Recorte do Jornal
O Globo Informática
Rio de Janeiro, 25 de Setembro de 2000
A Urna em Debate
André Machado
Sistema eletrônico de votação é o centro da polêmica sobre segurança digital
[Página original]
Afinal de contas, a urna eletrônica é ou não um meio
seguro para votação? Essa é uma questão delicada, que se tornou alvo de uma polêmica entre
partidos e a justiça eleitoral.
Um dos principais polos do debate é o Fórum do Voto Eletrônico,
moderado pelo engenheiro Amílcar Brunazo Filho, assessor técnico do senador Roberto Requião (PMDB-PR)
- autor de um projeto para instituir uma confirmação impressa do voto após sua digitação -,
e também assistente técnico dos delegados do PDT junto ao Tribunal Superior Eleitoral.
O partido teve indeferido pelo TSE, há duas semanas, um pedido de impugnação dos programas
instalados nas urnas eletrônicas. O pedido argumentava que os programas não teriam sido apresentados
integralmente aos partidos políticos e o software de criptografia (desenvolvido por orgão ligado
ao Poder Executivo) caracterizaria uma interferência na Justiça Eleitoral. Segundo Brunazo,
será tentado um recurso contra a decisão via mandado de segurança.
- "Em primeiro lugar quero dizer que não sou contra a urna eletrônica.
Reconheço seus méritos. Apenas queremos mostrar que ela é passível de fraude - afirma. -
Antes de mais nada, é preciso entender que o programa da urna é dividido em Sistema Operacional
e Sistemas Aplicativos. O TSE só apresentou os códigos dos aplicativos, mas não o código-fonte
so Sistema Operacional, que é o VirtuOS da Microbase. O argumento deles é que, como o sistema
é comprado no mercado, não se teria como mostrar o código-fonte, já que ele é proprietário,
fechado, e a empresa teria direito ao sigilo por lei. Ora, mas o que vale mais neste momento,
a Lei de Direito Autoral ou a Lei Eleitoral? Além disso, o TSE escolheu um sistema fechado por que quis.
Por que não usar um Linux, por exemplo, que tem o código aberto? e também é mais barato."
O Secretário de Informática do TSE, Paulo César Camarão, confirma que o código-fonte do
VirtuOS não foi mosatrado, mas repudia as críticas:
- "Todos os programas foram abertos aos partidos, menos o Sistema Operacional
que é proprietário e não pode ser aberto - diz.- Entretanto, a Justiça Eleitoral é extremamente
preocupada com o sigilo do voto, e esses questionamentos são feitos por pessoas que
não conhecem o sistema eleitoral"
Disquete para inseminação motiva controvérsia
Brunazo aponta ainda outras falhas no procedimento, como a falta de conferência pelos fiscais partidários,
do conteúdo do disco (o chamado "flash-de-carga") que "insemina" a urna:
- "Só se pode assistir à inseminação, mas não verificar o conteúdo do disquete
- protesta. - Como se pode ter certeza de que o programa correto foi carregado, então?"
O juiz auxiliar da presidência do Tribunal Regional Eleitoral do Rio (TRE-RJ), Artur Narciso,
responsável pela área de informática no estado, rebate tais acusações com veemência.
- "As urnas, uma vez inseminadas, admitem uma auditoria - esclarece. -
Os partidos políticos têm direito a escolher 3% das urnas que foram inseminadas e fazer
um teste nelas. Esse teste é, na prática, a simulação da votação real com aquela urna.
Então se introduz um disquete, para única e exclusivamente desbloquear o mecanismo de tempo
que garante que a urna só funcione no dia da eleição. E assim acontece. Tanto que ela só funciona
com a digitação dos números dos títulos dos eleitores daquela seção. Essa auditoria detectaria
algum defeito ou desvio de votos. O que se alega, e que na minha opinião é um desvario,
é que este disquete teria a capacidade de eliminar um possível desvio de votos que
tivesse sido implantado na urna. Acho isso um absurdo. Uma elocubração fantasiosa.
O disquete é igual, único, para todo o país, e o programa contido nele está, sim,
disponível para exame dos partidos. Eles sabem qual é o conteúdo do disquete.
Se alguém tem dúvida quanto ao conteúdo, que vá examiná-lo.
E a inseminação nada tem de descuidada. É um ato público, solene, oficial, que conta com a
participação do juiz eleitoral, do promotor eleitoral, dos fiscais dos partidos...
A urna é lacrada e, depois disso, qualquer tio de violação impede a sua utilização posterior.
O lacre tem justamente este fim. E a urna eletrônica também tem sensores.
Se alguém a pegar e tentar introduzir qualquer tipo de programa, ter acesso a
qualquer dos seus componentes, ela vai parar de funcionar. E estará sob a guarda da
justiça eleitoral. Ninguém poderá mexer nela."
Digitação do número do título violaria anonimato
Uma outra questão diz respeito à digitação do número do título do eleitor pelo presidente
da mesa no microterminal, liberando a urna para seu voto. Segundo Ricardo Sovat,
doutorando em Ciência da Computação do Instituto de Ciências Matemáticas e
Computação da USP, isto poderia violar o anonimato do indivíduo, ao vincular o voto
ao respectivo votante.
- "A digitação do número do título é feita praticamente na própria urna.
Isto é, num microterminal ligado à máquina. Trata-se de um ponto vulnerável para manipulação"
- afirma.
O Secretário de Informática do TSE considera a possibilidade fora de questão.
- "Essa alegação de que a digitação do título pelo presidente
de mesa o vincula a seu voto não procede. Ela apenas verifica se o eleitor pertence àquela
seção e se já votou ou não" - diz Paulo Camarão.
Código-fonte fechado torna difícil a análise do sistema com exatidão
Segundo Marcos Tadeu von Lutzow Vidal, professor do Departamento de Engenharia de
Telecomunicações da UFF e especialista em redes de computadores que trabalha
também com segurança, o cerne de toda a questão está mesmo no código-fonte fechado
de um software proprietário.
- "O problema não é só o fato de o código-fonte do sistema operacional da urna não ser mostrado.
A questão é a falta de acesso ao código que gera o programa executável
(o compilador e as bibliotecas) - diz. - Nessa geração, é possível tecnicamente criar um código
que não seja exatamente a compilação do código-fonte, ou seja, pode-se, teoricamente,
incluir outras coisas nesse processo se você tem acesso ao programa compilador e se ele é fechado.
Asseguram tratar-se de um sistema comercial, sem possibilidade de ‘‘traquinagem’’.
Mas a possibilidade técnica existe. E pior do que isso é a pergunta: quem garante que o código
que está sendo compilado é o mesmo que está sendo mostrado?
O TSE assegura: é o mesmo.
Mas o código que está compilando isso é conhecido, é aberto?
As bibliotecas podem ser auditadas?
Num programa de código fechado, não há como comprovar isso.
Em outras palavras, você tem de confiar na idoneidade do código fechado."
Para ele, a vinculação do voto seria uma situação plausível, uma vez que o microterminal está ligado
à urna e faz parte do hardware. Desse modo, como os títulos são carregados na própria urna,
admitir-se-ia a possibilidade de inserção de um código secundário que ligasse título a voto.
- "Garante-se que não há nada no programa que faça essa relação, e nem que faça um ‘‘log’’
dizendo a ordem dos votantes e a ordem dos votos - observa. -
Mas, com um código fechado, novamente você não pode assegurar isso.
Caímos no problema da geração que descrevi anteriormente."
Já o juiz Arthur Narciso considera que a digitação do título no microterminal é em si um
mecanismo de segurança:
- "Se desvincularmos o microterminal da urna nesse aspecto, impedindo que a digitação
do título seja o código de liberação dela, não teremos mais controle.
A digitação é um mecanismo de defesa."
Outro ponto delicado da discussão diz respeito à confirmação impressa do voto para o eleitor,
que não existe na urna atual. O projeto do senador Requião prevê a implementação
desse sistema, mas a Justiça eleitoral aponta o custo como seu principal inconveniente:
- "Nas eleições de 96, as urnas eletrônicas imprimiam o voto, que era depositado pela
própria urna eletrônica numa urna plástica a ela acoplada - lembra Narciso. -
Mas esse processo causou defeitos e interrupções de operação nas urnas eletrônicas.
Assim, ele foi mudado, inclusive em função da chegada de tecnologias mais adequadas
para o armazenamento de informações, como o flash card. Agora, se o projeto da
confirmação impressa for aprovado, vai gerar a necessidade de adaptação de mais de
350 mil urnas, o que é oneroso. Eu pergunto: vale a pena? Afinal, o grande objetivo dessa
modificação é implantar um mecanismo de defesa contra um possível desvio de votos
por parte do programa. Só que o sistema atual tem seus mecanismos de defesa, como já disse."
Os que criticam o sistema não estão tão certos. Ricardo Sovat é um deles:
- "Não é possível para o eleitor certificar-se de que a máquina atribuiu o voto de acordo
com seu desejo. Se fosse acoplada uma impressão do voto, sem contato manual pelo eleitor,
apenas para verificação visual, seria possível uma auditoria posterior em caso de dúvida."
Críticas atingem também o disquete criptografado que serve de ponte entre a urna e a
junta eleitoral onde se dará a totalização. Desenvolvida pelo Cepesc
(Centro de Pesquisas em Segurança das Comunicações), ligado à Abin
(Agência Brasileira de Informações), a criptografia não teria sido aberta pelo TSE, segundo Brunazo.
O Secretário de Informática do Tribunal nega isso, dizendo que ela esteve à disposição dos partidos,
e que a encriptação se dá após a emissão dos boletins de urna (entregues aos fiscais dos partidos),
não afetando a votação.
- "A criptografia funciona apenas como um carro-forte para transporte dos dados"
- diz Camarão.
Para Vidal, um processo eleitoral automatizado teria de ser auditado por pelo menos um mês
(a lei prevê cerca de uma semana). E envolveria também a análise de todo o hardware, circuito a circuito:
- "A auditoria começaria com tudo aberto: software e hardware, com a verificação dos circuitos,
inclusive em nível de BIOS do hardware. Seria examinado também o sistema operacional
como um todo. Existem dispositivos que se pode espetar nos circuitos para auto-autenticá-los,
como se faz com o software. Então, você autenticaria ponto a ponto, diante da comunidade,
uma máquina-mestra e, a partir dela, geraria uma assinatura digital que serviria para testar e
autenticar qualquer outra máquina, o que seria muito difícil de fraudar.
A mesma coisa seria feita com todos os programas: BIOS, SO, aplicativos, programas do TSE.
Dessa forma, teríamos um processo totalmente transparente."
Voltar ao início do texto
Voltar ao Jornal do Voto Eletrônico
|