por Silvio Meira

urna eletrônica NÃO é inviolável

u

a infra-estrutura brasileira de eleições, informatizada e universal, é um feito da engenharia e políticas nacionais. não resta a menor dúvida de que a urna eletrônica e o sistema de apuração por trás dela funcionaram -e funcionam- muito melhor do que o sistema baseado em cédulas, mapas e tinta que tínhamos antes. prova disso é que famílias e coronéis, brasil a dentro, perderam o controle quase secular que tinham de algumas cidades [em certos casos, regiões] porque não aprenderam a fraudar o sistema eleitoral informatizado na velocidade de sua evolução.

mas, desde sua chegada, a urna eletrônica é cercada de polêmica. uns, mais radicais [e usando argumentos, digamos, convincentes] dizem que o sistema é furado, pura e simplesmente. outros, mais condescendentes, apontam as melhoras que poderiam ser introduzidas para tornar o sistema bem mais confiável do que é.

acontece que o crime organizado está querendo organizar muita coisa e as eleições são parte importante do que [parece] que pode ser "organizado". de um lado, tem gente cobrando eleitor tirando foto de voto na urna pra mostrar pra cabo [?] eleitoral, sob pena de danos muito significativos à sua existência terrena. estes são, poderíamos dizer, os brucutus, a turma da força bruta. de outro, está a galera da inteligência do crime, vendendo eleições, por milhões. ou pelo menos dizendo que vende -e entrega- resultados.

ministro ayres britto, presidente do TSEe acontece que estamos no brasil, e a oferta de "eleger quem fosse, por um preço" acabou vazando… por todo canto, como anúncio viral em rede social. e o ministro ayres britto [na foto], presidente do tribunal superior eleitoral, teve que reagir, na sua moeda. segundo declaração do ministro, "o sistema é absolutamente inviolável". acontece que este blog, além de cético, escreve software há 35 anos e não acredita em sistemas "absolutamente invioláveis"… até porque há resultados fundamentais [da teoria da computação…] que nos levam à conclusão exatamente oposta. tudo indica que, num sistema linguístico qualquer, temos que escolher entre consistência e completude. se o sistema for consistente [ou seja, não dá pra pra provar que 0=1], há verdades, no sistema, que não podem ser provadas. por outro lado, se pudermos demonstrar tudo o que é verdade, o sistema é inconsistente, ou seja, também podemos provar um 0=1 aqui, outro ali, enfim, em todo lugar. ou eleger qualquer um, mesmo sem voto…

mas uma discussão do sistema eleitoral nestes termos [teóricos] não é razoável, porque prática é a vida e as eleições. mesmo sabendo que o ministro está teoricamente [pois não existem sistemas -do tipo do sistema eleitoral- invioláveis] errado, resolvemos consultar um dos maiores especialistas brasileiros em segurança de informação sobre o assunto e a sua resposta a nosso emeio está abaixo. sabendo das implicações de suas declarações, nosso personagem se escondeu por trás do codinome frodo [baggins, o filho adotivo de bilbo, do senhor dos anéis], o hobbit que tomou pra si a responsabilidade de detonar orodruin, a montanha do mal da terra do meio, da trilogia fantástica de j. r. r. tolkien. coisas de gente de segurança.

sim: mas o que disse frodo? a conversa é longa. leia e entenda porque o ministro ayres britto está errado mas, mesmo assim, nosso sistema eleitoral informatizado pode continuar sendo melhor do que qualquer outro, de papel, desde que tomemos os devidos [muitos] cuidados…

blog: as urnas brasileiras sao invioláveis? até que ponto? por que? se alguém quiser violar uma urna, quais são as opções?

Um dos maiores erros cometidos por quem não trabalha diretamente na área de segurança de sistemas é afirmar que existe sistema inviolável. Não existe 100% de segurança. Sistemas mais críticos devem possuir mecanismos que permitam identificar que houve uma falha ou violação de segurança e, a partir disso, tornar possível a tomada de decisões sobre a falha. Não se pode afirmar que tal sistema seja inviolável, ou que qualquer sistema seja inviolável.

