Urnas Eletrônicas e Segurança

2006-12-13

A questão da segurança do processo eleitoral baseado em urnas eletrônicas é bastante controvertida. Acho que a maioria de nós, brasileiros, tem dificuldade em analisar criticamente essa questão. Afinal, dá um certo orgulho ver que o nosso sistema é mais moderno e eficiente que os sistemas eleitorais da maioria dos países mais evoluídos. Mas fechar os olhos pra essa questão é muito perigoso. Afinal, o risco é sempre proporcional ao valor daquilo que se quer proteger, e há poucos “prêmios” mais valiosos pra um ladrão que um cargo político.

O Bruce Schneier já escreveu bastante sobre os riscos dos processos eleitorais eletrônicos em seu blog. Há alguns dias ele escreveu uma análise da questão muito interessante porque sumariza a maioria dos problemas envolvidos. Segue minha tradução do texto.

Na semana passada, no 13º distrito congressional da Flórida, a margem de vitória foi de apenas 386 votos num total de 153.000. Haverá uma recontagem mandatória, mas ela não incluirá os quase 18.000 votos que parecem ter desaparecido. As urnas eletrônicas não os incluíram em seus registros finais e não há backups que sirvam para a recontagem. O distrito escolherá um vencedor para a cadeira em Washington, mas não será porque eles terão certeza de que a maioria votou por ele. Talvez sim, talvez não. Não há como saber.

As urnas eletrônicas representam uma grave ameaça para eleições justas e corretas, uma ameaça que deveria preocupar a todo estadunidense — seja ele republicano, democrata ou independente. Por serem baseadas em computadores, as ações deliberadas ou acidentais de uns poucos podem afetar o resultado de toda uma eleição. A solução: cédulas de papel, que podem ser verificadas pelos eleitores e recontadas, se necessário.

Para entender a segurança das urnas eletrônicas você precisa antes considerar a segurança do processo eleitoral como um todo. O objetivo de qualquer sistema eleitoral é capturar a intenção de cada eleitor e somá-las gerando uma somatória consolidada. Na prática isso ocorre através de uma série de transferências. Quando eu votei na semana passada, eu transferi minha intenção para uma cédula de papel, que foi então transferida para uma máquina de tabulação através de uma leitora óptica; no fim da noite, as somas individuais dessas máquinas foram transferidas por oficiais eleitorais para uma central de processamento e combinadas em um resultado único que eu vi na televisão.

Todos os problemas eleitorais são erros introduzidos em uma dessas transferências, seja cadastro errado de eleitores, cédulas confusas, máquinas que não funcionam ou erros de contagem de votos. Mesmo em operação normal cada um desses passos pode introduzir erros. A correção do resultado, portanto, é uma questão de (1) minimizar o número de transferências e (2) aumentar a confiabilidade de cada passo.

Grande parte da segurança de nossas eleições é baseada na “competição de interesses”. Cada passo, com exceção do preenchimento do voto pelos eleitores em cédulas anônimas, é testemunhado por delegados de cada partido majoritário; isto garante que qualquer ação maliciosa de uma parte — ou mesmo erros honestos — serão detectados pelos observadores do outro partido. Este sistema não é perfeito, mas ele tem funcionado bem nos últimos duzentos anos.

Eleições eletrônicas são como um iceberg; as ameaças reais estão abaixo da superfície, onde não se pode vê-las. Urnas eletrônicas que não imprimem o voto em papel subvertem este processo de segurança, permitindo que um pequeno grupo de pessoas — ou mesmo um único hacker — seja capaz de afetar toda uma eleição. O problema é o software — programas invisíveis e que não podem ser verificados por um time de juízes eleitorais republicanos ou democratas, programas que podem alterar drasticamente o resultado final da eleição. E como tudo o que resta ao final do dia são as somatórias eletrônicas, não há como verificar os resultados ou realizar uma recontagem. Recontagens são importantes.

Este não é um problema teórico. Nos EUA existem centenas de casos documentados sobre urnas eletrônicas distorcendo o voto em detrimento de candidatos dos dois partidos políticos: urnas perdendo votos, trocando os votos dos candidatos, registrando mais votos que o total de eleitores e não registrando voto algum. Eu sinceramente gostaria de acreditar que todos esses casos foram erros e não fraudes deliberadas, mas a verdade é que nós não temos como saber. E estes são apenas os problemas detectados; é quase certo que muitos outros problemas passaram despercebidos porque ninguém estava prestando atenção.

Isto é ao mesmo tempo novo e terrível. Historicamente, fraudes eleitorais em grande escala sempre foram muito difíceis de implementar, pois requeriam ações muito ostensivas ou um governo muito corrupto — ou ambos. Mas eleições eletrônicas são diferentes: um hacker solitário pode afetar uma eleição. Ele pode realizar seu trabalho secretamente antes de as urnas serem despachadas para os locais de votação. Ele pode afetar as urnas eletrônicas de toda uma região. E ele pode cobrir seus rastros completamente, escrevendo código que se auto-remove depois da eleição.

Isso, assumindo que as urnas eletrônicas sejam bem projetadas. As urnas reais, vendidas por empresas como a Diebold, a Sequoia Voting Systems e a Election Systems & Software são muito piores. O software é pessimamente projetado. As urnas são “protegidas” por chaves de frigobar. As somatórias dos votos são armazenadas em arquivos facilmente modificáveis. As urnas podem ser infectadas por vírus. O software de algumas destas urnas usa o Microsoft Windows, com todos os bugs, travamentos e vulnerabilidades de segurança que ele introduz. A lista de práticas inadequadas de segurança é interminável.

As empresas que fabricam urnas eletrônicas contra-argumentam que estes ataques são impossíveis porque as urnas nunca são deixadas sem vigilância (são sim), os cartões de memória que armazenam os votos são cuidadosamente controlados (não são) e tudo é supervisionado (não é). Sim, eles estão mentindo, mas também não estão entendendo o problema.

Nós não deveríamos — e não precisamos — ter que aceitar urnas eletrônicas que podem algum dia ser seguras quando uma longa lista de procedimentos operacionais forem seguidos precisamente. Nós precisamos de urnas eletrônicas que sejam seguras independentemente de como elas sejam programadas, manipuladas e usadas, e que possam ser confiáveis mesmo se forem vendidas por uma empresa afiliada a algum partido ou uma empresa com possíveis ligações com a Venezuela.

Parece uma tarefa impossível, mas, na verdade a solução é surpreendentemente simples. O truque é utilizar urnas eletrônicas como impressoras de cédulas. Vote usando qualquer sistema automático e eletrônico de tela-ativa que você prefira: uma máquina que não mantenha registros ou somatórias dos votos, mas que apenas imprima o voto em papel. O eleitor pode verificá-lo, pra ter certeza do voto, e depositá-lo em uma urna provida de um scanner óptico. A urna detecta o voto e provê a somatória inicial, enquanto as cédulas impressas em papel provêm os meios necessários para uma eventual recontagem. E as cédulas dos ausentes ou de backup podem ser contadas da mesma maneira. Você pode até mesmo abrir mão da máquina impressora do voto e preenchê-los a mão, como fazemos em Minnesota. Ou executar uma eleição 100% pelo correio, como fazem em Oregon. Novamente, cédulas de papel são a chave da solução.

Papel? Sim, papel. Uma pilha de papel é mais difícil de modificar que um número na memória de um computador. Os eleitores podem ver seus votos em papel, independentemente do que acontece dentro do computador. E, mais importante, todo o mundo entende papel. Temos problemas com nossas contas telefônicas e com débitos indevidos em nossas contas de cartão de crédito, mas quando foi a última vez que você teve problemas com uma cédula de 20 dólares? Sabemos como contar papel. Os bancos contam papel o tempo todo. Tanto o Canadá quanto a Inglaterra contam cédulas de papel sem problemas, assim como a Suíça. Nós também podemos fazê-lo. Num mundo cheio de travamentos, vírus e hackers, uma solução de baixa tecnologia é a mais segura.

