BLOCO TECNOLOGIA - BLOg dos COordenadores ou BLOg COmunitário da ComUnidade WirelessBRASIL

O conteúdo do BLOCO tem forte vinculação com os debates nos Grupos de Discussão Celld-group e WirelessBR. Participe!

• Segurança do Processo Eleitoral (10) - "Posts" contundentes - e preocupantes - anotados no Blog do Silvio Meira

01.
Transcrevo mais abaixo "posts" contundentes, anotados no Blog de Silvio Meira, sobre a Segurança do Processo Eleitoral com Urnas Eletrônicas.

Visitei o Blog Dia a Dia, Bit a Bit de Silvio Meira por indicação de um participante. Lembro que Meira não usa letras maiúsculas em seus textos...Treinamento para Saramago... :-)

Silvio Meira dispensa apresentações mas, anoto da web:

Silvio Meira é um dos maiores pesquisadores de Engenharia de Software no Brasil. É também cientista-chefe do C.E.S.A.R. (Centro de Estudos e Sistemas Avançados do Recife), instituto de inovação privado e sem fins lucrativos que atua na área de tecnologia da informação e comunicação com duas frentes: desenvolvimento de produtos (em áreas como TV Digital, mobilidade, aplicações de web, open source e inteligência artificial) e incubação de empresas (já criou mais de 30 novas empresas de TI).

02.
Cumpre-me lembrar, também, antes das transcrições, que acompanhamos o tema "Urna Eletrônica" desde 2006.
Aqui está o link do primeiro "post":
03/09/06
• A Urna Eletrônica é segura (1)?

Em 2008 mudamos o "Assunto" da série de mensagens sobre "Urna Eletrônica" para "Segurança do Processo Eleitoral".
O website comunitário sobre o tema é este: Segurança do Processo Eleitoral com Urnas Eletrônicas

No final desta mensagem relaciono os "posts" comunitários no BLOCO, desde 2006.

03.
Voltando.
Em resumo, Silvio Meira comenta um incidente ocorrido em Alagoas, que teve início em 11/2006 após ser detectado que os arquivos de LOG de 35% das urnas estavam corrompidos e não apontavam o destino de 22.000 (vinte e dois mil) votos dados pelos eleitores, além de arquivos com dados misturados e urnas computando votos para municípios inexistentes.

Meira cita também outro incidente, este recentíssimo, em que a OAB nacional não assinou o certificado digital do software das eleições de 2010.
E conclui pela necessidade de uma Auditoria independe em todo o processo.
Vale conferir outros questionamentos.

04.
Transcrevo mais abaixo dois "posts" que contêm os assuntos acima citados:

Fonte: Blog Dia a Dia, Bit a Bit de Silvio Meira
[14/09/10] as urnas e “alagoas 2006”

mas não demorou muito até que saísse um “as eleições brasileiras são as melhores do mundo”. como ando escrevendo sobre isso aqui há anos [veja o texto anterior aqui, da semana passada, explicando porque a OAB nacional não assinou digitalmente o software das eleições 2010], tive que dizer algo e disse, em largas palavras, o que tem sido publicado por aqui, sustentado não por minha particular expertise no assunto eleições eletrônicas, que é baixa, mas por sólidos argumentos que vêm do CMIND, o comitê multidisciplinar independente que estuda o processo eleitoral brasileiro. aliás, comentei este assunto em um podcast recente da CBN que você pode ouvir clicando neste link.

e a conversa rolou, rolou, e eu mencionei as eleições de alagoas em 2006… e não é que ninguém sabia de nada sobre o assunto? mas nada, nada mesmo. pessoas lidas, conectadas, que nunca haviam ouvido nada sobre o assunto.

talvez este seja também o caso do leitor, e talvez valha a pena, se for, ler um pequeno e muito instrutivo texto da advogada maria aparecida cortiz [que é membro do CMIND], publicado no portal unieducar há mais ou menos um mês.

o título do artigo é Princípio do contraditório e da imparcialidade no processo eletrônico de votação e doutora cortiz foi uma das pessoas que estudou de perto o caso “alagoas 2006”, que resumidamente… teve início em 11/2006 após ser detectado que os arquivos de LOG de 35% das urnas estavam corrompidos e não apontavam o destino de 22.000 (vinte e dois mil) votos dados pelos eleitores, além de arquivos com dados misturados e urnas computando votos para municípios inexistentes.

isso mesmo que você leu: as “melhores eleições do mundo” não foram tão boas assim [pelo menos] nas eleições de 2006 em alagoas e o destino de dezenas de milhares de votos ficou “no ar”. podem até ter sido dados para alguém, mas não se sabe se foram. e havia “municípios-fantasma”, uma inovação eleitoral indesejada, pois no passado eram somente os eleitores-fantasma que preocupavam.

a decisão do TSE sobre o assunto também é desconhecida das pessoas lidas e conectadas de que falo: o tribunal decidiu que mesmo havendo graves indícios de que alguma coisa está errada, tudo está certo.

aliás, como de praxe, o tribunal julga ele mesmo neste tipo caso e resolveu que não há com que se preocupar, pois… o fato do LOG não registrar um evento não significa que o evento não ocorreu. donde se conclui, usando lógica elementar, que “logs” [arquivos de registro de eventos ocorridos] são inúteis. de que adianta [para verificação de ocorrência de um evento…] um registro que não necessariamente registra a ocorrência de certos eventos, mesmo tendo os dito cujos acontecido?…

mais hora, menos hora, alguma coisa vai mudar; não vai ser possível sustentar por muito mais tempo este estado de coisas. mas o “público”, inclusive o que comenta textos como este aqui no blog, acha que “se as urnas são frágeis, porque a grande imprensa nunca diz nada sobre isso?”…

pergunte-se à grande imprensa. está cheio de gente, lá, que sabe muito bem que a eleição eletrônica brasileira não tem independência de poderes e, por isso, nenhuma chance de ter uma auditoria independente do processo e de seus resultados. se houver uma fraude, dificilmente ela será detectada, como até hoje não se sabe ao certo se “alagoas 2006” foi uma conjuntura de erros de sistema [há erros épicos de software das melhores famílias, como a NASA...] ou se havia cérebros e mão humanas mal intencionados por trás dos muitos eventos não esperados que rolaram por lá.

tomara que a tal da grande imprensa não tenha que mudar de posição e publicar algo apenas por causa de alguma catástrofe que está para acontecer… quando?…

não é que a OAB nacional não assinou o certificado digital do software das eleições de 2010? está bem aqui, na página do voto seguro… nestes termos:

…A OAB enviou o sr. Rodrigo Anjos, especialista em TI, como seu representante devidamente credenciado na cerimônia de lacração dos sistemas do TSE para avaliar o conjunto dos programas. Ao constatar que esse conjunto era composto por milhares de arquivos com mais de 16 milhões de linhas de código-fonte, a OAB nacional compreendeu que não teria condições técnicas de validar o sistema e decidiu que não iria assiná-los digitalmente, comunicando a decisão ao TSE.

A comprovação de que a OAB não assinou digitalmente os programas pode ser obtida nas Tabelas de Resumos Digitais dos Programas (a ser publicada na Internet pelo TSE) onde não consta nenhum arquivo com as assinaturas da OAB (como contra-exemplo, pode se ver os arquivos com as assinaturas digitais do PT).

Porém, nos minutos finais da cerimônia que encerrava um trabalho desenvolvido ao longo de seis meses, compareceu o sr. Francisco Caputo Neto , presidente da OAB do Distrito Federal e filho do ex-ministro do TSE Caputo Bastos, e representou uma cena "assinatura digital". Numa evidente demonstração de confiança cega, já que nenhuma equipe de seus técnicos gastou nem uma horinha analisando o conteúdo dos sistemas, o Sr. Caputo Neto assinou o "pacote" dos programas.

Como não assinou cada programa individualmente, o que atrasaria a cerimônia em duas ou três horas, os fiscais representantes do sr. Caputo Neto não terão como conferir se os programas instalados nas urnas e nos computadores dos cartórios seriam os originais com a sua respectiva assinatura digital.

E é assim que a autoridade eleitoral passou a dizer que "programação digital das urnas eletrônicas foi conferida, autenticada e… contou com a participação da OAB…".

o tema da segurança das urnas e do sistema de votação eletrônica do brasil tem sido recorrentemente tratado no blog, pelo menos desde as eleições municipais de 2008. veja alguns dos nossos textos neste link e um, especial e mais recente, sobre a prova de que as urnas indianas são inseguras, onde um dos maiores especialistas brasileiros no assunto diz em todas as letras que… “…tenho certeza que as urnas brasileiras também não resistiriam a um ataque realizado por gente capaz”.

este autor, em passado distante, escreveu mais de uma vez que a transição do sistema eleitoral do papel para o digital havia diminuído muito a incidência de fraudes, por simples incompetência temporal, à época, dos fraudadores em potencial. muitos anos depois da urna e seus sistemas acessórios sendo usados em escala nacional, com muitas [milhares de?…] pessoas em todo o país entendendo seu funcionamento e fraquezas, é preciso tomar outros cuidados com a segurança do voto que não a pura e simples propaganda governamental, tentando nos assegurar que o voto é seguro porque… é seguro. sei não, os problemas vêm de longe e, se eu trabalhasse lá na informática do TSE, estaria bem mais preocupado do que, pelo menos de público, a galera de lá parece estar.

por que? ora, veja só: uma auditoria independente estabelece, de forma inequívoca, que o sistema do imposto de renda dos americanos é vulnerável e não garante confidencialidade, disponibilidade e integridade de dados. mas relaxe, você poderia dizer, é lá nos EUA e não tem nada a ver com eleições. então leia isso: aqui, em pindorama, ninguém menos que o TCU, tribunal de contas da união, diz que o vazamento de dados afeta 65% dos órgãos de governo e que a receita federal é só um exemplo. preocupante, não?…

tem gente que acredita, piamente, na “propaganda governamental”: a urna é segura porque o governo garante que ela é segura. talvez a gente deva lembrar que o governo médici, em plena ditadura militar, mal copiando um original americano, introduziu o infame slogan “brasil: ame-o ou deixe-o”, tentando confundir a pátria com o governo, sem nunca ter lido mark twain: "Patriotism is supporting your country all the time… and your government when it deserves it". patriotismo é apoiar seu país o tempo todo… e seu governo, quando ele merece. simples assim.

temos o direito de ter eleições justas e limpas. e isso não depende de uma autoridade –por mais íntegra e respeitada que seja, como o TSE- garantir que elas são limpas mas de, transparente e independentemente auditadas, se mostrar que o processo eleitoral é comprovadamente limpo. o resto é propaganda governamental, da mesma classe do ame-o ou deixe-o. ou da versão TSE para 2010: “nestas eleições, deposite nelas [as urnas] mais do que o seu voto, deposite a sua confiança".

