[pt_BR] A transparência do voto eletrônico no Brasil
Versão arquivada de artigo publicado no blog ITS Rio e versão estendida de matéria publicada na Revista Computação Brasil, volume 27, publicada em junho de 2015.
Após a introdução das urnas eletrônicas em 1996 e realização das primeiras eleições completamente eletrônicas no ano 2000, o Brasil permanece como o único país do mundo a adotar máquinas de votação puramente eletrônicas, sem possibilidade de recontagem ou verificação independente dos resultados, com severas limitações de transparência.
O cenário se torna mais crítico após observadas graves vulnerabilidades no sistema, com impacto no caráter secreto do voto e integridade dos resultados, consequência direta de processo inseguro de desenvolvimento de software, falta de treinamento formal da equipe responsável e ausência de auditoria externa. Há várias formas de se aprimorar o sistema atual, com variados ganhos em transparência e custos de implementação, mas antes de discuti-las é importante analisar, sob um ponto de vista crítico, o modelo atual de auditoria de software e dos resultados da eleição.
Modelo atual de auditoria
A resolução 23.458/2015 do Tribunal Superior Eleitoral (TSE) estabelece o modelo de fiscalização do sistema de votação antes das eleições. Determina que fiscais formalmente indicados por partidos políticos e Congresso Nacional, órgãos do Judiciário (Ordem dos Advogados do Brasil, Ministério Público, Supremo Tribunal Federal, Controladoria-Geral da União) e técnicos da Polícia Federal, Sociedade Brasileira de Computação, Conselho Federal de Engenharia e universidades > “possuem acesso antecipado aos programas de computador desenvolvidos pelo Tribunal Superior Eleitoral ou sob sua encomenda a serem utilizados nas eleições, para fins de fiscalização e auditoria, em ambiente específico e controlado pelo Tribunal Superior Eleitoral.”
Os programas incluem o software de votação, sistemas de preparação do equipamento e demais componentes de software que interagem, direta ou indiretamente, com as urnas eletrônicas e totalização dos seus resultados. Enquanto na teoria parece um mecanismo suficiente e adequado de auditoria, na prática o resultado é outro. Primeiramente, há um Termo de Confidencialidade mandatório que limita a atuação e divulgação das informações coletadas pelos fiscais. Além de limitar a disseminação de informação técnica sobre o sistema de votação, o termo certamente não é capaz de impedir a divulgação interna, em um partido, de vulnerabilidades encontradas por um fiscal malicioso. Também não há registro anterior de indicação de fiscais por parte da OAB ou MP, entidades que deveriam representar a sociedade no processo, mas se omitem possivelmente por questões políticas. Observa-se, portanto, que a fiscalização tem sido realizada tradicionalmente apenas por fiscais partidários, representando entidades com conflito de interesse direto com o resultado. Espera-se que a recente ampliação para incluir fiscais apartidários colabore com a participação de um número maior de pesquisadores, e mais qualificados.
Há também outras limitações de natureza técnica, como a janela limitada de 6 meses para fiscalização dos programas, mesmo com alterações ainda em curso; a restrição do ambiente controlado pelo TSE, limitando as ferramentas de auditoria; e a alta complexidade causada por um conjunto de programas com enorme volume de código. Há maior transparência no processo de totalização de resultados, com a comparação entre Boletins de Urna físicos e eletrônicos, mas obstáculos logísticos também dificultam sua realização, conforme observado pelo Projeto Você Fiscal e tentativa de auditoria por partidos políticos. Resta torcer para que partidos concorrentes se anulem em eventual atuação maliciosa, ignorando o fato elementar de que eleições são financiadas também com recursos públicos e servem, antes de tudo, aos próprios eleitores.
Testes Públicos de Segurança
Uma oportunidade com menos restrições aparentes é a participação nos Testes Públicos de Segurança (TPS), organizados desde 2009 e se encaminhando para a quarta edição. O evento é defendido pelo TSE como requisito suficiente do ponto de vista de transparência, mas repete vários dos problemas presentes na auditoria antes das eleições. O formato com poucos dias de duração, o escopo limitado que não inclui subsistemas importantes (como identificação biométrica e totalização, entre outros), as intervenções do Tribunal na definição das regras, seleção dos interessados e abordagens de ataque; e a imposição desde 2016 de um Termo de Confidencialidade representam condições de trabalho que não modelam tentativas realistas de fraude, em contraste direto à liberdade de pesquisa exercitada em outros países.
Apesar das restrições, os testes tem sido úteis para revelar vulnerabilidades no sistema, dado seu nível de insegurança, conforme observado em todas as suas edições: — A edição de 2009, que não fornecia acesso ao código-fonte dos programas, revelou vazamento de informação crítica útil para quebra do sigilo do voto no teclado da urna eletrônica. — Na edição de 2012, a equipe sob minha coordenação e composta pelos técnicos da UnB Marcelo Monte Karam, André de Miranda e Felipe Scarel, sagrou-se campeã após detectar e explorar com sucesso uma vulnerabilidade no único mecanismo da urna para proteger o sigilo do voto utilizando apenas informação pública. O ataque era essencialmente não-rastreável por não exigir alteração de qualquer componente da urna ou invasão de seu perímetro de segurança. Além da proteção inadequada do sigilo, foram também observada diretamente no código-fonte a utilização de algoritmos criptográficos obsoletos, a presença e compartilhamento massivo de chaves criptográficas e verificação insuficiente de integridade do software de votação. Esta última era realizada pelo próprio equipamento, de forma passiva, abrindo a possibilidade de adulteração indetectável do software e seus produtos. — Já nos testes de 2016, o técnico Sérgio Freitas da Silva explorou com sucesso pela primeira vez uma vulnerabilidade na integridade de resultados, ao permitir a um mesário malicioso falsificar resultados de um Boletim de Urna digitado manualmente após condição de contingência.
O sucesso aparente dos TPS não deveria ser encarado com tanto entusiasmo. O sistema de votação eletrônica está em operação no Brasil há mais de 20 anos e as possibilidade de auditoria continuam restritas a especialistas e sob controle absoluto do Tribunal, em conflito de interesse direto com o espírito da iniciativa. É improvável que tantas vulnerabilidades e erros de projeto, descobertos na ocasião em apenas poucas horas de investigação, tivessem permanecido desconhecidas por tanto tempo em um sistema que já fosse auditável por qualquer profissional qualificado do governo, academia ou indústria. Para tanto, é fundamental reduzir ao máximo a barreira de entrada para qualquer esforço de auditoria.
Espera-se que a edição de 2017 seja a mais transparente até hoje, mas um rápido exame do edital de participação demonstra o nível de burocratização e as inúmeras restrições de tempo, ferramentas e escopo impostas aos pesquisadores. Vale ressaltar que um fraudador dedicado e persistente, possivelmente com acesso privilegiado aos sistemas por representar ou corromper agente interno ao Tribunal, não terá que se submeter a nenhuma dessas regras e restrições. É surpreendente que eleições puramente eletrônicas ainda utilizem tecnologia que não seja diretamente e irrestritamente auditável pela sociedade ou seus representantes.
Um novo modelo
A adoção de tecnologias verdadeiramente livres, tanto no software quanto no hardware das urnas eletrônicas, pode ampliar substancialmente a transparência do sistema. Assim como a adoção pelo TSE do sistema operacional GNU/Linux em 2008, em um movimento louvável, foi defendida sob o argumento da segurança e independência de tecnologias proprietárias, as mesmas propriedades se aplicam ao software desenvolvido pelo próprio Tribunal. Além de permitir trivialmente auditoria independente da tecnologia eleitoral, verificação de alegações de natureza técnica do Tribunal e contribuições por parte da sociedade, a disponibilização do sistema sob licenças livres possui outra grande vantagem, ligeiramente mais sutil.
Quando confrontados com a possibilidade de verificação independente da qualidade do sistema e seus mecanismos de segurança, uma equipe de desenvolvimento que preza por sua reputação e credibilidade não possui alternativa além de aprimorar as suas práticas e projeto, resultando em um sistema mais seguro e confiável. Desde que haja interesse da comunidade técnica para auditar o sistema, a pressão externa se torna um incentivo formidável para incremento de qualidade.
Problema resolvido?
Infelizmente, a disponibilidade de software e hardware sob licenças livres ou possibilidade de sua auditoria por especialistas são requisitos necessários, mas não suficientes para garantir eleições inteiramente seguras e transparentes. Mesmo que a tecnologia seja minuciosamente examinada por fiscais independentes, não há garantia técnica de que o mesmo sistema foi utilizado no dia da eleição. A utilização de compilação determinística, permitindo a criação de versões reprodutíveis dos programas em formato binário, e assinaturas digitais para verificação ativa da integridade do software não impedem que atuação maliciosa interna comprometa instalações individuais do sistema. O processo de compilação e geração de mídias de instalação para um sistema dessa magnitude é complexo e pode ser difícil de reproduzir externamente, dadas as inúmeras dependências. A verificação ativa de integridade também exige a presença de fiscais na abertura das seções eleitorais, software adicional para validação das assinaturas digitais e acesso direto ao conteúdo do equipamento. Finalmente, a fiscalização das eleições não deveria ser limitada a profissionais que dominam conhecimento técnico, mas estendida à toda a sociedade.
Por esse motivo, o caminho para eleições seguras e transparentes não envolve apenas a adoção de tecnologia auditável e sua livre disponibilização, mas também a implementação de um registro físico e anônimo do voto, que junto com procedimentos adequados para auditoria e recontagem, distribuam a todos os eleitores a possibilidade de verificar o registro correto de seus votos, a exemplo do resto do mundo. Nada mais natural, visto que são os eleitores os maiores interessados no processo democrático. Felizmente, o Congresso Nacional aprovou lei reintroduzindo o voto impresso nas eleições de 2018. Resta observar se haverá algum aumento de transparência com a implantação do recuso pelo Tribunal e se o esforço se expandirá rapidamente para além dos 5% de urnas eletrônicas inicialmente planejados. Eleições minimamente transparentes são o mínimo esperado pela sociedade, cada vez mais polarizada e desorientada politicamente, para encontrar o caminho da estabilidade democrática.