EXCLUSIVO: Especialista em urnas eletrônicas faz alerta sobre os preparativos para a eleição de 2018

Ler na área do assinante

Há alguns dias, o Jornal da Cidade Online publicou uma matéria que reascendeu o debate sobre a segurança e confiabilidade das urnas eletrônicas. A matéria foi violentamente atacada por diversos veículos da grande mídia e por agências de checagem de fatos que, em conjunto, minimizaram a gravidade das denúncias ali retratadas.

Hoje, 26 de setembro, o professor de Ciência da Computação da UNB e membro do Comitê Multidisciplinar Independente - CMInd - que acompanha os preparativos para as eleições de 2018 - Pedro Dourado de Rezende, enviou por email ao Jornal da Cidade Online um extenso relatório em que esclarece o caso nos mínimos detalhes. Reproduzimos o conteúdo em sua íntegra aqui.

Alerta sobre os preparativos para a eleição de 2018

Prof. Pedro Antonio Dourado de Rezende - Departamento de Ciência da Computação - Universidade de Brasília - 24 de setembro de 2018 - prezende@unb.br


Membro do Comitê Multidisciplinar Independente (CMInd), venho com outros membros acompanhando os preparativos oficiais para as eleições de 2018. Neste artigo, busco prestar esclarecimentos sobre minha participação em debates a respeito, ocorridos até esta data.
Vários jornalistas tem me procurado recentemente perguntando se confirmo depoimentos que prestei em comissões do Congresso Nacional este ano, principalmente declarações referentes à entrega de códigos de segurança do sistema de votação do TSE a empresas ou pessoas estrangeiras, ou narrativas que as citam.

Essas declarações foram proferidas em audiência pública na Comissão de Constituição e Justiça do Senado em 6 de março de 2018, e refletem fatos e feitos ocorridos até então, como conhecidos naquele momento. Conforma as perguntas de jornalistas chegam agora, minhas respostas tem incluído alguma parte dos esclarescimentos que exponho neste artigo.

O edital TSE 106/2017 teve como objeto a licitação de módulos de impressão de votos, chamados MIV, para integração às urnas do TSE, mais assessórios e serviços correlatos, inclusive para desenvolvimento de programas. Esse edital estabelece a licitação em fases (homologação e fabricação) e etapas, contendo um Termo de Confidencialidade (Anexo V) vinculado à minuta de contrato.

Esse Termo reza, em sua cláusula segunda, justamente isto (no item 2): que "informações confidenciais fornecidas pelo TSE", incluindo os códigos dos sistemas da Justiça Eleitoral, fonte (2.c) e binários (2.d), bem como chaves criptográficas (2.e) de segurança, não devem ser repassadas a terceiros pela empresa contratada sem autorização do TSE, sob pena de responsabilização administrativa, civil e criminal pela legislação brasileira (cláusula quinta). Prevendo, portanto, possível repasse dessas informações à contratada, além de outras também confidenciais (2.1).

Primeiras denúncias

Apesar de tempestivas petições de membros do CMInd tentando adequar ou cancelar esse edital (links ao final), sua primeira etapa foi concluída com o pregão realizado em 12 de janeiro, nos termos e condições previstas no mesmo. Praticamente sem concorrência (com apenas duas propostas, a que venceu e a de um fabricante de embalagens que sequer apresentou modelo de MIV), foi declarado vencedor do pregão um consórcio formado pelas empresas Smartmatic Corporation e a Smartmatic do Brasil, em que a primeira responde pelo desenvolvimento de programas para interação entre os MIV e as urnas, segundo documentação correspondente. Portanto, é esta a quem se destina, ou se destinaria, os códigos e chaves criptográficas do sistema, fornecíveis pelo TSE à luz do item 1 da cláusula terceira da minuta de contrato no edital.

Para verificar tudo isto, basta ler a versão do Edital 106/2017 que esteve disponível durante a correspondente licitação, preferencialmente no respectivo processo eletrônico no TSE, de número 2017.00.000014794_8, se tal versão com seus anexos ainda estiver disponível (o link para esse processo estava quebrado na data deste artigo). Senão, as cópias preservadas e linkadas abaixo. Conforme a documentação linkada ao final deste artigo, as denúncias e reclamações de membros do CMInd foram inicialmente encaminhadas ao TSE tão logo tomamos conhecimento do teor desses documentos públicos, no início de dezembro de 2017.

