Não está fácil… Faculdade chegando ao fim, projeto do Trabalho de Conclusão (TC) em andamento, várias bibliografias para consultar, preocupações e ocupações com as matérias que, neste semestre, são em sete (isso mesmo: sete) …
E, por incrível que pareça, ainda trabalho pra viver. Significa que “tempo” é o commodity mais caro e mais escasso na minha vida. Já era, antes. Está pior, agora.
Todavia… Todavia… Há certos temas que não podem passar sem um comentário e este, então, não pode ficar sem comentário por tripla obrigação:
Primeiro, porque Direito Constitucional e Eleitoral são temas caros a mim, ao motivo de eu ter feito faculdade em primeiro lugar, e totalmente correlatos ao meu tema de TC.
Segundo, porque “urna eletrônica” tem forte ligação com minha formação superior original (qual seja: informática).
Terceiro, porque estão forçando a amizade para demonizar e minar essa ferramenta, de modo a desacreditar todo o processo eleitoral e (por consequência) democrático, num golpismo típico e do jeito que o atual presidente gosta. Os ataques não são gratuitos, tampouco espontâneos. Visam pôr dúvida se o resultado de 2022 será legitimo para que o aloprado fascista possa causar pânico e caos ao fim de outubro do ano que vem.
Permitir que absurdos e descalabros sigam sendo manifestados, porcamente, seja por ignorância ou má intenção de quem fala é incorrer no “Silêncio dos bons” do Doutor Martin Luther King…
Portanto, mesmo sem tempo (mais do que sempre), por uma questão moral, cidadã, de consciência… Aqui estou (mais um dia, sobre o olhar[…]) …
Espero que este texto esclareça algo pra você. Mesmo que seja do tipo “ainda não confio, mas, agora, pelas razões técnicas e certas”.
As benditas urnas
As urnas eletrônicas debutaram no Brasil em 1996 (eleições municipais). Tornaram-se o meio oficial de votação para todo o território em 2000 e, desde então, são o meio mais frequente de registro do voto, embora ainda haja a urna de papel quando uma urna eletrônica falha e não há correção viável. As definições sobre como a urna eletrônica será utilizada podem, em parte, ser encontradas na Lei 9.504/1997 (Lei das eleições), especialmente, do artigo 59 em diante.
Por mais que algumas pessoas ainda considerem “apressado” utilizarmos um sistema de contabilização de votos diferente daquele baseado em papel (seja porque o país tal não usa, seja porque o Brasil não é seguro para aplicar tal tecnologia e daí por diante), o Código Eleitoral (Lei 4.737 de 1965) já previa, em seu artigo 152, o uso de “máquinas de votar”. Obviamente, é razoável supor que se pensava em máquinas de perfuração de cartões, preenchimento da cédula automatizado e por aí vai, e não exatamente em um computador eletrônico destinado a isso – até porque não era uma realidade. Mas, o que me faz comentar isso é que nossa sociedade não pareceu particularmente incomodada com a ideia de máquinas mecânicas preenchendo a cédula. Ao que parece, o problema maior é o fato de não “vermos a cédula” no modelo atual… Mas, vamos devagar…
Sendo mais técnico (eu sei que você contava com isso), “urna eletrônica” é um termo popularizado, mas impreciso.
No mundo “urnesco”, a maquininha utilizada no Brasil é chamada de “máquina de votos DRE” (Ou “CVE” – coletor de votos eletrônico – em português). DRE significando “Direct Recording Eletronic”. Ou seja, o nome técnico da urna eletrônica é “máquina de voto com gravação eletrônica direta” (em tradução livre).
As “máquinas DRE puras”, dentro dos sistemas eletrônicos de voto (porque há máquinas de votação mecânicas, por exemplo), são classificadas como máquinas de votação de primeira geração.
Depois, há máquinas que usam o VVPAT (“Voter Verifiable Paper Audit Trail”) ou “Papel verificável do eleitor com trilha auditável” (em tradução livre). Essas são classificadas como máquinas de segunda geração. Outra sigla que pode surgir é a IVVR (que significa “independent voter-verifiable record”, ou “registro independente verificável pelo eleitor” [tradução livre]).
Quando falamos nessa segunda geração, na prática, ou a máquina VVPAT computa o voto eletronicamente (igualzinho ao nosso sistema atual), mas antes de computar, imprime as escolhas do voto por um sistema independente do principal para que o eleitor possa confirmar o que a urna eletrônica irá computar (o eleitor não toca na cédula, só vê) e então, o eleitor confirma o voto, o sistema deposita em uma urna tradicional (que servirá como forma adicional de auditoria) e o eleitor vai ser feliz. No segundo modelo, o IVVR – o eleitor registra seu voto na urna eletrônica, esta computa (na hora) e já imprime uma via física (sem prévia conferência) para depósito em urna tradicional, e que será usada em auditoria aos resultados encontrados no sistema eletrônico IVVR. A diferença entre VVPAT e IVVR, então, reside em se o sistema imprime, confirma e computa, ou computa e imprime (não é tão simples assim, se você ler as referências, mas vamos em frente porque a ideia é ser claro e não complicar o que já é turvo para muita gente).
Há outra penca de tecnologias (scanners ópticos [como os da Mega Sena], joysticks para a seleção do candidato e a confirmação da foto [como num videogame], perfuração de cartão, cédula eletrônica [você “escreve” nela, como numa tela de tablet], e híbridos de tudo isso), variando de sistemas totalmente mecânicos a protocolos online (transmissão em tempo real). Não poderia passar por todos eles. Mas DRE, com e sem IVVR ou VVPAT são os típicos sistemas na discussão mundial.
Talvez, a primeira bobagem a se combater e que os celulares (smartphones), carros e outras tecnologias devem ter incutido em nós é automaticamente significar que “de primeira geração” é necessariamente pior que “de segunda” ou “terceira geração”.
Deixe-me compartilhar um exemplo de como isso não é sempre uma verdade incontestável: Os roteadores Wi-Fi banda AC (frequência de 5GHz – até 1.2Gbps de velocidade) têm performance superior aos modelos N (2.4GHz – 150~450Mbps) e são mais novos, mais caros e mais complexos. Ocorre, porém, que em estruturas prediais com muito concreto, muitos vidros com blindagem para raios UV etc., roteadores AC não alcançam o que roteadores N alcançam em termos de cobertura e estabilidade. Agora, você pode ficar tentado a dizer “eu sempre prefiro velocidade ao alcance”, mas, para consumir sua internet fibra de 50Mbps, você prefere uma sólida conexão N de, no mínimo, 150Mbps, ou uma conexão capenga de 1.2Gbps que falha o tempo todo? Eu sei a resposta que me agrada mais.
É claro que antibióticos de 5ª geração são mais eficientes e causam menos colaterais que antibióticos de 1ª geração. Também é claro que processadores de 7ª geração fazem mais e são mais rápidos do que aqueles de 3ª geração. Não quero maquilar a realidade. O que quero é que você, como “arquiteto(a) de sistemas” entenda o sentido de “adequação da tecnologia ao propósito”. No mundo da tecnologia, as coisas sempre podem ser mais caras e mais complexas. Sempre. Cabe ao sujeito (ou sujeita – hehehe…) informado(a) escolher aquilo que, dentro de seu orçamento e requisito, melhor atende ao propósito de aplicação a que se destina.
Falamos disso, aqui… Se perguntarem ao cidadão com medo da violência sobre o que ele quer, ele dirá que quer um tanque de guerra na rua da casa dele, 24h por dia. A pergunta que pessoas racionais devem fazer é “vale o investimento?”. Por que pagar R$15.000,00 (quinze mil reais) em um notebook gamer, de presente, se sua mãe só quer mesmo acessar o Facebook (e ler fake news)?
