urna eletrônica

A urna eletrônica é segura o suficiente

Vem circulando em grupos de WhatsApp de muitas famílias brasileiras o vídeo abaixo, gravado em 2014 pelo professor da Unicamp Diego Aranha, especialista em criptografia e segurança digital:

O vídeo apresenta o projeto Você Fiscal, que se encontra inativo e não pretende monitorar as eleições de 2018.

Aranha, que anunciou sua mudança para a Dinamarca após o Tribunal Superior Eleitoral derrubar a proposta de se imprimir recibos dos votos, participa desde 2012 dos testes da urna eletrônica promovidos pelo governo. Sua equipe, assim como outras no período de preparação para as eleições de 2014 e 2016, encontrou vulnerabilidades no sistema.

Sua campanha pela impressão do voto se baseia nisso e é legítima, mas ao mesmo tempo o professor, no vídeo, deixa de colocar em perspectiva os achados de seu grupo. Abaixo, gostaria de oferecer um pouco de contexto, para explicar por que essas vulnerabilidades não colocam em risco a lisura das eleições.

Aproveitar vulnerabilidades da urna para fraudes é muito difícil

Durante o Teste Público de Segurança de 2017, os investigadores dispuseram de três dias para atacar o hardware e o software da urna eletrônica, nas dependências do TSE. Contaram com acesso ao código-fonte do aparelho e podiam, inclusive, abrir a urna e manipular seus componentes. O próprio Diego Aranha, que aparece no vídeo acima, liderou um dos quatro grupos participantes.

Conforme o relatório do TPS 2017, mesmo nessas condições favoráveis, seu grupo conseguiu apenas conectar um teclado à urna, ler os nomes dos eleitores e mudar o texto na tela. As tentativas de modificar os votos fracassaram, pois o sistema percebeu uma invasão e travou, exatamente como esperado por sua arquitetura. Um segundo grupo, composto por policiais federais, e um investigador independente obtiveram resultados ainda mais modestos.

Em maio de 2018, o TSE convidou os investigadores do TPS 2017 a realizarem um Teste de Confirmação, para verificar se as correções realizadas no sistema das urnas eletrônicas a partir dos resultados dos ataques eram adequadas. Conforme o relatório, as brechas de segurança encontradas pelos investigadores em 2017 foram todas corrigidas.

Em resumo, especialistas em informática se mostraram incapazes de mudar um voto sequer na urna eletrônica, mesmo com acesso livre a software e hardware, bem como experiência acumulada de testes anteriores.

Todavia, é preciso levar em conta que possíveis fraudadores de urnas teriam de atuar no mundo real, não num ambiente refrigerado em Brasília, com acesso total ao equipamento e ao código-fonte. O cenário para se fraudar uma eleição presidencial, por exemplo, envolveria, no mínimo:

  • encontrar uma forma de ter acesso aos locais onde os Tribunais Regionais Eleitorais armazenam as urnas eletrônicas;
  • passar vários dias nestes locais, sem ser detectado;
  • encontrar estratégias eficazes de ataque ainda não detectadas nas edições anteriores do TPS;
  • dispor de cúmplices competentes o suficiente em informática em diversas cidades do Brasil;
  • modificar um número suficiente de urnas para influir decisivamente em milhões de votos;
  • o código malicioso inserido nas urnas deveria funcionar sem erros no dia da eleição;
  • nenhuma das dezenas ou centenas de pessoas envolvidas denunciaria o plano.

Não sou especialista em segurança da informação, mas, se assistisse a um filme com esse roteiro, sairia do cinema irritado.

Quanto mais segurança, melhor, não?

Ainda assim, Aranha e outros grupos defendem o investimento de milhões de reais na impressão do voto, como forma de mitigar possíveis fraudes eleitorais. À primeira vista, parece uma boa ideia: quanto mais ações para garantir a segurança do sistema, melhor, não?

Depende.

Quando se trabalha com a noção de risco, se está sempre trabalhando com uma relação entre duas probabilidades. A verdadeira questão não é se a urna eletrônica é 100% segura contra fraudes — até porque não existe sistema completamente invulnerável. A pergunta a se fazer é: a urna eletrônica oferece um nível de segurança aceitável para a realização de eleições justas?