Tendo-se analisado com profundidade o relatório do comitê do TSE e juntando o conhecimento especializado e experiência dos autores no acompanhamento dos sistemas eleitorais do TSE desde 2000, concluiu-se o seguinte:

1. Há exagerada concentração de poderes no processo eleitoral brasileiro, resultando em comprometimento do Princípio da Publicidade e da soberania do eleitor em poder conhecer e avaliar, motu próprio, o destino do seu voto;

2. Desde 1996, no sistema eleitoral eletrônico brasileiro É IMPOSSÍVEL PARA OS REPRESENTANTES DA SOCIEDADE AUDITAR O RESULTADO DA APURAÇÃO DOS VOTOS. Em outras palavras, caso ocorra uma infiltração criminosa determinada a fraudar as eleições, restou evidente que a fiscalização externa dos Partidos, da OAB e do MP, do modo como é permitida, será incapaz de detectá-la.

3. Esta impossibilidade de auditoria independente do resultado eleitoral é que levou à rejeição de nossas urnas eletrônicas em todos os mais de 50 países que a estudaram.

o CMIND não é um grupo de hackers que se reuniu em uma mesa de bar ou porão pra maldizer o sistema eleitoral brasileiro, mas um grupo de pessoas independentes que avalia o processo eleitoral há anos e que resolveu dizer em público, e de uma vez por todas, que o sistema precisa mudar.

não se trata de mudar a só a urna, por exemplo. o problema é muito maior; segundo o CMIND, há que se mudar o processo, inclusive o papel do TSE, para aumentar a segurança e transparência do processo eleitoral. as três recomendações do CMIND são:

1. Propiciar separação mais clara de responsabilidades nas tarefas de normatizar, administrar e auditar o processo eleitoral brasileiro, deixando à Justiça Eleitoral apenas a tarefa de julgar o contencioso.

2. Possibilitar uma auditoria dos resultados eleitorais de forma totalmente independente das pessoas envolvidas na sua administração.

3. Regulamentar mais detalhadamente o Princípio de Independência do Software em Sistemas Eleitorais, expresso no Art. 5 da Lei 12.034/09, definindo claramente as regras de auditoria com o Voto Impresso Conferível pelo Eleitor.

se você leu até aqui, vale a pena saber quem escreveu o que este blog está citando. o CMIND é…

Sérgio Sérvulo da Cunha, 74, jurista, membro da Comissão Permanente de Direito Constitucional do Instituto dos Advogados Brasileiros.

Augusto Tavares Rosa Marcacini, 45, membro da Comissão de Tecnologia da Informação do Conselho Federal da OAB no triênio 2004/2006, acompanhou o desenvolvimento dos sistemas eleitorais do TSE em 2004.

Maria Aparecida da Rocha Cortiz, 49, advogada eleitoral, acompanha o desenvolvimento dos sistemas eleitorais junto ao TSE desde 2002.

Jorge Stolfi, 59, Ph.D pela Stanford University em 1988 é Professor Titular do Instituto de Computação da Unicamp.

Clovis Torres Fernandes, 56, Doutor em Informática pela PUC-Rio em 1992, é Professor Associado da Divisão de Ciência da Computação do ITA.

Pedro Antônio Dourado Rezende, 57, matemático e criptógrafo, Professor de Criptografia e Ciência da Computação da Universidade de Brasília.

Márcio Coelho Teixeira, 46, engenheiro, projetou do protótipo de urna eletrônica em 1995 aprovado pela Comissão de Informatização do Voto do TSE e acompanhou a apresentação dos sistemas eleitorais do TSE em 2000.

Amilcar Brunazo Filho, 60, engenheiro, assistente técnico em perícias em urnas eletrônicas, acompanha o desenvolvimento dos sistemas do TSE desde 2000.

Frank Varela de Moura, 38, analista de sistemas, acompanha o desenvolvimento dos sistemas eleitorais do TSE desde 2004.

Marco Antônio Machado de Carvalho, 44, analista de sistemas e programador, acompanhou o desenvolvimento dos sistemas eleitorais do TSE em 2008.

o relatório completo, de 105 páginas, pode ser encontrado neste link. boa leitura. o debate só está começando e o blog vai voltar ao tema muito em breve.

a infra-estrutura brasileira de eleições, informatizada e universal, é um feito da engenharia e políticas nacionais. não resta a menor dúvida de que a urna eletrônica e o sistema de apuração por trás dela funcionaram -e funcionam- muito melhor do que o sistema baseado em cédulas, mapas e tinta que tínhamos antes. prova disso é que famílias e coronéis, brasil a dentro, perderam o controle quase secular que tinham de algumas cidades [em certos casos, regiões] porque não aprenderam a fraudar o sistema eleitoral informatizado na velocidade de sua evolução.

mas, desde sua chegada, a urna eletrônica é cercada de polêmica. uns, mais radicais [e usando argumentos, digamos, convincentes] dizem que o sistema é furado, pura e simplesmente. outros, mais condescendentes, apontam as melhoras que poderiam ser introduzidas para tornar o sistema bem mais confiável do que é.