Até onde se sabe, as urnas eletrônicas brasileiras possuem suporte a tais mecanismos de auditoria, permitindo, em caso de violação, a possibilidade de se detectar uma quebra de segurança.

Um ponto de falho da segurança das nossas urnas é que elas são construídas sobre de sistemas operacionais tidos como inseguras como DOS, que é utilizado nas primeiras urnas e, mais recentemente, Windows CE. Estes dois sistemas permitem técnicas de debugging que facilitam a realização de engenharia reversa sobre a plataforma da urna. Quem tem mais de 30 anos lembra do DEBUG do DOS e o utilizou no seu dia a dia para depurar problemas de execução. Este mesmo procedimento pode ser utilizado nas nossas urnas e não é nada muito complicado de ser feito. Há rumores, não confirmados, de que grupos de especialistas em segurança tiveram acesso a urnas e utilizaram desta técnica para realizar alterações no funcionamento normal dos programas do sistema.

Ainda sobre esta pergunta, vale salientar e refletir sobre as palavras de Josef Stalin: “Quem vota e como vota não conta nada; quem conta os votos é que realmente importa.” O que nos leva a sair da urna e tentar entender o que acontece com os "votos" depois que eles "saem" das urnas. Quem garante que não há falhas nos sistemas de recepção e processamento dos dados? Outro ponto importante, nesta análise, é que alguns dos softwares utilizados no sistema eleitoral possuem falhas de segurança não divulgadas. O artigo The Vulnerability Economy ilustra o tamanho do mercado de segurança de falhas não divulgadas. Este problema não afeta apenas as urnas eleitorais mas qualquer sub-sistema que faz parte do sistema eleitoral. E é sabido que partes do sistema eleitoral possuem falhas não divulgadas.

blog: se alguém quisesse violar o sistema eleitoral, a fragilidade estaria só na urna?

Como dito anteriormente, existe um sistema de retaguarda que realiza a contagem dos votos e, no meu entender, os componentes deste sistema seriam o ponto ideal para fraudar o processo eleitoral. Stalin, entre outros, já via tal alternativa. Outro ponto importante e bastante negligenciado é que todos os envolvidos no processo eleitoral, do lado dos tribunais regionais e do TSE,afirmam que a urna é inviolável e que, em caso de violação (!), há mecanismos para identificar tais atos. Particularmente, eu  posso acreditar nisso. No entanto, a pergunta que fica no ar é: o que se faz quando tais violações ocorrem?

Vamos a um exemplo: ligar uma urna eletrônica antes do horário previsto não é permitido, e a urna acusa tal ação. Neste caso, a pergunta complicada é “porque, mesmo com o sistema acusando a falha no processo definido, a urna com problema não é considerada inapta?” Não houve violação (tecnológica) de segurança, mas de processo. E não parece haver um controle ou auditoria para vetar ou validar tais falhas. Assim, como dar credibilidade a um processo eleitoral que não consegue tratar nem casos simples como este?

blog: existe algum indício de que o sistema já foi violado em eleições anteriores?

O site www.votoseguro.org descreve várias situações, em eleições anteriores, que podem ser consideradas violações do sistema eleitoral. Há, também, relatórios de análises feitas por pesquisadores brasileiros e estrangeiros que têm conclusões bastante diferentes das do Ministro sobre a inviolabilidade do sistema eleitoral.

Como consultor, recebi uma análise feita em algumas urnas de um certo estado, que acusavam que os HASHs [nota do blog: um tipo de assinatura digital] dos programas utilizados nas urnas diferiam daqueles que o TSE indicava para muitas das urnas. Teria sido um erro no TSE ou, neste caso,  houve mesmo violação? Nunca ficamos sabendo, porque o TRE do estado e o TSE não investigaram o problema. Utilizando um debugger, como dito anteriormente, se identificaria desvios no fluxo de execução do programa. Mas, até onde eu sei, o TSE preferiu não investigar a fundo o ocorrido, daclarando que houve um erro lá mesmo no TSE. Bom… esta opção é a mais fácil e minimiza o problema. Só que, em segurança de sistemas, esta postura é ótima para qualquer hacker. Como se diz, no meu tipo de negócio, neste caso “La seguridad soy jo”.

blog: das últimas [supostas] evidências de violação até o momento, o que foi feito para que o sistema não seja violado [novamente]? se isso não é suficiente, o que deveria ser feito?