Até o momento, não existem indícios de que as urnas eletrônicas, mesmo com todas as suas falhas, ofereçam um risco maior do que outras formas de votação e apuração. O projeto Você Fiscal verificou mais de 1% dos boletins de urna no Brasil inteiro no segundo turno das eleições presidenciais de 2014 e não encontrou nenhuma divergência. No primeiro turno das eleições de 2016 a conferência coletiva dos boletins foi repetida e não encontrou um indício de fraude sequer na apuração. Uma auditoria solicitada pelo PSDB tampouco encontrou indícios de fraude.

Com certeza, o sistema eletrônico é um progresso em relação ao voto em cédula de papel, que oferecia oportunidades de fraude em todas as etapas do processo, especialmente durante a contagem. Não apenas isso, como a contagem por seres humanos era mais propensa a falhas do que a apuração eletrônica, pois os escrutinadores, ao contrário de computadores, podiam se cansar e errar, ou serem corrompidos e ameaçados.

Além disso, ao considerar qualquer ação para reduzir a probabilidade dum evento negativo, é preciso ponderar se os benefícios serão maiores do que os custos.

No caso do projeto em questão, no qual uma amostra de apenas 5% dos votos seria usada, o custo ficaria em torno de R$ 60 milhões. Pode não parecer muito dinheiro para garantir eleições limpas, mas é preciso levar em conta que não existe nenhuma evidência de fraude nas urnas eletrônicas até o momento. Investir dinheiro público no combate a fraudes que dependem de condições mirabolantes para serem realizadas é como pagar a um mecânico para consertar um carro sem nenhum sinal de defeito, ou pagar por uma tomografia sem ter nenhum sintoma de doença.

É muito possível que alguma urna eletrônica em algum lugar do Brasil tenha sido ou vá ser fraudada durante uma eleição, mas no momento não há sinais de que isso esteja acontecendo, nem de que possa vir a influir de forma decisiva numa eleição. Assim, é melhor destinar o dinheiro para alguma finalidade mais urgente.

Uma terceira questão a se colocar é se as soluções propostas de fato eliminariam os riscos de fraude e, muito importante, se não abririam elas mesmas alguma brecha.

Como bem apontou o Claudio W. Abramo, imprimir os votos não aumentaria a segurança do sistema eleitoral. O registro impresso não é, necessariamente, mais confiável do que o registro eletrônico. Se dinheiro pode ser falsificado, recibos de votação também o poderiam ser. Seria preciso, então, criar uma terceira instância de segurança, para verificar os recibos, e logo uma quarta, para verificar a terceira, porque sempre haverá um candidato derrotado para questionar a lisura do pleito. A ampliação das instâncias de segurança aumentaria a complexidade do sistema e, com isso, poderia ampliar também as possibilidades de falha.

O projeto Você Fiscal mesmo é uma prova de que recibos não resolveriam a questão da legitimidade, porque todas as discrepâncias encontradas durante as conferências coletivas se deveram a erros humanos no momento de fotografar os boletins de urna. Caso houvesse recibo do voto, se pode imaginar que surgiriam muitos falsos-positivos de fraude, os quais precisariam ser investigados pelas autoridades, gerando ainda mais custos inúteis para a União.

De fato, ao se pesar o risco de fraude na urna eletrônica, frente aos custos envolvidos na impressão do voto, é preciso levar em conta não só o dinheiro a ser gasto em papel e tinta, mas também os custos ocultos embutidos na proposta.

Uma possibilidade levantada por Abramo seria um candidato com baixos índices nas pesquisas eleitorais criar recibos falsos, ou manipular algumas poucas urnas, com o único objetivo de colocar toda a eleição sob suspeita e, assim, forçar a realização de um novo pleito, ou causar uma demora excessiva na posse dos vencedores. Uma situação como essa custaria muito ao país, inclusive porque a incerteza política causa pânico no mercado financeiro.

Além disso, a impressão do voto poderia causar um retorno de fraudes mais tradicionais, como a compra de votos. Hoje em dia, o TSE não permite fotografar o voto, para não facilitar a comprovação de que o eleitor entregou a mercadoria ao corruptor. Um recibo do voto é o sonho de todo político desonesto. Os recibos também poderiam causar um recrudescimento do voto de cabresto.

Finalmente, como argumenta Kevin Mitnick, o elo mais fraco em qualquer sistema é o ser humano, não o hardware ou software. Em vez de tentar encontrar dezenas de hackers capazes de invadir os armazéns, passar dias sem serem detectados e fraudarem as urnas sem contar nada sobre o plano a ninguém, é bem mais fácil corromper ou ameaçar mesários para votarem por eleitores que não compareceram, por exemplo.

