quarta-feira, 18 de abril de 2012

Para onde foi o (sigilo do) voto?


Em sua segunda edição, o Teste Público de Segurança da Urna Eletrônica brasileira, organizado pelo Tribunal Superior Eleitoral (TSE), teve suas três fases – análise de código pelas equipes de investigadores inscritas, propostas e testes, e audiência pública para divulgação dos resultados – realizadas em março deste ano. Encerrou-se com a divulgação dos resultados no dia 29/03/2012, mas teve a publicação do relatório final postergada para 10 de abril.
Nesta edição, algo de inusitado: todo o esquema para controlar a forma como iria repercutir o que lá se passava, habitual em eventos envolvendo o sistema de votação do TSE, falhou no momento em que uma observadora credenciada, advogada e representante partidária, conseguiu, na tarde do segundo dia de testes, escapar momentaneamente de um vigia que a seguia por lá e enviar um email para o moderador do Fórum do Voto Seguro, informando que havia acontecido o inesperado.
O que houve foi comunicado da seguinte maneira: o investigador Diego Aranha (da equipe da UnB) conseguiu, através de testes, montar a sequência dos votos dados por 475 eleitores. Podemos  completar: ele conseguiu isto com o material que a urna normalmente produz, como resultado numa eleição. A saber: os arquivos que a urna emite e grava em uma mídia de resultados quando a votação se encerra, destinados a fiscais de partido, ao mesário e ao cartório eleitoral, junto com o que vai cifrado para a Justiça Eleitoral totalizar.
Ao recuperar e imprimir, a partir do arquivo RDV, os votos de uma eleição simulada na ordem em que foram sufragados, o teste do professor Diego materializa violação flagrante do inciso IV do artigo 103 do Código Eleitoral (Lei 4737/65), que prescreve, ao sistema de votação IV: “emprego de urna que assegure a inviolabilidade do sufrágio e seja suficientemente amplapara que não se acumulem as cédulas na ordem que forem introduzidas”. O RDV é o Registro Digital do Voto, que representa o conjunto embaralhado de cédulas. É um dos arquivos emitidos pela urna do TSE para fiscalização de eleições oficiais, conforme a Lei 10.740/03.
Tempos modernos
A partir daí, aconteceu o inesperado para a Justiça Eleitoral. Um jornalista postou, às 9h37 do dia seguinte – último dia de testes –, num portal de grande penetração no mundo da informática, uma matéria intitulada “UnB quebra o sigilo da urna eletrônica“. E a Justiça Eleitoral, lá no ambiente em que os testes estavam sendo conduzidos, surtou. Não sabia bem o que fazer... mas começou a reagir. A primeira reação foi cassar as credenciais de observadores que haviam sido concedidas ao fiscais de partido interessados (o teste seria público).
Depois, dizer, pelo mesmo portal, que já tinham consertado, e que o que havia acontecido lá nos testes não quebrava o sigilo do voto. E, então, entrar na grande mídia dando declarações com o sentido de conter o estrago na imagem de perfeição, de indevassabilidade do sistema (SIE), algumas das quais vamos tomar como fio condutor desta narrativa. O mais importante para um professor de ciência da computação que se dispõe a fazer isto é o fato de o presidente do Tribunal Superior Eleitoral ter respondido ao que estava acontecendo, para o jornal O Globo, falando em código. Vamos então ao que o ministro declarou.
“Não houve violação da urna eletrônica durante o teste, porque os especialistas tiveram acesso a um código… Foi dentro de um ambiente controlado. Isto numa situação real seria absolutamente impossível porque ele não teria acesso à fonte.… O eleitor pode ficar tranquilo que não é uma quebra, porque esta não era uma situação real e não há como vincular a sequência de votação ao eleitor” disse Lewandowski.
Como decodificar? Tentando. Primeiro: ninguém, nos primeiros momentos da divulgação do que estava acontecendo nos testes de segurança da urna, declarou ou divulgou que tinha havido quebra ou violação da urna propriamente dita, e sim do sigilo do voto na urna (pelo inciso IV do artigo 103 do Código Eleitoral). Para evitar confusões, é imperativo considerar que, em se tratando de informática, há códigos e códigos.
No caso em análise, código fonte é o que o programador escreve para ser traduzido, por outro programa, em linguagem de máquina que vai ser entendida pela urna. Então, código fonte é o que o programador entende, e sobre o qual ele trabalha; é obra dele; enquanto código executável é um resultado desse trabalho que a urna entende, e segundo o qual ela trabalha. Ninguém mexeu em código na urna! Conheceu-se código fonte que é usado para gerar código executável na urna.
Outra grande confusão, que pode ocorrer em possíveis interpretações da declaração em exame, é entre a urna e o sistema. O sistema eleitoral brasileiro, chamado SIE, não é só a urna eletrônica. A urna é só um pedaço do SIE. E, creiam vocês, não é o mais importante para quem queira fazer trapaças com o processo eleitoral, nos moldes em que ele é conduzido hoje.
Antes de uma eleição, há um processo de preparação, que é tão importante quanto o que ocorre no dia da votação. Tudo o que vai durante uma votação deveria ser homologado para verificar se atendeu à especificação, mas do jeito que é feito hoje, é praticamente apenas a Justiça Eleitoral que a isso se dedica. Nem sempre com muita precisão a verificar se o que foi entregue, se o que foi feito, corresponde ao que foi solicitado por escrito nos editais. E o mais importante é que o processo deveria incluir, ou possibilitar, meios independentes de verificação dos resultados.
Não mais. Nossa sociedade aceitou trocar o direito de fiscalizar de fato, com eficácia, o processo que escolhe nossos representantes políticos por algum fetiche relacionado à facilidade e à rapidez. Se a sociedade está desencantada com os políticos, por que seus cidadãos iriam fiscalizar pessoalmente o processo que os escolhe? Não seria mais prático, nesses tempos modernos, confiar tal tarefa à própria tecnologia, a mecanismos automatizados e impessoais, mesmo que incompreensíveis para o eleitor comum? Não estaria tudo bem, já que com tais mecanismos em uso ninguém consegue ver ou provar que estaria havendo fraude?
