Segurança eleitoral e a carochinha
sobre Segurança do processo eleitoral brasileiro
Para reportagem na Revista Eletrônica Total
Prof. Pedro Antonio Dourado de Rezende
Departamento de Ciência da Computação
Universidade de Brasília
Setembro de 2006
Cláudia Tozetto: 1. Considerando as fraudes que podem ser realizadas na urna eletrônica, quais são as formas de fiscalização que podem minimizá-las?
Pedro Rezende: O estudo até hoje de maior envergadura e profundidade que responde a esta pergunta, foi patrocinado pelo centro Brennan de Estudos da Justiça na Universidade de Nova Iorque, envolveu dezenas de especialistas de várias áreas, inclusive do direito eleitoral e segurança na informática, e seu relatório acaba de ser publicado. Assim, vou responder citando-o.
O relatório Brennan analisa os 3 modelos principais de urnas eletrônicas, inclusive o modelo DRE sem voto impresso como o que é usado no Brasil. Nele, são descritos mais de 120 tipos de fraudes que poderiam ser aplicadas com esses sistemas, e uma metodologia nova para quantificação dos níveis de risco de cada tipo de fraude, sendo este metodologia talvez a maior contribuição técnica do relatório.
As principais recomendações do Relatório Brennan para o controle desses riscos em sistemas de voto eletrônico são:
- Adotar do Voto Impresso Conferível pelo Eleitor para Auditoria da Apuração Eletrônica;
- Complementarmente, desenvolver Testes de Votação Paralela com amostragem ampla e sem diferenças de procedimento em relação a votação normal;
- Definir regras transparentes e garantidamente aleatórias para a escolha das urnas a serem auditadas ou testadas;
- Definir políticas claras para resolver as evidências de fraude ou erro na apuração;
- Proibir componentes de comunicação sem fio (wireless) em máquinas de votar.
Tão importante quanto as recomendações que foram oferecidas, são as que NÃO foram oferecidas.
Apesar, ou talvez porque, o grupo de analistas continha expoentes mundiais na área de criptografia e assinatura digital, NÃO FOI RECOMENDADO nenhum procedimento de validação e certificação dos softwares, como a análise antecipada dos códigos-fonte e verificação de assinaturas digitais ou resumos criptográficos, posto que são procedimentos muito caros e ineficazes, podendo ser facilmente burlados. Justamente a direção contrária daquela na qual a Justiça Eleitoral Brasileira vem depositando suas fichas.
Há uma tradução desse relatório ao português em http://www.votoseguro.org/textos/brennan-pt.pdf
2. CT: Você pode fazer uma descrição técnica das versões utilizadas nas eleições desde 96? (isso porque quero fazer uma espécie de linha do tempo com as urnas na matéria)
PR: Não saberia descrever detalhes exceto os relacionados ao fato de que, a cada nova eleição, a dificuldade de se fiscalizar a correta contagem dos votos tem só aumentado, devido, em grande parte, a critérios técnicos licitatórios para os quais não consigo ver nenhuma outra utilidade a não ser essa.
3. CT: Qual o impacto das novas tecnologias, como a biometria e os smart cards, utilizados como mecanismos de identificação do leitor? Qual a importância disso dentro do processo eleitoral? Você acha que, de fato, essas tecnologias serão implantadas no sistema eleitoral brasileiro?
PR: Vou responder esta série de perguntas de trás para frente, e repetir o que disse numa reportagem ao portal IDG Now.
Espero que a biometria não seja implementada em nenhum sistema eleitoral. Antes, gostaria de saber quem é que está soprando no ouvido de juízes e técnicos da Justiça Eleitoral brasileira essa cantiga de sereia pós-moderna, da biométrica como panacéia para problemas que a natureza humana faz manifestar no processo eleitoral.
Não consigo entender os reais motivos para se usar biometria no sistema eleitoral, já que os alegados até aqui, honestamente, não compreendo. Para mim, que prezo a democracia e especializei-me em segurança computacional, está claro que um sistema de identificação tão complexo, caro e difícil de fiscalizar serve bem para sustentar o discurso da modernização eleitoral, mas confesso-me completamente confuso sobre qual problema de segurança, isto é, segurança de quem e contra o quê, ela poderia bem servir como solução. Posso ser um neobobo, mas não creio ser um ciberbobo. Para clarear minha confusão, resta-me então analisar, à luz do contexto, o que é de conhecimento público.
