Postagens
A Seita do Santo Baite
Prof. Pedro Antonio Dourado de Rezende
Departamento de Ciência da Computação
Universidade de Brasilia
15 de Setembro de 2003
Índice
Alerta
Fiscalização do voto
Vulnerabilidades
Abusos
Quimera
Negligência
Lógica do Risco
Manobra do Santo Byte
Afronta
Autor, Direitos autorais e histórico deste documento
Alerta
Dirijo-me aos cidadãos e cidadãs do meu país com mais um alerta, sob o peso de uma responsabilidade com que me investiu o presidente da República. A de representar nossa sociedade no órgão de Estado encarregado de normatizar sobre segurança na informatização dos seus processos, a ICP-Brasil.
Nosso futuro democrático está sob ataque. Corremos o risco de virmos a ser governados por uma dinastia, com os que estão no poder vindo a eleger, com ou sem a verdadeira maioria dos votos, os seus sucessores, no segundo caso e com a devida cautela impunemente. Estamos retrocedendo às condições que fizeram eclodir a revolução de 1930. A nação, anestesiada, parece desconhecer o perigo que está correndo. Os meios de comunicação, com honrosas exceções, omitem-se, como se o assunto não fosse merecedor de nossa preocupação, ou com o verbo indo atrás da verba.
A razão desse alerta é a encruzilhada em que se encontra o nosso processo eleitoral, baseado nas urnas eletrônicas e na informatização completa do sistema, num momento em que os poderes da República testam novos níveis de fricção. Com esta informatização, não mudam apenas a maneira de se registrar e de se contar o voto de cada eleitor. Muda também a forma de se fiscalizar eleições, cuja eficácia é a matéria prima da confiabilidade em todo o processo. O direito de qualquer parte interessada em fiscalizar uma eleição passa a requerer novas disposições, técnicas e jurídicas, já que os meios para a fiscalização se transformam ainda mais radicalmente do que os meios de registro e contagem de votos.
Quando o voto era em cédulas de papel, a fiscalização não requeria mais do que um batalhão de observadores atentos à possivel burla dos interesses que representam, durante as várias etapas do processo: preparação, sufrágio, apuração e totalização. Eficácia se traduzia em quantidade de olhos atentos, pois qualquer ato falho de fiscalização poderia comprometer uma pequena quantidade de votos válidos. E pequenas quantidades, somadas muitas vezes, poderiam compremeter o resultado da eleição.
Fiscalização do voto
Com a informatização, a fiscalização passa a requerer mecanismos de auditoria com características radicalmente distintas dos mecanismos anteriores, pois agora o que precisa ser fiscalizado são processos informáticos, dos quais a tela do computador só mostra o que o autor do software quiser. Um batalhão de observadores, atentos agora ao que se lhes faz visível nessas telas, será quase certamente inútil.
O grande desafio, para quem, sob o pressuposto da honestidade e fidelidade de princípios, se põe a planejar a informatização do processo, passa a ser o de conceber mecanismos eficazes de fiscalização que não requeiram conhecimentos técnicos em demasia, quer dos fiscais, quer dos juízes, e que não comprometam outros aspectos da confiabilidade do sistema, enquanto atenuam novos fatores de escala no perfil dos riscos, próprios da informatização mesma.
Ninguém quer menosprezar ou denegrir os benefícios desta informatização, que agiliza o registro e a contagem dos votos. Mas alguém precisa lembrar ao leitor, e ao eleitor, que esses benefícios, como quaisquer outros, têm seu preço. E o preço, neste caso, é alto, pois, com a informatização completa, a eficácia fiscalizatória do processo eleitoral torna-se o nó górdio da modernização democrática.
Mesmo que os partidos possam, por exemplo, examinar o código-fonte dos programas que constituiriam o software do sistema eleitoral, se não puderem saber, por meios próprios, se tais programas são exatamente os mesmos usados nos computadores durante a eleição, todo o esforço fiscalizatório torna-se equivalente a um mero ato lúdico, como o de mágicos e palhaços no picadeiro de um circo. Mas com uma diferença extremamente perigosa, que é a descrença, ou o desconhecimento, da natureza lúdica do ato.
Qualquer informatização traz, como contrapartida a seus benefícios, um efeito amplificador de riscos, pois qualquer pequeno ato falho na fiscalização pode agora comprometer, em larga escala, a confiablidade do sistema como um todo. Este seria o verdadeiro desafio de uma Justiça Eleitoral ocupada com a modernização dos seus processos, pressupondo que sua missão não muda pelo simples fato de assim ocupar-se.
Mas, diante desse desafio, a Justiça Eleitoral brasileira vem tomando um rumo totalmente oposto ao que dela espera um cidadão de boa fé, que acredita na preservação da natureza democrática do nosso ordenamento jurídico, ao longo da aventura modernizante da nossa sociedade. Isto porque ela vem dando sinais, cada vez mais inequívocos, de sua disposição em forçar mudanças na natureza da sua missão, à guisa de uma auto-proclamada necessidade de comandar a modernização do processo que lhe cabe regular, executar e controlar, processo que sustenta nosso regime democrático, pondo em risco, com tal guinada, a própria natureza deste regime.
Enquanto os países maduros em democracia caminham no sentido de buscarem a informatização eleitoral de forma a permitir ao eleitor verificar, por si mesmo, a correta tabulação do seu voto, o Brasil vai na contramão, com o agente responsável tentando suprimir qualquer possibilidade de conferência ou recontagem dos resultados, apelando, de formas tanto sutis quanto grotescas, para uma cega crença alheia em sua pretensa infalibilidade e isenção intestável.
Segurança computacional é assunto técnico especializado e complexo, e assusta-nos a falta de seriedade com que nossa votação eletrônica, pseudo-moderna, tem sido tratada, nos três Poderes, por desconhecedores da matéria. Ministros do TSE, autoridades em suas áreas porém leigos nas ciências afetas à computação, têm afirmado publicamente que nosso sistema é confiável, seguro, orgulho da engenharia nacional, enquanto, infelizmente, nada disso é verdade.
Dizer que a eleição de Lula é prova da segurança de nosso sistema eleitoral e da lisura dos seus resultados é sofisma. Mais do que isso, é ofensa ao bom senso de quem conhece os meandros da informática e das sombras que se projetam da natureza humana. Pode-se responder com outra pergunta: Teria ganho se não aceitasse manter o país refém da política econômica neoliberal ditada pelo cartel de agiotas globais?
Lula pode ter sido eleito, noutra hipótese, através de um sistema inauditável que lhe atribuiu quarenta e um mil votos negativos na terceira hora de apuração do primeiro turno, devido à combinação de dois fatores: votos suficientes e uma certa relação entre riscos, na qual um deles mataria a galinha de ovos de ouro de um sistema inauditável, porém crível para a maioria da sociedade, regulamentado, projetado, operado, controlado e julgado em seus resultados por um mesmo e único agente.
Vulnerabilidades
Nosso sistema é hoje internamente fraudável, e nenhuma quantidade de sofismas, falácias e ataques ao mensageiro desse alerta pode alterar tal fatalidade. Nada impede que o software do sistema possa ser furtivamente modificado para identificar ou alterar o voto de qualquer eleitor, já que a Justiça Eleitoral resiste, de maneiras cada vez menos nobres, à demanda fiscalizatória para que potenciais vítimas tenham -- e exerçam se tiverem a devida competência -- o direito de conhecer a lógica e o modus operandi desse sistema, e de, conhecendo, denunciar eventuais falhas.
Não há nada de mal que vejemos, como querem os otimistas, nosso sistema eleitoral tal qual plataforma de lançamento das modernidades democráticas, cobiçada pelo mundo afora. Mas seria imprudente ignorar, ancorando-se em arroubos de emocionalidade e tosco ufanismo, que por trás das maravilhas mostradas por holofotes e câmeras escondem-se erros, falhas, deficiências e vulnerabilidades no projeto, no controle e na fiscalização do mesmo, que podem levar nossa democracia a se desmoronar, queimando seus heróis numa grande fogueira.
Seria este alerta uma mórbida tentativa de aviltar a honrosa memória dos nossos heróis de Alcântara, para promover a cizânia? O autor não pode impedir que julgem seus motivos, mas pode oferecê-los do seu íntimo. Este alerta se deve à novidade do "registro eletrônico do voto", com o qual o TSE, e seus acólitos-legisladores, pretendem desbancar as medidas fiscalizatórias em vigor, prestes a ir às derradeiras e sorrateiras votações no Congresso Nacional.
De que se trata? Tal novidade pretende trocar o atual boletim de urna, contendo o registro eletrônico dos totais de votos sufragados por candidato na sessão eleitoral, por uma lista embaralhada de registros individuais desses votos. Só que pelo mesmo software, desconhecido das potenciais vítimas de eventuais burlas nele inseríveis, e praticáveis, quer seja sobre os totais dantes somados, quer seja sobre a lista de votos que agora se pretende embaralhar e registrar, antes que ganhem, totais ou listas embaralhadas, a luz da vista alheia, com ou sem assinatura digital.
Fiscalização de eleição informatizada é dos maiores desafios do nosso tempo. Auditoria de software não é o conhecimento de programas gravados em CD e armazenados nalgum cofre do Judiciário, como dá a entender meia página de anúncio pago pela Microsoft no maior jornal de Brasília, em dias corridos da semana passada. É o conhecimento e a validação da totalidade do software realmente envolvido, direta ou indiretamente, no registro e na contagem de votos de uma eleição verdadeira, por quem de legítimo interesse. O que aconteceria se o software que está no cofre, e o que está nos computadores da eleição, não forem idênticos, como mostrou uma perícia no processo de anulação da eleição de 2000 em Camaçari, Bahia?
Abusos
Na situação atual, nada. Nada se prova e nada ocorre, pois a Justiça Eleitoral -- que julga seus próprios atos -- os anuncia idênticos, e pronto. Na verdade algo sim, bastante sutil, ocorre. O anúncio é oferecido como se fosse o mistério da eucaristia pós-moderna. A palavra mágica é "tecnologia". Quem absorve pelos olhos, de uma tela de computador em Brasília, o código fonte que emanda de uma hóstia-CD, precisa crer que este ato transmutará o código visto em programa que estará executando nas urnas e tribunais eleitorais espalhados pelo Brasil, para nos salvar de todo o mal eleiçoeiro, e nos abençoar com uma apuração quase instantânea. Enquanto diáconos e acólitos, junto com outros políticos de fino trato em coro cantam amém. Dentre os mais fanáticos, tucanos de alta plumagem.
De que serve a esses fanáticos jurarem de pés juntos que o sistema é 100% seguro, a cada insersão de novos penduricalhos tecnológicos inauditáveis na urna, como agora querem com firmware importado para assinatura digital? Trata-se de uma medida cara que não garante lisura nenhuma a terceiros, e que, sob a perspectiva de riscos desses terceiros, apenas introduz mais um elemento obscuro, mais um canto onde "botões macetosos" podem ser acoitados, recontaminando todo o sistema com mais obscurantismo. E elevando as despesas, contrariamente à justificativa com que se pretende introduzir mais essa mágica modernosa, ao invés de diminuí-las. De que servem as juras? Simples. Servem para manter a fé dos crentes da seita do santo byte, e a incredulidade -- ou a hipocrisia -- dos demais.
Destarte, não há razão para que a urna eletrônica continue recebendo o número do título de eleitor para liberar o mecanismo de votação, se o voto deve ser secreto. Desta forma, o sistema é capaz de identificar o meu, o seu, o nosso voto, para aqueles que manipulam suas entranhas, o corpo espiritual da santa urna. O voto secreto no Brasil, hoje, é mera ficção: nós o teremos na medida em que os controladores do sistema o permitirem, na intimidade e no mistério da sua discrição.
Os que decidem que o sistema deve ser assim são pessoas que não entendem de segurança computacional. São pessoas que poderiam, no mínimo, afirmar, a partir do bom senso que os levam a conhecer a natureza humana e a informática, esta nos limites da sua competência até aqui demonstados, que o sistema, assim, é seguro contra fraudes externas apenas, e apenas para quem detém o seu controle (se houver fraude bem feita, interna ou externa, estará no arbítrio de quem controla o sistema desvelá-la: se mal feita, terá sido acidente). Em outras palavras, o sistema é seguro, sim, mas apenas para aqueles que assim afirmam, qualquer que seja o seu verdadeiro propósito. Eles não mentem, desde que continuem omitindo o complemento verbal das suas juras de segurança.
Para o eleitor interessado na lisura do pleito o sistema é, claramente, 100% inseguro, pois os programas do sistema podem ser ligeiramente alterados para "eleger" desde vereadores até o próprio presidente, com tais desvios podendo ser introduzidos por uma única pessoa, com acesso e conhecimento privilegiados e no devido momento, independente do espetáculo místico-midiático onde algum software é mostrado aos partidos sessenta dias antes da eleição, em meio a holofotes e câmeras de TV, à guisa de se "permitir a auditoria".
Iniciativas visando tornar arriscado o acesso furtivo que introduz burlas no software, para quem o acesso capaz de modificar software se justifica, ao contrário de iniciativas visando tornar obscuro os acessos justificados, para quem se prejudicaria com burlas no software, é o que falta para se ter um mínimo de "segurança do eleitor". O TSE jamais aceitou convites para debater tecnica e publicamente a segurança do sistema, pois sabe das suas inseguranças internas. Nenhum estudo isento e independente sobre sua alegada confiabilidade, sem subjetivismos, foi feito até hoje.
O próprio estudo de um grupo da Unicamp -- pago pelo TSE --, parcial e pleno de ressalvas, recomendou vários procedimentos como condição para se estabelecer níveis recomendados de segurança para o processo, omitidos na propaganda sobre as maravilhas da urna, e agora defenestrados pelo projeto do senador Azeredo, caracterizando verdadeiro engodo a sua invocação em juras de segurança. Se o sistema algum dia cair sob o controle de pessoas desonestas, estas poderão eleger quem desejarem, e políticos interessados saberão onde e como sua eleição poderia ser garantida.
Doutra feita, confiar apenas nas pesquisas eleitorais é perigoso, pois sabemos que pesquisas podem, também, ser manipuladas. Os registros dos métodos de pesquisa no TSE, por exemplo, revelam que estas são "auto-ponderadas". Auto-absolvição? Além disso, se as diferenças entre candidatos for mesmo pequena, as pesquisas nada representam para efeito de validação de resultados. Confiar nas pesquisas como única salvaguarda, como pregou o diácono FHC ao declarar que "a mídia é quem fiscaliza as eleições", incitando a Justiça à desobediência ao artigo 66 da lei 9604/97 (então em vigor), apenas eleva o custo, e com ele as barreiras de entrada ao negócio, do ilícito através de possíveis e eventuais burlas no software eleitoral. E finalmente, se o risco de exposição de eventuais burlas for pequeno, este fato atrairá a cobiça de ambições fundas e escrúpulos rasos ao controle do sistema.
Nenhum comentário:
Postar um comentário