Você acredita que a população confia na urna eletrônica do TSE?
Entrevista a Michele Mendes
Para matéria na revista do curso de Jornalismo na UCB
Prof. Pedro Antonio Dourado de Rezende
Departamento de Ciência da Computação
Universidade de Brasília
03 de outubro de 2014
Michele Mendes: 1. O método de teste do TSE é eficiente para averiguar problemas no sistema de segurança e armazenamento? É possível ter fraude em sua opinião?
Pedro Rezende: Todo programador deve testar os programas que escreve, no ambiente onde esse programa deve rodar para cumprir sua função. Devemos então supor que o método de teste do TSE inclua esses testes internos. Porém, em sistemas complexos, principalmente aqueles cujo funcionamento afeta mais de dois polos de interesse potencialmente conflitantes -- como é o caso de um sistema informatizado de eleições -- isso está longe de ser suficiente para todos. Supondo então que a pergunta se refira àquilo que o TSE tem chamado de testes públicos de segurança da urna eletrônica, realizados apenas em 2009 e 2012, esses também estão longe de suficientes, segundo os meus conceitos de democracia e segurança computacional.
Apesar da participação externa, os testes públicos permitidos em 2009 e 2012 não foram abertos, no sentido de independentes ou livres. Foram cuidadosamente coreografados com um script de regras rígidas a que teriam que se submeter os "testadores" externos, para terem acesso ao ambiente de "testes". A pretexto de excluir o que estaria "fora de escopo" dos testes, essa coreografia suprimiu, por exemplo, acesso a boa parte do processo, inclusive aos programas encarregados da preparação e da totalização da votação. E essa exclusão suprimiu a eficácia investigatória dos testes o bastante para nos permitir inferir que a coreografia almejava direcionar os resultados para validação da propaganda oficial sobre "segurança das urnas".
E nem para isso esses testes foram suficientes. No primeiro deles, em 2009, a participação externa acabou se desviando dessa direção, e o teste seguinte só ocorreu tres anos depois, com uma coreografia mais elaborada. No teste de 2012 a supressão da eficácia investigatória naquilo que era permitido ficou menos evidente, conjugado a um controle mais rígido do acesso pela imprensa aos "testadores". Mas mesmo assim, no teste de 2012 ocorreu que a participação externa desviou-se ainda mais do resultado almejado pelo script coreográfico, descobrindo e revelando, à margem da censura institucional, que a única medida implementada no sistema para proteger o sigilo do voto podia ser facilmente derrotada. Imagino então que o próximo script demorará no mínimo mais um ano para ficar pronto, se ficar.
De qualquer forma, havendo ou não mais testes coreografados para validar publicamente a propaganda oficial sobre "segurança das urnas", minha opinião é de que esses testes são tanto insuficientes quanto também inadequados até para esse fim, independente do nível de rigor do script que restringe a investigação externa. Não existe sistema informatizado que seja ao mesmo tempo útil e infraudável, pois não existe sistema útll que não interaja com fatores humanos, os quais estão sempre expostos ao que há de ruim na natureza humana. A tecnologia em si pode ser moralmente neutra, mas sua utilidade nunca o será. A tecnologia digital utilizada para contagem dos votos serve tanto para agilizar a impedir as antigas formas de se fraudar eleições, quanto para ocultar das vítimas as possíveis novas formas de se fraudá-las com ela, enquanto concentra o controle dessa possibilidade nos que manipulam o sistema com suficiente conhecimento.
MM: 2. Você acredita que a população confia na urna eletrônica mesmo não tendo um comprovante do voto? Se não, o que deveria ser feito para melhora-la?
PR: O que as pesquisas de opinião tem mostrado, até aqui, é que a população confia na urna eletrônica, embora essas pesquisas não tenham como sondar as razões por trás dessa opinião. Acredito que boa parte da população diz confiar na urna porque, intuitivamente, a urna eletrônica é mesmo confiável. Mas confiável no sentido em que ela é apenas uma máquina programável, que se comporta conforme é programada. Ou seja, ela é confiável no sentido estrito de que se nela entra software honesto, sai eleição limpa, e se entra software desonesto, sai eleição fraudada. Ela é confiável, portanto, inclusive para quem sabe como fraudar eleições mudando no meio do caminho programas destinados a ela, para que as modificações causem desvios na contagem de votos somados. Fazendo-se as modificações de maneira articulada, como descrito no 1° relatório do CMInd, a fraude pode ficar tanto invisível para o eleitor quanto irrastreável para a vítima.