Concluída a primeira etapa, com a declaração da proposta vencedora, a licitação passou à segunda etapa com o consórcio Smartmatic entregando ao TSE seu protótipo MIV, para ser submetido a habilitação em 2 de fevereiro, conforme previsto no citado edital. Esse protótipo foi aprovado e habilitado à etapa seguinte, em audiência pública no TSE, na data prevista no edital e conforme notícia no site do TSE (ainda disponível na data deste artigo). O protótipo entrou então na etapa de testes, até o momento em que, cinco semanas depois, ocorre a audiência pública na CCJ do Senado onde denúncias que já tínhamos protocolado em vários órgãos foram apresentadas, em petições linkadas ao final deste artigo.

Nas petições e na apresentação à CCJ, expliquei porque não via justificativa ou necessidade para se integrar MIVs às urnas terceirizando assim: no item 1 da cláusula terceira da minuta do Contrato (anexo VI do Edital 106/2017) o TSE se obriga, ou se obrigaria, a fornecer as informações que "venham a ser solicitadas pela [empresa] responsável". Tenho como prova da desnecessidade, o exemplo prévio do próprio TSE, que integrou MIVs a suas urnas em 2002 licitando apenas impressoras de voto e acessórios, desenvolvendo em sua Secretaria de Informática, com os habituais fornecedores, os programas necessários para as urnas -que sempre tiveram impressora (para BUs, etc) -- interagirem com uma impressora extra para votos. Mas o Edital 106/2017 dá a entender o contrário e, por isso, se uma contratada estrangeira vier a solicitar certas informações previstas no referido Termo de Confidencialide como fornecíveis pelo TSE, as quais citei acima e na CCJ, isto a mim se configura em risco à soberania.

Quem poderia estar (se) enganando?

Como foi que as Smartmatic conseguiram desenvolver, aprovar e habilitar seu protótipo MIV em meros 21 dias, após conhecimento do edital? Pode ser que o tenham conseguido sem nenhuma informação confidencial sobre o sistema de votação fornecida pelo TSE. Nem mesmo códigos em binário da urna, onde chaves criptográficas para decifragem interna ficam armazenadas. Mas seria mais fácil se elas já tivessem algum adiantamento nas obrigações de quem estava, ou estaria, contratando o consórcio. Eis que tudo parecia ir bem com os testes. O protótipo só foi desqualificado cinco semanas depois. Por sinal, no mesmo dia da citada audiência na CCJ, transmitida pela TV Senado na manhã de 6 de março. Desqualificado junto com o cancelamento da licitação, em decisão que só foi divulgada após o encerramento daquela audiência, para a qual o TSE havia sido convidado mas evitou comparecer. Nada de ajustes, previstos no edital para o Modelo de Engenharia nessa etapa, simplesmente se cacelou tudo.

O documento do qual li, na manhã de 6 de março na CCJ, um trecho referente à previsão de entrega dos códigos e chaves criptográficas a uma empresa estrangeira, havia sido protocolado no TCU em 31 de janeiro, portanto, dois dias antes da audiência no TSE que aprovou e habilitou para testes o protótipo MIV desenvolvido e aprovado em 21 dias. É por isso que a denúncia no trecho lido na CCJ está no condicional, e ao vivo ali na CCJ, com mais ênfase em sua eventual concretização: porque dois dias após o documento protocolado, uma audiẽncia no TSE havia comprovado um resultado positivo que, pelas cinco semanas seguintes de testes, parecia promissor. Resultado que teria sido mais fácil com compartilhamento de informações confidencias (tais como códigos do sistema da urna) já previsto no edital para quem fosse contratado a fornecer os MIVs.

