Sistema de Altíssimo Risco
Entrevista ao Jornalista Marco Aurélio Vigário,
sobre o sistema eleitoral brasileiro em 2002.
Publicada no Jornal da Segunda em 29/06/02Prof. Pedro Antonio Dourado de Rezende
Departamento de Ciência da Computação
Universidade de Brasília
20 de Junho de 2002
Marco A. Vigário: O sr. diz que o grande problema da urna eletrônica não é falta de segurança, mas o excesso. Por quê?Pedro Rezende: Modelos de segurança intersubjetivos, isto é, baseados no sigilo, só são indicados para sistemas com apenas dois interesses relevantes em jogo. Sistemas com mais de dois interesses permitem o conluio entre dois ou mais agentes visando prejudicar os outros, sem o risco da trapaça ser descoberta a tempo de preveni-la. Nesses casos o modelo intersubjetivo é absolutamente contra-indicado. A segurança que qualquer deles pode almejar só é alcançada através do equilíbrio de riscos e responsabilidades, indicando um modelo objetivo. No sistema eleitoral, os interesses em jogo são o da justiça eleitoral e os dos partidos. Temos então mais de dois interesses em jogo, pois temos mais de um partido político. Neste caso é a transparência, e não o obscurantismo, que pode oferecer proteção a todos. Esta sabedoria, tão velha como a própria democracia, está no ditado que diz ser o preço da liberdade a eterna vigilância. Está também na lei eleitoral 9504/97, em seu artigo 66. A crise atual do capitalismo globalizado, para não falar do painel do senado, é uma evidência insofismável de sua corretude.
Mas o modelo de segurança do nosso sistema eleitoral tem sido intersubjetivo, como se os intersses em jogo fossem apenas o do TSE e o de potenciais fraudadores, com o TSE nos apontando onde podem estar esses fraudadores, e nos recusando o mesmo direito, impedindo os partidos de fiscalizarem amplamente os softwares, desrespeitando assim a lei eleitoral em relação ao direito de fiscalização dos partidos, expresso no supracidado artigo 66. Ora, com a informatização completa do processso eleitoral a fiscalização deixa de enfocar a vigilância das urnas e a contagem dos votos, para enfocar a confecção e a instalação dos programas que registram, tabulam e totalizam votos.
Desta forma, se os partidos aceitam pelo menos um software secreto na urna, qualquer que seja o pretexto, o autor do software pode se valer disto para beneficiar algum partido através do desvio calculado de votos, sem o risco de ser descoberto. Basta modificar algumas linhas do programa no momento adequado, sem que os prejudicados saibam. Se ele precisar para isso de informação que não tem, certamente saberá como obtê-la, razão porque a comparitmentação de conhecimento, brandida pelo TSE como garantia da neutralidade no sigilo de softwares, não impõe barreiras suficientes para o grau de risco social envolvido.
A frase de efeito que voce menciona eu a tenho usado porque o leigo tende a confundir sigilo com segurança, acostumado que está a pensar em segurança sob uma perspectiva individual e simplista, intersubjetiva. No caso do nosso sistema eleitoral, a ocultação de softwares tem o efeito de casar dois tipos de proteção: contra fraudes de origem externa, e para fraudes de origem interna. Na entrevista que dei ao POPULAR minha resposta foi truncada de uma forma que tornou este argumento incompreensível.
Seria, portanto, melhor para o eleitor comum que essas duas proteções sejam descasadas, pois só lhe interessa a primeira. Para descasá-las, há que se adotar um modelo objetivo de segurança para o sistema, priorizando a transparência, e não o sigilo, dos processos onde a fraude pode ocorrer. Priorizando-se a necessidade de verficação compartilhada de integridade de programas auditáveis, nas diversas etapas em que precisam ser manipulados, sempre que a fiscalização puder substituir o sigilo na busca do equilíbrio de riscos e responsabilidades do modelo objetivo.
MV: O sistema do TSE usa a internet? Não é possível, de fato, que um hacker entre no sistema e, de alguma forma, influencie o resultado das votações?PR: O TSE nunca usou, até agora, a internet para o sistema de votação ou de totalização, nem mesmo para divulgar diretamente os resultados totalizados. Tem usado a internet apenas na fase preparativa, para enviar os programas do TSE para os TREs. Mas mesmo que o TSE remeta os programas da forma mais protegida possível, usando criptografia como atualmente o faz, esta proteção não garante nada: alguém no destino pode sorrateiramente trocar algum programa por outra versão contendo modificações para desviar votos.Não sei o que voce quer dizer com hacker. Não faz sentido pensar num potencial fraudador como alguém que, no sentido corriqueiro do termo, só age maliciosamente através do ciberespaço, a partir de algum endereço IP. Um fraudador da eleição informatizada será um criminoso muito provavelmente ligado a alguma facção do crime organziado, especializada em penetrar nas estruturas do poder estatal, buscando se posicionar no estágio do processo onde possa ter maior chance de eficácia na contaminação do sistema e menos chance de ser descoberto. Estará assim carregando alguns flashcards ou disquetes escondidos no bolso, pelos corredores do poder.
