O Bruce Schneier já escreveu bastante sobre os riscos dos processos eleitorais eletrônicos em seu blog. Há alguns dias ele escreveu uma análise da questão muito interessante porque sumariza a maioria dos problemas envolvidos. Segue minha tradução do texto.
Na semana passada, no 13º distrito congressional da Flórida, a margem de vitória foi de apenas 386 votos num total de 153.000. Haverá uma recontagem mandatória, mas ela não incluirá os quase 18.000 votos que parecem ter desaparecido. As urnas eletrônicas não os incluíram em seus registros finais e não há backups que sirvam para a recontagem. O distrito escolherá um vencedor para a cadeira em Washington, mas não será porque eles terão certeza de que a maioria votou por ele. Talvez sim, talvez não. Não há como saber.
As urnas eletrônicas representam uma grave ameaça para eleições justas e corretas, uma ameaça que deveria preocupar a todo estadunidense -- seja ele republicano, democrata ou independente. Por serem baseadas em computadores, as ações deliberadas ou acidentais de uns poucos podem afetar o resultado de toda uma eleição. A solução: cédulas de papel, que podem ser verificadas pelos eleitores e recontadas, se necessário.
Para entender a segurança das urnas eletrônicas você precisa antes considerar a segurança do processo eleitoral como um todo. O objetivo de qualquer sistema eleitoral é capturar a intenção de cada eleitor e somá-las gerando uma somatória consolidada. Na prática isso ocorre através de uma série de transferências. Quando eu votei na semana passada, eu transferi minha intenção para uma cédula de papel, que foi então transferida para uma máquina de tabulação através de uma leitora óptica; no fim da noite, as somas individuais dessas máquinas foram transferidas por oficiais eleitorais para uma central de processamento e combinadas em um resultado único que eu vi na televisão.
Todos os problemas eleitorais são erros introduzidos em uma dessas transferências, seja cadastro errado de eleitores, cédulas confusas, máquinas que não funcionam ou erros de contagem de votos. Mesmo em operação normal cada um desses passos pode introduzir erros. A correção do resultado, portanto, é uma questão de (1) minimizar o número de transferências e (2) aumentar a confiabilidade de cada passo.
Grande parte da segurança de nossas eleições é baseada na "competição de interesses". Cada passo, com exceção do preenchimento do voto pelos eleitores em cédulas anônimas, é testemunhado por delegados de cada partido majoritário; isto garante que qualquer ação maliciosa de uma parte -- ou mesmo erros honestos -- serão detectados pelos observadores do outro partido. Este sistema não é perfeito, mas ele tem funcionado bem nos últimos duzentos anos.
Eleições eletrônicas são como um iceberg; as ameaças reais estão abaixo da superfície, onde não se pode vê-las. Urnas eletrônicas que não imprimem o voto em papel subvertem este processo de segurança, permitindo que um pequeno grupo de pessoas -- ou mesmo um único hacker -- seja capaz de afetar toda uma eleição. O problema é o software -- programas invisíveis e que não podem ser verificados por um time de juízes eleitorais republicanos ou democratas, programas que podem alterar drasticamente o resultado final da eleição. E como tudo o que resta ao final do dia são as somatórias eletrônicas, não há como verificar os resultados ou realizar uma recontagem. Recontagens são importantes.
Este não é um problema teórico. Nos EUA existem centenas de casos documentados sobre urnas eletrônicas distorcendo o voto em detrimento de candidatos dos dois partidos políticos: urnas perdendo votos, trocando os votos dos candidatos, registrando mais votos que o total de eleitores e não registrando voto algum. Eu sinceramente gostaria de acreditar que todos esses casos foram erros e não fraudes deliberadas, mas a verdade é que nós não temos como saber. E estes são apenas os problemas detectados; é quase certo que muitos outros problemas passaram despercebidos porque ninguém estava prestando atenção.