Enfim, não quero me estender demais. O que quero deixar claro é: máquinas de votação (as populares urnas eletrônicas) DRE são uma realidade antiga (portanto, razoavelmente consolidada), com uso inicial na Índia, em 1990, e na Holanda, em 1991, chegando ao Brasil em 1996, e sendo o padrão a partir dos anos 2000 por aqui. Há outras tecnologias, mais complexas, mais caras, mais isso e mais aquilo. Resta saber se precisamos disso e qual é o objetivo. Não vale dizer “porque é mais seguro”. É preciso apontar onde está a insegurança no caso concreto, sem recorrer a hipóteses sem fundamento, mas com provas reais, hoje.
Como fontes desta seção, eu poderia lhe apontar o (bem-intencionado, mas cheio de links quebrados [me ajuda aí, TSE!]) site do TSE (Tribunal Superior Eleitoral) sobre as nossas urnas, ou o artigo em português da Wikipedia, mas eu sei que se você é um(a) paranoico(a), você só vai confiar em fontes externas ao Brasil. De preferência, em inglês, não é mesmo? Claro… Então, aqui (Verified Voting – Equipment database) está uma fonte de consulta para tudo o que eu disse nesta seção, feita toda em inglês para você levar a sério. Se uma fonte em inglês não basta, tome este glossário (Carnegie Mellon University), também em inglês. Boa leitura.
Portanto, nossas máquinas de votação DRE (as “urnas eletrônicas” ou “CVE”) não são uma realidade inventada pelos maliciosos brasileiros, sempre cheios de artimanhas e ardis, sendo tais máquinas odiadas e inaceitáveis no resto do mundo civilizado. O que nos leva à próxima seção.
Só o Brasil usa urnas eletrônicas. Se os Estados Unidos não usam é porque não é seguro…
Quando as pessoas decidem falar bobagens, raramente elas conseguem parar na primeira… É uma compulsão. Você tem que falar algo completamente desprovido de sustentação e, aí, num ímpeto de não controlar a própria língua, é preciso – por razões que jamais compreenderei – que você dobre a aposta. É assim com 99.9% dos “especialistas” comentando na Internet. Não é diferente com os detratores da urna eletrônica.
Não há bobagem MAIOR do que dizer que só o Brasil “caiu na mentira de urnas eletrônicas”. Por aí, andam dizendo que só o Brasil, Cuba e Venezuela confiam no sistema. Mais bobagem. Mais cota no “tempo de palanque para lunático” consumida.
Atualmente, pelo menos 40 (quarenta) países utilizam algum tipo de tecnologia eletrônica em votações para cargos eletivos (às vezes nacionais, às vezes regionais).
“Mas e o DRE?! Quem usa?”… Bem, 17 (dezessete) países utilizam sistemas eletrônicos de votação, com ou sem IVVR/VVPAT (com ou sem leitura óptica). Entram na lista: Canadá, Japão, França e Suíça…. Sim… Que coisa né… Devem ser países de democracia muito frágil, dado o uso dessa tecnologia…
A outra parte dessa questão é “se as máquinas produzidas no Brasil são tão seguras, por que ninguém compra de nós?”. Aqui, o problema é diverso em possibilidades. Via de regra, qualquer país capaz de produzir tecnologia preferirá produzir “em casa” um sistema que decide quem será o presidente do país por 4 ou 5 anos, do que comprar esse sistema de outra nação. Esse conceito se chama “não fique na mão de outra nação”. As possibilidades vão além: Pode ser que com a carga de tributos, as máquinas brasileiras sejam muito caras, pode ser que não tenhamos sido muito bons em vender nosso produto lá fora (tivemos dificuldade de emplacar a máquina no Mercosul, em um punhado de oportunidades), e pode ser que a população de lá seja tão teimosa quanto a daqui; ao ler que os brasileiros não confiam na máquina DRE feita no Brasil, por que eles confiariam?
Aí, vem a bobagem suprema: “Os EUA não usam! Logo, é inseguro!”. Amiguinho(a)… Os EUA podem ter muitos motivos pra se orgulhar na recente história da tecnologia e da democracia. Mas se tem uma coisa que os EUA precisam colocar o rabo entre as pernas e voltar pra casinha fazendo “caim! caim!”, essa coisa se chama “sistema eleitoral estado-unidense”. É uma vergonha, do início ao fim. Para uma democracia sólida e madura, fonte de inspiração para o mundo, poucos países democráticos apresentam os graves defeitos do modelo estado-unidense que, de largada, não é federal, mas estadual (e eles têm 50 legislações eleitorais, cada uma com suas extravagâncias [Porto Rico não vota para o Congresso Nacional, nem para presidente dos EUA]). Aliás, a recente luta de Republicanos, nos EUA, é para que menos eleitores votem (uma eleição que já ocorre em dias úteis, em vez de um feriado nacional, o que maximizaria a participação popular); país onde certos grupos têm mais dificuldade de se habilitar como eleitores do que outros.
Então, da próxima vez que alguém te disser “os EUA não usam urna eletrônica”, manda a pessoa ir carpir um lote. Podem ser exemplo para outros pontos, mas em matéria de legislação eleitoral e eleição democrática (o que, nesse contexto, significa “direito de todo mundo votar”), o tio Sam deve sentar de face com a parede e vestir o chapéu de burro (SE… supormos que isso não é mal-feito de propósito, claro…).
E de onde vem essa informação sobre os países que usam sistemas eletrônicos? Vem do IDEA – (International) Institute for democracy and electoral assistance. Um observador oficial da ONU. Instituição de baixa reputação, sabe? Só que não.
E sobre os EUA e seu terrível sistema eleitoral, qual a fonte? Aqui, aqui e aqui. Só para aguçar seus sentidos vou deixar a primeira manchete estática: “American elections ranked worst among Western democracies. Here’s why.”. Em bom português: “Eleições estado-unidenses ranqueadas como as piores entre as democracias do ocidente”. E, não obstante o meu horror a quem confia cegamente em manchetes, acho que essa é segura (nunca pare em manchetes. Leia as fontes. Não confie em jornalistas, nem em mim, nem no YouTube ou Google. Leia e procure o mesmo assunto em outros locais, com reputação verificável). O sistema norte-americano de eleições é o pior do mundo democrático ocidental. Quem entende alguma coisa de “democracia & voto” não cai nessa conversa sobre a eterna superioridade do tio Sam em qualquer tema.
Portanto, não: de todas as jabuticabas que o Brasil já criou, a urna eletrônica não é uma delas, tampouco restrita a países antidemocráticos como Cuba e/ou Venezuela. Não se vende urnas made in Brazil por várias razões; compartilhei algumas hipóteses. E quando alguém argumentar que “os EUA não usam”, manda pastar, por mim.
You Always fear what you don’t understand…
Se você não fala inglês, o título não poderia ser mais adequado.
Ele foi tirado do magnifico filme “Batman Begins”, de 2005, dirigido pelo grande Cristopher Nolan, com Christian Bale como o Cavaleiro das Trevas e Tom Wilkison como Carmine Falcone, um chefe da máfia que assola Gotham City. A frase, em inglês, é dita pelo último.
Em português, ela fica mais ou menos assim: “Você sempre teme o que você não entende”.
Falcone tem total razão. O principal motivo pelo qual as pessoas deste país, em boa medida, desconfiam da urna eletrônica é porque elas não entendem patavina sobre Tecnologia da Informação. E você sempre teme o que você não entende. Essa é a história da raça humana, infelizmente. “Infelizmente”, porque pessoas assustadas podem apenas chorar. Mas, elas também podem cometer loucuras em função do medo que as domina. Grandes atrocidades foram cometidas em nossa breve História, basicamente, em função do medo do desconhecido.
E, por que as pessoas temem a urna eletrônica? Porque elas não entendem como aquilo funciona. Estão (na larga maioria dos argumentos) equivocadas em cada afirmação que visa atacar o equipamento e o sistema de um modo geral.
Por exemplo:
A afirmação de que um hacker, na Rússia, pode invadir a urna (ela não fica ligada à internet);
De que um eleitor pode votar em duas sessões (o código do eleitor é gravado no cartão eletrônico da urna que ficará na seção do eleitor, e em mais nenhum outro cartão. Não há como ele votar em mais de uma seção ou colégio eleitoral);
De que as urnas já saem do TSE/TRE com os votos preenchidos (ilógico, já que ao começar a votação a zerésima é gerada e distribuída aos fiscais dos partidos políticos, e outro relatório [o BU] é emitido ao final… Se o número de pessoas que frequentou a seção for adicionado “ao número que vem de fábrica”, a conta será maior do que o número de assinaturas nos livros de controle).
E por aí vai.
Mas, vamos ainda mais devagar: se você quer mesmo entender, em detalhes, como o sistema de urna eletrônica no Brasil funciona, recomendo a leitura do relatório que a Unicamp (Universidade estadual de Campinas) produziu, lá em 2002, com cinquenta e uma páginas ao todo. Nele, especialistas em ciências da computação e áreas correlatas (engenharia elétrica e eletrônica) se juntaram e se debruçaram, não só sobre o hardware (parte física) da urna, mas sobre seu software (o programa que ela executa), seu firmware (um “pré-programa” que não está lá para fazer a função principal, mas intermedia a conversa do software com o hardware), as instruções passadas para o mesário, as normativas emitidas pelo TSE para organizar a seção eleitoral, o sistema de transmissão e contabilização dos votos em cada seção(…), tudo… São nada menos do que trinta e sete itens vistoriados pelo corpo de análise montado pela Unicamp (e vale dizer: não há universidade brasileira mais respeitada em Ciências da Computação do que esta. Cinco dos mais respeitados cientistas da área, no Brasil, dão aula no IC/Unicamp). Vale destacar que o foco do trabalho não era de auditoria, mas, de avaliação e sugestão de melhorias (sugestões que foram, em parte, incorporadas aos modelos subsequentes) para o sistema de eleição eletrônico.
AVISO: Daqui em diante, eu vou tentar explicar a arquitetura do SIE (que é o Sistema Informatizado de Eleições, no Brasil) … É EVIDENTE que algumas simplificações serão feitas. Eu quero que o texto fique num tamanho aceitável (lembrando que esse blog já é conhecido pelos textos ultralongos); também quero que pessoas alheias à área da computação consigam sobreviver ao texto e chegar ao fim dele com algum entendimento do que foi dito.
Se você quer discutir detalhes, minúcias, aspectos muito técnicos, manda um comentário, chama no privado, ou simplesmente leia a p%@^! do documento da Unicamp, integralmente. Obrigado. 😊
Entendendo o SIE (Sistema Informatizado de Eleições)
Aqui vamos nós. O SIE é o sistema nacional de eleições apoiado em máquinas DRE (nossas urnas eletrônicas).
Ele compreende a urna eletrônica em si, mas também os sistemas de preparo do software para instalação na urna, de impressão de relatórios, de transmissão dos resultados para computação centralizada no TSE; toda a arquitetura (criptografia [que é o embaralhamento dos dados a partir de um “arquivo-segredo” {certificado}], validações, auditorias) e infraestrutura (firewalls, rede, processos) desse sistema.
Sobre a urna
A urna eletrônica, tal qual um processador ARM (que seu celular utiliza), é uma receita de bolo. Ou seja: não existe uma empresa ou um produto chamado “ARM”. Existe uma especificação e quem quiser licencia o uso e fabrica um chip de acordo com essa especificação. Com a urna brasileira é quase a mesma coisa. O TSE específica o que espera do equipamento em edital público e empresas concorrem para montar os equipamentos, conforme a especificação do TSE. A urna não é um produto de prateleira, portanto.
Tivemos a Unisys em dois editais, mas a parceria Diebold-Procomp é disparada a campeã na fabricação das urnas brasileiras.
Anatomia de uma urna eletrônica
Ela tem, basicamente, dois componentes: o terminal do eleitor (a telinha que todos nós conhecemos) e o terminal dos mesários (onde eles colocam os dados do eleitor para validar que ele pode mesmo votar naquela seção, e a urna é monitorada [se está pronta para o voto, se tem alguém votando, se está na bateria, se o software é oficial ou de treinamento…]) – Não… O terminal do mesário não consegue violar o sigilo do voto. Recentemente, com a biometria (leitura da digital em nossos dedos), o terminal do mesário passou a fazer o escaneamento do dedo do eleitor, também.
A frente da máquina, todos os eleitores conhecem = Tela, teclado numérico e três botões (Confirma, Corrige e Branco). Então, vamos falar da parte traseira.
Atrás da urna, há uma impressora de bobina (2), estilo “caixa-registrador” (usada para emitir os relatórios em papel, no início [zerézima] e fim [o BU = Boletim de urna] do período de votação). Ela tem uma porta USB com um pendrive já instalado (1), onde os resultados para envio ao TRE/TSE são gravados. Dois slots de memória flash(9) (sendo um de acesso interno [é preciso abrir a carcaça] e outro externo) por onde o sistema da urna é carregado e os dados da votação vão sendo armazenados ao longo do dia (antes de serem criptografados[embaralhados] e gravados no pendrive (1), ao fim da sessão eleitoral). O fato de se utilizar 2 flashcards já é uma das medidas de segurança, pois o software da urna compara os votos que estão sendo gravados entre os databases (bancos de dados) nos diferentes cartões. Ela tem 2 USBs (10 e 12) usadas em caso de manutenção, sendo lacradas e parafusadas durante a operação normal. Uma saída de fone de ouvido para deficientes visuais (11), sendo a única interface na traseira que não é lacrada em dia de operação. Uma saída de energia CC (14) para alimentar eletricamente algum módulo externo, se preciso. Uma chave liga/desliga (6) sendo que nas mais novas é um botão verde/vermelho. Há uma bateria interna (8). Os demais números são bobagens como “parafuso”, “cabo AC” (energia elétrica) e por aí vai.
Se você ler a documentação da Unicamp, notará que ela fala em drive de disquete 3,5”. Esqueça isso. Desde a década de 2010 já é utilizado um pendrive como receptor dos resultados em todas as máquinas. Esse pendrive também tem seu conteúdo criptografado e assinado digitalmente, sendo preenchido só ao fim do dia/operação.
Portanto, para que um hacker possa inserir um programa malicioso na urna instalada na cabine de votação, ele terá que, de algum modo, acessar a parte traseira da urna (que fica exposta para os mesários), desparafusar e romper lacres, inserir o programa, talvez reiniciar a urna (para que ela leia o pendrive ou flashcard) e, nos dois ou três minutos que tem para votar, sair dali sem algemas.
Mas, vamos supor que ele queira hackear via sinal wifi, partindo do celular dele. Bem, a urna não tem qualquer placa de rede, nem por cabo, nem wifi (802.11xyz ou bluetooth). Logo, não há comunicação via sinal de rádio com ela. Talvez, ele tenha descoberto como apertar uma sequência de dígitos e botões no teclado da urna? Até a presente data, ninguém conseguiu hackear nosso sistema por essa interface (o teclado dela). Pode ser que alguém consiga, claro. Mas, ainda não há notícias de técnicas assim ao longo das ~duas décadas de uso delas.
