Auditoria de Sistemas Eleitorais: o Caso So Domingos

Autores: Evandro Luiz de Oliveira Auditor de Informtica da Empresa da Informtica e Informao do Municpio de Belo Horizonte S/A -PRODABEL Professor Substituto do Centro Federal de Educao Tecnolgica de Minas Gerais - CEFET-MG Av. Presidente Carlos Luz, 1275 - Bairro Caiara - CEP 31230-000 - Belo Horizonte - Minas Gerais e-mail - pyxis@gold.com.br ou evandro@pbh.gov.br Cludio Andrade Rego Perito Judicial em Informtica da Antecipar - Inteligncia Aplicada Ltda. Membro Associado do Instituto dos Auditores Internos do Brasil - AUDIBRA e-mail - claudio.rego@antecipar.com.br Resumo A partir da realizao das eleies municipais de 2000, o Brasil adquiriu a condio indita de nao com todos os procedimentos de voto integralmente informatizados. Os objetivos principais, segundo o Tribunal Superior Eleitoral - TSE, foram: dar rapidez ao processo eleitoral e eliminar os problemas de segurana na votao manual, passando-se a utilizar de hardware (equipamentos) e software (programas de computador) em todas as etapas. O mecanismo adotado, com identificao do eleitor na Urna Eletrnica (UE) e a no verificao prvia dos cdigos de todos os programas atentam contra requisitos de privacidade e de confiabilidade. A teoria e a prtica de auditoria no sistema eleitoral brasileiro so incompatveis com o discurso de infalvel e 100% seguro, realizado pelo TSE. No caso So Domingos-GO, foi aberta a hiptese de realizao de auditoria nos equipamentos utilizados naquela cidade. Na abertura da sesso o juiz eleitoral, a pedido dos representantes do TSE, impugnou cada solicitao de procedimento tcnico que era solicitada pelos auditores, fazendo com que as concluses fossem parciais e subjetivas, demonstrando que ao TSE no interessa abrir completamente a caixa-preta denominada Urna Eletrnica (UE). Palavras-chave: Auditoria, segurana, voto, voto eletrnico, confidencialidade, integridade, sistemas de informao. 1) Introduo A iluso vendida pela mdia de massa e, principalmente, pelas grandes empresas fornecedoras de produtos e servios de tecnologia, atribuindo infalibilidade e total segurana s mquinas, provoca concluses do senso comum que podemos considerar precipitadas. Essas concluses levam o cidado, que utiliza qualquer tipo de tecnologia, a acreditar e confiar na mesma como perfeita e infalvel. O caso da urna eletrnica brasileira no foge a esse padro de comportamento. Num pas onde existem muitos analfabetos e gente sem intimidade com tecnologia avanada, poderia parecer um contra-senso a adoo de computadores como mquinas de receber votos para todos os eleitores brasileiros. O ponto positivo da idia a possibilidade de colocar uma tecnologia avanada a servio do processo democrtico, no intuito de minimizar as fraudes e manipulao dos eleitores, as quais ocorreram durante dcadas nos mais diversos municpios sob a complacncia das mais diversas instituies. Os problemas com a UE comeam na sua origem, pois, em se tratando da coisa pblica e que deveria atender aos mais diversos interesses polticos, tcnicos e administrativos, seria necessrio uma ampla discusso entre os segmentos da sociedade envolvidos, para que fossem delineadas as especificaes tcnicas necessrias e que se implantasse um sistema informatizado do porte das eleies brasileiras, o qual no poderia ter sido institudo sem debate, testes e normalizao mnima necessria.