Isto é ao mesmo tempo novo e terrível. Historicamente, fraudes eleitorais em grande escala sempre foram muito difíceis de implementar, pois requeriam ações muito ostensivas ou um governo muito corrupto -- ou ambos. Mas eleições eletrônicas são diferentes: um hacker solitário pode afetar uma eleição. Ele pode realizar seu trabalho secretamente antes de as urnas serem despachadas para os locais de votação. Ele pode afetar as urnas eletrônicas de toda uma região. E ele pode cobrir seus rastros completamente, escrevendo código que se auto-remove depois da eleição.
Isso, assumindo que as urnas eletrônicas sejam bem projetadas. As urnas reais, vendidas por empresas como a Diebold, a Sequoia Voting Systems e a Election Systems & Software são muito piores. O software é pessimamente projetado. As urnas são "protegidas" por chaves de frigobar. As somatórias dos votos são armazenadas em arquivos facilmente modificáveis. As urnas podem ser infectadas por vírus. O software de algumas destas urnas usa o Microsoft Windows, com todos os bugs, travamentos e vulnerabilidades de segurança que ele introduz. A lista de práticas inadequadas de segurança é interminável.
As empresas que fabricam urnas eletrônicas contra-argumentam que estes ataques são impossíveis porque as urnas nunca são deixadas sem vigilância (são sim), os cartões de memória que armazenam os votos são cuidadosamente controlados (não são) e tudo é supervisionado (não é). Sim, eles estão mentindo, mas também não estão entendendo o problema.
Nós não deveríamos -- e não precisamos -- ter que aceitar urnas eletrônicas que podem algum dia ser seguras quando uma longa lista de procedimentos operacionais forem seguidos precisamente. Nós precisamos de urnas eletrônicas que sejam seguras independentemente de como elas sejam programadas, manipuladas e usadas, e que possam ser confiáveis mesmo se forem vendidas por uma empresa afiliada a algum partido ou uma empresa com possíveis ligações com a Venezuela.
Parece uma tarefa impossível, mas, na verdade a solução é surpreendentemente simples. O truque é utilizar urnas eletrônicas como impressoras de cédulas. Vote usando qualquer sistema automático e eletrônico de tela-ativa que você prefira: uma máquina que não mantenha registros ou somatórias dos votos, mas que apenas imprima o voto em papel. O eleitor pode verificá-lo, pra ter certeza do voto, e depositá-lo em uma urna provida de um scanner óptico. A urna detecta o voto e provê a somatória inicial, enquanto as cédulas impressas em papel provêm os meios necessários para uma eventual recontagem. E as cédulas dos ausentes ou de backup podem ser contadas da mesma maneira. Você pode até mesmo abrir mão da máquina impressora do voto e preenchê-los a mão, como fazemos em Minnesota. Ou executar uma eleição 100% pelo correio, como fazem em Oregon. Novamente, cédulas de papel são a chave da solução.
Papel? Sim, papel. Uma pilha de papel é mais difícil de modificar que um número na memória de um computador. Os eleitores podem ver seus votos em papel, independentemente do que acontece dentro do computador. E, mais importante, todo o mundo entende papel. Temos problemas com nossas contas telefônicas e com débitos indevidos em nossas contas de cartão de crédito, mas quando foi a última vez que você teve problemas com uma cédula de 20 dólares? Sabemos como contar papel. Os bancos contam papel o tempo todo. Tanto o Canadá quanto a Inglaterra contam cédulas de papel sem problemas, assim como a Suíça. Nós também podemos fazê-lo. Num mundo cheio de travamentos, vírus e hackers, uma solução de baixa tecnologia é a mais segura.
Urnas eletrônicas seguras são apenas um dos componentes de uma eleição justa e honesta, mas elas são uma parte cada vez mais importante. Elas são o componente onde um atacante dedicado pode cometer a fraude da maneira mais efetiva (e sabemos que alterar o resultado pode render milhões). Mas não deveríamos nos esquecer de outras táticas de supressão de votos: indicar aos eleitores o local ou a data errada da eleição, tirar os eleitores registrados da lista oficial, colocar urnas insuficientes nos locais de eleição ou encarecer o processo de registro dos eleitores. (Por estranho que pareça, votos de eleitores inelegíveis não são um problema nos EUA, apesar da retórica política dizendo o contrário; todo estudo mostra que o número destes eleitores é tão pequeno que se torna insignificante. E requerer identificação fotográfica na verdade causa mais problemas do que é capaz de resolver.)