O TSE é o dono do esquema eletrônico da urna (há disputas por patente na Justiça, mas, isso não vem ao caso). Os fabricantes precisam produzir a urna exatamente como manda o edital (como seria com alguém que quer fazer um processador ARM, mas aqui, com mais rigor quanto ao resultado). Depois de feita a placa, ela tem de ser homologada pelos técnicos do TSE… Então, qualquer microchip introduzido “a mais” no desenho da placa deve ser detectado na fase de inspeção do hw (hardware).
E se o hacker tentar acessar o cabo serial que liga o terminal do mesário à urna (para alguma técnica de hackeamento)? Bem, os cabos são ligados diretamente nas placas internas (não há conector; é solda) então, possivelmente, ele vai quebrar a bagaça toda no processo de tentar acessar o filamento.
Resta, assim, hackear seu software ou firmware antes destes serem distribuídos pelo TSE. Ou na fase de inseminação… O que nos leva ao próximo ponto.
Anatomia do código executado nas urnas (software/firmware [sw/fw])
A urna tem seu firmware (aquilo que se chamava de BIOS e agora, U/EFI) desenhado com memórias EEPROM (que não se apagam com a falta de energia) que validam, com chaves criptográficas públicas, que elas não vão executar um software que não foi assinado com a chave privada do TSE, além de controles para proibir que a urna carregue um sistema pelas outras portas que não a dos flashcards; claro, como todo fw, ele também controla as operações básicas do teclado e monitor da urna. Esta é uma parte das camadas de segurança para garantir que a urna inicialize o software aprovado pelo TSE, ou não inicialize nada.
Todo o código-fonte (que representa o programa em seu formato de texto) é assinado digitalmente por um certificado público guardado no TSE.
E você pode perguntar “como funciona assinatura digital de um documento (seja um e-mail, seja o código-fonte de um sistema)?”…
A assinatura digital é um processo em que um sistema faz algum tipo de contagem de todos os caracteres e seus valores, e essa “soma” (há mais de um jeito de fazer isso) resulta no que chamamos de hash. O hash é, então, assinado digitalmente com um segredo gerado via um certificado (é uma espécie de arquivo) que contém a chave privada (no caso do SIE, esta chave só existe num sistema de computadores dentro do TSE). A chave pública é outro certificado (arquivo) e, como o nome sugere, é conhecida por quem precisa dela (sistemas dos TREs, sistemas que preparam as urnas, as próprias urnas etc.). Com a chave pública pode-se acessar o segredo feito com a chave privada, mas, não é possível gerar um novo segredo; apenas ler o que foi criado com a chave privada.
Uma rápida explicação técnica: assinar digitalmente e criptografar um arquivo (ou todo um sistema) são operações distintas, embora ambas sejam feitas com uso de um certificado (90% das vezes) que contém chave pública e privada (esta última só costuma existir na origem do arquivo). Assinar digitalmente só garante que o conteúdo é autêntico, mas não protege o conteúdo de quem o obtiver. Criptografar é embaralhar os dados, de modo que só quem tem a chave pública pode ler o que foi criptografado com a chave privada. Porém, a criptografia atinge, indiretamente, a capacidade de provar a autenticidade de um documento: se você conseguiu desembaralhar o documento usando a chave pública que eu te dei, quer dizer que ele foi embaralhado com a chave privada que só eu possuo.
Logo, o que se consegue é a garantia de que o código-fonte que foi aprovado pelo TSE é exatamente o mesmo que está sendo instalado nas urnas. Se o hash bate e este hash é assinado digitalmente, a única forma do código ter sido maliciosamente produzido é com alguém de dentro do TSE usando a chave privada para assiná-lo, ou com um hacker extraviando essa chave do seu sistema original (há várias medidas para que isso não ocorra; a primeira é que essa chave não fica em um computador ligado à rede de computadores do TSE). Claro que essas duas últimas hipóteses são possíveis (quase tudo é possível). Não quer dizer que isso seja fácil de ser feito, muito menos que essa chave privada fica no computador da mocinha da portaria do TSE, enquanto ela baixa filme pirata e acessa o WhatsApp web.
De outro lado, o sistema de instalação da urna (chamado pela documentação de SIS – Subsistema de Instalação e Segurança) não permitirá a carga de um sistema operacional (“OS” em inglês, ou “SO” em português) que não esteja em conformidade com a chave pública fornecida ao SIS. Tampouco a urna aceitará executar um código que não coincida com as chaves gravadas em seu firmware.
Todas as urnas do Brasil (são aproximadamente quinhentas mil seções, cada uma com pelo menos uma urna [há seções com duas ou três]) executam o mesmo SO. Não há diferença nesse código.
Ao saírem da fábrica, elas não têm nem o SO, nem os dados da seção que irão atender. Então, numa fase denominada “inseminação da urna”, o SIS (software instalado em uma máquina oficial no TRE, ou numa cedida ao polo de preparo das urnas) instala tanto o SO da urna, quanto a tabela de candidatos e eleitores disponíveis para aquela seção (por exemplo: Na minha seção não há candidatos pelo estado do Amapá, e também não há eleitores com deficiência, ou com a letra inicial “A” [apenas exemplos]). Assim que o SIS termina a instalação, a urna é lacrada (todas as portas, exceto a de áudio, como já dito), empacotada e vai para a caixa de papelão, onde ficará sob vigia até o transporte para o dia e local de votação. Seu número serial (gravado naquelas memórias EEPROM) é cruzado com o número da seção para a qual ela se destina e gravado no sistema do TSE. Logo, a urna 1234ABC não pode enviar votos para o sistema centralizado (ao final do dia), em nome de uma seção eleitoral para a qual não estava previamente cadastrada.
O SIS foi projetado para dar uniformidade na instalação, consistência dos dados, segurança do código instalado e várias outras medidas. Este seria um ótimo ponto de ataque, contudo, vale lembrar que o EEPROM, dentro da urna, tem sua própria cópia do certificado público e este não é manipulado pelo SIS. Se um hacker consegue acessar o EEPROM da máquina para reprogramá-lo, significa que ele está com acesso físico à urna… Neste caso, por que você tem medo da urna eletrônica e não tem medo da urna de papel? Se um hacker conseguiu acessar a parte interna da urna eletrônica, reprogramar um chip, instalar um SO hackeado com código malicioso e relacrar o equipamento para que ninguém perceba a fraude, ele não conseguirá abrir a urna de papel e trocar todas as cédulas de papel por outras que ele fez (ou deram pra ele)? Esse é o seu medo? Sério?
O SIS gera um flashcard que instala o SO na urna (copiando seus dados para o flashcard interno). Depois que esta valida a assinatura do código apresentado, o primeiro flashcard é removido, a urna é desligada e fica pronta para receber outro flashcard com os dados de eleitores e candidatos, mas este segundo flaschard com os dados de candidatos e eleitores é destinado só ao dia da votação. Se uma urna quebra, a reserva pode ser inseminada com este flashcard, mediante registro do novo serial de urna atrelado à seção de votação.
Quando o SIS termina de gerar o flashcard externo “de votação”, este é inseminado (daí o nome da fase) na urna pela porta número 9 da imagem anterior, e a urna fará toda uma rotina de validação do conteúdo, vai verificar se a assinatura do conteúdo bate com a chave que ela tem na EEPROM (e que saiu preenchida de fábrica), e vai inicializar o flashcard interno. Esse flashcard interno, como já dito é usado em várias operações de segurança onde a urna compara resultados e faz um “double-check” de tudo que está acontecendo durante a execução. Há logs de segurança, e parte desses logs é registrado em outro chip, dentro da máquina, por redundância.
