http://www.cic.unb.br/~rezende/sd.php > e-Urna | Fiscalização

Voce acha que a urna eletrônica é quase infalível?

Entrevista a Luiz Kawaguti *
Para reportagem da BBC Brasil

Prof. Pedro Antonio Dourado de Rezende
Departamento de Ciência da Computação
Universidade de Brasília
24 de outubro de 2014
 


Luiz Kawaguti: 1. O que o sr. acha da propaganda do TSE que retrata a urna eletrônica como um recurso seguro, quase infalível?

Pedro Rezende:   Acho essa propaganda até certo ponto honesta, mas não no sentido que muitos entendem. Uma urna eletrônica é apenas uma máquina programável, que se comporta conforme é programada. Já o sistema de votação que utiliza as urnas do TSE, de primeira geração, caracterizadas por não permitirem recontagem de votos, este dará resultados cuja lisura depende inteiramente da honestidade dessa programação. Se o dono do sistema deixar entrar, querendo ou não, em milhares de urnas um programa clandestino que lá dentro desvia votos por atacado durante a gravação eletrônica dos totais por sessão, capaz de assim inverter invisivelmente resultados da eleição, esse dono pode impedir que prejudicados acessem indícios de manipulação indevida, ou sabotar tal acesso. Então, um sistema com tais urnas será de fato seguro para quem o controla.

Como o dono desse sistema é também quem faz as regras para a fiscalização das votações, e as cumpre quando quer pois é também quem julga o resultado e as reclamações, esta sua propaganda serve de ingrediente mágico quando misturada ao mito ingênuo da tecnologia como panacéia triunfal. A tecnologia -- não importa qual ou quanta -- só seria panacéia contra desonestidade se os que a controlam fossem todos seres sobrenaturais do bem. Como esse controle tem sido progressivamente terceirizado, e sem supervisão eficaz, tal hipótese esotérica fica fantasiosa também para o dono que terceiriza, limitando a possível honestidade da sua propaganda. Assim, ao alardear que ninguém nunca provou que houve fraude com tal sistema, essa propaganda busca aquela mistura na mente do eleitor: para a mágica que confunde essa segurança, de dono absoluto do sistema, com a segurança almejada por quem acredita em democracia e quer eleições limpas.

E enquanto esse sistema de votação for assim controlado, a constituição brasileira oferece a seu dono um recurso seguro -- judicativo de última instância -- para mantê-lo assim: com arquitetura de primeira geração, com urnas que não permitem recontagem, tecnologia dos anos 90 já abandonada por todas as demais democracias que já as experimentaram. Isso lhe proporciona uma segurança que, para o bem ou para o mal da nossa democracia, é mesmo quase infalível. Pelo menos enquanto tal mistura de propaganda enganosa e mito modernoso surtir esse efeito mágico numa massa crítica do eleitorado no país. Até quando essa infalibilidade pode ser assim sustentada, isso por sua vez depende de outras fantasias, igualmente manipuláveis por propaganda ideológica, sobre a natureza da democracia possível no mundo e nas sociedades de hoje. Vários estadistas já previram que quando o capitalismo entra em crise a democracia se transforma, em fascismo.


FB: 2. Na sua opinião quais são as maiores vulnerabilidades das urnas brasileiras?

PR: Difícil avaliar. Primeiro, porque há várias urnas brasileiras. Além das urnas do TSE, de primeira geração, existem -- se me permitem a classificação -- as de terceira geração, fabricadas pela Microbase, empresa que já forneceu sistemas ao TSE mas deixou de fazê-lo na medida em que os quesitos licitatórios afunilaram as fornecedoras. Há doze anos que as licitações do TSE para aquisição de urnas são vencidas pela mesma empresa, a qual foi banida de eleições em vários estados dos EUA por mentir em processos licitatórios ou na homologação de equipamentos, hoje fabricando urnas somente na filial do Brasil, e só para essas licitações do TSE. No mesmo período uma outra, esta começando sem licitação e com oito prorrogações contratuais, desenvolve, mantém e atua na operação do subsistema SIS, responsável pela segurança de ambientes informáticos e de preparação das urnas do TSE. Assim, mesmo restringindo a resposta às urnas do TSE, essa dificuldade persiste devido à falta de objetividade contra vulnerabilidades nas aquisições, ante o fato do TSE nunca ter permitido testes independentes.

Segundo, porque não há critério objetivo de comparação entre vulnerabilidades em sistemas de votação fora de um acordo sobre como se aferir confiabilidade nestes. Se quisermos comparar as vulnerabilidades de um tipo de urna, teríamos que compará-las num sistema de votação onde essa urna é usada. Como sistemas de votação apresentam potenciais de confiabilidade -- que estabelecem calibres para se comparar vulnerabilidades -- distintos não apenas entre si, entre suas distintas edições para sucessivas eleições por exemplo, mas também distintos para uma mesma edição, conforme possíveis critérios para se aferir confiabilidade, temos antes que escolher tais critérios. E existem critérios de todo tipo sendo usados para essas aferições: desde os argumentos de autoridade implícitos na propaganda oficial de sistemas nunca independentemente testados e em sentenças judiciais que os arremedam, aos mais analíticos e pretensamente universais como aqueles das diretrizes VVSG, propostos pelo grupo de pesquisa EAC a partir de 2005.

Terceiro, porque, para escolher algum critério de aferição, há que se começar com um referencial empírico. Começo então pelo seguinte: um sistema onde poucos fiscalizam, independente de tecnologia, será pouco confiável. Votações no Brasil e na Escócia o tem validado. A partir desse referencial, a escala para comparar vulnerabilidades fica relativa à de conscientização e participação do eleitorado na imprescindível função fiscalizatória externa. Quando esse nível é alto o suficiente, fraudes de varejo eventualmente praticadas sobre votos individuais tendem a manter-se em níveis reduzidos, ou a se cancelarem mutuamente em eleições que mais precisam de fiscalização, as equilibradas. E se houver fraude por atacado, ou em extensão que possa influir no resultado, o eleitorado estará mais propenso a se convencer da ilegitimidade desse resultado. Pelo critério correspondente, as gerações de sistemas de votação mais recentes oferecem mais confiabilidade para o mesmo nível geral de envolvimento do eleitorado: quanto mais nova a geração, maior a dificuldade para se sabotar a eficácia da fiscalização externa a partir dos meios de controle interno.

Observando então a evolução do sistema do TSE, e a postura da entidade ao longo desses 18 anos, vejo claramente uma relação que me permite arriscar uma resposta. Trata-se da relação direta entre o grau de alegorização do conceito de democracia representativa, internalizado por quem queira entender -- ou explicar -- essa evolução do processo eleitoral brasileiro, e o rigor para critérios pessoais do que seja prova de vulnerabilidades "das urnas eletronicas" do TSE, em grau intolerável para quem queira eleições limpas. Quanto maior essa alegorização, que translada o conceito de democracia representativa para o de democracia tutelada, maior o benefício da dúvida concedido à entidade que tutela o processo eleitoral. A mesma entidade que controla praticamente qualquer acesso a tais provas, e executa todo julgamento oficial das que concede ou admite.  Se me permitirem o humor, essa alegorização ao extremo me faz lembrar daqueles maridos que, quando finalmente colhem informações suficientes, decidem vender o sofá.

Com propaganda massiva, o eleitor vai sendo tutelado nessa alegorização progressiva. Adestrado a entender eleição como videogame, enquanto a democracia vai assim sendo transformada. Exatamente como o foi em ciclos passados da história, em estágios semelhantes de organização social do homo economicus. Quem quiser esperar pela Justiça Eleitoral, para que ela lhe conceda espontaneamente condições que considere suficientes para colher por si mesmo informações que lhe permitam convencer-se de que a eleição que ela fez foi limpa ou não, não deve ter pressa. Nem se surpreender se antes disso houver mais um golpe de Estado, que transforme esse ramo da "Justiça" em polícia política, como ao fim da República Velha. Democracia tutelada é um plano inclinado rumo à tirania, como já nos advertia Thomas Jefferrson, referindo-se ao que ele chamava de "judicial tyrany".  A maior vulnerabilidade da urna do TSE, única justiça no mundo que faz e julga eleições -- e se gaba disso -- é, na minha opinião, o fetiche nela cultivado para se produzir essa mágica alegoriazação progressiva: de democracia representativa para tutelada.


FB: 3. Levando em conta os escândalos de espionagem dos EUA, seria possível imaginar um cenário em que uma organização conseguisse interferir no processo de votação no Brasil?

PR: É possível descrever com fatos documentados uma parte do cenário de 2014, e deixar para cada um imaginar o que quiser sobre o restante.

Dentre os cerca de 90 mil programas que compõem o sistema de votação do TSE, há um -- no arquivo programaInserator.cpp -- que chamaremos de Inserator, cuja finalidade explícita é a criação de scripts para inserção de pares de chaves criptográficas assimétricas em um banco de chaves nomeado. O que isso significa? A compreensão requer certa perspicácia de detetive para alguns detalhes. Das chaves de um tal par, a chave privada -- que faz par com uma chave pública correspondente -- deve necessariamente ser armazenada em sigilo, mas o Inserator as protege de maneira inócua, tornando consideravelmente simples o acesso às mesmas, para quem conhece suas maneiras. Isto compromete o uso desses pares de chaves para qualquer propósito que seja, como por exemplo a autenticação de programas oficiais no sistema de votação, que é a principal função declarada do subsistema onde o Inserator foi encontrado, o Subsistema de Instalação e Segurança (SIS). O desenvolvimento, manutenção e suporte do SIS é terceirzado para aquela empresa privada que mais tem pulado licitações públicas no TSE.

Podemos dizer que o Inserator estava escondido no SIS porque nenhum outro programa do sistema de votação o conhece pelo nome, e portanto, só pessoas que o conhecem poderiam acioná-lo pelo teclado, em computadores onde o SIS estiver instalado. Tal acionamento pode manipular o sistema de votação em três passos: digitando-se no teclado, para execução como comando, o nome do correspondente executável, seguido do caminho para o arquivo contendo um par de chaves assimétricas a ser inserido, renomeando-se temporariamente o banco de chaves que receberá essas chaves, e invocando-se o script gerado no primeiro passo, também pelo teclado. Tal manipulação pode iniciar fraudes na medida em que a chave privada de um par assim inserido puder ser usada para assinar digitalmente qualquer programa, em qualquer ambiente antes ou depois de uma tal inserção. Pode assinar, por exemplo, uma versão clandestina do programa do TSE que registra e soma votos dentro da urna, alterado para desviar certa porcentagem de votos de um candidato a outro, ou um programa "estranho" que altere essas somas e registros na hora certa.

Esse programa alterado ou estranho poderia então ser automaticamente validado pelo SIS, como programa oficial, se a correspondente chave pública estiver no respectivo banco de chaves, usado para verificar assinaturas digitais oriundas do TSE no ambiente de preparação da eleição nos TREs. Neste caso, o SIS permitiria que as urnas eletrônicas sendo preparadas sob seu controle recebam, junto com os demais programas oficiais, uma versão clandestina do programa de votação ou um programa estranho -- que no dia da eleição poderia desviar votos por atacado em todas as urnas onde estiver instalado -- como se fosse um programa legítimo, oriundo do TSE. Existem documentos de fiscalização que comprovam a ocorrência desse tipo de instalação na eleição de 2012.  Outrossim, se a alteração for bem feita, seja com início no TSE, após a compilação e lacração e antes do envio dos programas, seja nos TREs, na fase de preparação, após a carga das urnas o banco de chaves que recebeu a inserção fraudulenta poderia ser restaurado ao seu conteúdo original e, após a gravação dos resultados da votação fraudada nas urnas, o programa alterado ou estranho poderia também eliminar rastros de sua clandestinidade, apagando as diferenças com o ambiente que deve ser encontrado em umas sadias.

Ou seja, isso tudo significa que o Inserator é indistinguível de uma porta de fundos escamoteada para invasões sorrateiras ao sistema. Ele foi descoberto, junto com outras três vulnerabilidades, nos primeiros dias se setembro de 2014 por um auditor externo devidamente cadastrado junto ao TSE, sob compromisso de confidencialidade. Esse auditor estava, junto com outros analistas, exercendo o direito de fiscalizar o código dos programas do sistema de votação de 2014 em nome do Partido que os cadastrou. A lei restringe esse direito à OAB, Ministério Público (MP) e Partidos, mas tanto a OAB quanto o MP haviam se recusado a exerce-lo e a credencia-los.  As vulnerabilidades descobertas foram relatadas com pedido de providencias, pela advogada desse Partido credenciada para isso, através da Petição TSE Nº 23.891, dirigida ao presidente do TSE em 4 de setembro de 2014. A Petição foi tratada pelo Secretário da Presidência do Trinbunal como reclamação sobre votação -- que ainda não havia ocorrido --, e não como impugnação de programas analisados -- conforme enquadrava o cenário --, esta prevista na Resolução 23.397/2013 que disciplina a fiscalização dos programas. Essa intempestividade propiciou então ao TSE uma espetaculosa saída pela tangente.