A urna eletrônica virou um espantalho

Não tenho motivos para duvidar das boas intenções de Diego Aranha e outros grupos que vêm criticando a urna eletrônica. Todos queremos um sistema eleitoral confiável, porque eleições limpas garantem a legitimidade dos ocupantes de cargos oficiais e, por consequência, a legitimidade da nossa democracia.

Na verdade, Aranha defende, no vídeo que deu início a esse texto, um ponto muito importante: a necessidade do TSE publicar o código-fonte da urna eletrônica e de outros sistemas usados para a votação e apuração. É mesmo inaceitável que os códigos-fonte não estejam disponíveis para escrutínio público, assim como é inadmissível o Superior Tribunal Federal não divulgar o código-fonte do sistema de distribuição de processos.

O Judiciário argumenta que publicar os códigos-fonte dos sistemas poderia, quem sabe, algum dia, hipoteticamente, permitir a malfeitores fraudarem uma eleição, ou a escritórios de advocacia fazer engenharia reversa do algoritmo e escolher seus juízes.

Difícil saber se é apenas uma mentalidade antiquada por parte das instituições, ou má fé, mas o fato é que a transparência já se mostrou uma forma mais eficaz de melhorar a segurança de sistemas do que a centralização. Não à toa, o Linux, de código-aberto, é considerado o sistema operacional mais robusto e seguro de todos.

Existe a possibilidade, ainda, de que o sistema eleitoral não seja realmente seguro e o TSE saiba disso. Nesse caso, estariam evitando divulgar o código-fonte porque têm certeza de que poderia ser usado para fraudes, ou mesmo para evitar constrangimento. É um péssimo cenário a se considerar.

Infelizmente, a maneira como muitos defensores da abertura do código decidiram lutar pela mudança de mentalidade no TSE acaba por jogar suspeita sobre a legitimidade do processo eleitoral como um todo.

A culpa é, em primeiro lugar, do próprio TSE, que poderia resolver as desconfianças abrindo o código-fonte ao escrutínio público. Como resiste a fazer isso, joga uma sombra de desconfiança sobre si mesmo e sobre a urna eletrônica.

Ainda assim, a criação de projetos como o Você Fiscal termina por minar a confiança do cidadão no sistema eleitoral. O vídeo de Diego Aranha, embora gravado em 2014, circula neste momento pelo WhatsApp, com alertas sobre fraudes nas eleições deste ano. Não apenas muitos dos problemas citados no vídeo já foram resolvidos, mas nenhum indício de fraude surgiu nos últimos quatro anos.

Embora divulgado com boas intenções, o material produzido por Aranha hoje é usado como espantalho por correligionários de Bolsonaro, por exemplo, para construir as bases de um argumento para sua possível derrota na corrida presidencial. Grupos políticos perdedores nas próximas eleições vão usar a desconfiança lançada sobre a urna eletrônica para questionarem o resultado. As consequências disso podem ser muito mais nefastas para o Brasil do que uma eventual fraude.

Lamentavelmente, em lugar de acalmar os ânimos, Aranha prefere seguir em seu conflito com o TSE, criticando o sistema eleitoral apesar da ausência de indícios de manipulação de resultados de votações em pleitos anteriores.

Ainda pior, ao se focar tanto nas urnas, ele e outros críticos do sistema se esquecem de aspectos potencialmente mais problemáticos — como aponta Abramo, o próprio sistema de transmissão dos resultados para o TSE seria um alvo mais útil do que as urnas. Talvez a centralização do sistema eleitoral, em si, seja uma brecha de segurança mais grave do que conectar um teclado USB a uma urna, mas, com a polêmica da impressão do voto, esse tipo de questionamento mais produtivo fica em segundo plano.

Aliás, a própria demanda por mais transparência do sistema por parte do TSE acaba soterrada em meio à discussão sobre a segurança das urnas e a impressão do voto.

É razoável e necessário vigiar o sistema eleitoral brasileiro. Devemos comemorar o fato de existirem pesquisadores e ativistas dedicados a garantir sua segurança por meio de auditorias e testes. Todavia, é possível criticar o TSE sem colocar em questão, de forma irresponsável e antecipada, a legitimidade do candidatos vencedores em outubro.

