Fonte: Caderno Link do Estadão
[09/10/06]  A urna eletrônica é segura? (Parte 2) - por Pedro Doria

"Para que aconteça fraude eleitoral, é preciso que gente envolvida no processo aja de má fé. Gente atua com má fé, nestes casos, ou porque recebeu por isto, ou porque ideologicamente quer mudar o resultado"

Na última segunda-feira, cá esta coluna questionou a segurança da urna eletrônica. Nunca na história deste espaço – se sua Excelência o presidente permite o plágio –, houve tanto e-mail de resposta, além dos comentários no site do Link. A coluna apanhou tanto quanto foi aplaudida. Vale retornar ao assunto.

No site, um leitor classificou o texto de ofensivo aos profissionais de informática do país. Perdoe, mas não é o caso. Algumas das questões que circularam por aqui foram repassadas, diretamente, por pessoas talentosas que estiveram efetivamente envolvidas no projeto inicial da eleição digital e que, portanto, conhecem por dentro as fragilidades do sistema.

Outra das críticas afirma que a urna é segura, sim, porque não passa de uma calculadora – e não há, no mundo, calculadora à qual dados dois e dois some cinco.

A questão não é tão simples. Para que aconteça fraude eleitoral, é preciso que gente envolvida no processo aja de má fé. Gente atua com má fé, nestes casos, ou porque recebeu por isto, ou porque ideologicamente quer mudar o resultado. Se houver um único corrupto envolvido no carregamento de dados da urna, alguns votos podem ser adicionados; o software pode ser modificado para subtrair um percentual determinado de votos de um candidato para creditá-los a outro.

A maneira mais simples e eficaz de fraudar, no entanto, não é na urna e sim nas centrais dos TREs, onde os votos vão sendo computados. Juízes eleitorais têm senhas que os permitem expurgar votos quando há algum tipo de erro de leitura dos discos. É normal. Mas há casos testemunhados por fiscais de partidos, em eleições passadas, nos quais estas senhas aparecem coladas em post-its nos monitores das máquinas nas mãos de vários operadores. É que às vezes os juízes têm medo de computador. Na confusão, não é impossível que apenas uma destas pessoas insira os dados que quiser.

Mas no fim não passa de uma questão de princípio. Eleição é coisa séria demais para que dependamos apenas de confiar no que dizem as autoridades. O sistema da urna é fechado e secreto. Assim, ninguém independente pode conferir o software para dizer que ele está livre de erros ou bugs. O argumento do TSE é de que conhecer o programa na intimidade facilitaria o trabalho de hackers. Talvez. O que a experiência do software livre diz, no entanto, é que quanto mais gente tem acesso ao código, mas eficaz fica o programa.

Há uma solução simples para tudo isto. Ela tem a ver com o princípio mais básico de uma democracia, que é o da recontagem. Na dúvida a respeito do resultado de uma eleição, reconta-se. Foi esta recontagem que Al Gore não conseguiu, nos EUA, em 2000. A recontagem elimina qualquer fraude.

Para que uma recontagem seja possível, na eleição digital, é preciso que toda urna eletrônica imprima um boleto com o voto do eleitor. Ele lê, confere, deposita numa urna comum. Se houve dúvida quanto ao resultado da eleição naquela zona eleitoral, conta-se de novo. Se ninguém tiver dúvida, ótimo.

Alguns podem argumentar que perde a graça - a eficiência, afinal, está na rapidez do resultado. Recontagens infinitas atrasariam o resultado de uma eleição. Só que é o raciocínio errado: recontagens só são necessárias quando o resultado é apertado e, ainda assim, apenas em locais específicos. E eficiência, em democracia, não se mede pela rapidez. Mede-se pela certeza de que cada voto foi contado corretamente.

Um último problema: no voto eletrônico, o título do eleitor é digitado antes de ele teclar. O TSE dá sua palavra de que nenhum banco de dados é construído ligando voto a eleitor e, portanto, quebrando o sigilo. Pois já aconteceu no Senado. E tornamos ao princípio: democracia não é confiança. Ninguém tem que confiar no que diz um Tribunal só porque há a palavra de um juiz.

Democracia é transparência. Cada cidadão que queira tem que ter o acesso a todo o sistema empregado na eleição para ter certeza de que nada ilícito seja ou possa ser feito. Fiscais especializados, de cada partido, têm que ter acesso às entranhas do sistema. A eleição não pode se dar numa caixa preta
Pedro Dória

-----------------------------------------------------------------------------
COMENTÁRIOS

"Mais duas coisinhas:

(1) A frase final da outra mensagem talvez não tenha ficado muito clara. Então reviso-a:

-- Faz pouquíssimo tempo que foi assinada digitalmente, no TSE, pelo PDT, a 4ª versão os programas do 2° turno, já que as 3 primeiras deram erro. Isto quer dizer que, enquanto aqui o Sr. Brito escrevia serem os softwares eleitorais fixos, livres de erros e imutáveis, esses mesmos softwares estavam sendo reescritos (com muito improviso) para o 2° turno; estavam sendo recompilados, reinstalados e estavam dando erros.

(2) Para saber mais sobre o voto eletrônico, visite: http://www.votoseguro.org"
Hudson Lacerda

"Caro jornalista e leitores,
Que se façam, às informações aqui postadas por Antonio Brito, as devidas CORREÇÕES:

-- As urnas-e brasileiras são computadores tipo PC onde TODA a sua memória não-volátil (que não se apaga ao desligar) é regravável.
-- TODOS os programas básicos e aplicativos estão gravados em memória tipo flash card, 100% regraváveis e alteráveis.
-- Até a BIOS, onde está o boot-loader, está em memória regravável por software (para confirmar isto basta ler os editais de fornecimento das urnas).
-- Para facilitar a alteração do software das urnas, elas permitem que o software gravado em sua memória interna seja alterado por um flash card, devidamente preparado, colocado em seu soquete EXTERNO.
-- Quem quiser comprovar isto, basta comparecer nas cerimônias de carga
das urnas para o segundo turno, que será na semana que vem nos
cartórios eleitorais, e assistir a preparação das urnas por meio de um
flash card que será inserido NO SOQUETE EXTERNO das urnas e que
passará a nova versão do programa (especialmente desenvolvido para o
segundo turno) para ser gravado nas memórias internas.
-- Faz pouquíssimo tempo que foi assinada digitalmente, no TSE, pelo PDT, a 4ª
versão os programas do 2° turno, já que as 3 primeiras deram erro.
Isto que dizer este mesmo software (que o Sr. Brito supunha fixo e imutável) estava sendo reescrito (com muito improviso) para o 2° turno, estava sendo recompilado e estava dando erros."
Hudson Lacerda

"Pedro, existe dois tipos de programação, se quiser três. O da máquina, o microprocessador, a memória fixa não volátil e a memória volátil.
A programação do microprocessador é imutável, desenvolvida pela Intel. Ali todos os bugs já foram eliminados até um certo nível de utilização. (o acerto bilhões de vezes não indica que não poderá cometer um desvio no bilhão mais um). O programa residente, fixo, é constituído de duas partes:a)o sistema operacional de interface, no caso o Win CE e o gerenciamento de coleta, armazenamento e transmissão de dados.
Na urna eletrônica não existe o programa da memória volátil, sujeito a "códigos maliciosos", vírus, etc... Tal como no computador a Eprom, tal como a que existe dentro da urna, não pode ser atacada por hackers. Os hackers atacam a parte de memória volátil com livre acesso aos usuários, que não existe numa calculadora nem na urna eletrônica. Se quiser o computador é uma extensão de ambas, pois ao programa fixo residente acrescenta a possibilidade do usuário construir novos códigos, tal como as letras que aqui digito e algum eventual leitor lerá.
Quem desenvolveu o programa da urna, que todos reconhecem como inviolável na prática, fez a interface e testou-a exaustivamente. Logo não contém bugs, que seria o funcionamento aleatório ou defeitos imprevistos.
Não pode conter códigos maliciosos pois uma vez registrado, isto não é possível. Neste sentido a urna funciona sim como uma calculadora, o programa da calculadora está registrado de modo imutável em uma rom, tal como o da urna. (read only memory, logo incapaz de receber novas informações, como um CD gravado não regravável não pode ser regravado)
O TSE quer ficar livre da Microsoft. Afinal numa linha de código pode existir uma instrução: não funcionar a partir do dia tal.. e ninguém saberá. Mesmo que o TSE adote um dia o LInux a parte de programação (entrada, armazenamento e envio de dados) continuará secreta, sem a divulgação do código fonte. Não faz sentido divulgar esta parte do código, abriria o espaço para que terceiros modificasse o tratamento de dados.
A urna atual é totalmente segura, votem tranqüilos. O TSE faz bem em mudar a parte do sistema operacional Win CE para Linux, não pagará mais aluguel, ficará mais barato. Não acreditem em bruxas, mesmo quando você desconfiar que elas existem."
antonio brito


"Ao invés de se comparar diretamente as máquinas usadas como urnas eleitorais eletrônicas com calculadoras, caberia, antes, fazer duas outras comparações: primeiro, comparar o sistema eleitoral - e não as urnas apenas - com calculadoras e, segundo, comparar os eventuais interesses em alterar o resultado das eleições e o suposto interesse em fraudar uma calculadora. As máquinas usadas como urnas são comparáveis com calculadoras apenas num parâmetro referente à sua finalidade: realizar contagens. Mas elas são diferentes: por exemplo - e apenas um exemplo -, calculadoras não possuem dispositivos de segurança como as máquinas eleitorais: calculadora não tem que emitir boletins cujo objetivo seria atestar que ela funcionou corretamente em relação ao programa que ela recebeu. Na verdade, alguém com conhecimentos técnicos suficientes pode, se quiser, alterar uma calculadora: não se faz, não por ser impossível fazê-lo, mas porque não há interesse suficiente em fazê-lo.
Ainda: os defensores do sistema eleitoral eletrônico comparam as urnas com calculadoras porque ambas realizam somas, mas isso contém um jogo de palavras; então, poder-se-ia comparar as urnas eletrônicas e calculadoras com computadores, pois todos os três fazem a mesma coisa: computam dados - mas nenhum defensor do sistema eleitoral eletrônico compara as urnas com computadores.
Segundo o jornal "Washington Post", em sua edição de 29 de setembro p.p., o diretor-geral do TSE, Athayde Fontoura, defensor ferrenho do sistema eleitoral eletrônico brasileiro, disse: "A única maneira de alterar as máquinas de votação é despedaçá-la com um martelo". Os dispositivos de segurança - descritos por todos os defensores do sistema eleitoral eletrônico - garantem, quando funcionam, que as máquinas usadas como urnas eleitorais operam e operaram como foram programadas para fazê-lo. Os dispositivos de segurança tratam da etapa depois que as urnas foram programadas. No entanto, a questão principal refere-se à toda etapa anterior - ao programa e à programação das urnas e - à falta de transparência dela - falta de transparência do programa e da programação das urnas. O diretor-geral do TSE diz que o TSE estuda trocar o programa usado no sistema eleitoral por um outro: entre outras vantagens, a mudança, segundo ele, "faria o processo inteiro mais transparente". Ele reconhece, assim, a falta de transparência do sistema. Antonio Brito, em seu comentário agressivo à coluna de Pedro Doria, também acaba admitindo a falta de transparência em relação à etapa anterior à depois que a urna foi programada. O pressuposto na justificativa do raciocínio de Brito é que os cidadãos não precisam ter acesso transparente à etapa do programa e de programação das urnas do mesmo modo como consumidores não precisam conhecer os programas de calculadoras, de computadores, de gravadores de DVD, enfim, dos aparelhos eletrônicos que eles têm em casa: bastaria verem o funcionamento dos aparelhos. Esse pressuposto compara interesses diferentes. Os dispositivos de segurança asseguram que as urnas funcionam em conformidade com a programação que receberam, mas não dizem nada sobre a existência de "bugs" ou dos chamados "códigos maliciosos" antes das urnas serem lacradas. Afinal, "bugs" e os chamados "códigos maliciosos" não poderiam - com facilidade mesmo - driblar os dispositivos de segurança?
A questão principal não é a martelada na urna depois de programada e lacrada; o cerne da questão é a falta de transparência referente ao programa e à programação das urnas -corroborada pela ausência de uma inspeção independente."
Pedro Eduardo Portilho de Nader

"Programa de computador não é transparente, é eficaz. Quanto utiliza-se uma máquina, somando dois mais dois, a programação interpreta os desejos do usuário, aciona uma máquina de cálculo e pronto. Se isto é feito milhões de vezes sem erro, significa que a máquina de cálculo é eficaz, não há bug, o resultado se reproduz com fidelidade, assim garante o pequeno número de programadores que usaram não só a transparência como o trabalho duro na construção da máquina de cálculo. Usuários não precisam entender uma máquina de cálculo, basta que nela confiem depois de inúmeros testes. É possível mudar o programa residente nas urnas ? Certamente, porém para isto teria que se substituir a eprom, o programa residente, abrir a urna, não danificar os soquetes, etc.. e conhecer todo o código fonte a ser alterado.Mais risco teria se o código fonte fosse aberto e terceiros pudessem alterá-lo.
Como a fraude física na urna está fora de cogitação, alega-se que a questão está na totalização dos votos. Antigamente os dados alimentavam umas centrais computadorizadas que iram emitindo boletins, devagarzinho a ponto de incluir um peso diferente em uma eleição denunciada pelo Brizola. A rapidez dos modems na transmissão de dados de hoje não permite que isto seja feito.
Não é profissional ampliar a boataria, coisa do tipo: conheço um cara que trabalhou no projeto inicial e ele afirma que têm furos na segurança. Se a informação é confiável para ser publicada, que se confira com a fonte e que se abra um processo no ministério público.
Os profissionais da área, como o Doria, deveriam respeitar a inteligência dos leitores e aos demais esclarecer com argumentos e razão como a urna é segura. O profissional não precisa se utilizar deste artifício tolo do jornalismo: pegar um título polêmico e da época e falar abobrinha e outros inhos.
Não existe polêmicas, somente alguns leitores gostam de se divertir com os medrosos e aplaudem qualquer idéia que não reflita os dados da realidade de modo racional."
antonio brito

"com certeza,mas como transparência e uma coisa em falta no Brasil e no mundo!!!,eles nunca vão fazer isso acontecer!!,vende-se que a urna e segura!!,mas como tudo ,so se tem que ter os meios para burlar o processo ,e no Brasil,como todos são honestos demais ,isso nunca aconteceria,será???,me desculpem se os candidatos a presidencia e aos governos na maioria são todos hipócritas,a maquina que não tem cérebro não vai fazer diferente, né!!!"
josue costa teixeira