Com tal manobra, na função de juiz "auxiliar", esse secretário desqualificou a advogada e o pedido, indeferiu e mandou arquivar tudo, como se os fatos narrados nos autos fossem irrelevantes. Ao invés de enviar esses autos para análise do Ministério Público, nomear um juiz Relator que daria parecer para julgamento em plenário, como manda a supracitada norma do próprio Tribunal para esses casos, ele saciou-se com aquela intempestividade e com um parecer parcialmente secreto da sua Secretaria de Informática (STI). A STI, que com a empresa privada que desenvolveu e mantém o SIS deveriam responder como réus, explicou-se num documento cujo trecho nos autos não tem pé nem cabeça: o inserator está no SIS mas não é mais usado, embora continua lá porque ainda é usado "noutros projetos". Que projetos? Pedidos de audiência do presidente daquele Partido com o do TSE foram até aqui ignorados. Todavia, como essa manobra desfez juridicamente aquele compromisso de confidencialidade, cabe-nos prosseguir, agora buscando quais projetos seriam esses que precisam do Inserator, e por que a empresa que o mantém no SIS consegue pular tantas averiguações. Para isso, não precisamos ir longe. Tão logo saiu o resultado do 1° turno, surge o primeiro candidato a tal "projeto": um suspeito de interferir na votação.

Em artigo no portal Vi o Mundo de 11 de outubro, o professor de psicologia da UFJF Gustavo Castañon analisa os fatos e pergunta: Houve fraude eleitoral ou na pesquisa de boca de urna? Tres dias antes, o professor de filosofia Bajonas Brito Jr sentenciara: Subida de 14 pontos em 72 horas deve ser investigada. Uma tal suspeita de interferência por contaminação atacadista das urnas, com programas que desviam votos sob a bênção do Inserator, poderia vir a ser reforçada por discrepâncias semelhantes no 2° turno. Ou não. Mas, será que no final teremos acesso a essas pesquisas, como tivemos no 1° turno? Se não, por que? Enquanto aguardamos, convém averiguar como é controlada a empresa privada que o TSE contratou sem licitação para fazer o SIS, onde ambas mantém o Inserator para "outros projetos". No artigo "A imprensa e o estilo Dantas", na seção "caso Nacif", esse respeitado jornalista independente nos revela que o atual diretor-presidente da empresa do Inserator teria confessado sua trajetória de (ex-)funcionário da Kroll, ou seja, daquela organização multinacional surgida nos EUA para espionagem e operações gerais de guerra cibernética que se envolveu num escândalo de traições e operações criminosas vindas à tona em 2008, por efeito da operação Satiagraha, conforme analisei em "Estado Judicialesco".

Se esses fatos ainda não despertam imaginações de interferências, existem mais. Antes, o mesmo diretor-presidente da empresa do Inserator dirigia um banco de desenvolvimento no último mandato presidencial do partido cujo candidato subiu 14 pontos na véspera do 1° turno. Acima, a embaixada onde a Kroll presta contas pode ter riscado do mapa a candidata concorrente, que como presidenta se alinhou aos líderes do BRICS para fundarem alternativas à dependência financeira ao dólar e aos banqueiros globalistas, a julgar pela demonização e hostilidades em curso contra China e Rússia. Abaixo, outro diretor presidente, este da empresa Engetec, que venceu em nove estados a licitação 42/2012 -- refeita várias vezes no TSE até pulverizar-se nos TREs -- para terceirização do serviço de preparação das urnas eletrônicas na eleição de 2014, presidia a compania Vale do Rio Doce durante a privatização naquele mandato, e hoje é membro do comitê e arrecadador da campanha do candidato que subiu aqueles 14 pontos na véspera. Essa última ligação só foi descoberta porque a Engetec é sucedânea ante o fisco da empresa que antes ganhava todas essas licitações, a Probank, que faliu dando um cano de 160 milhões de reais. E para finalizar, talvez um ato falho -- ou aviso maçônico -- do mesmo candidato, falando de eleição e softwares, originais e piratas.


FB: 4. Qual a sua opinião sobre o TSE ter desistido de implantar urnas que também imprimem o voto?

Não é que o TSE tenha desistiido. O que o TSE fez, através de seus atuais, ex e futuros juízes, que só no Brasil compõem a totalidade do plenário do corte suprema, foi desobrigar-se de seguir a lei que exigiia tal implantação. Fizeram isso através de uma estapafúrdia Ação de Inconstitucionalidade cujo julgamento está sob análise e estudos pelo corpo jurídico do CMInd, para publicação em círculos acadêmicos internacionais no futuro.


FB: 5. O sr acha que recursos de segurança que o TSE descreve em seu site (auditorias, fiscalização da sociedade, dados criptografados, testes de segurança feitos por especialistas da sociedade, emissão da zerésima) são suficientes para garantir que o processo eleitoral não sofreu fraudes?

Só para quem quiser entender assim, o que deve incluir, ao menos oficialmente, o TSE. Esse entendimento é baseado em um conjunto de fatores que descrevo, através de uma série de artigos e entrevistas, como a  seita do santo byte.


FB: 6. O que o sr. acha da iniciativa www.vocefiscal.org?

Positiva, no sentido de contribuir para despertar a consciência do eleitorado sobre a importância de sua participação na função fiscalizatória externa de um processo de votação, sem a qual todo e qualquer sistema de votação, independente da tecnologia empregada, será vulnerável a arbíttrios e abusos da parte de quem o controla. Entretanto, deve-se ressaltar que o efeito da iniciativa é parcial, e limitado. O único efeito cuja eficácia independe do grau de adesão por eleitores é o de ofuscar, dos que poderiam fraudar uma eleição manipulando resultados de sessões e subtotais durante a fase de totalização, em quais sessões eleitorais essa manipulação poderia ser posteriormente distribuída -- quando da publicação dos boletins de urna que foram totalizados -- para que a fraude passe desapercebida. Ela nada pode fazer, sequer para detectar indícios de fraudes, na etapa de votação, por exemplo as praticáveis por contaminação prévia do software instalado nas urnas, contra as quais a única medida externa capaz de produzir indícios é a pesquisa de boca de urna com metodologia adequada.




Pedro Antonio Dourado de Rezende


Professor concursado no Departamento de Ciência da Com­putação da Universidade de Brasília, Bra­sil. Advanced to Candidacy a PhD pela Universidade da Cali­fornia em Berkeley, onde teve sua pretensa tese de doutorado recusada em 1983. Membro do Conselho do Ins­tituto Brasileiro de Política e Direito de In­formática, ex-membro do Conselho da Fundação Softwa­re Li­vre América Latina, e do Comitê Gestor da Infraestrutura de Chaves Públicas Brasileira (ICP-BR), en­tre junho de 2003 e fevereiro de 2006, como representante da Sociedade Civil. http://www.­cic.unb.br/~rezende/sd.php


Nota sobre Direitos de Autoria


Pedro A D Rezende, 2014:
Consoante anuência tácita do entrevistador, este artigo é publicado pelo entrevistado sob a licença disponível em http://creativecommons.org/licenses/by-nc/2.5/br/


Nota Adicional, 24-10-2014


-------- Forwarded Message --------
Assunto: Re: Pedido de entrevista para a BBC Brasil
Data: Tue, 21 Oct 2014 18:02:04 -0200
De: Pedro A.D.Rezende <prezende@unb.br>
Responder a: prezende@unb.br
CC: Luis Kawaguti <xxxxxxxx@bbc.co.uk>


Caro Luis Kawaguti,

Seu pedido de entrevista para reportagem na BBC foi respondido ontem, sob a condição -- relativa à obra autoral coletiva -- que repito abaixo. O prazo para minhas respostas conforme o seu pedido é hoje, 21/10. Como até agora não obtive retorno à minha msg de ontem, estou reenviando minhas respostas às suas perguntas, no aguardo de um retorno seu até 24/10. Na ausência de retorno, presumirei concordância com a condição que suscitou minhas respostas, explicitada novamente no cabeçalho abaixo.