[ ATUALIZADO EM 2022, SETE ANOS APÓS A PUBLICAÇÃO ]
O tema da segurança da urna ressurgiu em 2021 e 2022 com um viés político, muitas vezes com o intuito de descreditar o resultado da urna ou levantar hipóteses de que houve fraude em eleições passadas.
Estas críticas costumam ser levantadas por pessoas envolvidas no processo político. São muito diferentes das críticas abaixo, feitas por quem não tem envolvimento no processo político e não question os resultados. Encontrar uma falha na urna e uma prova de fraude em uma eleição são coisas muito diferentes; mas há quem faça questão de confundir uma coisa com a outra em benefício próprio.
De fato, parte da razão para criar um sistema de voto eletrônico mais robusto e seguro é justamente permitir que a sociedade tenha argumentos para derrubar esse tipo de insinuação. Quem ocupa uma posição cujo poder é capaz de representar uma ameaça ao processo democrático não pode realizar o mesmo tipo de crítica que acadêmicos ou outros interessados pelo tema, pois se torna a própria ameaça ao país que estas pessoas de boa-fé tentam combater.
Falando de forma mais clara, quando acadêmicos e especialistas em segurança sugerem melhorias para o processo eleitoral, um dos objetivos é evitar que os próprios políticos inflamem a população contra o sistema.
Qualquer mudança ao sistema eleitoral (como a impressão do voto) precisa ser estudada e testada ao longo de anos, especialmente em um país como o Brasil, onde já ocorriam fraudes nas eleições em papel. Criar um mecanismo de impressão que só serviria para criar dúvidas sobre o processo não o tornaria mais seguro.
Embora a Linha Defensiva continue defendendo a impressão do voto como parte da modernização do sistema, em linha com as melhores práticas internacionais, este texto de 2015 é de uma época em que o tema nem sequer tinha visibilidade no debate nacional. A forma como o debate chegou em 2021 e 2022 é nociva ao processo de votação, pois não podemos adotar a impressão sem garantir a segurança do próprio voto impresso e a forma como lidaríamos com discrepâncias nos resultados.
O sistema brasileiro tem desafios próprios e é, inclusive, possível que estes desafios anulem qualquer vantagem da impressão. Este seria um debate saudável, mas não é o que tem acontecido. Não avançamos neste debate — ao contrário, permitindo que políticos e as Forças Armadas tenham mais voz do que acadêmicos e especialistas civis, nós retrocedemos.
O processo eleitoral brasileiro pode melhorar, mas não existe comprovação de fraude nas eleições e os resultados precisam ser respeitados. Um caos imotivado no processo eleitoral, provocado por quem está diretamente envolvido nele ou por pessoas que detêm armas de fogo, é uma ameaça maior à democracia do que qualquer falha técnica na urna.
Urna eletrônica brasileira (José Cruz / ABr)
A impressão do voto eletrônico parece sempre vir acompanhada de algum mal-entendido, que se soma à desinformação que o Tribunal Superior Eleitoral (TSE) sempre gosta de espalhar sobre as questões envolvendo a segurança da (supostamente infalível) urna eletrônica. Muitos pensam que o voto impresso é um “comprovante” que vai viabilizar o voto de cabresto. Outros acham que é um atraso, dinheiro jogado fora.
Exemplos são o ministro Dias Toffoli, que classificou o voto impresso de “retrocesso”, e o jornalista Kennedy Alencar, que preferiu o termo “vitória do atraso”.
Quem não entende muito de tecnologia também acha muito estranho que precisamos “voltar ao papel”. Como não perceber isso como um retrocesso? Tudo está sendo digitalizado e o papel está sendo abandonado – no Judiciário, nos órgãos de tributação…
Papéis diferentes
A diferença entre uma eleição e todas as demais instâncias que estão abandonando o papel é o sigilo da fonte. Uma nota fiscal eletrônica é autenticada pelo estabelecimento que a emite. Um processo eletrônico arquivado no tribunal tem a assinatura digital eletrônica dos advogados e juízes envolvidos em cada parte do processo. A fonte está bem definida e garantida.
A eleição inverte esse modelo. Em vez de garantir a origem do voto, a origem do voto precisa ser sigilosa durante todo o processo.
Ora, se cada eleitor pudesse conferir de que maneira seu voto foi computado após o pleito, nós não teríamos um problema. Cada voto seria permanentemente atrelado a um documento eletrônico do eleitor e seria praticamente impossível que uma urna falsificasse esse registro para trocar o voto para outro candidato. Só que esse modelo é impossível, porque – aí sim – teríamos o risco de voto de cabresto. Não teríamos sigilo.
Se o eleitor não é autor do voto, a urna é. E se a urna tem total controle sobre o voto, comprometer a urna significa comprometer a eleição.
Isso significa que o eleitor nunca é o verdadeiro autor do voto, mas sim “a urna”, porque é atribuindo todos os votos “à urna” que chegamos a um certo nível de sigilo. Perceba a diferença: uma assinatura digital de um advogado garante que o documento arquivado no processo eletrônico foi autenticado por ele. Na eleição, a única autenticação que existe em um voto é da urna.
E por que eu escrevi “um certo nível de sigilo”? Porque as urnas não são anônimas e também se sabe em que urna cada eleitor vota. Cada urna imprime ao final da eleição um boletim de urna onde já estão totalizados os votos daquela urna. Se João vota naquela seção e a candidata Maria por acaso não tem votos, então Maria pode saber que João não votou nela.
Admite-se esse tipo de fraqueza no sistema quando o TSE determina exatamente em qual urna cada eleitor vota. O risco é baixo, então vale a pena para facilitar a organização da eleição e reduzir outros riscos maiores, como um mesmo eleitor votar em duas seções. Mas esse não é o assunto.
O fato é que, se o eleitor não é autor do voto, a urna é. E se a urna tem total controle sobre o voto, comprometer a urna significa comprometer a eleição.
Mas por que, afinal, o papel é a solução?
Auditoria eletrônica é complexa (e cara)
Existem meios para saber se uma urna foi adulterada para computar votos incorretamente, mas é difícil de fazer uma análise aprofundada.
O meio mais simples de fazer o teste é simulando uma eleição. Mas o que acontece se o código que altera os votos só faz a alteração no final, somente se a urna está ligada há mais de cinco horas e somente se foram computados mais que 500 votos? E se o código que adulterou os votos se apagou da urna após a eleição? É difícil determinar exatamente qual o “gatilho de ativação” determinado pelo golpista.
Se a urna foi fisicamente adulterada (com um chip interno, por exemplo), fica ainda mais difícil. Se houve uma troca por outro chip de aparência e tamanho idêntico ao original, seria preciso fazer uma análise do chip. Se algum chip teve sua programação alterada, a urna pode não conseguir perceber isso.
o eleitor não leva o voto impresso para casa. O voto é imediatamente depositado em outra urna. Então não existe voto de cabresto
É mais ou menos como colocar a urna em uma “matrix”. Ela não consegue mais enxergar a realidade para ser auditada. E todos os processos para verificar esses chips e programas torna a auditoria um procedimento caro e complexo, difícil de ser realizado na escala necessária para garantir a segurança de eleição.
Salvo com a colaboração de pessoas dentro do TSE, é verdade que esse tipo de fraude é extremamente cara e complexa de ser realizada, então parece ser pouco provável que algo tão sofisticado ocorra. Mas a consequência de um ataque desses é devastador. O incentivo de se realizar a fraude é muito grande, justamente pelo potencial e a dificuldade dela ser identificada, caso bem-sucedida.
Não se trata mais de descobrir que João não votou em Maria, mas de fazer o eleitor de palhaço em um pleito de cartas marcadas.
A auditoria fragmentada do voto impresso
O voto impresso tira um pouco da responsabilidade da urna e a coloca no eleitor. Se somente a urna sabia para quem o voto estava sendo registrado, o voto impresso é exposto em letras legíveis para que o eleitor possa garantir que, pelo menos no papel, seu voto está correto.
A urna não detém mais o poder total sobre a eleição. A segurança da urna agora pode ser até mais simples, já que as fraudes são mais fáceis de serem verificadas. De nada adianta gastar dinheiro para fraudar uma eleição se a fraude será identificada.
É importante ressaltar que o eleitor não leva o voto impresso para casa. O voto é imediatamente depositado em outra urna. Então não existe voto de cabresto.
A impressão do voto eletrônico e a cédula de papel
Por que não voltar para a cédula de papel, se é preciso imprimir o voto?
Porque a impressão do voto eletrônico não é a mesma coisa que a votação em cédula de papel. A impressão do voto eletrônico tem vantagens.
Uma vantagem é que temos duas maneiras de contar os votos, o que dificulta imensamente a realização de fraudes: é preciso fraudar não uma urna, mas duas. Outra vantagem é que o voto eletrônico impresso pode aderir a um formato que pode ser contado por computador.
Isso significa que o voto impresso não exige necessariamente contagem manual. Ele pode ser contado manualmente, sim, mas pode também ser contado por máquinas que reconheçam as letras impressas e contabilizem os votos para os referidos candidatos.
Esses resultados podem ser facilmente obtidos por cada grupo que tiver interesse. No caso da urna eletrônica, o total computado é o que é: não há o que recontar, não há outro modo para contar. Não existe auditoria da contagem, apenas auditoria da urna. O que, como vimos, é difícil.
Três é demais
O voto impresso passou no Congresso pela terceira vez.
Na primeira, como lei comum, a medida foi derrubada pelo Supremo Tribunal Federal (STF) com base em argumentos falhos (e muitos semelhantes aos do TSE) apresentados pela Procuradora Geral da República. Entre os argumentos estava o de que eleitores cegos poderiam precisar de ajuda, o que comprometeria o sigilo do voto, e o de que o voto impresso incluiria a identificação do eleitor (na verdade, a lei previa apenas a identificação da urna, exatamente como já é o caso hoje, em que cada voto fica atrelado à urna).
Na segunda vez, neste ano de 2015, passou como emenda constitucional. Mas foi vetada pela presidente Dilma Rousseff, alegando custos altos para a medida — algumas estimativas colocam o custo em 10 reais por eleitor, o que é absurdo (uma lanhouse na minha rua imprime A4 por 0,06). Essa é a cifra citada, por exemplo, pelo jornalista Kennedy Alencar:
Segundo o TSE (Tribunal Superior Eleitoral), nas próximas municipais, essa ideia de jerico custará quase R$ 2 bilhões e exigirá a impressão de mais de 200 milhões de votos em papel.
É claro que o custo inicial da medida é alto por conta de maquinário, mas não se planeja um país olhando só os custos do ano seguinte.
Em todo caso, o veto da presidente foi votado no Congresso e derrubado com folga: 56 a 5 votos no Senado e 360 a 50 votos na Câmara dos Deputados.
Com isso, o voto impresso já passou pelo nosso Congresso três vezes. É quase impossível de crer que a artilharia contra a medida sossegará, mas — quem sabe.
Sejamos otimistas e, principalmente, não sejamos tolos.
Linha Defensiva 
Primeiro, esta discussão só aparece agora, depois de toda essa polêmica envolvendo a Dilma e o Aécio, desconsiderando outras eleições anteriores e as eleições estaduais e municipais… Segundo, você mesmo responde à pergunta: “Salvo com a colaboração de pessoas dentro do TSE, é verdade que esse tipo de fraude é extremamente cara e complexa de ser realizada, então parece ser pouco provável que algo tão sofisticado ocorra.” Quer dizer, membros importantes do TSE estão dispostos à fraudar uma eleição! E em um complô nacional tem também meios tecnológicos e financeiros para isso… Também: “É importante ressaltar que o eleitor não leva o voto impresso para casa. O voto é imediatamente depositado em outra urna.” “Uma vantagem é que temos duas maneiras de contar os votos, o que dificulta imensamente a realização de fraudes: é preciso fraudar não uma urna, mas duas.” Você acha então que quem está disposto a fraudar uma urna não frauda duas, três, quatro, cinco… Ainda você conclui: “Isso significa que o voto impresso não exige necessariamente contagem manual. Ele pode ser contado manualmente, sim, mas pode também ser contado por máquinas que reconheçam as letras impressas e contabilizem os votos para os referidos candidatos.” Vai utilizar uma outra máquina pra contar os votos novamente? Quem garante então, segundo seu próprio raciocínio, que esta outra forma eletrônica de contagem também não seja fraudado? Quer imprimir os votos? Ok, voltaremos ao voto manual então e jogamos toda essa tecnologia fora! Faça-me o favor! Um site de tecnologia propondo e apoiando um absurdo desse é o próprio absurdo!
CurtirCurtir
Quanto absurdo junto.
Essa discussão é muito antiga. O PDT em especial vem trazendo ela há anos, porque o partido tem um histórico envolvendo o Brizola e problemas com contagens eletrônicas em 1982. O assunto é muito antigo, só o seu conhecimento dele que é limitado.
Segundo, não foi dito que membros do TSE estão envolvidos, mas sim que a fraude é muito facilitada com o auxílio deles. Leia com mais atenção o trecho.
Terceiro, não, quem frauda uma urna não necessariamente frauda duas ou três. Por essa lógica, melhor não colocar grade em nenhuma residência, já que quem passa por uma porta também passa por uma grade, independentemente da altura dela. É um argumento de redução ao absurdo, uma falácia lógica.
E sim, pode usar outra máquina para contar os votos, com a diferença de que qualquer máquina pode contar os votos. Você pode desenvolver uma máquina (sob o seu controle) pra contar esses votos, além de ter sempre a opção da contagem manual. Isso garante lisura do processo. Você tem uma trilha auditável. Foi isso que permitiu a identificação da fraude no caso Proconsult em 1982.
E não, voltar ao voto manual não nos concede as vantagens que o voto eletrônico impresso pode garantir. Esse processo é melhor do que qualquer uma delas separada.
É justamente porque somos um site de tecnologia, de jornalismo e não de publicidade, que temos o dever de apontar o dedo para uma tecnologia falha e não deixar que as pessoas sejam feitas de trouxas por um sistema que não compreendem e que lhes é oferecido como “invulnerável”.
CurtirCurtir
Altieres, vejo um bom momento para discutirmos sobre tecnologia. Em especial sobre a urna eletrônica. Tudo bem que há algumas falácias no discurso acima, do Carlos, mas também percebo algumas no texto também. A falácia, não invalida o argumento natural, que também deve ser considerado em um diálogo, então ao invés de ficar “caçando falácias” um do outro (pois é bem difícil falarmos sem usar uma, rss), acho que seria importante nos aprofundarmos sobre o tema e debater a respeito e com respeito!
Sendo assim, primeiramente agradeço e parabenizo a matéria, pois pelo que pude perceber houve uma pesquisa sobre o tema e há elementos no texto que deixam claro um bom conhecimento sobre as urnas eletrônicas.
Dito isto, é bom esclarecer que a discussão do PDT não foi sobre a urna eletrônica, mas sim quanto a meios eletrônicos de contagem, então, acho que não precisamos nos ater a este caso.
Falando sobre o TSE, mas agora pegando o trecho com atenção, convenhamos que esta possibilidade de fraude é mínima (sim, cara e improvável) e precisaria da facilitação do TSE. Mas devemos concordar que se é que já existe esta fraude ,o que não é impossível, o que tornará impossível que ela aconteça após implantar o novo sistema de votação? Claro, entendo que as possibilidades serão minimizadas talvez, mas assim como o sistema atual não será impossível fraudá-lo, até porque, como sabemos, nenhum sistema é 100% seguro.
Ou seja, também discordo que a implantação deste novo sistema de urna dupla com conferência de papel será algo tão “mais seguro”.
Agora, o que ao meu ver todos nós concordamos? (Você, o PDT, o Diego Aranha, eu e a maioria das pessoas que trabalham com TI) a segurança aí realmente precisa melhorar. O processo de auditoria do TSE precisa ser sim mais transparente! Do ponto de vista da gestão e da melhoria contínua, podemos sim continuar com as urnas e chegar a um entendimento de algum meio sem usar papel. Aliás, é uma tendência mesmo que a longo prazo abandonar o papel, mas claro, não existem soluções fáceis para problemas complexos. Acho que seria uma boa um maior debate sobre isso! O próprio Diego Aranha, já cogitou a possibilidade do QRCode para evitar voto de cabresto, mas manter um comprovante sem necessidade de impressora, papel e todo este sistema.
Fábio Fleck
CurtirCurtir
Falácia invalida sim o argumento, por questão lógica. Então, se apontar uma falácia no que eu disse, e assim a for de fato, é algo sério.
O que eu disse é que o PDT é crítico da urna eletrônica porque o partido tem um histórico com a questão de fraude em eleições. Se acompanhar o trabalho do Amilcar Brunazo, por exemplo, vai saber que ele há muitos anos aponta os problemas de segurança da urna. O próprio texto aponta que que não é a primeira vez que se fala em impressão do voto. Reduzir a discussão ao momento político é errado (por mais que que tenha sim relevância, já que alguns partidos chegaram de paraquedas no tema e com isso houve fôlego para passar como emenda constitucional) Veja ainda:
http://www.conjur.com.br/2007-nov-29/presidente_tse_voto_impresso_retrocesso (2007)
http://www.tse.jus.br/imprensa/noticias-tse/2013/Setembro/serie-urna-eletronica-museu-do-voto-abriga-colecao-com-principais-modelos-de-urnas (TSE imprimiu votos em 2002)
A fraude não precisa da facilitação do TSE. Ela só fica mais fácil. Agentes podem trabalhar de maneira independente dentro do TSE, sem apoio da instituição. Existem muitas pessoas envolvidas no processo. No caso da biometria, por exemplo, o mesário pode autorizar um voto sem a biometria e votar por qualquer pessoa, se assim quiser. Muita gente tem contato com a urna, entre programadores, pessoas de armazenamento e transporte.
Não, não é impossível. O problema é que confiar apenas na urna é um modelo nada democrático, além do alto risco. Diversos especialistas defendem a adoção dessa tecnologia porque entendem que a gestão de risco assim exige (procure por “VVPAT” se quiser encontrar uma discussão mais técnica a respeito).
O aumento da segurança é muito considerável por conta da diferença na complexidade de um ataque contra urna eletrônica e papel (exemplo da porta e da grade). Realizar um ataque contra as duas mídias exige dois planos de ataque diferentes. Por exemplo, você não pode simplesmente substituir a urna de papel por outra, porque no livro tem o número de eleitores que votaram na seção e você vai precisar dessa informação ou sua urna terá mais/menos votos do que o correto. Então, em vez de precisar só de ajuda de quem faz transporte, ou da programação, você vai precisar de uma rede de pessoas (mesários, etc) em cada urna que você pretende fraudar e ações cuidadosas na hora certa para fazer funcionar.
O software na urna, uma vez instalado, cuida de si mesmo.
O que Diego sugeriu foi o boletim de urna por QR Code. São modelos de ataques (e segurança) diferentes. O QR Code no boletim só resolve problemas na totalização. O voto impresso resolve problemas na urna e também na totalização. São questões diferentes.
CurtirCurtir
ALTIERES = “Falácia invalida sim o argumento, por questão lógica. Então, se apontar uma falácia no que eu disse, e assim a for de fato, é algo sério.”
FÁBIO = Altieres, veja bem, releia o que escrevi. Eu disse que a falácia não invalida o argumento natural! Pode até invalidar o argumento lógico, mas não o natural. Ou só existe lógica? Ninguém conversa a não ser por lógica? Não existe diálogo? Só debate? É muito importante não confundir “valor-verdade” com “validade” em um argumento. Valor-verdade (ser verdadeiro ou falso) é uma coisa.Validade refere-se não às sentenças, mas
ao argumento. É outra coisa. Do ponto de vista da lógica formal, tudo o que se pode dizer de um argumento é que é formalmente válido ou não. Um argumento é formalmente válido quando há uma relação de derivabilidade ou consequência formal entre as suas premissas e a sua conclusão. Isto que você disse, pode dar a ilusão de que se um argumento não é “formalmente válido”, então não é válido e “não serve”. Isso é debater para ganhar!
Uma falácia não é apenas um argumento inválido, pois muitos argumentos inválidos não são falácias. Tome-se o seguinte argumento: “Platão era grego; logo, a neve é branca”. Este argumento é inválido, mas não é uma falácia porque não é habitualmente tomado por um argumento válido. A falácia da negação da antecedente, por exemplo, não é apenas um argumento inválido: é um argumento inválido que muitos têm a tendência para tomar como válido. Por isso disse que não há como “caçar falácias” fora da lógica, digo, em um argumento natural. Algo sério? Para quem? Sinceramente, não apontarei falácias, pois o mundo não gira apenas em torno da lógica, prefiro a dialética! Ainda assim pretendo colocar alguns problemas que avistei.
Outro ponto: Não reduzi a “discussão” para o momento político, de maneira alguma, mas é algo público e notório que existe ampla utilização inapropriadas das pesquisas acadêmicas das urnas eletrônicas com fins politiqueiros e eleitoreiros, ainda que tais pesquisas sejam sérias (mesmo que com suas falhas) e que outros políticos, especialistas e partidos sejam críticos há mais tempo, isso é reduzir o que eu disse à sua perspectiva ou é um
espantalho?
ALTIERES = “A fraude não precisa da facilitação do TSE. Ela só fica mais fácil. Agentes podem trabalhar de maneira independente dentro do TSE, sem apoio da instituição. Existem muitas pessoas envolvidas no processo. No caso da biometria, por exemplo, o mesário pode autorizar um voto sem a biometria e votar por qualquer pessoa, se assim quiser. Muita gente tem contato com a urna, entre programadores, pessoas de
armazenamento e transporte”.
FÁBIO = Bem, eu também não disse isso. Novamente, trata-se de uma leitura sua. Vou tentar uma nova linha: Apenas vamos pensar no seguinte, caso um agente do TSE esteja fraudando a eleição (ou mesmo uma outra pessoa envolvida no processo), como é assumido no texto: “Salvo com a colaboração de pessoas dentro do TSE, é verdade que esse tipo de fraude é extremamente cara e complexa de ser realizada, então parece ser pouco provável que algo tão sofisticado ocorra”. Ok. Admitamos que esteja ocorrendo uma fraude. Para pessoa ou as pessoas fraudarem a eleição, elas precisam como dito, de pelo menos: “acesso ao sistema” ou seja, ser próximo a ele, participar do processo, etc. E é algo caro. Caso a pessoa possua o acesso e os recursos (sei quais forem: financeiros, facilitação, etc) o que impedirá que a fraude não continue após a implantação do
comprovante? Se a pessoa ou as pessoas, já possuem acesso para fraudar a urna eletrônica, como podemos confiar em uma auditoria “não transparente” para a população neste caso? Por que estas mesmas pessoas não podem ao mesmo tempo fraudar as duas urnas? Minimizamos as possibilidades com duas urnas, ok! Mas é impossível para quem tenha acesso e os recursos necessários? Como podemos “apostar 100% nisso”?
ALTIERES = “Não, não é impossível. O problema é que confiar apenas na urna é um modelo nada democrático, além do alto risco. Diversos especialistas defendem a adoção dessa tecnologia porque entendem que a gestão de risco assim exige (procure por “VVPAT” se quiser encontrar uma discussão mais técnica a respeito)”.
FÁBIO = Gostaria de saber onde eu disse que confio apenas na urna, ou quem confia apenas na urna? Pois no que eu escrevi não lembro disso. Posso lhe fazer a mesma afirmação? “O problema é confiar em um simples comprovante ou em um processo adicional de segurança como solução de um problema mais complexo”, pois este só minimiza tal prolema. Desculpe-me, mas apenas porque “diversos especialistas defendem a adoção desta tecnologia” devemos creditar a eles um sistema infalível? Ou alguma autoridade metafísica? Que bom que defendem. Bem, diversos especialistas também defendem a adoção das urnas eletrônicas, posso usar este argumento também? Pelo que me lembro, a tecnologia é ciência exata e com ciência, não pode se dizer infalível, nem mesmo inquestionável, incontestável, tampouco é “uma verdade absoluta”, ela possui autocorreção e está em constante atualização. Então, se algo supostamente não
pode estar errado (Se tais especialistas por exemplo, não podem estar errados, estão com certezas absolutas) é tudo, menos ciência. E desconfio muito disso. O dogmatismo sim, que pressupõe que não pode estar errado. Gestão de risco, se me
permite Altieres, não fala em material. Em papel por exemplo. A gestão do risco pode continuar na própria urna independentemente de ter duas urnas ou uma só! Vou fingir que não li sobre a Coréia, QRCode e VVPAT. Deixo passar essa, acho que não cabe falar sobre isso, não vale a pena.
ALTIERES = “O aumento da segurança é muito considerável por conta da diferença na complexidade de um ataque contra urna eletrônica e papel (exemplo da porta e da grade). Realizar um ataque contra as duas mídias exige dois planos de ataque diferentes. Por exemplo, você não pode simplesmente substituir a urna de papel por outra, porque no livro tem o número de eleitores que votaram na seção e você vai precisar dessa informação ou sua urna terá mais/menos votos do que o correto. Então, em vez de precisar só de ajuda de quem faz transporte, ou da programação, você vai precisar de uma rede de pessoas (mesários, etc) em cada urna que você pretende fraudar e ações cuidadosas na hora certa para fazer funcionar”.
FABIO = Sim, vai precisar de uma rede. Claro, este tipo de rede não acontece no Brasil. Essas máfias, grupos, redes, nunca acontecem aqui. Sinceramente, até como um feedback, preciso dizer que não me senti bem lendo sua resposta, é perceptível um grande desejo de comprovar que o texto está correto, consigo perceber uma vontade de debate, sem considerar muito outras visões e possibilidades e sem admitir qualquer contraditório. Não me entenda errado, mas aparentemente há um certo proselitismo, comprometimento e entusiasmo não na causa, mas no projeto em si da “urna dupla com comprovante”. Não com a tecnologia, mas sim em “provar” seu ponto de vista e convencer a todos que “não há erros”, ou se existem são tão mínimos que é uma “solução perfeita”. Não há outra! “Esta é a salvação”! Por que tanta credibilidade neste modelo em específico? Outros não podem ser admitidos? Todos que comentaram tiveram suas visões diminuídas em detrimento deste projeto. É como se as pessoas não pudessem falar sobre isso. Somente cientistas da NASA e os “especialistas” podem. Parece que há uma amizade entre você e Diego e um desejo grande que este projeto siga. Se for isso, não julgo como errado, apenas advirto a “autoridade” e também que não existe só um projeto, só uma visão, só uma ideia no mundo. Infelizmente Diego não possui críticos, pelo menos não tão evidentes na TI inteira. É respeitável como pesquisador e professor, mas o argumento de autoridade e essa força iluminada do seu projeto não são tudo. Por isso disse que é extremamente saudável criticar este modelo. Aliás ele deveria não irritar-se pelas críticas, mas sim ouvi-las, pois assim aprenderia mais e melhoraria. Isto é dialética, democracia aprendizado em conjunto e capacidade de investigação. Dando um exemplo talvez um pouco clichê, se possuo um “computador vulnerável” (aliás, como todos em certo nível) precismo atualizar o sistema e não “regredir”. Não buscar auxilio em uma “tecnologia obsoleta”. Por que não podemos focar no mais importante? Isso tudo, sem ter um auditoria mais transparente causa as mesmas dúvidas. Podemos minimizá-las mas não extinguir. Se o problema é transparência e conferência, que busquemos isso na tecnologia, pensando e pesquisando bastante e não achando que existem soluções fáceis para problemas complexos. Fala-se que o custo disso é muito caro, porém também é dito que: “É claro que o custo inicial da medida (da segunda urna) é alto por conta de maquinário, mas não se planeja um país olhando só os custos do ano seguinte. Sejamos otimistas e, principalmente, não sejamos tolos”. Bem, se tratando dos custos posso dizer o mesmo. Por fim, gostaria só de provocar algo. O que mais escuta-se é na “possibilidade” da fraude. Se houver, se estiver ocorrendo, mas “se” é proposição lógica condicional. Onde estão os casos concretos. Sim, a urna é vulnerável, assim como qualquer outro sistema e como o papel! Mas não passa de especulação, teoria, possibilidade e em alguns casos até teoria de conspiração. A pergunta é sempre a mesma: – “Mas você acredita na urna eletrônica”? Bem porque eu acreditaria na urna dupla? Por que ela “minimiza” a possibilidade de fraude? Como explicamos a alternância de poder? Se há possibilidade de fraude porque ela não está sendo executada de modo geral? Ou é algo assim: PT tem o monopólio da fraude, mas perdeu a eleição em vários lugares. Ué? Mas se possuem o monopólio porque outros partidos ganham? Há desconfiança apenas no poder executivo, que foi para o segundo turno e ainda perdeu por bem pouco lá. Quer dizer, além de tudo estes fraudadores estão se arriscando. É muita probabilidade e poucas provas. É muito crédito para um modelo apenas. Sua crítica, ao meu ver, baseia-se na “possibilidade” da fraude e vulnerabilidade da urna, sim, “possibilidade” (pode ser que ocorra, mesmo sendo caro, improvável, imperceptível de modo geral e sem provas concretas) e por isso o sistema eleitoral deve ser alterado para um novo modelo, que “possivelmente” é a solução. Sim possível, pois minimizar o erro é “resolver” o problema. Em ITIL, diríamos que isso é workaround, não root cause Ou seja, aparentemente parece que temos que: “a verdade” desas premissas colocadas, não garantem necessariamente a verdade da conclusão colocada ai também, são possibilidades e se não garantem a conclusão, como podemos chamar isso?
CurtirCurtir
Amigo, se você quer vir filosofar sobre dialética e lógica formal, podia apontar quais eram minhas falácias. Seria mais rápido.
Minha afirmação sobre “reduzir a discussão ao momento político” foi ao primeiro comentarista que você defendeu, não a algo que você disse.
Se você fala em “apostar em 100%” em uma discussão de segurança, você não entende de segurança.
Fique à vontade para citar os especialistas que defendem a urna eletrônica.
No lado do voto impresso temos Amilcar Bruzano, Diego Aranha (que encontrou as falhas de segurança primárias em nossa urna e métodos pra quebrar o sigilo do voto), Bruce Schneier (mais renomado especialista em segurança e criptografia do mundo), Rop Gonggrijp (iniciativa dele baniu urnas eletrônicas na Holanda, instituiu voto impresso na Índia), J. Alex Halderman (as pesquisas dele invalidaram praticamente todas as urnas DRE e fez a Diebold, fabricante da nossa urna, sair do mercado em todo o resto do mundo, menos aqui — o TSE não deixou o PSDB sugeri-lo como especialista para auditar nossas urnas: alegaram “risco à soberania nacional”)..
Seu argumento se resume a: “um adversário que seria capaz de fraudar a urna eletrônica é igualmente capaz de fraudar a urna de papel”, o que não é necessariamente verdade. É uma falácia de bola de neve. E sim, invalida o argumento, porque você está atribuindo superpoderes ao inimigo. Por essa lógica, não há medida eficaz, já que o inimigo será capaz de passar por todas.
Não existe muita democracia na matemática, infelizmente. É técnica. Criptografia é técnica. A ciência é falível, mas ela não muda pelo debate democrático, mude pela evidência científica. E nós temos casos e mais casos de urnas DRE com falha e brechas. Tem pesquisas aos montes. Dá pra ignorar? Sim? Então não é mais debate científico, é debate de ignorância.
Gestão de risco aceita discussão. Mas você não pormenorizou até agora de que maneira um inimigo capaz de fraudar a urna eletrônica poderia fraudar a urna de papel.
Seu argumento inteiro reside numa falácia. Deve ser por isso que você não gosta delas, mesmo.
Ah, e não há como argumentar que papel é “tecnologia obsoleta”. Certas tecnologias tem o seu devido uso no contexto certo.
Vi ainda que aí no meio você faz um ad hominem porque me acusa de alguma amizade com o professor Diego Aranha pra que o projeto. Eu já escrevi sobre voto impresso em 2010 (http://g1.globo.com/tecnologia/noticia/2010/06/pacotao-de-seguranca-ataque-sites-voto-eletronico-e-tor.html), antes do professor Diego encontrar a falha na urna aqui. Não é questão pessoal ou de amizade.
CurtirCurtir
Veja como você não é receptivo e não aceita nenhum diálogo, apenas “debate”. Já notou? Não é possível discordar de você? Filosofar? Ser rápido? Não entendo nada de segurança? As aspas ali no 100%, são um presente para você? Não há argumento de autoridade aí? Infelizmente suas respostas são nitidamente frias e de maneira a desconsiderar leitores e comentadores. Deseja apenas responder de maneira a justificar e reafirmar seus pontos. Acusar? realmente, você desconhece um diálogo. Continue aí “caçando falácias” e “brincando de ganhar debates” pois como você classificou esta “conversa” acima é debate de ignorância. Talvez seja por isso que fica repetindo o termo “falácia”, mas não consegue encontrar quando coloca uma e desconhece a dialética. Filosofia? Não você está longe disso.
CurtirCurtir
“Você”, “você”. Vai seguir no ad hominem?
Eu paro de caçar falácias quando você parar de fazê-las.
Que tal a gente falar de argumentos? Cite aqueles especialistas que defendem o voto eletrônico, as pesquisas. Vamos elevar o nível?
CurtirCurtir
Altieres, sinceramente nem só de lógica vive o mundo, acredite. Se uma pessoa só consegue perceber tudo sob um único prisma, o da lógica, por exemplo, com jargões aplicados repetidamente, fica claro que falta um pedaço aí. E espero que compreenda o que digo, pois do contrário, teríamos apenas matemática e lógica nas escolas. Bem, fico feliz por um lado, pois não é todos os dias que encontramos alguém que pelo menos saiba o que é uma bendita falácia (mesmo que entenda em partes e não o todo). e que possua um certo senso crítico. Só isso já é muito! Eu queria que o nível nunca tivesse descido. Pois neste caso, nem seria necessário elevá-lo ou tentar sair do discurso de autoridade. Mas sem o mínimo de diálogo não dá, pois vira jogo, sabe? Pode ser divertido até, mas se fosse este o caso, há vários grupos no Facebook para isso. O ponto aqui era realmente outro. Acho que sua abordagem não foi lá das mais respeitosas ou acolhedoras, desde o inicio. E olha que entendo que responder comentadores em seu site é algo que muitas vezes pode ser complicado. Mas não vi em nenhum momento uma abordagem sua que fosse minimamente preocupada em “notar o outro”. São métodos, mecanismos, que desenvolvemos para “falar com as pessoas” não deixa de ser um “jogo” mesmo, perceba. No fim, é vencer e sustentar um ponto. Sinceramente isso não é necessário. qual a necessidade disso? Perda de tempo. Enfim, jogos de linguagem!
CurtirCurtir
E o seu jogo foi desviar a discussão para assuntos sem relação numa tentativa de me desqualificar, já que lhe faltaram argumentos pra debater o assunto em questão – se viu obrigado a tergiversar.
CurtirCurtir
Como debater, cara pálida? quem está fazendo isso é você! Eu estava dialogando, lembra? Aliás tentando, né?
CurtirCurtir
Ah! Cara pálida foi só uma expressão, ok? Não é preconceito ou ad hominem em relação a foto. Certo?
CurtirCurtir
Fábio foi ownado. Ainda bem que é fake, porque uma humilhação dessas é tensa. Mas mereceu, falou merda e ainda tentou parecer relevante rsrs
CurtirCurtir
Me desculpem a intromissão, sou meio leigo quanto a TI, mas nessa questão política estou gostando de ver pelo menos se inciar alguma discussão sem defesas de partidos e realmente uma conversa de melhoria. Meu ponto é o seguinte, porque ao invés de gastos imensos para readaptação de meios de imprimir votos e gerar duas formas de votos (sendo que ambas poderão ser adulteradas), não se busca formas de melhorar e facilitar a auditagem do sistema existente. Se existe a possibilidade de se fazer a conferência, por que as grandes mentes da informática não buscam uma forma de melhorar esse sistema, e transformar mais fácil e viável a conferência e criar mecanismos de se evitar a colocação de chips ou acessos ao sistema eletrônico de votação?
CurtirCurtir
O texto inteiro é a resposta pra essa pergunta. É caro e difícil. Você mesmo diz que é preciso da ajuda das “grandes mentes da informática”. As “grandes mentes da informática” vão dizer “não vale a pena, imprima o voto”.
A auditoria plena de sistemas eletrônicos exige rastros eletrônicos, como assinaturas digitais de cada eleitor, o que leva à identificação do voto. Se todos os eleitores pudessem ser identificados, o sistema eletrônico seria fortíssimo e difícil de quebrar. Mas isso não é aceitável.