27 ideias sobre “A urna eletrônica é segura o suficiente

  1. _

    Olá Marcelo.
    Embora concorde que voto impresso, ao menos da maneira como está sendo proposto, não resolve o problema, discordo dos seus argumentos em alguns pontos:

    Análise de Risco:

    >> Quando se trabalha com a noção de risco, se está sempre trabalhando com uma relação entre duas probabilidades. A verdadeira questão não é se a urna eletrônica é 100% segura contra fraudes — até porque não existe sistema completamente invulnerável. A pergunta a se fazer é: a urna eletrônica oferece um nível de segurança aceitável para a realização de eleições justas?

    Sim, as urnas eletrônicas são mais seguras do que o voto em papel. Porém o que faltou em sua análise de risco foi a seriedade do mesmo. Para, digamos, fraudar uma eleição presidencial com votos de papel, seria necessária uma quantidade grande de pessoas envolvidas e o processo provavelmente deixaria rastros, pois teriam de fraudar uma quantidade grande de cédulas (supondo que o TSE em si não é corrupto, mas boa sorte pra fazer uma eleição justa nesse caso) (i.e. a fraude por meio físico não é escalável).
    Já, caso se encontre (ou fabrique) uma vulnerabilidade no sistema de UEs, um grupo pequeno de pessoas pode controlar o resultado de qualquer eleição. (Pense no seguinte: É mais fácil mandar um milhão de cartas ou um milhão de emails?)

    O ponto é o seguinte:
    Com votos físicos temos uma chance razoável de fraude, mas o tamanho da fraude é pequeno.
    Com votos digitais temos uma chance baixíssima de fraude, mas uma fraude seria devastadora.

    (Ainda assim acredito que a eleição eletrônica é mais segura. isso foi apenas uma observação em relação à sua análise de risco.)

    Segurança de softwares open-source:

    Novamente, concordo contigo quando diz que softwares open-source são, via de regra, seguros, afinal ‘given enough eyeballs, all bugs are shallow’. O problema é que, embora seja um bom indício, isso não garante a segurança das UEs. Basta lembrar daqueles bugs recentes com nomes chiclete, como o heartbleed e o shellshock. Os dois são bugs que foram encontrados em softwares altamente usados e ficaram presentes no código por um bom tempo. Além disso, vulnerabilidades físicas no hardware das máquinas podem ser exploradas.

    Concordo contigo também em achar um absurdo que o TSE não tenha liberado o código das máquinas e tenha dado apenas três dias para as equipes acharem vulnerabilidades. É uma quantidade de tempo muito pequena, para times pequenos, avaliarem todo o código.

    Porém, acho o problema é um pouco mais pernicioso do que isso:
    Como eu, como eleitor no momento da votação, consigo verificar se o código/hardware da maquina na qual estou votando (e da que contará os votos) é igual ao que foi liberado/analisado?

    Bolsonaro:

    >>> Embora divulgado com boas intenções, o material produzido por Aranha hoje é usado como espantalho por correligionários de Bolsonaro, por exemplo, para construir as bases de um argumento para sua possível derrota na corrida presidencial. Grupos políticos perdedores nas próximas eleições vão usar a desconfiança lançada sobre a urna eletrônica para questionarem o resultado. As consequências disso podem ser muito mais nefastas para o Brasil do que uma eventual fraude.

    Não acho de bom dizer que se tal argumento pode ser utilizado de maneira indesejada (e por alguém indesejado) ele deva ser ‘indesejado’. Creio que não foi essa a sua intenção ao escrever esse parágrafo, porém foi isso o que entendi ao lê-lo.
    Lançar dúvida em cima do processo eleitoral é algo que, infelizmente, é comum. Basta lembrar que antes das eleições de 2016 nos EUA, Trump dizia que se perdesse seria por manipulação do sistema. Já depois do resultado, foi a vez dos Democratas justificarem a derrota por uma possível intervenção Russa.

    Um perdedor (orgulhoso) sempre usará desculpas para se justificar. Cabe a nós usar um sistema que dê o mínimo de motivos factíveis para isso.

    E então, o que fazer?

    Pessoalmente, acredito que, num assunto tão importante quanto o processo eleitoral, ter de confiar em um terceiro é em si uma falha do processo e portanto creio que o debate entre votos puramente eletrônicos/mistos não seja frutífero ou até mesmo necessário.

    O que deveríamos debater e exigir de nossos serventes públicos é o desenvolvimento e a utilização de processos eleitorais matematicamente auditáveis (e.g. https://en.wikipedia.org/wiki/End-to-end_auditable_voting_systems ), pois estes garantem, matematicamente, que o resultado geral levou em consideração corretamente todos os votos.

    Só assim teríamos um sistema de votação moderno e realmente seguro (com direito a demonstração matemática e tudo).