Ufanismo ingênuo
Reflita. Há algo crucial que tal linha de raciocínio tende a ignorar: são esses mesmos políticos que escolhem, através de leis, como serão esses mecanismos. Ignorar tal fato, e suas consequências mais óbvias, pode ser sinal de doença para a democracia, potencialmente fatal. Se alguém quiser avaliar por si mesmo se tal ignorância seria ou não perigosa, mesmo ou como, precisa então conhecer melhor nosso processo eleitoral, superando suas próprias desculpas para tão toscas confusões. O diagrama abaixo tenta ilustrar um pouco como é o processo de votação.
Os momentos e os canais pelos quais um eleitor ou um candidato poderia agir para fiscalizar se o processo está ocorrendo corretamente, sem interferência indevida, são essas linhas verticais ou inclinadas que cruzam a linha vermelha. No processo eleitoral, o que é eletrônico corre pela linha horizontal superior em cada quadro do diagrama acima, e a atuação das pessoas que querem fiscalizar deve ocorrer nas etapas de controle, nos quadros abaixo da linha vermelha.
A informatização como instrumento para facilitar e/ou agilizar a apuração e a totalização deveria ser acompanhada de (sub)processos de fiscalização que normalmente existem em eleições, informatizadas ou não. Um fiscal deve poder conferir se o eleitor, que está indo votar, é quem foi identificado mesmo pelo mesário (quadro de controle à esquerda, no diagrama acima); o eleitor deve poder ver se o voto que ele está registrando é o que vai ser entendido ou recebido pela urna (segundo quadro), e assim por diante.
No voto em papel, o eleitor sabe que a cédula a ser depositada ali vai ser – se a urna não for violada – uma das que surgirão quando a urna for aberta para contagem ou recontagem. Enquanto numa urna DRE, ele só vê o botão que aperta; ele vê alguma coisa na tela, mas ele não está vendo os bits que vão entrar numa tabela (RDV) dizendo para qual candidato seu voto será contado. Nem como os bits vão representar o total de votos dados a cada candidato na sua seção eleitoral, em um arquivo chamado Boletim de Urna (BU), que serão somados numa outra tabela na totalização nos TREs.
O eleitor está acreditando que vai ser conforme ele vê na tela, conforme os eleitores veem em suas telas, mas ele não tem como verificar. Verificar com a própria urna dizendo estarem íntegros os seus programas, seja por testes de votação paralela, por assinatura digital ou por qualquer outro método, é puro teatro, com mais ou menos truques, como até o próprio inventor da assinatura digital atesta. É um ato de fé, artificiosa e distinta da fé na persistência do papel, pois a violação eletrônica de registros e mapas de votação virtuais pode ser invisível, sem rastro e por atacado, tudo ao contrário da violação de registros materiais. Alegar aqui a honestidade dos “nossos programadores”, contar com ela ou supô-la por decreto, funciona como prova científica de que o modelo de segurança de sistemas de votação com urnas DRE nasce quebrado.
No modelo VVPT, sigla em inglês para Voter-Verifiable Paper Trail, sistemas que permitem uma trilha de auditoria para verificação, pelo eleitor, de que o registro e a contagem de votos estão sendo feitos corretamente, a urna tem que não só somar eletronicamente os votos, mas também produzir ou trabalhar com um registro material de cada voto que corresponda ao voto contado eletronicamente, para efeito de recontagem em caso de dúvida ou de sinais de que alguma coisa errada ocorreu por falha ou manipulação indevida através do software.
Existem duas maneiras de a urna VVPT fazer isso: ou ela trabalha com o registro material na entrada – escaneando o voto registrado em papel –, maneira usada na maioria dos países hoje que usam votação eletrônica, como os EUA (na grande maioria dos estados), a Rússia, a França (onde a votação é feita eletronicamente em apenas 3% das seções eleitorais) e muitos outros; ou ela trabalha com o registro material do voto na saída – imprimindo o voto para ir para um repositório que permite uma conferência independente do software em caso de necessidade.
A trilha de auditoria com registro material do voto no modelo VVPT não é uma solução ideal, não é uma solução necessariamente boa. Até porque, em havendo discrepância entre contagem virtual e recontagem manual, o modelo VVPT não indica onde está o erro ou manipulação indevida, e uma delas terá de ser privilegiada. No final das contas, porém, nenhum sistema de votação será bom se a sociedade não tiver interesse em usá-lo para fiscalizar sua função. Não adianta imprimir voto, ler voto escaneado, ou fazer eleição com uma parafernália de medidas teatrais mas sem nenhum registro material – como é o caso brasileiro – se uma massa crítica de eleitores não estiver interessada e diretamente envolvida na fiscalização do processo, mas não como meros espectadores ou robôs.
Entretanto, o modelo VVPT apresenta uma certa vantagem sobre o DRE que é crucial em democracias que se levam a sério. A saber, a vantagem de não cercear, a pretexto de uma inevitável modernização, o direito do eleitor que queira fiscalizar o processo de votação eficazmente poder fazê-lo. Se esse direito for cerceado pela arquitetura do sistema de votação, não adianta nem querer. E se quisermos mesmo evoluir nisso, temos que começar reconhecendo e desmistificando o ingênuo ufanismo que tem prevalecido entre nós, alimentado por intensa e difusa propaganda institucional. Para isso precisamos enxergar nosso processo eleitoral em perspectiva, com um olhar desapaixonado, para entendermos como chegamos onde estamos.
Urnas, mais urnas
Voltando ao ano de 2002, na trilha do que ficou conhecido como “escândalo do painel do Senado”, em que o presidente e um ex da casa lavaram roupa suja na mídia, a sociedade se chocou com a manipulação de votações eletrônicas – lá a “falha” foi justamente de quebra do sigilo em votações supostamente secretas –, e o resultado do choque foi uma lei que reintroduzia o voto impresso, para fins de fiscalização da apuração eletrônica, medida presente em nossa primeira eleição com voto informatizado, em 1996, embora não usada. Esta lei, a 10.408/02, exigia que as urnas DRE em estoque fossem adaptadas para VVPT, e que nas eleições seguintes 3% delas tivessem a apuração recontada manualmente, a partir dos votos impressos e guardados na mesma, para validação da apuração eletrônica.