A cerimônia de assinatura
O código-fonte distribuído pelo TSE não é simplesmente assinado numa quarta-feira depois do almoço, e fim de papo… Há uma cerimônia com data e hora previamente conhecidas, e aberta aos interessados, especialmente, aos representantes de cada partido político nacional. Esses partidos podem mandar técnicos para acompanhar o processo, bem como os partidos podem, inclusive, ter acesso ao código-fonte da urna (que é baseado em open-source/código aberto) para revisá-lo e apontar eventuais falhas, antes dessa cerimônia.
Quando todos os representantes estão satisfeitos, o código é compilado (= deixa de ser texto e passar a ser um executável) em um computador isolado e sem acesso externo. Nesse momento, as chaves criptográficas são inseridas definitivamente (a empresa que ganhou o edital e desenvolveu o código do SO não tem a chave privada que o TSE usará e não terá em momento algum. Esta empresa utiliza uma chave privada própria, só para fins de testes, mas essa chave é substituída no código do SO com a chave oficial nessa fase), e são essas chaves que determinarão se o código compilado foi alterado desde esta cerimônia até o dia da eleição. A urna, como já dito, sai com a chave pública que deve “bater” com a chave privada para que o sistema possa ler o hash e concluir que o código pode ser executado (ou não).
Todo o código gerado pelo SIS passa por 2 mecanismos de criptografia (em 2002 eram o MD5 e o Assina [Microbase]), gerando uma criptografia de 256 bits. É bem seguro, se você não entendeu nada. Se um arquivo for modificado pelo hacker, mesmo que em apenas uma letra, sem que um arquivo CRC e outro SIG sejam criados a partir de uma chave criptográfica válida (e só o TSE tem a chave privada), os sistemas, tanto do SIS, quanto da urna, detectarão a mudança.
A distribuição dos softwares para preparo da urna
Como dito, o SIS é responsável por gerar a mídia que vai formatar a urna com o SO aprovado, bem como gerar o flashcard com os dados de eleitores e candidatos habilitados numa dada seção eleitoral.
E se esse software for corrompido? Já em 2002 (data do documento da Unicamp), a transmissão se dava sob criptografia do instalador do SIS (usando o algoritmo IDEA-128, bastante adequado àquela altura). A transmissão se dava por protocolo SFTP ou mídia física (CD). Logo, havia um bom controle de distribuição, em 2002. Não tenho razões para crer que essa segurança piorou, ou mesmo continuou como naquele tempo. Atualmente, é provável que eles utilizem transmissão por HTTPs ou outro meio privado (como um link MPLS, que não passa pela Internet). Mas, não tenho os detalhes porque não achei documentação técnica sobre a atual arquitetura. Isso não necessariamente significa que há obscuridade maliciosa. É natural que as empresas e órgãos governamentais não fiquem divulgando detalhes de sua arquitetura interna, o que ajudaria um hacker a se preparar melhor. Possivelmente, há melhores informações para os partidos políticos e outros legitimamente interessados.
Resta saber se eles têm competência para avaliar o que receberam. Na minha experiência com auditorias de terceiros sobre software de um dado fabricante, a maioria dos terceiros não tem qualificação técnica para entender o que recebeu em mãos. O sujeito começa a olhar o código-fonte e não sabe nem se é de comer ou de passar no cabelo. Aí, pra disfarçar a ignorância, inventa teses furadas sem, contudo, ser capaz de demonstrar onde o problema está… Digressão de minha parte… Voltando…
O software SIS precisa ser enviado aos TREs e polos para preparar as urnas para a eleição. Ele modifica o sistema operacional Windows, transformando a máquina instalada com ele em um “novo computador” com funções e acesso restritos… Não é possível baixar o MicroTorrent no computador SIS, nem assistir aquele pornozão básico (ou só acessar um site de notícias) nessa maquina alterada pelo SIS. A finalidade da máquina com o SIS é restrita a somente preparar as urnas (SO) e gerar os flashcard com eleitores e candidatos por seção.
A transferência do BU (boletim de urna) para o TSE
Bem, esta é a parte mais crucial, pois, é a única vez em que o resultado da urna poderá passar por um meio de transmissão público. Até aqui, este resultado só existia dentro do hardware da urna. Sem que o BU seja encaminhado ao TSE, não há cômputo dos votos registrados naquela seção.
O BU só é emitido ao final da votação de todos os eleitores daquela seção, ou ao final do horário limite para a votação (o que vier primeiro). Por este motivo, vemos que mesmo antes das 17h, algumas estatísticas de votação já começam a aparecer no noticiário. Imagine que a seção é nova e tem apenas 100 eleitores e que todos vão votar na primeira hora da manhã (um milagre que mesário nenhum jamais viu, coitado…). Neste caso, a urna emite o BU em papel (pela impressora de bobina), este é afixado na porta da seção e fotocópias são distribuídas aos fiscais dos partidos interessados (que já podem iniciar contabilizações paralelas e auditorias próprias).
Então, o BU é criptografado (não porque seja sigiloso, mas somente para garantir que o BU que a urna emitiu não foi trocado por um BU falso), gravado no pendrive (na porta número 1), o pendrive é removido da urna (com fiscalização dos profissionais do TRE) e então é encaminhado, seja para uma sala do colégio eleitoral com o software carregador (basicamente, ele se conecta ao TSE usando uma VPN (túnel criptografado, utilizando a internet), lê o arquivo, valida a integridade do BU, e envia este arquivo ao sistema totalizador no TSE); seja fisicamente transportado para um polo onde haja conexão com a internet (cenário comum no interior do Brasil). Ouvi dizer que havia um link via satélite entre TRE e TSE, mas sinceramente, não achei fonte confiável para isso. Além do mais, um túnel VPN já é muito seguro (pode ser bem mais seguro que sua conexão com seu banco, por exemplo).
Se o BU é enviado mais de uma vez, o sistema totalizador detecta e abre ticket de auditoria para garantir que todos os votos foram contabilizados. Isso pode ocorrer, por exemplo, por uma falha de rede em que o envio não foi completo (esta informação é de 2002. Não ficaria surpreso de saber que os sistemas atuais sequer permitem a duplicação de envio; mas, para mim, basta saber que há auditoria em caso de envio em duplicidade). Todavia, o BU de outra urna, ou o BU falsificado não serão carregados em nome de uma seção oficial. A criptografia que a urna gera e os dados anotados no BU oficial estão lá para impedir isso.
No ano de 2020, o TSE alterou a forma como os dados são totalizados, após recomendação da Polícia Federal. Anteriormente, os colégios e os polos concentradores mandavam os BUs para os TREs, e os TREs mandavam por uma rede privada (seria a rede via satélites?) para o TSE. Em 2020, todas as seções passaram a enviar os dados diretamente para o TSE via sistema desenhado para isso. Na ocasião, houve demora para divulgação do resultado, o que causou certa controvérsia sobre a possibilidade de um “ataque hacker” às eleições. O então Presidente do TSE, Ministro Luís Roberto Barroso, desmentiu o boato explicando que apenas houve um congestionamento inesperado nos canais de comunicação entre TSE e todas as mais de 500 mil seções (que deixaram de concentrar as BUs nos TREs) e sobrecarga no sistema de totalização.