Que a fraude invisível e irrastreável é assim possível, os indícios nesse contexto não me deixam duvidar. O contexto é o de que a dona desse sistema jamais permite que tais indícios, quando descobertos, sejam extraídos e integrados por interessados de forma a constituirem prova suficiente de irreguaridade no processo de votação, em processos judiciais que cabem a ela mesma julgar. O que sua pergunta chama de comprovante seria, em geral, um registro material de cada voto que permita recontagens para efeito de auditoria do resultado, o que torna rastreável as fraudes praticáveis através de softwares desonestos. Sem esse registro material, a lisura do resultado depende totalmentente da honestidade dos softwares, cuja lógica pode ser efêmera e cuja honestidade nunca poderá ser aferida: nem minimamente nesse contexto, nem satisfatoriamente em qualquer outro processo de votação que não permita recontagem.
Então, a confiabilidade da urna eletrônica é uma questão relacionada, porém independente, da questão de fundo, que é a da confiabilidade do sistema de votação que as utiliza. A confusão entre essas duas coisas -- confiabilidade da urna, e do sistema de votação --, comum em nossa população, torna a situação delicada, pois alimenta uma tácita impressão de que o sistema é manipulado por seres sobrenaturais do bem. A propaganda oficial massiva sobre a "segurança das urnas", assim como nos truques ilusionistas, trata uma coisa como se fosse a outra, e isso, numa parcela da população tem o efeito subliminar de transformar essa impressão em crença. E essa crença, infiltrada em doutrinas jurídicas, funda aquilo que chamei de seita do santo byte. Sacerdotes dessa seita, nem todos crentes verdadeiros, agem então para manter tudo como está, como vemos na queda de braço entre os poderes legislativo e judicário: um tentando e outro impedindo que tenhamos registro material do voto no sistema de votação.
No meu entender, a seita do santo byte tem prevalecido na evolução desse sistema de votação porque os efeitos dessa propaganda massiva são ainda mais profundos e nefastos. Essa propaganda adestra eleitores a entender eleição como videogame, o que torna o papel deles no processo de votação totalmente passivo, e assim a democracia em um regime tutelado. Mas democracia tutelada é contrassenso. Democracia não funciona sem fiscalização, que deve incluir o processo de votação. Tal fiscalização deve, portanto, começar nos que controlam a votação. Mas a propaganda massiva que confunde segurança da urna com segurança do processo -- e que é paga por quem controla esse processo --, programa as pessoas para se acomodarem. Elas passam a achar que fiscalização com tanta tecnologia é coisa para experts, e assim essa tecnologia, pintada como fetiche do bem, funciona também para afastá-los da sua essencial função fiscalizatória.
Afastá-los a ponto da empresa privada que tem recebido, por vários anos sem licitação, a tafera de desenvolver e operar o subsistema de segurança da instalação de software e dados nas urnas e computadores usados em eleições, manter nele um programa -- o Inserator -- que só é acionável pelo teclado e que permite a falsificação de assinaturas digitais em softwares instalados (como ocorrido em Londrina em 2012, o que facilita fraudes invisíveis e irrastreáveis), e do TSE ter decidido, quando peticionado por providências contra essa e outras vulnerabilidades descobertas pelos técnicos do PDT que analisaram o código fonte do sistema em setembro deste ano, apenas desqualificar a advogada que representava o PDT e sua petição, atropelando o devido processo legal. E de nada disso repercutir.
