Entrevista: especialista questiona segurança do voto eletrônico

Por Redação do IDG Now!

São Paulo - Engenheiro do PDT e autor de livro sobre fraudes nas eleições eletrônicas, Amilcar Brunazo, critica processo de segurança praticado pelo TSE. A segurança do processo eleitoral eletrônico é tema de estudos do engenheiro Amilcar Brunazo, desde 1996, quando foi contratado pelo PDT como técnico especializado na avaliação da urna eletrônica brasileira.

Em entrevista ao IDG Now!, Amilcar, que também é autor do livro "Fraudes e Defesas no Voto Eletrônico" e possui um site sobre o voto seguro afirma que a possibilidade de fraudes nas eleições eletrônicas vai além da urna e critica o processo de auditoria de segurança do TSE (Tribunal Superior Eleitoral).

A impressão do voto eletrônico pode eliminar possibilidades de fraudes levantadas no processo eleitoral?

O processo eleitoral eletrônico tem várias etapas: começa no cadastro eleitoral, passa para a votação, depois para a apuração e depois para a totalização. Qualquer uma dessas etapas pode ser atacada. Então, o problema vai além da urna eletrônica. Por exemplo, o ex-presidente do TSE (Tribunal Superior Eleitoral), Carlos Velloso, declarou recentemente que o cadastro eleitoral tem eleitores fantasmas. São títulos eleitorais que estão nas mãos de alguém e qualquer pessoa pode usar esses títulos para votar mais de uma vez.

Com a biometria, que será usada nas urnas eletrônicas, isso seria eliminado?

As 25 mil urnas com dispositivos de biometria compradas este ano ainda não serão usadas nestas eleições, porque é preciso fazer um cadastro das impressões digitais anteriormente. Mas a tecnologia não resolve totalmente este problema porque um título eleitoral fantasma permite a criação de, por exemplo, dez títulos para uma mesma pessoa. Um jeito muito mais fácil e barato de eliminar o problema, que já foi usado no Brasil em eleições em papel e é aplicado em outros países para evitar os eleitores fantasmas, é pintar o dedo do usuário com uma tinta especial. Essa tinta ficaria na pele por mais de 24 horas impedindo que a pessoa votasse novamente. Não é alta tecnologia, mas funciona.

O processo de Sala de Apresentação de auditoria das urnas eletrônicas é suficiente para garantir a segurança do processo de voto eletrônico?

É absolutamente inútil, não é só insuficiente. No processo realizado de abril a setembro deste ano, a OAB (Ordem dos Advogados do Brasil) e o Ministério Público Federal não compareceram. Dos partidos compareceram três [PDT, PT e PV] e o processo [de Sala de Apresentação] não permite que seja acompanhado o desenvolvimento porque não são apresentados todos os sistemas.

Quais sistemas são apresentados?

Este ano fiz petições em junho, julho e agosto pedindo para o TSE mostrar os sistemas operacionais que são colocados nas urnas. Hoje existem três sistemas - VirtuOS, Windows CE 4.0 e Windows CE 4.2. Solicitei que estes três sistemas fossem apresentados para análise em junho e só apresentaram o Windows CE 4.2 uma semana antes do encerramento da apresentação em setembro. Outra dificuldade é que, na Sala de Apresentação, as dúvidas dos técnicos não são solucionadas na hora. É preciso enviar uma petição com a dúvida e, às vezes, isso leva meses para ser respondido.

Em que momento o processo eleitoral eletrônico pode sofre maior risco?

Existem duas maneiras de atacá-lo. Uma delas envolveria o pessoal encarregado da transmissão de informações. Outra se daria no momento em que são transmitidos em flash cards os programas dos cartórios para as urnas eletrônicas [processo de 'inseminação da urna']. Neste momento, o flash card que contém as informações é muito vulnerável por serem fáceis de duplicar, adulterar e não serem lacrados.

Mas quem fica responsável pelo manuseio destes flash cards não são funcionários do TSE?

Nem sempre são funcionários do TSE. Como aumenta muito a carga de trabalho na preparação das urnas, neste período, eles contratam 13 mil funcionários terceirizados que trabalham de agosto a outubro. São funcionários que recebem em torno de 400 reais por mês e podem estar muito vulneráveis à corrupção. Isso é muito perigoso.

Qual seria o modelo ideal de segurança para o voto eletrônico?

Lembrando que o problema é maior do que a urna eletrônica, neste ponto do processo, o ideal é a urna eletrônica real, que é aquela que emite um comprovante materializado do voto, que o eleitor possa conferir e que depois seja usada para fazer uma conferência da apuração eletrônica. A rapidez do processo continua, mas haveria a possibilidade de conferir o voto. Esse tipo de urna foi usada nas duas últimas eleições na Venezuela e é a urna que está se tornando obrigatória nos Estados Unidos, em mais da metade dos Estados.

Existe algum processo eleitoral 100% seguro?

O processo eleitoral depende sempre de pessoas. Costumo dizer que é necessária a participação de três tipos de pessoas para que ocorram fraudes: candidatos corruptos, que queiram atacar o sistema; funcionários corruptos, que aceitem serem comprados para facilitar ou bloquear acessos ao sistema; e fiscais despreparados, que não percebam as fraudes que estejam ocorrendo. A única chance de os partidos diminuirem isso é termos condições de fiscalização mais adequadas, preparando fiscais.

É possível que o eleitor vote em um candidato e que a urna registre outro? Como isso ocorre?

Tecnicamente é possível. Para fazer isso é necessário adulterar o programa original que está na urna. Isso pode ser feito em dois locais: dentro da Justiça Eleitoral ou no momento em que as urnas são carregadas nos cartórios eleitorais. De acordo com um recente teste feito pela Universidade de Princenton, nos Estados Unidos, é possível adulterar o software com um códido malicioso e ainda contaminar urna por urna cada vez que ela for carregada.

Qual a importância da realização de testes de segurança das urnas como foi feito pela Universidade Princenton em setembro deste ano?

Estes testes devem ser feitos por pessoas capacitadas a atacar os sistemas de urnas eletrônicas. É mais do que sabido que em o nosso complexo sistema eleitoral - com mais de 50 mil arquivos - é natural que sobrem falhas de segurança que o projetista não consegue identificar. Os ataques de penetração têm esse objetivo. No teste feito em Princenton foi usada uma urna e-virtual - mesma categoria das urnas brasileiras - mas um pouco mais moderna do que a nossa, por ser um modelo com teclado touch screen. Os sistemas de segurança e qualidade são equivalentes.

Este foi o primeiro teste de penetração de urnas eletrônicas?

Não. Já houve um teste de penetração não-oficial realizado no Paraguai com urnas eletrônicas brasileiras usadas nas eleições de fevereiro de 2006 mostrarando que era possível adulterar o software. Em maio, foi realizado o "Relatório Hursti" também com urnas da Diebold, nos Estados Unidos, por uma empresa especializada chamada Black Box Voting. Isso tudo mostra a importância destes testes. Aqui no Brasil os projetistas insistem que o sistema é seguro, mas não permitem que este tipo de teste seja feito. Este ano, foi feito um novo pedido conjunto pelo PT e o PDT de realização de um teste de penetração, no início de junho, e até agora o processo está parado no TSE. A idéia é que a Justiça Eleitoral tenha tempo de corrigir os testes antes das eleições.

O TSE informou ter investido 200 milhões de reais na segurança do processo eleitoral eletrônico. De quanto seria o investimento ideal?

Os 200 milhões de reais que eles dizem que aplicaram foram dedicados exclusivamente em defesa da Justiça Eleitoral contra invasões externas, para proteger os códigos, desenvolver criptografias etc.

Esse é um modelo de segurança equivocado porque quem tem de ser protegido no processo eleitoral é o eleitor em primeiro lugar. Os outros agentes, que são os partidos, os fiscais e a própria Justiça Eleitoral também têm de ter suas cotas de proteção, mas a Justiça Eleitoral gasta milhões de reais e não permite a realização dos testes nas urnas, que garantem a transparência ao processo, por exemplo. Nesse instante o interesse dela não coincide com o interesse do eleitor.

Um exemplo marcante é o da OAB. Ela tem direito de fiscalizar os programas e em 2004 tentou fazer isso, mas chegou à conclusão que não era possível. Este ano, [a entidade] ficou de fora do processo por não ter dinheiro para verificar a carga de 400 mil urnas. A Justiça Federal não ajuda outras entidades a fazerem a fiscalização externa, que faz parte do processo de segurança das eleições como um todo.

Do jeito que estão aplicados, digo que os 200 milhões de reais não são suficientes porque está faltando investir na segurança fora [do ambiente] da Justiça Eleitoral. Ela gasta esse valor é dedicado à proteção dela, mas se alguém lá de dentro resolver fraudar o sistema não será alcançado pelos fiscais [dos partidos].

Para fazer a verificação da assinatura digital, por exemplo, é preciso de equipamentos e treinamento. Tudo isso poderia ser feito. Em relação aos programas de computador da urna, por exemplo, o TSE insiste que são mostrados, mas nem os partidos nem a OAB têm condições de passar seis meses analisando esses programas. O TSE poderia pagar os custos de uma auditoria externa independente.

Existe a possibilidade de termos eleições com urnas com impressão dos votos futuramente?

Acho que em longo prazo sim, mas aqui no Brasil como o processo errado foi iniciado, acho que vamos acabar ficando na rabeira do mundo.

O eleitor brasileiro está muito satisfeito com a eleição eletrônica. O resultado da eleição sai em seis horas, o brasileiro fica feliz da vida achando que tem o sistema mais moderno do mundo, mas este não é o mais moderno, é o mais rápido.

Acho que a rapidez é uma característica desejável. É bom que a apuração do sistema eleitoral seja rápida, mas a confiabilidade é uma característica necessária. Talvez somente se acontecer alguma fraude que apareça para o público, ocorram mudanças.