Tal medida foi objeto de sutil sabotagem pelo fiscalizado, ao interferir na tramitação do correspondente projeto de lei – e consequentemente na posterior vigência da mesma –, para depois se dispor a “testar” tal medida antes da lei entrar em vigor, nas eleições de 2002, indo ao encontro dos anseios de quem não quer nada com fiscalização de votação. Para então, em 2003, uma vez esquecido o escândalo do painel do Senado, de lá mesmo promover uma espécie de “solução” para o “caso”: aprovada de forma estranha e às pressas, uma nova lei, de número 10.740/03, substituiu o voto impresso por algo equivalente a um bode na sala da urna – o RDV –, o qual viria depois a ser o pivô das inusitadas ocorrências na segunda edição do Teste Público de Segurança da Urna, em março de 2012.
O RDV, sigla para “Registro Digital do Voto”, é uma espécie de representação virtual daquilo que conteria uma urna VVPT que imprime votos. A urna conteria uma cédula de papel para cada voto, com uma marcação de candidato escolhido para cada cargo em que o eleitor votou. Esta cédula é então representada eletronicamente no RDV, cujo formato natural é de uma tabela ou planilha eletrônica. Segundo a justificativa no projeto de lei que o introduziu, o RDV serve para fiscais de partido “validarem” a apuração e totalização, e para pesquisadores estudarem comportamentos do eleitorado.
Doutro lado, como nesse período cresceu o rol de deputados que se sentiram lesados ou desprotegidos em eleições, dentre outras razões pela total ineficácia do RDV como instrumento fiscalizatório, semelhante ao de se comparar um documento questionável com uma cópia xerox do mesmo, a Câmara do Deputados tomou a iniciativa de aprovar, e aprovou em 2009 – derrubando reveses que o Senado havia enganchado em 65 emendas –, mais uma lei eleitoral, a número 12.034/09, que mais uma vez reintroduzia o voto impresso como medida fiscalizatória via adaptação das urnas DRE em estoque ao modelo VVPT (no Artigo 5°).
Mas tal medida, prevista para vigorar a partir de 2014, foi suspensa desta vez por sentença cautelar, em Ação Direta de Inconstitucionalidade (ADI 4543) impetrada com base em argumento tecnicamente falacioso, que confunde assinatura eletrônica da urna com assinatura eletrônica do eleitor na cédula impressa. Confusão esta inteiramente gratuita, já que não há nada na legislação eleitoral que preveja, descreva ou mencione assinatura digital do eleitor no processo de votação, se ao termo “assinatura digital” for atribuído o mesmo sentido técnico – como certamente pretendeu o legislador – que a própria Justiça Eleitoral sempre atribuiu à “assinatura digital” da urna, lavrada e verificada desde 2002 em arquivos eletrônicos que a urna DRE emite e recebe.
A sentença cautelar desprezou argumentos apresentados em amicus curiae, admitido nos autos, explicando como a ADI 4543 se baseia apenas em tal confusão gratuita. E foi proferida, em outubro de 2011, pela mesma ministra do Supremo Tribunal Federal que, salvo desconhecida homonímia, assume a presidência do Tribunal Superior Eleitoral em 18/04/2012. Tribunal que licitou, dez meses após a aprovação da Lei 12.034/09 e 15 meses antes de proferida a tal cautelar, uma compra de 250 mil novas urnas totalmente desqualificadas para cumprir as medidas de segurança exigidas pelo artigo 5° daquela lei, resultando em contrato que depois foi aditado para a compra de mais urnas, totalizando 313 mil, a maior parte entregue antes mesmo de impetrada a ADI 4543.
Digitando e compilando
O direito a mecanismos de fiscalização baseados em registro material do voto foram e seguem sendo assim quebrados, por mudanças na legislação ocorridas em 1997, 2003 e 2011 (indicadas na figura acima). Seu pretenso substituto, o RDV, passou mais da metade de sua vida recluso, com a Justiça Eleitoral levando cinco anos para permitir o cumprimento de sua suposta finalidade. Respirou ares desta finalidade só nas duas últimas eleições, quando fiscais de partido receberam RDVs de 2008 e 2010, apesar de os estarem solicitando desde a eleição de 2004. E pôde finalmente mostrar para que serve, em situações, diremos, reais, em 2012. Se é para conhecer melhor o processo, cabe aqui perguntar: por que a Justiça Eleitoral demorou tanto para permitir sua suposta finalidade, e qual é a sua real utilidade?
Para possíveis respostas, temos antes que entender como o RDV pode representar publicamente todos os votos de uma seção eleitoral sem violar o sigilo do voto do eleitor. O RDV é no fundo um arquivo linear de caracteres digitais, mas com um formato que corresponde a uma tabela, a uma planilha, onde o eleitor, ao votar, tem suas escolhas nela registradas pelo software da urna em posições aleatórias. Ou supostamente aleatórias (um exemplo hipotético, com uma seção de sete votantes para eleição de presidente, governador e senador, pode ser vista aqui).
Para desfazer mais confusões que se seguiram, é bom frisar logo um fato importante: os testes que o professor Diego Aranha conduziu no TSE em 20 e 21 de março foram realizados num ambiente de eleição oficial simulada, apenas com material que a urna produz normalmente. Ele não tocou na urna. Ele apenas recebeu o material que a urna gravou e imprimiu ao fim da votação simulada, e com ele tentou reconstruir a sequência de votos dados. O rompimento do lacre do pendrive, ali, atesta apenas e tão somente que o teste foi feito com uma votação oficialmente íntegra, e nunca que ele teria violado a urna para poder realizar o teste, pois os votos dessa urna só seriam oficialmente válidos e totalizados se o mesmo lacre estivesse ileso ali para ser rompido, naquele exato momento, tal e qual.
O que é que o professor Diego precisava para fazer o que fez? Ele precisava saber como foram escolhidas as posições dos votos, supostamente aleatórias, na tabela do RDV. Como ele só pôde examinar o código fonte do software da urna por algumas horas em dois dias, e uma semana antes dos testes, e esse código tem cerca de dois milhões de linhas, então é como se ele tivesse tido a oportunidade de entrar numa biblioteca com cinco mil livros para consultá-los e entender nesse tempo como a urna seria programada. Daí ele iria para o teste, para programar, em um computador alocado para isso, algo que pudesse mostrar como a urna é vulnerável. Mas o jogo desses testes – públicos, porém controlados (i.e., não independentes) – é de cartas marcadas contra os investigadores.
Ele teria três dias para fazer isso, mas teria que antes dizer à Comissão Organizadora dos testes o que pretendia fazer, isto é, qual o seu plano de ataque, e obter dela autorização para executá-lo, sempre vigiado pelo pessoal do TSE que desenvolveu o sistema. Ele então submeteu um plano para dois tipos de ataque, com detalhamento raso o suficiente para serem aprovados (para que a Comissão os considerasse de sucesso impossível), mas com uma óbvia preocupação. A de que se o pessoal que o estava vigiando percebesse o que ele estava mesmo fazendo, eles poderiam, violando ocultamente as regras do jogo, ir ao ambiente de desenvolvimento do sistema e mudar o código na urna de teste para que o ataque não mais funcionasse como planejado.
Ou seja, se a urna que iria gravar o pendrive fosse mudada no meio do jogo, o que ele estaria tentando fazer não iria dar certo. Então ele teve que fazer seu programa, que reconstrói a sequência de posições para gravação no RDV, escondendo o que estava fazendo dos que o vigiavam, limpando a tela quando alguém vinha com olhar mais curioso, não deixando rastro no computador que lhe deram para trabalhar no TSE, tendo que lembrar à noite o que foi feito no dia, digitando e compilando de novo em casa. E já no primeiro dia ele havia conseguido: no computador que lhe deram para trabalhar, a partir do material produzido pela urna em votação simulada, reconstruir a sequência das posições para cada eleitor, ler e montar a sequência das votações numa lista, e apresentá-la como resultado.
Leitura atenta
Como o pessoal que desenvolveu o software da urna parecia não estar acreditando no que estavam vendo, o professor Diego precisou repetir o teste para dez, 16, 21 eleitores até que os mesmos decidiram, para o dia seguinte, fazer um teste definitivo: com votação a mais próxima da real possível, com 475 eleitores, que é a média de participação por seção na eleição passada. E fizeram. Levaram duas horas e meia para fazê-lo. E quando estavam por encerrar, uma advogada devidamente credenciada junto ao TSE como representante partidária e observadora dos testes, aproximou-se para observar. E presenciou quando o professor Diego, ao final da simulação e do resultado bem sucedido, recebeu permissão do seu vigia para falar com a imprensa da Universidade de Brasília, e concedeu entrevista.
Só que a Comunicação Social da Universidade de Brasília parece não ter tido autonomia para soltar o material lá gravado. Nem no dia seguinte, nem no outro. Talvez porque na Comissão Organizadora dos testes houvesse gente do alto escalão da reitoria não muito interessada em que a divulgação do ocorrido naqueles testes saísse primeiro pela versão do investigador, e não pela versão do investigado, que lhe nomeara para a tal Comissão. Se não fosse aquele e-mail da advogada, e a matéria do jornalista da Convergência Digital, o ministro que presidia o Tribunal Superior Eleitoral, e que até o dia 18/04 deverá presidi-lo, não teria nos dado a oportunidade de decodificar aquelas suas declarações a O Globo. O que pretendo continuar fazendo, com a permissão do leitor.
A próxima frase é a seguinte:
“…Foi dentro de um ambiente controlado. Isto numa situação real seria absolutamente impossível porque ele não teria acesso à fonte.…”
Ora, o investigador Diego não teve acesso a nenhum código fonte na hora em que ele executou o teste. Nem à do seu próprio programa, que estava em sua casa. A do software da urna, ele teve acesso uma semana antes. E aquela montanha de código, ele teve pouco tempo para examinar. É como se o tivessem amordaçado, atado uma venda nos seus olhos, jogado-o num palheiro contendo uma agulha, e lhe pedido: “Encontre a agulha.” Como ele é um exímio profissional, competente cientista, e tem o jeito para a coisa como especialista em segurança computacional, ele usou o faro e o tato. E achou a agulha no palheiro, que é a reconstrução daquela sequência de posições no RDV.
Ele sabia exatamente o que procurar, e onde. E se surpreendeu com o que encontrou. Tanto que em menos de uma hora de inspeção, nas mais de dois milhões de linhas de código, ele já tinha um plano de ação para os dias de teste. Então, está na cabeça do professor Diego, está na cabeça de quem o professor Diego pode ou escolhe explicar – e que também entenda –, daqui para a frente, o que aconteceu nos testes, e por que. Não há necessidade de se ver de novo o que está lá guardado no TSE, ou o código fonte que na ocasião lá estava. Até porque a explicação que está na cabeça do professor Diego é possível de ser inferida, por pessoas aptas a entender, do relatório dos testes elaborado em conjunto por sua equipe e a tal Comissão, publicado pelo TSE em seu portal em 10/4.
No que concerne à mensuração das vulnerabilidades reveladas pelo sucesso de tais testes, código fonte é importante para aquilo que o software da urna fará em eleições seguintes. Muda-se nele o trecho que gera as posições de gravação no RDV, para uma forma não ou menos previsível. Já o código fonte de versões do software instaladas nas urnas em eleições passadas, as quais geraram RDVs como parte do seu funcionamento normal, este já era. Para tal mensuração, a lógica que determinou as posições de gravação naqueles RDVs, inclusive os das eleições de 2008 e 2010 que hoje estão com fiscais de partido, está fixada e é testável nos próprios RDVs, apesar dessa lógica ter se originado de um código fonte que... Mas de que fonte estaria falando o ministro?
Seria a de eleições anteriores, ou a desses testes? Será que são o mesmo código, ao menos no trecho que determina as posições de gravação no RDV? Ou não? Que dica maravilhosa tal ambiguidade conota, para quem possa querer fraudar: se você mudar uma linha, 5 ou 20 de um código, numa agulha de um palheiro de símbolos, você pode produzir efeito em até 450 mil urnas, sem precisar ir a cada uma delas, ou sequer mandar alguém se aproximar. Se prejudicados não souberem da mudança, ou melhor, se os trouxas não tiverem como provar que ela foi feita, eis aí um fio de bigode. Pois o leigo não percebe o perigo da votação em urnas DRE, no fato dela concentrar riscos em quem faz o software funcionar. Das fraudes, ele se preocupa é com as visíveis de varejo.
Voltando ao que a frase do ministro denota, sua leitura direta dá a entender que a “fonte” à qual se refere seria o código fonte do software da urna que “ele” (professor Diego) testou em 20 e 21 de março, código que ele teria visto uma semana antes. E que o “isto” na mesma frase refere-se à recuperação da ordem dos votos a partir de um RDV produzido por uma urna em votação normal, que o teste simulou. Assim, o ministro estaria literalmente dizendo, em palavras menos ambíguas, que fora dos testes seria impossível recuperar a ordem correta dos votos porque ele (Diego) não vai mais ter acesso à fonte que ele viu na primeira fase dos testes. Mas, alto lá.
O professor Diego não precisa mais ter acesso à tal fonte para reordenar os votos de RDVs gerados com o software testado: isto ele provou pelas próprias condições, aqui citadas, sob as quais seus repetidos testes foram bem sucedidos. Portanto, ele não precisa desse acesso para desembaralhar os votos de qualquer RDV gerado por qualquer software que, tendo funcionado em votações, determinou da mesma forma as posições para gravação no RDV. Nem o professor Diego precisa desse acesso, nem ninguém que venha a entender, até de uma leitura atenta do relatório dos testes: que forma é esta, e como replicá-la para se ler os votos na ordem certa. Inclusive possivelmente dos RDVs das eleições de 2008 e 2010 hoje em posse de fiscais de partidos ou de pesquisadores.
Edital dixit
Há ainda duas outras extensões da vulnerabilidade detectada com os testes que cabem citar. Uma, que concerne ao código fonte para o software da urna em eleições futuras: qualquer cidadão que se inscreva como fiscal de partido tem direito legal de examiná-lo (Lei 9.504/97), durante um período que antecede sua compilação, em cerimônia pública, para o software correspondente. Ou, supostamente correspondente: embora o objetivo da lei suponha assim, sua execução pelo TSE não tem dado qualquer garantia de que o código fonte mostrado aos fiscais seja o mesmo que é compilado na cerimônia, ou que o sofware ali compilado seja o mesmo que irá funcionar nas urnas. Ao contrário: ao menos nas eleições de 2000, 2004 e 2008, um ou outro sabidamente não o foram.
Então, em situações reais, muitos poderão saber, embora talvez aproximadamente, como a urna funciona(ria). E é assim, de lei, simplesmente porque em sistemas de votação com urnas DRE tal possibilidade é a única âncora de confiabilidade que eles oferecem. Porém, nas situações em que o software da urna pode mudar a qualquer momento, sem que legítimos fiscais saibam como, quem por último escreve na fonte ou produz tal software terá a primazia de saber como exatamente ela funcionará. Brandir tal fato como garantia – implícita ou derivada – de segurança ao eleitor que quer lisura no processo, é um crasso erro de engenharia da segurança, conhecido como tal há mais de cem anos (Lei de Kerckhoffs). Pois nessa primazia podem crescer certos fios de bigode.
Diante disso, cabe concluir que, com a introdução dos RDVs, nada relativo a sigilo do voto é absoluto. Mudar no código fonte o trecho que gera as posições de gravação no RDV para uma forma não previsível é tarefa de sucesso incerto até nas novas urnas, que já vêm com hardware criptográfico, pois as ações da urna no início da votação são bem previsíveis, gerando entropia pouca até para esse hardware. Mudar o código para uma forma menos previsível ou percebível, por sua vez, expõe à tal primazia uma faca e queijo, já que o RDV acabou amarrado à forma como o software da urna hoje opera, talvez devido ainconsistências que sua introdução, imprevista, causou num sistema desenvolvido precariamente. Na sala, bode amarrado também cresce barba, cujos fios poderiam ser de bigode.
Outra extensão da vulnerabilidade detectada que cabe citar concerne às eleições passadas. Trata-se do que o professor Diego chamou de “ataque de Sandy”. Voltando à declaração do ministro, dela entende-se que “isto” – o que o investigador fez nos testes – seria absolutamente impossível “numa situação real”. As quais incluem, obviamente, eleições passadas. Como as de 2008 e 2010, que distribuíram RDVs. Então, podemos completar nosso entendimento da frase concluindo que seria absolutamente impossível revelar votos das eleições de 2008 e 2010 usando a técnica que o professor Diego empregou nos testes. E, portanto, que nos RDVs de 2008 e 2010 as posições de gravação não foram determinadas da mesma forma, escancaradamente previsível, que no software testado em 21/3/2012.
Mas então, surge uma dúvida, talvez cruel. Se o software da urna nas eleições de 2008 e 2010 não tinha esse furo, na forma escancaradamente previsível de embaralhar votos no RDV, e o das eleições futuras não o terão, pois o furo teria sido imediatamente corrigido, por que ele ocorre somente no software submetido a testes de segurança em março de 2012? O sistema não estaria evoluindo para maior segurança, como diz a propaganda institucional, nesse intervalo? Ou será que o software de 2010 e o desses testes são os mesmos, quiçá no trecho de código que gera posições de gravação no RDV, onde está esse furo (que poderíamos chamar de “furo de Sandy”)? E que, portanto, o ministro deve ter se enganado sobre aquela impossibilidade?
Por que temos esta suspeita? E por que é preferível acreditar nela, em detrimento da alternativa, que seria a hipótese de uma ambiguidade marota sobre o código do qual se está falando? Porque é o que está no edital dos testes! O Edital dos Testes de 2012 diz que o software a ser examinado pelas equipes inscritas é o que roda na urna. Ou seja, o que rodava na urna até o dia do teste. Na versão lida da web antes dos testes, o edital dizia, explicitamente, que os testes vão “considerar o software de votação utilizado na seção eleitoral”. Se o ministro de fato se enganou a respeito da sua impossibilidade em situações reais, o que seria possível fazer então com o tal ataque de Sandy?
Abordagens inteligentes
Algumas coisas, além das que o investigador Diego pôde fazer em dois dias, com os autores daquele código fonte em suas costas, com interesse dos mesmos no fracasso de suas tentativas, e com acesso deles ao código da urna para mudá-lo durante os testes – como de fato declararam tê-lo feito, no último dia dos testes. Se, dos documentos para fiscalização que a urna gera ao final da votação numa seção, alguém tiver além do RDV o Log, o qual registra dados de eventos ocorridos na urna, incluindo o horário dessas ocorrências, é possível recriar um ordenamento maior, sabendo-se como montar o ataque de Sandy.
Para isso é necessário saber como, num software com o furo de Sandy, a semente para o embaralhamento é obtida pela função que gera as posições de gravação no RDV, e qual função é esta. Ambas informações dedutíveis, por quem é capaz de entendê-las, do referido relatório. Emparelhando-se os eventos de votação registrados no Log, com a sequência de votos lidos do RDV na ordem correta, é possível então listar os votos dados na seção segundo o horário em que foram registrados. Mas aí tropeçamos na frase seguinte daquelas declarações do ministro Lewandowskia O Globo. Examinemo-la:
“... O eleitor pode ficar tranquilo que não é uma quebra, porque esta não era uma situação real e não há como vincular a sequência de votação ao eleitor.”
É certamente uma exploração de um furo, o qual pode estar presente em situações reais, através da lógica que determinou as posições de gravação nos RDVs das eleições de 2008 e 2010, alguns dos quais estão hoje também com fiscais de partido. E em se detectando nestes RDVs, através de testes, os sinais de origem do furo de Sandy, haverá como vincular claramente deles a sequência de votação ao horário em que o eleitor votou. E daí? A resposta requer que examinemos melhor essas situações reais. Para ilustrar, tomemos um exemplo que nos parece didático.
Com a ajuda do Google encontramos uma nota, publicada pela Agência de Notícias da Justiça Eleitoral, informando que o sr. ministro, o próprio declarante da frase acima, votou na 679ª seção da 1ª Zona Eleitoral do Distrito Federal, “por volta das dez horas da manhã”, em trânsito, no primeiro turno da eleição de 2010. É certo que o horário informado na nota está vago, e que quem tiver o RDV e Log correspondentes – o TRE-DF certamente deve ter – e deles sequenciar os votos da seção, não vai saber qual foi o voto deste eleitor. Mas se a grande mídia é confiável em relação a assuntos eleitorais, então podemos procurar melhor: o Correio Braziliense informa que naquela ocasião Ricardo Lewandowski votou às 10:30h, e levou menos de um minuto para votar.
Pelo menos nesse exemplo, do próprio declarante da frase que tentamos decodificar, uma situação real permitiria, sim, vincular o voto ao eleitor. Dependendo apenas do código da urna de 2010 ter também, ou não, o furo de Sandy. O que nos devolve àquela dúvida, talvez cruel, mas testável. E se testes indicarem que tal furo está também lá, quem poderia fazer “isto”? Ora, qualquer um que tenha, ou possa obter, os arquivos de fiscalização da 679ª seção da 1ª Zona Eleitoral do Distrito Federal, de 2010, com capacidade para entender como funciona o ataque de Sandy. Se “isto” não se configura em quebra de sigilo ou violação de urna, pelo menos em quebra de confiança de eleitores que querem lisura eleitoral (inciso IV do art. 103 do CE incluído) em algo ou alguém responsável pelas eleições.
Numa eleição, não é só o interesse da Justiça Eleitoral que está em jogo. Ou, o do eleitor em abstrato. Ou, o de um candidato. Há muitos atores, agentes que participam de um processo eleitoral que podem abrigar interesses, visíveis ou não, potencialmente conflitantes com interesses de outros participantes, legítimos ou não. Certamente interesses de candidatos que estão concorrendo para o mesmo cargo, esses são explicitamente conflitantes: ambos querem ser eleitos para o mesmo cargo e só um vai ser eleito; mas, e os dos outros? Uma lista resumida de atores e agentes principais pode ser assim:
** Eleitores (em geral, que desejam lisura);
** Candidatos a cargo (em geral, mais de um);
** Administradores do processo (juízes eleitorais);
** Técnicos internos (do TSE e TREs);
** Auxiliares externos (fornecedores, terceirizados);
** Mesários (eleitores com função operativa);
** Fiscais (de partidos ou candidatos).
 Quem acredita, por exemplo, que “'rouba mas faz” é uma boa atitude em relação a votação, seria um eleitor que não se enquadra no padrão abstrato, entre os que são acima listados como representativos de algum interesse legítimo no jogo eleitoral. Doutro lado, eleitores em abstrato podem representar um padrão de atitude conflitante com a de muitos, se, por exemplo, cada candidato quiser ser eleito de qualquer jeito, mesmo com fraude se possível. Então, os pontos no processo eleitoral onde algo pode dar errado, na perspectiva de um ou de outro interesse, onde alguma trapaça pode acontecer, são inúmeros, não é só a urna.
O que foi mostrado acima é algo que pode ser feito com um pequeno componente de toda essa coisa chamada Sistema Informatizado de Eleições (SIE), que é o RDV. E de onde vem tanta confusão, que nos causou levar tanto tempo para tentar decodificar quatro frases em declarações do ministro responsável pelo SIE a O Globo? A confusão começa com o entendimento do que é segurança. Palavra que é ... uma palavrinha abusada! Qual seria a melhor maneira de entendermos o verdadeiro significado dela? Creio que seja procurando no dicionário os verbos que estão associados ao substantivo.
Se procurarmos no Aurélio e no Houaiss, o Aurélio tem 12 acepções para “segurança” e o Houaiss tem 15. Dessas, 9, tanto no Houaiss como no Aurélio, podem estar relacionadas com procedimentos eletrônicos, digitais, de informação, de informática. Todas essas 9 acepções de segurança nos dicionários mais usados hoje, e que podem dizer respeito a informatização, remetem ao verbo “proteger”; e o verbo “proteger” é um verbo bitransitivo. Então a confusão com “segurança” acontece quando as pessoas usam a palavra como se fosse associada a um verbo que não é bitransitivo. Protege-se alguém (ou algum interesse), contra algo (ou algum risco). Proteger simplesmente, pode ter sentido ambíguo; e em segurança toda ambiguidade é perigosa.
De sorte que esse negócio de falar em segurança da urna, e não do processo eleitoral ou do SIE, é um golpe neurolinguístico na cabeça das pessoas para elas não entenderem o que está acontecendo e acharem que estão entendendo: Todos têm opinião. Todos se chocam quando mostramos essas coisas, não? Então, por que o fato de poderem existir mais de dois interesses potencialmente conflitantes num processo, como certamente no eleitoral, é crucial para abordagens inteligentes aos seus aspectos de segurança? Porque, com mais de dois interesses potencialmente conflitantes, surge um tipo de risco inexistente em processos mais simples: o risco de conluios.