Isto é, ele estará se posicionando, com alguma cobertura, ou antes ou depois dos programas transitarem de forma encriptada pela internet, antes de serem replicados nos flashcards que inseminarão as urnas e depois que sua integridade já tenha sido verificada pelos partidos prejudicados na fruade. Assim, o risco mais grave à verdade eleitoral não está no trânsito dos programas pela internet, mas após os partidos terem verificado sua integridade.
Atualmente, os partidos só podem verificar a integridade dos programas 60 dias antes da eleição. Portanto, o risco mais grave está no TSE, depois da fiscalização e antes do envio dos programas, e nos TREs, depois do recebimento dos programas e antes da inseminação das urnas, e não na internet. Impor aos partidos o sigilo de qualquer dos programas, a pretexto de reforçar sua segurança durante o transporte através da internet, é algo que se parece muito, aos olhos de um analista de segurança computacional competente e isento, com uma estratégia de camuflagem de riscos.
O que se quer de uma justiça eleitoral sadia é a segurança da verdade eleitoral, e não a segurança de softwares secretos, já que o software pode ser honesto ou desonesto, e sendo secreto pode ser desonesto sem risco para o autor. Mesmo que a desonestidade não tenha sido a intenção original na escolha do modelo de segurança do sistema, a experiência nos diz que garantias de impunidade amplificam os riscos.
MV: No artigo publicado no Opção o sr. cita o caso da impugnação do cadastro eleitoral de Camaçari. Como foi esse caso?PR: O cadastro eleitoral pode ser fraudado registrando-se eleitores fantasmas, independentemente da votação ser em urna urna de lona ou eletrônica, e independentemente do cadastramento ser maunual ou informatizado. O que aconteceu em Camaçari foi o uso da urna eletrônica como um computador qualquer, no qual foram instalados softwares para fazer a atualização do cadastro eleitoral. Apresentadas provas de fraude no cadastro pelo diretório municipal do PPS, o TSE permitiu a perícia das urnas usadas no recadastramento, que tinham também sido usadas na eleição sendo contestada.Durante a perícia, os peritos nomeados pelo PPS queriam examinar o software de votação devido ao fato de que, se a fraude no cadastro foi facilitada pelo software de recadastramento, poderiam também ter sido perpetradas outras fraudes pelo software de votação. Mas o corregedor geral do TSE não permitiu. Só permitiu o exame do software para recadastramento instalado na mesma urna. Se o software de votação é honesto, e tudo que ele faz é somar votos de candidatos, por que não pôde ser examinado na perícia, pela parte prejudicada na ação? O que pode justificar tanto segredo em torno de um programa que simplesmente soma votos?
MV: Nas eleições para prefeito, em 2000, alguns eleitores de uma pequena cidade do interior de Goiás - Crixás - relataram que, ao digitar o voto para um candidato determinado, aparecia na tela desenhos de flores ou animais. Isso é possível? O sr. tem notícia de outros problemas relacionados à segurança da urna?PR: Tenho notícia de inúmeros problemas, mas não tenho nenhuma prova ou contra-prova de má fé. A sua própria pergunta evidencia que o modelo de segurança intersubjetiva é absolutamente inadequado para um sistema eleitoral informatizado. Vejamos porque.Voce pergunta se é possível alguém colocar fotos de flor ou animal no lugar da foto do candidato. Certamente isto é possível para quem apronta o programa de votação. E se ninguém mais pode ter acesso para manipular o programa, sobre este recai a principal suspeita de responsabilidade pelo ocorrido. Quem faz o programa pode colocar qualquer linguiça de bits onde bem entender. Se a fiscalização do processo de confecção e instalação dos programas de votação fosse adequada, como manda o artigo 66 da lei 9504/97, a responsabilidade poderia ser compartilhada ou o erro detectado a tempo.
Por que o autor do programa faria isso? Poderia fazê-lo, por exemplo, com o intuito de deixar confusos os eleitores dos candidatos prejudicados, principalmente os tecnofóbicos e os semi-analfabetos, que tenderão a cancelar ou desistir de sua escolha por não ver a confirmação visual dela na tela da urna, beneficiando assim os concorrentes desses candidatos.
Esta hipótese se reforça caso as flores e os animais fossem a cara de candidatos dum mesmo partido ou coligação, em todas as urnas. Doutra parte, o autor do software poderia também fazer isso para dar publicidade à sua capacidade de bolir na votação, anunciando seus serviços para a próxima eleição, hipótese que seria mais provável se os animais e as flores estiverem espalhados por vários partidos ou poucas urnas.
