quiserem, mas isso nada valerá como prova. E como nada é dito sobre exatamente o quê esta contagem estará conferindo, depreende-se que estará conferindo a versão impressa do boletim de urna, já que esta será a versão disponível para as juntas apuradoras designadas para fazer a contagem dos votos impressos.

    Assim, caso haja um fraudador em posição hábil disposto a inserir uma tal burla nas urnas que imprimem votos, ele terá como instruir os guardiões de urnas para que as urnas sorteadas sejam, com antecedência, avisadas da fiscalização. E se o aviso não for dado, ele poderá escolher uma urna com a mesma burla para fazer a contagem dos votos impressos, no caso da fraude estar atingido também a versão impressa do boletim. Ou então uma urna limpa, no caso da fraude estar atingido apenas o boletim eletrônico totalizado. Neste caso a fraude só correrá risco de ser descoberta se três condições ocorrerem simultaneamente

    • se a fraude só atingir a versão eletrônica do boletim de urna;
    • se os partidos vierem a ter acesso aos dados totalizados;
    • se algum partido prejudicado conseguir conferir esses dados dentro do prazo de 72 horas. Caso não consigam neste prazo a persistência pode ser inócua, pois de nada adiantaria seguir vasculhando em busca de fraudes ou erros, do ponto de vista da sua correção;
    Caso este risco o incomode, o fraudador poderá fazer lobby contra a medida legal que introduziu o voto impresso para fins de fiscalização, juntando-se ao coro dos agentes da Justiça Eleitoral que vêm declarando publicamente ser esta medida um retrocesso.

    A importância do TSE publicar a tempo os dados da totalização

    E como poderiam os partidos fiscalizar efetivamente a totalização dos boletins de urna eletrônicos? Primeiro, devemos nos convencer da importância desta fiscalização. Pois além dos programas que estão na urna, os programas que fazem a totalização também podem ser burlados, e as versões eletrônicas dos boletins de urna que chegam à totalização também podem ser trocados. A conferência dos dados da totalização, em conjunto com sua recontagem pelos partidos, será a única medida capaz de detectar essas fraudes, exceto nos casos em que uma burla no programa de votação esteja fraudando ambas as versões impressa e eletrônica do boletim, caso em que a fiscalização pelo voto impresso deveria pegar, fosse ela efetiva.

    Também fora do alcance deste tipo de fiscalização ficam as fraudes de varejo, cometidas através de votos-formiguinha, lançados por eleitores fantasmas com a conluio de mesários. Vale notar que as fraudes detectáveis por este tipo de fiscalização são fraudes por atacado, que podem causar grande dano à verdade eleitoral a partir de ações mínimas de burla.

    Neste tipo de fiscalização, o desafio para os partidos começa pelas condições legais e materiais para sua execução. Os boletins eletrônicos totalizados precisam estar disponíveis a tempo de se impugnar uma fraude ou um erro descobertos pela totalização paralela. Para isso, o partido precisa estar equipado com programas que fazem essa totalização paralela. Entretanto, antes da totalização paralela os fiscais do partido precisam saber se a versão impressa do boletim de urna coincide com a versão eletrônica que foi totalizada, versões que estarão a grande distância e em meios distitos.

    Uma maneira simples de facilitar essa conferência e totalização paralela seria o TSE publicar, a tempo, os dados da sua totalização, urna por urna. Falta de espaço certamente não seria impedimento, porque o ciberespaço é generoso e os dados já estão na sua posse. Em relação à autenticidade, o TSE poderia assinar digitalmente as tabelas que divulgar, já que diz pretender assinar digitalmente todos os programas do sistema. Se fosse publicado no site do Tribunal uma cópia das tabelas de totalização, parceladas por urna e por candidato que recebeu voto, isto permitiria a qualquer fiscal de urna conferir, por amostragem, se a versão impressa coincide com a versão totalizada na apuração oficial. Permitiria também ao candidato somar verticalmente seus votos em cada urna, para conferir se a aritmética do programa de totalização coincide com a que ele aprendeu na escola primária, a mesma das nossas calculadoras.