Urnas eletrônicas seguras são apenas um dos componentes de uma eleição justa e honesta, mas elas são uma parte cada vez mais importante. Elas são o componente onde um atacante dedicado pode cometer a fraude da maneira mais efetiva (e sabemos que alterar o resultado pode render milhões). Mas não deveríamos nos esquecer de outras táticas de supressão de votos: indicar aos eleitores o local ou a data errada da eleição, tirar os eleitores registrados da lista oficial, colocar urnas insuficientes nos locais de eleição ou encarecer o processo de registro dos eleitores. (Por estranho que pareça, votos de eleitores inelegíveis não são um problema nos EUA, apesar da retórica política dizendo o contrário; todo estudo mostra que o número destes eleitores é tão pequeno que se torna insignificante. E requerer identificação fotográfica na verdade causa mais problemas do que é capaz de resolver.)

As eleições são uma questão tanto de tecnologia quanto de percepção. Não basta o resultado ser matematicamente correto; todos os cidadãos precisam poder confiar no processo e acreditar nos resultados. Em todo o mundo, as pessoas protestam depois de uma eleição não porque o seu candidato tenha perdido, mas porque elas acreditam que ele tenha perdido injustamente. É vital para uma democracia que o processo eleitoral determine corretamente o vencedor e convença adequadamente o perdedor. Nos EUA, estamos perdendo a batalha da percepção.

As urnas eletrônicas que temos disponíveis no momento falham nestes dois quesitos. Os resultados do 13º distrito congressional da Flórida não corretos e tampouco convincentes. Como uma democracia, nós merecemos mais. Devemos nos recusar a votar em urnas eletrônicas que não ofereçam a garantia de uma cédula de papel e continuar a pressionar nossos legisladores para implementar tecnologia de votação que funcione.

Este ensaio apareceu originalmente na Forbes.com.

Avi Rubin escreveu um bom ensaio sobre eleições pra Forbes também.

© 2006 Bruce Schneier

É interessante que as urnas eletrônicas usadas no Brasil já contêm uma impressora usada para gerar os relatórios finais de votação em papel. Não deveria ser muito mais caro acoplá-las a umas daquelas antigas urnas de lona, de modo que ao votar o eleitor pudesse ler seu voto impresso, conferi-lo e depositá-lo na urna antiga. Imagino que só isso já conferiria um grau de auditabilidade muito maior, permitindo que eventuais recontagens fossem feitas com a abertura das urnas de lona.

O Schneier propõe um sistema mais complexo, envolvendo duas máquinas. O eleitor vota na primeira máquina que imprime o voto. O eleitor pega o voto e insere na segunda máquina que é uma urna com um scanner óptico, capaz de ler o voto do papel e de somá-lo ao total de votos. O resultado final é obtido da segunda máquina.

Mas em que estes sistema é melhor que o primeiro? Não consegui encontrar uma explicação direta, mas imagino que seja a garantia da privacidade do voto. Lembrem-se que quando vamos votar por aqui o fiscal insere nossos dados no sistema pra liberar a urna. Seria perfeitamente possível ao sistema relacionar meu título de eleitor ao meu voto. Mas no sistema de duas máquinas isto já não é mais possível. O voto impresso não deve conter nenhuma identificação do eleitor, de modo que a urna não conseguiria fazer a correlação. Já a máquina de votação não deve gerar nenhum relatório, sendo meramente uma impressora de votos.

É impressionante, mas creio que os custos pra implantar um sistema como este seriam maiores que uma mera adaptação das urnas atuais para imprimir o voto e depositá-lo numa urna sem scanner. Na minha opinião deveríamos adotar um sistema simples como esse já e estudar a propriedade de adotarmos o sistema mais complexo no futuro.

É interessante saber que as urnas brasileiras têm parentesco com as americanas. A Procomp, fabricante original das urnas brasileiras, foi comprada pela Procomp há alguns anos. De acordo com o ótimo artigo do Eng. Amílcar Brunazo Filho, 2/3 das urnas brasileiras ainda utilizam a tecnologia original, baseada num sistema operacional DOS-like. As 1/3 mais recentes utilizam essencialmente o sistema das urnas americanas da Diebold, baseados no Windows CE.

As conclusões deste artigo são preocupantes. Ele diz que o TSE tem-se recusado a permitir que sejam realizados testes de penetração nas urnas eletrônicas brasileiras. Tanto o PT quanto o PDT já fizeram petições formais ao TSE neste sentido mas elas foram ou ignoradas ou indeferidas. Essa história é contada em detalhes em outro artigo de Brunazo. Lendo a história quero crer que haja um misto de ignorância em relação aos riscos envolvidos e de prepotência guiando estas atitudes do TSE. A alternativa seria maquiavélica demais pra cogitar.

