Autoridade independente em votação eletrônica, refuta Lupa: #fake-checking. Urnas do Brasil NÃO podem ser auditadas e é IMPOSSÍVEL recontar votos.

O #fake-checking da Lupa baseado nas falácias do TSE

Refutação à análise da Agência Lupa. Por Eng. Amílcar Brunazo - membro do CMIND

#Verificamos: Urnas eletrônicas do Brasil NÃO podem ser auditadas e é IMPOSSÍVEL recontar votos.

Em 16/nov/2020, a LUPA , que se autodenomina “a primeira agência de fact-checking do Brasil”, publicou uma análise mal elaborada que repercutiu em outros veículos, com o seguinte título: #Verificamos: Urnas eletrônicas do Brasil podem ser auditadas e é possível recontar votos
por GUSTAVO QUEIROZ Repórter (especial para a Lupa) | Rio de Janeiro | [email protected] 16.NOV.2020 | 20H40

A análise publicada é totalmente imprópria e equivocada, verdadeiro fake-checking, onde a denúncia de que “a urna é inauditável e a eleição não pode ter recontagem” é confrontada apenas com as informações obtidas junto ao administrador eleitoral responsável pelo objeto (urna eletrônica) e pelo serviço (eleição) denunciados.

Obs.: nessa sua matéria a agência Lupa se refere ao administrador eleitoral brasileiro, o TSE, com o apelido comumente usado de Justiça Eleitoral. Mas tal apelido induz engano pois esconde as duas outras funções republicanas praticadas por esse órgão da União que são a administração (Poder Executivo) das eleições e a normatização (Poder Legislativo) do processo eleitoral.

De fato, não existe tripartição de poderes no processo eleitoral brasileiro. Como a matéria em tela aborda e cita apenas atos normativos (Resoluções do TSE) e atos administrativos (fazer a eleição) e em nenhum momento aborda atos judicantes (julgamentos, processos eleitorais, etc.) nos parece mais adequado usar uma denominação mais precisa para este caso: o Administrador Eleitoral.

Antes de mais nada para evitar confusões muito comuns, é bom lembrar que a etapa de Registro e Apuração dos Votos que ocorre nas urnas eletrônicas é um processo anterior e separado da etapa da Transmissão e Totalização dos Votos que ocorre nos computadores dos Tribunais Eleitorais. Não se deve falar da auditoria dessas duas etapas como uma coisa só. Por exemplo, o Boletim de Urna impresso (BU), que o TSE dá a entender que serve para auditar as urnas eletrônicas, não serve em absoluto para esse fim. Serve apenas como trilha para auditoria da Totalização mas não da Apuração nas urnas.

Todos sabemos, é de domínio popular, que perguntar a um fornecedor se o seu produto ou serviço é mesmo bom, sempre ouviremos uma resposta positiva.

Assim, perguntar ao administrador eleitoral se seu produto (urna eletrônica) e seu serviço (eleição) é confiável e seguro, principalmente se esse mesmo agente é quem escreve as nornas que estabelecem como determinar a confiabilidade do seu serviço, só obteremos respostas de que tudo é perfeito e funciona na mais perfeita ordem de acordo com a regulamentação (que ele mesmo escreveu). Nunca seria diferente.

Vejam, por exemplo, o argumento apresentado pelo administrador eleitoral e reproduzido na matéria da Lupa de que a correção e confiabilidade do software das urnas podem ser confirmadas pela recontagem dos Registros Digitais do Voto (RDV) que o próprio software cria.

Ora, para concluir que a recontagem dos RDV é correta é necessário admitir a priori (premissa oculta) que o conteúdo dos RDV está correto. Para se admitir que os RDV são corretos é necessário aceitar antecipadamente (mais uma premissa oculta) que o software que os gerou é honesto e funciona corretamente.

E assim, partindo da premissa que o software das urnas é sempre hígido, o administrador eleitoral e o arguto analista alegam como conclusão que o software das urnas é sempre hígido!

Seria brilhante se não fosse um dos mais elementares sofisma conhecidos: concluir como verdadeira a própria premissa admitida como verdadeira a priori.

O nome desse tipo de raciocínio é tautologia simples: sempre uma proposição implica a própria proposição. Mas isso não serve de prova que o software das urnas é hígido. É o mesmo que dizer : “admitindo que a Terra é plana, então blá-blá-blá e daí conclui-se que a Terra é plana”.

Que o administrador eleitoral recorra a essa classe de sofisma é até esperado, afinal ele tem supremos poderes e é o vendedor do produto, mas um pretenso verificador de verdades aceitar e apresentar esse tipo de argumento é assustador. Não pode ser sério e me permite conjecturar que talvez seja apenas mais um caso de imprensa domesticada.

É de domínio popular também que, para se avaliar um produto ou serviço, SEMPRE é bom ouvir um agente INDEPENDENTE. Ouvir as duas partes. Por mais novato e despreparado que seja um autodenominado “fact-checker”, ele não poderia ignorar coisa tão obvia e elementar.

Deveria também saber que NUNCA uma auditoria pode ser feita ou dirigida pelo agente auditado. É palavra de ouro entre profissionais de auditoria que:

“Quem projeta não opera,
quem opera não audita”

E, no caso de auditoria de eleição no Brasil, agentes adequados para uma avaliação seriam auditores independentes especializados em Tecnologia da Informação (TI). Deveriam ser independentes inclusive de qualquer outro órgão da União se possível. Desejável ainda alguma experiencia anterior em “auditorias” de eleições no TSE.

Os argumentos apresentados pelo analista da Lupa, que óbviamente não é auditor profissional de TI, foram todos, sem exceção, reprodução de textos institucionais escritos pelo administrador eleitoral. Nenhum auditor independente com experiência em auditoria das urnas eletrônicas foi consultado para saber se as alegadas “auditorias” são de fato eficazes.

O analista apenas repete uma serie de “recursos e procedimentos” que o administrador eleitoral denomina de “auditorias da eleição” como:

“o Registro Digital do Voto, o log da urna eletrônica, as auditorias pré e pós-eleição, as auditorias dos códigos-fonte, o formato de lacração dos sistemas,
a auditoria realizada no dia da votação e a oficialização dos sistemas”

Mas é elementar que o agente a ter seu serviço auditado não pode ser quem determina (por suas Resoluções) o que é auditoria e como ela deve ser feita.

Existem inúmeros relatório técnicos, artigos acadêmicos, de várias dezenas de autores especialistas em TI, com experiencia própria em auditoria no TSE e, acima de tudo, independentes do administrador eleitoral (isto quer dizer que nunca foram remunerados ou compensados direta ou indiretamente por algum serviço prestado ao TSE).

Alguns exemplos:

– Jeroen Van Der Graaf – Professor da UFMG, Doutor em matemática e criptografia, acompanha o sistema eleitoral desde 2002 e autor do livro “O mito da urna: desvendando a (in)segurança da urna eletrônica” de 2017, disponível aqui. Onde o autor diz: “nenhuma confirmação independente do resultado da eleição é possível, pois não há como recontar os votos”.

– Diego Aranha – professor da Aarhus Univ., Noruega, Doutor em criptografia e segurança computacional, acompanha o sistema eleitoral desde 2004 e teve sucesso nos ataques às urnas em 2012 e 2017 nos testes oficiais do TSE. Ver aqui e em Execução de Código Arbitrário na Urna-e Brasileira onde diz:

“Máquinas de votar do tipo DRE (como as urnas brasileiras) são largamente criticadas na literatura científica, principalmente por suas falhas de projeto e implementação, impossibilidade de auditoria independente de software [Rivest 2008] e vulnerabilidade contra ataques internos”.

– Augusto Marcacini – Professor Livre Docente em Direito Digital, acompanha o sistema eleitoral desde 2004, na época como representante da OAB, autor do artigo “Aspectos jurídicos, políticos e técnicos sobre sistemas eletrônicos de votação e a urna eletrônica brasileira” de 2019, disponível no site do TSE (baixe logo antes que seja retirado) e onde diz:

“Todos os três métodos de auditoria descritos neste artigo (Votação Paralela, Análise de código-fonte e Teste de Segurança), e que têm sido usados para conferir a confiabilidade das urnas eletrônicas por mais de uma década, provaram ser insuficientes, ou são veementemente repelidos por estudos internacionais, especialmente por não ser um meio eficaz para evitar um ataque interno”.

– 165 Peritos Criminais Federais e membros do Ministério Público – coordenados pelo Dr. Marcos Camargo, presidente da Associação Nacional dos Peritos Criminais Federais (APCF), após o sucesso de uma equipe da APCF nos testes de segurança de 2017 no TSE, conseguindo demonstrar que o Flash da Carga das urnas era vulnerável para adulteração por atacantes externos (hackers) emitiram nota conjunta pública, disponível aqui, que começa dizendo: “impossibilidade de fiscalização efetiva das eleições realizadas por meio de urnas eletrônicas, sem voto impresso, por parte do Cidadão, do Ministério Público e do Poder Judiciário”.

– Comitê Multidisciplinar Independente – CMIND – grupo de 10 profissionais de diversas áreas com larga experiencia em fiscalização e auditoria dentro do TSE desde 2000, que publicou o Relatório sobre o Sistema Brasileiro de Votação Eletrônica de 2010 onde diz: “O TSE pode fazer mais. Além da apuração rápida, que já nos oferece, deveria propiciar uma apuração conferível pela sociedade civil”.

Todos esses quase 200 profissionais com experiência em TI e em fiscalização dentro do TSE, de origem a mais diversificada e sem se conhecem anteriormente são unânimes em afirmar que “a urna não pode ser auditada e a eleição não pode ter recontagem”. Não seria de bom senso consultar pelo menos alguns deles para entender o porquê dessa opinião?

É não é só no Brasil que se sabe que urnas eletrônicas sem trilha de auditoria independente do software – chamado de Voter Verified Paper Audit Trail (VVPAT) ou Voto impresso Conferível pelo Eleitor – não podem ter seus resultados auditados ou recontados.

A questão é técnica e estrutural e não política. Por não atenderem o PRINCÍPIO CONSTITUCIONAL DA PUBLICIDADE, já que impossibilitam recontagem pública dos votos, as urnas eletrônicas sem voto impresso já foram proibidas pela Suprema Corte da Alemanha em 2009 (ver em alemão e em inglês), da Índia em 2014 (ver aqui e aqui) e pelo governo da Holanda em 2008 (ver aqui). Nos EUA, existe uma lei de 2018 que financia os poucos Estados que usam urnas sem voto impresso, por modelos com materialização do voto (ver aqui e aqui).

Existe ainda, disponível ao público na Internet, o relatório da única verdadeira auditoria eleitoral independente do TSE, feito por 10 auditores especializados com as seguintes qualificações em conjunto:
– são especialistas com formação acadêmica em TI, alguns são professores universitários e outros são especialistas em auditoria em TI;
– têm experiência anterior em fiscalizar eleições eletrônicas no Brasil;
– são todos independentes, não vinculados direta ou indiretamente, terceirizado ou subcontratado pelo administrador eleitoral;
– embora tenham sido contratados para fazer a auditoria para um Partido Político, não eram filiados a nenhum Partido Político.

Obs.: Partidos Políticos são agentes independentes reconhecidos em Lei para participar de eleições e auditá-las. E, ainda, por serem os únicos a terem o direito de receber votos (ser votado) são mais interessados e imparciais como auditores independentes do que agentes públicos ou agentes privados de fact-checking.

Afasta-se assim a falácia de pretensa parcialidade de auditores independentes contratados por Partidos Políticos.

O relatório citado é o que descreve a “Auditoria Especial no Sistema Eleitoral 2014” contratada pelo PSDB e que está publicamente disponível aqui.
Como esse relatório é bastante detalhado e longo (216 pág.), há uma versão resumida de 12 páginas que foi apresentada e aceita para publicação no Workshop de Tecnologia Eleitoral de 2015 na UFSC disponível aqui.

O resumo das conclusões na página 54 do relatório completo é o seguinte:

O Sistema Eleitoral Informatizado Brasileiro não foi projetado, desenvolvido e implantado para permitir uma auditoria independente efetiva do resultado que produz;
O sistema adotado e o processo desenvolvido pela autoridade eleitoral, com suas severas restrições, não permitiram a conferência e a determinação do nível de confiabilidade da etapa de votação e apuração dos votos que ocorrem nas urnas eletrônicas;
Na etapa de transmissão e de totalização dos votos, não foram encontrados problemas graves que indicassem comprometimento da sua confiabilidade.

Ressalte-se que a 3ª conclusão, sobre a auditabilidade da Totalização, foi possível devido à existência de trilha física de auditoria dos dados de entrada (BU) independente do sistema auditado (computadores do TSE/TRE). É o BU impresso em PAPEL.

Já a 2ª conclusão, sobre a inauditabilidade da Votação e Apuração, se deve justamente a não existir trilha física de auditoria dos dados de entrada (Registro do Voto) independente do sistema auditado (urnas eletrônicas). Seria, se existisse, o Voto Impresso Conferível pelo Eleitor.

Lendo o relatório (é importante ler antes de contestar) fica muito claro que os auditores independentes sofreram muitas restrições durante seu trabalho, tendo sido impedidos de desenvolver atividades elementares de auditoria em TI como, por exemplo:

– Não puderam analisar todo código-fonte do software das urnas. O conjunto apresentado estava incompleto. Isto é, o DVD lacrado e guardado nos cofres do TSE não continha a totalidade do software existente de fato nas urnas.
– Não puderam verificar o conteúdo das memórias de nenhuma urna eletrônica já que assistir uma autoverificação do software não serve, não é auditoria. Alguém imagina como seria uma auditoria de TI em que a memória do equipamento a ser auditado não pudesse ter seu conteúdo lido e conferido?
– Não puderam conferir a quantidade de votos fantasmas coletados em nome de eleitores que justificaram a ausência. Embora existissem provas disso, o TSE se recusou a fornecer os dados que dispõe e nada faz com eles.
– Não puderam fazer testes livres de resistência a ataques. O TSE não permitiu.

Houve mais uma longa série de restrições graves, como o veto a dois auditores, todas descritas e documentadas no relatório, que demonstram que são falsas as alegadas transparência e auditabilidade das urnas eletrônicas do TSE. É só um caso de vendedor dourando sua pilula.

Para complementar, diga-se que os auditores independentes analisaram um a um todos os tais recursos e procedimentos comportadamente reproduzidos na matéria da Lupa e apenas a distribuição do BU impresso, que é determinado por Lei e não pelo TSE, é reconhecido como importante para a auditoria da Totalização (mas não da Apuração). Todos os demais recursos descritos foram detalhadamente refutados e descartados como possível auditoria válida. Mesmo porque, nunca é auditoria verdadeira um procedimento determinado e controlado pelo auditado.

Os auditores ainda mostram de forma indubitável porque o tal Registro Digital do Voto (RDV) não serve para fazer uma verdadeira recontagem dos votos uma vez que é criado e gravado pelo mesmo software cujo funcionamento se quer auditar. Não adianta usar um documento criado por um software para tentar verificar a higidez de outro documento do mesmo software. Para uma auditoria do funcionamento de software é necessário se recorrer a uma trilha de auditoria independente do próprio software.

Como já explicado acima, é simples sofisma dizer o contrário.

Também explicam como a chamada Auditoria de Votação Paralela pode ser burlada e porque não serve para comprovar a idoneidade do software da urna eletrônica. Vão além e mostram que as urnas biométricas são incompatíveis e desobedecem a Lei que determina esse teste.
Ainda, detalham a ineficácia dos lacres, da impressão de hashs (assinatura digital), etc.

E por falar em assinatura digital, seria de bom alvitre o analista da Lupa ler e conhecer o Princípio da Independência do Software em Sistemas Eleitorais, já citado e disponível aqui, criado justamente pelo PhD. Ronald Rivest, inventor da técnica de Assinaturas Digitais, para dar real garantia de auditabilidade para sistemas eleitorais eletrônicos e que classifica o modelo das urnas eletrônicas brasileiras sem Voto Impresso Conferível pelo Eleitor como impossível de ter seu resultado conferido com eficácia.

Alguns países usam voto eletrônico, mas o Brasil é o ÚNICO que ainda insiste em usar em larga escala urnas eletrônicas sem trilha de auditoria independente do software o que impede não só a recontagem, como auditorias transparentes. Com isso, a apuração das eleições no Brasil se torna SECRETA quando deveria ser pública. Infringe o PRINCÍPIO CONSTITUCIONAL DA PUBLICIDADE que deveria nortear o administrador eleitoral, uma vez que trata-se de ato de servidor e de serviço público.

Assim, diante de tão frágil avaliação da agência Lupa nesse caso que repercutiu, fica mais justo denominar o caso de
fake-checking, muito comum, uma moda e quase uma pandemia digital nos dias de hoje.

Afinal, quem checa o checador?

… e quem, da imprensa domesticada vai repercutir esta réplica?

* Amílcar Brunazo Filho – engenheiro com especialização em segurança de dados, membro do CMIND com experiência de fiscalização e auditoria do sistema eleitoral eletrônico brasileiro dentro do TSE desde 2000. Ver aqui.
* CMIND – Comitê Multidisciplinar Independente que analisa o sistema eleitoral eletrônico brasileiro desde 2010.