    Mas esta recontagem só pode ser útil se houver garantias de que as duas versões do boletim de urna, sendo idênticas, estão limpas. E para a eleição de 2002 estas garantias ainda não podem ser obtidas, devido às indefinições e deficiências no direito de fiscalização das urnas e através dos votos impressos, como já comentamos. Entretanto, o fato de não podermos conseguir, de uma só vez ou com uma só medida, a eficácia da perna do tripé que nos cabe, não deve nos levar ao desânimo. Deve, outrossim, nos servir de roteiro. As deficiências de fiscalização aqui aventadas apresentam problemas não só para a verdade eleitoral, mas também para a credibilidade dos institutos de pesquisa e dos legisladores.

    Quanto aos institutos de pesquisa, eles é que ficarão mal se errarem suas estimativas daquilo que, na percepção do leigo, seria a expressão exata da vontade do eleitor. Esses erros estão longe de ser esporádicos. O que aconteceu no Distrito Federal na eleição de 1998 é sintomático. A pesquisa apontou, duas vezes em seguida, previsão de resultado fora da margem de erro na véspera da eleição, com a urna sacramentando em seguida o resultado contrário. Aconteceu no primeiro turno da eleição para governador e novamente no segundo turno, desta vez com os candidatos em posição oposta. Os holofotes em Brasília voltaram-se contra os institutos de pesquisa, como se a urna fosse honesta por natureza. As urnas e as máquinas de totalização em si até que são, pois não têm inteligência. O problema pode estar nos programas que as fazem funcionar. Nosso papel aqui é alertar que os problemas podem estar tanto lá como cá, quando houver discrepância entre pesquisa e resultado da eleição. E também que o fato de não haver discrepância não garante nada.

    Se houver fraude indevassável na eleição, a pesquisa honesta e bem feita aparecerá como errada. Enquanto a pesquisa compactuada com a fraude eleitoral para aplicar, na versão do resultado da pesquisa vindo a público, o mesmo desvio que a urna aplicará na eleição, é que aparecerá como correta. Esta situação empurraria os institutos de pesquisa para uma de duas posições antagônicas: ou a de refém ou a de cúmplice. Seria interessante conhecermos os verdadeiros motivos da decisão do instituto Gallup, uma multinacional das pesquisas de opinião, de não participar do mercado milionário das pesquisas eleitorais no Brasil, embora faça aqui outros tipos de pesquisa de opinião e pesquisas eleitorais noutros países.

    Quanto aos legisladores, o risco do rigor das Leis eleitorais vigentes ser seletivamente aplicados aos que criticam o status quo do sistema, combinado à tentação de se trocar o duvidoso pelo certo no que diz respeito aos invetimentos de campanha, pode também colocar deputados federais e senadores na mesma situação que os institutos de pesquisa. O senador Requião, por exemplo, sendo autor do projeto de lei que buscava a eficácia da perna da fiscalização no tripé eleitoral, projeto que acabou aprovado com mutações e mutilações dos seus objetivos, introduzidos pela ação conjunta do lobby da presidência do TSE e da ação política governista, é também réu em vários processos de crime eleitoral, alguns abertos na medida em que seu esforço em favor do projeto original galgava graus intermediários de sucesso.

    Resta, então, a quem toma as dificuldades na defesa da cidadania como roteiro, tentar sensibilizar a opinião pública a respeito dos riscos apresentados pelo status quo do nosso sistema eleitoral informatizado.

    As várias técnicas para se conferir um software

    Se concordarmos que a segurança do processo eleitoral é uma corrente tão forte como seu elo mais fraco, todo nosso esforço para manter a perna do tripé que nos diz respeito, isto é, a perna da fiscalização, à altura das transformações tecnológicas que modernizam as outras pernas, será em vão se qualquer das etapas desse processo for relegada. Dessas etapas, a que representa o maior desafio para os partidos é a confecção e instalação dos softwares, pois os partidos nunca antes precisaram manter quadros de técnicos e especialistas em segurança na informática para fiscalizar eleições. Cabe àqueles que podem contribuir nesta área oferecer a sua parcela, o que pretendo alinhavar ao encerrar esta apresentação com minha visão do tema. Softwares não são coisas honestas por natureza, apesar do que possam querer nos fazer crer os seus produtores. Softwares são retratos de um pedaço da inteligência de quem os fez. Em sistemas de altíssimo risco, como o sistema eleitoral, faz-se necessário, para quem joga ali seus interesses, conhecer em detalhes a lógica que materializa seus processos. O risco que correm os partidos com a má qualidade deste conhecimento virá, para o bem ou para o mal, na forma de impunidade para conluios envolvendo quem produz e manipula esses softwares. Portanto, a questão aqui é: como podem os partidos conhecer esses softwares?

    A qualidade deste conhecimento certamente começa pela liberdade necessária à escolha dos seus interlocutores. Como a escolha de tradutor simultâneo numa país de língua estranha. Se um partido for obrigado a contar apenas com o produtor e o manipulador dos softwares para conhecê-los, este conhecimento pode lhe chegar contaminado por possíveis conflitos de interesses desses interlocutores. Por isso a lei eleitoral 9.504/97 diz que a fiscalização dos programas, a que têm direito os partidos, deve ser ampla, em sintonia com a metáfora da corrente da segurança, segundo o qual a fiscalização precisa ser ampla para ter chance de ser eficaz. E como pode a fiscalização de programas ser ampla? Um sentido aqui óbivo de amplitude é o de que a fiscalização possa acompanhar os programas em todas as suas etapas transformativas.

    Assim, esta ampla fiscalização precisa começar, para que se possa verificar a integridade dos programas na sua origem, com os peritos da confiança do partido tendo acesso a esses softwares na forma em que foram escritos pelos autores, isto é, na forma de expressão conhecida como código-fonte. Nesta forma de expressão os programas podem ser lidos tanto por pessoas que saibam programar como por computadores. Lido nesta forma pelo computador, o programa precisa antes ser traduzido, por um outro programa, para que ganhe expressão na forma em que pode ser ali executado, isto é, em código executável. Esta tradução é denominada compilação, a primeira etapa transformativa de interesse fiscalizatório por que passam os programas do sistema eleitoral. Os peritos dos partidos precisam, portanto, examinar os programas em código-fonte e acompanhar sua compilação para código executável. Isto deve ocorrer, segundo normatização da lei em vigor, em cerimônia no TSE, noventa dias antes da eleição, no que deveria ser o primeiro e certamente não o único passo da verificação de integridade dos programas do sistema eleitoral.

    A próxima etapa transformativa de interesse fiscalizatório é a distribuição dos programas aos diversos Tribunais Regionais, e a conjugação dos mesmos com as tabelas de candidatos para a eleição a que se destinam. Para isso, não basta ouvir dizer que o cano por onde passam os programas não têm vazamento ou contaminação. É preciso testar a água. Isto é, não basta saber que, nesta distribuição, a transmissão dos programas através da internet estará protegida por criptografia. A criptografia não é panacéia, ela apenas permite ao usuário escolher onde se defender. Para efeito de fiscalização, é necessário o conhecimento de que os programas transmitidos são os mesmos examinados pelos peritos de confiança dos partidos durante a cerimônia de compilação. E novamente, dos Tribunais Regionais para os polos de informática onde os programas serão replicados nas urnas. Portanto, a verificação da integridade dos programas não deveria terminar mas apenas começar com a cerimônia pública de compilação no TSE.

    O desafio desta verificação, portanto, é o de como saber se o que está sendo carregado na memória da urna, na hora em que ela é ligada para colher votos, coincide ou não com aquilo que foi examinado noventa dias antes no TSE. Como saber? Existem técnicas para isso. É possível efetuar-se o cálculo de um autenticador, uma espécie de impressão digital de qualquer software, por meio de um resumo criptográfico padronizado, para permitir a verificação rápida e automática, mediante recálculo, de que este software não foi bolido durante uma transmissão ou armazenamento. Este autenticador pode ser calculado na cerimônia pública de compilação, no TSE, e tornado público, por exemplo, no Diário Oficial, para que os fiscais tenham como conferir, depois e em outros locais, a integridade dos programas compilados na cerimônia pública do TSE.

    Não faz sentido atribuir esta tarefa a um dos próprios programas que precisam ter sua integiradade conferida depois e em outro local, como querem os responsáveis pelo sistema. Seria o mesmo que aceitar uma afirmação de que se vai falar a verdade, como prova de si mesma. Para que esta corrida de gato-e-rato, em torno de quem fiscaliza como e onde a eleição informatizada, tenha alguma chance de chegar a um final, a última verificação de integridade precisa ser permitida no destino dos programas, para quem possa se prejudicar com fraudes. Isto é o mesmo que dizer que as urnas e as máquinas de totalização precisam ser fiscalizáveis pelos partidos.

    Se o TSE não transigir em sua posição atual, de que nenhuma urna preparada para a eleição pode ser examinada por peritos dos partidos, a solução seria introduzir-se o verificador de integridade na parte da urna que se chama BIOS, acionada quando a urna é ligada. Se a BIOS for encomendada com a especificação de inclusão de um programa que faz esta verificação, para que seja feita uma varredura dos programas instalados e seus autenticadores exibidos na tela inicial, junto com a especificação de que esta BIOS não seja regravável, para se ter algum controle do risco de burla no programa verificador, bastaria a um fiscal de sessão eleitoral, mesmo leigo em informática, estar de olho na tela da urna com um papelzinho anotado, para ver se os números que ali aparecerem ao se ligar a urna coincidem com os que ele anotou do Diário Oficial.. E mesmo assim, esta verificação seria a menos de possível alteração física na urna para a troca da BIOS, o que, pelo menos, é algo físico, que todos sabem como vigiar.

    Tanto este pequeno programa que calcula resumos criptográficos, já padronizados na informática atual, quanto este modo de fabricação da BIOS, para que não possa ser regravada, não seriam exigências licitatórias descabidas, pois são padrões atuais de mercado. Ao examinarmos os detalhes da especificação das urnas licitadas mais recentemente pelo TSE, vemos que não se pediu nada disso. Foi especificado que a BIOS das novas urnas sejaregravável e venha sem programa para cálculo de autenticadores. Não por falta de gente dando palpite. O fórum do voto eletrônico está aí, e o professor que humildemente vos fala está agora de boi de piranha, nesta corrida de gato-e-rato. Vamos ver até onde isso vai.

    Para encerrar, não creio ter aqui tratado de contagiar o público com paranóia, mas com o senso de responsabilidade para o exercício e preservação da cidadania. Se ela despencar pelo abismo da ingenuidade crédula, a dignidade de todos sairá ferida.

    WALTER DEL PICCHIA (presidente da mesa) O que foi dito é muito perigoso. Pedro Rezende acabou de dar, para o Brasil todo, a fórmula mais curta com que se pode fraudar a urna eletrônica. E foi fotografado, o que é pior

    PEDRO REZENDE - Só um parêntese, para encerrar. O argumento oficial é de que não se pode abrir para fiscalização uma urna preparada para eleição porque hackers poderiam, com a quebra do sigilo do sistema, depois invadi-las para inserir burlas do tipo aqui mostrado. Mas, espere aí. A urna não está ligada à Internet. Como o hacker vai entrar? A urna não é programável por teclado. Como o hacker vai fraudar o programa, na hora de votar? Só quem pode burlar o programa é quem tem acesso para manipulá-lo, e não quem tem acesso para conhecê-lo. A confusão dessas duas capacidades só pode ser justificada no modelo obscurantista de segurança. Modelo cuja defesa para o sistema eleitoral deixa dúvidas entre estar eivada de inépcia ou de má-fé.