Neste mesmo ano de 2020, houve um ataque ao site público do TSE, gerando a indisponibilidade do mesmo. Eu não creio – porque não faz nenhum sentido crer – que a rede de computadores que mantém o site público do TSE seja a mesma rede utilizada pelo sistema totalizador de votos, mas esta é uma arquitetura sobre a qual eu não tenho visibilidade e fica difícil dar garantias.
Conclusão do relatório da Unicamp e outros relatórios
O relatório da Unicamp termina do seguinte modo:
“O sistema eletrônico de votação implantado no Brasil a partir de 1996 é um sistema robusto, seguro e confiável atendendo todos os requisitos do sistema eleitoral brasileiro”
E
“Assim, acredita-se que, a partir da experiência acumulada pelo TSE e partidos políticos na implantação do voto eletrônico e a partir da contribuição da comunidade científica e dos setores organizados da sociedade, é possível o aprimoramento do atual sistema e a consolidação dos processos de votação e totalização eletrônicos que se configuram como um enorme avanço no processo eleitoral brasileiro, principalmente quando confrontado com o uso de cédulas de papel e urnas convencionais.” (grifo meu).
O relatório de 2002 fez sugestões de melhorias em vários pontos, inclusive com críticas construtivas sobre auditoria independente, ou mesmo sobre uma mudança no design de validação dos dados enviados pelo teclado ao FW/SO. Mas, como o próprio relatório explica, é difícil imaginar que alguém possa explorar possíveis vulnerabilidades diretamente em contato com a urna, já que teria que abrir o equipamento para adulterar o funcionamento do componente.
O verdadeiro risco de adulteração é realmente na fase de criação do software e da assinatura deste com a chave privada, ou no envio dos BUs ao TSE. No primeiro caso, como demonstrado, contudo, isso não é algo trivial e não se pode fazer com uma única urna. O ataque teria que ocorrer na data em que o TSE “empacota” o software da próxima eleição, e teria que ser feito no computador onde isso acontece – computador que não está ligado à internet. Impossível? Não. Nada é impossível. Ainda mais no Brasil… Mas, altamente improvável. Há formas mais baratas de se manipular uma eleição e nós já vimos isso ocorrer no passado recente das Américas (volto a esse ponto, mais à frente).
Tal relatório foi pivô de polêmicas entre os detratores da urna e o TSE, porque destaca aspectos negativos sobre a independência de auditoria por agentes externos ao TSE, ponto que os críticos afirmam jamais ter sido sanado.
Esse não foi o único relatório produzido com o intuito de validar ou auditar o sistema de eleição eletrônico brasileiro:
No mesmo ano (2002) em que a Unicamp fez o relatório sob encomenda do TSE, o PT encomendou relatório público à UFRJ; embora não consiga apontar falhas, os autores reclamam da “imaturidade do modelo de desenvolvimento de software”, mas não apresentaram nenhuma falha que pudesse ser explorada.
Em 2003, o TSE pediu novo relatório público à UFMG e UFSC. O relatório apontou a possibilidade de que o segredo do voto fosse quebrado com a arquitetura proposta, e apoiou a impressão do voto como forma de aumentar a confiabilidade no sistema. Não relatou como fraudar o resultado da urna.
Em 2004, a associação BRISA forneceu relatório secreto ao TSE. Obviamente, não tenho como apurar os achados.
Em 2006, o PTB-AL encomendou relatório público de um professor (e apenas um) do ITA. Este professor afirmou que poderia haver “contaminação” nos resultados de Alagoas, mas dada a característica do estudo, focado em urnas do estado de Alagoas, com apenas um pesquisador escolhido a dedo, opto por descartar esse relatório. Não se faz ciência com base na opinião de apenas uma pessoa, não importa o quão competente ela seja. Já discutimos isso antes.
Em 2008, o TSE encomendou relatório secreto ao CTI-MCT. Conclusão: idem ao outro relatório secreto.
Em 2009, o próprio comitê multidisciplinar do TSE emitiu relatório público. Na conclusão, disseram: “A proposta de impressão do voto conquista corações e mentes pela simplicidade, tangibilidade do papel e pela aparente facilidade de combater fraudes. O fato de que o uso de criptografia e mecanismos sofisticados tecnologicamente não serem entendidos pela maioria dos eleitores, candidatos e público em geral, não diminui os benefícios que essas ferramentas modernas trazem para a segurança das eleições”.
Evidentemente, eu não esperava que o comitê do próprio TSE fosse contrário ao sistema defendido pelo Tribunal; pelo menos, não de maneira veemente. Contudo, acompanho a opinião geral de porquê há tanta crítica ao vigente sistema: desconhecimento.
Em 2010, o relatório público CMind, formado por 10 profissionais de várias áreas (direito, computação, engenharia, jornalismo) que criaram um comitê para avaliação da segurança do voto digital, foi bastante crítico ao relatório do ano anterior, emitido pelo TSE. Para eles, o sistema é repleto de falhas e imperfeições que o TSE se omite em endereçar. Contudo, o relatório não apresentou uma forma de hackear a urna, dentro da seção eleitoral. Também, não explicou como o sistema de transmissão do BU poderia ser manipulado para apresentar um resultado falso no lugar de um legítimo. Não quer dizer que suas críticas não sejam cabíveis. Mas elas estão, em grande volume, debruçadas nos procedimentos, na transparência, nas formalidades, e não são críticas que demonstram “como é fácil burlar a urna apertando as teclas x, y e z na ordem 2, 3, 1”…
Em 2012, um relatório público foi liberado pela Universidade de Brasilia (UNB), feito espontaneamente por esta. Esse relatório demonstrou uma técnica para ordenar os votos gravados na BU o que permitiria, em tese, quebrar o sigilo dos votos. Também, levantou a possibilidade de outras manipulações, mas não conseguiu demonstrar as técnicas, alegando que as regras do TSE impediram tal demonstração. Talvez, seja o relatório mais importante para o que discuto aqui (a segurança da urna eletrônica). Se não demonstrou como hackear a urna, colocou em xeque o segredo das votações, requisito indeclinável por força de mandamento constitucional (art. 14 da CF/88), e que nos protege de manipulações como a compra de votos ou a coação dos eleitores. Não tenho respostas de como o TSE endereçou esses achados.
O último relatório do tipo foi encomendado pelo PSDB em 2014, sendo realizado e publicado pelo mesmo CMind que fez o relatório de 2010. Nos achados, temos duas conclusões para destaque:
“pode-se concluir que a auditabilidade do sistema eletrônico de votação do TSE em seus moldes atuais é prejudicada por diversos fatores. O sistema não está projetado e implementado para permitir uma auditoria externa independente e efetiva dos resultados que produz[…]”
E
“Já com relação ao processo de transmissão e totalização dos votos, não foram encontrados indícios de fraudes ou de erros sistemáticos que pudessem alterar os resultados depois que estes saem das urnas eletrônicas.”.
Essa segunda conclusão é importante porque trás mais embasamento para o que eu disse sobre não temer riscos quanto ao sistema de transmissão dos BUs (a segunda parte onde poderia haver uma fraude, na minha opinião).
O que eu acho de todos os relatórios
O que eu acho não é importante. Na verdade, o que alguém acha não é nada importante neste mérito. O que realmente importa é a qualidade do material de análise, a validade técnico-científica dos testes, e seus achados (provas). As visões políticas, o uso de palavras mais ou menos arrojadas, retóricas mais ou menos fortes, nada disso é importante em relatórios dessa natureza (que deve ser técnica).
O que importa é se alguém conseguiu provar como hackear a urna, ou o sistema que contabiliza os votos. Esses são os jeitos óbvios de se fraudar uma eleição com urna eletrônica. E não vi nenhum relatório que demonstrou como fazer isso.
O que li foram críticas a um modelo que pode ser aperfeiçoado (como quase tudo em termos de instituições no Brasil), que pode ser melhor do que é, mas não li nenhum relatório que demonstrou, inequivocamente, como manipular os resultados das eleições brasileiras através da operação nas cabines de votação, dentro da seção eleitoral, ou interceptando o envio dos BUs ao TSE e modificando esses BUs. Nenhum teste foi capaz de corromper a máquina DRE brasileira em condições normais de uso (idênticas ao que o cidadão José [versão hacker] encontrará numa seção eleitoral).
E se, para hackear e manipular os resultados, os agentes maliciosos precisam abrir a urna, instalar outros softwares, acessar a sala de instalação das urnas, modificar programas de instalação, hackear servidores com canais de comunicação criptografados (em que a transmissão se dá em momento desconhecido e não em tempo real)… Meu amigo e minha amiga… Eu não sei porquê pensar que uma urna de papel poderia impedir a manipulação do resultado das eleições, diante de tamanha vontade, capacidade e disponibilidade de recursos.
São fontes para estas seções que escrevi, acima:
O relatório da Unicamp (possivelmente, o melhor documento para entender de onde partimos e para onde podemos rumar).
O artigo da Wikipedia sobre CVEs (coletor de votos eletrônico). Contém links (alguns quebrados) para os demais relatórios.
As auditorias das últimas eleições contendo o sistema de votação paralela (um teste em que urnas são sorteadas, removidas da seção, e auditadas por empresa contratada em uma sala com representantes dos TREs e partidos) para todos os estados do país.
A notícia sobre o motivo da lentidão na apuração de 2020 E a notícia que explica que a Polícia Federal recomendou a centralização, após perícia em 2018.
A apresentação geral da Urna eletrônica brasileira, feita pelo TSE.
Sabe onde teve fraude usando informática? Nas eleições dos EUA…
Estranho, né? Pois é…
O país que tem o sistema mais atrasado das democracias, onde tudo é feito do jeito mais arcaico possível… Foi atacado, ciberneticamente, nas eleições de 2016 e, possivelmente (pois, ainda se investiga), em 2020.
Sim, porque para manipular uma eleição em um dado país você não precisa fraudar as urnas em si. Basta você fraudar a verdade. Manipular as mentes das pessoas, tão dependentes de redes sociais para se (des)informarem.
Não é preciso invadir a urna, de papel ou eletrônica. Basta que eu bombardeie você com mentiras por todos os lados para acabar com a reputação de alguém que eu quero que perca, ou criar uma imagem de salvador de alguém que sempre mereceu a sarjeta.
As notícias sobre o ataque cibernético da Rússia contra os EUA nas eleições de 2016 e 2020 são de conhecimento público e consolidadas em mais de uma fonte. Não preciso me alongar no tema.
O que precisa ficar claro é que quando a manipulação de um sistema eleitoral se dá por uma força exterior muito poderosa (em especial, o que se chama de ataques patrocinados por “State actors” ou, simplesmente, outros países) e muito organizada (com divisões militares de cyber-guerra, muito dinheiro à disposição, muitos recursos), sistema eleitoral nenhum está preparado para lidar com isso, no nível tecnológico.
O único remédio que consigo propor para isso é EDUCAÇÃO… Nesse caso, educação cívico-democrática e política. Educação para desconfiar de fake news, educação para saber pesquisar sem receber de mão beijada, educação para não acreditar em boatos e crendices, para detectar resultados espúrios e análises enganosas.
Educação para não cair no canto da sereia de candidatos safados, sem um plano de governo realista e factível.
Afinal, urnas eletrônicas são seguras?
Você leu tudo que escrevi. Teve acesso às fontes que eu consultei. Percebeu a complexidade para hackear o SIE brasileiro (tenho total convicção de que as tecnologias empregadas são melhores do que os padrões que se utilizava em 2002, pois o TSE teve duas décadas de interação com a indústria para aperfeiçoar o modelo [tanto urna, quanto software são fabricados pela iniciativa privada, sob edital, e não pelo TSE]).
Se você me perguntar “você confia na urna eletrônica brasileira?” a resposta é, claramente, “SIM!”.
Se você me perguntar “então, você confia que ela é 100% segura?” a resposta é “HELLS, NO!” (nem fod@$%^…)
Eu já disse isso antes: O único sistema eletrônico 100% seguro é aquele fora da tomada. Não existe nada, absolutamente nada “ihackeável”, nem mesmo sistemas que não usam computadores. Tendo tempo, recursos, conhecimento e acesso… Qualquer sistema cai. Qualquer um; o nosso, o da NASA, o da China….
O motivo para isso é que, como seu criador (o ser humano), os sistemas herdam falhas de conceito que são muito complexas em sua interação com outras “partes móveis” do sistema e muito difíceis de serem testadas em todas as combinações possíveis, sendo que se a brecha é detectada somente em situações extremas, é matematicamente improvável se prevenir contra tudo o que pode dar errado.
Novamente, o sistema eletrônico 100% seguro é o sistema desenergizado. E ele serve como um lindo peso de papel e nada mais.
Mas quem te disse que elas precisam ser 100% invioláveis? Por que essa tara? 😁
Vou te dizer como eu vejo a situação das urnas eletrônicas: para que eu prefira as urnas eletrônicas ao sistema anterior (em papel), elas só precisam ser mais seguras que a urna tradicional. E, como profissional de TI, com base em tudo o que foi lido e exposto, eu te garanto: elas são estupidamente mais seguras que o outro método (o papel).
Perfectíveis, sim. Sempre. Tudo é perfectível. Mas não são o calcanhar de Aquiles desta democracia.
Esforço para hackear a urna eletrônica: Profissionais competentes, desvio de uma urna para análise e técnicas de invasão, conhecimento da arquitetura de consolidação dos votos nos servidores do TSE, desvio/furto da chave criptográfica utilizada na transmissão dos votos ao final da sessão de votação, quebra de todas as medidas de segurança realizadas no código original (sua assinatura, o chip EEPROM)… Depois disso, o sujeito tem que, ou interceptar a urna entre o momento que ela deixa a “inseminação” e é escoltada (talvez, ele pague a equipe de escolta para permitir a adulteração), ou, de algum modo insanamente complexo, hackeá-la já dentro da seção eleitoral, na frente de todos os fiscais e voluntários, nos pouquíssimos minutos em que fica na cabine. Se tiver que carregar o software para hacker a urna, então… Rapaz, vai ser complicado disfarçar que a “urna caiu” para você acessar o painel traseiro dela, desparafusar, colocar seu pendrive/flashcard… Bem difícil… Outra hipótese é hackear a transmissão dos BUs, mas, novamente, o hacker tem que ter meios de assinar o BU com o certificado digital da urna, “batendo” o número de série que está ligado à seção para qual ele quer falsificar o BU. Possível? Matematicamente, sim… Fácil? Hehehe…
Esforço para hackear a urna de papel: Jogar duas cédulas (uma dada pelo fiscal, outra que você trouxe no bolso) ao invés de uma, ou pagar a escolta para, no translado da urna para a contabilização, trocar o conteúdo oficial pelo adulterado. Abrir o lacre adesivo/plástico, trocar tudo, e colocar novo lacre adesivo/plástico.
Pensando nisso, qual sistema lhe parece mais frágil?
Novamente, não estou discutindo se existe ou não existe tecnologia de máquina de votos mais complexa, mais recente, mais servida de mecanismos antifraude. Estou discutindo se a urna eletrônica atual consegue ser mais fraudável do que a urna de papel (e porque queremos a segunda – mais fraudável – como método antifraude da primeira – menos fraudável).
E a resposta para o último parágrafo é: nada é mais fraudável do que o papel.
Também por isso, paramos de usar cheques e fazemos todas as transações importantes (quanto ao valor) virtualmente, usando criptografia e nada mais. E não pedimos que o banco imprima a transação em papel para confiar no sistema bancário.
Por que a tara com a urna eletrônica?
Porque interessa ao discurso de quem quer justificar a futura recusa em reconhecer a derrota que – se Allah quiser – está por vir.
Sou contra o sistema VVPAT ou IVVR para as nossas máquinas DRE?
Absolutamente não… Nunca sou contra a melhora de nada. Se o sistema é considerado universalmente “x% mais seguro” só com a impressão do voto de origem digital, e seu depósito numa urna de papel, ótimo, vamos em frente.
O problema é que não é tão simples assim. O TSE já declarou que atualizar o sistema para imprimir custaria por volta de dois bilhões de reais a mais. São 500 mil seções eleitorais. Cada uma com pelo menos uma urna. Fora as reservas. Fora as seções no exterior. Se você pensou em utilizar a impressora de bobina que gera a zerézima e o BU, distribuídos aos partidos, errou!!! (leia com a voz do Faustão)… A impressão precisa ser automatizada, confiável, com redundância (para o caso de falhas) e, nos sistemas atuais, não é manipulada pelo eleitor (a cédula é impressa, aparece num “túnel” de acrílico, você confirma e a cédula cai na urna, sem [a sua] interferência humana). Quanto custaria projetar isso? E auditar isso? E manter isso?
Isso tornará o sistema mais seguro? Ninguém pode dizer que sim. Exceto se implementarmos e começar a haver diferença entre cédulas e BUs – aí sim, o sistema DRE está viciado e é caso de polícia. Caso contrário, gastamos alguns bilhões de reais apenas pela “sensação de segurança”. Como o tanque de guerra, parado na rua do cidadão assustado com a violência; não resolveu o problema com o batedor de carteira, mas todos se sentem mais seguros… Porquê não pagar por isso, não é? Não é.
Tornará a urna mais aditável? Sim, sem dúvidas. Mas será um processo eleitoral bem mais caro (além de toda a tecnologia adicional já descrita, temos que guardar e processar as cédulas em algum lugar seguro e monitorado) e mais lento (temos que ter auditores e eles são humanos, não máquinas – se colocarmos máquinas para ler o comprovante impresso, o que diabos estamos querendo? Só cortar árvores?)…
Disse, um certo cavalheiro:
O preço da liberdade é a eterna vigilância.
Thomas Jefferson
A liberdade de um povo em escolher quem o representa no Estado é o ápice do que o processo eleitoral democrático significa. Não podemos, jamais, confiar cegamente no discurso de um órgão oficial. As urnas devem ser auditadas, os processos devem ser melhorados, o que é obscuro tem que ficar claro como o meio-dia na areia branca da praia. Nada mata mais a corrupção e a falcatrua do que a claridade. Quem gosta de sigilo por 100 anos é a Justiça Militar (sim… os caras envolvidos com o governo e que mais gritam sobre “transparência nas eleições” são os mesmos escondendo a sujeira deles com sigilo secular).
MAS… Mas… Não é por isso que vamos gastar “os tubos” com impressão do voto digital, só para que nos sintamos “seguros” de que não há fraude, sem que esse sistema realmente signifique palpável diminuição do risco de fraude, apenas custando mais caro para o nosso bolso. A decisão precisa ser lógica, não emocional. É um sistema computadorizado. Emoção não tem nada a ver com essa área das ciências.
Por que estamos ouvindo a sandices de gente eleita pelo voto eletrônico, contra o voto eletrônico?
Pois é… Também não sei…
O anencéfalo que lamentavelmente chegou à idade adulta, foi eleito pelo voto popular na mais triste eleição da história democrática deste país (até agora), e seu opositor reconheceu a vitória, sem escândalo. Teve outros VINTE E SETE ANOS para VAGABUNDAR no Congresso Nacional, sendo dezesseis desses vagabundos anos conquistados via urna eletrônica.
E aí… Aí, esse animal irracional que grasna, rosna e relincha diuturnamente, começa a falar “é… não vai ter eleições limpas ano que vem, tá ok?… Se eu perder é porque foi roubado e não vou reconhecer! (faz arminha com as mãos…)”…
Que tipo de imbecil sustenta essa argumentação? “Se eu venci, deu tudo certo com a urna. Se eu perdi, não foi justa a disputa”…
Como alguém ainda considera as opiniões advindas desse projeto de ditador de meia tigela? Eu não sei. Teria que sofrer uns cinco ou seis AVCs para concordar com algo que tem autoria do mais esdruxulo e repugnante cidadão a frequentar a Presidência da República do meu país. Sujeito que, com sorte, será “só” uma virgula triste na nossa história e não o causador de mais um retrocesso às trevas ditatoriais, nesse amaldiçoado país quando o assunto é política.
E não se esqueçam, meninos e meninas, outros e outras… Não há vida política desonesta com povo 100% honesto. Essa conta não fecha. Não é Brasilia que enoja o Brasil. É o Brasil que entulha Brasília (com lixo, majoritariamente – não obstante eu reconheça a existência de algumas poucas boas almas na vida política nacional). Se não gostamos dos representantes, temos que pensar em:
a) o material humano que forma nossos candidatos.
b) nosso processo de escolha destes.
E então, como um físico tendo que explicar que, não, a Terra não pode ser plana, cá estou a explicar que não tem como a urna eletrônica ser mais fraudável do que a urna de papel. E que imprimir o voto, por si só, não é resposta adequada à transparência (mas, à priori, o afago a medos e receios que não se lastreiam em verdade, até aqui). Até aqui, imprimir o voto é o tanque de guerra em cada rua da cidade. Em boa medida, daí minha irritação e meu sarcasmo ao longo desse texto inteiro.
Porque é SEMPRE cansativo ter que explicar que o queimar da Amazônia lasca o planeta, que a Terra é redonda, que vacina faz (MUITO) mais bem do que mal, que democracia é melhor que ditadura… E agora… Que o sistema eletrônico que elegeu adversários como FHC (2º mandato) e Lula, também elegeu todo o Congresso Nacional que, agora, fica – em boa parte de seus componentes hipócritas – de conversinha furada para confundir um povo já carente de razão e lucidez, falando sobre o voto impresso como “única forma de eleições limpas” …
Com qual objetivo real, senão permitir a desestabilização da frágil democracia brasileira? A mando de quem? Quem são os senhores dessa gente que nunca me representará (seja por sua desonestidade intelectual, seja por suas posições antidemocráticas)?
Então é isso… Espero que a informação deixe você, que se sentia um pouco desinformado(a) e, por isso mesmo, com medo da segurança da urna eletrônica, um cadinho mais confiante nessa discussão. Não cego, nem com a guarda baixa (vigiar as instituições é responsabilidade constante de todo cidadão). Mas menos alarmado(a) e menos vulnerável ao pânico e histeria.
O resumo é: nenhum sistema é 100% seguro. Isso não existe. Nem o eletrônico, nem o em papel (nem o em nada), é absolutamente inviolável. Quando comparados os sistemas, contudo, a urna de papel é uma vergonha em termos de segurança.
E a nossa urna eletrônica é suficientemente segura. Poderia ser mais, claro; sempre pode.
Não quer dizer – enquanto as auditorias técnicas (que também podem ser melhores [maiores, mais frequentes…] e podemos cobrar isso) não demonstrarem o oposto – que precisa ser mais segura, já e a qualquer preço.
Sobre Tudo & Todos 