Paulo e Amilcar,
tenho uma opinião um pouco diferente sobre este assunto, talvez seja
até uma opinião complementar.
As 3 questões que coloquei tem um importante ponto em comum.
No fundo a TSE nunca realmente se preocupou com segurança, nunca se
preocupou com auditoria.
Perguntei à um técnico do TSE quantas tentativas de fraudes eles já
tinham detectado e a resposta foi nenhuma.
A única direção que o TSE sempre trabalhou bem neste processo de
informatização foi em produzir um resultado rápido que fosse
inquestionável. Quando se tem a opção de se questionar o resultado fica
pendente, ou seja a resultado não é tão rápido. A idéia é ter uma urna
muito rápida em gerar um resultado e 100% segura por lei.
A impressão do voto possibilitaria se descobrir fraudes internas à
fronteira de conhecimento, mas também poderia pegar fraudes externas à
esta fronteira. Ou seja, se uma fraude externa fosse descoberta, o
resultado rápido estaria comprometido e também a competência técnica do
TSE em criar uma urna realmente segura.
Segurança é apenas uma parte técnica do projeto, afinal temos 400 mil
urnas funcionando simultaneamente em um único dia (tecnicamente isto
não é pouco), mas basta a divulgação de uma única fraude para
desmoralizar todo o trabalho técnico. Esta é a única razão para não se
permitir um teste de penetração.
Em minha opinião o corpo técnico do TSE age em defesa própria,
convencendo os Ministros através de subterfúgios técnicos.
Márcio
Amilcar Brunazo Filho wrote:
Caro Paulo,
Faço algumas poderações sobre sua "hipotese". São poderações e não críticas,
pois há muito de correto nela, principalmente pela vontade crescente do grupo
de técnicos do TSE procurar manter controle e exclusividade sobre os meios de
fraude:
1) Como se pode ver no livro do Camarão, no projeto original das urnas
eletrônicas constava a emissão do voto impresso para efeito de recontagem.
Então, o projeto não era eliminar o voto impresso e sim mantê-lo
2) Nas urnas-e lançadas em 1996 havia o voto impresso para recontagem, embora
ele não fosse mostrado ao eleitor.
3) O motivo oficial alegado para acabar com o voto impresso em 1998 foi o
número grande de falhas (amassamento do papel) nas impressoras e não a perda
do controle centralizado do poder de fraudar (é lógico que eles jamais
anunciariam isto).
4) A questão do custo. Antes da eleição de 2002, o Jobim declarou que o custo
das eleições eletrônicas resultou em quase 20% maior que o voto manual. O
Camarão contestou porque o Jobim considerou todos os custos de informatização
do voto enquanto ele alegava que alguns custos deveria ser desconsiderados.
É assim, ajeitando os custos, que o Velloso chegou no número que divulgou. Uma
coisa é certa, o custo de guarda e manutenção das urnas é muito, muito maior
que o custo de guarda de votos em papel. O custo do equipamento de uma seção
eleitoral é muito maior com urna-e do que sem urna-e. O custo do 12 mil
funcionários temporários para preparação das urnas não existia. O custo de
totalização (rede segura, etc) é muito maior do que antes. Lembre que os
funcionários utilizados na totalização manual dos votos eram fornececidos
pelos órgãos públicos, sem custo para o TSE que só pagava a preparação dos locais.
5) A necessidade de fiscalização nas seções eleitorais continua mesmo com o
uso de urnas-e. Na realidade FISCALIZAÇÂO EFICAZ é a única coisa que pode de
fato diminuir fraudes eleitorais.
6) O Voto impresso emitido por uma urna eletrônica pode receber uma assinatura
digital dela própria, dificultando muito a falsificação externa eficaz de
votos impressos. A fraude tipo ataque de bloqueio de serviço (DoS) que você
sugeriu (incluir votos impressos falsos para constestar a apuração) se
tornaria detectável, e portanto inútil, podendo se reverter contra o autor.
Acabaria por se tornar prática abandonada.
7) Eles tem experiência de fraudes externas antigas e procuram se defender.
Mas nós, os eleitores, que deveríamos ser os verdadeiros soberanos do
processo, temos experiência para nos defender das fraudes internas modernas?
Amilcar
Paulo Mora de Freitas escreveu:
Prezados Kika e Márcio,
Permitam-me dar uma resposta às tuas três questões, por uma vez,
diferente da de sempre repetida aqui nesse Forum. Já faz alguns meses
que eu estou para escrever isto mas nunca tive tempo, aqui vai então.
No ano passado teve aqui na França um simpósio sobre a Democracia
eletrônica. Não vou entrar em detalhes sobre este simpósio, mas como no
ano passado tínhamos por aqui o ano France-Brésil o nosso país era o
convidado de honra. Nessas vieram o Ministro Velloso, Camarão e demais
pessoas do TSE para participar pessoalmente neste evento. Daí aconteceu
uma coisa curiosa, típica de brasileiros no exterior: é muito fácil de
se aproximar de não importa qual autoridade falando-se Português, aquela
coisa de “-Ah, vocês são brasileiros? Que bom, vamos conversar um
pouco...”. Tentei e deu certo, passei uma manhã discutindo com o Velloso
e com o Camarão sobre a urna eletrônica.
Duas coisas nesse episódio me chamaram a atenção. A primeira, foi a
condição que eles anunciaram para que eles aceitassem conversar comigo.
De cara eles disseram: “- Se o Sr. tem questão fechada de que se deve
colocar uma impressora nós nem começamos a conversar.” Outra coisa, me
dei conta do quanto eu estava mal informado sobre a urna brasileira, dos
procedimentos previstos em lei, etc.
Para não entrar em detalhes e evitar um mail quilométrico, vamos ao
que interessa. Muito me encafifou essa condição tão fechada contra a
impressora. Afinal, colocar essa porcaria de impressora não é tão
difícil assim, bastaria colocá-la para por um ponto final nessa novela.
Por outro lado descarto teses paranóicas, de conspirações na calada da
noite: são hipóteses muito fáceis, soluções triviais que não levam à
nada. Havia então algo muito contraditório nisso tudo.
A ficha caiu lendo a introdução do projeto de introdução da biometria
no voto eletrônico brasileiro. Logo de cara está escrito algo mais ou
menos assim: “A introdução da urna-e no Brasil já acabou com um número
muito importante de fraudes que eram praticadas no tempo do voto em
papel. Resta agora resolver o problema da identificação do eleitor no
momento de votar, que resta um foco de fraudes ---> por depender ainda
dos recursos locais na hora da votação <---”. Bingo, caiu a ficha!
A minha hipótese, que penso acabo de citar a prova empírica, é a de
que o projeto do TSE é o seguinte: não depender em nenhuma hipótese de
recursos locais na seção onde se vota. Por que? Porque é muito caro!
Talvez morando numa grande cidade a gente não se dê conta do que é
organizar uma eleição num país do tamanho do Brasil. Tem local em que a
urna chega de helicóptero do exército! Então como assegurar a lisura das
eleições em todas essas seções espalhadas Brasil afora? Enviando
fiscais? Muito caro, quase impossível.
Outra coisa que corrobora essa tese é a fala do Ministro Velloso
apresentando o sistema brasileiro. Diz ele que apesar do custo da compra
do equipamento, a introdução do voto-e permitiu uma economia de 30% nos
custos de organização das eleições. A economia, evidentemente, está no
número muito menor de pessoas no terreno para fiscalizar as eleições.
Nessas, então, qual é a especificação da urna brasileira? A de ser um
dispositivo sólido, quase especificação militar, protegido o melhor
possível de ataques externos, de maneira a que o TSE o prepare de
maneira centralizada e o distribua Brasil afora. Pode acontecer de tudo
com as urnas-e, mas se elas voltam inteiras, o TSE acredita que pode
confiar no seu conteúdo vistas as especificações.
Fica fácil então entender porque esse pessoal do TSE não vai nunca nem
aceitar de falar em colocar uma impressora acoplada na urna. Isso
porque, introduzindo a impressora, você introduz a possibilidade de se
contestar o funcionamento da urna-se NO LOCAL de votação. Ou seja, se
você aceita a impressora e a possibilidade do eleitor, no momento do
voto, contestar o funcionamento da urna, o TSE terá que voltar a enviar
fiscais Brasil afora para verificar as ocorrências.
Algumas conseqüências dessa hipótese:
1) É um projeto que não pode ser anunciado. Significaria o presidente do
TSE um dia ir no jornal das 20 horas dizer o seguinte: “-Olha, pessoal,
esse negócio de democracia é muito sério, mas complicado demais para
ficar na mão de vocês. Por isso nós fabricamos aqui uma caixinha preta
que cuida de tudo”. Trata-se de um projeto de vocação claramente
fascista, o qual exclui do projeto o povo do qual emana no final das
contas o poder democrático.
2) É um projeto utópico. Na prática estes dispositivos são manipuláveis,
clonáveis, etc. Da mesma maneira em que a idéia de que se basta acoplar
a impressora para resolver este problema é outro projeto utópico. Um dia
desses escrevo outro mail longo sobre isso também.
3) Eles tem razão? Em princípio não, na prática talvez sim. Dou um
exemplo: imaginamos que na seção onde voto o meu candidato certamente
vai perder de longe. O que eu posso fazer? Simples. Eu e alguns
militantes que votam na mesma seção passamos a contestar
sistematicamente o funcionamento da urna, tentando anulá-la. Além disso,
como na contestação passamos ao voto manual, basta dar um jeito de
colocar mais votos do que os previstos na urna de papel e provavelmente
anular a urna no tapetão, via recurso depois. Cito este exemplo somente
para mostrar que uma coisa é a teoria, outra coisa é o que rola nesse
Brasil afora. O pessoal do TSE pode ter vários defeitos, mas eles tem
uma coisa que não temos: experiência de terreno.
Vai um abração, Paulo.
Marcio C. teixeira wrote:
Amilcar, achei bastante interessante sua colocação. Ficam algumas
perguntas:
1) Por que uma solução tão simples e tão evitada. (a impressão do voto)?
2) Por que criar uma fronteira de conhecimento tão ampla e com tanta
gente dentro, para se resolver um problema tão simples. (somar votos)?
3) Por que uma solução tão complexa é tão primária no proteção contra
ataques externos à esta fronteira?
Um abraço...
Márcio
Amilcar Brunazo Filho wrote:
Grande e Admirado Márcio,
Acredito que concordamos em tese. Mas tenho outra forma de apresentar
a sua idéia de que não existe segurança em informática sem que se
recorra a algo secreto.
Processos informatizados que controle dados sensíveis (que necessita
de segurança) só podem ser protegidos a partir de uma fronteira de
conhecimento. Quem estiver fora da fronteira não conseguirá atacar,
quem estiver dentro poderá atacar.
Aí o problema se transfere para: como delimitar esta fronteira e quem
deixar do lado de dentro?
Acredito que não exista solução ideal que satisfaça a todos.
Tem-se que dar a alguns o direito de ficar do lado de dentro e aos de
fora tem que ser dado TODAS AS CONDIÇÕES NECESSÁRIAS
para auditar o trabalho dos de dentro.
É aí que entra o voto impresso conferido pelo eleitor para dar
auditabilidade à apuração eletrônica dos votos pois só o grupo que
controla os programas e as máquinas poderiam saber se apuração foi
honesta. Mas nós de fora nunca saberíamos se eles estão sendo sinceros
ou não ao afirmar que tudo correu bem a não ser que tenhos como
conferir os resultados por fora.
Amilcar
Marcio C Teixeira escreveu:
Paulo,
este é um assunto muito polêmico.
Ter código aberto ou fechado não garante segurança.
A pergunta tem que ser diferente: "Por quem e como o sistema será (ou
tem que ser) auditado?", nada impede de vc utilizar uma solução
aberta como se fosse fechada.
Outra coisa importante é que a palavra segurança depende muito do
contexto que ela é utilizada. Por exemplo, é muito comum encontrarmos
esta frase: O Linux é mais seguro que o Windows, por que ele tem
códigos aberto e os bugs são corrigidos mais facilmente. Isto é
verdade, pois não existem "portas do fundo" e incompetência
escondida, em compensação a proteção contra ataques por engenharia
reversa, no Linux, é muito mais difícil do que o Windows.
Na verdade, toda a segurança tem algum ponto de obscuridade. Por isto
que afirmo, NÃO EXISTE SEGURANÇA SEM OBSCURIDADE.
No Caso especifico da urna eletrônica, a coisa é bastante complicada
para software de códigos fechado, porque quem detem o secreto, pode
também ser quem vai atacar o sistema.
Neste caso específico a área de obscuridade tem que ser
suficientemente grande para proteger o sistema e suficientemente
pequena para não permitir (ou dificultar ao máximo) uma fraude no
resultado.
Um abraço...
Márcio
[ ]s
Amilcar Brunazo Filho
www.votoseguro.org
EU SEI EM QUEM VOTEI.
ELES TAMBÉM.
MAS SÓ ELES SABEM QUEM RECEBEU O MEU VOTO.
______________________________________________________________
O texto acima e' de inteira e exclusiva responsabilidade de seu
autor, conforme identificado no campo "remetente", e nao
representa necessariamente o ponto de vista do Forum do Voto-E
O Forum do Voto-E visa debater a confibilidade dos sistemas
eleitorais informatizados, em especial o brasileiro, e dos
sistemas de assinatura digital e infraestrutura de chaves publicas.
__________________________________________________
Pagina, Jornal e Forum do Voto Eletronico
http://www.votoseguro.org
__________________________________________________
______________________________________________________________
O texto acima e' de inteira e exclusiva responsabilidade de seu
autor, conforme identificado no campo "remetente", e nao
representa necessariamente o ponto de vista do Forum do Voto-E
O Forum do Voto-E visa debater a confibilidade dos sistemas
eleitorais informatizados, em especial o brasileiro, e dos
sistemas de assinatura digital e infraestrutura de chaves publicas.
__________________________________________________
Pagina, Jornal e Forum do Voto Eletronico
http://www.votoseguro.org
__________________________________________________
Links do Yahoo! Grupos
<*> Para visitar o site do seu grupo na web, acesse:
http://br.groups.yahoo.com/group/civilis/
<*> Para sair deste grupo, envie um e-mail para:
[EMAIL PROTECTED]
<*> O uso que você faz do Yahoo! Grupos está sujeito aos:
http://br.yahoo.com/info/utos.html
|
