Nos últimos 21 anos, os brasileiros puderam conhecer seus novos governantes pouquíssimo tempo depois do encerramento das eleições. Responsáveis por essa agilidade na apuração dos votos, as urnas eletrônicas foram utilizadas pela primeira vez nas eleições municipais de 1996, quando um terço dos eleitores deixou a cédula de papel no passado. Já em 2000, todas as zonas eleitorais do país contaram com o voto eletrônico. No primeiro turno das eleições gerais de 2014, às 19h56m28s já tinham sido apurados 91% dos votos válidos, o que tornou possível conhecer o resultado matemático do pleito em tempo recorde.

Em 2018 haverá outro marco, já que uma pequena porcentagem das urnas contará também com um comprovante impresso, reforço na segurança do instrumento que é a principal ferramenta de participação democrática no país, possibilitando uma auditoria do resultado eletrônico com uma possibilidade de recontagem dos votos impressos. Mas será que esse procedimento é realmente necessário? As urnas eletrônicas brasileiras já não são seguras o suficiente? Especialistas em segurança da computação e o Tribunal Superior Eleitoral (TSE) divergem em relação a isso.

Ainda neste contexto, uma polêmica reacendeu a discussão sobre a segurança das urnas eletrônicas, em julho. Realizada anualmente, a Defcon, maior conferência hacker do mundo, costuma propor desafios aos participantes, para que tentassem invadir sistemas considerados seguros. Dessa vez, a prova era tentar penetrar em alguns modelos de urnas eletrônicas usadas nos Estados Unidos. Mais de 30 deles foram testados e todos foram invadidos, alguns em pouco mais de uma hora, sendo que apenas um deles não é mais usado nos pleitos norte-americanos. Entre os modelos, porém, nenhum era compatível com as máquinas usadas no Brasil.

Para o secretário de Tecnologia da Informação do TSE, Giuseppe Dutra Janino, não há motivo para preocupação, já que muitas são as diferenças entre as urnas brasileiras e as invadidas pelos hackers. “Estavam habilitados nessas máquinas acessos via rede, com ou sem fio, e utilização de teclados externos. Mecanismos que inexistem nas urnas brasileiras”, explica. Ele detalha que as máquinas brasileiras funcionam totalmente off-line e não permitem nenhum acesso via rede, não utilizam touchscreen e têm seu software, que é desenvolvido pelo próprio TSE, constantemente aprimorado e atualizado. Nos Estados Unidos, tanto as urnas quanto os softwares são produtos comerciais, desenvolvidos pelas empresas fornecedoras dos equipamentos.

 

Janino esclarece que existe um sistema eletrônico complexo que garante a segurança das urnas brasileiras e que não inclui apenas a coleta de votos e da apuração, mas também o cadastro de eleitores e o registro de candidaturas, passando pela prestação de contas e pela totalização e divulgação dos votos. Tudo feito de forma automatizada para minimizar a intervenção humana, procurando garantir a integridade e autenticidade dos dados. “Entre os sistemas, toda a troca de informações é verificada mediante assinaturas digitais e, em alguns casos, criptografia. Não é possível, portanto, que algum intruso insira ou adultere informações que levem a adicionar ou alterar votos, incluir ou excluir candidatos, dentre outros ataques”, assegura.

 

Detalhadamente, ele explica que a urna e os sistemas são construídos para que, se detectada alguma anomalia, seja emitido um código de erro. “Qualquer tentativa de adulteração do software será verificada e não será possível prosseguir com a coleta de votos ou apuração. Caso alguém tente inserir um software ou sistema operacional diferente do oficial, um hardware criptográfico de segurança verificará que tais sistemas não foram elaborados pelo TSE e não permitirá a inicialização da urna”, reitera.

Segundo o TSE, do processo eleitoral resultam arquivos que são disponibilizados aos partidos políticos e à sociedade. Entre esses arquivos estão o Registro Digital do Voto, registros de eventos de cada urna eletrônica, os chamados de logs de urna, de associação do número interno de cada uma com a seção eleitoral antes e depois da eleição, resultados de cada seção eleitoral, entre outros.

Também são feitos diversos testes na Justiça Eleitoral. Durante o desenvolvimento há testes internos, simulados, outros em campo feitos nos tribunais regionais, além do Teste Público de Segurança (TPS) e da Votação Paralela. Nos testes públicos, qualquer brasileiro acima de 18 anos pode executar planos de ataque ao sistema para provar alguma vulnerabilidade. Na votação paralela, urnas já preparadas são sorteadas na véspera da votação e ficam recebendo votos fictícios e sendo filmadas. Isso garante que a urna está recebendo e computando adequadamente os votos. 

