Arquivo da tag: TSE

urna eletrônica

A urna eletrônica é segura o suficiente

Vem circulando em grupos de WhatsApp de muitas famílias brasileiras o vídeo abaixo, gravado em 2014 pelo professor da Unicamp Diego Aranha, especialista em criptografia e segurança digital:

O vídeo apresenta o projeto Você Fiscal, que se encontra inativo e não pretende monitorar as eleições de 2018.

Aranha, que anunciou sua mudança para a Dinamarca após o Tribunal Superior Eleitoral derrubar a proposta de se imprimir recibos dos votos, participa desde 2012 dos testes da urna eletrônica promovidos pelo governo. Sua equipe, assim como outras no período de preparação para as eleições de 2014 e 2016, encontrou vulnerabilidades no sistema.

Sua campanha pela impressão do voto se baseia nisso e é legítima, mas ao mesmo tempo o professor, no vídeo, deixa de colocar em perspectiva os achados de seu grupo. Abaixo, gostaria de oferecer um pouco de contexto, para explicar por que essas vulnerabilidades não colocam em risco a lisura das eleições.

Aproveitar vulnerabilidades da urna para fraudes é muito difícil

Durante o Teste Público de Segurança de 2017, os investigadores dispuseram de três dias para atacar o hardware e o software da urna eletrônica, nas dependências do TSE. Contaram com acesso ao código-fonte do aparelho e podiam, inclusive, abrir a urna e manipular seus componentes. O próprio Diego Aranha, que aparece no vídeo acima, liderou um dos quatro grupos participantes.

Conforme o relatório do TPS 2017, mesmo nessas condições favoráveis, seu grupo conseguiu apenas conectar um teclado à urna, ler os nomes dos eleitores e mudar o texto na tela. As tentativas de modificar os votos fracassaram, pois o sistema percebeu uma invasão e travou, exatamente como esperado por sua arquitetura. Um segundo grupo, composto por policiais federais, e um investigador independente obtiveram resultados ainda mais modestos.

Em maio de 2018, o TSE convidou os investigadores do TPS 2017 a realizarem um Teste de Confirmação, para verificar se as correções realizadas no sistema das urnas eletrônicas a partir dos resultados dos ataques eram adequadas. Conforme o relatório, as brechas de segurança encontradas pelos investigadores em 2017 foram todas corrigidas.

Em resumo, especialistas em informática se mostraram incapazes de mudar um voto sequer na urna eletrônica, mesmo com acesso livre a software e hardware, bem como experiência acumulada de testes anteriores.

Todavia, é preciso levar em conta que possíveis fraudadores de urnas teriam de atuar no mundo real, não num ambiente refrigerado em Brasília, com acesso total ao equipamento e ao código-fonte. O cenário para se fraudar uma eleição presidencial, por exemplo, envolveria, no mínimo:

  • encontrar uma forma de ter acesso aos locais onde os Tribunais Regionais Eleitorais armazenam as urnas eletrônicas;
  • passar vários dias nestes locais, sem ser detectado;
  • encontrar estratégias eficazes de ataque ainda não detectadas nas edições anteriores do TPS;
  • dispor de cúmplices competentes o suficiente em informática em diversas cidades do Brasil;
  • modificar um número suficiente de urnas para influir decisivamente em milhões de votos;
  • o código malicioso inserido nas urnas deveria funcionar sem erros no dia da eleição;
  • nenhuma das dezenas ou centenas de pessoas envolvidas denunciaria o plano.

Não sou especialista em segurança da informação, mas, se assistisse a um filme com esse roteiro, sairia do cinema irritado.

Quanto mais segurança, melhor, não?

Ainda assim, Aranha e outros grupos defendem o investimento de milhões de reais na impressão do voto, como forma de mitigar possíveis fraudes eleitorais. À primeira vista, parece uma boa ideia: quanto mais ações para garantir a segurança do sistema, melhor, não?

Depende.

Quando se trabalha com a noção de risco, se está sempre trabalhando com uma relação entre duas probabilidades. A verdadeira questão não é se a urna eletrônica é 100% segura contra fraudes — até porque não existe sistema completamente invulnerável. A pergunta a se fazer é: a urna eletrônica oferece um nível de segurança aceitável para a realização de eleições justas?

Até o momento, não existem indícios de que as urnas eletrônicas, mesmo com todas as suas falhas, ofereçam um risco maior do que outras formas de votação e apuração. O projeto Você Fiscal verificou mais de 1% dos boletins de urna no Brasil inteiro no segundo turno das eleições presidenciais de 2014 e não encontrou nenhuma divergência. No primeiro turno das eleições de 2016 a conferência coletiva dos boletins foi repetida e não encontrou um indício de fraude sequer na apuração. Uma auditoria solicitada pelo PSDB tampouco encontrou indícios de fraude.

Com certeza, o sistema eletrônico é um progresso em relação ao voto em cédula de papel, que oferecia oportunidades de fraude em todas as etapas do processo, especialmente durante a contagem. Não apenas isso, como a contagem por seres humanos era mais propensa a falhas do que a apuração eletrônica, pois os escrutinadores, ao contrário de computadores, podiam se cansar e errar, ou serem corrompidos e ameaçados.

Além disso, ao considerar qualquer ação para reduzir a probabilidade dum evento negativo, é preciso ponderar se os benefícios serão maiores do que os custos.

No caso do projeto em questão, no qual uma amostra de apenas 5% dos votos seria usada, o custo ficaria em torno de R$ 60 milhões. Pode não parecer muito dinheiro para garantir eleições limpas, mas é preciso levar em conta que não existe nenhuma evidência de fraude nas urnas eletrônicas até o momento. Investir dinheiro público no combate a fraudes que dependem de condições mirabolantes para serem realizadas é como pagar a um mecânico para consertar um carro sem nenhum sinal de defeito, ou pagar por uma tomografia sem ter nenhum sintoma de doença.

É muito possível que alguma urna eletrônica em algum lugar do Brasil tenha sido ou vá ser fraudada durante uma eleição, mas no momento não há sinais de que isso esteja acontecendo, nem de que possa vir a influir de forma decisiva numa eleição. Assim, é melhor destinar o dinheiro para alguma finalidade mais urgente.

Uma terceira questão a se colocar é se as soluções propostas de fato eliminariam os riscos de fraude e, muito importante, se não abririam elas mesmas alguma brecha.

Como bem apontou o Claudio W. Abramo, imprimir os votos não aumentaria a segurança do sistema eleitoral. O registro impresso não é, necessariamente, mais confiável do que o registro eletrônico. Se dinheiro pode ser falsificado, recibos de votação também o poderiam ser. Seria preciso, então, criar uma terceira instância de segurança, para verificar os recibos, e logo uma quarta, para verificar a terceira, porque sempre haverá um candidato derrotado para questionar a lisura do pleito. A ampliação das instâncias de segurança aumentaria a complexidade do sistema e, com isso, poderia ampliar também as possibilidades de falha.

O projeto Você Fiscal mesmo é uma prova de que recibos não resolveriam a questão da legitimidade, porque todas as discrepâncias encontradas durante as conferências coletivas se deveram a erros humanos no momento de fotografar os boletins de urna. Caso houvesse recibo do voto, se pode imaginar que surgiriam muitos falsos-positivos de fraude, os quais precisariam ser investigados pelas autoridades, gerando ainda mais custos inúteis para a União.

De fato, ao se pesar o risco de fraude na urna eletrônica, frente aos custos envolvidos na impressão do voto, é preciso levar em conta não só o dinheiro a ser gasto em papel e tinta, mas também os custos ocultos embutidos na proposta.

Uma possibilidade levantada por Abramo seria um candidato com baixos índices nas pesquisas eleitorais criar recibos falsos, ou manipular algumas poucas urnas, com o único objetivo de colocar toda a eleição sob suspeita e, assim, forçar a realização de um novo pleito, ou causar uma demora excessiva na posse dos vencedores. Uma situação como essa custaria muito ao país, inclusive porque a incerteza política causa pânico no mercado financeiro.

Além disso, a impressão do voto poderia causar um retorno de fraudes mais tradicionais, como a compra de votos. Hoje em dia, o TSE não permite fotografar o voto, para não facilitar a comprovação de que o eleitor entregou a mercadoria ao corruptor. Um recibo do voto é o sonho de todo político desonesto. Os recibos também poderiam causar um recrudescimento do voto de cabresto.

Finalmente, como argumenta Kevin Mitnick, o elo mais fraco em qualquer sistema é o ser humano, não o hardware ou software. Em vez de tentar encontrar dezenas de hackers capazes de invadir os armazéns, passar dias sem serem detectados e fraudarem as urnas sem contar nada sobre o plano a ninguém, é bem mais fácil corromper ou ameaçar mesários para votarem por eleitores que não compareceram, por exemplo.

A urna eletrônica virou um espantalho

Não tenho motivos para duvidar das boas intenções de Diego Aranha e outros grupos que vêm criticando a urna eletrônica. Todos queremos um sistema eleitoral confiável, porque eleições limpas garantem a legitimidade dos ocupantes de cargos oficiais e, por consequência, a legitimidade da nossa democracia.

Na verdade, Aranha defende, no vídeo que deu início a esse texto, um ponto muito importante: a necessidade do TSE publicar o código-fonte da urna eletrônica e de outros sistemas usados para a votação e apuração. É mesmo inaceitável que os códigos-fonte não estejam disponíveis para escrutínio público, assim como é inadmissível o Superior Tribunal Federal não divulgar o código-fonte do sistema de distribuição de processos.

O Judiciário argumenta que publicar os códigos-fonte dos sistemas poderia, quem sabe, algum dia, hipoteticamente, permitir a malfeitores fraudarem uma eleição, ou a escritórios de advocacia fazer engenharia reversa do algoritmo e escolher seus juízes.

Difícil saber se é apenas uma mentalidade antiquada por parte das instituições, ou má fé, mas o fato é que a transparência já se mostrou uma forma mais eficaz de melhorar a segurança de sistemas do que a centralização. Não à toa, o Linux, de código-aberto, é considerado o sistema operacional mais robusto e seguro de todos.

Existe a possibilidade, ainda, de que o sistema eleitoral não seja realmente seguro e o TSE saiba disso. Nesse caso, estariam evitando divulgar o código-fonte porque têm certeza de que poderia ser usado para fraudes, ou mesmo para evitar constrangimento. É um péssimo cenário a se considerar.

Infelizmente, a maneira como muitos defensores da abertura do código decidiram lutar pela mudança de mentalidade no TSE acaba por jogar suspeita sobre a legitimidade do processo eleitoral como um todo.

A culpa é, em primeiro lugar, do próprio TSE, que poderia resolver as desconfianças abrindo o código-fonte ao escrutínio público. Como resiste a fazer isso, joga uma sombra de desconfiança sobre si mesmo e sobre a urna eletrônica.

Ainda assim, a criação de projetos como o Você Fiscal termina por minar a confiança do cidadão no sistema eleitoral. O vídeo de Diego Aranha, embora gravado em 2014, circula neste momento pelo WhatsApp, com alertas sobre fraudes nas eleições deste ano. Não apenas muitos dos problemas citados no vídeo já foram resolvidos, mas nenhum indício de fraude surgiu nos últimos quatro anos.

Embora divulgado com boas intenções, o material produzido por Aranha hoje é usado como espantalho por correligionários de Bolsonaro, por exemplo, para construir as bases de um argumento para sua possível derrota na corrida presidencial. Grupos políticos perdedores nas próximas eleições vão usar a desconfiança lançada sobre a urna eletrônica para questionarem o resultado. As consequências disso podem ser muito mais nefastas para o Brasil do que uma eventual fraude.

Lamentavelmente, em lugar de acalmar os ânimos, Aranha prefere seguir em seu conflito com o TSE, criticando o sistema eleitoral apesar da ausência de indícios de manipulação de resultados de votações em pleitos anteriores.

Ainda pior, ao se focar tanto nas urnas, ele e outros críticos do sistema se esquecem de aspectos potencialmente mais problemáticos — como aponta Abramo, o próprio sistema de transmissão dos resultados para o TSE seria um alvo mais útil do que as urnas. Talvez a centralização do sistema eleitoral, em si, seja uma brecha de segurança mais grave do que conectar um teclado USB a uma urna, mas, com a polêmica da impressão do voto, esse tipo de questionamento mais produtivo fica em segundo plano.

Aliás, a própria demanda por mais transparência do sistema por parte do TSE acaba soterrada em meio à discussão sobre a segurança das urnas e a impressão do voto.

É razoável e necessário vigiar o sistema eleitoral brasileiro. Devemos comemorar o fato de existirem pesquisadores e ativistas dedicados a garantir sua segurança por meio de auditorias e testes. Todavia, é possível criticar o TSE sem colocar em questão, de forma irresponsável e antecipada, a legitimidade do candidatos vencedores em outubro.

Erremo – Sobre a cláusula de barreira nas eleições municipais

Divulguei informação equivocada neste weblog a respeito da cláusula de barreira nas eleições municipais.

Ao exemplificar o impacto com dados da eleição de 2012, deixei de levar em conta que o patamar mínimo para um vereador ser eleito não é o quociente eleitoral cheio, dado pelo número de votos válidos divido pelas cadeiras a serem preenchidas, mas 10% do quociente eleitoral. Asseguro aos leitores que já peguei o flagelo ali no armário e tomei as devidas providências.

Percebi o erro relendo as regras instituídas pela Resolução TSE nº 23.456/2015. Usando os resultados das eleições de 2012 para Porto Alegre, disponíveis no repositório de dados do Tribunal Superior Eleitoral, criei uma planilha mostrando como ficaria a situação dos candidatos se fosse aplicada, na época, a regra atual.

Naquele ano, houve 753.729 votos válidos, que, divididos pelas 36 cadeiras da Câmara de Porto Alegre, dão um Quociente Eleitoral (QE) de 20.937. O patamar mínimo de votos para um candidato assumir a vaga seria de 10% do QE, ou seja, 2.094 votos. Na planilha acima, estão marcados em verde os candidatos que teriam ultrapassado a barreira. Como se pode ver, não haveria mudança alguma na composição final da Câmara de Vereadores.

Apesar do equívoco na premissa, segue válida a conclusão anterior de que deixou de ser interessante votar na legenda. Meu exemplo usou o PSOL:

Em 2012, o município de Porto Alegre teve cerca de 800 mil votos válidos. Pela regra atual, caso se mantenha um número próximo a esse de votos válidos, cada vereador deve obter no mínimo uns 20 mil votos para atingir o patamar de barreira. Naquele ano, Pedro Ruas, do PSOL, foi o vereador mais votado, com 14.610 votos. Fernanda Melchionna, também do PSOL, obteve 7.214 votos nominais. A legenda PSOL recebeu 10.415 votos.

Em 2012, estes 10.415 votos na legenda iriam para o lixo, porque o terceiro candidato a vereador mais votado pelo PSOL, Professor Alex Fraga, obteve apenas 1.424 votos. Aliás, provavelmente a própria Fernanda Melchionna não seria eleita e, quem sabe, nem mesmo Pedro Ruas.

Com o cálculo correto, se pode perceber que as vagas de Pedro Ruas e Fernanda Melchionna estariam asseguradas. O Professor Alex Fraga não teria atingido o patamar de barreira, mas não foi eleito de qualquer forma porque o Quociente Partidário (QP) do PSOL deu direito a apenas duas cadeiras para o partido. Por outro lado, se o PSOL tivesse QP suficiente para assumir três vagas, a cadeira do Professor Alex Fraga teria sido repassada a algum outro partido, por insuficiência de votos nominais.

Portanto, renovo a sugestão: faça o que fizer nestas eleições, não vote na legenda.

Salvar

Salvar

Restrições do TSE à Internet prejudicam a democracia

A Zero Hora de hoje traz uma reportagem especial sobre as restrições impostas pelo TSE à campanha eleitoral na Internet. Contribuí com uma pequena entrevista sobre a campanha de Barack Obama, nos Estados Unidos. Há um resumo das restrições feito por Marciele Brum, uma entrevista com o juiz eleitoral Ricardo Hermann e uma coluna da Vanessa Nunes praticamente incitando a desobediência civil na Web.

A verdade é que o Tribunal Superior Eleitoral demonstra ignorância sobre o funcionamento da Internet e, principalmente, sobre suas implicações sociais. Lendo a íntegra das orientações para a campanha, percebe-se que as regras para a Internet são muito vagas, limitando-se a regular o uso dos domínios .can.br e a equiparar a rede mundial de computadores com as emissoras de rádio e televisão, para fins jurídicos. Os problemas são os seguintes:

  • Ao contrário de rádio e televisão, a Internet não é uma concessão pública. Ou seja, ninguém precisa de autorização do governo para criar um site, postar um comentário num blog, divulgar um vídeo no YouTube, gravar um podcast. As emissoras de rádio e TV, por usarem um recurso escasso, que é o espectro eletromagnético, devem prestar contas ao governo e se pautar pelo interesse público. O espaço nas redes de computadores pode ser tudo, menos escasso. Portanto, o apoio de qualquer pessoa a um candidato não estará competindo pelo mesmo espaço com o interesse público. A equiparção com meios que usam comunicação via ondas eletromagnéticas não faz o menor sentido.
  • Mesmo que o TSE tivesse equiparado a Internet com jornais, a comparação ainda seria equivocada. Considero a regulação da atividade jornalística impressa durante as campanhas eleitorais um desserviço, porque o veículo é obrigado a dar o mesmo espaço tanto aos candidatos importantes quanto aos que só entram no pleito para aparecer. Os nanicos raramente oferecem tanto assunto quanto aqueles dos partidos maiores. O resultado é que em geral é preciso cortar espaço dos candidatos que a população realmente quer ouvir, para manter o equilíbrio. Além disso, a argumentação da concessão pública também se aplica: ninguém precisa de autorização para abrir um jornal ou revista. De qualquer modo, pode-se afirmar que os jornais contam com uma credibilidade maior, são os veículos oficiais da democracia, portanto devem seguir certas regras por exigência ética. OK, mas o mesmo não se aplica à Internet, onde qualquer pessoa com meia dúzia de reais para comprar algumas horas em uma lan house ou acesso a um telecentro pode publicar sua opinião. Se é para haver regras na Web, elas devem se aplicar somente às empresas de comunicação, não às pessoas físicas.
  • A falta de regulação mais específica cria insegurança jurídica para os candidatos. O TSE se furtou a definir regras claras para o uso da Internet e prometeu analisar caso a caso. O problema é que as multas são bastante pesadas, podendo chegar até acima de R$ 50 mil. Isso significa que os candidatos de partidos com maior poder econômico poderão se arriscar numa campanha mais ousada nas redes, porque se levarem multa terão como pagá-la. Já os candidatos nanicos, por não terem ao menos algumas indicações do pensamento do TSE, fatalmente irão se manter dentro do limite mais estrito da lei, realizando campanhas menos eficientes. O resultado será exatamente o contrário do objetivo da Lei Eleitoral, que é evitar o abuso de poder econômico.
  • O argumento de que liberar geral causaria abuso de poder econômico é o mais ignorante de todo esse debate. O juiz Hermann diz na entrevista que “quem tem mais recursos financeiros não pode povoar a internet em detrimento dos demais candidatos”. Porém, a Internet é o único meio em que existe a possibilidade de fazer uma campanha totalmente gratuita, ou quase. É o meio que melhor evidencia o real apoio popular a um candidato. Um pretendente a vereador que consiga mobilizar seus eleitores a criar comunidades no Orkut, publicar vídeos da campanha no YouTube, listas e fóruns de discussão do Google, artigos e comentários em blogs, não estará tirando um centavo sequer do próprio bolso e terá uma presença melhor na Web do que um candidato que pague uma centena de capiaus para fazer spam em redes sociais e na blogosfera. Aliás, as estratégias baseadas em spam costumam ser desmascaradas em poucos segundos pela própria comunidade de usuários da rede. O princípio de auto-organização das redes sociais daria conta das distorções naturalmente.
  • Além de restringir a ação dos candidatos, a decisão do TSE pode emudecer a manifestação da opinião política dos cidadãos. Um blogueiro deverá pensar duas vezes antes de apoiar um candidato, porque o apoio poderá se voltar contra o candidato, caso um concorrente resolva reclamar ao Tribunal Eleitoral. Do mesmo modo, um militante que vá a um evento e porventura grave um vídeo no celular estará arriscando prejudicar seu candidato se divulgá-lo via YouTube. De novo, quem sai prejudicado são os candidatos com maior apoio popular. É uma distorção da democracia. O juiz Hermann apela ao princípio de igualdade, mas esquece que, em paralelo à igual oportunidade de acesso aos direitos políticos, é da democracia que os pontos de vista com maior apoio sobressaiam na esfera pública. Tanto é verdade que a própria Lei Eleitoral dá mais espaço no horário político em rádio e TV aos candidatos de partidos com maior representação no Congresso.

    Esses são apenas alguns defeitos da Lei Eleitoral imposta pelo TSE para esse pleito. Um detalhe: a reportagem pergunta ao juiz se apenas um promotor eleitoral em todo o Estado tem condições de fiscalizar. É ele o responsável por fazer denúncias ao TRE, os tribunais não podem dar início a ações judiciais. Pois em um seminário da PUCRS em junho o promotor Daniel Rubin deixou bem clara sua posição favorável à liberalidade da campanha na Internet e sugeriu que pretende fazer vista grossa ao que for considerado uso justo da rede, ainda que contrário às regras do TSE. Restará aos eleitores e partidos fazerem denúncias ao TRE gaúcho.

    No fim das contas, as novas regras acabam favorecendo justamente quem tem mais dinheiro para investir em um site de campanha. Publicação de vídeo e áudio, gerenciamento de comunidades e fóruns, aplicativos de galerias de fotos e de agenda, são todos sistemas complexos e que custam uma fortuna para implementar. Os candidatos mais ricos poderão contar com todas essas facilidades. Aqueles que não conseguem levantar tantos recursos para a campanha, no entanto, não poderão contar com os serviços gratuitos do YouTube, Orkut, Flickr, Google. Aqui vai uma dica a tais candidatos: o Ning oferece todos esses serviços e, por míseros US$ 5 ao mês, permite criar uma comunidade de usuários com possibilidade de uso de foto, vídeo, áudio, agenda etc. com um domínio próprio. É a melhor opção dentro da restrição a um site por candidato, porque reúne os principais tipos de serviços. Há uma versão em português, inclusive.