http://www.cic.unb.br/~rezende/sd.php > e-Urna: entrevistas

Como fiscalizar a votação eletrônica?

Entrevista com um eleitor anônimo,
sobre a votação em Andrelândia, MG, em 2008

Prof. Pedro Antonio Dourado de Rezende
Departamento de Ciência da Computação
Universidade de Brasília
15 de setembro de 2008


Eleitor Anônimo: 1 - Quero lhe pedir ajuda sobre a guarda da urna eletrônica na véspera da eleição, pois não consigo encontrar nada sobre o assunto. Ninguém sabe. Em sua reportagem "Fiscalização e Garantias" [1], diz que as unas podiam ficar na casa do presidente da seção eleitoral, na véspera da eleição. Na Comarca de Andrelândia/MG, o MM. Juiz eleitoral determinou que a urna, na véspera da eleição, vai ficar na casa do presidente da seção eleitoral sob a alegação de que as urnas são seguras, e que há dificuldade para distribuir as urnas para os demais municípios da comarca no dia da eleição.

Pedro Rezende:  Primeiramente, o que eu disse naquela ocasião e contexto foi que, na eleição de 2000, na maioria dos casos os juízes eleitorais haviam optado por guardar as urnas, na véspera da eleição, ou no cartório eleitoral ou com os respectivos presidentes das sessões eleitorais. Estava constatando um fato, e não descrevendo um dispositivo legal ou regulamento eleitoral.

No que se refere às urnas em si serem seguras, se o MM Juiz Eleitoral disse mesmo isto como justificativa para uma decisão sua, então, com todo o devido respeito, ou ele não sabe do que está falando, repetindo simplesmente o que ouviu dizer, ou sabe e está agindo em má fé. Nem juízes, seus superiores, nem jornalistas, porta-vozes destes, podem tapar o sol com a peneira usando apenas argumentos de autoridade. Para agirmos em boa fé, temos que supor a primeira possibilidade e esforçar-nos para esclarecer ao meretíssimo certos fatos sobre o processo eleitoral.

Fatos de natureza técnica, e não meras opiniões, informações as quais temos sobejas razões para crer que nunca lhe chegariam pelos canais oficiais da Justiça Eleitoral ou da mídia corporativa, e que nem por isso deixam de ser verdadeiras. Se o juiz se mostrar desinderessado ou insensível aos fatos que passo a narrar, resta aos que queiram uma eleição limpa na comarca fiscalizar a votação da melhor forma possível, se não para impedir, ao menos para detectar indícios ou dificultar possíveis fraudes que se tornem possíveis com tais decisões.

Dentre elas, o tipo de fraude conhecida como votação clonada. Com o material preparado para uma seção eleitoral, que contém, entre outras coisas, a lista dos votantes em caderno impresso, a urna preparada para aquela seção, e no flashcard interno desta urna a mesma lista armazenada, é possível praticar o golpe conhecido por votação clonada, descrita em mais detalhe no livro "Fraudes e defesas do voto eletronico" [2].

Esse livro também descreve outros tipos de golpe, dentre os quais um que requer, para sua execução irrastreável, os mesmos cerceamentos ao direito de fiscalizar que o golpe da urna clonada requer: trata-se do ataque à totalização, executável no ambiente informático do TRE, por manipulação do banco de dados no qual a totalização é calculada, com a anuência, por imprudência ou sob o controle daquele que administra esse banco de dados (normalmente o secretário de informática do TRE). Trataremos aqui, então, desses dois tipos.

O golpe da votação clonada funciona assim: Antes da eleição, aquele que guarda a urna poderá inicializá-la com um flashcard no driver externo da mesma. A possibilidade de inicialização da urna através de flashcard externo, empregada para a carga das urnas no período de preparação à votação, é uma grave falha de segurança do projeto da urna eletrônica em uso, falha que muitas autoridades eleitorais no Brasil preferem ignorar, em favor de uma dogmática cantilena pregada pela seita do santo byte.

Um tal flashcard externo poderia, então, ser preparado para esse tipo de golpe, com informação disponível no código fonte de algum modelo de urna. Esse código pode estar em poder não apenas da Justiça Eleitoral, como quer nos fazer crer a seita do santo byte, mas também em poder de empresas que, por exemplo, já foram contratadas, em diversas ocasiões pela Justiça Eleitoral, para desenvolvê-lo (como por exemplo, a Microbase, que o detém para os modelos de urna até 2000, ou a Procomp, que o detem para os modelos usados até 2006, ou qualquer empresa terceirizada por estas para tarefas de programação).

Com a inicialização da urna através de um tal flashcard externo, é possível, para quem está com o correspondente caderno de eleitores, simular uma votação, em preparação para o golpe da votação clonada. O golpe é preparado com os seguintes passos:
  1. Incializa-se a urna com um flashcard preparado para o golpe da votação clonada inserido no driver externo da urna;
  2. O programa preparado para a fraude solicita ao falsário que ajuste o relógio da urna para data e hora do início da votação verdadeira, e copia para o flashcard externo o arquivo de log que está no flashcard interno;
  3. Desliga-se a urna, retira-se o flash externo, e reinicializa-se a urna, que assim executará os programas oficiais gravados no seu flashcard interno;
  4. A urna entra em funcionamento "pensando" que é dia e hora da votação verdadeira. Quem está com a urna pode então dar início à votação, e votar seguidamente com vários números de título constantes no caderno impressso de eleitores daquela seção, até o (falso) "horário de encerramento" da votação.
  5. Encerra-se a votação clonada: um boletim de urna (BU) é gerado, com votos produzidos por quem está manipulando a urna. Este BU será digitalmente assinado pelo software oficial da urna, como se fosse um BU legítimo, só que com os votos que o falsário inseriu na votação clonada, gravado em disquete. A urna também imprimirá, em 5 ou mais vias, cópias impressas desse BU clonado. Esse material estará nas mãos do falsário, para o desfecho do golpe.
  6. O falsário então desliga e liga novamente a urna com o flashcard externo inserido. O software preparado para executar a fraude então apaga, do flashcard interno, os arquivos resultantes da votação, e sobrescreve o arquivo de log com a versão do arquivo que havia copiado anteriormente. Por fim, o falsário ajusta o relógio da urna para a data e hora corretas. Com os arquivos que registram a votação clonada apagados, com a data e hora corretamente restabelecidas, a urna volta ao estado original em que foi preparada para a eleição. Pronta para a fase final do golpe, tendo produzido o material necessário para o mesmo.
  7. No dia da eleição, leva-se a urna para a seção eleitoral e se conduz a eleição normalmente. A via eletrônica do BU desta votação "normal" será gravada em (outro) disquete, e as vias impressas, em 5 ou mais cópias, também. Para finalizar o golpe, falta então trocar, a caminho do cartório eleitoral, esse disquete e as correspondentes vias impressas pelo disquete e as respectivas vias impressas da votação clonada.
  8. A troca do disquete não é problema para o falsário. Basta ele botar o disquete gravado no dia da eleição dentro de uma pasta na qual ele já carrega o disquete da votação clonada, se ambos os disquetes sejam fisicamente parecidos, e se ele souber onde botou cada disquete dentro da pasta. Para finalizar o golpe de forma irrastreável, ele terá que cuidar ainda da troca das vias impressas do BU. Essa é a parte mais delicada, pois envolve autenticação por assinaturas de punho, sendo portanto a que precisa ser seguida com mais atenção pela fiscalização do partido lesado (na verdade, o único resquício de fiscalização que restou, no atual estado de informatização do processo).
Para a troca irrastreável de vias impressas do BU, um presidente de seção que participe desse tipo de golpe terá duas opções, mais ou menos fáceis dependendo do nível de participação de outras autoridades eleitorais nesse golpe. Participação que poderia variar entre negligência (inimputável à luz da seita do santo byte) e facilitação por descumpimento de normas processuais. Na zona cinzenta entre negligência e facilitação, por exemplo, uma eventual reclamação de que as vias impressas do BU arquivadas no cartório o foram sem a assinatura de um fiscal, do partido que se sente lesado, poderá ser desprezada alengando-se ausência ou falta de zelo do fiscal.

A troca irrastreável das vias impressas do BU será fácil se o fiscal do partido lesado não esteja presente no encerramento da seção de votação. Caso esteja, as opções de um presidente de seção envolvido no golpe são as seguintes:
  1. Negar-se a entregar, como manda a Lei, uma via impressa do BU, devidamente assinada pelo presidente da seção e pelos demais fiscais de partido presentes, ao fiscal do partido que será lesado.
  2. Instruir os fiscais, ou o fiscal do partido lesado, a ir assinar as vias impressas do BU, e pegar a sua, no cartório eleitoral.
Se um fiscal do partido aceitar a primeira opção, ou se lhe for negado a tarefa de assinar as vias impressas do BUs em ato contínuo à impressão das mesmas, antes da assinatura da ata de votação da seção que ele fiscaliza, ou se lhe for imposta a segunda opção, as vias impressas do BU, que serão eventualmente autenticadas por assinatura de punho, seja por parte de apenas alguns fiscais (se for negado a algum fiscal o direito de assinar no local, e este se recusar a ir ao cartório assinar o BU), ou por todos mas depois de translado ao cartório, isso permitirá a um presidente de seção envolvido no golpe trocar também as cópias impressas do BU, junto com o disquete (pode usar a mesma pasta), pela versão da votação clonada, a caminho do cartório eleitoral, completando de forma irrastreável o golpe na sua seção.

Os fiscais de um partido que suspeite de indícios de armação de fraude não devem aceitar, no dia da eleição, nenhuma dessas opções se lhes forem propostas pelo presidente da seção. Aliás, mesmo sem indícios eles deveriam recusar. Se um possível golpe contar com a participação de outras autoridades eleitorais locais, além dos presidentes de seção, por descumprimento de norma processual por exemplo (digamos, deferindo o arquivamento de BUs impressos sem a assinatura do fiscal de um partido, sob protesto deste, por ter ele recusado as opões acima), só restará ao partido recorrer à justiça eleitoral estadual para tentar impugnar um eventual resultado lesivo.

Entretanto, se a Justiça Eleitoral julgar insuficientes os motivos de suspeita, ou se for desprezada a alegada razão para a recusa dos fiscais em cumprirem determinação de presidentes de seção, ou se houver fraude também na totalização, a vítima não terá chance. Ainda, no caso de haver ataque à totalização, os executores são os únicos que controlam o acesso aos meios de prova, de que teria havido fraude na totalização, o que os leva, por instinto de autodefesa, a impedir esse acesso por parte da vítima, para esta fazer prova contra eles mesmos, através de laudos técnicos invariavelmente amparados em argumentos de autoridade apenas.

Ainda, se a fraude for mais centralizada, por exemplo sobre o software da urna durante a carga das mesmas, nem mesmo indícios concretos (violação de norma processual ou troca de BUs, por exemplo) precisam haver na zona eleitoral da vítima, para que o golpe tenha sucesso (desses golpes poderão surgir apenas indícios indiretos, de natureza estatística, como por exemplo em discrepâncias gritantes com pesquisas de intenção de voto). Ressalvadas as limitações expostas acima, os seguintes cuidados são recomendados.

Independentemente de onde são guardadas as urnas, os fiscais de um partido que queira fiscalizar a eleição devem:
  1. Exigir e obter uma via impressa do BU ao final da votação, devidamente assinada, em um número significativo de sessões eleitorais.
  2. O partido deve guardar essas vias de BU autenticadas para validação do resultado, e exigir do TRE, no prazo legal, cópia da planilha eletrônica (a que tem direito por lei) com a relação de votos por seção eleitoral, conforme totalizados para o resultado proclamado.
  3. De posse das vias impressas de BU autenticadas, e do CD com a planilha de totalização, o partido deve fazer uma verificação, por amostragem, para checar se os totais na via impressa do BU amostrado correspondem ao total lançado na planilha eletrônica de totalização divulgada pelo TRE, para a seção eleitoral correspondente. (Para detectar ou ao menos dificultar ataques à totalização ou golpes de votação clonada, se for o caso)

Gostaria, ainda, de fazer algumas observações pertinentes.

Quanto mais BUs impressos devidamente assinados forem coletados pelo partido, melhor. Pois se houver golpe de votação clonada, esses BUs impressos permitem ou fundamentar denúncia de fraude, se o disquete for assim mesmo trocado, ou diminuir a chance de sucesso do golpe, limitando as sessões onde poderá haver troca irrastreável de disquete (àquelas sessões onde o partido não coletou via impressa de BU devidamente assinada).

Ainda, mesmo que não haja golpe de votação clonada, se houver ataque à totalização no TRE os falsários precisarão de uma informação essencial para que o golpe seja irrastreável, informação disponível nas atas de votação: em quais sessões eleitorais o fiscal do partido fraudado não levou via impressa do BU assinada pelo presidente da seção. Essas são as sessões eleitorais nas quais quem frauda a totalização poderá desovar os desvios porventura introduzidos no resultado final, para uma "conta de chegar" entre os totais gerais que foram proclamados e a planilha que terá que ser divulgada depois, detalhando os votos apurados por seção eleitoral.

No caso de ataque à totalização, se houver relativamente poucas sessões nas quais o fiscal do partido fraudado não levou via impressa do BU assinada pelo mesário, os golpistas terão menos margem de manobra, e sua "conta de chegar" ou se tornará rastreável, ou terá mais dificuldade para esconder discrepâncias estatísticas que levantarão suspeitas. Por isso o BU deve ser preferencialmente coletado na seção, já assinado pelos fiscais presentes e pelo presidente da seção, imediatamente após a impressão, antes e como condição para a assinatura da ata de votação, para evitar o golpe de clonagem da votação naquela seção. E deve ser coletado na maior quantidade possível de sessões, para diminuir a chance de sucesso irrastreável desses dois tipos de golpe.

A rede globo divulgou recentemente uma reportagem com pinta de "missa do santo byte", a qual não deve ser levada ao pé da letra por candidatos que suspeitam da possibilidade de fraude eleitoral. Trata-se da reportagem que mostrou quadrilheiros tentando "vender fraudes" eleitorais, flagrados por câmeras ocultas dizendo que eles tinham a senha do presidente do TSE, quando esta senha ainda não existia

A reportagem é enganadora devido à conotação que a edição da matéria quis dar, mostrando os quadrilheiros como ingênuos otários metidos a espertalhões, que a arapongagem privada da globo desvenda. O que a reportagem verdadeiramente informa é que os quadrilheiros mostrados na reportagem ou são golpistas, tentando vender o que não sabem fazer, ou são falsários, que sabem fraudar e querem despistar, com a estória da senha, do possível cliente e potenciais concorrentes seu modus operandi.

O fato da alegação de que eles tinham a senha do presidente do TSE ser falsa não significa que a fraude não seja possível. A chave privada que é usada pelo programa da urna para assinar a via eletrônica do BU, ao final da votação, é a mesma para cada urna; e não é a mesma gerada para o presidente do TSE, esta usada para assinar digitalmente os programas oficiais, para efeito de validação interna do sistema, durante a carga das urnas. Ambas, totalmente desnecessárias tanto para o golpe da clonagem da votação quanto para o ataque à totalização.

Para o ataque à totalização, a senha necessária é a do administrador do banco de dados que totaliza a votação no TRE. Se esta senha for atribuída ao presidente do TRE isso não serviria, na prática, para proteger nada pois o presidente, neste caso, teria que liberar o acesso para o verdadeiro administrador desse banco de dados, sempre que necessário, para tarefas administrativas que incluem a de configurar e inicializar esse banco de dados para a totalização. Duvido que haja um presidente de TRE que acumule suas funções administrativas e jurídicas com a de administrador desse banco de dados, tarefa normalmente desempenhada pelo secretário de informática do TRE. Razão porque a matéria da globo não acrescenta nada ao conhecimento do telespectador sobre possiveis fraudes eleitorais, mas antes o despista ou confunde.

Potenciais vítimas devem ficar atentas para sinais indiretos que indicam possibilidade de golpe, ao invés de se deixar levar pela reza do santo byte, seja cantada na mídia ou nos tribunais. Sinais como, por exemplo, a presença de funcionários ou ex-funcionários de empresas que já desenvolveram programas para a justiça eleitoral rondando a cena, oferecendo ou leiloando "assessoria" a candidatos (risco de votação clonada), ou sinais exteriores de riqueza incompatíveis com o salário (risco de reiterados ataques à totalização) de secretários de informática de tribunais eleitorais ou de pólos de informática (cartórios eleitorais que preparam urnas).

Neste sentido, cabe lembrar que essas empresas de informática podem ter também outros interesses, além de apenas desenvolver programas ou prestar serviços conforme a estrita especificação do cliente. Empresas de informática não têm sede no céu. Cabe observar que a Procomp foi comprada pela maior multinacional especializada em máquinas eletrônicas de jogos de azar, e que essa mesma empresa foi acusada [3], em entrevista concedida ao Estadão por um dos braços direitos do ex-ministro Palloci (Rogério Buratti), de ser uma das três empresas que sustentavam a mansão no bairro nobre de Brasília que o ministro usava para encontros furtivos com lobistas na madrugada.


EA: 2- Isso criou  insegurança entre os eleitores, uma vez que fica muito difícil fiscalizar as urnas espalhadas pela cidade.

PR: Bem-vindos ao país onde a seita do santo byte é muito forte, e a corrupção não menos. E talvez não por acaso as duas igualmente fortes.


EA: 3- No meu entender isso é, no mínimo, politicamente incorreto.

PR: À luz do conhecimento técnico sobre as possibilidades reais de fraude sob tais condições, isto é, no mínimo, suspeito.

   
EA-4: Por que não ficar em um território neutro? Como por exemplo, no Batalhão da Policia Militar que tem em todos os municípios da Comarca.

PR: Seria uma decisão menos suspeita, pelo fato do preenchimento de postos na polícia militar não ser atribuição nem do juiz eleitoral, nem de responsáveis por cartórios eleitorais. Seria também uma decisão menos suspeita se tomada mais próxima à eleição, pois daria menos tempo à preparação do golpe de clonagem da votação (que não está afastado se for escolhido outro local de guarda, mas que levantaria menos suspeitas devido à relação de poder acima exposta). A mim, a decisão relatada soa estranha não tanto pela escolha dos guardiães, mas por ela em sua precocidade, devido ao risco intrínseco de conluio que a combinação de ambas sinaliza.


EA-5: Não me conformo com tal determinação e não encontro qualquer regulamentação a respeito. A lei é omissa.

PR: Talvez a lei seja omissa de propósito, para dar ao juiz eleitoral discrição de escolha, levando em conta os riscos que as possíveis opções representam para o processo, na situação em tela. Talvez a lei esteja lhe dando uma oportunidade de argumentar, junto ao juiz da sua comarca, sobre a possibilidade dele tomar uma decisão que seja racional com respeito à minimização de riscos, ao invés de uma decisão fundada apenas em dogmas da seita do santo byte. Em qualquer caso, trata-se de uma discrição que também pode ser explorada para abusos de poder.



Referências


[1]- http://www.cic.unb.br/~rezende/trabs/entrevistaJCBSB.htm
[2]- http://www.brunazo.eng.br/voto-e/livros/FeD.htm
[3]- http://www.cic.unb.br/~rezende/trabs/entrevistaDM.html