Para benefício do argumento, vamos continuar com a primeira hipótese, já que sua pergunta não esclarece de que partido eram as flores e os animais. O que acontece se um eleitor denuncia esse fato, pedindo impugnação da eleição? O juiz eleitoral pode simplesmente despachar dizendo que a urna é indiscutivelmente segura, e que portanto o erro, se houve, não pode ter sido intencional. Azar de quem cancelou ou desistiu do seu voto. Todos os casos semelhantes de que tenho tomado conhecimento, têm sido negado com este argumento ad hominem (no caso, a autoridade do homem que fez a máquina).
Outra possível decisão do juiz é questionar a veracidade do relato do eleitor queixoso. Ele poderia estar mentindo para tentar anular a eleição e beneficiar com isso o partido ou candidato de sua escolha, que poderia ter perdido a eleição, diria o juiz, mesmo com os votos de quem não lhe reconheceu numa flor ou num bicho. Quantos, afinal, apresentaram queixa no prazo? E se os votos dos queixosos mudassem o resultado, o juiz poderia mudar o argumento: como podem os queixosos provar que viram flores e bichos? Como o TSE nunca permitiu a auditoria da urna pelos partidos, pois afinal, para eles, "quebrar a segurança" do sistema por causa de uma penca de candidatozinhos a vereador num municipiozinho qualquer seria injustificável, o réu se beneficia da dúvida. Neste caso de Crixás, o TRE de Goiás.
A eleição é um tripé: votação, apuração e fiscalização. Ao se cortar uma perna, a pretexto do advento de novas tecnologias, o tripé tende a cair. O caso da apuração paralela dos votos impressos em 3% das urnas é outra estória que se parece com camuflagem da amputação de uma perna do tripé eleitoral. Por que o sorteio dos 3% das urnas que terão apuração paralela dos votos impressos precisa ser no dia anterior, se basta um disquete esperto na madruaga para avisar à urna sorteada que se comporte no dia seguinte? Ou mesmo o simples ato de ligar e desligar a urna na madrugada da véspera, para que ela "limpe o caminho" para a verificação? Afinal, se o aviso da verificação pode ser dado ao programa na véspera, bastam algumas linhas adicionais de código malicioso para ter a eleição mais limpa da história nos 3% das urnas "sorteadas para verificação", e a fraude muito bem camuflada nas outras 97%.
Por isso a lei previa para o dia da eleição o sorteio das urnas que serão verificadas. E por que esta letra da lei foi modificada a pedido do presidente do TSE, antecipado o sorteio para a véspera da eleição, e a modificação aprovada pelos votos dos governistas no senado? É coincidência o fato do senador que liderou esta aprovação ter recebido o governo do seu estado, o Piauí, duas semanas depois, com a impugnação da diplomação do governador Mão Santa? Não parece uma ironia terem "deletado o Mão Santa" logo depois desta modificação?
Já o caso da votação simulada em urna sorteada, a camuflagem parece ser ainda mais simples. A proposta de simulação regulamentada pelo TSE será mais lenta que a votação. Nos testes, não mais que 100 votos por urna puderam ser simulados durante o horário da eleição. Bastam, então, duas linhas adicionais de código malicioso para desativar a fraude em urnas que tenham abstenções superiores a 30%, tornando a votação simulada muito parecida a um simples truque de mágica. Mais um.
MV: Como seria possível fraudar a votação na urna? Os mesários e programadores podem fazê-lo, se tiverem conhecimento técnico para isso?PR: De inúmeras maneiras. Quanto antes no programa a ser infectado, e quanto mais perto do teclado for inserido o código malicioso destinado a perpetrar a fraude, mais perigosa ela será, pois será uma fraude por atacado. Quatro linhas de código inseridas sorrateiramente por um programador podem desviar uma porcentagem pré-estabelecida de votos numa eleição presidencial, por exemplo. Para que este tipo de fraude seja indevassável, basta ao programador saber das condições sob as quais os partidos poderão fiscalizar os programas, condições estas que nunca foram completas. Se a contaminação for efetuada pelo topo da hierarquiva da supervisão interna do processo de confecção dos programas, ela poderá ser feita sem o conhecimento de mais ninguém. Como os programas percorrem várias etapas até o ponto onde executam sua função em uma eleição, pode até haver uma sobreposição ou competição entre fraudes independentes, havendo até o risco de que uma neutralize o efeito da outra, já que os tribunais regionais gozam de autonomia para ajustar os programas para as eleições de seus respectivos estados..Já as fraudes que os mesários podem perpetrar serão de varejo. Mas mesmo assim, úteis para as eleições municipais. Eles podem "pingar" votos de fantasmas com a ajuda de comparsas, liberando a votação para um eleitor fantasma a cada vez que seu comparsa reclamar, de dentro da cabine, de que não está conseguindo confirmar seu voto, tendo já confirmado e votado pelo fantasma anterior.