(Agradeço ao meu colega Marcos Ide pelas longas e por vezes acaloradas discussões sobre este assunto.)

Anúncios

Relatividade e Pi

2006-12-13

Como eu disse, ontem estive conversando com a professora do meu filho Tiago sobre o seu desempenho durante o segundo ano primário. O interessante dessas conversas é que sempre somos surpreendidos por algum aspecto da visão que os professores têm de nossos filhos. Sempre temos a ilusão de que os conhecemos melhor que ninguém, mas o fato é que eles se comportam de maneira diferente quando estão conosco e quando estão na escola.

O Tiago é um menino bastante curioso. Quase todos os meninos oito anos o são, é verdade, mas há curiosidades de vários tipos. Algumas são enervantes, como a ansiedade em que ele fica quando não está participando de uma conversa e quer saber do que estamos falando. É impossível conversar no carro sem a sua participação.

Mas há outras mais raras. Anteontem à noite, depois de lermos um pouco do nosso livro e de nos darmos boa-noite, eu achava que ele já estava entregue aos braços de Morfeu quando ele se vira e pergunta:

– Pai?
– Oi, filho.
– Por que é mesmo que o tempo passa mais devagar quando a gente viaja na velocidade da luz?

Toin! E essa agora? É o tipo de pergunta que eu gostaria de poder responder de um jeito que o estimulasse a continuar a pensar no assunto. Afinal, não é à toa que eu costumo contar histórias de cientistas e descobertas. É pra ver se ele se interessa pelo assunto. Infelizmente, essa eu não sabia responder. Acho que disse mais ou menos o seguinte:

– Não sei, filhão. O Einstein descobriu que devia ser assim e os cientistas já conseguiram fazer experiências que comprovaram que é assim. Mas eu acho que ninguém sabe “por que” é assim. Sacou?
– Mas pai…
– Vamos dormir, filhão. O papai tá com sono.

Preciso retomar o assunto quando tiver algo instigante pra dizer pra ele. Hoje cedo ele estava me perguntando sobre o Big Bang. (E eu nem me lembro direito quando é que eu falei disso pra ele antes.) Parece que eu lhe disse que antes do Big Bang não devia existir nada: nem matéria, nem energia, nem tempo e nem espaço. Mas é óbvio que esse papo não colou. Ele ficou me perguntando de que cor devia ser o universo antes do Big Bang. Pra ele, como não tem nada, devia ou ser branco, ou transparente ou preto. Conversamos um pouco e eu o convenci de que se fosse pra ter cor tinha que ser preto. Mas eu acho que nem cor tinha… ele saiu matutando. He he, espero que ele não me venha com outra que me faça cair do cavalo.

Acho importante um pai dar atenção às dúvidas dos filhos. Nossa tendência imediata é encerrar a questão pra podermos nos dedicar aos assuntos que nos interessam. Mas as dúvidas deles são uma boa pista para os assuntos que lhes interessam. Uma reação de desprezo só pode ter um efeito ruim, seja insinuar que os seus assuntos não são interessantes, ou que sua dúvidas são bobas ou que não vale a pena “querer saber”, já que ninguém se interessa mesmo. Não. É preciso um pequeno esforço pra que eles sintam que é legal ser curioso e aprender.

Quando eu tinha uns 11 anos e estava na quinta série tive uma experiência marcante. Meu pai, que é engenheiro e gostava de me ensinar matemática, um dia me falou sobre Pi. Entendi os fatos básicos sobre ele ser a razão entre a circunferência e o diâmetro de qualquer círculo, mas o que me fascinou foi tentar entender como é que os seus dígitos decimais nunca acabam. Acho que eu já sabia, a essa altura, sobre dízimas periódicas, como 3,333… Mas foi difícil engolir um número que nunca acabava. Como é que os caras podiam saber?

Lembro-me de ter ido à cozinha com um carretel de linha e uma régua. Peguei uma lata de Nescau, envolvi-a com a linha e medi a circunferência com a régua. Depois, medi o melhor que pude o diâmetro. Pus os valores no papel e comecei a calcular a razão. Devo ter chegado a um número próximo a 3,1. Não me lembro se o resultado foi exato ou se me deparei com uma dízima periódica. Acontece que fiquei matutando sobre isso. É claro que eu tinha noção que minhas medições não eram exatas e que havia algum erro nos números que eu dividi.