    Um abraço,

    Maldito é o homem que confia no homem.
    Estúpido é o que não confia na matemática.

  2. Antônio

    Como ter certeza de que meu voto foi corretamente computado? Um BU não prova nada.
    E quanto ao software que faz a totalização dos votos? O código fonte é público?
    Alguém fiscaliza se o programa que está rodando foi compilado do fonte divulgado? Ou tem algum backdoor?
    Alguma entidade independente tem acesso aos BU para fazer um somatório isento para comparação?

  3. Träsel Autor do post

    Antônio,

    Como ter certeza de que seu voto foi computado, só porque tem um recibo em mãos? Ou, na época da cédula, como ter certeza?

    Como disse, sou favorável à abertura de todos os código-fonte, mas se pode lutar por isso sem jogar o bebê fora junto com a água do banho.

  4. Träsel Autor do post

    Obrigado pelos comentários atentos. Não conhecia os métodos auditáveis matematicamente, vou dar uma lida a respeito.

  5. Diego Aranha

    Sua interpretação dos nossos resultados está totalmente equivocada. Só foi possível controlar o teclado e mudar mensagens na tela porque conseguimos controle total do software de votação para inserir programas de nossa autoria. Um desses programas impediu que a urna registrasse os votos dos eleitores, o que disparou um erro de consistência por cédula vazia. Não há nada na urna para detectar invasão e travar. Os testes se encerraram enquanto fazíamos a carga do programa que desviava votos entre candidados. Caso queira obter mais detalhes sobre a nossa versão da história: https://doi.org/10.13140/RG.2.2.16240.97287

    O sistema de transmissão de votos permite auditoria por produzir registro físico de parciais de sess?es eleitorais conferíveis com os registros digitais publicados pelo TSE. Isso não existe no software de votação. Abrir o código-fonte ajuda, mas não resolve definitivamente o problema, porque continua inviável verificar se o software publicado corresponde ao em execução no equipamento durante a eleição.

    Em relação às alegações de sigilo e demais crítcas do voto impresso, ver meu texto em https://blogs.oglobo.globo.com/ciencia-matematica/post/voto-impresso-pode-tornar-eleicoes-mais-seguras-e-transparentes.html

    No mais, acho incrível sua interpretação das minhas intenções. Ao criticar a criação de um projeto de transparência para distribuir a verificação da totalização feita pelos partidos e inputar a responsabilidade sobre o comportamento de defensores do Bolsonaro a mim, você só reforça a minha completa descrença nas instituições brasileiras, imprensa inclusive.

  6. Evandro Oliveira

    Marcelo, como todo bom jornalista neófito, você conhece pouco de alguns assunto específicos. A questão da urna é uma delas.
    Nem vou entrar na discussão do voto impresso que você, bravamente< defende a posição de juízes que sabem um pouco menos do que NADA do assunto.
    Mas sua praia deve ser mesmo o uso da tecnologia sem saber o que tem por trás dela (assim como na máquina eletrônica de votar).
    Ressalto que você deveria se consultar com especialistas que sabem o que estão fazendo.
    Para não perder muito tempo, visto que suas leitura são extremamente limitadas e você deve ter ficado sabendo da questão da Urna somente após o vídeo do Prof. Diego, recomento a leitura de textos consistentes do site votoseguro.org que discute o assunto com pessoas que sabem o que estão falando muito antes de você ser alfabetizado. Desculpe se não li ou não "obedeço" as suas regrinhas de "ser educado", você deve saber como isto funciona.

  7. Carlos Rocha

    Caro Marcelo,

    Parabéns por trazer o tema ao debate. Me permita discordar na essência da sua tese.

    A grande maioria dos especialistas entende que há risco grave de erro ou fraude nas eleições eletrônicas brasileiras.

    Além disso, a sua análise não considera a totalização dos resultados.

    Mostra-se inaceitável que os resultados dependam totalmente dos funcionários do TSE e dos softwares da urna e da totalização dos resultados.

    Importante lembrar que todo funcionário erra e todo software tem falhas. Além disso, há um grande contingente de funcionários terceirizados no TSE.

    “As maiores ameaças de segurança cibernética estão dentro da sua empresa” diz Marc van Zadelhoff em artigo na Harvard Business Review.
    https://hbr.org/2016/09/the-biggest-cybersecurity-threats-are-inside-your-company

    A urna eletrônica deve se tornar independente do seu software.

