Sistema Eleitoral Brasileiro Pode ser Fraudado
Reportagem de Marcos CarneiroMatéria na edição de 17/5/2015 do Jornal Opção, GO
Prof. Pedro Antonio Dourado de Rezende
Departamento de Ciência da Computação
Universidade de Brasília
abril de 2015
O sistema eleitoral brasileiro é o mais moderno do mundo, pois pertence ao país que criou a urna eletrônica, que garante mais
segurança e agilidade à votação. Quem nunca ouviu essas sentenças? Os mais novos, que começaram a votar já no fim dos anos 2000,
com certeza cresceram ouvindo tais afirmações. Bom seria se elas fossem, de fato, inquestionáveis. Não são. E com todas as
dúvidas levantadas nos últimos meses em relação às eleições, o Jornal Opção procurou ouvir um dos especialistas que debatem a
segurança do sistema eleitoral há mais de uma década.
O currículo de Pedro Antônio Dourado Rezende é grande: PhD em Matemática Aplicada pela Universidade da California, em Berkeley (EUA), trabalhou com controle de qualidade na Apple Computer e com as primeiras aplicações em hipertexto, no Vale do Silício, Califórnia (EUA), em 1988. É consultor em criptografia e segurança em informática e coordena o Programa de Extensão em Criptografia e Segurança Computacional da Universidade de Brasília (UnB), onde montou e ministra o primeiro curso de programação para Infraestrutura de Chaves Públicas (ICP) no Brasil.
Além disso, é conselheiro do Instituto Brasileiro de Política e Direito na Informática, ex-conselheiro da Free Software Foundation Latin America (2006-2008) e ex-representante da sociedade civil no Comitê Gestor da Infraestrutura de Chaves Públicas Brasileira. A ele, a reportagem perguntou: afinal, é possível fraudar as eleições no Brasil? E a resposta, como se verá nas próximas três páginas, é sim.
Pedro Rezende recebeu a reportagem em sua tranquila e aconchegante casa no Lago Norte, em Brasília, na semana passada. Por horas, o professor explicou como funcionam os mecanismos do sistema eleitoral brasileiro, apontando as suas falhas e demonstrando tecnicamente as formas de burlá-lo.
E a análise começa com a resposta à pergunta "as urnas eletrônicas são realmente seguras?": "'Seguro' é um adjetivo associado ao verbo 'proteger', que é bitransitivo. Ou seja, a sequência só não fica ambígua quando colocados os dois complementos do verbo: proteger quem, do quê. Para o dono da urna, ela é segura, pois ninguém consegue provar o contrário, uma vez que ninguém tem acesso a ela. Logo, a palavra de quem gere a máquina é única". E quem é "dono" da urna? "O Tribunal Superior Eleitoral" (TSE).
Uma primeira dúvida
Pedro Rezende aponta que, em 2012, um ex-aluno seu -- o também professor Diego Aranha -- participou dos testes públicos de segurança da urna e encontrou vulnerabilidades que lhe permitiram reconstruir a sequência e o horário de cada voto a partir do resultado oficial produzido ao final da votação. Também em 2014, outro ex-aluno seu foi credenciado pelo Partido Democrático Trabalhista (PDT) para examinar os programas do sistema, conforme permitido antes de eleições. O que ele encontrou no software de segurança para a preparação das urnas foi um programa que é "indistinguível de uma porta de fundo, isto é, que pode permitir a entrada de programas de origem desconhecida", o que pode contaminar o sistema da urna e, assim, desviar ou alterar votos.De acordo com o professor, esse programa, chamado Inserator, permite a introdução manual de chaves de verificação de assinatura digital, "o que faz com o programa que gera as mídias de carga receba, como se fosse do TSE, um programa de origem desconhecida com a assinatura que está entrando por baixo dos panos". Mídia ou flash de carga é uma espécie de cartão de memória, gerado na segunda das seis fases do processo eleitoral, pelos Tribunais Regionais Eleitorais (TREs).