As eleições são uma questão tanto de tecnologia quanto de percepção. Não basta o resultado ser matematicamente correto; todos os cidadãos precisam poder confiar no processo e acreditar nos resultados. Em todo o mundo, as pessoas protestam depois de uma eleição não porque o seu candidato tenha perdido, mas porque elas acreditam que ele tenha perdido injustamente. É vital para uma democracia que o processo eleitoral determine corretamente o vencedor e convença adequadamente o perdedor. Nos EUA, estamos perdendo a batalha da percepção.
As urnas eletrônicas que temos disponíveis no momento falham nestes dois quesitos. Os resultados do 13º distrito congressional da Flórida não corretos e tampouco convincentes. Como uma democracia, nós merecemos mais. Devemos nos recusar a votar em urnas eletrônicas que não ofereçam a garantia de uma cédula de papel e continuar a pressionar nossos legisladores para implementar tecnologia de votação que funcione.
Este ensaio apareceu originalmente na Forbes.com.
Avi Rubin escreveu um bom ensaio sobre eleições pra Forbes também.
Todos os problemas eleitorais são erros introduzidos em uma dessas transferências, seja cadastro errado de eleitores, cédulas confusas, máquinas que não funcionam ou erros de contagem de votos. Mesmo em operação normal cada um desses passos pode introduzir erros. A correção do resultado, portanto, é uma questão de (1) minimizar o número de transferências e (2) aumentar a confiabilidade de cada passo.
Grande parte da segurança de nossas eleições é baseada na "competição de interesses". Cada passo, com exceção do preenchimento do voto pelos eleitores em cédulas anônimas, é testemunhado por delegados de cada partido majoritário; isto garante que qualquer ação maliciosa de uma parte -- ou mesmo erros honestos -- serão detectados pelos observadores do outro partido. Este sistema não é perfeito, mas ele tem funcionado bem nos últimos duzentos anos.
Eleições eletrônicas são como um iceberg; as ameaças reais estão abaixo da superfície, onde não se pode vê-las. Urnas eletrônicas que não imprimem o voto em papel subvertem este processo de segurança, permitindo que um pequeno grupo de pessoas -- ou mesmo um único hacker -- seja capaz de afetar toda uma eleição. O problema é o software -- programas invisíveis e que não podem ser verificados por um time de juízes eleitorais republicanos ou democratas, programas que podem alterar drasticamente o resultado final da eleição. E como tudo o que resta ao final do dia são as somatórias eletrônicas, não há como verificar os resultados ou realizar uma recontagem. Recontagens são importantes.
Este não é um problema teórico. Nos EUA existem centenas de casos documentados sobre urnas eletrônicas distorcendo o voto em detrimento de candidatos dos dois partidos políticos: urnas perdendo votos, trocando os votos dos candidatos, registrando mais votos que o total de eleitores e não registrando voto algum. Eu sinceramente gostaria de acreditar que todos esses casos foram erros e não fraudes deliberadas, mas a verdade é que nós não temos como saber. E estes são apenas os problemas detectados; é quase certo que muitos outros problemas passaram despercebidos porque ninguém estava prestando atenção.
Isto é ao mesmo tempo novo e terrível. Historicamente, fraudes eleitorais em grande escala sempre foram muito difíceis de implementar, pois requeriam ações muito ostensivas ou um governo muito corrupto -- ou ambos. Mas eleições eletrônicas são diferentes: um hacker solitário pode afetar uma eleição. Ele pode realizar seu trabalho secretamente antes de as urnas serem despachadas para os locais de votação. Ele pode afetar as urnas eletrônicas de toda uma região. E ele pode cobrir seus rastros completamente, escrevendo código que se auto-remove depois da eleição.