acontece que o crime organizado está querendo organizar muita coisa e as eleições são parte importante do que [parece] que pode ser "organizado". de um lado, tem gente cobrando eleitor tirando foto de voto na urna pra mostrar pra cabo [?] eleitoral, sob pena de danos muito significativos à sua existência terrena. estes são, poderíamos dizer, os brucutus, a turma da força bruta. de outro, está a galera da inteligência do crime, vendendo eleições, por milhões. ou pelo menos dizendo que vende -e entrega- resultados.

e acontece que estamos no brasil, e a oferta de "eleger quem fosse, por um preço" acabou vazando… por todo canto, como anúncio viral em rede social. e o ministro ayres britto [na foto], presidente do tribunal superior eleitoral, teve que reagir, na sua moeda. segundo declaração do ministro, "o sistema é absolutamente inviolável". acontece que este blog, além de cético, escreve software há 35 anos e não acredita em sistemas "absolutamente invioláveis"… até porque há resultados fundamentais [da teoria da computação...] que nos levam à conclusão exatamente oposta. tudo indica que, num sistema linguístico qualquer, temos que escolher entre consistência e completude. se o sistema for consistente [ou seja, não dá pra pra provar que 0=1], há verdades, no sistema, que não podem ser provadas. por outro lado, se pudermos demonstrar tudo o que é verdade, o sistema é inconsistente, ou seja, também podemos provar um 0=1 aqui, outro ali, enfim, em todo lugar. ou eleger qualquer um, mesmo sem voto…

mas uma discussão do sistema eleitoral nestes termos [teóricos] não é razoável, porque prática é a vida e as eleições. mesmo sabendo que o ministro está teoricamente [pois não existem sistemas -do tipo do sistema eleitoral- invioláveis] errado, resolvemos consultar um dos maiores especialistas brasileiros em segurança de informação sobre o assunto e a sua resposta a nosso emeio está abaixo. sabendo das implicações de suas declarações, nosso personagem se escondeu por trás do codinome frodo [baggins, o filho adotivo de bilbo, do senhor dos anéis], o hobbit que tomou pra si a responsabilidade de detonar orodruin, a montanha do mal da terra do meio, da trilogia fantástica de j. r. r. tolkien. coisas de gente de segurança.

sim: mas o que disse frodo? a conversa é longa. leia e entenda porque o ministro ayres britto está errado mas, mesmo assim, nosso sistema eleitoral informatizado pode continuar sendo melhor do que qualquer outro, de papel, desde que tomemos os devidos [muitos] cuidados…

blog: as urnas brasileiras sao invioláveis? até que ponto? por que? se alguém quiser violar uma urna, quais são as opções?

Um dos maiores erros cometidos por quem não trabalha diretamente na área de segurança de sistemas é afirmar que existe sistema inviolável. Não existe 100% de segurança. Sistemas mais críticos devem possuir mecanismos que permitam identificar que houve uma falha ou violação de segurança e, a partir disso, tornar possível a tomada de decisões sobre a falha. Não se pode afirmar que tal sistema seja inviolável, ou que qualquer sistema seja inviolável.

Até onde se sabe, as urnas eletrônicas brasileiras possuem suporte a tais mecanismos de auditoria, permitindo, em caso de violação, a possibilidade de se detectar uma quebra de segurança.

Um ponto de falho da segurança das nossas urnas é que elas são construídas sobre de sistemas operacionais tidos como inseguras como DOS, que é utilizado nas primeiras urnas e, mais recentemente, Windows CE. Estes dois sistemas permitem técnicas de debugging que facilitam a realização de engenharia reversa sobre a plataforma da urna. Quem tem mais de 30 anos lembra do DEBUG do DOS e o utilizou no seu dia a dia para depurar problemas de execução. Este mesmo procedimento pode ser utilizado nas nossas urnas e não é nada muito complicado de ser feito. Há rumores, não confirmados, de que grupos de especialistas em segurança tiveram acesso a urnas e utilizaram desta técnica para realizar alterações no funcionamento normal dos programas do sistema.

Ainda sobre esta pergunta, vale salientar e refletir sobre as palavras de Josef Stalin: “Quem vota e como vota não conta nada; quem conta os votos é que realmente importa.” O que nos leva a sair da urna e tentar entender o que acontece com os "votos" depois que eles "saem" das urnas. Quem garante que não há falhas nos sistemas de recepção e processamento dos dados? Outro ponto importante, nesta análise, é que alguns dos softwares utilizados no sistema eleitoral possuem falhas de segurança não divulgadas. O artigo The Vulnerability Economy ilustra o tamanho do mercado de segurança de falhas não divulgadas. Este problema não afeta apenas as urnas eleitorais mas qualquer sub-sistema que faz parte do sistema eleitoral. E é sabido que partes do sistema eleitoral possuem falhas não divulgadas.

uma boa parte dos comentários [contra e a favor] é conseqüente e resulta da reflexão de quem leu o texto com atenção e deu, honestamente, sua opinião. esta parte da discussão ajuda, e muito, a esclarecer as dúvidas que todos nós temos -ou deveríamos ter- sobre o sistema eleitoral brasileiro.

