http://www.cic.unb.br/~rezende/sd.php > urna eletrônica : modelo segurança

Sistema fraudável sem risco para o fraudador

Matéria publicada no JornalGGN

Prof. Pedro Antonio Dourado de Rezende
Departamento de Ciência da Computação
Universidade de Brasília
25 de Outubro de 2014


A reprodução deste artigo em outras edições está condicionada a autorização do jornal GGN.


Sobre o sistema de votação do TSE, o que posso dizer, atuando academicamente na área de segurança computacional na UnB há 17 anos, de onde publico há mais de 14, baseia-se no meu envolvimento com o tema, que tem sido pela perspectiva da sua concepção, desde o início da informatização até hoje. Meu envolvimento começou em um debate num congresso de segurança na Informática realizado em 2001, no ITA, onde eu fui palestrar como convidado. Ali constatei que as únicas defesas apresentadas em favor dessa concepção não eram técnicas, como se esperaria em um evento como aquele, mas apenas argumentos de autoridade e ataques ad-hominem a quem a criticasse. 

Logo em 2002 tentei participar da equipe que analisaria o código dos programas do sistema do TSE para um dos Partidos, os quais junto com a OAB e o Ministério Público são as únicas entidades externas com direito a tal análise -- ainda que só na forma regulamentada pelo TSE --, mas tive que desistir por discordar da exigência de que antes assinasse um termo de sigilo sobre o que viesse a conhecer do sistema. Desde então venho constatando que o padrão de justificativas, sejam técnicas ou jurídicas, para a concepção desse sistema continua a mesma. E nunca mais aceitei votar nesse sistema, justificando em viagens   meu não-voto diante obrigação cívica de votar

A filosofia de segurança subjacente a sua concepção, posta em prática no projeto e implementação desse sistema do TSE, baseia-se em obscurecimento. Isso resulta, proporcionalmente à complexidade do projeto, em um sistema excessivamente vulnerável a falhas ou erros -- involuntários ou não -- de programação. Contudo, essa filosofia é a que melhor permite conceber e desenvolver um sistema fraudável sem riscos para o fraudador. As possíveis provas materiais podem ser blindadas pelo dono do sistema, contando com a virtualização completa do registro individual de votos, e se os meios possíveis para a fraude forem descobertos, eles podem ser rearranjados como se fossem meros erros ingênuos de programação.


Tal blindagem se absolutiza quando o dono do sistema coincide com a mais alta corte judiciária, entre ex, atuais e futuros presidentes e ministros do TSE, o qual se dispõe a gastar rios de dinheiro público para proteger a credibilidade do sistema com massiva propaganda oficial enganosa. Enquanto essa gastança serve, também, para cooptar a imprensa corporativa. Num tal contexto, onde qualquer acesso legalmente concedido para fins de auditoria ou fiscalização ao sistema teria que ser autorizado por esse mesmo dono, acho difícil conceber um protocolo de investigação externa que, partindo de eleitores ou partidos interessados, seja ao mesmo tempo eficaz do ponto de vista técnico e admissível para esse dono do sistema.

O problema não é a falta de ferramentas, disponíveis a especialistas em segurança computacional, para detectar contaminações em programas capazes de produzir fraudes automáticas durante o funcionamento da urna ou outros componentes do sistema. Essas ferramentas e especialistas existem, inclusive no CMInd. O problema é a concentração de poderes no dono do sistema, que até hoje impediu, e poderá continuar impedindo, qualquer investigação que seja independente o suficiente para ter ao mesmo tempo eficácia e legalidade. Autorizada e não passível de enquadramento como criminal, posto que a Lei eleitoral, até onde sei, criminaliza qualquer acesso não autorizado ao sistema de votação. No caso em tela, considerando as suspeitas levantadas por especialistas do PDT durante o exame de código desses programas, e os indícios de manipulações indevidas no primeiro turno, posso conceber apenas um protocolo de auditoria preventiva que seja tecnicamente eficaz, mas não necessariamente admissível e incondenável por esse dono.

Passo-a-passo da investigação

Pelo ordenamento jurídico vigente, a investigação externa deveria ser aberta pelo Ministério Público, através da Procuradoria Geral Eleitoral (PGE), a partir do de uma denúncia de irregularidade registrada por um eleitor ou Partido político. No caso que ensejou esta série de reportagens pelo Jornal GGN, todos os passos previstos em lei em busca de mediadas preventivas foram seguidos, mas sem nenhuma consequência até agora. O caso começou com a descoberta de vulnerabilidades no subsistema de instalação e segurança (SIS), nos primeiros dias de setembro de 2014, por um auditor externo devidamente cadastrado junto ao TSE. Esse auditor estava, junto com outros analistas, exercendo o direito de fiscalizar o código dos programas do sistema de votação de 2014 em nome do Partido que os cadastrou, sob as condições impostas por quem o desenvolve. Além dessas restrições, a lei limita esse direito de "auditoria" à OAB, Ministério Público (MP) e Partidos, mas tanto a OAB quanto o MP haviam se recusado a exercê-lo e a credenciá-los. 

Como esse tipo de auditoria "pro forma" tem sido permitida somente sob compromisso de confidencialidade, as vulnerabilidades descobertas, e as respostas insatisfatórias dos técnicos do TSE sobre por que ocorriam, foram relatadas com pedido de providências, pela advogada do Partido credenciada para isso, através da Petição TSE Nº 23.891, dirigida ao presidente do TSE em 4 de setembro de 2014. Mas a Petição foi tratada pelo Secretário da Presidência do Tribunal como reclamação sobre votação -- que ainda não havia ocorrido --, e não como impugnação de programas analisados, conforme o contexto -- previsto na Resolução 23.397/2013 que disciplina essa auditoria "pro forma" dos programas --, o que propiciou-lhe uma espetaculosa manobra de saída pela tangente.

Na função de juiz "auxiliar", esse secretário desqualificou a advogada e o pedido, indeferiu e mandou arquivar tudo, como se os fatos narrados nos autos fossem irrelevantes. Ao invés de enviar esses autos para análise do Ministério Público, nomear um juiz Relator que daria parecer para julgamento em plenário, como manda a supracitada norma do próprio Tribunal para esses casos, ele saciou-se com aquela intempestividade e com um parecer parcialmente secreto da sua Secretaria de Informática (STI). A STI, que com a empresa privada que desenvolveu e mantém o SIS deveriam responder como réus, explicou-se num documento cujo trecho nos autos não tem pé nem cabeça: o Inserator -- programa indistinguível de uma porta de fundos escamoteada para permitir invasões sorrateiras ao sistema -- , relatado como a principal vulnerabilidade descoberta, está no SIS mas não é mais usado, embora continua lá porque ainda é usado "noutros projetos". 

Pedidos de audiência do presidente daquele Partido com o do TSE foram até aqui ignorados. Todavia, como essa manobra, ao arquivar a Petição, desfez juridicamente aquele compromisso de confidencialidade, coube à advogada e aos demais membros do CMInd -- do qual ela faz parte -- prosseguir, alertando publicamente o eleitor para os riscos representados por aquelas descobertas, buscando quais projetos seriam esses que precisam do Inserator, e por que a empresa que o mantém no SIS consegue pular tantas averiguações. Para isso, não precisamos ir longe. Tão logo saiu o resultado do 1° turno, surge o primeiro candidato a tal "projeto": um suspeito de interferir na votação, pelas enormes discrepâncias entre pesquisas de boca de urna e resultados em vários estados.

Todavia, se este for um tal projeto, seu efeito nesse primeiro turno não pode mais ser auditado. Pois o tipo de contaminação possibilitada pelo Inserator, em programas inseminados na urna, poderia perfeitamente após o feito ter se apagado a si mesma de todas as urnas atingidas. Auditoria preventiva contra esse tipo de "projeto", agora, só é possível contra o efeito que poderia ter no segundo turno. Seria por meio de uma análise forense nos programas instalados em urnas que já estejam preparadas para serem usadas no segundo turno, amostradas e analisados através de um protocolo que possa ser executado sem nenhuma interferência de quem as preparou, ou de quem possa ter interesses contrariados pela eficácia de tal auditoria, exceto para poderem se certificar de que os resultados obtidos na sua análise forense sejam íntegros. Diante da conduta do Ministério Público até aqui, não creio que poderíamos contar com ele para a execução de um tal protocolo. 

Apesar de ser legalmente a única entidade competente para executar auditorias externas independentes no sistema de votação, o MP nunca sequer participou da análise de código de programas prevista em lei e controlada pelo TSE, aquela espécie de auditoria "pro forma" prevista em lei à guisa de direito do eleitor. Mesmo assim o MP tem participado das cerimônias de homologação do sistema, cohonestando o processo com assinatura do Procurador Geral da República. O MP nunca se dignou a enviar técnicos para conhecer o sistema, e quando recebe denúncias de conduta tecnicamente abusiva por agentes da Justiça Eleitoral, nunca abre investigação, eventualmente arquivando-as. 

Para a eleição de 2014, permaneceu nessa conduta tecnicamente passiva mesmo depois de ter sua função constitucional investigativa temporariamente cerceada por Resolução do TSE. E mesmo depois de alertas sobre o risco que esse tipo de conduta representa para a nossa democracia, oferecidos inclusive pela mesma advogada e por mim, em audiência pública realizada pelo próprio MP em março deste ano. Diante desse quadro, se o MP fosse executar um protocolo eficaz de auditoria externa "preventiva" no sistema de votação do TSE, estaria tacitamente admitindo sua anterior inépcia e descaso com sua função constitucional no processo eleitoral informatizado. 

Quem pode investigar?

O cidadão comum não tem absolutamente nenhum direito de fiscalizar diretamente o processo de votação do TSE, conforme a legislação vigente e as resoluções do próprio TSE. Pode quando muito colaborar com quem teria direito de contestar, como no projeto vocefiscal por exemplo. Para detecção do tipo de fraude mais perigosa, que são as praticáveis por contaminação do software nas urnas, como aquelas que podem ser facilitadas por programas como o Inserator, mesmo se o cidadão comum tivesse direito de analisar livremente os programas na urna ele dificilmente teria o expertise para detectar comportamento anômalo indicativo de contaminação visando a fraude.

Quanto a especialistas fora do TSE, só caberia legalmente fazerem uma auditoria preventiva sob demanda do MP, através da PGE. Quanto a ferramentas, existem várias que podem auxiliar um perito forense a reconstruir a lógica de programas de computador que estejam em formato executável. E com chances de sucesso crescentes na medida em que o programa tenha propósitos rastreáveis, como é o caso de fraudes na contagem dos votos coletados pela urna, e tenha sido escrito e compilado sem a expectativa de que pudesse vir a ser dissecado por uma dessas ferramentas.   

De qualquer forma, independente da competência do perito, a eficácia de uma auditoria externa independente e tempestiva, aqui chamada preventiva, depende inteiramente de um protocolo para garantir a autonomia do auditor poder ser executado em todos os detalhes. Esta é uma questão delicada porque qualquer deslize na concepção ou sabotagem na execução desse protocolo pode concorrer para que o resultado da análise forense não revele nada de anormal mesmo havendo, e o interessado na auditoria seja enquadrado em acusações de calúnia e difamação, ou mesmo de atentado à segurança nacional.

Partidos como reféns

Para mim o impacto mais palpável deste caso está na revelação de que os Partidos políticos se veem reféns desse arranjo institucional. Com poucas honrosas exceções, eles preferem tratar do assunto nos bastidores, com medo de sofrer retaliações se demonstrarem publicamente sinais de desconfiança na estabilidade desse arranjo, independente do real motivo para preferirem os bastidores. E também, a mídia corporativa. É gritante o boicote ao tema e o tabu que representa, como ameaça a tão profícuo cliente publicitário. A minha sensação é a de que o eleitor que acredita em democracia ao pé da letra ficou órfão.

República Velha: história semelhante

A história do Brasil já passou por um impasse semelhante antes, na Republica Velha. A Republica Velha foi fundada pelas elites oligárquicas que derrubaram o império e instituiram uma democracia de fachada, conhecida por sua política apelidada de "café-com-leite". Nesse arranjo da nossa infância democrática os poderes republicanos sobre a esfera eleitoral se concentravam no legislativo. O congresso nacional no Rio de Janeiro tinha oito meses para receber das províncias os mapas eleitorais, feitos a bico de pena, e, conforme acordo de bastidores, refaziam alguns e descartavam outros a pretexto de alegadas fraudes, antes de homologar os "resultados". As eleições eram refeitas nesse "terceiro turno", que camuflava os conflitos de interesse, em que o "resultado" alternava no poder candidatos previamente escolhidos por essas elites, geralmente entre São Paulo e Minas. 

A forma que o país encontrou para sair daquele conflito foi através de uma aliança liberal, que organizou a Revolução de 1930, envolvendo traição ao e dos mineiros e ascensão ao poder de um estadista gaúcho. Mas a Revolução de 1930 apenas deslocou esse conflito, ou vício de nossa república, do legislativo para o judiciário, numa reação política pendular que na ocasião parecia apta a neutralizar o conluio conhecido como política café-com-leite.

Avalio a situação observando que o poder político concentrado atrai o abuso, independentemente do ramo onde se concentra, e que podemos estar vivendo uma experiência histórica cíclica, onde os velhos vícios da Republica Velha parecem nos rondar novamente. E que a Revolução de 1930 levou quase uma década sendo gestada, precisando esperar pela eclosão de uma crise econômica global para concretizar-se, enquanto mais uma tal crise parece se aproximar.




Autor

Pedro Antonio Dourado de Rezende é professor concursado no Departamento de Ciência da Com­putação da Universidade de Brasília, Advanced to Candidacy a PhD pela Universidade da Cali­fornia em Berkeley. Membro do Conselho do Ins­tituto Brasileiro de Política e Direito de In­formática, ex-membro do Conselho da Fundação Softwa­re Li­vre América Latina, e do Comitê Gestor da Infraestrutura de Chaves Públicas Brasileira (ICP-BR). http://www.­cic.unb.br/~rezende/sd.php