Tenho conversado com muita gente a respeito da possibilidade de
fraude, e tenho tido muitas surpresas. Primeiro, estou notando que,
pouco a pouco, as pessoas estão se dando conta da possibilidade de se
fraudar a tão decantada urna. Mas o que mais me choca é a ignorância
total das pessoas, mesmo de quem tem embasamento informático razoável,
sobre como se pode dar a fraude.
As pessoas acreditam na urna eletrônica como um processo manual
acelerado. Até hoje, nas reportagens sobre as eleições mostra-se as
pessoas apertando o botão de confirma da mesma forma como se via,
tempos atrás, alguém enfiando o voto na urna, como se fosse esse o
ponto mais importante do processo democrático. Naquela época sabia-se
perfeitamente o caminho que a cédula iria tomar: ficaria dentro do
saco de lona até ser despejada numa mesa de apuração, onde seria
examinada por vários fiscais, e em seguida seu conteúdo seria
transcrito numa planilha, que seria posteriormente digitado num
computador (estou falando da época imediatamente anterior à atual) e
depois totalizado. Embora o processo seja totalmente outro depois que
foi criada a urna eletrônica, e que nada se pode dizer sobre o caminho
do voto a não ser que se tenha um conhecimento total sobre a máquina
(hardware) e os programas que estão nela (software), as pessoas ainda
acreditam que é tudo igual. Cheguei até a ouvir uma vez que se eu
desconfiava da urna eletrônica, deveria também desconfiar da
calculadora, já que também não sei qual é o caminho que o número que
eu digito vai seguir. A diferença, que ninguém parece se dar ao
trabalho de verificar, é que não interessa a ninguém ter uma
calculadora que não seja precisa. Lembro-me da minha primeira
calculadora, onde enfiava toda sorte de cálculos para ver se conseguia
pegá-la em falha! Mesmo assim, descobriram um chip de um 386 que
errava em cálculos de ponto flutuante, e que teve que ser trocado. Mas
uma urna que torne os números mais vantajosos para determinado
candidato interessa, e muito!
O desafio, portanto, é fazer uma urna que agilize o processo de
apuração, aumente o grau de confiabilidade e impeça, tanto quanto
possível, o risco de fraude. E isto só pode ser feito mediante ampla
discussão com a sociedade, em particular a científica, e deixando todo
o processo transparente, visível a quem quer que seja.
A respeito de [VotoEletronico] Urna eletronica: protocolo do teste da votacao simulada,
em 26/10/2002, 22:26, Jorge Stolfi escreveu:
JS> Car*s interessad*s (suponho) na confiabilidade da urna eletrônica:
JS> Um artigo da "Tribuna da Imprensa" (Rio de Janeiro) de 26/out/2002,
JS> transcrito por O. Maneschy, traz a seguinte observação do Pedro
JS> Rezende sobre o teste da urna (votação simulada) a ser realizado
JS> em paralelo com a votação real:
JS> > Já que o sorteio das [urnas] que serão fiscalizadas no dia da
JS> > eleição ocorre na véspera da eleição, quem estiver interessado
JS> > em fraudar desviando votos no boletim de urna estará interessado
JS> > também em avisar às urnas sorteadas para não fraudar. Este aviso
JS> > poderia ser dado de várias maneiras, como por exemplo, por
JS> > controle remoto. O controle remoto evitaria ao fraudador
JS> > precisar envolver o mesário ou algum eleitor na necessidade de
JS> > avisar à urna para não fraudar. Um dispositivo semelhante ao
JS> > controle do alarme de carros, por exemplo, poderia dar conta do
JS> > recado.", suspeita Rezende.
JS> Se entendi direito, os votos que serão usados no teste de amanhã
JS> (votação simulada) são fornecidos ao TSE na forma de cédulas,
JS> preparadas pelos partidos, e são digitados na urna por um oficial do
JS> TSE. Imagino que outro oficial do TSE fica no micro-terminal do
JS> mesário, digitando os números dos títulos dos eleitores da seção
JS> sorteada.
JS> Como observa o Pedro, os testes só tem valor se houver certeza que o
JS> software testado é o mesmo que está sendo usado na votação real, e se
JS> não existir nenhum truque que permita a um eventual vírus na urna
JS> descobrir que se trata de uma votação simulada. (Aqui "vírus" quer
JS> dizer um conjunto de instruções maliciosas, inseridas no software
JS> da urna a fim de alterar os votos registrados antes da geração
JS> do boletim de urna.)
JS> Infelizmente, acredito que o vírus poderia obter facilmente essa
JS> informação de várias maneiras, das quais a que o Pedro cita é apenas
JS> uma. Aqui vão algumas outras possibilidades que me ocorreram:
JS> 1. Com cumplicidade dos oficiais do TSE:
JS> O oficial que digita os votos poderia usar algum código sutil
JS> para avisar o vírus. Por exemplo, apertar três vezes seguidas a
JS> tecla "confirma" ou "corrige" (daria para notar isso no vídeo?),
JS> apertar duas teclas ao mesmo tempo (uma delas escondida pela mão),
JS> ou cometer um erro específico e corrigir, ou ...
JS> Imagino que truques semelhantes poderiam ser usados também pelo
JS> oficial que simula o mesário.
JS> Se o oficial-mesário tem algum controle sobre a ordem dos votantes
JS> simulados, ele poderia avisar o vírus digitando, por exemplo, 6 ou
JS> 7 números de eleitor sucessivos com mesmo algarismo final; ou
JS> colocando em 2º e 4º lugar na ordem de votação os dois eleitores
JS> da seção que tem maiores números; ou....
JS> Um dos oficiais poderia avisar o vírus mexendo na impressora
JS> (liga/desliga/online/etc) em horários anômalos, ou numa seqüência
JS> improvável.
JS> 2. Via as cédulas de teste:
JS> Um fiscal de um dos partidos poderia avisar o vírus incluindo
JS> no teste uma cédula com uma combinação altamente improvável de votos.
JS> Pergunta: as cédulas de teste podem incluir testes de votos nulos?
JS> Em caso afirmativo, valeria aqui também o truque do erro específico.
JS> Um partido poderia avisar o vírus incluindo no seu lote de cédulas
JS> um número improvável de votos para um determinado candidato.
JS> 3. Sem colaboração externa:
JS> O vírus poderia coletar estatísticas sobre a temporização dos
JS> vários eventos, e compará-las com os valores esperados numa
JS> votação real. Por exemplo, os oficiais do TSE certamente vão ficar
JS> mais ágeis com o tempo; se eles não se policiarem cuidadosamente,
JS> em pouco tempo estarão digitando os votos muito mais rapidamente
JS> do que o eleitor médio.
JS> Na votação real, geralmente há um intervalo de alguns segundos
JS> entre a saída de um eleitor da urna e a chegada do próximo.
JS> Se um único oficial fica sentado na urna, simulando
JS> todos os eleitores, este intervalo pode encolher bastante.
JS> O vírus poderia cometer sua fraude somente depois de observar pelo
JS> menos X eleitores que levaram mais de Y minutos para se decidir.
JS> O vírus poderia detectar o teste pela emissão do boletim de urna
JS> inicial, que verifica se os totais estão zerados (ou por sua
JS> emissão em horário diferente do que seria esperado numa votação
JS> real).
JS> O vírus poderia detectar o teste por anomalias no horário de
JS> instalação dos periféricos (micro-terminal e impressora).
JS> Na votação real, se bem me lembro, enquanto um eleitor vota, o
JS> número do eleitor seguinte já está sendo digitado pelo mesário no
JS> micro-terminal. É isso mesmo? A ordem destas ações, e os
JS> intervalos de tempo entre elas, são corretamente simulados na
JS> votação de teste?
JS> Na votação simulada, os eleitores votam em ordem aleatória, ou em
JS> ordem sequencial de título?
JS> Na votação simulada, são simulados também eleitores ausentes?
JS> No final do dia, o vírus poderia comparar o resultado da votação
JS> contra as melhores projeções disponíveis (escamoteadas, por exemplo,
JS> num cantinho do disquete de carga, ou durante a (re)inseminação da
JS> urna), e desconfiar se houver muita diferença.
JS> (Aliás, imagino que cada partido vai querer usar a maioria das suas
JS> cédulas de teste para votar no seu candidato, pois sua maior
JS> preocupação deveria ser com o possível sumiço de alguns desses
JS> votos. Portanto, se cada partido prepara o mesmo número de cédulas
JS> de teste, e há k partidos apoiando um determinado candidato,
JS> pode-se prever que na votação simulada esse candidato receberrá
JS> aproximadamente k/N dos votos.)
JS> 4. Com truques físicos:
JS> A urna tem alguma abertura não lacrada, mesmo que pequena
JS> (para ventilador, por exemplo)? Se tiver, talvez seja possível
JS> introduzir um arame por lá, encostar num terminal do circuito
JS> impresso (de um jumper não usado, por exemplo), e através dele
JS> mandar um aviso para o vírus. Isso seria feito durante o
JS> transporte, ligando-se temporariamente a urna; o vírus teria então
JS> que apagar esse evento dos logs. Outra possibilidade seria usar essa
JS> abertura para instalar um jumper discreto (p. ex. um pedacinho de
JS> fio metálico capilar), ou cortar discretamente um condutor do
JS> circuito impresso. Esta alternativa não exigiria que a urna fosse
JS> ligada durante o trajeto.
JS> O cabo que liga o micro-terminal à urna poderia ser usado como
JS> antena receptora. (Uma antena transmissora próxima, por exemplo
JS> embutida na mesa, poderia talvez injetar caracteres espúrios no
JS> cabo, mesmo que este seja blindado). O vírus seria alertado
JS> pela presença de ruído (caracteres inválidos) na linha.
JS> Algum cabo ou condutor impresso supérfluo dentro da urna --- por
JS> exemplo, uma porta serial não usada --- poderia servir de antena
JS> receptora de rádio. O vírus seria alertado ao notar presença de
JS> ruído, ou algum sinal específico, nessa porta.
JS> É difícil falsificar um lacre de urna? É fácil verificar
JS> se um lacre é legítimo?
JS> 5. Método besta:
JS> Suponho que o teste vai usar a versão normal do programa de
JS> votação, certo? E não uma versão especial para testes...
JS> (Desculpe a pergunta, mas neste universo "tudo é possível"...)
JS> De modo geral, os truques acima não me parecem ser mais malucos ou
JS> difícieis de implementar que os rotineiramente usados por hackers e
JS> espiões industriais.
JS> O vírus poderia combinar várias destas condições (1 dentre 3, 2 dentre
JS> 5, etc.), ou várias instâncias da mesma condição, para aumentar a
JS> confiabilidade do seu "detector de teste".
JS> Em caso de dúvida, o vírus deve supor que se trata de teste ---
JS> obviamente, é melhor deixar de acionar a fraude em algumas seções
JS> da votação real, do que acionar a fraude na votação simulada.
JS> O vírus pode levar o dia inteiro para coletar os dados e decidir se a
JS> votação é teste ou pra valer. Note-se que a alteração dos totais de
JS> votos pode ser adiada até o último segundo antes da emissão dos
JS> boletins e gravação no disquete.
JS> Bom, estas são apenas as idéias que um velho professor conseguiu bolar
JS> em algumas horas. Tenho certeza que um hacker adolescente se sairia
JS> muito melhor...
JS> Jorge Stolfi
JS> Professor Titular
JS> Instituto de Computação, Unicamp
JS> ______________________________________________________________
JS> O texto acima e' de inteira e exclusiva responsabilidade de seu
JS> autor, conforme identificado no campo "remetente", e nao
JS> representa necessariamente o ponto de vista do Forum do Voto-E
JS> O Forum do Voto-E visa debater a confibilidade dos sistemas
JS> eleitorais informatizados, em especial o brasileiro, e dos
JS> sistemas de assinatura digital e infraestrutura de chaves publicas.
JS> __________________________________________________
JS> Pagina, Jornal e Forum do Voto Eletronico
JS> http://www.votoseguro.org
JS> __________________________________________________
--
Grande abraço,
Roger Chadel
--------
////
|---//---|
| / | Você tem certeza de que seu voto vai para seu candidato?
|--------| www.votoseguro.org
--------
Extraido de minha coleção de taglines:
O importante não são os homens de minha vida, mas sim a vida que há nos meus homens
(Mae West)
/"\
\ / Campanha da fita ASCII - contra mail html
X ASCII ribbon campaign - against html mail
/ \
______________________________________________________________
O texto acima e' de inteira e exclusiva responsabilidade de seu
autor, conforme identificado no campo "remetente", e nao
representa necessariamente o ponto de vista do Forum do Voto-E
O Forum do Voto-E visa debater a confibilidade dos sistemas
eleitorais informatizados, em especial o brasileiro, e dos
sistemas de assinatura digital e infraestrutura de chaves publicas.
__________________________________________________
Pagina, Jornal e Forum do Voto Eletronico
http://www.votoseguro.org
__________________________________________________