outra parte das contribuições veio da histeria dos que defendem cegamente algo que não entendem, combinado com gente que acredita em papai noel e não tem nenhum outro espaço para se manifestar a não ser comentários em blogs. como a galera que quer desclassificar alguma opinião, sem pensar, só porque vinda de fonte anônima. será que esta gente não sabe o tipo e a intensidade das forças que operam em ambientes tão críticos como o processo eleitoral? será que ainda há quem ache que se pode dizer tudo, em qualquer espaço, em qualquer época, de peito aberto, sem temer pelo seu emprego, relações e, em certos casos, vida? será que há quem acredite que a liberdade de informar [incluindo o sigilo das fontes] e os direitos individuais, impressos nas constituições, estão lá apenas porque o texto é esteticamente belo?…

mas vamos deixar tais considerações prá lá, por enquanto, pois sempre haverá espaço para discuti-las aqui e em todo lugar, por muito tempo. e vamos ver duas notícias desta semana, sem nenhuma relação direta com o texto deste blog semana passada, mas com tudo -e mais- a ver com o assunto que tratamos.

o primeiro, neste link, vem direto da subcomissão especial de segurança do voto eletrônico da câmara dos deputados, através de seu presidente, deputado geraldo magela [do pt/df, representante do governo, portanto]. o deputado afirmou, dia 1º, que "as urnas eletrônicas fabricadas pela norte-americana Diebold, utilizadas nas eleições do país, não são seguras e não dão garantia de que a vontade do eleitor será respeitada". e disse mais [o que de resto é sabido há tempos por todo mundo que esteve perto do assunto]: "o voto eletrônico significa um avanço democrático e pode ser aperfeiçoado". uia!… foi a mesma coisa que dissemos alguns dias atrás, e vem com o carimbo da comissão da câmara que estuda o problema de segurança do voto eletrônico [e a gente não estava lá pra ajudá-los a chegar em tal conclusão].

do outro lado, na bancada da oposição, o vice-líder do psdb, deputado Gustavo Fruet, diz que "diante de tantas denúncias de grampos e suspeitas de participação da Agência Brasileira de Inteligência (Abin) no vazamento de escutas telefônicas, o partido vai propor à Ordem dos Advogados do Brasil (OAB) a realização de uma auditoria externa sobre um novo sistema de criptografia que a Abin apresentará à Justiça Eleitoral para utilização nas urnas eletrônicas, durante as eleições deste ano".

e faz todo sentido do mundo: você deixaria, no contexto atual, a abin tomar conta da criptografia de sua conta bancária? não é que a agência não seja competente ou confiável… é que evidências de sua atuação recente a deixam numa situação muito difícil como provedor de criptografia e assinaturas para o processo eleitoral, ou seja, como principal responsável pela segurança e sigilo das eleições. não é "culpa" da agência, mas de ações esporádicas e recentes [como grampear o mundo ao seu redor] que fizeram a sociedade concluir que ela, a abin, não é confiável ou isenta. o que é uma pena, pois instituições como abin têm, claramente, um papel muito importante no arranjo institucional de qualquer país complexo como o brasil.

este blog sustenta a tese de que o sistema "eletrônico" é muito melhor do que o "de papel", por razões óbvias: as urnas de lona, os votos em papel, as apurações do passado e seus "mapas" sempre foram uma fábrica de eleitos. muito mais que a metade do processo eleitoral rolava, sempre, na confusão pós urnas. mas este blog também entende que o sistema atual pode ser melhorado, e muito, pelo aumento de transparência ao redor da urna eletrônica e dos sistemas de informação que, depois do voto, pronunciam os eleitos.

depois de nosso texto sobre o assunto, o TSE convidou o terra magazine para testemunhar o lacre das urnas eletrônicas. nós agradecemos a deferência, mas entendemos que "testemunhar" a carga do software e o lacre das urnas não adiciona nenhum valor à qualidade do processo eleitoral. preferiríamos que o TSE, em nome transparência das eleições, contratasse grupos independentes de especialistas, dissociados de governo e partidos, para testar, verificar, validar e certificar o sistema eleitoral ou, eventualmente, encontrar as falhas que, corrigidas, tornariam o processo ainda melhor do que acreditamos que ele já seja. o custo de abrir o sistema inteiro para uma auditoria externa, independente, seria muito menor do que a permanente suspeita, velada aqui, explicita ali, de que há algo errado com o sistema informatizado de votação que usamos no brasil.

na prática, dá pra fazer alguma coisa para as próximas eleições? provavelmente não. mas há eleições, por aqui, de dois em dois anos. é um verdadeiro festival, quase contínuo, de votos. será que o TSE não deveria inovar e chamar um monte de gente pra perto do processo, ao invés de se fechar em torno de suas próprias crenças e tentar, colaborativamente, melhorar a qualidade do processo eleitoral como um todo, olhando para as eleições por vir? a sociedade agradeceria e o tribunal, ao fazer isso, ganharia aliados e alianças. e quase de graça, mesmo que caro fosse, considerando o benefício.