Sem rastro material
É difícil escrever inteligentemente sobre segurança para um grande público, especialmente com concisão (como consegue fazer, por exemplo, Bruce Schneier), dentre outros motivos por barreiras na linguagem. Como falar desse tipo de risco a uma audiência cuja maioria desconhece o significado da palavra empregada no Direito? Conchavo. Colusão. Treta. Esconder um interesse conflitante ou concordante com o de outro para enganar um terceiro. Aquilo que está descrito no artigo 171 do Código Penal etc. Mas, temos que tentar. E aqui escolhi então usar, acima, uma hipérbole para bom entendedor: aquilo que se firma com certos fios de bigode.
O que é importante, para navegarmos as dimensões da segurança no SIE, é que neste caso “segurança” deixa de ser sinônimo de sigilo ou de transparência (pois há risco inerente de conluios) e passa a ser sinônimo de equilíbrio entre sigilo e transparência. Porque aí há que se considerar interesses potencialmente conflitantes onde há mais de dois, e não há razão, em princípio, para que um só prevaleça na escolha dos interesses mais importantes. E mesmo que haja escolha – hobbesiana ou não – de um interesse mais importante no processo, para que esse interesse possa ser melhor atendido, na presença do risco de conluios, nem sempre o sigilo máximo ou a transparência máxima correspondem a eficácia em seu (sub)processo de segurança.
No caso do processo político, a transparência é quase sempre uma arma a favor do político e do administrador honesto, enquanto um risco para o corrupto. Então, quando lhe falarem amanhã sobre segurança da urna, entenda segurança no processo eleitoral ou no SIE. Podemos então aproveitar que chegamos até aqui para avaliar com inteligência os riscos e benefícios da transparência que foi possível consubstanciar-se nesse Teste Público de Segurança. Para começar, quais são quais, vai depender do referencial de interesses em foco. Por exemplo, o ataque de Sandy, que dele emergiu, é apenas um dos possíveis ataques, e de longe o mais ameno comparado a outros também possíveis com o SIE. Mas, em dois sentidos, muito melhor/pior que os outros.
Pois bastante educativo: aconteceu dentro do TSE, vazou o fato por uma observadora ativista, ativistas do Fórum do Voto Seguro divulgaram, um jornalista que acompanha o Fórum foi atrás, deu o furo da notícia pela versão do investigador em um portal de grande penetração, a autoridade eleitoral — que não pôde negar tudo — reagiu como pôde, permitindo à audiência do 1° Encontro Nacional de Grupos Contra Corrupção e Impunidade assistir, em palestra no dia seguinte à última etapa dos testes (a de premiação), em primeira mão no Brasil, a uma explicação didática do que havia de fato lá ocorrido. Coisa que nunca foi possível com os outros tipos de ataque.
Por que nunca foi possível? Por um motivo simples: porque, caso tenham de fato ocorrido em alguma eleição, a vítima, para provar que certo ataque teria ocorrido e prejudicado sua candidatura no pleito em que concorria, teria que buscar provas e apresentá-las em juízo para impugnar o resultado da eleição, ou a própria. Mas qual é o problema que um tal candidato enfrentaria numa situação dessas, como vários já enfrentaram? As provas estão na mão de quem poderia ser réu, que também é o juiz. E o possível réu vai entregar provas contra ele, ou admiti-las, para ele mesmo julgar-se?
Então, o que significa para quem, como o autor, está em busca do voto consciente, da eficácia da ficha limpa e da ética na política, o que significa tudo isso num processo eleitoral onde o responsável pela votação, apuração, totalização e divulgação oficial de resultados é quem julga tudo a respeito, é quem prepara o processo, e – com lobby legislativo – é quem diz como tem que ser o sistema de votação e sua fiscalização externa? Aquele vai-e-vem entre VVPT e DRE, modelos com ou sem rastro material do voto para permitir fiscalização eficaz, é fruto do lobby da Justiça Eleitoral para não permitir o voto impresso. Por quê? Antes de entrar nesta questão, vamos primeiro entender o motivo do nome “ataque de Sandy”.
Bico de laser
Ao explicarmos o ataque aqui ou alhures, poderia parecer que estamos perseguindo algum eleitor em especial. Um nome para esse tipo de ataque foi então escolhido para conotar que ele é mais facilmente executável contra eleitores ilustres, personalidades suficientemente famosas. As revistas de fofoca estão sempre dizendo de tudo que a Sandy anda fazendo e, portanto, é só procurar nelas alguma notícia relatando em que horário e em qual seção eleitoral a cantora votou, e procurar os respectivos arquivos de fiscalização e de ataque. A escolha do nome tem, pois, o condão de despersonalizar o ataque. Ataque que, como foi dito, é o mais ameno dos conhecidos possíveis no SIE.
Outros tipos de ataque podem ser bem piores. A Rede Globo gostou da palavra “brecha”; disse em horário nobre que o ataque do professor Diego mostrou “uma pequena brecha, que já foi reparada”. Bem, então, existem outras brechas. Algumas listadas a partir do slide 62 da dita palestra. A mais nefasta delas pode ocorrer na totalização: se não for possível evitar a impressão, evita-se que o Boletim de Urna (BU) impresso saia autenticado da origem para a vítima (direto da urna, assinado pelo mesário, às mãos do fiscal partidário presente na seção), em suficientes seções. Quando os pendrives dessas seções chegam para a totalização, remanejam-se os votos na planilha conforme aquilo que precisa surgir ao final, de acordo com o firmado a fio de bigode, e vai-se desenhado-o ao longo das parciais.
Começam a aparecer um punhado de eleições onde o candidato vitorioso acaba ganhando no finalzinho, com as últimas seções eleitorais, por uma margem bem pequena. Supomos que os candidatos derrotados nesses casos gostariam de poder verificar esses totais. Mas eles não podem contar para isso com fiscais do seu partido nas seções eleitorais, se um tal de “representante do comitê interpartidário” – figura privilegiada pelo artigo 42 da Resolução TSE 22.154 como único representante de candidatos que pode receber BU impresso autenticado na origem – estiver a serviço do adversário. Se a justificativa para isto for a de economizar papel, supomos também que quem aceitá-la poderia estender tal medida de economia ao banheiro da própria casa.
Então, se é possível fazer trapaça com software na urna e com software na totalização, existe também o risco de uma corrida crítica: duas equipes internas tentando, e a que fizer sua mexida funcionar por último – pela lógica, na totalização – honrará seu fio de bigode. E, aí, os dois candidatos amarrados têm que ficar calados, pois um não pode denunciar o outro. É um cenário plausível, e possível, corroborado por um fenômeno eleitoral relativamente recente, que parece exclusivo ao Brasil: o das pesquisas de opinião que disparam a divergir quando se aproxima o dia da votação. Todavia, não convém discorrer aqui sobre cenários plausíveis e possíveis; o autor fez isso durante dez anos apenas para ganhar a pecha de paranoico, conspiracionista, agitador etc.