Ouve-se dizer que a biometria seria adotada para erradicar "a única forma de fraude restante" no sistema atual. Concordo em parte. A única forma de fraude à antiga, 'de varejo', que restou foi, de fato, a fraude no cadastro, pois as outras foram trocadas por novas formas. Novas formas que poderíamos chamar de atacadistas, pelo inétido patamar na relação desvio/efeito que podem provocar, mas que são ainda desconhecidas de leigos e analfabetos digitais, combinação perigosa o suficiente para serem consideradas de alto risco à democracia. Quanto à antiga forma de fraude que permanece, ela faz parte da cultura política e do folclore sobre o modus operandi de alguns políticos nativos. A saber, o controle de cartórios eleitorais em sua área de influência para inchar o cadastro eleitoral com fantasmas, na forma de eleitores que recebem mais de um título, obtidos com variantes do nome ou com documentos falsos, e que votam pelo outro pé de uma nova botina.
Enquanto o cadastramento de eleitores for localmente controlado, não há nada que o TSE possa fazer contra essa forma varejista e resistente de fraude; cada cartório eleitoral decide como coíbe ou não coíbe, como faz vista fina ou vista grossa, como dissipa ou participa desse tipo de manipulação. O cadastro eleitoral de Camaçari-BA, por exemplo, que já foi três vezes refeito a mando do TSE, para expurgar eleitores fantasmas com múltiplos títulos, cresce a cada recadastramento e sempre além das estimativas demográficas, inchaço neste caso "justificado" por estar o município em área metropolitana (Salvador).
Se o objetivo fosse mesmo o de neutralizar a fraude cadastral que resiste, à moda antiga, à informatização impingida ao eleitorado brasileiro, a solução mais racional seria, também, à moda antiga. Eficaz, barata, fácil de fiscalizar, testada e usada por democracias que se preocupam com sua própria saúde: a tradicional tinta indelével no dedo de quem vota. Por outro lado, a introdução de novas tecnologias da informação, como a biométrica, traz sempre consigo, como já disse, novas formas de fraude, associadas à subversão do seu propósito. Tecnologia não é panacéia, e seria bobagem confundir ignorância com inexistência dessas novas formas. Seria, neste caso, uma ciberbobagem.
Para quem, doutra feita, porventura contemple interesses que dependam da centralização do controle, e não da erradicação, desse tipo de fraude cadastral, a medida tradicional da tinta no dedo obviamente não serve: é uma medida de segurança muito fácil de fiscalizar, por qualquer um, e extremamente difícil de se burlar, quando fiscalizada. Além de muito barata, comparada à biométrica ou a outras alternativas, o que poderia diminuir o interesse de fornecedores dispostos a acordos impublicáveis. Caberia a tais interesses demonizar a medida tradicional, como atrasada e antiquada, um retrocesso ou coisa que o valha, para vestir a ciberbobagem da panacéia biométrica com roupa nova de rei.
Se o objetivo em demonizar o combate racional à fraude cadastral for mesmo impublicável, algo que demande a centralização do controle sobre os possíveis meios de se praticá-la, a tecnologia biométrica viria a calhar. Principalmente num eleitorado já adestrado à noção de eleição como uma espécie de videogame, para cujos jogadores democracia quer dizer apertar botão em caixa-preta e sentar em frente a televisão para ver pesquisa ou resultado, a cada dois anos. A biométrica seria apenas mais um botão a apertar, mais um problema a sumir, em meio a mais fumaça e espelhinhos. Para esses, não importa que o sumiçõ seja à cusata de mais uma renúncia ao direito de fiscalizar, desta vez cedido a programadores da biometria.
