O que comemorar na maioridade das urna eletrônica do TSE?
Para matéria no jornal O Globo
Prof. Pedro Antonio Dourado de Rezende
Departamento de Ciência da Computação
Universidade de Brasília
8 de outubro de 2014
Carina Bacelar: 1. A equipe da qual o senhor participa, da UnB, já provou ser possível violar uma urna eletrônica. O que significa isso?
Pedro Rezende: Convém antes esclarecer minha participação. A equipe da UnB que provou ser possível violar, no sistema de votação de 2012, a única defesa ao sigilo do voto na urna eletrônica do TSE, usando-se apenas o que essa urna produz normalmente como resultado público da votação, foi coordenada pelo professor Diego Aranha, e dela não participei. Nem da outra equipe da UnB envolvida, que participou da organização daqueles testes públicos.
Atuo na área de segurança computacional, na qual leciono na UnB há 17 anos e publico há mais de 14. Em 2002, quando tentei participar da equipe que analisaria o código dos programas do sistema do TSE para um dos Partidos, os quais junto com a OAB e o Ministério Público são as únicas entidades externas com direito a tal análise -- ainda que só na forma regulamentada pelo TSE --, mas desisti por discordar da exigência de que antes assinasse um termo de sigilo sobre o que viesse a conhecer do sistema, Diego Aranha era um dos meus alunos, e participou das discussões em aula a respeito daquela situação. Da situação e dos dilemas e problemas relacionados a ela.
Isso significa, a meu ver, que quando ele aceitou coordenar a equipe da UnB inscrita para analisar a parte do sistema disponibilizada para testes públicos em 2012, agora como professor e na única ocasião em que o TSE não exigiu na hora o tal termo de sigilo, Aranha sabia que a filosofia de segurança subjacente ao projeto desse sistema se baseia em obscurecimento. E que, conforme o que aprendera em nossa abordagem, tal filosofia resulta, proporcionalmente à complexidade do projeto, em um sistema excessivamente vulnerável a falhas ou erros -- involuntários ou não -- de programação, porquanto ele soube navegar, em sua análise, por onde essas falhas e erros tendem a ocorrer. E que assim, com sua competência peculiar, tal análise frutificou.
Significa também, em termos gerais, que mesmo se forem mitigadas as falhas encontradas por ele, como as que permitiam reconstruir o horário e os dados de cada voto com documentos públicos que a urna normalmente produz, a proteção ao sigilo do voto permanece precária. Imaginária ou surreal, pois o sistema eletrônico de votação secreta do TSE é o único no mundo, até onde se sabe, que armazena a identidade dos eleitores na mesma máquina programável destinada a colher votos destes. Um cabo de fios liga o terminal de identifcação à sua urna! Assim, nele o sigilo do voto sempre foi e continua lastreado apenas na crença de que nenhum programa instalável na urna é capaz de registrar, ao menos para quem controla o sistema, os elos entre identidade e voto dos eleitores.
PR: Quanto a perigos de fraude, o que os testes públicos em 2012 revelaram representa ameaça menor, para os eleitores que acreditam em democracia e querem eleições limpas. Eleições onde a vontade dos legítimos votantes seja fielmente manifesta e matematicamente respeitada. Para esses, o sigilo do voto seria vítima menor do que a verdade eleitoral. Neste sentido, o mais geral naquelas revelações, o da mais nefasta consequência potencial dessa filosofia obscurantista de segurança, a análise dos programas do sistema em 2014 encontrou vulnerabilidades mais preocupantes. Agora com a participação de outro aluno, desta vez o ainda aluno Gabriel Gaspar, que devido ao termo de sigilo as relatou diretamente ao Partido que o contratou para isso, e este, ao TSE e à OAB.
Entretanto, devido à maneira como o TSE reagiu juridicamente à comunicação do Partido que solicita providências, desqualificando a advogada que o representa e sua petição, em decisão monocrática indeferitória que atropela o devido processo legal estabelecido pelo próprio tribunal para casos como esse, o relato dessas recém descobertas vulnerabilidades se tornou público. Na mais grave dessas vulnerabilidades, a empresa privada que tem recebido, por vários anos sem licitação, a tafera de desenvolver e operar o subsistema de segurança da instalação de software e dados nas urnas e computadores usados em eleições, mantém nesse subsistema um programa "escondido" -- o Inserator --, que só é acionável pelo teclado e que permite a falsificação de assinaturas digitais em softwares instalados -- como ocorrido em Londrina em 2012 --, o que facilita fraudes invisíveis e irrastreáveis, conforme explico em entrevista à revista INFO Exame.
Devido ao prazo de poucas horas proposto para a minha participação nesta entrevista, não cabe aqui alongar-me com mais detalhes ou com outras vulnerabilidades encontradas naquela análise dos programas do sistema em 2014. Ao leitor interessado, redireciono o restante desta resposta indicando a citada entrevista à revista INFO, e, para uma explanação mais didática a nível leigo sobre esta grave situação, o vídeo da apresentação da própria advogada que assinou a petição, em debate na Universidade Federal da Bahia em 15/09/2014. Também sobre o contexto dessa análise dos programas, e predisposição do tribunal a respeito, indico o artigo que publiquei sobre isso na edição de 16/09/2014 do Observatório da Imprensa
CB:
3. As urnas
brasileiras ainda são referência internacional? Há
alguma nação com um projeto melhor ou mais atualizado?
PR: Lamento relatar que as urnas do TSE são referência internacional em sentido oposto àquele que a propaganda oficial insinua. Pelo menos em círculos científicos que estudam a evolução dos sistemas de votação eletrônica. Sobre projetos mais atualizados em outras nações, e sobre os possíveis sentidos em que cada um desses poderia ser considerado melhor do que outros, mais uma vez devido ao prazo não cabe aqui refazer respostas que já publiquei para perguntas semelhantes, em outras entrevistas ou artigos. Sobre o sentido em que as urnas do TSE são referência internacional onde projetos mais atualizados são considerados, redireciono então o leitor para a resposta correspondente no artigo em que respondo ao Corregedor Eleitoral do TRE-RJ, que no site do tribunal replicava a um colunista do jornal O Globo, onde ambos haviam me citado.
E sobre os possíveis sentidos em que sistemas informatizados de votação secreta podem ser considerados melhor do que outros, incluindo esclarecimentos sobre como essas considerações podem ser descomplicadas com uma classificação desses sistemas em gerações, originalmente apresentada por mim em audiência pública no TSE em 2010, e reapresentada a convite em seminário internacional sobre sistemas de votação eletrônica comparados, redireciono o leitor para as respostas correspondentes -- 3 e 8 -- em entrevista que concedi recentemente ao portal UOL, nos mesmos termos desta, a qual também foi publicada somente em meu portal.
CB:
4. O sistema
da urna avançou entre sua criação e agora? Em que
aspectos?
PR: Sob as perspectivas que considero cientifica ou politicamente relevantes, e aspectos idem, redireciono novamente o leitor para a resposta correspondente -- já citada na segunda parte da sua pergunta anterior -- no referido artigo, particularmente para a seção "Salto triplo".
CB:
5. De forma
geral, a incidência de defeitos nas urnas está dentro
dos padrões de normalidade?
PR: Sob as perspectivas que
considero cientifica ou politicamente relevantes, e sobre as quais me
sinto apto a comentar, levando-se em conta o sistema todo e não
apenas sua fetichizada urna, cada um pode avaliar por si considerando
a incidência dos defeitos que relato em tres respostas
correspondentes [1,
2,
3]
no referido artigo. Se esta incidência estaria dentro ou fora
dos padrões que o leitor considera normais para uma democracia
sadia. Para quem quiser compreender melhor as prováveis
razões para a generalizada desinformação a
respeito dos defeitos lá relatados, redireciono para o vídeo
da palestra que proferi sobre o tema em julho de 2014.
PR: Além da generalizada desinformação citada acima, de mais importante para o contexto dessas perguntas, entendo que as pessoas geralmente desconhecem, ou pelo menos desconsideram, a diferença entre urna eletrônica e sistema informatizado de votação. Isto se reflete, por exemplo, nas pesquisas de opinião que tem mostrado, pelo menos até aqui, que a grande maioria da população confia na urna eletrônica, embora essas pesquisas não tenham como sondar as razões por trás dessa opinião. Ao mesmo tempo, a grande maioria não confia nos políticos que aprovam leis que determinam como deve ser nosso sistema de votação, pelo qual esses mesmos politicos são e continuarão sendo eleitos.
Acredito que boa parte da população diz confiar na urna porque, intuitivamente, a urna eletrônica é mesmo confiável. Mas confiável no sentido em que ela é apenas uma máquina programável, que se comporta conforme é programada. Ou seja, ela é confiável no sentido estrito de que se nela entra software honesto, sai eleição limpa, e se entra software desonesto, sai eleição fraudada. Tal obviedade é que me levou a ser citado, tanto pelo colunista do jornal Globo quanto pelo Corregedor Eleitoral do TRE-RJ, no contexto do referido artigo. Essa urna eletrônica é confiável, portanto, inclusive para quem sabe como fraudar eleições mudando no meio do caminho programas destinados a ela, para que as modificações causem desvios na contagem de votos somados. Fazendo-se as modificações de maneira articulada, como descrito no 1° relatório do CMInd, a fraude pode ficar tanto invisível para o eleitor quanto irrastreável para a vítima.
