PL 1503/03 - Urna eletronica - ALARME
From: Jorge Stolfi To: [... docentes do IC e outros ...] Date: Sat, 27 Sep 2003 03:07:51 -0300 (EST) Car*s, Como vocês talvez tenham lido nos jornais e na rede, há um projeto de lei em andamento no Senado* (PL 1503/03), que visa revogar a obrigatoriedade de impressão do voto nas urnas eletrônicas (medida essa que tinha sido aprovada anteriormente pelo Senado). O projeto tambem elimina boa parte dos poucos meios atuais de fiscalização independente do software e hardware da urna, e introduz mudanças no sistema que aumentam ainda mais o risco de violação de sigilo de voto: http://www.votoseguro.com/alertaprofessores/bottom.html http://www.votoseguro.com/alertaprofessores/adesao.html http://www.ic.unicamp.br/~stolfi/urna/AlertaPL1503/2003-09-18-DelPicchia.html O TSE tem exercido intensa pressão sobre o Senado no sentido de acelerar o trâmite dessa proposta, impedir que ela seja submetida a uma análise técnica independente, e convencer o Senado a aprová-la "por default" sem votação explícita no plenário. Se as notícias que recebi há pouco forem verdadeiras (e não tenho nenhum motivo para duvidar que sejam), os meios que estão sendo usados para isso são até mais preocupantes do que a insegurança da urna em si: http://www.ic.unicamp.br/~stolfi/urna/AlertaPL1503/2003-09-26-Brunazo.html A insegurança da nossa urna eletrônica não é uma opinião, nem um parecer técnico: é um fato elementar, facilmente reconhecido por qualquer pessoa que tome conhecimento dos dados básicos do sistema, confirmado por todas as publicações técnicas sobre o assunto --- e até formalizado em teoremas. http://www.spectrum.ieee.org/WEBONLY/publicfeature/oct02/evot.html http://www.ic.unicamp.br/~stolfi/urna/IMPORT/Report-CaltechMITresumo.pdf Não é preciso ser um especialista em astronáutica para saber que não dá para ir à Lua com uma espaçonave a hélice. Pois bem, as falhas de segurança da nossa urna eletrônica são desse nível, e igualmente fatais e inconsertáveis. Começa pelo erro crasso de projeto que é usar o mesmo computador para verificar a identidade do eleitor e registrar seu voto; e vai daí para baixo. (Vocês sabiam sobre a biblioteca secreta de criptografia da ABIN, inserida na urna, cujo código o TSE não pode examinar? Ou sobre o sistema operacional Windows, com modificações proprietárias do revendedor, que nem o TSE nem a ABIN podem examinar? Ou do programa que os fiscais usam para verificar o "checksum" do software da urna -- que é parte desse mesmo software? E assim por diante...) Somem-se a essas falhas fundamentais de segurança vários outros problemas técnicos e logísticos da urna -- confiabilidade, custo, dependência, velocidade de apuração e votação, etc. -- que, assim como a questão de segurança, nunca foram submetidos a uma avaliação crítica independente. Vale notar que os problemas de segurança da urna estão sendo apontados há anos, e nunca foram contestados. (Consta-me aliás que a SBC tentou uma vez montar um debate sobre a urna, mas desistiu porque não encontrou ninguém disposto a defendê-la em público.) Confiar numa votação eletrônica é confiar num banco que informa o saldo mas não dá extrato, não passa recibo de depósito, não mantém contabilidade e não permite auditorias; onde centenas de faxineiros tercerizados possuem cópias da chave do cofre, que tem porta de titânio coreano triplamente temperado mas fundo de papelão; e onde o próprio caixa que recebe os depósitos é quem recebe e julga as reclamações dos clientes, sem possibilidade de recurso. É até comprensível (mas não desculpável!) que os oficiais do governo que atrelaram sua fama e carreira a esse sistema, no qual o país já gastou mais de R$ 1 bilhão, prefiram fechar os ouvidos as críticas, e confiar cegamente nas garantias insubstanciadas de uns poucos "especialistas" e vendedores comprometidos com esse sistema. É compreensível também que o público leigo aceite sem questionar a afirmação categórica do TSE de que a urna é "100% segura". O que não é compreensível é a indiferença que esse assunto tem recebido da comunidade de cientistas e profissionais de computação --- especialmente nas universidades públicas, onde a preocupação com perigos sociais da informatização deveria ser entendida como uma obrigação primária do cargo. Infelizmente, nas pouquíssimas vezes em que tentei abordar esse assunto com colegas, a resposta não foi nem "Discordo", nem "Concordo", nem "Não sei", mas "E o Corínthians, hein?"... E vejam que o problema não é nem de longe tão complicado quanto quicksort nem tão polêmico quanto BASIC versus C. Supõe-se que todos nós computeiros sabemos como funciona um computador, e como é difícil verificar se um programa faz o que devia fazer. Todos nós no mínimo ouvimos falar de viruses, cavalos de tróia, buffer overflows, captura de senhas, programas que mentem e se auto-apagam, e interfaces falsificadas; e aprendemos que não há criptografia que proteja o usuário de uma máquina contra o administrador da mesma. Com alguns poucos cliques de mouse, qualquer um de nós pode se informar sobre o tamanho, origem e natureza do software que roda dentro da urna, sobre os procedimentos de distribuição e instalação desse software, sobre os métodos de testes usados pelo TSE e as limitações da fiscalização externa: http://www.votoseguro.org/ Finalmente, até leigos em informática deveriam ter tido seu ceticismo despertado pelo recente episódio da violação do sigilo do voto do Senado. Essa aula exemplar sobre segurança de sistemas deveria ter ensinado a todos, em primeiro lugar, que não há criptografia ou integridade profissional que resistam a uma ordem de cima; e, em segundo lugar, que uma fraude eleitoral eletrônica, ou violação de sigilo, provavelmente só será descoberta se o fraudador resolver se gabar da façanha. Bastam esses dados e fatos para entender porque é impossível garantir a integridade de qualquer sistema de votação totalmente eletrônico -- como é a nossa urna -- contra fraudes de dentro. E "dentro", neste caso, quer dizer algumas centenas ou milhares de funcionários e técnicos da ABIN, do TSE, e das empreiteiras envolvidas --- que têm inúmeras oportunidade de plantar código malicioso no software, à revelia dos fiscais e mesmo de seus próprios colegas. (Aliás, suponham que uma dessas pessoas venha a declarar que cometeu fraude maciça e generalizada na última eleição; por exemplo, por meio de uma rotina auto-limpante implantada no software da urna. Mesmo que essa pessoa forneça o código malicioso e todos os detalhes da operação, é bem possível que o TSE não tenha como determinar se o fato realmente ocorreu ou não!) Em suma, a questão é se queremos dar a essas pessoas -- não apenas às que estão aí hoje, mas também a todas as que vierem a ocupar esses postos no futuro -- a oportunidade de "corrigir" os resultados das eleições do país inteiro, com toda a facilidade e eficiência que a informática permite, e com risco mínimo de que a fraude venha a ser descoberta. Porque, no fundo, este é o único tipo de "segurança" que a atual urna eletrônica garante. Não estou pedindo que voces confiem na minha palavra, ou na de outros lunáticos anti-tecnologia como Ronald Rivest: http://theory.lcs.mit.edu/~rivest/Rivest-ElectronicVoting.pdf http://www.calvoter.org/votingtechnology.html http://www.notablesoftware.com/evote.html http://www.verifiedvoting.org/ Por favor informem-se, pensem, e, por favor, FORMEM UMA OPINIÃO. E notem que, se os poucos dom-quixotes que estão lutando contra ela em Brasília falharem, a PL 1503/03 pode vir a ser aprovada sem discussão nesta segunda-feira. --stolfi * Correção: no momento a PL 1503/03 está tramitando na Câmara e não mais no Senado.