A realizao de uma auditoria posterior eleio, caso fosse integralmente realizada, poderia dar legitimidade mnima aos processos e tecnologias utilizadas. A no realizao de procedimentos internacionalmente aceitos invalida a possibilidade de que o sistema seja totalmente confivel e seguro. Agravase o fato de que qualquer programa poderia se auto-destruir s 17 horas do dia da eleio, deixando as urnas sem vestgios do que aconteceu durante o perodo de votao. Mesmo com esses pr-requisitos sendo desconsiderados, a mquina eletrnica de votao foi sendo gestada em ambientes de acesso restrito, e depois de vrios prottipos e experimentos teve sua primeira verso utilizada em 1996, por um tero do eleitorado brasileiro. Depois de mais dois pleitos, em 1998 e 2000, a discusso em pauta sobre a confiabilidade da mquina de votar, que foi imposta para o eleitor, e qual o tratamento que o TSE d s sugestes e questionamentos tcnicos sobre a segurana da mesma. Essa discusso j fora apresentada no Simpsio de Segurana em Informtica, promovido pelo Instituto Tecnolgico da Aeronutica, ITA (Brunazo, 2000). O Eng. Amlcar Brunazo indica que Uma polmica estabeleceu-se sobre a impossibilidade de se conferir a apurao dos votos na urna eletrnica brasileira. .. A referncia conseqncia do fato da urna eletrnica brasileira no permitir recontagem e conferncia da apurao, recaindo o problema de sua confiabilidade diretamente sobre a auditoria do sistema eleitoral, mais especificamente sobre a validao e certificao dos programas das urnas. Para fundamentar esta polmica nos valemos do relato da tentativa de auditoria em parte do sistema eleitoral, mais especificamente nas urnas eletrnicas utilizadas nas eleies de 2000 em So Domingos-GO. Nesse caso, avaliamos o sistema a partir dos procedimentos de auditoria necessrios e que permitiriam uma avaliao da segurana e das vulnerabilidades a que o sistema de voto eletrnico no pas est submetido. Uma descrio breve deste caso de So Domingos foi feita pelo jornalista Oswaldo Maneschy (Maneschy, 2001). Nas sees 2 e 3, so apresentadas condies do voto eletrnico no Brasil e alguns aspectos tcnicos prprios do nosso sistema eleitoral, relevantes para a anlise feita na seo sobre o Caso So Domingos. Ao final apresenta-se as concluses. 2) O Voto Eletrnico no Brasil. Em 1982, no incio da informatizao do processo de totalizao dos votos, ficou bastante conhecido o chamado "Caso Proconsult" (Mineiro, 2000), um problema de totalizao a partir de programas desenhados e construdos de forma no auditada. Mesmo que naquela poca houvesse fiscalizao, mesmo que os responsveis pelo processo eleitoral tenham garantido que os programas no tinham vcios nem defeitos, uma apurao paralela simples foi suficiente para demonstrar que havia erros grosseiros para uma cidade como o Rio de Janeiro. Nenhuma constatao foi feita em municpios menores do que a ex-capital federal, que constatassem que os erros ali verificados foram mais abrangentes. Parecia ter ficado claro, para todos, que a possibilidade de ocorrer uma fraude, ou mesmo um erro no intencional, permanente quando os programas existentes nos computadores so construdos por seres humanos e quando o processo eletrnico no tm fiscalizao, situao que piora quando esses procedimentos no podem ser auditados e conferidos nos momentos devidos. Em 1986, o recadastramento eleitoral foi realizado com a adoo da informatizao em mais esta etapa. Em 1996, iniciou-se a informatizao da prpria votao, num processo que foi concludo no ano 2000 e cujo oramento gasto foi superior a 500 milhes de dlares, segundo o secretrio de informtica do TSE (Camaro, 1997). A mquina de votar introduzida em 1996 imprimia o voto de cada eleitor, o qual era automaticamente depositado numa urna convencional, sem que o eleitor visse a impresso, para que, em caso de problemas com a urna ou com a contagem dos votos, o mesmo ainda fosse aproveitado e o processo informatizado pudesse ser auditado atravs da recontagem de votos. Em 1998 a impresso do voto foi suprimida, sob o argumento de que os mecanismos de impresso apresentavam defeitos excessivos, sendo desconsiderada a premissa de que a impresso atendia ao preceito de dirimir dvidas, permitindo assim uma recontagem da vontade expressa do eleitor. Nas verses mais recentes da mquina de votar, a recontagem e auditoria da votao efetuada tornam-se tecnicamente impossveis pois no existe contraprova material para auditoria e recontagem. O projeto atual da UE impe que toda a confiana no processo deve ser depositada na palavra dada pelos projetistas, de que os programas em sua totalidade so absolutamente seguros e confiveis. Neste sentido importante ressaltar que, apesar do artigo 66 da Lei Eleitoral 9504/97 permitir que os representantes dos partidos

