Dúvidas sobre a urna eletrônica: como funciona o sistema?
Debate sobre a transparência das eleições fervilha na opinião pública brasileira. A Sputnik Brasil conversou com dois especialistas para explicar o quão seguras são as urnas eletrônicas e como funciona esse sistema.
SputnikÀs portas das eleições gerais deste ano, a segurança do sistema eleitoral brasileiro vem sendo posta em dúvida por críticos das urnas eletrônicas. Um deles é o
próprio presidente Jair Bolsonaro (PL). Em um recente
encontro com embaixadores, o chefe de Estado fez uma série de alegações sobre o sistema eleitoral brasileiro, que foram prontamente rebatidas pelo Tribunal Superior Eleitoral (TSE).
Mas o quão passíveis de fraude são as urnas eletrônicas? E como elas funcionam? Para responder essas questões, a Sputnik Brasil conversou com Rodrigo Coimbra, chefe da Seção de Voto Informatizado do TSE, e Raphael D. Pinheiro, engenheiro de software.
Questionado sobre se as urnas eletrônicas são, de fato, seguras, Rodrigo Coimbra é categórico ao afirmar que sim. Ele destaca que "desde que o Brasil passou a utilizar as urnas eletrônicas, em 1996, nunca houve um só relato de fraude nas votações, o que demonstra a segurança e lisura das eleições realizadas no país".
"Nunca houve qualquer perícia da Polícia Federal que chegasse à conclusão de fraude no processo eleitoral. Pelo contrário, sempre foi atestado o correto funcionamento do sistema", explica Coimbra.
Ele aponta que essa segurança é garantida pelos mecanismos presentes no software e no hardware das urnas eletrônicas — que contam com mais de 30 barreiras de segurança contra tentativas de invasão. Dois desses mecanismos são: a criptografia, que impede que um eventual hacker tenha acesso a dados do eleitor ou do sistema; e a assinatura digital, que garante que o arquivo digital da urna não foi modificado, seja de forma intencional ou não.
Segundo Coimbra, qualquer tentativa de furar essa barreira de segurança seria detectada e resultaria na paralisação da urna.
"Para que fosse possível uma fraude, além de manipular o dado, o eventual atacante deveria gerar outras assinaturas digitais forjadas. No entanto somente o TSE consegue gerar tais assinaturas, e, em uma simples manipulação de qualquer dado, o programa contido nos cartões de memória implica na paralisação do funcionamento da urna", explica Coimbra.
Segundo Coimbra, "desse modo, o atacante não consegue efetivamente gerar um resultado fraudulento, alterar uma votação já realizada ou mesmo inserir qualquer programa que quebre o sigilo do voto". Ele acrescenta que "o software não pode ser mais alterado depois da cerimônia pública de lacração dos sistemas", que ocorre em até 20 dias antes das eleições.
Um ponto frisado por Coimbra é que "o desenvolvimento do conjunto de software do ecossistema da urna é feito por equipe própria do TSE, composta por servidores e colaboradores", e todo o processo é feito sob um rígido controle.
"Existe controle de acesso à sala da equipe no TSE, assim como controles lógicos aplicados aos equipamentos utilizados. Todo o código-fonte é mantido em sistema de controle de versões, que mantém histórico completo das modificações no software: quem modificou, quando modificou e o que foi modificado", explica Coimbra.
Rodrigo Coimbra acrescenta que "ao longo do período de desenvolvimento do software e imediatamente após a lacração, todo o sistema é submetido a testes exaustivos, que são realizados por equipes no TSE e nos tribunais regionais eleitorais".
Um deles é o chamado Teste Público de Segurança (TPS), que ocorre no segundo semestre de cada ano que precede eleições. A última edição ocorreu em novembro do ano passado. No teste, que é público, qualquer brasileiro acima de 18 anos pode apresentar um plano de ataque aos softwares e hardwares das urnas eletrônicas. A medida visa identificar e corrigir possíveis falhas no sistema. "A corretude do software é constantemente verificada", destaca Coimbra.
Acoplar uma impressora às urnas garantiria mais transparência nas eleições deste ano? Raphael D. Pinheiro, engenheiro de software sênior, argumenta que essa proposta seria inviável, pelo menos para este ano. Isso porque implicaria no desenvolvimento de "um novo software para integrar à impressora, às vezes chamado de driver ou software embarcado". E esse software teria de ser implementado em cada urna eletrônica. Ou seja, a proposta exigiria muito mais do que apenas acoplar uma impressora, como é feito com computadores pessoais.
"A questão de desenvolver um módulo extra com integração com impressora é inviável por várias razões. A primeira é que não há tempo hábil para se fazer análise de requisito e trabalhar no design do sistema de forma a entender e prevenir possíveis ataques. Coisas como: e se a impressora falhar, quem vai consertar? Como isso será excluído de um cálculo amostral?", explica Pinheiro.
Pinheiro destaca que, por ser bem mais complexa do que parece, a medida não seria segura para estas eleições. Ele alerta para a chamada vulnerabilidade de negócio, que ocorre quando uma tecnologia é configurada de forma incorreta e vulnerável a acessos não autorizados.
"Fazer algo correndo, para fins eleitoreiros, não me parece a coisa certa a ser feita, embora eu acredite que o voto impresso faça sentido. Mas que ele venha com uma implementação segura, não só do ponto de vista de software, como de 'negócio'. Afinal de contas, o voto de cabresto é uma vulnerabilidade de negócio, e não de software", explica Pinheiro.
Por fim, Pinheiro afirma que já há um projeto-piloto relativo ao voto impresso, feito há alguns anos pelo próprio TSE. Porém ele afirma crer "que esse projeto ainda não está pronto para produção, pois muita coisa não deve ter sido incluída por ter sido um teste".
"Existe uma máxima em desenvolvimento de software que diz que nunca se altera código em produção às sextas-feiras. E onde estamos agora, em relação às eleições, é sexta-feira, às 20h. Certamente algo daria errado por falta de tempo para testar, integrar e distribuir, já que o processo de desenvolvimento não foi corretamente colocado em marcha", finaliza Pinheiro.
Atualmente, a apuração dos votos é feita de maneira automatizada pela urna assim que termina a votação. Ela imprime em cinco vias o chamado Boletim de Urna (BU), que mostra a quantidade de votos registrados
para cada candidato e partido naquela máquina, bem como os votos em branco e nulos. Uma das vias é colocada no próprio local de votação, de maneira visível a todos. Outras são enviadas para os fiscais dos partidos, permitindo que os resultados sejam confrontados com aqueles divulgados na Internet pelo TSE.