Um grupo da Universidade de Brasília (UnB) conseguiu quebrar a segurança da urna eletrônica.

23 de março de 2012 às 15:07

Amilcar Brunazo Filho: “Ridícula a tentativa do TSE de minimizar descoberta da UnB”

por Conceição Lemes

Nessa quinta-feira, 22, o repórter Luís Osvaldo Grossmann,do site Convergência Digital, revelou:

Um grupo da Universidade de Brasília (UnB) conseguiu quebrar a segurança da urna eletrônica, nos testes promovidos esta semana pelo Tribunal Superior Eleitoral (TSE). Eles conseguiram recuperar a sequência dos votos, o que, ao menos em tese, permite violar o sigilo das opções de cada eleitor.

“Conseguimos recuperar 474 de 475 votos de uma eleição na ordem em que foram inseridos na urna”, revela o coordenador do grupo, Diego Freitas Aranha, professor  de Ciência da Computação da UnB, que fez doutorado em criptografia pela Universidade de Campinas (Unicamp).

Originalmente o plano de teste previa a recuperação de 20 votos, mas o próprio TSE desafiou o grupo a resgatar 82% dos votos de uma fictícia sessão eleitoral com 580 inscritos – percentual que equivale à média de comparecimento nas eleições brasileiras.

A exemplo das edições anteriores dos testes, o tempo limitado de acesso à urna eletrônica – três dias, entre 20 e 22/3 – impediu avanços ainda mais significativos na quebra da segurança do sistema eletrônico de votação.

O TSE minimizou o êxito do grupo coordenado por Diego Aranha, professor Adjunto do Departamento de Ciência da Computação da UnB, do qual fazem parte André de Miranda, Marcelo Monte Karam e Felipe Brant Sacarel,todos técnicos servidores do Centro de Informática (CPD) da universidade.

O secretário de TI do TSE, Guizeppe Janino, disse que a reordenação  de votos, que o professor Diego Aranha demonstrou ser possível, não teria quebrado o sigilo do voto porque não teria apresentado o nome dos eleitores.

Em entrevista a O Globo, o ministro Ricardo Lewandowski, presidente do TSE, afirmou:

… não houve violação da urna eletrônica durante o teste, porque os especialistas tiveram acesso a um código…

… “Foi dentro de um ambiente controlado. Isto numa situação real seria absolutamente impossível porque ele não teria acesso à fonte”

…O eleitor pode ficar tranquilo que não é uma quebra, porque esta não era uma situação real e não há como vincular a sequência de votação ao eleitor”, disse o ministro.

“Ridícula a tentativa do TSE de minimizar a descoberta do professor Diego”, adverte o engenheiro Amílcar Brunazo Filho. “Tentando desconversar, o TSE utilizou argumentos grotescos e até ilógicos. Fizeram isso, para esconder a própria incompetência.”

Há anos Amilcar Brunazo Filho denuncia a vulnerabilidade das urnas eletrônicas brasileiras. Formado em Engenharia na Escola Politécnica da USP, ele foi pesquisador do Laboratório de Sub-sistemas Integráveis (LSI), onde estudou Criptografia e Inteligência Artificial. Especialista em segurança de dados, é moderador do Fórum do Voto Eletrônico.  Daí esta nossa entrevista.

Viomundo — O senhor sempre foi um crítico da urna eletrônica brasileira. Alertou inclusive que ela não era à prova de fraude. O que significa o feito do professor Diego Aranha?

Amilcar Brunazo — As urnas eletrônicas têm de atender a dois requisitos essenciais:

1) Princípio da publicidade: poder demonstrar que o resultado eleitoral foi correto.
Isso significa que o conteúdo do voto tem de ser público e conferível pelo eleitor no local de votação e pelo fiscal de partido durante a apuração.

2) Princípio do sigilo do voto: não possibilitar a identificação do autor do voto. É fundamental para se evitar a coação de eleitores, que é uma fraude com poder muito forte de distorcer o resultado eleitoral.

A urna eletrônica brasileira nunca atendeu corretamente ao requisito de transparência (publicidade). Por exemplo, o nosso eleitor não pode ver o conteúdo do Registro Digital do seu voto (o eleitor argentino e o alemão podem).

Até agora, acreditava-se que a urna preenchia o requisito do sigilo do voto.

Por lei (art. 59 da lei 9.504), cada voto confirmado pelo eleitor é gravado num arquivo chamado Registro Digital do Voto (RDV); é de forma embaralhada para que não pudesse ser usado para identificar a ordem de votação.

Aliás, vale lembrar aqui que um dos requisitos na antiga lei do voto manual (Inc IV do art. 103 do Código Eleitoral) já exigia que a urna de lona fosse suficientemente larga para embaralhar os registros (cédulas) do voto.

Pois bem, o professor Diego conseguiu desembaralhar o arquivo RDV. Com isso, provou que as urnas não garantem o sigilo do voto: uma vez ordenados os registros dos votos, há muitas formas de se coagir eleitores por identificação do voto de cada um.

Viomundo — Daria para trocar em miúdos o que o professor Diego conseguiu?

Amilcar Brunazo — Ele pegou o arquivo do RDV de uma urna eletrônica — um dado público que, por lei, é disponibilizado aos partidos depois da eleição — e desembaralhou os votos, colocando-os na mesma ordem em que foram votados.

Assim, basta aos fraudadores (que queiram coagir eleitores) anotar a ordem de votação dos eleitores e eles poderão identificar o voto de cada eleitor.

Existem outras formas de coação dos eleitores a partir de uma lista ordenada dos votos, como  anotar a hora do voto de um dado eleitor (e depois co-relacionar com a hora nos arquivos de log que também são públicos),  o voto marcado (usa um voto cheio de zeros para marcar o início da sequência de votos de eleitores coagidos) e o  voto de cabresto pós-moderno (se vale da correlação entre candidatos peculiares, como descrito pelo professor Jorge Stolfi, da Unicamp).

Viomundo –  O TSE minimizou a importância do feito?

 

Amilcar Brunazo –  Com certeza, numa reação de auto-defesa, o TSE tentou atenuar a desconfiança gerada pela descoberta do professor Diego.

Viomundo – Por que o TSE fez isso?

Amilcar Brunazo — Para esconder a própria incompetência, já que sempre divulgaram que o RDV era embaralhado e garantia o sigilo do voto.

Aliás, quem apareceu, primeiro, dando desculpas pelo TSE  foi o secretário de TI, que é exatamente o responsável pelo projeto e operação das urnas. Ou seja, é aquele que deveria propiciar as garantias e não o fez.

Portanto, ridícula essa tentativa do TSE de minimizar a descoberta do grupo da UnB. Para tentar desconversar, o TSE utilizou argumentos grotescos e até ilógicos. Disse que “conseguiu-se refazer o sequenciamento dos votos apresentados pelo Registro Digital do Voto (RDV), sem contudo quebrar o sigilo do voto“.

Tentaram, assim, induzir à ideia de que desembaralhar os registros do voto não seria importante.

Mas por que, então, o embaralhamento era a exigência legal nos tempos do voto manual e também é praticado pelo TSE no voto eletrônico?

Eles insistem:  “sem contudo quebrar o sigilo do voto”.

Mas, numa fraude real (em campo), isso é feito pelas várias alternativas (citadas acima). Essas formas, que completam a fraude, independem da urna eletrônica e não têm como serem impedidas por ela.

Uma vez quebrada a defesa da urna, quer dizer, uma vez desembaralhado os votos, o restante da fraude ocorre fora dela e sem que ela possa mais defender.

Viomundo – O presidente do TSE, ministro Ricardo Lewandowski, disse que “…isto numa situação real seria absolutamente impossível porque ele não teria acesso à fonte”;  “O eleitor pode ficar tranquilo que não é uma quebra, porque esta não era uma situação real e não há como vincular a sequência de votação ao eleitor”.

 

Amilcar Brunazo –  Acho que lhe ocorreu um lapso de memória. Nos seis meses que antecedem as eleições regulares, é obrigatória por lei (art. 66 da Lei 9.504) a apresentação do código-fonte para o Ministério Público,  OAB, partidos e demais interessados. Eu mesmo sempre tive acesso a esses códigos em todas as eleições desde 2000.

Repare como, convenientemente, ele desconsiderou que, em situação real,  toda esse gente (MP, OAB e partidos) e mais os funcionários de TI do TSE, da empresa de segurança (Módulo) e outros assessores contratados têm acesso ao código-fonte das urnas.

O que o professor Diego demonstrou, de fato, é que todo esse pessoal – que não é pouca gente – que tem acesso ao código-fonte das urnas, pode quebrar o sigilo do voto para, eventualmente, usar na coação de eleitores… E nós, da sociedade civil, não temos nenhuma outra defesa contra eles.

Se todos eles forem sempre honestos, tudo bem. Se algum deles for corruptível…..

Viomundo – O TSE continua insistindo que o sigilo não foi quebrado…

Amilcar Brunazo —  É óbvio que o sigilo foi quebrado durante os testes que simulavam o ambiente real.  Repito. O embaralhamento dos votos é um requisito legal e essencial para garantir o sigilo do voto que já existia antes mesmo das urnas eletrônicas e do RDV, como estabelecido pelo art. 103 do Código Eleitoral, que  diz:

” Art. 103. O sigilo do voto é assegurado mediante as seguintes providências: …
IV ­   emprego de urna que assegure a inviolabilidade do sufrágio e seja suficientemente ampla para que não se acumulem as cédulas na ordem que forem introduzidas”

e o art. 220 do mesmo CE diz que:

” Art. 220. É nula a votação:
IV ­    quando preterida formalidade essencial do sigilo dos sufrágios. “

Inequivocamente, o professor Diego demonstrou em testes que simulavam o ambiente real (como está dito no edital dos testes) que a urna eletrônica não assegura a inviolabilidade do sufrágio, já que, para quem conhece o código do software das urnas (como os funcionários de TI do TSE), é possível achar a ordem em que os registros dos votos (RDV) foram introduzidos.

Conclusão: deveriam ser nulas as eleições com urnas eletrônicas que não garantissem o embaralhamento dos votos.

Viomundo – Isso significa que eleições podem ser anuladas?

Amilcar Brunazo –  Nenhuma eleição será anulada por isso, porque o administrador eleitoral — que não soube fazer uma urna que garantisse o embaralhamento dos votos — e os juízes – que irão julgar se as urnas estão contra a lei — são exatamente as mesmas pessoas. Logo, nunca vão condenar a si próprios.

A nota oficial do TSE, dizendo que o desembaralhamento dos votos não quebrou o sigilo do voto, é uma mostra que eles são perfeitamente capazes de “reinterpretar a lei”, quando for necessário para esconder os próprios erros e incompetência administrativa.

Viomundo – E, agora?

Amilcar Brunazo — O TSE vai mudar o software para contornar esse tipo específico de ataque, mas isso não significa que o sistema ficou invulnerável.

Nunca foi nem nunca será invulnerável enquanto não for atendido o princípio da publicidade em sistemas eleitorais, como é exigido pelo Tribunal Constitucional da Alemanha.

O próprio professor Diego disse que se tivesse mais tempo e melhor ambiente de trabalho, ainda haveria possibilidade de se demonstrar outras vulnerabilidades.

Todo esse imbroglio só é mais uma demonstração de como é nocivo o acúmulo de poderes da autoridade eleitoral brasileira. Mas, dessa evidência de inconstitucionalidade os jornalões não falam, a OAB não reclama e o rebanho de brasileiros nem chega a compreender.

No fim, dá sempre nisso. A única garantia que o TSE oferece ao eleitor comum é que nós todos somos sempre muito honestos. Tipo la garantia soy yo.

Leia também:

Anúncios

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s