Não há evidência de evolução significativa na segurança do sistema eleitoral, por parte do TSE, pelo menos não com respostas concretas e comprováveis a problemas apontados em diversos relatórios sobre eleições passadas.

Para um processo considerado critico ter credibilidade, é necessário que seja regulado de forma clara e por uma entidade que não seja parte interessada nele. Um erro clássico, que ocorre neste caso do sistema eleitoral, é que o TSE desenvolve o sistema, define os procedimentos, regula sua aplicação e audita os resultados. Em tal tipo de contexto, qual o interesse do TSE em assumir que houve alguma falha grave no processo eleitoral, capaz de invalidar uma eleição? Quem garante que não se sabe de falhas (graves, talvez) mas elas não são divulgadas?

Acredito que um primeiro passo para melhorar a confiabilidade e transparência do processo eleitoral seria a criação de um sistema regulatório, a cargo de uma entidade isenta  e que, em caso de falha no processo, tenha condições de analisar o problema do ponto de vista de uma regulação previamente acordada. Não há um CNJ para a Justiça? Talvez fosse o caso de um CNE para as eleições, para supervisionar o sistema eleitoral.

Este seria o primeiro passo. Outra abordagem, que eu confesso não saber se foi feita, mas que algumas entidades  reclamam não ter tido a possibilidade de chegar a tal ponto, é fazer com que especialistas em segurança auditem a urna e tentem descobrir se ela é ou não violável. Eu, particularmente, me interessaria muito por tal trabalho. Esforços semelhantes sobre urnas semelhantes à nossa apontam muitas falhas na urna. Por fim, e neste caso eu não consegui verificar a autenticidade dos vídeos, há registros de violação da segurança de urnas emprestadas para votações no Paraguai. Se estas imagens (1, 2, 3, 4, veja nesta ordem) forem verdadeiras, acho que temos que ficar muito preocupados.

resumo da ópera? especialistas em segurança de informação, como frodo, não têm tanta confiança no nosso sistema de eleições eletrônicas quanto o presidente do TSE. não que o sistema seja furado e esteja sendo manipulado em todas as eleições. mas há indícios de que pode ter sido o caso e parece que, mantido o estado de coisas, pode acontecer de novo [ou de vera]. o sistema bem que poderia estar sujeito a uma auditoria pública, aberta, transparente, para aumentar a confiança do processo. por que não? não resta dúvidas de que nosso sistema eleitoral é um dos melhores do mundo. se pudermos fazê-lo ainda melhor e tão inviolável quanto possível, a um custo aceitável para a democracia brasileira, que razão nos levaria a não tentar?…

Sobre o autor

Silvio Meira

silvio meira é cientista-chefe da TDS.company, professor extraordinário da CESAR.school e presidente do conselho do portodigital.org

por Silvio Meira
por Silvio Meira

Pela Rede

silvio meira é PROFESSOR EXTRAORDINÁRIO da cesar.school, PROFESSOR EMÉRITO do CENTRO DE INFORMÁTICA da UFPE, RECIFE e CIENTISTA-CHEFE, The Digital Strategy Company. é fundador e presidente do conselho de administração do PORTO DIGITAL. silvio é professor titular aposentado do centro de informática da ufpe, fundou [em 1996] e foi cientista-chefe do C.E.S.A.R, centro de estudos e sistemas avançados do recife até 2014. foi fellow e faculty associate do berkman center, harvard university, de 2012 a 2015 e professor associado da escola de direito da FGV-RIO, de 2014 a 2017.

Silvio no Twitter

Arquivo