    As eleições eletrônicas são formadas por vários programas para compor um grande sistema de missão critica.

    Todo sistema de missão critica exige auditoria independente em todos os seus componentes para identificar qualquer desvio da operação causado por erro, fraude ou tentativas.

    Note que instrumentos de auditoria devem registrar cada etapa dos processos para demonstrar, após as eleições, que não houve desvio de percurso durante as eleições.

    Há tecnologia disponível para implantar instrumentos de auditoria que o TSE se recusa a utilizar. Qual será a razão?

    Outro ponto relevante: todos os grupos independentes que tiveram oportunidade de testar a segurança das urnas, em ambiente restrito e em prazos muito curtos, foram capazes de identificar problemas graves e, em alguns casos, invadir o software da urna.

    Porque o TSE só convidou técnicos para explorar o software da urna e não permite uma avaliação detalhada e testes independentes no sistema de totalização dos resultados?

    Hoje, erros ou fraudes na totalização podem mudar resultados sem que seja possível detecta-los.

    Portanto, há sim risco grave de erro ou fraude nas eleições eletrônicas brasileiras.

    Fico à disposição para conversarmos em detalhes sobre o assunto.

  8. Carlos Rocha

    Caro Marcelo, bom dia,

    Parabéns por trazer o tema ao debate. Me permita discordar na essência da sua tese.

    A grande maioria dos especialistas entende que há risco grave de erro ou fraude nas eleições eletrônicas brasileiras.

    Além disso, a sua análise não considera a totalização dos resultados.

    Mostra-se inaceitável que os resultados dependam totalmente dos funcionários do TSE e dos softwares da urna e da totalização dos resultados.

    Importante lembrar que todo funcionário erra e todo software tem falhas. Além disso, há um grande contingente de funcionários terceirizados no TSE.

    “As maiores ameaças de segurança cibernética estão dentro da sua empresa” diz Marc van Zadelhoff em artigo na Harvard Business Review.
    https://hbr.org/2016/09/the-biggest-cybersecurity-threats-are-inside-your-company

    A urna eletrônica deve se tornar independente do seu software.

    As eleições eletrônicas são formadas por vários programas para compor um grande sistema de missão critica.

    Todo sistema de missão critica exige auditoria independente em todos os seus componentes para identificar qualquer desvio da operação causado por erro, fraude ou tentativas.

    Note que instrumentos de auditoria devem registrar cada etapa dos processos para demonstrar, após as eleições, que não houve desvio de percurso durante as eleições.

    Há tecnologia disponível para implantar instrumentos de auditoria que o TSE se recusa a utilizar. Qual será a razão?

    Outro ponto relevante: todos os grupos independentes que tiveram oportunidade de testar a segurança das urnas, em ambiente restrito e em prazos muito curtos, foram capazes de identificar problemas graves e, em alguns casos, invadir o software da urna.

    Porque o TSE só convidou técnicos para explorar o software da urna e não permite uma avaliação detalhada e testes independentes no sistema de totalização dos resultados?

    Hoje, erros ou fraudes na totalização podem mudar resultados sem que seja possível detecta-los.

    Portanto, há sim risco grave de erro ou fraude nas eleições eletrônicas brasileiras.

    Fico à disposição para conversarmos em detalhes sobre o assunto.

    Abraços,

    Carlos

  9. D

    O Problema é justo esse, você conhece muito pouco do tema, Trasel. A sua ignorância leva a soluções ingênuas e torna oculto o problema de fundo.

    O buraco nem é mais em baixo, é outro completamente diferente.

  10. Träsel Autor do post

    Diego, obrigado, vou ler seu material.

    Creio que você interpretou de maneira equivocada o meu texto: não o estou acusando de ser alguma espécie de agente Bolsonarista, ou de ter má fé em qualquer sentido, apenas apontando o fato de que agentes bolsonaristas estão se aproveitando da suspeita lançada sobre o sistema eleitoral para preparar uma eventual resposta à derrota. É uma consequência INADVERTIDA do projeto Você Fiscal o vídeo circular por aí, reforçando esse argumento, mas é uma consequência.

  11. Pedro

    Senhor, você parece não entender de programação:

    “As tentativas de modificar os votos fracassaram, pois o sistema percebeu uma invasão e travou, exatamente como esperado por sua arquitetura.”