Um mesário pode também usar um disquete esperto que atrasa o relógio da urna, para, às escondidas, fazer uma votação clonada na véspera da eleição, produzindo um disquete com um boletim de urna que será enviado para totalização na junta apuradora, no lugar do disquete que sairá da urna no dia seguinte. Se os partidos não tiverem como saber se a versão impressa do boletim de urna, no dia da votação, coincide ou não com o versão digital totalizada na junta de apuração, a partir do disquete que lá chegou, este tipo de fruade torna-se indevassável. Na eleição passada os partidos não puderam ter acesso às parcelas totalizadas a tempo de poder impugnar as eleições. Mesmo que os fiscais tenham acesso imediato à parcela correspondente à sua sessão totalizada na junta de apuração, o mesário pode negar-se a entregar a versão impressa para o fiscal de partido, alegando que já entregou a cópia a outro fiscal. Na eleição de 2000, só era prevista uma cópia do boletim de urna para todos os fiscais, e vários mesários deixaram de entregar esta cópia, anexando-a à ata de votação. Nesta eleição, serão cinco cópias.
Que disquete esperto seria este, que permite a clonagem das urnas? Os técnicos de informática do TSE sempre negaram, em congressos de segurança na informática, a possibilidade do relógio da urna poder ser atrasado, e portando, da urna ser clonada, já que a votação é programada para só funcionar no dia marcado para a eleição. Entretanto, numa perícia em um processo de impugnação em Santo Estevão, na Bahia, um técnico do TSE sacou e usou um disquete esperto que permitia a alteração da data no relógio da urna, fato que consta do relatório da perícia, nos autos do processo. Falta agora os técnicos da justiça eleitoral sairem dizendo que não pode existir um disquete esperto que avisa a urna que ela terá os votos impressos conferidos no dia seguinte.
MV: O relatório da Unicamp que atesta a segurança da urna eletrônica é confiável?PR: O sistema eleitoral é de altíssimo risco, devido a suas características. O relatório da Unicamp, infelizmente, contém ambiguidades desnecessárias, cuja motivação está fora do alcance do leitor e do meu julgamento. Este nível de ambiguidade é incompreensível partindo de uma equipe formada por peritos com a competência dos que participaram da avaliação de 400 mil reais. A questão da confiança precisa então ser deslocada para as leituras que se possa fazer do relatório. O relatório atesta a segurança da urna apenas em dois dos tres possíveis sentidos que emanam deste conceito, aplicáveis ao sistema eleitoral. Atesta a segurança da urna contra falhas não intencionais e contra fraudes de origem externa, mas não atesta nada com relação a fraudes de origem interna. Ao contrário, ele faz várias recomendações "para aprimorar a segurança", todas contra fraudes de origem interna.O que considero não confiável são as leituras superficiais ou parciais do relatório, pretendendo emprestar-lhe um caráter avalisador ou legitimador do status quo do sistema eleitoral. Estas leituras fluem com abundância da esfera da justiça eleitoral para a grande mídia, e são deveras preocupantes. Não se pode dizer que o atendendimento de quase todas as recomendações do tal relatório seria suficiente. Se uma das medidas para proteger sua casa seja trancar a porta dos fundos, e o ladrão sabe que voce não tranca, voce estará protegido? Segurança é uma corrente tão forte quanto seu elo mais fraco.
MV: O que precisaria ser feito para melhorar a confiabilidade do sistema?PR: A justiça eleitoral precisa honrar a lei eleitoral, particularmente o artigo 66 da lei 9504, que dá aos partidos o direito de ampla fiscalização na confecção e instalação dos programas de computador envolvidos no processo, sem excessões, e o artigo 105, que prevê prazo para a publicação da regulamentação necessária à execução dos processos, inclusive de fiscalização.Isto não é fácil, pois não sabemos o que seria necessário para interpretar o que significa ampla no caso da fiscalização dos programas, sem prejuízo no risco de que algum partido resolva tumultuar o processo de fiscalização em má fé. A ponderação de riscos é subjetiva, agravada pelo fato dos juízes eleitorais geralmente não saberem como aquilatar argumentos técnicos que sinalizam indício ou risco de fraude, preferindo evitar ter de confrontá-los e examiná-los, tendendo assim a negar aos partidos o adequado direito de fiscalização. E, para agravar o quadro, não têm se furtado a se valer de argumentos ad hominem para tal, bloqueando a discussão técnica sobre a adequação do modelo subjetivo, ao colocar fora de questão a possibilidade da tentação atingir os quadros internos da justiça eleitoral.