Que a fraude invisível e irrastreável é assim possível, os indícios nesse contexto não me deixam duvidar. O contexto é o de que a dona desse sistema jamais permite que tais indícios, quando descobertos, sejam extraídos e integrados por interessados de forma a constituirem prova suficiente de irreguaridade no processo de votação, em processos judiciais que cabem a ela mesma julgar. Um registro material de cada voto que permita recontagens para efeito de auditoria do resultado, cuja introdução em nosso sistema já foi tentada duas vezes pelo legislativo, para ser logo sabotada pela justiça eleitoral, mitigaria o potencial de abuso desse bloqueio a meios de prova no processo eleitoral, tornando rastreável as fraudes praticáveis através de softwares desonestos. Sem esse registro material, a lisura do resultado depende totalmentente da honestidade dos softwares, cuja lógica pode ser efêmera e cuja honestidade nunca poderá ser aferida: nem minimamente nesse contexto, nem satisfatoriamente em qualquer outro processo de votação que não permita recontagem, como indicado em respostas anteriormente redirecionadas.
Então, a confiabilidade da urna eletrônica é uma questão relacionada, porém independente, da questão de fundo, que é a da confiabilidade do sistema de votação que as utiliza. A confusão entre essas duas coisas -- confiabilidade da urna, e do sistema de votação -- torna a situação delicada, pois alimenta uma tácita impressão de que o sistema é manipulado por seres sobrenaturais do bem. A propaganda oficial massiva sobre a "segurança das urnas", assim como nos truques ilusionistas, trata uma coisa como se fosse a outra, e isso, numa parcela da população tem o efeito subliminar de transformar essa impressão em crença. E essa crença, infiltrada em doutrinas jurídicas, funda aquilo que chamei de seita do santo byte. Sacerdotes dessa seita, nem todos crentes verdadeiros, agem então para manter tudo como está, como vemos na queda de braço entre os poderes legislativo e judicário: um tentando e outro impedindo que tenhamos registro material do voto no sistema de votação.
No meu entender, a seita do santo byte tem prevalecido na evolução desse sistema de votação porque os efeitos dessa propaganda massiva são ainda mais profundos e nefastos. Essa propaganda adestra eleitores a entender eleição como videogame, o que torna o papel deles no processo de votação totalmente passivo, e assim nossa democracia em um regime tutelado. Mas democracia tutelada é contrassenso. Democracia não funciona sem fiscalização, que deve incluir o processo de votação. Tal fiscalização deve, portanto, começar nos que controlam a votação. Mas a propaganda massiva que confunde segurança da urna com segurança do processo -- e que é paga por quem controla esse processo, com dinheiro arrecadado de quem vota --, programa as pessoas para se acomodarem. Elas passam a achar que fiscalização com tanta tecnologia é coisa para experts, e assim essa tecnologia, pintada como fetiche do bem, funciona também para afastá-los da sua essencial função fiscalizatória.
CB:
7. Vi que o
grupo da UnB participa sempre de uma simulação de
violação de urnas pelo TSE. Como é esse processo?
Ocorre perto de todas as eleições ou é ocasional?
PR: Convém também terminar com alguns esclarescimentos. Não há só um, "o grupo da UnB", envolvido em questões relacionadas à votação informatizada. Há professores da UnB que participam do Comitê Multidisciplinar do TSE, e há outros que participam de sua nêmesis, o Comitê Multidiscipliinar Independente, como é o meu caso. No meu caso, não participo de simulações de violação de urnas, que só são permitidas em testes públicos de segurança, evento insistentemente solicitado por um Partido político desde 2006, mas só organizado por comitê controlado pelo TSE e só realizado em 2009 e 2012. Nem tampouco participo da etapa de fiscalização externa conhecida como análise do código dos programas do sistema, cujo direito se restringe aos últimos seis meses da fase de desenvolvimento do sistema, antes de cada eleição, e aos Partidos políticos, OAB e Mnistério Público. Um dos motivos para que eu não participar de ambos tipos de evento é o compromisso de sigilo, de praxe exigido dos participantes de ambos, cujo efeito considero meramente intimidatório.