Mas agora, graças ao colega e ex-aluno Diego Aranha, temos o ataque de Sandy para expormos mais concretamente o tema título deste artigo. E com isso observar melhor a reação das pessoas quando informadas do que vem acontecendo com nossa democracia, por trás do que a grande mídia mostra.
Por quê? Logo que a Lei 10.740/03 introduziu o RDV, o autor escreveu um artigo intitulado “A seita do Santo Byte“, que descreve a seita, e o porquê do nome, tendo-a observado em ação no Senado. O autor frequentou o Senado durante a tramitação do projeto de lei que criou o RDV, porque não acreditava que os senadores iriam aprová-la. Aqueles com quem conversou, todos se fizeram de loucos. Então, é bom que se diga os pais da criança.
Tal projeto foi apresentado pelo senador Eduardo Azeredo, também conhecido como mentor do esquema do mensalão. Foi relatado na Comissão de Constituição e Justiça pelo senador Demóstenes Torres, conhecido hoje por um telefone celular comprado em Miami e por estar às voltas com respingos de cachoeira. A quem o autor procurou na ocasião (2003) para apresentar um abaixo-assinado por especialistas pedindo audiência para debater tecnicamente o projeto, e argumentar do descalabro em se aprová-lo. A resposta foi de que o projeto era fruto de um acordo político entre a Casa Civil da Presidência e a Justiça Eleitoral, e que ele, mesmo na oposição ou como relator, não tinha autonomia para invadir esse espaço, nem mesmo para realizar audiências.
Naquele encontro, o senador fez uns telefonemas diante do autor, para convencê-lo do que dizia. Agora o autor está convencido de que o bode amarrado assim na sala da nossa democracia, para que os eleitores se esquecessem da fiscalização potencialmente eficaz do processo de votação, está finalmente começando a feder. O sigilo do voto, o  bode RDV pode tê-lo comido. O que será feito do bode, ainda não sabemos, mas já há sinais. Na publicação do relatório final da Comissão Avaliadora dos testes, em 10/04/2012, por exemplo. Quanto à seita, continua firme, desde ao menos – como ilustra a propaganda abaixo – os primóridos da informatização eleitoral, que começou pelo cadastro, e já com marotagens demográficas na distribuição de títulos, depois dos “testes” da Proconsult.
Ela mostra que no céu tem PC, como eram em 1987. Já no Brasil, é o modelo básico de urna DRE que almeja a eternidade. Aqui a ferro e fogo, entre licitações e respingos, desde 1996. Com a ajuda até de especialistas da academia, que não se acanham de tentar enganar membros da Subcomissão Especial do Voto Eletrônico da Câmara, a qual havia recomendado a minirreforma eleitoral de 2009, parcialmente suspensa no STF sabe-se como. Nomeados num Comitê Multidisciplinar, mais inclinado à intimidade do poder do que à verdade científica, responderam àquela Subcomissão – mas só em papel – citando ao revés um exaustivo estudo sobre voto eletrônico nos EUA (VVSG), que recomenda sistemas de terceira (E2E) ou segunda geração (VVPT) em substituição à primitva 1ª geração (DRE).
Os mesmos notórios desse Comitê compõem, com o ex-projetista-chefe dessa urna DRE, a Comissão Avaliadora dos testes de 2012. Que dez dias depois do prazo divulgou seu relatório, final e – pelo Edital – inapelável. A peça, vazia de justificativas, conclui: 1) o resultado que o professor Diego obteve teria produzido falha (e não fraude); assim, o ataque de Sandy não é fraude, apenas falha. 2) O ataque seria local, ou seja a falha só afetaria a operação da urna lá testada; portanto, a dúvida cruel – mas testável – se os RDVs de 2008 e 2010 têm o furo de Sandy estaria resolvida. E, 3) o sucesso do ataque requer “violação da urna” (cita lacre do pendrive); aqui, ou 3a): os signatários mostram que não entendem de testes de segurança (simulações), ou 3b: cedem à tentação de uma birra marota – condizente com a nota que deram – de quem se sente ofendido com tal sucesso.
A conclusão 3 desse inapelável relatório de notórios especialistas pode estar prenunciando algo para o futuro do bode amarrado na sala da nossa democracia: o acesso ao pendrive gravado pela urna durante o teste é, obviamente, parte integral da simulação de uma votação normal; mas, e quanto ao seu conteúdo? À parte deste conteúdo que sai cifrado da urna, o professor Diego solicitou acesso, mas não o obteve. A parte que sai às claras ele teve acesso porque esta constitui os arquivos de fiscalização que a urna produz, de acordo com o ordenamento normativo vigente para o SIE. A citação do “lacre”, que pode parecer birra, pode também ser um sinal: o bode RDV era um dos arquivos de fiscalização até o momento do teste, mas talvez doravante não mais.
Se o bode RDV voltar à condição de recluso, como nos seus primeiros cinco anos de vida, a solução para o mau cheiro que ele agora exala terá sido a de fechar a porta da sala, que então se tornará íntima. E o ataque de Sandy voltará a ser uma possibilidade exclusiva dos internos, que desenvolvem e mantêm o SIE do TSE. Mas esta não é a porta que importa. Nossa atual aventura eleitoral reedita a da República Velha. A concentração de poderes nos que controlam o uso de tecnologias de informação e comunicação (TIC) no processo eleitoral passou, entre duas ditaduras, do bico de pena na mão do legislativo d’antanho para o bico de laser na mão do judiciário d’agora. Porém, a Revolução de 1930 não será reeditada. Quando a porta que importa se fechar, e o Senhor vier levar os seus, haverá choro e ranger de dentes, de quem ficar de fora. Ainda há tempo para revermos nossas iniquidades.

Pedro Antônio Dourado de Rezende é matemático, professor de Ciência da Computação na Universidade de Brasília, coordenador do Programa de Extensão em Criptografia e Segurança Computacional da UnB; www.cic.unb.br/docentes/pedro/sd.htm
No Observatório da Imprensa

Nenhum comentário:

Postar um comentário