Cada mídia ou flash de carga insemina em torno de cem urnas, que recebem os votos de cem seções eleitorais. "Temos cerca de 400 eleitores em cada sessão eleitoral, logo cada mídia de carga consegue controlar as urnas que vão receber cerca de 40 mil votos. Com um flash de carga adulterado uma pessoa pode desviar, por exemplo, 5%, 10% ou 15% dos votos de cem seções eleitorais", ou seja, 2 mil votos ou mais.
"Para a porta de fundo permitir a entrada de software desonesto, basta saber como o código funciona. Por isso, o TSE não quer divulgar publicamente o código e exige termo de sigilo de quem vai fiscalizá-lo. A questão é: se entrar um software honesto na urna, a eleição será honesta; se entrar software desonesto, a eleição será fraudada. Como saber qual o tipo de software? Não há como", relata o matemático.
Outras possibilidades
O processo eleitoral brasileiro é feito de seis etapas (veja gráfico), dos quais apenas dois envolvem a votação
propriamente dita. O primeiro é a de desenvolvimento, responsabilidade da Secretaria de Tecnologia da Informação (STI) do TSE,
e diz respeito à criação dos softwares usados na votação, na apuração e na contabilização dos votos.
Os partidos têm permissão para acompanhar o desenvolvimento dos programas, que acontece aproximadamente seis meses antes de começar a segunda etapa. Contudo, de acordo com o professor, é difícil acompanhar esse trabalho porque muitos dos 80 mil programas são criados por empresas terceirizadas. "Por exemplo, todo o sistema que controla a fase dois, o SIS, que não deveria deixar entrar softwares não criados para a votação, não é desenvolvido pelo TSE", conta ele.
SIS é a sigla para Subsistema de Instalação e Segurança, local onde foi encontrado o Inserator. Pedro Rezende conta que esse sistema é desenvolvido por uma empresa chamada Módulo, "que é controlada por um ex-funcionário da Kroll [Sérgio Schiller Thompson-Flores], empresa de inteligência e espionagem, que atuou na época da privatização para o Brasil, espionando para Daniel Dantas". Outras empresas também prestam esse serviço para o TSE. Todos os programas são apresentados 180 dias antes das eleições, ao final dos quais ocorre a cerimônia pública de compilação, assinatura e lacração das urnas.
A segunda fase é a de preparação das mídias, de responsabilidade dos TREs, e engloba a instalação dos programas nos equipamentos utilizados em todas as etapas da votação. Esse nível do sistema gera as mídias: de carga, que insemina as urnas; de votação; de resultados; e de Ajuste de Data e Hora, (ADH) que permite a votação apenas no dia previsto para que ela ocorra.
Essa última mídia permite o já conhecido ataque de urna clonada. "Quem tiver acesso ao flash ADH e a uma urna, pode rodar a data e hora e dizer a ela que já é o dia da eleição e, com o flash de resultado, gerar um boletim de urna com 400 votos para aquela sessão eleitoral", explica o professor.
Como impedir esse tipo de ataque? Controlando quantos pendrives/cartões de memória são preparados e oficializados para cada eleição e registrando-os em ata, além de permitir aos fiscais acompanhar todos eles. "É preciso ter os de reserva, mas esses devem ser contabilizados antes e depois das eleições", conta Pedro Rezende.
E isso é feito? Segundo o matemático, o TSE se recusa a registrar quantas mídias de resultados são gerados na fase dois. "Isso gera um risco sistêmico, o que permite a clonagem dos boletins de urna para as seções eleitorais. Em eleições municipais isso pode virar uma indústria", argumenta.
A terceira fase é a de inseminação das urnas, que acontece nos TREs e nos cartórios eleitorais. As quarta e quinta fases remetem à votação em si: quarta, votação e apuração; quinta, totalização. A sexta é a divulgação do resultado.
Sabendo que há mais uma década o professor atua na pesquisa a respeito do sistema eleitoral brasileiro, duas perguntas básicas a serem feitas nesse tipo de entrevista são: quando exatamente começou e por quê? E as respostas a essas perguntas geraram um curioso panorama sobre a história eleitoral brasileira dos últimos 15 anos.