Isso, assumindo que as urnas eletrônicas sejam bem projetadas. As urnas reais, vendidas por empresas como a Diebold, a Sequoia Voting Systems e a Election Systems & Software são muito piores. O software é pessimamente projetado. As urnas são "protegidas" por chaves de frigobar. As somatórias dos votos são armazenadas em arquivos facilmente modificáveis. As urnas podem ser infectadas por vírus. O software de algumas destas urnas usa o Microsoft Windows, com todos os bugs, travamentos e vulnerabilidades de segurança que ele introduz. A lista de práticas inadequadas de segurança é interminável.
As empresas que fabricam urnas eletrônicas contra-argumentam que estes ataques são impossíveis porque as urnas nunca são deixadas sem vigilância (são sim), os cartões de memória que armazenam os votos são cuidadosamente controlados (não são) e tudo é supervisionado (não é). Sim, eles estão mentindo, mas também não estão entendendo o problema.
Nós não deveríamos -- e não precisamos -- ter que aceitar urnas eletrônicas que podem algum dia ser seguras quando uma longa lista de procedimentos operacionais forem seguidos precisamente. Nós precisamos de urnas eletrônicas que sejam seguras independentemente de como elas sejam programadas, manipuladas e usadas, e que possam ser confiáveis mesmo se forem vendidas por uma empresa afiliada a algum partido ou uma empresa com possíveis ligações com a Venezuela.
Parece uma tarefa impossível, mas, na verdade a solução é surpreendentemente simples. O truque é utilizar urnas eletrônicas como impressoras de cédulas. Vote usando qualquer sistema automático e eletrônico de tela-ativa que você prefira: uma máquina que não mantenha registros ou somatórias dos votos, mas que apenas imprima o voto em papel. O eleitor pode verificá-lo, pra ter certeza do voto, e depositá-lo em uma urna provida de um scanner óptico. A urna detecta o voto e provê a somatória inicial, enquanto as cédulas impressas em papel provêm os meios necessários para uma eventual recontagem. E as cédulas dos ausentes ou de backup podem ser contadas da mesma maneira. Você pode até mesmo abrir mão da máquina impressora do voto e preenchê-los a mão, como fazemos em Minnesota. Ou executar uma eleição 100% pelo correio, como fazem em Oregon. Novamente, cédulas de papel são a chave da solução.
Papel? Sim, papel. Uma pilha de papel é mais difícil de modificar que um número na memória de um computador. Os eleitores podem ver seus votos em papel, independentemente do que acontece dentro do computador. E, mais importante, todo o mundo entende papel. Temos problemas com nossas contas telefônicas e com débitos indevidos em nossas contas de cartão de crédito, mas quando foi a última vez que você teve problemas com uma cédula de 20 dólares? Sabemos como contar papel. Os bancos contam papel o tempo todo. Tanto o Canadá quanto a Inglaterra contam cédulas de papel sem problemas, assim como a Suíça. Nós também podemos fazê-lo. Num mundo cheio de travamentos, vírus e hackers, uma solução de baixa tecnologia é a mais segura.
Urnas eletrônicas seguras são apenas um dos componentes de uma eleição justa e honesta, mas elas são uma parte cada vez mais importante. Elas são o componente onde um atacante dedicado pode cometer a fraude da maneira mais efetiva (e sabemos que alterar o resultado pode render milhões). Mas não deveríamos nos esquecer de outras táticas de supressão de votos: indicar aos eleitores o local ou a data errada da eleição, tirar os eleitores registrados da lista oficial, colocar urnas insuficientes nos locais de eleição ou encarecer o processo de registro dos eleitores. (Por estranho que pareça, votos de eleitores inelegíveis não são um problema nos EUA, apesar da retórica política dizendo o contrário; todo estudo mostra que o número destes eleitores é tão pequeno que se torna insignificante. E requerer identificação fotográfica na verdade causa mais problemas do que é capaz de resolver.)