    Isso ocorreu somente porque nós propositalmente zeramos a cédula de votação. O erro foi disparado porque a cédula de votação ficou vazia. Se ao invés de zerar nós tivessemos adulterado os votos, isso não teria ocorrido.
    Com mais alguns minutos nós teriamos feito o ataque para adulterar os votos. Na verdade, já tinhamos ele pronto, mas o TSE finalizou os testes antes que fizessemos isso e eles não estavam interessados em prosseguir. Isso contradiz completamente com o argumento do seu texto, pois o cenário de testes é mais restrito que em um ataque real. Perceba que em um cenário real o grupo de atacantes terá um financiamento pesado, poderá usar suas próprias ferramentas, e não terá restrição de tempo para estudar o sistema e elaborar o ataque, por exemplo.

  12. mario gazziro

    Caro Trasel

    Sou docente na UFABC, e gostaria de atentar apenas a um ponto que voce mesmo afirmou: “mudar o texto na tela”. isso indica comprometimento do software, e, sem entrar no merito de que os pesquisadores criaram com sucesso um patch para desviar votos, o qual o TSE nao permitiu que fosse executado pela término do prazo, mudar o texto indica sim uma falha extrema no sistema.
    Os esforços do diego e equipe eh na introducao do voto impresso, o que garante a integridade da democracia. Ele não deseja causar ofuror ou descredito nas eleições.

    Mario

  13. Kaue

    Meu Deus! Eu como médico vou construir uma urna baseado no seu conhecimento de informática. Ou uma nave espacial pra levar sua loucura pro espaço!

  14. Diego Aranha

    “Ainda assim, a criação de projetos como o Você Fiscal termina por minar a confiança do cidadão no sistema eleitoral.”

    Então talvez você tenha que rever essa parte ai em cima. O Você Fiscal foi criado antes de uma eleição sem testes de segurança, e para fiscalizar a única parte acessível pela sociedade em geral, que você admite aqui mesmo ser importante. Onde um projeto de transparência pode minar a confiança do cidadão no processo? O TSE gostou tanto da ideia que até colocou códigos QR e lançou seu próprio aplicativo.

    Além disso, quem suspendeu o voto impresso foi o TSE e não o STF. Como o nosso artigo está em Inglês, sugiro também o video da minha participação em audiência pública do Senado (favor ignorar o título sensacionalista de algum eleitor do Bolsonaro): https://m.youtube.com/watch?v=8fDfvwpDor4

  15. Ari Weis

    Escrever um textão apenas para demonstrar que tem conhecimento na área analisada (informática), mas que porém, no decorrer dos seus argumentos demonstra (de boa ou má fé, eu não sei) que não entende ou não quer entender o momento em que o País vive.
    Apenas para lembra-lo, para que melhor se situe, estamos prestes a nos tornarmos uma nação “bolivariana”, com várias Instituições Aparelhadas, essas que deveriam ser sérias e zelar pela democracia brasileira, fazem todo o esforço para nós empurrar cada vez mais para o caos. Ademais, creio que você deve ter pesquisado para saber quem produz essas famosas urnas eletrônicas, Venezuela de Chávez e Maduro, Venezuela que representa Fidel, Lula, PTismo, Esquerdismo…
    Nós brasileiros que amam o Brasil como País Livre, esperamos de pessoas como o Senhor, que ao opinaram sobre informações de tamanha relevância,
    ajam com honestidade, buscando sempre a verdadee. Como jornalista que diz ser, no mínimo antes de escrever sobre tal matéria, o Senhor deveria entre estar o professor Diego Aranha. Procure saber também o porquê que as maiores democracias do mundo, rejeitam essa famigerada Urna Eletrônica.

  16. Guido Araujo

    Marcelo,

    Lamentável o seu texto.

    Pior é você com uma formação em jornalismo se arvorar a tentar opinar sobre um assunto para o qual não tem a menor formação técnica nem tampouco a profundidade necessárias.

    Um pouco de auto-crítica é sempre muito importante. Antes de escrever esta matéria talvez você pudesse ter se feito a seguinte pergunta: “Será que eu estou mesmo preparado para fazer um julgamento de valor sobre um assunto extremamente técnico, me contrapondo à opinião de um dos maiores especialistas da área no país, que vem estudando e sendo reconhecido internacionalmente por sua pesquisa neste assunto?”

    Jornalismo científico é uma área de risco, que precisa de muita lucidez e cuidado do profissional que atua nela, para que ele não corra o risco de cometer sérios erros de interpretação ou ainda de propagar inverdades.

    Procure checar melhor suas fontes e a literatura internacional antes de escrever.

