por Conceição Lemes
Nessa quinta-feira, 22, o repórter Luís Osvaldo Grossmann,do site Convergência Digital, revelou:
Um grupo da Universidade de Brasília (UnB) conseguiu quebrar a segurança da urna eletrônica, nos testes promovidos esta semana pelo Tribunal Superior Eleitoral (TSE). Eles conseguiram recuperar a sequência dos votos, o que, ao menos em tese, permite violar o sigilo das opções de cada eleitor.
“Conseguimos recuperar 474 de 475 votos de uma eleição na ordem em que foram inseridos na urna”, revela o coordenador do grupo, Diego Freitas Aranha, professor de Ciência da Computação da UnB, que fez doutorado em criptografia pela Universidade de Campinas (Unicamp).
Originalmente o plano de teste previa a recuperação de 20 votos, mas o próprio TSE desafiou o grupo a resgatar 82% dos votos de uma fictícia sessão eleitoral com 580 inscritos – percentual que equivale à média de comparecimento nas eleições brasileiras.
A exemplo das edições anteriores dos testes, o tempo limitado de acesso à urna eletrônica – três dias, entre 20 e 22/3 – impediu avanços ainda mais significativos na quebra da segurança do sistema eletrônico de votação.
O TSE minimizou o êxito do grupo coordenado por Diego Aranha, professor Adjunto do Departamento de Ciência da Computação da UnB, do qual fazem parte André de Miranda, Marcelo Monte Karam e Felipe Brant Sacarel,todos técnicos servidores do Centro de Informática (CPD) da universidade.
O secretário de TI do TSE, Guizeppe Janino, disse que a reordenação de votos, que o professor Diego Aranha demonstrou ser possível, não teria quebrado o sigilo do voto porque não teria apresentado o nome dos eleitores.
Em entrevista a O Globo, o ministro Ricardo Lewandowski, presidente do TSE, afirmou:
… não houve violação da urna eletrônica durante o teste, porque os especialistas tiveram acesso a um código…
… “Foi dentro de um ambiente controlado. Isto numa situação real seria absolutamente impossível porque ele não teria acesso à fonte”
…O eleitor pode ficar tranquilo que não é uma quebra, porque esta não era uma situação real e não há como vincular a sequência de votação ao eleitor”, disse o ministro.
“Ridícula a tentativa do TSE de minimizar a descoberta do professor Diego”, adverte o engenheiro Amílcar Brunazo Filho. “Tentando desconversar, o TSE utilizou argumentos grotescos e até ilógicos. Fizeram isso, para esconder a própria incompetência.”
Há anos Amilcar Brunazo Filho denuncia a vulnerabilidade das urnas eletrônicas brasileiras. Formado em Engenharia na Escola Politécnica da USP, ele foi pesquisador do Laboratório de Sub-sistemas Integráveis (LSI), onde estudou Criptografia e Inteligência Artificial. Especialista em segurança de dados, é moderador do Fórum do Voto Eletrônico. Daí esta nossa entrevista.
Viomundo — O senhor sempre foi um crítico da urna eletrônica brasileira. Alertou inclusive que ela não era à prova de fraude. O que significa o feito do professor Diego Aranha?
Amilcar Brunazo — As urnas eletrônicas têm de atender a dois requisitos essenciais:
1) Princípio da publicidade: poder demonstrar que o resultado eleitoral foi correto.
Isso significa que o conteúdo do voto tem de ser público e conferível pelo eleitor no local de votação e pelo fiscal de partido durante a apuração.
2) Princípio do sigilo do voto: não possibilitar a identificação do autor do voto. É fundamental para se evitar a coação de eleitores, que é uma fraude com poder muito forte de distorcer o resultado eleitoral.
A urna eletrônica brasileira nunca atendeu corretamente ao requisito de transparência (publicidade). Por exemplo, o nosso eleitor não pode ver o conteúdo do Registro Digital do seu voto (o eleitor argentino e o alemão podem).
Até agora, acreditava-se que a urna preenchia o requisito do sigilo do voto.
Por lei (art. 59 da lei 9.504), cada voto confirmado pelo eleitor é gravado num arquivo chamado Registro Digital do Voto (RDV); é de forma embaralhada para que não pudesse ser usado para identificar a ordem de votação.
Aliás, vale lembrar aqui que um dos requisitos na antiga lei do voto manual (Inc IV do art. 103 do Código Eleitoral) já exigia que a urna de lona fosse suficientemente larga para embaralhar os registros (cédulas) do voto.
Pois bem, o professor Diego conseguiu desembaralhar o arquivo RDV. Com isso, provou que as urnas não garantem o sigilo do voto: uma vez ordenados os registros dos votos, há muitas formas de se coagir eleitores por identificação do voto de cada um.
Viomundo — Daria para trocar em miúdos o que o professor Diego conseguiu?
Amilcar Brunazo — Ele pegou o arquivo do RDV de uma urna eletrônica — um dado público que, por lei, é disponibilizado aos partidos depois da eleição — e desembaralhou os votos, colocando-os na mesma ordem em que foram votados.
Assim, basta aos fraudadores (que queiram coagir eleitores) anotar a ordem de votação dos eleitores e eles poderão identificar o voto de cada eleitor.
Existem outras formas de coação dos eleitores a partir de uma lista ordenada dos votos, como anotar a hora do voto de um dado eleitor (e depois co-relacionar com a hora nos arquivos de log que também são públicos), o voto marcado (usa um voto cheio de zeros para marcar o início da sequência de votos de eleitores coagidos) e o voto de cabresto pós-moderno (se vale da correlação entre candidatos peculiares, como descrito pelo professor Jorge Stolfi, da Unicamp).
Viomundo – O TSE minimizou a importância do feito?
Amilcar Brunazo – Com certeza, numa reação de auto-defesa, o TSE tentou atenuar a desconfiança gerada pela descoberta do professor Diego.
Viomundo – Por que o TSE fez isso?
Amilcar Brunazo — Para esconder a própria incompetência, já que sempre divulgaram que o RDV era embaralhado e garantia o sigilo do voto.
Aliás, quem apareceu, primeiro, dando desculpas pelo TSE foi o secretário de TI, que é exatamente o responsável pelo projeto e operação das urnas. Ou seja, é aquele que deveria propiciar as garantias e não o fez.
Portanto, ridícula essa tentativa do TSE de minimizar a descoberta do grupo da UnB. Para tentar desconversar, o TSE utilizou argumentos grotescos e até ilógicos. Disse que “conseguiu-se refazer o sequenciamento dos votos apresentados pelo Registro Digital do Voto (RDV), sem contudo quebrar o sigilo do voto“.
Tentaram, assim, induzir à ideia de que desembaralhar os registros do voto não seria importante.
Mas por que, então, o embaralhamento era a exigência legal nos tempos do voto manual e também é praticado pelo TSE no voto eletrônico?
Eles insistem: “sem contudo quebrar o sigilo do voto”.
Mas, numa fraude real (em campo), isso é feito pelas várias alternativas (citadas acima). Essas formas, que completam a fraude, independem da urna eletrônica e não têm como serem impedidas por ela.
Uma vez quebrada a defesa da urna, quer dizer, uma vez desembaralhado os votos, o restante da fraude ocorre fora dela e sem que ela possa mais defender.
Viomundo – O presidente do TSE, ministro Ricardo Lewandowski, disse que “…isto numa situação real seria absolutamente impossível porque ele não teria acesso à fonte”; “O eleitor pode ficar tranquilo que não é uma quebra, porque esta não era uma situação real e não há como vincular a sequência de votação ao eleitor”.
Amilcar Brunazo – Acho que lhe ocorreu um lapso de memória. Nos seis meses que antecedem as eleições regulares, é obrigatória por lei (art. 66 da Lei 9.504) a apresentação do código-fonte para o Ministério Público, OAB, partidos e demais interessados. Eu mesmo sempre tive acesso a esses códigos em todas as eleições desde 2000.
Repare como, convenientemente, ele desconsiderou que, em situação real, toda esse gente (MP, OAB e partidos) e mais os funcionários de TI do TSE, da empresa de segurança (Módulo) e outros assessores contratados têm acesso ao código-fonte das urnas.
O que o professor Diego demonstrou, de fato, é que todo esse pessoal – que não é pouca gente – que tem acesso ao código-fonte das urnas, pode quebrar o sigilo do voto para, eventualmente, usar na coação de eleitores… E nós, da sociedade civil, não temos nenhuma outra defesa contra eles.
Se todos eles forem sempre honestos, tudo bem. Se algum deles for corruptível…..
Viomundo – O TSE continua insistindo que o sigilo não foi quebrado…
Amilcar Brunazo — É óbvio que o sigilo foi quebrado durante os testes que simulavam o ambiente real. Repito. O embaralhamento dos votos é um requisito legal e essencial para garantir o sigilo do voto que já existia antes mesmo das urnas eletrônicas e do RDV, como estabelecido pelo art. 103 do Código Eleitoral, que diz:
” Art. 103. O sigilo do voto é assegurado mediante as seguintes providências: …
IV emprego de urna que assegure a inviolabilidade do sufrágio e seja suficientemente ampla para que não se acumulem as cédulas na ordem que forem introduzidas”
e o art. 220 do mesmo CE diz que:
” Art. 220. É nula a votação:
IV quando preterida formalidade essencial do sigilo dos sufrágios. “
Inequivocamente, o professor Diego demonstrou em testes que simulavam o ambiente real (como está dito no edital dos testes) que a urna eletrônica não assegura a inviolabilidade do sufrágio, já que, para quem conhece o código do software das urnas (como os funcionários de TI do TSE), é possível achar a ordem em que os registros dos votos (RDV) foram introduzidos.
Conclusão: deveriam ser nulas as eleições com urnas eletrônicas que não garantissem o embaralhamento dos votos.
Viomundo – Isso significa que eleições podem ser anuladas?
Amilcar Brunazo – Nenhuma eleição será anulada por isso, porque o administrador eleitoral — que não soube fazer uma urna que garantisse o embaralhamento dos votos — e os juízes – que irão julgar se as urnas estão contra a lei — são exatamente as mesmas pessoas. Logo, nunca vão condenar a si próprios.
A nota oficial do TSE, dizendo que o desembaralhamento dos votos não quebrou o sigilo do voto, é uma mostra que eles são perfeitamente capazes de “reinterpretar a lei”, quando for necessário para esconder os próprios erros e incompetência administrativa.
Viomundo – E, agora?
Amilcar Brunazo — O TSE vai mudar o software para contornar esse tipo específico de ataque, mas isso não significa que o sistema ficou invulnerável.
Nunca foi nem nunca será invulnerável enquanto não for atendido o princípio da publicidade em sistemas eleitorais, como é exigido pelo Tribunal Constitucional da Alemanha.
O próprio professor Diego disse que se tivesse mais tempo e melhor ambiente de trabalho, ainda haveria possibilidade de se demonstrar outras vulnerabilidades.
Todo esse imbroglio só é mais uma demonstração de como é nocivo o acúmulo de poderes da autoridade eleitoral brasileira. Mas, dessa evidência de inconstitucionalidade os jornalões não falam, a OAB não reclama e o rebanho de brasileiros nem chega a compreender.
No fim, dá sempre nisso. A única garantia que o TSE oferece ao eleitor comum é que nós todos somos sempre muito honestos. Tipo la garantia soy yo.
Fonte: http://www.viomundo.com.br/denuncias/amilcar-brunazo-ridicula-a-tentativa-do-tse-de-minimizar-descoberta-da-unb.html