Mas não era o erro que me intrigava. Era algo relacionado ao algoritmo da divisão. Eu fiquei pensando sobre como é que o algoritmo gerava novas casas decimais. Eu tinha que acrescentar um zero à direita do último resto e fazer mais um passo da divisão e assim sucessivamente, até que o resto do passo desse zero, quando a divisão acabava, ou que repetisse um resto já obtido, quando começava uma dízima. Não tinha outra opção: ou terminava ou começava uma dízima periódica. Caramba! Será que ninguém nunca tinha pensado nisso? Se Pi é o resultado de uma divisão, não tem como ele não ter fim.

Eu me lembro que fiquei eufórico com a descoberta. Corri pra falar pro meu pai. Tentei explicar mas tive a impressão de que ele não deu muita bola. Ele me disse pra procurar o professor de matemática e perguntar pra ele. Hoje eu acho que o que aconteceu foi parecido com o que ocorreu entre mim e o Tiago. Meu pai deve ter ficado sem resposta pra dar e preferiu repassar a responsabilidade pro professor. Talvez o ideal seria ele ter se entregado ao prazer da investigação e tentado entender o meu erro pra me explicar. Mas isso custa. Hoje eu sei.

Eu não procurei meu professor. Fiquei com medo que ele pudesse se apossar da minha descoberta e o mundo não ia ficar sabendo que eu era o responsável. Guardei meu segredo por mais uns dois anos até que, na sétima série, aprendi os fatos sobre os números irracionais e a incomensurabilidade entre o diâmetro e a circunferência. Em retrospecto, acho que não teria sido muito difícil descobrir sozinho meu erro se eu tivesse pensado mais no assunto. Eu podia ter imaginado que quanto maior o número de dígitos necessários para representar o denominador da divisão, maior a quantidade de restos possíveis e que, no limite, se o denominador tiver um número infinito de dígitos (essencialmente, se ele próprio for uma dízima não-periódica ou um número irracional), então o resultado da divisão pode perfeitamente ser assim também.

Mas foram dois anos emocionantes enquanto eu esperava ter a maturidade suficiente pra publicar minha própria descoberta.

Nem todos fazem grandes descobertas. Mas eu senti o gostinho de ter feito uma, pelo menos enquanto durou minha ilusão. Certamente esta experiência influiu positivamente nos meus interesses futuros. Gostaria que meu filho continuasse a pensar nesses assuntos interessantes e importantes. Tomara que ele possa sentir o prazer de realizar uma grande descoberta. E se for sem se iludir, tanto melhor.


Ode ao Rafa

2006-12-13

Ontem fui à reunião de final de ano na escola de meus filhos conversar com suas respectivas professoras. Saí de lá todo orgulhoso, como convém. A professora de meu filho mais velho, Tiago, me deu um cartão de Natal que ele fizera pra família. No computador, bem bacana. Ele o escreveu em duas estrofes. A primeira é pra família:

Querida família,
Eu desejo um ótimo natal e final
de ano e um ótimo 2007 eu
quero que vocês ganhem belos
presentes.

Bastante apropriado. Mas a segunda é genial:

Razão da minha vida
A estrela do meu coração
Força que nos uni
Alegria da minha vida
Energia do universo
Lutador da humanidade
Laço da paz
Ordem do universo você é o
Rafaello.

Enquanto eu lia os primeiros versos ficava imaginando ansioso pra quem é que ele estaria dizendo essas coisas tão bonitas. (Seria pra mim? Pra sua mãe? Pra babá?) Sua professora disse que quando leu seu queixo caiu e ela lhe perguntou:

– Rafaello, o pintor?
– Não, meu gato.
– Ah… é claro…seu gato.

Acontece.


Pai de quem?

2006-12-12

O telefone toca e eu atendo.
– Alô?
– Gustavo?
– Sim.
– Aqui é o Roberto, paisagista.

– Pai de quem?
– Paisagista!
– Ah! Putz… com tantos coleguinhas dos meus filhos eu fiquei pensando quem seria essa Gista.
– Sei.

Acontece.