polticos verifiquem o cdigo fonte de todos os programas utilizados no processo eleitoral brasileiro, o TSE no tem permitido a verificao da totalidade dos programas, sob a alegao de possibilidade de quebra dos direitos autorais dos fabricantes. Deve-se lembrar porm que, segundo Stang (1994), nenhum sistema de informtica totalmente e integralmente seguro, contrariando parte das argumentaes do TSE. No permitido aos representantes partidrios participar, ou melhor, nem presenciar qualquer etapa do processo de criptografia e assinatura eletrnica dos programas, fazendo com que nenhum desses partidos tenha certeza de que aquilo que foi colocado em funcionamento no dia da eleio realmente o mesmo conjunto de programas vistoriados anteriormente, agravando-se pelo fato de que, mesmo depois de vistoriados, os programas podem ser alterados, e nas eleies de 2000 eles efetivamente foram modificados depois de vistoriados, conforme entrevista publicada pelo jornalista Marcelo Soares, da Folha de So Paulo (Soares, 2000). possvel que o grande problema sejam os vcuos existentes na legislao eleitoral, os quais permitem interpretaes variadas e decises unilaterais sobre a anlise de todo o processo. O trabalho que pretendamos fazer em So Domingos pode ser considerado violao de segredo da UE. Tm-se, adicionalmente, um Cdigo Eleitoral o qual quase ignora a mquina de votar eletrnica, apresentando parte da legislao como se a eleio fosse completamente manual. Freqentemente, solicitaes de percia ou auditoria de urnas eletrnicas so negadas com o simples argumento de que o Cdigo Eleitoral, escrito em 1965, no prev tal coisa. Parte dos representantes do judicirio no tm noes bsicas de tcnicas de segurana e auditoria em ambientes informatizados, alm de no lanarem mo de tcnicos especializados para realizarem auditoria e percias judiciais em assuntos de informtica e que sejam independentes dos Poderes diretamente envolvidos. Os legisladores do pouca ateno quando esses tcnicos fazem alertas sobre vulnerabilidade existentes na construo de programas de computador. Desta forma, cabe ao rgo executor da eleio, quase a totalidade da legislao, execuo e julgamento do processo eleitoral informatizado sem a crtica provida pela sociedade organizada e meio acadmico. A ele dado a prerrogativa de construir os programas, ou mandar constru-los, verificar suas condies tcnicas, controlar absolutamente os equipamentos em todas as etapas, indicar para o Poder Legislativo o que se deve, ou no, colocar na legislao eleitoral e, caso ocorram dvidas ou questionamentos, por mais inadequado que possam parecer, cabe tambm ao prprio rgo julgar sua procedncia e pertinncia. Esse amplo poder deveria ser, ao menos, submetido a uma auditoria externa, mas essa tambm no permitida, por determinao, do prprio TSE. Tal proibio fere um dos preceitos bsicos da auditoria, o qual preconiza que o auditor e o auditado devem manter independncia completa, e deve inexistir qualquer subordinao entre eles (Russel, 1991). 3) Aspectos Tcnicos. O processo eleitoral brasileiro adotou a tecnologia da informtica de ponta a ponta. Desde o momento em que o eleitor utiliza-se da mquina de votar at a divulgao do resultado final, todas as etapas so realizadas utilizando-se de recursos tecnolgicos de informtica, de criptografia e de telecomunicaes. Para que estes recursos funcionem a contento, essencial a adoo de procedimentos de segurana adicionais aos j existentes nos processos de votao com etapas eminentemente manuais. Uma das vantagens da utilizao de recursos tecnolgicos foi a eliminao das possibilidades de fraudes exploradas no processo manual. A insero de recursos tecnolgicos no pode, ou pelo menos no deveria, ensejar a criao de novas vulnerabilidades, at ento impensveis. Assim, no deve ser permitido a um programa de computador na UE que desvie votos do candidato "A" para o candidato "B", e isso s possvel se no existirem mecanismos e procedimentos de validao e certificao que: 1) Verifiquem a idoneidade do cdigo fonte do programa de votao; 2) Verifiquem todo o processo de transformao do cdigo fonte em executvel; 3) Verifiquem e confirme a veracidade de que o executvel seja idntico ao que diz o cdigo fonte; 4) Certifiquem que o programa que ser executado em cada uma das mquinas de votar sejam o mesmo que foi certificado em todas as etapas. Acrescenta-se a complexidade devido ao porte deste sistema, com mais de 320 mil urnas a serem certificadas, e o fato de que no existe somente o software de votao, so muitos os programas (sistema operacional, candidatos, totalizadores, de criptografia, identificadores de eleitores etc.) presentes na urna e no

