Eleições Eletrônicas na Unicamp
Em maio de 2003, foram realizadas na Unicamp eleições internas para o Conselho Universitário (CONSU), o órgão colegiado máximo da universidade. A votação para o CONSU dura dois dias. Em várias unidades, incluindo o Instituto de Computação (IC), foi usada votação eletrônica via Internet. O equipamento usado foi um PC comum, rodando sistema operacional Windows; o software usado foi um browser padrão (IE ou Netscape). O eleitor indicava seus votos num formulário eletrônico, que era enviado na hora ao Centro de Computação (CCUEC), onde os votos foram tabulados. Nesta ocasião no IC, foi utilizada uma máquina que normalmente é a estação de trabalho de um funcionário administrativo. A máquina foi instalada num canto da secretaria de alunos do nosso Instituto. Um secretário ficou encarregado de identificar e anotar os votantes, e iniciar o acesso à página de votos; cada docente digitava sua senha (previamente distribuida pelo CCUEC, por formulário-envelope) e escolhia os candidatos num formulário HTML. O sistema todo foi aparentemente desenvolvido, implantado e gerenciado por técnicos do próprio CCUEC. Este é um órgão da administração central da Unicamp, encarregado de serviços gerais de informática como folha de pagamento, operação da rede universitária, apoio a unidades etc. O CCUEC é subordinado à Reitoria, e seu diretor é nomeado pelo Reitor. Tanto o diretor atual quanto o anterior são docentes do IC, mas não sei dizer se eles, ou outras pessoas externas ao CCUEC, participaram do desenvolvimento do sistema em questão. A única fonte de informação pública que consegui obter sobre esse sistema é o próprio regulamento da eleição[1]. O regulamento especifica que as transações sejam logadas na servidora, e que os logs sejam protegidos por senhas tríplices. O regimento tambem permite que eleitores individuais que não quiserem ou não conseguirem usar o sistema eletronico depositem sues votos em papel numa urna central, na Reitoria. Esta foi a segunda vez que a votação para o CONSU foi realizada de forma eletrônica. Na eleição anterior, em 2001, eu não dei muita importância ao fato: a controvérsia sobre a segurança da urna do TSE ainda não tinha explodido, e pensei que a eleição do CONSU via Internet era apenas uma experiência que seria oportunamente availada e discutida. Porém, infelizmente, a votação eletrônica acabou sendo instituída em caráter permanente pelo próprio CONSU, sem nenhum debate público. Na verdade, o regulamento do CONSU permite que cada faculdade/instituto opte entre o método eletrônico ou tradicional; mas, no nosso caso, a escolha foi feita (pelo Diretor?) sem consultar ninguém. Deve-se observar que, tanto nesta votação quanto na anterior, havia docentes do IC entre os candidatos ao Conselho. Desta vez, estando eu mais sensibilizado para os perigos da votação e eltrônica, recusei-me a depositar o voto no sistema, e registrei meu protesto por escrito ao representante local da comissão eleitoral. Uma vez que a votação era obrigatória para docentes e funcionários, enviei uma carta de justificativa (ao Reitor, conforme especifica o regulamento). A título de informação para a comunidade, transcrevo abaixo a parte técnica da mesma.Referências
[1] Resolução CONSU-Unicamp ???/??? [No momento o site WWW da Unicamp está fora do ar, de modo que não posso fornecer o apontador para o texto. Por favor confira esta página novamente daqui a alguns dias.] Ao Prof. Dr. Carlos H. B. Cruz Magnífico Reitor da Universidade Estadual de Campinas Ref. Votação para o CONSU - Justificativa. Prezado Senhor Reitor, Apresento aqui minha justificativa por não ter votado na última eleição para representantes docentes junto ao CONSU, e portanto solicito que não me sejam aplicadas quaisquer penalidades regimentais que sejam decorrentes desse fato. Conforme acredito tenha sido registrado na ata da eleição, eu compareci ao local de votação no dia 08/maio, mas recusei-me a submeter meu voto pelo sistema disponivel para esse fim. Nessa ocasião, entreguei ao representante da Comissão local, Prof. Dr. Rodolfo Azevedo, uma declaração explicando o motivo da minha recusa (cópia em anexo). Minha recusa foi motivada pela constatação de que o sistema de votação utilizado não oferecia garantias mínimas de que os votos não seriam adulterados, nem de que o sigilo dos votos seria respeitado. Na verdade, o sistema não permite nem a fiscalização efetiva do processo de votação por terceiros, nem a recontagem independente dos votos. Em primeiro lugar, houve falhas técnicas na condução da votação no IC que poderiam ter permitido a pessoas estranhas ao processo manipulassem os votos e/ou obtivessem o registro dos votos lançados. Entre outros problemas, na noite entre os dois dias de votação, o PC usado para submissão dos votos permaneceu na sala da secretaria de cursos. Há pelo menos meia dúzia de docentes e funcionários que possuem cópias da chave dessa sala, e outras cópias estão acessíveis a estagiários e faxineiros. Nessa noite (e/ou possivelmente em outros horários) não seria difícil para um intruso substituir o browser da máquina, usado para votação, por uma versão adulterada que modificaria e/ou registraria os votos lançados, antes de criptografá-los e enviá-los à servidora central. Tal browser poderia automaticamente apagar o código adulterado ao fim do processo, escapando assim de eventuais auditorias posteriores. Obviamente seria impossível detectar tal tipo de fraude examinando-se os logs da servidora. Para citar mais um dentre vários outros problemas, a conexão entre o PC e a rede da Unicamp utilizava em parte a rede do IC, passando por vários cabos de difícil inspeção, e uma ou mais máquinas roteadoras situadas numa sala de servidoras, à qual várias pessoas têm acesso. Nesse caminho haveria várias oportunidades para desviar a conexão através de uma máquina maliciosa, que poderia facilmente enganar tanto a servidora do CCUEC quanto o PC de votação. Vale ressaltar que ataques como os descritos acima --- e de muitos outros tipos --- não são meras hipóteses remotas. Eles estão plenamente dentro da capacidade técnica de muitos hackers, e são na verdade muito comuns. A experiência cotidiana dos administradores de sistemas mostra que é muito mais fácil invadir um sistema do que protegê-lo contra invasões. Vale notar também que, durante os feriados da última Semana Santa, foi furtado um laptop do escritório dos analistas do IC, que estava supostamente trancado e vigiado; e que, num fichário nessa mesma sala, há uma pasta contendo as senhas de administração de todas as máquinas do IC. Essas falhas técnicas --- que, provavelmente, se repetiram em outras unidades --- já seriam suficientes para caracterizar o sistema como extremamente inseguro. Mas o problema mais sério é que nenhum sistema eletrônico de votação pode oferecer proteção séria contra ataques dos implementadores e operadores do sistema. Estes sempre terão amplas oportunidades para manipular os resultados e/ou quebrar o sigilo dos votos, com risco mínimo de serem detectados, no ato ou poseriormente. Infelizmente, a história mostra que são justamente os operadores do sistema (e seus superiores) os que têm mais motivação, tempo, e recursos para cometer fraudes. Este fato foi demonstrado contundentemente pela quebra do sigilo numa recente votação do Senado, que só foi descoberta porque um dos envolvidos decidiu revelar o feito. A lição deveria ter sido clara: contra uma ordem ``de cima'', não há criptografia ou senhas que resistam. Este defeito não é uma característica do projeto do sistema da Unicamp em particular: ele é um problema inerente à natureza dos computadores e dispositivos digitais. Esta conclusão não é apenas uma opinião técnica informada, nem apenas um fato comprovado por inúmeros exemplos. Trata-se de um teorema matemático, bem conhecido de todos os especialistas do assunto, e registrado em artigos e relatórios técnicos publicados e circulados internacionalmente. Num sistema em que o voto é registrado apenas eletronicamente, não é humanamente possível impedir ou detectar, com um mínimo de confiança, a adulteração dos resultados. Num sistema em que os votos são submetidos individualmente a um computador, não é humanamente possível detectar ou impedir quebra do sigilo. Vale notar ainda que um sistema eletrônico de votação é (literalmente) milhões de vezes mais complexo do que o sistema tradicional. Qualquer fraude neste último exige a presença e intervenção física do fraudador, no curto intervalo entre o início da votação e o fim da apuração; e uma fraude significativa exigiria a manipulação de um grande número de urnas e votos, que deixaria vestígios materiais e poderia ser detectada por qualquer mesário ou fiscal. Em contraste, numa votação eletrônica é possível armar uma fraude com meses de antecedência, para ser executada automaticamente, sem a intervenção física ou virtual do fraudador; a deteção de fraudes eletrônicas, mesmo das mais grosseiras, exige muito mais informações, conhecimentos técnicos e tempo do que dispõem a maioria dos fiscais, mesários e candidatos; e um único fraudador pode realizar em instantes alterações arbitrárias nos resultados, sem deixar vestígios. Em suma, enquanto que no sitema tradicional a probabilidade e a severidade de fraudes são comparáveis às de outros riscos socialmente aceitos, num sistema eletrônico é impossível até mesmo estimar a magnitude do risco de fraude. Houve fraude nesta eleição, ou na anterior? Eu não sei, e não tenho como saber; mas o pior é que o mesmo vale, não só para os eleitores e candidatos, mas inclusive para os implementadores e operadores do sistema. A confiança no resultado de uma votação eletrônica é um exercício de fé cega, sem base experimental ou racional. É importante observar que, mesmo que não haja fraude, a mera desconfiança do eleitor de que o sigilo de voto poderia ser violado já é suficiente para coagir os eleitores e viciar irremediavelmente a votação. É por essa razão que uma das propriedades fundamentais que devem ser satisfeitas por qualquer sistema de votação é a transparência completa do processo, não só para os especialistas que gerenciam o sistema mas para todo eleitor leigo. Se eu depositasse meu voto nesse sistema, com todas suas falhas incidentais e fundamentais, eu estaria em primeiro lugar fechando os olhos à possibilidade de fraudes virtualmente indetectáveis na eleição do CONSU, e às conseqüências que isso poderia ter para a Universidade. Mas, o que seria pior, eu estaria manifestando implicitamente minha aprovação, ou no mínimo aceitação, do conceito de voto eletrônico. Ora, como professor titular desta universidade pública e especialista em computação, eu tenho uma obrigação de alertar a comunidade sobre perigos advindos de mau uso da tecnologia de informática, e de me posicionar claramente contra os mesmos -- no caso, a tentativa de instalar na Universidade um sistema de votação eletrônica que é inerentemente e extremamente inseguro. Considerei que minha responsabilidade profissional, se não a ética mais elementar, me impedia de compactuar com esse infeliz projeto, mesmo que apenas lançando meu voto pelo sistema. Noto aliás que a possibilidade de lançar meu voto pelo meio tradicional é um paliativo inócuo --- pois, obviamente, de nada adianta que meu voto seja contado corretamente, se os demais votos para meus candidatos puderem ser arbitrariamente alterados. Além disso, se apenas um ou dois votos forem depositados por esse meio, os apuradores poderão, com grande probabilidade, determinar os meus votos. [...] Sinceramente, Jorge Stolfi Prof. Titular - 24633-6 IC - Unicamp