Cedido a quem controla uma tecnologia que serve tanto para impedir o cadastramento de eleitores fantasmas, quanto para permiti-los onde se queira, onde quem não é fantasma duvida que ainda existam. Bastam ingênuos e ínfimos 'erros' de programação, de configuração ou de operação do sistema para que o cruzamento de digitais em títulos eleitorais, destinado a impedir que o mesmo dedo esteja em vários títulos, ocorra, ou não ocorra, nestas ou naquelas zonas eleitorais.
Com a biométrica, quem não se liga, ou não quer se ligar, em tantos detalhes poderá ignorar a mudança no perfil de riscos, a questão se eventuais falhas, especuladas ou vazadas, nessa tecnologia caça-fantasma seriam ou não intencionais, ou se poderiam ter sido. Já os que recusarem a ignorância, terão que ficar com a dúvida. Quem não se incomoda com tal ignorância, ou com a natureza dessa dúvida, pode passar, sob influência da propaganda oficial que irão ingerir pelos ouvidos, a comungar na seita do Santo Byte, pregada por sabichões que fingem crer nos seus dogmas, ou que os vendem como tecno-panacéia.
Os comungantes acabam acreditando num conto de fadas onde tecnologia da informação é varinha de condão, capaz de transformar nossa democracia-borralheira em fada-cobaia a vagar por uma gigantesca aventura de engenharia social. E seguem comungando, alimentando o "debate da segurança" eleitoral. Os reinventores da democracia, os que entraram no primeiro mundo zelando pela sua, estão errados ou são bobos (vide http://www.verifiedvoting.org), nós é que estamos certos e somos espertos, sustentam eles. Enquanto fingem já terem se esquecido do escândalo do painel do Senado ocorrido em 2001.
Santa ignorância. Para se ter nas mãos mais essa varinha de condão -- a da biométrica --, é preciso obtê-la. Com contratos sempre difíceis de vir a público, e que devem incluir, dentre outras despesas, uma bolada de pedágio à licenciadora do software que gerencia o banco de dados cadastrais, hoje a empresa Oracle, cujo modelo de licença se baseia na idéia do taxímetro. Bolada a ser paga a cada eleição, pelo enorme volume de processamento extra que esse cruzamento de dados (comparar a impressão digital eletrônica de cada eleitor com 100 milhões de outras) exigiria, no cadastro guardado a sete chaves no TSE.
Pedágio cobrado, considerando-se as licenças em vigor, quer seja executado esse processamento no seu total, em parte ou em parte alguma. Processamento que apenas imitaria o que o olho de um mesário pode fazer, diante de uma foto no título de eleitor, como faz o do guarda de trânsito diante de uma foto na carteira de motorista. E por fim, foto de eleitor que foi eliminada do título, no recadastramento geral para a informatização do voto, conduzido em 1986.
Nesta negociação, é possível que alguém contemple, inclusive, a possibilidade de uma parte do pedágio dirigir-se ao caixa dois de candidatos que se beneficiem da duplicação de digitais eletrônicas em "suas" zonas eleitorais, duplicações que não seriam detectadas pela biométrica no cadastro devido a alguma misteriosa falha no sistema. Em troca de apoio, como seria razoável supor, à preservação de tão moderno serviço, sustentado pelo dinheiro do contribuinte. Alguém, por exemplo, dos quadros de uma fornecedora.
Para seguir no exemplo hipotético, por alguém da segunda maior fornecedora de urnas eletrônicas e softwares do TSE, que teve ou tem, na folha de pagamentos de sua matriz, lobbistas envolvidos em práticas semelhantes (http://www.eweek.com/article2/0,1895,1912416,00.asp), inclusive um recém-condenado nos EUA por estelionato e formação de quadrilha, Jack Abramoff (http://www.eweek.com/article2/0,1895,1911073,00.asp). Matriz que está, por sinal, empenhada numa campanha mundial pela adoção dessa tecno-panacéia (http://www.newsfactor.com/story.xhtml?story_id=41398):
Uma vez operante essa varinha de condão, os que entendem o mundo através do espaço e horário nobres da mídia corporativa, e que comungam na seita do Santo Byte, depois de repetidas ingestões de beberagem marqueteira pelos ouvidos não mais acreditarão em eleitores-fantasma. Ao contrário, pois terão visões. De anjos, programando urnas eletrônicas. O ciclo da corrupção poderá assim aspirar a completude, sem muita trepidação, com a blindagem da mãe de todas corrupções, a fraude eleitoral.