    Atenciosamente,

    Guido Araujo
    PhD Princeton University
    Prof. Titular de Computação
    Instituto de Computação
    UNICAMP

  17. Altieres Rohr

    O professor Aranha já fez esse ponto, mas eu quero destacar: quando você afirma que abrir o código fonte da urna ajudaria a aumentar a confiança na eleição, acredito que você deixa escapar a cerne do problema:

    Não há meio para o eleitor saber qual o software que está em execução na urna no dia da eleição.

    Este fato é agravado por outro:

    É extremamente difícil auditar o chip de memória e forçar a leitura do software verdadeiro e qualquer auditoria depois da eleição (como a que foi solicitada pelo PSDB) é inútil porque o software já pode ter removido a si mesmo e revertido para o original assim que foi impresso o BU.

    O grande lance do software livre é que você baixa o fonte, compila e executa. Você nunca vai fazer isso na urna.

    A urna é efetivamente um appliance com software embarcado. Qualquer appliance com essa característica obriga confiança total no fornecedor e nos seus processos, e confiança total é incompatível com a própria noção de democracia — funciona apenas no mercado porque o contrapeso é a concorrência. Qualquer análise de risco e da confiabilidade do processo desmorona sem partir desse entendimento, ao meu ver.

  18. Träsel Autor do post

    Por favor, Pedro, dê mais detalhes a respeito de como seria o cenário real de fraude imaginado pelo pessoal que considera os comprometimentos da urna um risco importante, porque os outros comentaristas estão se atendo apenas a meus equívocos técnicos (fiz o possível para compreender a parte técnica, mas é claro que não tenho a capacidade de um especialista) e deixando de responder ao argumento de que uma coisa é encontrar uma vulnerabilidade num teste, outra bem diferente é usar esse conhecimento para comprometer um número suficiente de votos para mudar o resultado duma eleição.

  19. Träsel Autor do post

    Diego, eu entendo inglês perfeitamente bem, obrigado.

    Não vejo motivo para rever o ponto destacadado: você mesmo encontrou um link de vídeo de seu depoimento na audiência com “título sensacionalista de algum eleitor do Bolsonaro”, o que, a meu ver, é mais um indício de que, apesar da boa fé do projeto, uma das consequências de todo esse esforço é deslegitimar as eleições para muitas pessoas. A instrumentalização dos suas ideias por Bolsonaristas é um fato. O grau de responsabilidade que você quer assumir sobre isso é uma questão íntima com a qual não tenho nada a ver.

    Reclamar de alguém apontar essas consequências, como você está fazendo, seria como eu reclamar de um monte de colegas seus ter aparecido aqui nos comentários para me chamar de ignorante. Essa reação é uma consequência, até previsível, de eu me arriscar a falar dum assunto técnico fora da minha área. O que está acontecendo é uma consequência um tanto imprevisível da luta pela segurança da urna, talvez, mas é o tipo de coisa possível quando se resolve atuar na política. Se não gosta de ver o Você Fiscal relacionado a malucos bolsonaristas, faça algo a respeito — publique um vídeo desautorizando esse tipo de apropriação indevida de suas ideias, sei lá –, mas não transforme o mensageiro (no caso, eu) no causador do problema.

  20. Träsel Autor do post

    Não acho que ele deseje isso, Mario. Não disse que ele deseja isso em momento algum do texto. Não faço ideia do que ele deseja, mas imagino que não seja a instrumentalização de suas ideias por bolsonaristas.

  21. Ugo Flores

    Que monte de bobagem hein? Melhor tentar se enganar que resolver o problema? Essa é a sua forma de resolver as coisas? Sem possibilidade de auditoria a sua conversa não passa disso: conversa.

  22. Träsel Autor do post

    Caro Guido,

    Antes de fazer este comentário, você se perguntou “estou realmente preparado para dizer a um doutor em Comunicação como funciona o jornalismo?”. Procure checar melhor a literatura antes de julgar textos, porque você aparentemente não sabe diferenciar notícia e opinião.

  23. Guido

    Sr. Doutor em Comunicação,

    Notícia tecnicamente incorreta não é notícia verdadeira.

    Opinião de não especialista deveria vir acompanhada de um um grande “disclaimer”.

    Algo como “O autor deste texto não possui as qualificações técnicas na área para opinar sobre o tema, mas resolveu fazer mesmo assim, ainda que ao contrário dos maiores especialistas de dentro e fora do país”.

    Aí sim pode fica à vontade para emitir a sua opinião Sr. Doutor.

    -Guido

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *