Arquivo da tag: urna eletrônica

urna eletrônica

A urna eletrônica é segura o suficiente

Vem circulando em grupos de WhatsApp de muitas famílias brasileiras o vídeo abaixo, gravado em 2014 pelo professor da Unicamp Diego Aranha, especialista em criptografia e segurança digital:

O vídeo apresenta o projeto Você Fiscal, que se encontra inativo e não pretende monitorar as eleições de 2018.

Aranha, que anunciou sua mudança para a Dinamarca após o Tribunal Superior Eleitoral derrubar a proposta de se imprimir recibos dos votos, participa desde 2012 dos testes da urna eletrônica promovidos pelo governo. Sua equipe, assim como outras no período de preparação para as eleições de 2014 e 2016, encontrou vulnerabilidades no sistema.

Sua campanha pela impressão do voto se baseia nisso e é legítima, mas ao mesmo tempo o professor, no vídeo, deixa de colocar em perspectiva os achados de seu grupo. Abaixo, gostaria de oferecer um pouco de contexto, para explicar por que essas vulnerabilidades não colocam em risco a lisura das eleições.

Aproveitar vulnerabilidades da urna para fraudes é muito difícil

Durante o Teste Público de Segurança de 2017, os investigadores dispuseram de três dias para atacar o hardware e o software da urna eletrônica, nas dependências do TSE. Contaram com acesso ao código-fonte do aparelho e podiam, inclusive, abrir a urna e manipular seus componentes. O próprio Diego Aranha, que aparece no vídeo acima, liderou um dos quatro grupos participantes.

Conforme o relatório do TPS 2017, mesmo nessas condições favoráveis, seu grupo conseguiu apenas conectar um teclado à urna, ler os nomes dos eleitores e mudar o texto na tela. As tentativas de modificar os votos fracassaram, pois o sistema percebeu uma invasão e travou, exatamente como esperado por sua arquitetura. Um segundo grupo, composto por policiais federais, e um investigador independente obtiveram resultados ainda mais modestos.

Em maio de 2018, o TSE convidou os investigadores do TPS 2017 a realizarem um Teste de Confirmação, para verificar se as correções realizadas no sistema das urnas eletrônicas a partir dos resultados dos ataques eram adequadas. Conforme o relatório, as brechas de segurança encontradas pelos investigadores em 2017 foram todas corrigidas.

Em resumo, especialistas em informática se mostraram incapazes de mudar um voto sequer na urna eletrônica, mesmo com acesso livre a software e hardware, bem como experiência acumulada de testes anteriores.

Todavia, é preciso levar em conta que possíveis fraudadores de urnas teriam de atuar no mundo real, não num ambiente refrigerado em Brasília, com acesso total ao equipamento e ao código-fonte. O cenário para se fraudar uma eleição presidencial, por exemplo, envolveria, no mínimo:

  • encontrar uma forma de ter acesso aos locais onde os Tribunais Regionais Eleitorais armazenam as urnas eletrônicas;
  • passar vários dias nestes locais, sem ser detectado;
  • encontrar estratégias eficazes de ataque ainda não detectadas nas edições anteriores do TPS;
  • dispor de cúmplices competentes o suficiente em informática em diversas cidades do Brasil;
  • modificar um número suficiente de urnas para influir decisivamente em milhões de votos;
  • o código malicioso inserido nas urnas deveria funcionar sem erros no dia da eleição;
  • nenhuma das dezenas ou centenas de pessoas envolvidas denunciaria o plano.

Não sou especialista em segurança da informação, mas, se assistisse a um filme com esse roteiro, sairia do cinema irritado.

Quanto mais segurança, melhor, não?

Ainda assim, Aranha e outros grupos defendem o investimento de milhões de reais na impressão do voto, como forma de mitigar possíveis fraudes eleitorais. À primeira vista, parece uma boa ideia: quanto mais ações para garantir a segurança do sistema, melhor, não?

Depende.

Quando se trabalha com a noção de risco, se está sempre trabalhando com uma relação entre duas probabilidades. A verdadeira questão não é se a urna eletrônica é 100% segura contra fraudes — até porque não existe sistema completamente invulnerável. A pergunta a se fazer é: a urna eletrônica oferece um nível de segurança aceitável para a realização de eleições justas?

Até o momento, não existem indícios de que as urnas eletrônicas, mesmo com todas as suas falhas, ofereçam um risco maior do que outras formas de votação e apuração. O projeto Você Fiscal verificou mais de 1% dos boletins de urna no Brasil inteiro no segundo turno das eleições presidenciais de 2014 e não encontrou nenhuma divergência. No primeiro turno das eleições de 2016 a conferência coletiva dos boletins foi repetida e não encontrou um indício de fraude sequer na apuração. Uma auditoria solicitada pelo PSDB tampouco encontrou indícios de fraude.

Com certeza, o sistema eletrônico é um progresso em relação ao voto em cédula de papel, que oferecia oportunidades de fraude em todas as etapas do processo, especialmente durante a contagem. Não apenas isso, como a contagem por seres humanos era mais propensa a falhas do que a apuração eletrônica, pois os escrutinadores, ao contrário de computadores, podiam se cansar e errar, ou serem corrompidos e ameaçados.

Além disso, ao considerar qualquer ação para reduzir a probabilidade dum evento negativo, é preciso ponderar se os benefícios serão maiores do que os custos.

No caso do projeto em questão, no qual uma amostra de apenas 5% dos votos seria usada, o custo ficaria em torno de R$ 60 milhões. Pode não parecer muito dinheiro para garantir eleições limpas, mas é preciso levar em conta que não existe nenhuma evidência de fraude nas urnas eletrônicas até o momento. Investir dinheiro público no combate a fraudes que dependem de condições mirabolantes para serem realizadas é como pagar a um mecânico para consertar um carro sem nenhum sinal de defeito, ou pagar por uma tomografia sem ter nenhum sintoma de doença.

É muito possível que alguma urna eletrônica em algum lugar do Brasil tenha sido ou vá ser fraudada durante uma eleição, mas no momento não há sinais de que isso esteja acontecendo, nem de que possa vir a influir de forma decisiva numa eleição. Assim, é melhor destinar o dinheiro para alguma finalidade mais urgente.

Uma terceira questão a se colocar é se as soluções propostas de fato eliminariam os riscos de fraude e, muito importante, se não abririam elas mesmas alguma brecha.

Como bem apontou o Claudio W. Abramo, imprimir os votos não aumentaria a segurança do sistema eleitoral. O registro impresso não é, necessariamente, mais confiável do que o registro eletrônico. Se dinheiro pode ser falsificado, recibos de votação também o poderiam ser. Seria preciso, então, criar uma terceira instância de segurança, para verificar os recibos, e logo uma quarta, para verificar a terceira, porque sempre haverá um candidato derrotado para questionar a lisura do pleito. A ampliação das instâncias de segurança aumentaria a complexidade do sistema e, com isso, poderia ampliar também as possibilidades de falha.

O projeto Você Fiscal mesmo é uma prova de que recibos não resolveriam a questão da legitimidade, porque todas as discrepâncias encontradas durante as conferências coletivas se deveram a erros humanos no momento de fotografar os boletins de urna. Caso houvesse recibo do voto, se pode imaginar que surgiriam muitos falsos-positivos de fraude, os quais precisariam ser investigados pelas autoridades, gerando ainda mais custos inúteis para a União.

De fato, ao se pesar o risco de fraude na urna eletrônica, frente aos custos envolvidos na impressão do voto, é preciso levar em conta não só o dinheiro a ser gasto em papel e tinta, mas também os custos ocultos embutidos na proposta.

Uma possibilidade levantada por Abramo seria um candidato com baixos índices nas pesquisas eleitorais criar recibos falsos, ou manipular algumas poucas urnas, com o único objetivo de colocar toda a eleição sob suspeita e, assim, forçar a realização de um novo pleito, ou causar uma demora excessiva na posse dos vencedores. Uma situação como essa custaria muito ao país, inclusive porque a incerteza política causa pânico no mercado financeiro.

Além disso, a impressão do voto poderia causar um retorno de fraudes mais tradicionais, como a compra de votos. Hoje em dia, o TSE não permite fotografar o voto, para não facilitar a comprovação de que o eleitor entregou a mercadoria ao corruptor. Um recibo do voto é o sonho de todo político desonesto. Os recibos também poderiam causar um recrudescimento do voto de cabresto.

Finalmente, como argumenta Kevin Mitnick, o elo mais fraco em qualquer sistema é o ser humano, não o hardware ou software. Em vez de tentar encontrar dezenas de hackers capazes de invadir os armazéns, passar dias sem serem detectados e fraudarem as urnas sem contar nada sobre o plano a ninguém, é bem mais fácil corromper ou ameaçar mesários para votarem por eleitores que não compareceram, por exemplo.

A urna eletrônica virou um espantalho

Não tenho motivos para duvidar das boas intenções de Diego Aranha e outros grupos que vêm criticando a urna eletrônica. Todos queremos um sistema eleitoral confiável, porque eleições limpas garantem a legitimidade dos ocupantes de cargos oficiais e, por consequência, a legitimidade da nossa democracia.

Na verdade, Aranha defende, no vídeo que deu início a esse texto, um ponto muito importante: a necessidade do TSE publicar o código-fonte da urna eletrônica e de outros sistemas usados para a votação e apuração. É mesmo inaceitável que os códigos-fonte não estejam disponíveis para escrutínio público, assim como é inadmissível o Superior Tribunal Federal não divulgar o código-fonte do sistema de distribuição de processos.

O Judiciário argumenta que publicar os códigos-fonte dos sistemas poderia, quem sabe, algum dia, hipoteticamente, permitir a malfeitores fraudarem uma eleição, ou a escritórios de advocacia fazer engenharia reversa do algoritmo e escolher seus juízes.

Difícil saber se é apenas uma mentalidade antiquada por parte das instituições, ou má fé, mas o fato é que a transparência já se mostrou uma forma mais eficaz de melhorar a segurança de sistemas do que a centralização. Não à toa, o Linux, de código-aberto, é considerado o sistema operacional mais robusto e seguro de todos.

Existe a possibilidade, ainda, de que o sistema eleitoral não seja realmente seguro e o TSE saiba disso. Nesse caso, estariam evitando divulgar o código-fonte porque têm certeza de que poderia ser usado para fraudes, ou mesmo para evitar constrangimento. É um péssimo cenário a se considerar.

Infelizmente, a maneira como muitos defensores da abertura do código decidiram lutar pela mudança de mentalidade no TSE acaba por jogar suspeita sobre a legitimidade do processo eleitoral como um todo.

A culpa é, em primeiro lugar, do próprio TSE, que poderia resolver as desconfianças abrindo o código-fonte ao escrutínio público. Como resiste a fazer isso, joga uma sombra de desconfiança sobre si mesmo e sobre a urna eletrônica.

Ainda assim, a criação de projetos como o Você Fiscal termina por minar a confiança do cidadão no sistema eleitoral. O vídeo de Diego Aranha, embora gravado em 2014, circula neste momento pelo WhatsApp, com alertas sobre fraudes nas eleições deste ano. Não apenas muitos dos problemas citados no vídeo já foram resolvidos, mas nenhum indício de fraude surgiu nos últimos quatro anos.

Embora divulgado com boas intenções, o material produzido por Aranha hoje é usado como espantalho por correligionários de Bolsonaro, por exemplo, para construir as bases de um argumento para sua possível derrota na corrida presidencial. Grupos políticos perdedores nas próximas eleições vão usar a desconfiança lançada sobre a urna eletrônica para questionarem o resultado. As consequências disso podem ser muito mais nefastas para o Brasil do que uma eventual fraude.

Lamentavelmente, em lugar de acalmar os ânimos, Aranha prefere seguir em seu conflito com o TSE, criticando o sistema eleitoral apesar da ausência de indícios de manipulação de resultados de votações em pleitos anteriores.

Ainda pior, ao se focar tanto nas urnas, ele e outros críticos do sistema se esquecem de aspectos potencialmente mais problemáticos — como aponta Abramo, o próprio sistema de transmissão dos resultados para o TSE seria um alvo mais útil do que as urnas. Talvez a centralização do sistema eleitoral, em si, seja uma brecha de segurança mais grave do que conectar um teclado USB a uma urna, mas, com a polêmica da impressão do voto, esse tipo de questionamento mais produtivo fica em segundo plano.

Aliás, a própria demanda por mais transparência do sistema por parte do TSE acaba soterrada em meio à discussão sobre a segurança das urnas e a impressão do voto.

É razoável e necessário vigiar o sistema eleitoral brasileiro. Devemos comemorar o fato de existirem pesquisadores e ativistas dedicados a garantir sua segurança por meio de auditorias e testes. Todavia, é possível criticar o TSE sem colocar em questão, de forma irresponsável e antecipada, a legitimidade do candidatos vencedores em outubro.


Atualização em 13 de setembro de 2018

O vídeo do projeto Você Fiscal ao qual o texto se refere foi retirado do link original para o YouTube, mas em 2 de julho de 2018 foi republicado por outra conta. É este último que está incorporado ao post.

Noutros assuntos, a reação da comunidade de engenheiros de software e computação a este artigo me lembrou a tirinha do XKCD abaixo: