BLOG

Bate-pronto com Carlos Sampaio, secretário de Tecnologia da Informação do TRE-Ceará

O POVO – A discussão sobre a vulnerabilidade da urna eletrônica é cabível?

Carlos Sampaio – Na nossa visão, não. Na Justiça Eleitoral, fazemos desde 2009 testes de segurança periódicos onde o TSE convida hackers e pessoas interessadas em tentar quebrar barreiras de segurança da urna. Desde então, ninguém conseguiu sucesso em adulterar o registro de votos. Alguns progressos essas pessoas conseguiram. Isso é importante pra gente porque é exatamente o objetivo do teste. Alguém conseguir quebrar alguma barreira a tempo de ela ser recomposta pra eleição.

OP – Nunca chegam a fraudar a contagem da urna?

Carlos – Até hoje ninguém conseguiu adulterar o registro de votos. Na última edição do teste, em novembro do ano passado, uma equipe chegou a conseguir colocar uma mensagem na tela da urna no momento da votação. “Vote para vereador…” e um número qualquer. Era um ambiente controlado, de teste, condições que um eventual atacante não teria no mundo real.

OP – Esses testes são feitos remotamente?

Carlos – Não. Como a urna não tem conexão por internet, não tem wi-fi, não tem placa de rede, qualquer tentativa de manipular a urna tem que ser feita fisicamente, com a urna presente. No teste, o TSE faz o chamamento para interessados, apresenta as barreiras de segurança do sistema, dá acesso ao código-fonte de acesso para essas pessoas. Num primeiro momento, as pessoas avaliam o código-fonte, procuram descobrir eventuais vulnerabilidades e montam seus planos de teste. Num outro evento, as pessoas voltam para o TSE e tentam executar seus planos de teste. Nesse momento, os códigos abertos, eles têm acesso aos programas da urna. Situação em que um atacante normal não teria, toda essa facilidade. Apesar de eles reclamarem do tempo, das restrições que o TSE impõe, por outro lado eles têm a facilidade que uma pessoa, partindo do zero, encontraria infinitamente mais dificuldade.

OP – Na inserção de mídias das urnas, ou na blindagem com o jogo de lacres físicos ou digitais, não seriam momentos em que a violação estaria possível?

Carlos – Qualquer violação seria detectada porque os cartões memória de carga, a partir do momento em que eles são gerados – e no Ceará são gerados de forma centralizada em Fortaleza -, eles saem para as zonas em envelopes lacrados. Os envelopes têm uma numeração e nós publicamos na Internet. Os desta eleição já estão publicados desde sábado (dia 22/setembro). Nós conseguimos dizer que envelope está indo para que zona eleitoral e quantos cartões de memória estão ali dentro. Quando o envelope é entregue ao juiz eleitoral, ele pode conferir, com a listagem publicada, se o envelope que ele recebeu é o que enviamos. O cartão de memória chamamos de “flash card”.

Carlos Sampaio, secretário de Tecnologia da Informação do TRE-Ceará DIVULGAÇÃO TRE/CE

OP – Como é o manuseio desses cartões?

Carlos – Ele é feito apenas no momento da cerimônia da carga (em que a urna é alimentada com dados dos eleitores de uma seção e a lista de todos os candidatos na disputa), sob supervisão de servidores da Justiça Eleitoral. Quando começa um procedimento de carga em Fortaleza, que dura mais de um dia para cada zona, pela manhã os técnicos recebem esses cartões e ficam ao longo do dia no centro de armazenamento preparando as urnas. Ao final do dia os cartões são devolvidos para os coordenadores e novamente lacrados para o dia seguinte. O envelope que é lacrado, o número é anotado. No dia seguinte, o envelope é conferido para saber se o recebido pelo técnico é o que foi lacrado no dia anterior. Esse é um processo que ocorre em todos os municípios do Estado.

OP – São quantas urnas no Ceará?

Carlos – No Estado todo são 21.449 seções. Nós deveremos usar, com a soma das urnas de reserva, em torno de 24.300 urnas. Em Fortaleza são 5.298, somando as de seção, as de justificativa e as de contingência. E também é um número passível de alteração. Urna de contingência, a gente só tem um balanço final no sábado véspera da votação. A previsão é de 410 urnas, mas às vezes têm zonas que pedem a mais e fazemos reserva nossa para atender Fortaleza e qualquer zona.

OP – Por que discussão sobre a vulnerabilidade da urna eletrônica sempre volta?

Carlos – Sempre volta em anos de eleição presidencial. Na eleição de 2016 ninguém falou em fraude nas urnas. É interessante. Normalmente quem fala é o candidato que perde ou aquele que acha que pode perder e já está querendo arrumar um culpado. Eleição de 2014 foi muito acirrada e esta tende a ser tão acirrada quanto ou até mais. Trabalhamos sempre com muito cuidado, seguindo as normas do TSE, mas as pessoas criam esse mito: por que nada no Brasil funciona, mas a urna eletrônica funciona? Por que nos Estados Unidos não tem urna eletrônica? Esse é outro mito. Lá tem vários estados que possuem urnas eletrônicas, semelhantes à nossa porque não têm impressão de voto, quanto as de voto impresso ou as que o eleitor preenche uma cédula parecida com um volante de loteria e a urna lê aquele volante – que é um comprovante físico do voto e totaliza automaticamente.

OP – Urnas emprestadas pelo Brasil, também nunca aconteceram incidentes de fraude?

Carlos – Não. As urnas sempre foram emprestadas, mas já há algum tempo o TSE deixou essa política de emprestar. Mas o software é todo nosso. E essa é outra diferença. Nos Estados Unidos, a última vez que analisei, eles tinham 16 fabricantes de urnas. Lá, cada Estado tem sua legislação e cada fabricante tem o seu software. São 16 softwares com potenciais vulnerabilidades. No Brasil, o mesmo programa da urna que roda no Ceará roda no Acre, Rio Grande do Sul, Amapá ou Pará.  Se você perguntar por que os outros países não usam, talvez eu não saiba responder. Mas por que o Brasil usa, eu sei. É o histórico de fraude nas eleições brasileiras, que tinha até a época do voto em papel, até a eleição de 1998.

OP – A impressão do voto no Brasil seria uma garantia? E poderia melhorar o quê?

Carlos – Para nós, técnicos da Justiça Eleitoral, e para mim, pessoalmente, a impressão do voto é uma falsa sensação de segurança. Porque ao contrário do que o senso comum imagina, a literatura mostra que é possível fraudar urnas com o voto impresso. Aí vejo uma situação pior. Porque se o fraudador conseguir violar o eletrônico e o impresso,  vamos ter uma conferência de voto impresso batendo com o resultado eletrônico, todo mundo achando que foi tudo certo, e a eleição tendo sido fraudada.

OP – A primeira eleição com urna eletrônica no Brasil foi em que ano?

Carlos – Foi em 1996, nas capitais e cidades com mais de 200 mil eleitores. Em 1998, capitais e cidades com mais de 40.500, e a partir de 2000 no Brasil inteiro. Países como Alemanha, a mesa receptora de votos, ao final da eleição, faz a contagem dos votos da seção. Se ninguém questiona o resultado, a própria mesa destrói o material. Uma realidade dessa é impensável no Brasil.

OP – Quanto custaria implantar a impressão do voto na urna eletrônica?

Carlos – O custo total estimado pelo TSE foi de R$ 2 bilhões. Envolve a fabricação das impressoras. É algo mais que uma simples impressora de caixa de supermercado, que custa R$ 300. A gente precisa ter uma inteligência por trás dessa impressora, ela precisa de mecanismos de segurança, exatamente para impedir impressão de votos fraudulentos. Tem que ter proteção porque a lei dizia que o eleitor não podia ter contato com o voto. São características que encarecem o projeto. Também entra a reformulação das urnas. As mais antigas que temos hoje não foram projetadas para ter a impressora adicional funcionando o dia todo. O TSE fez uma proposta de implantação gradativa, que foi avalizada pelo TCU, considerou razoável  em economicidade e interesse público a implantação paulatina.  Hoje temos quase 500 mil urnas no Brasil. A gente compra 500 mil soluções, aí na primeira eleição essa solução se mostra inadequada. Fazer o quê? Passar a vida útil com essa solução inadequada ou jogar tudo no lixo e começar de novo? Seria um dispêndio do dinheiro público. Por isso a proposta era começar com uma abrangência de 5%, aí vai incrementando enquanto as urnas velhas forem sendo substituídas. Salvo engano, em 2028 teríamos a implantação 100% do voto impresso.

OP – O voto impresso vai acontecer?

Carlos – Nós da Justiça Eleitoral estávamos trabalhando para implantar nesta eleição. Veio a ADIN (Ação Direta de Inconstitucionalidade) da Procuradoria Geral da República, o Supremo (Tribunal Federal) em caráter liminar declarou inconstitucional, de forma que ainda é uma decisão precária , não é decisão de mérito. Se for uma decisão definitiva de implantar o voto impresso, nós já estamos com estudos bastante avançados. Inclusive já havia sido licitado este ano a compra das impressoras e das urnas plásticas, que receberiam esses votos, mas o Supremo definiu e temos que seguir a determinação.

OP – Uma urna eletrônica tem quantas camadas de proteção?

Carlos – O TSE divulga na propaganda institucional que são 30 barreiras de segurança. Digitais e físicas. As digitais entram a criptografia, a assinatura digital. Nas físicas entram os lacres físicos da urna, que são numerados, assinados pelo juiz, o controle dessa numeração. Há o envelope dos flash cards, a conferência por mais de uma pessoa, a possibilidade de entidades, partidos, público, acompanharem a lacração do programa, o programa que fica no TSE e pode ser comparado ao programa da urna,a votação paralela, a auditoria no dia da eleição, a homologação dos programas que é feita pelo TSE e TREs. As pessoas contratadas  pela Justiça Eleitoral, que manuseiam os cartões de memória, nunca conseguiram trocar um cartão, nunca houve denúncia, por causa do controle. Vou dar um exemplo: a gente tem aqui o monitoramento das urnas que são carregadas no Estado inteiro. Detectamos hoje (quarta-feira, dia 26) que duas urnas de reserva de um município foram carregadas em horário indevido. Na carga de ontem.

OP – Foi o único caso?

Carlos – Acontece às vezes. Porque a urna trabalha no relógio de 24 horas. Se vou preparar a urna às 13 horas, tenho que informar 13 horas. O técnico informou 1 hora. Para a urna é como se fosse uma da manhã. Foi uma falha de registro. A gente detecta essa situação aqui. Foi exatamente essa a questão. As duas na mesma cidade.

OP – Qual cidade?

Carlos – Foi em Tauá. A gente avisa pra pessoa, o cara prepara novamente aquela urna. É um erro humano, mas a gente tem N controles e daqui de Fortaleza conseguimos monitorar as cargas no Estado inteiro. Não deixamos passar. Temos equipes aqui no TRE que controlam essas cargas.

OP – Esse alerta vem online?

Carlos – Eu tenho um sistema que me dá o horário que cada urna foi preparada, a rastreabilidade desses cartões de memória. Sei dizer se todas as urnas foram preparadas com os cartões de memória que foram gerados aqui. Pelo log da urna (as movimentações no software do equipamento) depois da eleição, consigo descobrir se todas as urnas foram ligadas no teste de véspera que a gente faz, se as urnas funcionaram com bateria, se o cartão foi gerado no TRE ou na zona eleitoral. A gente tem todo esse controle, que vai muito além da criptografia e da assinatura digital do cartão. Não diria que é impossível alguém fraudar uma urna, mas diria que é inviável alguém conseguir fraudar e não ser descoberto. Pela quantidade  de mecanismos que a gente tem, a gente consegue detectar.

OP – Dá para apontar um percentual de risco de fraude?

Carlos – Diria que o percentual de risco de fraude, pela maneira que a gente trabalha, é zero. Nesse momento do processo, a partir do programa já entregue pelo TSE, homologado. Nessa fase, a chance de alguém conseguir pegar esse programa e adulterar e esse programa adulterado ser reconhecido pela urna, diria que a chance é zero. Nesse momento a urna tem uma cadeia de segurança interna que só permite executar programas que a assinatura digital confira com a assinatura digital esperada. É um mecanismo que garante a autenticidade daquele arquivo. A integridade do arquivo também é testada. E pode ser verificada por nós e pelos próprios partidos. No status que o processo está hoje, diria que a chance de fraude é zero.

OP – De 1996, quando as urnas eletrônicas foram implantadas, qual foi a evolução desse grau de blindagem até hoje?

Carlos – Esse grau vem aumentando a cada eleição. Comparando: na eleição de 1996 tínhamos dois disquetes que faziam o controle da eleição. Para quem não é muito antigo e nem chegou a conhecer, o disquete era uma mídia extremamente frágil, de tamanho muito restrito. Por essas características, os mecanismos que podiam ser implantados na urna eram muito restritos na época. Seria muito difícil ter mecanismos de hoje em urnas modelo 1996. As urnas a partir de 2009 têm um dispositivo interno chamado MSD, Master Secure Device (Dispositivo Microcontrolado de Segurança). É um processador dentro da placa-mãe da urna. Quando ela é ligada, a única coisa energizada é esse MSD. Esse mecanismo é que vai validar o cartão de memória e validar aquela urna. Se a urna não sofreu nenhum tipo de adulteração. Ele só ativa a placa-mãe da urna se ele passar na validação do MSD. É mais um mecanismo. E esse MSD é soldado na placa-mãe da urna e resinado. Pra alguém fazer alguma coisa com ele primeiro tem que ter acesso físico a uma urna, depois abrir, tirar a resina, alterar, soldar. Se fraudar uma, pra fazer uma fraude em larga escala teria que ter acesso físico em larga escala às urnas. O impacto hoje, diria que é zero. Isso desestimula alguém a tentar.

Fonte: Jornal O Povo

Compartilhe nas Redes Sociais

Outros Artigos

Nuvem

CE | RN | PE | SE | BA | MG | SP - Telefone: (85) 3119.5969

Golden Technologia © 2018 - Todos os direitos reservados.
Termos de Uso | Política de Privacidade

Nunan
ArabicChinese (Simplified)DutchEnglishFrenchGermanItalianPortugueseRussianSpanish