Ao primeiro questionamento Pedro Rezende responde brevemente: "Desde o início. Você vota em um sistema cujo terminal do mesário, que identifica a pessoa por meio do título de eleitor, é conectado com a máquina que recebe o voto. E a Constituição diz que o voto é secreto, mas ninguém pode conhecer o software instalado na urna. Ou seja, é preciso acreditar que quem comanda a urna não está quebrando o sigilo do conteúdo ao associar o voto ao número do meu título de eleitor. E o mais surpreendente é ninguém ligar para isso a que venho chamando de 'erro de projeto' desde 2000".
À segunda indagação o professor conta uma história, que tanto serve de resposta como argumento às críticas tecidas ao sistema eleitoral do Brasil:
-- Quando percebi que estava tudo errado no projeto de votação, escrevi um artigo e mandei para o presidente do TSE na época, o ministro Nelson Jobim, em 2001. Não tive resposta. Você já votava em 2001?
-- Não. Era novo ainda.
-- Bem, então você não vai lembrar o que aconteceu naquele ano. Em 2001, surgiu o problema no painel do Senado.
Um parêntese. A história contada por Pedro Rezende pode ser resumida da seguinte maneira: o senador Antonio Carlos Magalhães (ACM), em conversa com o procurador da República Luiz Francisco de Souza, insinuou que teve acesso aos votos dos senadores na sessão secreta que cassou Luiz Estevão (PMDB-DF) -- que ainda não foi julgado, devido a inúmeros recursos apresentados às condenações que já tem --, em junho de 2000. A conversa foi gravada pelo procurador e divulgada depois.
Por isso, foi instaurada no Senado uma investigação no Conselho de Ética para apurar o envolvimento do então presidente do Senado. Na apuração do caso, comandada pelo rival político de ACM, Jader Barbalho -- que assumiu a presidência do Senado em 2001 -- especialistas da Universidade de Campinas (Unicamp) foram chamados para realizar uma perícia e, assim, comprovar que a voz na conversa com Luiz Francisco era mesmo de ACM e que o painel de fato tinha sido violado, ou como poderia ter sido.
As investigações descobriram que Regina Borges, à época diretora do Centro de Processamento de Dados do Senado (Prodasen) havia violado o painel de votação e imprimido a lista com os votos identificados dos senadores a pedido do líder do governo no Senado, José Roberto Arruda (DF), que, por sua vez, atendia à articulação de ACM.
Esse episódio deu força aos projetos de dois senadores da época: Roberto Requião (PMDB-PR) e Romeu Tuma (então PFL-SP), que quiseram, entre outras coisas, instituir: a impressão do voto pelas urnas e depósito automático sem manipulação do eleitor; o sorteio de 3% das urnas, depois das eleições, para auditoria; a obrigação do TSE em apresentar todos os softwares aos partidos; a desvinculação física entre as máquinas de identificar e votar; e urnas de treinamento nos locais de votação. Trata-se do Projeto de Lei 5470/01.
Retomemos o diálogo:
-- Isso provou que votação puramente eletrônica não era essa maravilha toda. E foi assim que Requião e Tuma propuseram a volta do voto impresso, como era em 1996, para permitir a recontagem. Mas houve tanta pressão do TSE sobre o Senado, que a lei não pôde reger as eleições de 2002, em troca do TSE fazer um teste com essas urnas que imprimem votos em algumas seções eleitorais. Em todas do Sergipe e do DF e em 3% dos outros estados. Então, o TSE encomendou mais de 70 mil impressoras, que tinham um visor para que o eleitor visse o que iria cair na sacola. (veja imagem)
-- E deu certo?
