“As naves da NASA falham ao vivo pela TV. As urnas do Brasil são invioláveis e não tem erros. O TSE é, portanto, melhor que a NASA.”
- Vicier Fiktive

A urna eletrônica é muito melhor que a cédula de papel. Disso não há dúvida. É mais complicado fraudar um aparato digital bem construido, e o conhecimento para tal empreitada é caro e de difícil acesso, não é pra qualquer um fraudar uma urna eletrônica. Além disso a eleição eletrônica continua tendo toda a segurança da eleição tradicional: polícia, fiscais, e por aí vai. A urna moderna só fez dificultar a fraude.

Mas é preciso lembrar que o TSE exagera, e muito, quando diz que a urna eletrônica é “inviolável”. É óbvio que é necessário “marketar” a idéia de voto eletrônico, portanto não veremos alguém do TSE falando, abertamente, das vulnerabilidades encontradas durante testes das urnas eletrônicas. Entretanto, não é preciso utilizar-se de exageros e retórica fantasiosa pra justificar o uso das urnas digitais. A urna digital é melhor, mais barata, mais rápida e mais segura que a cédula de papel – e ponto final.

Mas a urna eletrônica é cheia de problemas, como são todos os computadores. As urnas não são super-máquinas, são computadores como outros quaisquer, construidos utilizando componentes de computadores caseiros. Os computadores da NASA falham, e às vezes causam desastres que custam vidas. As urnas do TSE não?

O TSE anuncia um orçamento de 200 milhões de Reais para segurança eleitoral, valor que equivale a cerca de 90 milhões de dólares pelo câmbio atual. O orçamento requisitado pela NASA ao congresso dos EUA para 2007 é de U$ 1.61 bilhão e, mesmo assim, os computadores da NASA falham. Eles falham lá encima, no ceu, às vezes chocando o mundo, ao vivo pela TV.

E as urnas do TSE? “Elas não falham. São 100% seguras. Há fiscais observando. Há criptografia.”

Nos EUA, o “país do computador”, o voto eletrônico não foi aceito em diversos condados porque o sistema de lá é falho, inseguro e os computadores apresentam uma série de problemas. Não que as eleições de lá sejam as mais perfeitas que as nossas(em 2000 vimos, claramente, o contrário). Talvez, até, nosso processo eleitoral, através do voto direto, seja mais democrático que o Americano. Mas é preciso termos a humildade de assumir que a segurança das urnas tem sido exagerada, e muito, pelas nossas autoridades eleitorais.

Há um documento bastante conhecido no mundo da segurança digital, chamado “Orange Book”. A publicação faz parte de um conjunto de manuais cuja leitura é essencial para qualquer expert em segurança.

Cada volume possui uma cor, e o conjunto é conhecido informalmente por “livros arco-iris”(rainbow books).

O nome formal do livro de cor laranja é “DoD 5200.28-STD” – ou “Department of Defense Trusted Computer System Evaluation Criteria”. DoD sendo, no caso, o departamento de defesa dos EUA.

O livro laranja especifica 4 graus de certificação da proteção a dados em aparelhos digitais. Eles variam do padrão mínimo tipo “D”, ao máximo “A”. O grau D é análogo ao padrão de segurança de computadores caseiros, onde não é preciso ter qualquer paranoia no armazenamento e segurança dos dados.

O nível C é o mais difundido no mundo corporativo e indústria, de um modo geral. É este o padrão aplicado a computadores de uso diário do Pentágono. Indústrias também o adotam como referência para computadores de uso corriqueiro. Trata-se de um padrão bastante relaxado, permitindo flexibilidade no uso do equipamento.

A meta do sistema Windows NT 4.0 da Microsoft, em termos de segurança, era atingir certificação nível C2, de modo que fosse candidato a ser adotado nos sistemas de uso diário no Pentágono. Mesmo tendo obtido tal diploma, todos conhecemos inúmeras histórias de falhas de segurança do Windows NT 4.0. Um detalhe curioso foi responsável pela certificação do OS da Microsoft: o sistema é considerado “seguro”, desde que o PC não possua hardware para mídia removível como CD-ROM, DVD, pendrive USB, disquete e outros.

Chegamos, enfim, à comparação com a urna eletrônica do TSE.

O equipamento de votação Brasileiro utiliza sistema Windows CE, e possui 2 slots para cartões flash, conector para “outros terminais de eleitor”, drive de disquetes, 2 conectores USB, conector para fone de ouvido, conector para teclado Ps/2 e, finalmente, conector para impressora.

Segundo o relatório da Unicamp, realizado em 2000, todos esses conectores encontram-se acessíveis na parte externa da urna.

Devo mencionar que todos os acessos a dispositivos externos, exceto o teclado para votação, são lacrados após o carregamento do software, e não podem ser acessados durante o pleito. Apesar disso a urna pode ser ligada a 2 outros terminais que podem armazenar os “dados mestre” em seções com grande quantidade de eleitores. São, portanto, dispositivos ligados em rede.

Tudo indica que as urnas eletrônicas poderiam passar, raspando, na certificação nível C2, utilizada nos PC’s do Pentagono. Tais máquinas são equipamentos de uso diário por seus funcionários, de maneira alguma empregadas em aplicações de segurança elevada.

Bruce Schneier, autoridade mundial em criptografia e segurança de dados, afirma que alguns sistemas de votação chegam a possuir uma taxa de erro de até 5%. Ou seja, 1 em cada 20 eleitores tem seu voto registrado de forma equivocada.

Para compreender a razão dessa estatística, é preciso estar convencido que todos os programas de computador podem possuir bugs. Essa é uma afirmação aparentemente óbvia, mas não é.

Programadores criam um programa que apenas imprime “Hello World” na tela, e acreditam que esse programa é “seguro” porque não dá qualquer abertura para o eventual malfeitor. A surpresa fica por conta do fato de que, além deste ser um programa inútil, ele continua sendo inseguro.

Todo software pode possuir erros, pois determinar se um software é 100% perfeito é um problema não computável.

As bibliotecas de funções que transportam a cadeia de caracteres “Hello World” para a tela de seu computador já foram diagnosticadas com centenas, milhares de falhas. A todo momento uma nova falha é descoberta, e muitas delas tardam para serem resolvidas. Muitos desses projetos dependem do tempo livre de entusiastas, e sua manutenção é um trabalho secundário para esses profissionais.

Soma-se o fato de que nem todos os usuários aplicam as atualizações necessárias para cobrir os problemas de segurança. O resultado? Programas defeituosos, e falhas de segurança por toda parte. A pandemia permanente de virus de computadores é prova disso.

Nesse contexto, Bruce Schneier argumenta que, na corrida para obter sistemas de votos mais rápidos e seguros, foi necessário abrir mão da precisão de tais sistemas para atender à demanda popular por resultados imediatos nas eleições.

Em corridas eleitorais disputadas, com resultados próximos, como a de Al Gore e George Bush em 2000, é praticamente obrigatório efetuar-se uma recontagem de votos. No sistema brasileiro é impossível recontar os votos, pois não temos nada para recontar – o voto aqui não é impresso.

Para ser sincer, na minha opinião beira uma realidade de George Orwell. Confiamos no TSE e nos seus 200 milhões de Reais investidos anualmente em segurança.

Em outro artigo mencionamos que a NASA gasta U$1.61 bilhão anuais, e mesmo assim sistemas da agência espacial falham.

Schneier cita que, em 2003, na Virginia(estado próximo à capital dos EUA) um problema no software das urnas eletronicas subtraía sistematicamente 100 votos de um candidato. Foi necessária uma recontagem manual das cédulas impressas.

Em 2000, urna eletrônica na Flórida deu a Al Gore o total de 16022 votos NEGATIVOS.

Em 2003, Boone County (Iowa, EUA), uma urna eletrônica gerou relatório com o total de 140.000 votos. O condado tem menos de 25.000 eleitores válidos.

Os erros não são iguais para todos os candidatos. Aparentemente, um candidato é sempre beneficiado, o que deveria despertar a desconfiança dos eleitores. Se o erro fosse igualmente distribuído para todos os candidatos, a eleição refletiria a intenção do eleitorado, e seria válida, legítima. Acontece que bugs de sistema sempre beneficiam um candidato. Raramente o erro é homogeneamente distribuído entre candidatos de modo a permitir uma eleição justa.

Schneier prossegue: Se os caixas eletrônicos são seguros e funcionam(mesmo sabendo que podem ter bugs, porque sabemos que todo software pode ter bugs) então por que urnas eletrônicas não funcionariam??? A resposta é simples, e nos leva ao próximo problema : anonimidade.

Os sistemas financeiros tem problemas todos os dias, todos tem bugs, porque são apenas programas comuns rodando em computadores quase comuns. E todos os computadores e programas podem ter falhas.

Os problemas em caixas eletrônicos são fáceis de resolver porque o usuário não é anônimo, há câmeras e é fácil chegar a uma solução. Se houver um valor subtraido incorretamente de uma conta bancária, é fácil reverter a transação, pois podemos identificar o correntista. Já as urnas eletrônicas são sistemas de votação, teoricamente, anônimos… Se der um enorme problema é impossível(em teoría) conhecer a intenção original do eleitor.

A eleição deve medir a intenção dos eleitores, e nosso sistema brasileiro, em caso de falha, torna isso impossível.

Com sugestão para solucionar os problemas dos sistemas de urnas eletrônicas, Schneier conclui: é preciso ter uma cópia impressa de todos os votos. E o software deve ser público e estudado por todos, inclusive por eventuais malfeitores. Por que? Porque isso aumenta a probabilidade dos erros serem encontrados a priori. Não devemos empregar a velha e perigosa tática da “segurança por obscuridade” onde temos uma impressão de estarmos seguros por escondermos um segredo do software.

Deveria haver um link para download o código fonte das urnas diretamente no site do TSE.

Dificultar o acesso ao software não aumenta a segurança do processo, isso é provado todos os dias quando o Windows se mostra muito mais inseguro que sistemas 100% abertos e públicos como OpenBSD.

Leia mais: Artigo de Bruce Schneier, traduzido pelo Google

O JB publicou, dia 17/7 (página D4 da versão impressa), críticas às urnas eletrônicas feitas pelo professor Pedro Rezende, de Ciências Políticas da UnB. O JB publicou também as respostas do TSE a cada questionamento. Vou reproduzir aqui algumas das respostas do TSE, somando meus comentários após cada resposta.

Pergunta: Por que as urnas não imprimem os votos?

Resposta do TSE: “Fazemos tudo de acordo com a legislação. A lei de 2003 que previa a impressão foi invalidada porque o procedimento atrasava a totalização. Além disso, a impressão não garante a correspondência com os votos registrados pela máquina.”

Comentário do blog: Se a impressão não garantir a correspondência entre os votos impressos e aqueles registrados pela máquina, então há algo errado com o sistema. Quanto a atrasar a totalização, na minha opinião o importante é contar corretamente os votos e não bater o recorde mundial de velocidade na contagem de votos.

Pergunta: Mesmo que os partidos possam examinar o código-fonte dos programas que constituiriam o software do sistema eleitoral, se não puderem saber, por meios próprios, se tais programas são exatamente os mesmos usados nos computadores durante a eleição, todo o esforço fiscalizatório equivale a um mero ato lúdico.

Resposta do TSE: A transparência do processo é garantida por meio da fiscalização dos partidos. Geramos um resumo digital e os fiscais recebem assinatura digital para verificar se o tamanho do arquivo apresentado durante a lacração das urnas é o mesmo usado no sufrágio e na totalização. Todos os arquivos são criptografados.

Comentário do blog: É muito difícil de se fiscalizar e auditar código-fonte de qualquer espécie. A tarefa requer avançado conhecimento técnico e muito tempo de estudo do código em questão.

Pergunta: Enquanto os países maduros em democracia buscam a informatização eleitoral de forma a permitir ao eleitor verificar, por sí mesmo, a correta tabulação do seu voto, o Brasil vai na contramão com o agente responsável tentando suprimir qualquer possibilidade de conferência ou recontagem dos resultados.

Resposta do TSE: Nunca ouve impugnação séria nos dez anos de urnas eletrônicas. A garantia de que o sistema eletrônico é seguro é a mesma que temos de que nosso dinheiro está no banco, mas ninguém questiona o banco.

Comentário do blog: É impossivel haver impugnação, pois não há como recontar os votos para questionar o resultado.

Pergunta: Se o voto é secreto, por que o eleitor precisa digitar o número do título?

Resposta do TSE: O número garante que a pessoa só votará uma vez. Os dados ficam armazenados em uma matriz aleatória de acordo com a hora e sessão, mas não é possível identificar o eleitor.

Comentário do blog: O comprovante de voto não é retirado do livro de registro da seção? A máquina faz um distinto ruído ao completar o voto. Se todos os mesários de uma seção fossem coniventes com uma eventual fraude, onde estariam os fiscais dos partidos nessa hora?

No momento em que votamos, o mesário remove do livro de eleitores daquela seção o comprovante de votação de modo que a pessoa não possa votar 2 vezes.
O eleitor, inclusive, leva este comprovante consigo, como prova de que votou.

Se o controle de quem já votou é efetuado através da retirada deste comprovante, por que o mesário ainda digita seu título de eleitor na urna eletrônica para autorizar o voto?