Possibilidades como esta, autoridades eleitorais costumam atribuir a mentes doentias, tomadas pela paranóia ou pela "síndrome da conspiração". Atribuídas com mais gravidade, se a questão é credibilidade, pelo mesmo ex-presidente do TSE que confessou ter manipulado, à sorrelfa, o texto da Constituição Federal durante a Constituinte de 1988, quando era deputado. Hipóteses que podem, entretanto, parecer menos bisonhas ou paranóicas quando se leva em conta certos fatos cujo "valor jornalistico" a grande mídia corporativa despreza. Fatos que ilustram, por exemplo, como o controle sobre a terceirização do processo eleitoral, que essas mesmas autoridades alardeiam adequado ou total, parece não estar entre suas maiores prioridades.
Alguém sabe, por exemplo, por onde na Bahia andavam sete mil flashcards (25% dos dispositivos de carga e armazenamento de software e dados eleitorais das urnas do estado) extraviados até poucas semanas antes da eleição de 2002? (http://www.ucho.info/fraude_urnas_02.htm) Alguém sabe, por acaso, como foram pagos e fiscalizados, e por quem, 10 mil técnicos 'quarterizados' para executar aquela eleição? Os que instalaram softwares "auto-verificáveis" nesses flashcards, em preparação das urnas eletrônicas para os pleitos de então? Ou mesmo, onde se pode encontrar uma lista com os seus nomes? (minha solicitação desta lista ao TSE, através do ofício 11353/2003, teve a resposta de que não seria possivel fornecê-la)
Resumindo, alguém já se perguntou por que, e como, em tempos de déficits enormes e crescentes do Estado brasileiro não falta verba para aventuras modernosas como esta? Porque não provam nada, questionamentos e fatos como esses são desprezados pela banda devota da mídia e pregadores do Santo Byte, sabichões vestidos de ciberbobos. Desprezados ao menos enquanto fornecedores da informática eleitoral estiverem se envolvendo com certas ações beneméritas, tipo a de sustentar certos lobbies, como teria se envolvido a maior fornecedora de urnas eletrônicas e softwares ao TSE, conforme noticiaram os dois maiores jornais do país (Folha e Estadão, em 12 de Abril de 2006, em entrevista com Rogério Buratti), no sustento da mansão do lobby de Ribeirão Preto no Lago Sul de Brasília. Aquela cuja intriga impulsionou a queda de um minsitro da Economia e de um presidente de banco estatal, em 2006.
Assim, depois que a propaganda oficial tiver proclamado a extinção, pela biométrica, dos eleitores-fantasma, "erros no sistema" como o que subtraiu "temporariamente" votos do candidato Lula na totalização do primeiro turno em 2002 (http://www.pedro.jmrezende.com.br/trabs/queda.htm), "erros" também capazes de ressussitar esses fantasmas em certos currais eleitorais, terão importância ainda mais desprezível para esses sabichões e seus ciberbobos. Da mesma forma que os falsos negativos e falsos positivos da identificação do votante, induzíveis até com o uso de cola de papelaria no dedo [http://www.yubanet.com/artman/publish/article_28878.shtml, http://www.ep.liu.se/exjobb/isy/2004/3557]. Mais desprezíveis ainda para quem ganha dinheiro com essas panacéias eletrônicas, especialmente na banda endividada da mídia corporativa que lhes vende espaço publicitário.
Que fique claro que não estou afirmando, nem direta nem obliquamente, que o objetivo principal de uma eventual introdução, pelo TSE, de identificação biométrica no nosso sistema eleitoral seria a blindagem contra fiscalização e a monopolização do acesso aos meios de se fraudar o cadastro de eleitores. Estou apenas e tão somente ponderando como uma tal medida serviria a contento para cumprir tal objetivo caso este objetivo esteja sendo contemplado por interessados habilitados, em esferas de poder suficientemente inseridas.