processo de totalizao dos votos, e todos eles, sem exceo, deveriam estar submetidos aos mesmos procedimentos de garantia da confiabilidade desde a criao, implementao, funcionamento e auditoria. Deve-se sempre considerar a possibilidade de que, pessoas com conhecimento de informtica, obtendo acesso aos programas das urnas, poderiam adulterar qualquer um desses programas para fazer com que atuem de forma diferente daquela para qual os mesmos foram previstos. Um exemplo simples dessa possibilidade a mensagem que aparece na Figura 1, retirada da tela de uma das urnas de So Domingos, e indica que o processador est fazendo uma determinada atividade quando poderia realizar muitas outras funes como, por exemplo, destruir indcios de programas hostis ou no homologados.

Figura 1 Toda essa babel tecnolgica deveria ser acompanhada, obrigatoriamente, em todas as suas etapas, por representantes qualificados da sociedade. No processo eleitoral implementado no Brasil, isso no permitido, e o exemplo que trataremos adiante demonstra que possveis questes de vulnerabilidades inerentes a sistemas informatizados esto presentes e as quais esto submetidos todos os eleitores brasileiros. A partir da utilizao integral da informtica no sistema de votao as vulnerabilidades aparecem e ainda so encaminhados procedimentos de forma imprecisa e deficiente, do ponto de vista de padres e normas internacionais de segurana e auditoria. 4) O Caso So Domingos. Os autores foram convidados a compor a equipe executiva do processo denominado como "auditoria das urnas eletrnicas" no dia 8 de janeiro de 2001, na cidade de So Domingos, no Estado de Gois, com aproximadamente 10 mil habitantes e 7 mil eleitores, onde, em Outubro ltimo, foram usadas urnas eletrnicas pela primeira vez num total de 23 sees eleitorais. O candidato a prefeito, Gervsio Silva, alegando suspeita de fraude na eleio apresentou pedidos de percia nas urnas eletrnicas junto ao Cartrio Eleitoral da cidade e ao TRE de Gois, tendo seus pedidos indeferidos. Com o apoio de polticos levou seu pedido diretamente ao Presidente do TSE e conseguiu o que afirmava ser " o primeiro processo de auditoria nas urnas realizado no pas". Ainda segundo o candidato, entre 4 ou 5 urnas, das 23 utilizadas na votao do dia 1o. de outubro de 2000, naquele municpio goiano, seriam auditadas com critrios tecnicamente e juridicamente aceitos. Porm, ao chegarmos ao municpio, fomos informados que as instrues superiores da Justia Eleitoral no permitiriam tais procedimentos, e que somente tcnicos especializados do TSE poderiam atuar sobre as urnas, sendo que os ritos processuais entre auditores e auditados no seriam realizados. A sesso foi aberta pelo Juiz Eleitoral da comarca que confirmou a inexistncia de auditoria e identificou a sesso como de "de carter pedaggico para demonstrao e esclarecimento", constando essas afirmaes na ata do evento. Mesmo no podendo atuar nas urnas eletrnicas, seus complementos e acessrios, acompanhamos todos os passos dados pelos tcnicos do TSE, os quais procuravam demonstrar que o equipamento no passvel de erros e que os votos l totalizados correspondiam exatamente vontade popular. Algumas distores, incompatveis com procedimentos de auditoria, apresentaram-se durante a sesso. Nossa solicitao, de que fosse feita cpia do contedo das memrias (flash-cards interna e externa) antes de que qualquer procedimento fosse realizado, foi negada. Nenhuma cpia do contedo das memrias poderia ser feita

ou apresentada, sob nenhum pretexto, por tcnicos que no fossem do TSE. Um procedimento de auditoria, minimamente correto, trataria de colocar uma cpia do contedo dos programas e dados a serem auditados em ambiente distinto do objeto da auditoria, lacrada, sob as rubricas de auditado e auditor, podendo trabalhar etapas de auditoria livremente em qualquer outro espao. Essa solicitao e orientao foi negada e desconsiderada pelos representantes do TSE e condutores do processo de demonstrao do funcionamento da urna eletrnica.