Então, a melhor resposta para a segunda parte de sua pergunta é outra pergunta. Melhorar o quê? "Melhorar" a urna nesse contexto, com identificação biométrica por exemplo, é distração inócua que só contribui para prolongar o nefasto jogo midiático-publicitário de truques ilusionistas possíveis com a confusão entre segurança do processo de votação e "segurança da urna." A única alternativa possível para sair dessa situação, que poderia melhorar a nossa democracia em minha opinião, é o eleitor melhorar sua atitude em relação a qual deve ser o seu verdadeiro papel no fluxo vital de um regime democrático sadio. Afastando-se, por exemplo, da atitude comum e cínica de achar-se justificado em sua inação fiscalizatória, ou de achar justificada uma eventual ação fraudatória, em vista da política partidária ou nenhum candidato merecer seu esforço fiscalizatório em favor de um processo de votação honesto. E afastando também, ao mesmo tempo, de suas crenças as lorotas da seita do santo byte.
MM: 3. Quais os motivos em sua opinião que países como Estados Unidos e Reino Unido não utilizam o sistema da urna eletrônica?
PR: Discorri sobre isso em recente entrevista ao portal UOL, que o leitor pode consultar e replicar a partir da publicação com licença permissiva em meu portal.
MM: 4. É verdade que o modelo utilizado no Brasil foi deixado de ser usado em outros países? Quais? Por quais motivos? Os modelos dos outros países seriam mais seguros que o brasileiro?
PR: Discorri também sobre isso na citada a entrevista ao portal UOL. Mais precisamente, esta e a anterior, respondendo a perguntas semelhantes (respostas 3 e 4).
MM: 5.O senhor acredita que o TSE erra em fazer os testes das urnas dentro de seus padrões ? Não seria mais eficiente fazer com que outros pesquisadores à estudem e busquem os erros?
PR: A resposta depende, por óbvio, de quais são os reais objetivos do TSE, como dono e senhor do sistema de votação utilizado no Brasil. A maneira como o tribunal vem interferindo no processo legislativo que enquadra esses objetivos, e como essa interferência pode ser interpretada, foi objeto da resposta 8 na entrevista citada acima. E o restante da resposta a esta sua pergunta, na resposta 6 da mesma.
MM: 6. O senhor apoia o uso da urna eletrônica nas condições de hoje?
PR: Não nas condições de hoje. Tanto que para ser coerente não voto nelas, mas justifico meu não-voto em viagem.
MM: 7. O que seria necessário para corromper o sistema da urna?
PR: É necessário alterar a contagem dos votos em algum dos pontos em que essa contagem ocorre. Neste ano a fiscalização dos programas do sistema de votação, que só é permitida aos partidos, OAB e Minsitério Púbiico, só foi exercida pelo PDT, que descobriu entre os 90 mil programas do sistema o programa chamado Inserator, citado na resposta à sua pergunta 2 acima. Para mais detalhes sobre como esse programa, e as demais vulnerabilidades descobertas pelos técnicos do PDT que examinaram o código fonte do sistema este ano, estão descritas em outra entrevista, publicada nos mesmos termos, concedida a um jornalista da revista INFO. Para uma descrição mais completa das demais formas possíveis de se corromper o sistema de votação do TSE com vistas à prática de fraude eleitoral, inclusive com indícios de onde podem ter ocorrido em eleições oficiais anteriores, sugiro a leitura do já citado 1° Relatório do CMInd (Comitẽ Multidisciplinar Independente), do qual faço parte.
Pedro Antonio Dourado de Rezende
Professor concursado no Departamento de Ciência da Computação da Universidade de Brasília, Brasil. Advanced to Candidacy a PhD pela Universidade da California em Berkeley, onde teve sua pretensa tese de doutorado recusada em 1983. Membro do Conselho do Instituto Brasileiro de Política e Direito de Informática, ex-membro do Conselho da Fundação Software Livre América Latina, e do Comitê Gestor da Infraestrutura de Chaves Públicas Brasileira (ICP-BR), entre junho de 2003 e fevereiro de 2006, como representante da Sociedade Civil. http://www.pedro.jmrezende.com.br/sd.php
Direitos de Autoria
Pedro A D Rezende, 2014:
Consoante anuência da entrevistadora, este artigo é publicado pelo entrevistado sob a licença disponível em http://creativecommons.org/licenses/by-nc/2.5/br/