Outros motivos para que eu não participe incluem as restrições adicionais que o TSE tem aplicado, discriminatoriamente, contra especialistas que alguém lá considera "perigosos", e a total ineficácia desses eventos para sua suposta ou alegada função fiscalizatória externa. Sobre as razões para se avaliar como nula a eficácia fiscalizatória da análise de código dos programas do sistema, redireciono o leitor para a correspondente resposta no artigo já referido. Para a ineficácia dos testes de segurança organizados por comitês controlados pelo TSE, além dos resultados comparados quanto à evolução do sistema na resposta à pergunta 2 acima, temos detalhes desta organização para examinar.
Apesar da participação externa, esses testes públicos, conforme ocorridos em 2009 e 2012 não foram abertos, no sentido de independentes ou livres. Foram cuidadosamente coreografados com um script de regras rígidas a que teriam que se submeter os "testadores" externos para terem acesso ao ambiente de "testes". A pretexto de excluir o que estaria "fora de escopo" dos testes, essa coreografia suprimiu, na primeira ocorrência, qualquer acesso a código fonte de programas, e em ambas ocorrências, acesso a boa parte do processo, inclusive aos programas encarregados da preparação e da totalização da votação. E essa exclusão suprimiu a eficácia investigatória dos testes o bastante para nos permitir inferir que a coreografia almejava direcionar os resultados para validação da propaganda oficial sobre "segurança das urnas".
Entretanto, nem para isso esses testes foram suficientes: na primeira ocorrência, em 2009, a participação externa acabou se desviando dessa direção, e o teste só ocorreu novamente tres anos depois, em 2012, com uma coreografia mais elaborada. Em 2012, a supressão da eficácia investigatória naquilo que era permitido ficou menos evidente, mas conjugada a um controle mais rígido do acesso pela imprensa aos "testadores". E mesmo assim, em 2012 ocorreu que a participação externa desviou-se ainda mais do resultado almejado pelo script coreográfico, descobrindo e revelando, à margem da censura institucional, que a única medida implementada na urna para proteger o sigilo do voto podia ser facilmente derrotada. Imagino então que o próximo script demorará no mínimo mais um ano para ficar pronto, se ficar.
De qualquer forma, havendo ou não mais testes coreografados para validar publicamente a propaganda oficial sobre "segurança das urnas", minha opinião é de que esses testes são tanto insuficientes quanto também inadequados até para esse fim, independente do nível de rigor do script que restringe a investigação externa. Não existe sistema informatizado que seja ao mesmo tempo útil e infraudável, pois não existe sistema útll que não interaja com fatores humanos, os quais estão sempre expostos ao que há de ruim na natureza humana. A tecnologia em si pode ser moralmente neutra, mas sua utilidade nunca o será. A tecnologia digital utilizada para contagem dos votos serve tanto para agilizar a impedir as antigas formas de se fraudar eleições, quanto para ocultar das vítimas as possíveis novas formas de se fraudá-las com ela, enquanto concentra o controle dessa possibilidade nos que manipulam o sistema com suficiente conhecimento.
Doutra feita, embora eu não participe desses eventos por questões de princípio e de coerência, já que avalio como nula a eficácia de sua declarada ou suposta função fiscalizatória externa, e como real o efeito intimidatório do compromisso de sigilo via de regra exigido, estou sempre pronto a colaborar com quem esteja disposto a correr o risco de sofrer as consequências legais desse efeito, em troca do benefício social de desvelar essa ineficácia, a partir dos desdobramentos de sua participação nesses eventos. Assim tem sido o caso com outros membros do CMInd. Ainda, devido ao fato de viver em Brasília e lecionar na UnB, as chances dessa colaboração ocorrer com novos interessados são maiores com alunos e ex-alunos que tenham percebido valor na abordagem que compartilho para a difícil arte da segurança computacional. Como foi o caso em 2012 com o professor Diego Aranha, hoje na Unicamp, e em 2014 com o ainda aluno Gabriel Gaspar, este não menos brilhante que o primeiro.
Pedro Antonio Dourado de Rezende
Professor concursado no Departamento de Ciência da Computação da Universidade de Brasília, Brasil. Advanced to Candidacy a PhD pela Universidade da California em Berkeley, onde teve sua pretensa tese de doutorado recusada em 1983. Membro do Conselho do Instituto Brasileiro de Política e Direito de Informática, ex-membro do Conselho da Fundação Software Livre América Latina, e do Comitê Gestor da Infraestrutura de Chaves Públicas Brasileira (ICP-BR), entre junho de 2003 e fevereiro de 2006, como representante da Sociedade Civil. http://www.pedro.jmrezende.com.br/sd.php
Direitos de Autoria
Pedro A D Rezende, 2014:
Consoante anuência da entrevistadora, este
artigo é publicado pelo entrevistado sob a licença
disponível em http://creativecommons.org/licenses/by-nc/2.5/br/