Fonte: Blog Dia a Dia, Bit a Bit de Silvio Meira
[08/09/08] eleições: TSE esconde a verdade sobre as urnas

nas últimas semanas, este blog publicou dois textos sobre a segurança das urnas eletrônicas e, conseqüentemente, sobre a segurança de todo o processo eleitoral brasileiro. no primeiro [urna eletrônica NÃO é inviolável], um especialista anônimo [cognominado frodo] desmontou a afirmação do presidente do TSE, que havia dito ao país exatamente o contrário do título do nosso texto. no segundo [câmara dos deputados duvida da segurança das urnas eletrônicas] mostramos os dois opostos da política nacional, pt e psdb, concordando que o processo eleitoral precisa de mais segurança e transparência.

neste episódio, começamos a publicar uma entrevista com o engenheiro amílcar brunazo filho, que estuda o problema de segurança de voto eletrônico desde 1996 e que muita gente pensou [o blog recebeu vários emeios sobre isso...] que fosse a verdadeira identidade de frodo. mas não é. brunazo é um técnico que conhece o processo eleitoral eletrônico por dentro por dentro e afirma, há tempos, que sua segurança absoluta é mais propaganda do que realidade. comparativamente, as urnas e o sistema usados na venezuela, em 2006, já eram muito mais seguros do que o atual sistema brasileiro.

amilcar brunazo filho, engenheiro e programador, acompanha desde 2000 o desenvolvimento do sistema eleitoral eletrônico como representante do PDT junto ao TSE. colaborou com o TSE com sugestões que foram incorporadas ao processo eleitoral por lei ou resolução, como a obrigação do teste de votação paralela, a abertura dos programas feitos pela ABIN, a adoção de sistema operacional aberto nas urnas eletrônicas, a permissão para conferência das assinaturas digitais dos sistemas pelos partidos políticos e a publicação dos resultados por seção eleitoral na internet. também acompanhou processos e perícias oficiais sobre urnas eletrônicas, tendo detectado as quebras de integridade dos logs nas urnas de alagoas em 2006. o texto completo de seu livro "fraude e defesas no voto eletrônico" [que está esgotado] pode ser baixado neste link. brunazo filho é um dos especialistas por trás do site www.votoseguro.org.

a seguir, a primeira das perguntas que fizemos [por emeio] a brunazo filho e sua resposta.

blog: o TSE contratou uma consultoria para avaliar a urna eletrônica ou o sistema eleitoral como um todo? a quem e quando? no que resultou tal esforço, até agora? há resultados a divulgar? se sim, porque o TSE ainda não os apresentou à população?

Sim, em maio de 2008 firmou-se o Contrato TSE 032/2008 com a Fundação de Apoio à Capacitação de Tecnologia da Informação - FACTI - e o Centro de Tecnologia da Informação Renato Archer - CenPRA - com o objeto formal de elaboração e análise de testes de vulnerabilidade quanto à segurança do sistema eletrônico de votação. O CenPRA e a FACTI são entidades ligadas ao Ministério de Ciência e Tecnologia e foram chamadas para estudar e testar a segurança e confiabilidade das nossas urnas eletrônicas.

O motivo inicial que levou a esta contratação foi uma petição de 2006, do PT e do PDT e com adesão do PR, que solicitava permissão para efetuar testes de resistência a ataques, chamados Testes de Penetração, nas urnas eletrônicas. O segundo motivo foi a vontade do TSE manter restrito o conhecimento do resultado do teste, pois se permitisse o teste pelos partidos, os resultados ganhariam conhecimento público.

O contrato tem data final para dezembro de 2008 e prevê a apresentação de relatórios de análises e testes dos procedimentos de: a) Geração de Mídias (preparação dos cartões de memória que transportam os programas oficiais até as urnas eletrônicas); b) Carga e Lacração das urnas; c) Votação e Apuração, até a emissão dos disquetes com os resultados de cada urna.

Até o momento (setembro de 2008) fui informado de que existem dois relatórios parciais, a partir dos quais modificações nos procedimentos e nos programas das urnas já estão sendo implantados. Por força de lei, o TSE mantem desde abril um ambiente controlado para apresentação obrigatória dos sistemas às entidades autorizadas, no qual só se pode entrar sob compromisso assinado de sigilo.

Neste local, como representante de um partido político, solicitei a apresentação dos relatórios da FACTI, que a rigor foram produzidos por causa de nossa petição inicial. O pedido já foi negado pelo Diretor Geral e pelo Ministro-relator, com alegações banais sobre a formalidade, sem enfrentarem seu mérito, o da transparência do processo eleitoral.

Mas o fato é que os relatórios parciais do FACTI apontam tantas vulnerabilidades insanáveis, desde a Geração de Mídias até a gravação do disquete, que o TSE decidiu: 1) manter os relatórios totalmente secretos para impedir que o eleitor brasileiro saiba que o sistema possui vulnerabilidades; 2) impedir os testes de penetração solicitados em 2006 pelos partidos políticos; 3) abandonar, após as eleições de 2008, o projeto atual das urnas eletrônicas; 4) aditar o contrato FACTI/CenPRA para tentar desenvolver um novo projeto, de urnas eletrônicas mais confiáveis, para as eleições de 2010 e 5) desinformar o eleitor, negando em público a existência de falhas de segurança e afirmando que testes de penetração serão permitidos em 2008. Para saber mais, clique neste link .

Enfim, o TSE já obteve, da FACTI/CenPRA, a confirmação de que uma parte muito importante de seu sistema eleitoral, a urna eletrônica, possui brechas de segurança que podem ser exploradas de forma maliciosa e capaz de alterar o resultado da eleição, mas continua, oficialmente, negando a dura realidade dos fatos e repetindo que o sistema eleitoral que oferece à sociedade é seguro e inviolável, quando sabe muito bem que este não é o caso.

amanhã, neste mesmo horário e canal, daremos seqüência à conversa com brunazo filho. até lá.