E foi em um desses testes públicos, o anterior às eleições de 2012, que a equipe do professor da Universidade Estadual de Campinas (Unicamp) Diego Aranha, especialista em segurança da computação e criptografia, encontrou uma vulnerabilidade nas urnas eletrônicas. Graças a essa fragilidade foi possível derrotar o mecanismo de segurança implementado no software que atua na proteção do sigilo do voto. “Utilizando a vulnerabilidade, minha equipe conseguiu recuperar a lista ordenada dos votos em eleições simuladas com até 475 eleitores a partir unicamente de informação pública, com impacto potencial até em eleições passadas. De posse da lista ordenada de eleitores, foi possível determinar com certeza matemática as escolhas de cada um deles”, explica. Segundo Aranha, isso permitiria determinar com exatidão a escolha de alguns eleitores ilustres que votaram em instantes de tempo específicos, por exemplo.

 

Além desse ponto fraco no sigilo do voto, a equipe detectou também outros que, segundo Aranha, abrem possibilidade para uma adulteração ou substituição do software de votação por uma versão que conta os votos de forma desonesta. Ele critica o fato de o sistema de votação brasileiro ter unicamente um registro eletrônico dos votos. “Consequência direta disso é que tanto o sigilo do voto quanto integridade dos resultados dependem diretamente da qualidade do software de votação e de sua resistência contra manipulação por agentes internos e externos. Com exceção dos técnicos da Justiça Eleitoral, não se conhece plenamente o funcionamento do sistema de votação nos seus mínimos detalhes, até porque o código é gigantesco, são mais de 13 milhões de linhas e ele não está amplamente acessível. Entretanto, mesmo com esses obstáculos e as restrições impostas pelo TSE nos testes que realiza, diversas vulnerabilidades já foram encontradas”, lembra. O tribunal não fez testes em 2014 e em 2016 introduziu um termo de sigilo obrigatório que, segundo Aranha, inviabilizou a sua participação no teste.

Para ele, mesmo que as fragilidades encontradas em 2012 tenham sido corrigidas pontualmente, o que não pode atestar pessoalmente já que não participou de mais testes, seu conjunto denuncia um processo de projeto e desenvolvimento de software defeituoso. “O sistema é incapaz de detectar trechos de código inseguros inseridos no software por acidente ou sabotagem, e ignora completamente a possibilidade de fraude promovida por agentes internos”.

Sobre a alegação do TSE de que já que as urnas não estão conectadas a nenhuma rede, são completamente seguras, Aranha pondera que, mesmo desconectadas, elas usam a internet indiretamente para receber software ou transmitir resultados. “Esse tipo de ameaça precisa ser considerada, além de potenciais agentes fraudadores internos com acesso privilegiado ao sistema”, diz, ressaltando que as vulnerabilidades encontradas até agora certamente teriam impacto amplificado se exploradas por agentes dentro da Justiça Eleitoral.

Entretanto, para o especialista, os testes são desejáveis, mesmo que os classifique também como insuficientes. Entre os motivos, Aranha cita o obstáculo de ter que examinar uma quantidade gigantesca de código em poucos dias, sob a supervisão do TSE, sem poder usar papel e caneta. Além disso, critica o termo de sigilo. “Pela falta de segurança jurídica, muitos investigadores desistem de participar dos testes”, sendo que, segundo ele, o termo não tem nenhum efeito sobre um fiscal malicioso interessado em vazar informação coletada nos testes.

Outra preocupação é a de que o código analisado não seja aquele realmente utilizado no dia da eleição. “Não há nenhuma garantia de que o código examinado nos testes será de fato utilizado nas eleições, pois o desenvolvimento do sistema continua até a eleição seguinte e pode introduzir novas vulnerabilidades. Como as eleições dependem unicamente de software, atualmente votamos com confiança incondicional na autoridade eleitoral e seus processos, algo que não faz qualquer sentido do ponto de vista de segurança”, defende.

Em relação à transparência, o TSE afirma que os códigos-fonte são, ao final dos pleitos, transformados em sistemas compilados em cerimônia pública e que, seis meses antes das eleições, são disponibilizados aos partidos políticos, à OAB, ao Ministério Público e a universidades. “Com essa publicação e a geração dos sistemas publicamente com a assinatura digital de várias instituições, não é possível, nem mesmo para os desenvolvedores dos sistemas no TSE, inserir códigos ou instruções maliciosas”, reafirma Janino. 

 

Classificado por uns como retrocesso aos tempos da cédula em papel e por outros como reforço de um sistema com muitas falhas, o fato é que o voto impresso é resultado da reforma eleitoral de 2015 e passa a valer em 2018. A implantação será gradual e o TSE trabalha para a elaboração de novo modelo da urna eletrônica, que contará com um visor de acrílico por meio do qual o eleitor verá, impresso, o voto que digitou na urna eletrônica, visível também na máquina. Caso confirme o voto, a impressão cairá em uma urna inviolável. Caso não confirme, a impressão cairá na urna, mas com a palavra “cancelado” impressa no papel.

O eleitor não terá contato nenhum com o comprovante impresso, muito menos o levará para casa. Está especificado no artigo 59-A da Lei 9.504 que “a urna imprimirá o registro de cada voto, que será depositado, de forma automática e sem contato manual do eleitor, em local previamente lacrado”. Para concluir o processo de votação, o eleitor precisará confirmar a correspondência entre o teor do seu voto e o registro impresso e exibido pela urna eletrônica.  

Para Janino, do TSE, na visão técnica do órgão o voto impresso abre margem a alguns tipos de ataques e não atende o propósito de aumentar a segurança do pleito. “Se houver discrepância na contagem dos votos impressos com a contagem eletrônica, não há como distinguir qual resultado é o correto. O problema é que a simples manipulação dos votos impressos, como a retirada de alguns, por exemplo, já provocaria uma discrepância. Assim, a sabotagem é favorecida, pois pode-se provocar divergências de votos eletrônicos e impressos em regiões onde o candidato opositor é mais forte. Como não se pode associar individualmente o voto, sob pena de fragilizar ou quebrar-lhe o sigilo, não há como descobrir onde houve a manipulação”, pondera. 

Outra preocupação de Janino é em relação à custódia dos votos impressos. Ao eleitor, vai ser permitido ver o registro impresso do voto, mas não este sendo auditado posteriormente. Ele explica que não se pode distinguir qualquer deles, isso acarretaria a quebra de sigilo, e poderia permitir a coação ou venda. “Assim como acontecia na votação manual, o que o eleitor vê e o que será efetivamente contado será tutelado fisicamente. Por outro lado, a urna eletrônica garante essa custódia pela integridade digital do conjunto de votos, com inúmeras barreiras de segurança. O TSE está buscando meios para mitigar as vulnerabilidades em função da adoção do voto impresso, mas há uma relação de compromisso entre a garantia dessa integridade e o sigilo”.

Para Aranha, se o voto impresso for implantado corretamente, com depósito automático em urna convencional, será possível verificar a integridade da contagem eletrônica a partir da contagem dos registros impressos e conferidos pelos eleitores. “Isso aumentará significativamente a dificuldade de uma fraude indetectável ao exigir que intervenções perfeitamente coerentes sejam realizadas nas versões digital e impressa. Em resumo, a introdução do voto impresso procura tornar transparente a contagem eletrônica dos votos, ao produzir uma evidência verificável pelo eleitor do comportamento honesto do sistema”, afirma, lembrando que a experiência de outros países pode ser aproveitada na implantação no Brasil, usando o voto impresso na conferência entre a contagem, não só para a recontagem. 

 

O engenheiro Amilcar Brunazo faz parte do Comitê Multidisciplinar Independente e acompanha o desenvolvimento dos sistemas eleitorais do TSE desde 2000. Ele defende a ideia da auditoria pelo voto impresso, além do eletrônico, com a finalidade de dificultar fraudes pelos softwares das urnas. Brunazo destaca que outros países com voto eletrônico já utilizam essa solução. Entretanto, lamenta que a implementação no Brasil não seja geral já nas próximas eleições.

Outra crítica do engenheiro é relacionada à concentração de funções do TSE. “Não há tripartição de poderes no processo eleitoral brasileiro. Uma única entidade detém as funções jurídico, normativa e administrativa. Isso resulta em corporativismo, autoritarismo e falta de transparência”, salienta.

Para Brunazo, a solução é criar um órgão de administração eleitoral independente dos demais poderes judiciário e normativo. “Desta forma, ao TSE caberia apenas a estrita função judicial, para que passe a existir uma fiscalização independente efetiva no processo eleitoral, pois a fiscalização permitida atualmente é totalmente regulada e restringida pela autoridade jurídico/administrativa eleitoral”. 

O presidente da Comissão de Direito Eleitoral da OAB/RJ, Eduardo Damian, entende que as eleições no país já são seguras e transparentes. Para ele, os testes realizados pelo TSE são suficientes, porém o tribunal precisa ter uma preocupação constante em sempre aprimorar e intensificar os testes, para que o sistema esteja em constante aperfeiçoamento.

Em relação ao voto impresso, Damian acredita que é um custo muito alto para o sistema eleitoral brasileiro. Segundo projeção do TSE, a impressão nos próximos dez anos vai custar R$ 2,5 bilhões aos cofres públicos. “Uma das grandes qualidades que temos é a agilidade na divulgação dos resultados das eleições. Com o retorno de um voto impresso, teremos uma possível conferência, contagem das cédulas impressas, para confrontar com o resultado das urnas. Havendo o manuseio das cédulas, pode haver fraude. Esse não é um sistema que vai melhorar a apuração das eleições”, diz. Atualmente, um eleitor fica, em média, 40 segundos diante da urna. Esse tempo deve aumentar, mas o TSE ainda não fez o cálculo dessa demora.

Para Damian, a melhor forma de aprimorar o sistema eleitoral é com a redução dos gastos de campanha. “Pode haver uma redução significativa nesses gastos, principalmente com o horário eleitoral gratuito, tendo em vista que hoje, com a internet e as redes sociais, o candidato pode ter uma comunicação intensa e diária com os eleitores”, defende.