CurtirCurtir
Comento aqui novamente, Altieres. Veja só como o Alisson fez uma pergunta extraordinariamente pertinente, mesmo sendo leigo em TI como ele mesmo disse. Ele acertou em cheio. Foi ao cerne da questão! Falou em: “auditagem do sistema existente”. Este é o foco. Não adianta trocar o método, mudar eleição e não criticar este sistema de auditoria e sua transparência. Desculpe-me, mas e de uma certa arrogância responder ao leitor: “o texto inteiro é a resposta pra essa pergunta”, principalmente se ele mesmo já afirma de inicio que é leigo no assunto. Ora, se é leigo veio aqui para informar-se e aprender mais, quer conversar sobre o texto. Mas ao invés de diálogo, recebe a frieza da retórica: “Não entendeu ou que que eu desenhe”. Bem, será que ele volta para ler algo aqui? “As grande mentes da informática” vão dizer: “não vale a pena, imprima o voto”? Você fala pelas “grandes mentes da informática”? Possui procuração para isso? Por que não é aceitável falarmos sobre isso? É um tema proibido? Não lembro deste tema estar na lista de assuntos proibidos. É caro e difícil, a solução que queremos é: barata e fácil! Uma pechincha! Não é viável defender então um sistema caro e complexo? Na Tecnologia ficamos sempre no que é barato é bem fácil? Primeiro o ITIL e a melhoria contínua do sistema foi para o espaço e agora a Gestão de Projetos? BUM! Não entendo essas justificativas, sinceramente.
CurtirCurtir
Você podia não ter ignorado a segunda parte da minha resposta em que eu citei alguns fatos para embasar o que falei.
Eu não tenho procuração pra falar pelas grandes mentes. Tenho leitura do que elas já falaram e fizeram.
No mais, o texto inteiro é a resposta para a pergunta. É isso. O que espera que eu diga? Gostaria que o leitor lesse o artigo novamente sob esta ótica, e aí quem sabe algo fique mais claro do que da primeira vez.
E sim, é auditoria eletrônica é cara, difícil (exige, por exemplo, conhecimento daquela outra linguagem obsoleta, o assembly) que ela é um mito. Se você acha que talvez a urna de papel não tenha boa segurança, a auditoria eletrônica é ainda menos confiável por causa de sua altíssima complexidade.
Claro que a postura do nosso TSE não ajude (vide “risco à soberania nacional” para responder pedido de auditoria de código por especialistas renomados), mas mesmo que o TSE fosse transparente, o fato é que no fim das contas você, eu, nós, o povo, estamos votando em uma caixinha preta cujo código nós não conhecemos. Essa complexidade inviabiliza uma auditoria plena e tudo que é eletrônico pode deixar absolutamente zero de rastros – e aí nem temos o que auditar… nem que seja fumaça de uma urna de papel trocada que está sendo queimada…
E sim, o voto impresso é uma pechincha. A 0,10 por impressão, em 2 turnos são 200 milhões de votos * 0,10 = R$ 20 milhões. As eleições de 2014 custaram R$ 5 bilhões. R$ 20 milhões é troco de pinga. :P
Pode custar o dobro ou o triplo disso. Não muda substancialmente o custo da nossa eleição.
CurtirCurtir
O dogmatismo é algo realmente engraçado. Mas enfim, me arrependi de ter comentado aqui. E olha que isso é difícil acontecer.Com tanta coisa pior. Vou indo e vou deixá-lo com suas certezas aí. Desculpe por comentar no site. Realmente não havia compreendido a proposta, mas agora está mais claro. Obrigado!
CurtirCurtir
E depois de tergiversar, ir embora. :)
CurtirCurtir
Já está com saudade? Mas nem fui! Não se preocupe. É perda de tempo. Sou apenas um ignorante que não sabe o que está dizendo assim como os demais comentadores. Vou embora pois é inútil tentar conversar aqui. É como falar sem ser ouvido, ou simplesmente desconsiderado. Alguém quer isso realmente? O que acha?
CurtirCurtir
Parabéns Altieri, texto muito coerente de fácil entendimento e bem embasado. Aliás a confiabilidade das pessoas que não entendem de tecnologia é diretamente proporcional á modernidade da tecnologia e inversamente proporcional ao seu conhecimento, isto é, quanto mais moderna e quanto menos ele conhecer sobre, mais ele confia. Tem de ser bem crédulo para acreditar que algo que não se pode controlar e verificar tem 100% de chance de fazer o que queremos que seja feito. Só nós ainda usamos este modelo de urna 1.0 até na Venezuela o modelo já é outro 2.0 que permite auditoria. Trabalho em segurança de TI e não confio em nada, isto por experiência, pois quem faz um sistema, já pensa em como ele pode ser burlado, para impedir que seja burlado, e sempre poderá ser, aprendam sobre segurança em informática e comprovem vocês mesmos.
CurtirCurtir
Sinto que perdi muito tempo em não ter lido esse artigo antes. Texto excepcional, com argumentos sólidos e bem fundamentados. Tento aqui achar algo mais que possa ser dito, tanto na esfera de TI quanto na política/social, mas realmente, se o texto não cobriu tudo, foi quase. Ademais, só me resta dizer que o Altieres está de parabéns. Desde que o conheci (antes da criação do Linha Defensiva), percebo uma evolução tremenda. Continue assim. A TI agradece!
CurtirCurtir