-- Eu ouvi da boca do presidente da Bematech, empresa que produziu essas impressoras, que o edital exigia um lacre de papel na greta por onde sai o papel que passava pelo espaço em que o eleitor enxergava o voto impresso. Mas no manual que foi preparado para as empresas que iriam preparar as urnas, assim como instalar o software e as impressoras, além de testá-las e carregar as baterias, não se falava na retirada do lacre. Então, quem percebeu que o lacre iria engastalhar papel, tirou; quem seguiu as instruções ao pé-da-letra, deixou. Por isso, seis meses antes das eleições, os juízes começaram a anunciar, sobretudo no DF, que essas urnas iriam dar problema. Além disso, a propaganda feita não instruiu os eleitores a votarem na urna com impressão de voto. Na urna normal, o eleitor vota em todos os candidatos e aperta "confirma". Na urna com impressão, o eleitor precisa confirmar o voto eletrônico e, depois de verificado o voto impresso, confirmar novamente. Mas nenhuma propaganda dizia isso. O que o eleitor fazia? Ia para urna votar, confirmava uma única vez e ia embora. E o que o mesário tinha que fazer? Esperar dois minutos para a máquina dar timeout e cuspir o voto impresso do eleitor que não confirmou duas vezes. Logo, ao invés de o eleitor levar um minuto para votar, a votação levou em média três minutos. Isso gerou filas enormes nas seções que tinham voto impresso. E foi isso que eles colocaram no relatório para derrubar a lei do Requião, que iria valer para as eleições de 2004.
-- Então, a lei caiu.
-- Caiu e nasceu outra: a do senador Eduardo Azeredo, que introduziu, no lugar do voto impresso, o Registro Digital do Voto (RDV), que é apenas uma planilha no lugar das somas para que ficasse registrados votos individuais em uma tabela, que permitisse cada fiscal com acesso às urnas verificar os votos somados. Ora, isso não é fiscalização que garanta que o que o eleitor viu é o registrado. Isso é como comparar uma cópia com o original. Se o original for honesto, a cópia também será. Se não, não. Essa lei foi aprovada em 2003, capitaneada pelo senador Azeredo, mentor do mensalão, e aprovada no Senado com relatório de Demóstenes Torres [cassado em 2012], no Senado, e de João Paulo Cunha [ex-deputado federal condenado pelo Supremo Tribunal Federal a 6 anos e 4 meses de prisão no julgamento do mensalão], na Câmara. Então, é essa a turma que mantêm nossa urna na primeira geração e esse é o resultado de se pedir o fiscalizado para testar o mecanismo de fiscalização.
Aliar votos eletrônico e impresso dificultaria fraudes
O Brasil começou a utilizar as urnas eletrônicas em 1996 e, desde então, nunca atualizou seu modelo de votação eletrônica. É o que aponta o professor Pedro Rezende, que criou a terminologia urna de "primeira geração" para designá-la. Isso já expõe a existência de gerações mais recentes, o que prova, por obviedade, que o sistema eleitoral brasileiro não é o mais moderno do mundo, como advertido no primeiro parágrafo desta reportagem.Vários outros países já usam urnas de segunda ou terceira geração. O eleitor venezuelano, por exemplo, vota em uma urna touchscreen escolhendo o seu candidato. Feito isso, a urna imprime o voto para que o eleitor confira se está certo e depois deposite esse papel em uma urna de papelão. O software da urna eletrônica faz a contagem eletrônica e a auditoria pode confirmar, por meio do voto impresso, se a contagem foi correta. Essa é a urna de segunda geração, sistema utilizado na Venezuela desde 2004.
Porém, como explica Pedro Rezende, o TSE possui críticas a essa tecnologia, pois ela dá abertura a outros tipos de fraude. "O TSE tem razão em relação às urnas de segunda geração, pois elas permitem fraude por parte dos partidos que sabem de sua derrota. Eles podem mudar os votos impressos para gerar dúvidas sobre o resultado. Fazendo isso, qual sistema deverá ser validado, o manual ou o eletrônico? Porém, a evolução não parou na segunda geração, pois já existem as urnas de terceira", acrescenta.
A diferença entre as duas é que, ao contrário da de segunda, quando encontrada uma discrepância entre os votos eletrônicos e impressos, na de terceira é possível saber onde o problema foi gerado, pois as duas trilhas são entrelaçadas para que uma detecte um desvio na outra. O engenheiro que inventou um desses sistemas é argentino. O país já usa esse sistema, em que cada fiscal de partido pode levar uma cédula com o resultado que aquela seção gerou. "Em duas horas e meia eles já totalizam a votação na província de Salta", garante o matemático.