---------------------------------------

Fonte: Blog Dia a Dia, Bit a Bit de Silvio Meira
[09/09/08] eleições: sem conferência, urna é alvo fácil

este texto é uma continuação da entrevista de amilcar brunazo filho, engenheiro e programador que acompanha desde 2000 o desenvolvimento e utilização do sistema eleitoral eletrônico no brasil. a primeira parte, com o currículo de brunazo e o contexto de nossa conversa, está neste link. nela, tratamos de uma consultoria contratada pelo TSE para avaliar a segurança das urnas e que, segundo brunazo, já concluiu que o sistema mais parece uma peneira.

a seguir, a segunda das perguntas que fizemos [por emeio] a brunazo filho e sua resposta, como nos foi enviada.

blog: a urna, em particular, é segura? se você, que conhece -como muita gente- seus princípios, fosse fraudá-la, faria o que e em qual estágio do processo? que cuidados a mais o TSE deveria tomar para, mesmo com a urna insegura, diminuir tal risco?

O processo eleitoral se inicia com o cadastramento de eleitores, passa pela votação, apuração e termina na totalização. Qualquer um destes pontos pode ser atacado para se deturpar o resultado. E isto quer dizer que o melhor ponto para atacar é aquele ao qual se obtém acesso mais fácil.

Assim, quem tem acesso ao cadastro pode inserir eleitores fantasmas; os mesários podem inserir, nas urnas, votos de eleitores ausentes; quem tem acesso aos programas-fonte (versão em texto legível dos programas de computador da urna), pode adulterá-los para desviar votos em todo um estado. E, se o acesso for a apenas algumas urnas, pode-se tentar modificar seus programas e burlar suas defesas.

No caso das urnas, eu vejo nos flash-cards de carga (que são os cartões de memória que transportam os programas oficiais para as urnas eletrônicas) um ponto vulnerável, que se explorado pode contaminar 100 urnas eletrônicas de cada vez com programas desonestos, capazes de mudar o resultado da votação nas urnas em que forem inseridos com sucesso.

Este tipo de ataque foi usado -e deu resultado- por técnicos da Universidade de Princeton, em urnas eletrônicas muito similares às brasileiras em termos de projeto de segurança. Um vídeo (em inglês) sobre este ataque está neste link . Mas é claro que é muito difícil prever todas as formas de ataque e projetar defesas contra cada uma delas é ainda mais complicado.

Por exemplo, o TSE anunciou para outubro deste ano testes em urnas com biometria para impedir a "compra de votos", ou seja, quando se paga a eleitores para fornecerem seus títulos a outras pessoas que votarão em seu lugar. O custo destas urnas biométricas será enorme. Mas o teste ainda nem foi feito e o TSE já sabe de modificações na forma de fraudar que burla as urnas biométricas, como a "compra do voto com celular", onde o eleitor usa o telefone celular para filmar a tela da urna com seu voto e a "compra da abstenção", quando se paga eleitores do adversário para fornecerem seus títulos e identidades, impedindo-os de votar. Há mais informação sobre estes problemas neste link .

Do meu ponto de vista, a única forma de dar mais confiabilidade a qualquer processo eleitoral é dotá-lo de formas automáticas e eficazes de conferência da apuraçâo. No caso das urnas eletrônicas, seria necessário materializar o voto para usá-los em auditorias, obrigatórias, por amostragem. Este é o tipo de sistema que tem sido adotado em todo o mundo. Só aqui no Brasil continuamos usando urnas eletrônicas cujo resultado não tem como ser conferido. E esta, claramente, é a principal fraqueza da nossa urna eletrônica.

este é o último texto da série em que publicamos uma entrevista com amilcar brunazo filho, engenheiro e programador que acompanha desde 2000 o desenvolvimento do sistema eleitoral brasileiro. a primeira parte, com o currículo de brunazo e o contexto de nossa conversa, está neste link. na pergunta inicial da entrevista, tratamos de uma consultoria contratada pelo TSE para avaliar a segurança das urnas e que já concluiu que o sistema de votação do país mais parece uma peneira. na segunda, tratamos de segurança e fraude na votação, e onde e como gente que entende do sistema poderia atacar o processo eleitoral.

a seguir, a última das perguntas que fizemos [por emeio] a brunazo filho e sua resposta, como nos foi enviada.

blog: você tem sido uma das pessoas a criticar, contínua e consistemente, o processo eleitoral eletrônico. o que sua experiência de anos a fio em contato com os processos, pessoas e instituições envolvidas nos ensina? será que é possivel ter uma eleição eficiente e, ao mesmo tempo, eficaz, segura e a custos razoáveis?

Em 1996, quando comecei a me interessar pela segurança do voto eletrônico, eu achava que bastaria corrigir alguns erros de projeto das urnas eletrônicas, como a falta do voto materializado para auditoria e a irresponsável identificação do eleitor na mesma máquina de votar, que o problema estaria resolvido.

Mas acabei descobrindo que, aqui no Brasil, o problema da confiança e transparência do processo eleitoral nasce em outro nível, o do acúmulo de poderes nas eleições. No Brasil não há a tri-partição de poderes eleitorais. Uma mesma entidade (o TSE) tem os poderes de 1) escrever as regras, 2) administrar as eleições, 3) definir o que pode ser fiscalizado, 4) controlar e distribuir toda a verba oficial e, o que é uma aberração, 5) julgar até os casos em que é ré como executora e administradora do processo eleitoral. Tamanha concentração de poderes não ocorre no resto do mundo, como mostra o estudo do Senado que pode ser baixado deste link (em formato aberto que pode ser lido com o OpenOffice).

Agora, mais experiente, eu acredito que somente separando as pessoas do administrador eleitoral, do regulamentador, do fiscal e do juiz é que poderemos construir sistemas eleitorais controlados e com resultados passíveis de conferência. Feita esta separação, logo a sociedade encontraria como tornar as urnas eletrônicas mais confiáveis dentro de custos aceitáveis.

Mas como "poder não se pede, se toma", uma boa parte da sociedade haveria que se engajar numa cruzada pela "Partição dos Poderes Eleitorais", senão nada acontecerá. Quem tem poder em excesso não vai abrir mão dele espontaneamente e, como sempre acontece, os puxa-sacos e os lambe-botas continuarão os defendendo.

o assunto, obviamente, não se esgota aqui e tampouco nesta eleição. o autor deste blog sempre defendeu a tese de que a votação eletrônica tem sido melhor do que as velhas urnas e mapas de totalização [veja aqui um texto nosso, de 2004]. há evidências de que a bagunça eleitoral diminuiu muito com a adoção do sistema eletrônico de votação e, por isso, está de parabéns o TSE e o brasil.

mas, ao mesmo tempo, e à medida que o conhecimento sobre o sistema eletrônico e suas falhas se espalha pela sociedade, cada vez mais gente vai entendendo como fraudar o processo [veja aqui outro texto nosso, de 2006], e desta vez sem deixar rastro algum. não é possível falar em eleições limpas e listas de candidatos sujos sem que, ao mesmo tempo, se discuta a segurança e transparência do processo eleitoral. na berlinda, por isso, estão o TSE e o brasil.

parece evidente que o mecanismo de segurança por obscuridade, escondendo o software e os mecanismos de segurança, e ausência de sistemas e instituições independentes de conferência e auditoria do processo eleitoral, conjugados com a concentração de todos os poderes eleitorais em um único corpo, o TSE, não contribui para uma eleição de melhor qualidade e sobre a qual pairem menos suspeitas. estruturar o processo de tal forma que os planejadores planejem, os administradores administrem, os executores executem e os julgadores julguem parece óbvio. mas não é, tanto que não está sendo feito, apesar das investidas da sociedade, até agora desorganizada, nesta direção.

muito se disse, nos comentários aos textos anteriores do blog, sobre a eleição no resto do mundo. é bom que se saiba que eleição é fraudada em todo lugar, de condomínio e diretório acadêmico até presidência das mais educadas e pacatas repúblicas. e ninguém, do lado de cá do blog, é ingênuo a ponto de estar propondo a importação do sistema dali ou de outrem e muito menos a volta ao papel e mapas antigos, para substituir o nosso.

estamos propondo, e parece que muito mais gente está, inclusive no legislativo nacional e na comunidade de segurança de informação, que melhoremos nosso próprio processo, a ponto de torná-lo tão bom quanto possível, referência mundial de verdade e capaz de ser exportado para outros, muitos outros países. se o sistema é tão bom assim, por que a gente não faz o bem e, ainda por cima, ganha dinheiro com as urnas e o sistema eleitoral, realizando eleições no mundo inteiro? ou será que não podemos ter uma "embraer" do voto?…

talvez não. porque primeiro é preciso não fugir ao debate, ao escrutínio público, ao questionamento aberto e amplo da sociedade. seguindo o exemplo de sociedades democráticas e abertas como irã, arábia saudita e china, o TSE -pelo que um passarinho me contou- está filtrando, internamente, o acesso a este blog. quem entrar em nosso endereço encontra o texto “Página Bloqueada de Acordo com a Resolução Nº-20882/2001 do TSE” e mais nada. todos os outros blogs do terra magazine podem ser acessados normalmente, como era o caso deste blog até a série de perguntas e respostas sobre o voto eletrônico. por que será? [@11:30... o blog está vetado em toda a rede do TSE, incluindo todos os prédios dos TREs brasil afora...]

na ditadura militar, muitos dos textos -bons e ruins- que nos faziam questionar o estado de coisas eram proibidos. andar de metrô ou ônibus com um deles na mão… nem pensar. nem no bar ou restaurante, tampouco na escola. só se você quisesse perder -no mínimo- umas unhas no DOI-CODI. cantar sua canção predileta? uuui… e esta não é uma parte "legal" da história do brasil. e nem precisava da ação da polícia política da época, pois os puxa-sacos e os lambe-botas a que brunazo se refere estavam lá, prontos pra apontar "o mal" que estava tentando destruir a sociedade da época. e nada disso é novidade: o brasil tem uma looonga história de censura.

mas… enquanto os colaboradores do TSE estiverem lendo [e eu também leio!] iuri rubim e o blog das ruas, odara carvalho e paula guedes no blog do repique [pixadores barbarizam galeria!] e altino machado no blog da amazônia [e os índios do peru!] vai estar rolando, menos de um mês antes das eleições de 2008, uma ampla discussão, na rede e fora dela, talvez sem ninguém do TSE, sobre o processo eleitoral. tomara que o TSE não seja vítima da síndrome da ilha fiscal. tomara.