As eleições são uma questão tanto de tecnologia quanto de percepção. Não basta o resultado ser matematicamente correto; todos os cidadãos precisam poder confiar no processo e acreditar nos resultados. Em todo o mundo, as pessoas protestam depois de uma eleição não porque o seu candidato tenha perdido, mas porque elas acreditam que ele tenha perdido injustamente. É vital para uma democracia que o processo eleitoral determine corretamente o vencedor e convença adequadamente o perdedor. Nos EUA, estamos perdendo a batalha da percepção.
As urnas eletrônicas que temos disponíveis no momento falham nestes dois quesitos. Os resultados do 13º distrito congressional da Flórida não corretos e tampouco convincentes. Como uma democracia, nós merecemos mais. Devemos nos recusar a votar em urnas eletrônicas que não ofereçam a garantia de uma cédula de papel e continuar a pressionar nossos legisladores para implementar tecnologia de votação que funcione.
Este ensaio apareceu originalmente na Forbes.com.
Avi Rubin escreveu um bom ensaio sobre eleições pra Forbes também.
© 2006 Bruce Schneier
É interessante que as urnas eletrônicas usadas no Brasil já contêm uma impressora usada para gerar os relatórios finais de votação em papel. Não deveria ser muito mais caro acoplá-las a umas daquelas antigas urnas de lona, de modo que ao votar o eleitor pudesse ler seu voto impresso, conferi-lo e depositá-lo na urna antiga. Imagino que só isso já conferiria um grau de auditabilidade muito maior, permitindo que eventuais recontagens fossem feitas com a abertura das urnas de lona.
O Schneier propõe um sistema mais complexo, envolvendo duas máquinas. O eleitor vota na primeira máquina que imprime o voto. O eleitor pega o voto e insere na segunda máquina que é uma urna com um scanner óptico, capaz de ler o voto do papel e de somá-lo ao total de votos. O resultado final é obtido da segunda máquina.
Mas em que estes sistema é melhor que o primeiro? Não consegui encontrar uma explicação direta, mas imagino que seja a garantia da privacidade do voto. Lembrem-se que quando vamos votar por aqui o fiscal insere nossos dados no sistema pra liberar a urna. Seria perfeitamente possível ao sistema relacionar meu título de eleitor ao meu voto. Mas no sistema de duas máquinas isto já não é mais possível. O voto impresso não deve conter nenhuma identificação do eleitor, de modo que a urna não conseguiria fazer a correlação. Já a máquina de votação não deve gerar nenhum relatório, sendo meramente uma impressora de votos.
É impressionante, mas creio que os custos pra implantar um sistema como este seriam maiores que uma mera adaptação das urnas atuais para imprimir o voto e depositá-lo numa urna sem scanner. Na minha opinião deveríamos adotar um sistema simples como esse já e estudar a propriedade de adotarmos o sistema mais complexo no futuro.
É interessante saber que as urnas brasileiras têm parentesco com as americanas. A Procomp, fabricante original das urnas brasileiras, foi comprada pela Procomp há alguns anos. De acordo com o ótimo artigo do Eng. Amílcar Brunazo Filho, 2/3 das urnas brasileiras ainda utilizam a tecnologia original, baseada num sistema operacional DOS-like. As 1/3 mais recentes utilizam essencialmente o sistema das urnas americanas da Diebold, baseados no Windows CE.
As conclusões deste artigo são preocupantes. Ele diz que o TSE tem-se recusado a permitir que sejam realizados testes de penetração nas urnas eletrônicas brasileiras. Tanto o PT quanto o PDT já fizeram petições formais ao TSE neste sentido mas elas foram ou ignoradas ou indeferidas. Essa história é contada em detalhes em outro artigo de Brunazo. Lendo a história quero crer que haja um misto de ignorância em relação aos riscos envolvidos e de prepotência guiando estas atitudes do TSE. A alternativa seria maquiavélica demais pra cogitar.
(Agradeço ao meu colega Marcos Ide pelas longas e por vezes acaloradas discussões sobre este assunto.)
Nenhum comentário:
Postar um comentário