Segurança das urnas no Brasil é modelo para o mundo inteiro
As urnas eletrônicas foram adotadas nas eleições brasileiras há 18 anos, mas alguns eleitores ainda dizem desconfiar dos mecanismos de segurança que impedem fraudes e violações
A BBC Brasil preparou uma lista dos principais recursos de segurança usados pelo Tribunal Superior Eleitoral (TSE) para garantir a segurança das urnas e os pontos ainda questionados por técnicos e ativistas contrários ao atual modelo de informatização. "As barreiras existentes no sistema eletrônico de votação tornam a urna inviável de ser fraudada. Na prática, não há como fraudar o sistema sem ser detectado", disse à BBC Brasil por e-mail Giuseppe Janino, secretário da informação do TSE.
As defesas se baseiam em uma série de barreiras eletrônicas que invalidam resultados de urnas que apresentem indícios de terem sido fraudados. Porém, um grupo de técnicos, professores e ativistas chamado Você Fiscal afirma que há falhas no sistema e se organizou para tentar fazer uma fiscalização independente da votação eletrônica.
Eles criaram um aplicativo de celular para que eleitores fotografem os boletins de urnas emitidos nas sessões eleitorais e os enviem para a ONG, que tentará compará-los aos apresentados posteriormente pela Justiça Eleitoral. O trabalho está em andamento.
Segundo o empreendedor digital Helder Ribeiro, um dos líderes da ação, o movimento começou a se organizar neste ano com base no trabalho do professor Diego Aranha, na época vinculado à Universidade de Brasília, que participou de um teste de segurança das urnas eletrônicas promovido pelo TSE em 2012. Na ocasião, Aranha teria identificado supostas falhas no sistema. Isso fez o grupo começar a estudar possíveis brechas na operação, que em teoria poderiam dar margens a fraudes e, segundo Ribeiro, até a uma eventual manipulação de resultados.
"Há falhas que permitiriam mudar resultados sem deixar rastros", disse Ribeiro. Janino afirmou que isso não seria possível: "O eleitor pode ter certeza sobre a segurança das urnas porque as diversas barreiras de segurança são projetadas para tornar qualquer fraude inviável".
No primeiro turno, a BBC Brasil presenciou os trabalhos de cerca de 40 observadores convidados pelo TSE para assistir à votação em Brasília. A maioria deles disse aprovar o sistema.
O guatemalteco Alfonso Quiñonez, secretário de Relações Externas da Organização dos Estados Americanos, diz ter considerado que o modelo brasileiro é "digno de ser replicado em outras partes" do mundo. "Ficamos impressionados com a estrutura do processo e o profissionalismo das pessoas do tribunal. Isso nos faz pensar que o processo satisfaz as necessidades do país", disse.
Veja abaixo quais são as principais barreiras de segurança.
Programas de computador exclusivos
Os programas de computador usados nas urnas são totalmente desenvolvidos pelo TSE. Segundo o tribunal, eles são criados a partir de uma versão única de códigos-fonte, ferramentas usadas pelos desenvolvedores dos programas.
Esses códigos, segundo o TSE, são apresentados aos partidos, Ministério Público e para entidades da sociedade civil em uma cerimônia pública – quando em tese essas entidades poderiam fiscalizar o sistema e analisa-lo.
Os programas criados a partir desse código recebem uma assinatura digital, são gravados em mídias (pen drives) e lacrados em cofres.
Segundo o TSE, esse sistema permite que seja possível verificar qualquer urna usada no país e saber que o conteúdo no interior dela é o mesmo que foi gerado pela autoridade eleitoral - e não uma versão adulterada.
Mas o que o tribunal trata como uma vantagem é visto com desconfiança pelos críticos do sistema. Isso porque por ser o único conhecedor do código fonte, apenas o TSE tem condições de auditá-lo.
Uma opção mais adequada , segundo a organização Você Fiscal, seria o uso de um código-fonte de domínio público, para que os programas pudessem ser fiscalizados pela sociedade civil. Porém, esses programas teriam que ser protegidos por sistemas de criptografia eficazes.
Sistema isolado
O TSE afirma que os programas de computador usados nas urnas não podem ser violados por hackers ou invasores, especialmente porque elas não são ligadas à internet ou a sistemas de wireless ou bluetooth. O tribunal diz ainda que o hardware instalado nas urnas possui um processador a mais, que tem como função verificar se o sistema operacional e os programas usados no aparelho são autênticos. Isso faz com que nem mesmo o fabricante da urna possa operá-la sem a assinatura digital do TSE.
Segundo Ribeiro, o fato das urnas trabalharem como sistemas isolados da internet não impediria que tanto elas como os programas de apuração sejam invadidos por hackers.
"O ataque dos hackers pode acontecer na fase de criação dos programas. Os computadores usados pelos desenvolvedores são ligados à internet".
Segundo ele, vírus em teoria capazes de adulterar o resultado da votação podem ser introduzidos nos programas do TSE antes mesmo deles serem instalados nas urnas, na fase de criação.
Até hoje, nenhuma fraude dessa natureza foi comprovada no Brasil.
Apuração dos votos e criptografia
Quando acaba a votação, cada urna gera um arquivo de computador chamado boletim de urna. Ele é criptografado, assinado digitalmente e gravado em uma mídia chamada Memória de Resultado - um pen drive de formato específico.
É então enviado a um ponto de transmissão da Justiça Eleitoral, que pode ser um cartório eleitoral, uma junta apuradora ou um ponto de transmissão via satélite. De lá são enviados - o TSE não especifica por que meio - para os computadores do Tribunal Regional Eleitoral.
Lá são feitas a decifração do código criptografado e a verificação da assinatura digital, da estrutura do arquivo, da origem da urna e de outros dados. Se não passar em qualquer uma dessas verificações de segurança o boletim é descartado.
Em teoria, segundo Ribeiro, se uma organização ou indivíduo conseguisse ter acesso a uma dessas mídias poderia tentar decifrar o código de criptografia e assim, em tese, tentar invadir todo o sistema.
Ele levanta ainda a hipótese de algum dos técnicos do TSE ser subornado para fraudar o sistema de apuração dos votos dentro da instituição. Essas hipóteses de ataques também não foram detectadas até hoje no país.
Testes de segurança
O TSE realizou 27 testes de segurança no sistema das urnas eletrônicas entre 2009 e 2012, feitos por especialistas de tecnologia da informação "para identificar possíveis vulnerabilidades nos procedimentos e softwares eleitorais, permitindo ao Tribunal Superior Eleitoral seu aprimoramento".
O órgão disse que a votação eletrônica teria se mostrado segura. Mas os ativistas criticaram o fato de novos testes não terem sido realizados neste ano – pois não puderam verificar se supostas falhas achadas em 2012 foram corrigidas.
O tribunal afirmou que não realizou novos testes de segurança em 2014 por considerar que as barreiras de segurança usadas neste ano não foram alteradas e por isso não precisariam ser submetidas a novos testes.
Votação paralela
No período da eleição o TSE sorteia em cada Estado uma sessão na capital e até quatro no interior para passar por uma votação paralela. As urnas delas são levadas para um local pré-selecionado onde passam por uma simulação de eleição que compara a votação eletrônica com votos em uma urna convencional, com cédulas de papel.
O objetivo é verificar eventuais fraudes.
Recontagem dos votos
De acordo com o TSE, a urna eletrônica grava de forma embaralhada cada registro de voto em um arquivo chamado Registro Digital de Voto. Esses arquivos são depois disponibilizados aos partidos políticos para que façam sua própria recontagem.
Ativistas do Você Fiscal afirmam que um sistema de recontagem supostamente mais eficiente envolveria a impressão de uma versão em papel do voto registrado pela urna eletrônica. Dessa forma, a votação poderia ser auditada não só de forma digital, mas também analógica
O TSE afirmou que essa possibilidade foi analisada pelo Supremo Tribunal Federal que a considerou inconstitucional por fragilizar o sigilo do voto.