Figura 2

Figura 3

A Figura 2 mostra disquetes, memrias (flash-cards) de votao, tambm denominadas de flashes externas, e relatrios obtidos aps os processos e programas executados pelos tcnicos do TSE. A Figura 3 reproduz uma flash externa de uma seo eleitoral, os tcnicos do TSE determinaram que todos os presentes deveriam acreditar que o contedo das memrias aquilo que eles diziam ser, no permitindo que os auditores independentes fizessem quaisquer testes e verificaes de contedo naquela mdia, mesmo sabendo-se que impossvel de se conferir qualquer contedo a olho nu. Os tcnicos do TSE apenas permitiam procedimentos externos de testes padro, como uma possvel recuperao do disquete do boletim de urna, procedimentos de limpeza do equipamento e uma simulao de nova votao, mesmo assim operado exclusivamente por eles, com os programas inseridos pelo TSE, sendo que a maioria deles no foram fiscalizados e auditados. Destaca-se durante este processo de simulao conduzido pelo TSE alguns itens: 1) No processo de simulao de eleio alguns eleitores erraram o voto, como acontecido na eleio de 1o. de outubro, proporcionando a troca dos candidatos majoritrios e proporcionais, fato que refora a necessidade da discusso do processo informatizado. A lgica de processamento dos idealizadores do programa no coincide com a lgica do eleitor usurio do sistema; 2) No foi permitido o acesso aos registros (log) de utilizao individual de cada urna, mas no registro consolidado verificamos que, entre a lacrao oficial das urnas e o dia anterior s eleies, as 24 (vinte e quatro) urnas daquele municpio foram religadas 51 (cinqenta e uma) vezes, sem qualquer explicao plausvel, alm de 19 (dezenove) religaes no dia da eleio antes do horrio estipulado, fato que no pode ser considerado "normal" conforme argumentao do TSE; 3) Afirmaes contraditrias foram feitas pelos tcnicos do TSE e TRE-GO, quando perguntados sobre a forma (texto aberto ou criptografado) na qual os dados ficam armazenados nas memrias, no sendo permitida a conferncia das informaes, outras perguntas especficas obtiveram respostas dbias ou divergentes; 4) Os contedos das flashes (interna e externa), entre o momento da liberao para voto, por parte do mesrio, e o trmino da votao atravs do "Confirma" acionado pelo eleitor, no bem esclarecido, fazendo com que permaneam dvidas sobre a possibilidade de erro e suas conseqncias durante esse perodo, provocados, por exemplo, pela utilizao de equipamentos de rdio-frequncia entre os dois momentos descritos. 5) Na simulao da votao, os tcnicos do TSE sentiram a necessidade, para efeito de credibilidade e convencimento dos presentes, tcnicos e leigos, de anotar em um papel os votos que estavam sendo sufragados, para que posteriormente pudessem conferir o resultado, sendo esse importante detalhe uma representao definitiva da existncia de uma prova material que permita a conferncia posterior, recurso adotado pelo prprio TSE na demonstrao efetuada.

6) Ao serem questionados sobre a utilizao da norma ISO/IEC 15408-1, os tcnicos do TSE admitiram que utilizam somente partes da mesma, em funo do interesse deles prprios e ressaltaram ainda que vrias partes da norma no so consideradas.