Fora esse, de acordo com o professor, há também outros sistemas de terceira geração que usam uma técnica sofisticada de criptografia e não envolve juntar dois registros em um só, que é o resultado do esforço dos maiores criptógrafos em atividade hoje a fim de resolver o problema das urnas de segunda geração. "Então, o TSE não quer reconhecer a gravidade do tipo de risco inerente ao sistema de primeira geração, que é vulnerável a ataques invisíveis e por atacado via manipulação indevida do software; e faz que não entende a existência de sistemas de terceira geração", adverte.
A Índia foi a última a abandonar as urnas de primeira geração. A Holanda foi a primeira. Ironicamente, foram esses os dois primeiros países do mundo a adotarem a tecnologia, anos antes do Brasil. O que todos os países entenderam, seguindo a linha de raciocínio de Pedro Rezende, foi que "a votação puramente eletrônica, com as máquinas de primeira geração que não mantêm registro material de voto, eliminam as formas antigas de fraude, que eram por varejo e visíveis -- manipular cédulas, boletim de urna etc. --, ao preço de introduzir novas formas de fraude, que são por atacado e invisíveis".
Ou seja, se o software que está na urna é desonesto ele pode desviar uma porcentagem de votos de todas as seções eleitorais, sem que ninguém consiga detectar. Como solucionar o problema? Produzindo prova material, isto é, aliando o voto eletrônico com o impresso.
O voto impresso era lei no Brasil até 1997, quando foi aprovada a Lei 9.504, que permitiu a votação eletrônica oficialmente. Até 1996, o que estava valendo para proteger o sistema de votação no Brasil, era o Código Eleitoral de 1965, período de ditadura militar, que falava em cédula. Então, em 1996, primeiro ano em que foi feita a votação eletrônica em parte das seções eleitorais do Brasil, as urnas do TSE ainda imprimiam as cédulas e as jogavam automaticamente dentro de um saco plástico.
"Só que em 1996 os sacos de votos impressos não foram abertos. A totalização foi feita apenas com os totais por seção que saiam dos boletins de urna eletrônica e deram aquilo como resultados oficiais das eleições naquelas seções. Ou seja, o voto impresso existiu nas eleições de 1996, mas não foi utilizado para a soma da totalização. Assim, no ano seguinte, como ninguém reclamou de que a contagem nessas seções foi feita apenas de forma eletrônica, foi aprovada a Lei 9.504 no Congresso, que passou a reger a votação eletrônica sem exigir o voto impresso", pondera Pedro Rezende.
Desde então, houve duas tentativas de retomar o voto impresso como mecanismo de prova de votação por parte do eleitor. A primeira (como relatado na página anterior) foi em 2001 com a Lei 5470/01, que chegou a ser aprovada e sancionada, mas foi derrubada um ano depois. A segunda foi com a Lei 12.034, de 2009, encabeçada pelos deputados Brizola Neto (PDT-RJ) e Flávio Dino (PCdoB-MA).
Em seu artigo 5º, a lei reinseria o voto impresso. Entretanto, o artigo foi anulado pelo Supremo Tribunal Federal (STF) sob a alegação de que era inconstitucional. A questão, como explica o professor, é: "O artigo exigia a assinatura digital em cada cédula impressa. A alegação para barrá-lo foi de o eleitor teria como se identificar, por meio da assinatura digital no voto impresso, para o candidato em quem teria votado, quando, na verdade, essa assinatura não seria do eleitor, mas da urna".
Por que, então, essa parte do texto foi anulada? Porque não especificava se a assinatura digital teria de ser do eleitor ou da urna. "Só que o sistema que nós temos já tem a assinatura digital da urna para os arquivos eletrônicos que sairão no pendrive no fim da eleição para a totalização. Por isso, a lei não falava de quem seria a assinatura, porque só poderia ser da urna, uma vez que o eleitor não tem a chave criptográfica para fazer assinatura digital no seu título de eleitor, nem no cadastro eleitoral. Entretanto, essa não especificação deu abertura para que os juízes interpretassem, com ajuda de um vídeo preparado pela Secretaria de Informática do TSE, a assinatura como sendo do eleitor, o que quebraria o sigilo do voto. Portanto, com essa interpretação fantasiosa não se poderia imprimir", explica.