E se estou apenas especulando sobre esses motivos, é porque não consigo entendo alguns critérios técnicos que apareceram na licitação de compra de um tal sistema biométrico suspensa, após a intervenção do TCU, entre outros motivos porque estaria sendo aberta sem a devida dotação orçamentária.
O critério, por exemplo, que exige que os equipamentos e o formato das impressões digitais operem conforme o padrão estabelecido pelo FBI. Não consigo entender o motivo pelo qual a panacéia contra o curralismo eleitoral nos grotões da nossa terra precisa seguir as normas de serviços de inteligência imperiais, a menos que o busque fora da ciência ou, pelo desperdício e servilismo, no passado colonial.
4. CT: Quantas urnas-e existem para as eleições de outubro? Há uma estimativa?
PR: Mais de quatrocentas mil.
5. CT: Você acredita que o sistema de assinatura digital não seja efetivo no processo de votação-e? Qual seria a melhor forma de segurança de dados a ser utilizada?
PR: Já citei o relatório Brennan, e eu mesmo já expliquei, em inúmeros artigos, como e porque é muitíssimo fácil burlar, com acesso privilegiado a um tal sistema, esse tipo de verificação.
A razão para absoluta futilidade de uma tal medida pode ser resumida à combinação de dois fatos. Um deles é que não existe segurança de dados: dados não quebram perna, não levam tiro, não mancham a honra, não vão para a cadeia e não morrem. Segurança de dados é conversa de vendedor. O que existe é segurança de processos, inclusive informatizados, em que interesses potencialmente conflitantes estão em jogo.
O outro fato é que o processo eleitoral num regime democrático verdadeiro, tendo como parâmetro as democracias modernas, terá sempre mais de dois interesses potencialmente conflitantes em jogo, se considerarmos que há eleitores que desejam eleições limpas e candidatos que fraudariam a eleição se puderem fazê-lo impunemente.
Mas só entende as consequências disso quem também entende que eleição não é videogame, e que democracia não é mercadoria de prateleira.
Democracia é um processo político participativo, que culmina em eleições. O processo eleitoral é a luta por ocupação de espaços políticos, caracterizados pelo poder de decidir como gastar dinheiro ou julgar conduta alheia; luta que não se restringe aos espaços de opinião pública, nas campanhas. Prossegue, ou deveria prosseguir, no balanço entre fiscalização e manipulação da votação e da apuração, que legaliza a ocupação desses espaços de poder.
A fiscalização funciona, para o interesse do eleitor que quer eleição limpa, quando há empate entre as de cada candidato. Quando a fiscalização de cada candidato consegue impedir que a do outro fraude o processo de contagem dos votos. E a melhor forma de garantir que haja esse empate é ele participando da fiscalização, mesmo que não seja para nenhum candidato. Para o empate na largada na corrida pela fraude.
Entretanto, o eleitor de hoje é conduzido a entender eleição como espetáculo midiático, em que ele assisitir a uma corrida, tipo fórumla um, na qual participam as pesquisas eleitorais e a última volta é no dia da eleição, quando ele tem de ir até uma caixa preta e apertar botões, para sentar na frente da televisão e ver a bandeirada de chegada.
O eleitor foi efetivamente alijado do processo de fiscalização da contagem dos votos, com a atenção dirigida apenas para a dos gastos de campanha e para outras tarefas inócuas, do tipo "ajudante de mágico", como a de assinar softwares para "auto-verificação". Mas a maioria está achando uma maravilha, já que não vê muito sentido em fiscalizar eleição para quem ele não confia, contra concorrentes nos quais confia menos ainda.
Mas essa maravilha pode acabar mal, já que um tal ambiente de desinteresse efetivo pela lisura do pleito, com todos fingindo entenderem a beleza da roupa nova do rei, no caso, a segurança que o atual sistema oferece a quem deseja eleições limpas, é propício ao florescimento de conchavos políticos como os que espreitavam o painel do senado, como os que nos conspurcam mensaleiros e sanguessugas, e como os que vicejaram na república velha, conduzindo nossos antepassados à revolução de 30, cujo fio condutor era o movimento pelo sigilo do voto.
O sigilo do voto cumpriu o seu papel, na revolução de 30 e durante o período eleitoral pré-eletrônico, mas hoje, apesar de ainda servir ao propósito a que veio, serve também para bloquear ao eleitor comum primeiro sua capacidade, depois seu direito, de fiscalizar a contagem correta do seu voto e os de todos, a pretexto de uma dogmática necessidade de apuração veloz. O que me leva a concluir que a relação custo/benefício do sigilo do voto como princípio basilar da democracia moderna pode ter se deteriorado na pós-moderna.
Porém, se o eleitor não vê valor para si na ocupação precisa dos espaços políticos por aqueles que a maioria considera "menos ruim", ele não verá sentido nessa preocupação com fiscalização frente à informatização, como expressa no relatório Brennan e artigos que publico. "Coisa de especialistas, para especialistas", racionaliza ele.
E ainda que pudesse alcançar esse sentido, a maioria dos que não estão nem aí para democracia, muito jovens para terem provado da sua falta, que não levam a sério o processo político, mais focados em como aplicar para si a lei de Gerson, não vão dar a mínima para o que um especialista em segurança que preza a cidadania tem a dizer. Preferem pão e circo, "me enganem que eu gosto".
6. CT: Hoje, o sistema operacional das urnas eletrônicas é o mesmo nacionalmente, ou existem variações quanto à versão?
PR: Exitem hoje, supostamente, tres sistemas em uso nas urnas eletronicas: O VirtuOS, e duas versões do WindowsCE. Não sabemos exatamente quais são as versões utilizadas porque, naquilo que o TSE chama de "apresentação dos programas" o primeiro nunca teve seu código fonte disponibilizado e o segundo, com mais de sessenta mil arquivos, só é apresentado nos últimos cinco dias.
Apesar de que o TSE hora afirma que apresenta todos, hora que só apresenta os importantes, mesmo que apresentasse o código fonte de todos e por mais tempo, o segundo é montado por um compilador caixa-preta (platform builder), o que impede até mesmo o TSE de saber efetivamente o que vai estar dentro da versão executável.
7. CT: No que poderia ajudar a introdução de um software livre, como o Linux, na fiscalização do processo eleitoral?
PR: A melhor ajuda seria no sentido de impedir que fornecedores pudessem controlar meios de fraude via software que estariam fora do alcance de todos os demais, até mesmo da Justiça Eleitoral. Meios de fraude cuja detecção e neutralização estaria fora do alcance de todos, sob o pretexto de proteger a propriedade intelectual do fornecedor. Mas há quem gosta de ser enganado, haja vista as desculpas mais estapafúrdias para seguir incluindo na urna eletrônica brasileira softwares proprietários dos quais não se conhece sequer a licença de uso segue ocorrendo.
8. CT: Existe alguma outra tecnologia eletrônica que poderia ajudar para evitar as fraudes na votação eletrônica?
PR: Não é tecnologia que falta, o que falta é entendimento do problema, ou reconhecimento de limitações para esse entendimento. Se o problema fosse falta de tecnologia, as armas nucleares teriam impedido que se fraudasse a paz ao mundo.
Numa eleição que exige sigilo do voto, como as da democracia moderna, qualquer tecnologia projetada e implementada para proteger usuários do sistema contra a ocorrência de fraudes de origem externa, servirão também para proteger eventuais fraudadores com acesso interno ao sistema de serem detectados por usuários comuns.
9. CT: Qual o tempo necessário para auditar o sistema de voto eletrônico? Há possibilidade dessa auditoria oferecer 100% de confiabilidade?
PR: Não há tempo que seja suficiente, basta ler o relatório Brennan para saber porquê. Não existe a menor possibilidade de qualquer auditoria, seja ela longa ou curta, seja o sistema eletrônico ou não, oferecer 100% de confiabilidade. 100% de confiabilidade num sistema com mais de dois interesses em jogo, como o eleitoral, é conto da carochinha, conto do vigário ou dogma da seita do santo baite.
v 2.0 - revisada em 2.1.06