5) Concluso. O caso do municpio de So Domingos somente um exemplo de como todo processo informatizado precisa de mecanismos para conferncia e auditoria. A implementao de sistemas automatizados sem a devida e ampla discusso de parmetros de segurana coloca em risco a credibilidade do projeto. Simples evidncias devem ser colocadas disposio de qualquer interessado para que os dados de entrada, assim como todo o processo possam ser auditados. Neste sentido, a informatizao do processo eleitoral brasileiro consiste num avano sem paralelo em qualquer nao do mundo, e que serviria de exemplo para muitas delas, ditas desenvolvidas mas que tropeam em processos simples e democrticos como o ato de votar. Alguns defeitos apresentados no processo eleitoral brasileiro no so de ordem tcnica, mas de natureza procedimental, como por exemplo: a) Precria discusso do processo com a sociedade; b) Auto-suficincia dos tcnicos do TSE, no sentido de no reconhecer possveis vulnerabilidades, ignorando propostas de melhoria e menosprezando a capacidade tcnica externa ao TSE e seus contratados; e c) Omisso da classe poltica, desprezando, durante a elaborao e votao da legislao, a adoo de procedimentos simples mas vitais conduo de uma eleio informatizada. Cabe apresentar algumas diretrizes bsicas, as quais poderiam contribuir para que o projeto da urna eletrnica seja mais confivel e que no onerariam o projeto mais do que o necessrio, quais sejam: 1) Adoo de mecanismos de impresso do voto, o qual pudesse ser observado pelo eleitor, sem qualquer contato manual, propiciando a possibilidade de recontagem ou auditoria do processo de votao; 2) Adoo de mecanismos de assinatura eletrnica que possam ser verificadas pelos representantes dos partidos, para que se garanta, numa possvel auditoria, a origem e fidelidade dos programas e dados inseridos em cada uma das mais de 300 mil urnas do pas; 3) Adoo, em carter obrigatrio, de programas de computador considerados como "software aberto" nos processos e etapas eleitorais, fazendo com que no exista a possibilidade de programas deixarem de ser verificados e auditados em funo da argio de direitos autorais. Essas contribuies so, efetivamente, o que aparentam ser, simples e de custo reduzido. Bastaria a determinao de tornar o processo cada vez mais democrtico e correto tecnicamente. Tcnicos em produo de software e profissionais de auditoria tm maior facilidade no entendimento dessas argumentaes; resta fazer entender aos legisladores a necessidade de colocar tais procedimentos em lei para que sejam cumpridos. Passada esta etapa de legalizao, o processo de discusso e implementao tcnica detalhada deveria ser aberto pelo TSE para implementar as alteraes, de forma que no fiquem dvidas quanto as melhorias a serem adotadas. Espera-se ainda ter contribudo para a disseminao do debate sobre o tema Segurana, e ampliao da viso de que as vulnerabilidades e erros em sistemas informatizados so mais reais e possveis de acontecer do que efetivamente se propaga. 6) Bibliografia. BRUNAZO F., A. Avaliao da Segurana da Urna Eletrnica Brasileira. In: Simpsio de Segurana em Informtica, SSI2000, Anais, So Jos dos Campos: Instituto Tecnolgico da Aeronutica, 2000, http://www.votoseguro.org/textos/SSI2000.htm CAMARO, P. C. B., O Voto Informatizado: Legitimidade Democrtica. So Paulo, Brasil, Ed. Empresa das Artes, 1997. ISO - International Organization for Standardization. Information technology - Security Techniques -Evaluation criteria for IT security. ISO/IEC 15408-1. Genebra, Suia,1999. MANESCHY, O., Palm Beach Versus Araoiaba da Serra. Site Jus Navegandi, 2001, http://www.jus.com.br/doutrina/urnael19.html MINEIRO, P., Proconsult Um Caso Exemplar. Cadernos do Terceiro Mundo, Rio de Janeiro, Ed. Terceiro Milnio, n. 219, p. 17, Abril/Maio 2000, http://www.votoseguro.org/noticias/cad3mundo1.htm RUSSEL, Deborah. GANGEMI, G.S. Computer Security Basics. 2 a. Ed. Sebastopol - CA: O'Reilly. 1991. SOARES, M., Entenda a Questo da Segurana. So Paulo, Folha de So Paulo, 15/10/2000, http://www.uol.com.br/fsp/brasil/fc1510200018.htm STANG, David J. Segredos de Segurana em Rede / David J. Stang, Sylvia Moon. Traduo: Cludio Lobo. 1 Ed. Rio de Janeiro : Berkeley Brasil, 1994. 986p.