Mas, o que teria de súbito descarrilhado tudo? Conforme noticiado, uma "irreguaridade técnica" numa marca gráfica adicional na cédula do voto impresso, que deveria permitir a leitura da mesma por máquina (QR code). A leitura do QR code impresso na cédula não estava funcionando. Nada a ver com a interação entre o MIV e os códigos da urna, já entregues ou não. Contudo, o maior problema na denúncia inicial, dirigida ao próprio TSE, ainda não era a entrega de códigos de segurança do seu sistema para estrangeiros. O pregão do Edital 106/2017 ainda não havia ocorrido. Além disso, os códigos do sistema já tinham sido objeto de outro contrato com terceiros. Sem licitação, uma empresa (Flextronix) já havia sido contratada para produzir protótipos de um novo modelo de urna com MIV integrado, no mesmo esquema de terceirização.

O maior problema até então era jurídico: Bis in idem. O contrato com a Flextronix já estava totalmente pago, mas o recém-lançado Edital 106/2017 não tomava conhecimento do seu produto, objeto funcionalmente indêntico ao deste. O Edital 106/2017 foi engendrado para começar do zero os preparativos para impressão do voto, depois de mais de dois anos da obrigação de imprimir os votos virar lei, e já quase em cima da eleição. Resultado parcial: pelo menos uma de duas empresas privadas com códigos de segurança do sistema (além da fornecedora habitual das urnas), mais 7 milhões de dinheiro público gastos sem contrapartida útil.

Para empresas privadas, sim, para especialistas testarem, não

No dia seguinte à desqualificação do consórcio Smartmatic e cancelamento da licitação 106/2017, foi aberta uma nova licitação, por um novo edital (18/2018), clonado do 106/2017 no mesmo esquema licitatório e contratatual: com prazos exíguos, terceirização do "problema", e previsão de entrega de informações que incluem, pelo item 1 da cláusula terceira do efetivo Contrato combinado ao item 2 do Termo de Confidencialidade referido no item 7 do Capítulo XI do edital, códigos e chaves criptográficas do sistema. Tal contrato, n. TSE 40/2018, foi assinado em 30 de abril de 2018, com a empresa que vencera o respectivo pregão (18/2018), realizado em 20 de março. Esta de nome CIS, que agora tem sede e pelo menos um sócio proprietário que são brasileiros. E outro, de nome Ie Chui Oh, engenheiro de software coreano. O mesmo que, até três meses antes, era vinculado à Smartmatic, conforme documento da própria extraído do processo licitatório anterior (replicado abaixo) e memória visual de testemunhas.

O mesmo engenheiro que nesse meio tempo talvez tenha conseguido arrumar a leitura dos QR codes que no protótipo anterior ele apresentara pela Smartmatic. Talvez tenhamos aí, nessa coincidência com quem não precisa responder na Coreia à Lei brasileira, uma "quarterização" de códigos do sistema de votação do TSE para que uma eventual contratada pudesse cumprir os curtíssimos prazos entre as duas primeiras etapas da licitação nesse esquema. Talvez. O certo é que, doutra feita, as três equipes de especialistas brasileiros que participaram dos testes de segurança desse mesmo sistema, promovidos pelo TSE em junho de 2017, pediram mas não receberam as chaves criptográficas de decifragem interna, como podem contratualmente receber as empresas Flextronix e CIS, e a partir daí sabe-se lá mais quem onde: essas chaves foram previamente deletadas dos binários nas urnas submetidas ao "teste oficial" de 2017, segundo depoimento do professor Diego Aranha, que liderou a equipe 1 naqueles testes.

A logica? Se os especialistas tivessem acesso explícito a tais chaves, seria muito mais fácil provar como é possível desviar votos e fraudar um eleição nesse sistema, mesmo no exíguo prazo e sob as condições artificalmente restritivas que foram as permitidas para esses "testes" oficiais. Condições ditadas por quem faz o sistema a ser testado, pode? As equipes tiveram que tentar deduzir essas chaves, que decifram programas armazenados, explorando vulnerabilidades no sistema com exposição parcial a inspeção interna, o que duas delas ainda conseguiram (a equipe 1 e a da Polícia Federal), mas quase no final do curto prazo permitido (18 horas). Esse depoimento do professor Aranha, na época também do CMInd, foi dado em primeira mão na mesma audiencia na CCJ, em 6 de março. Nossas falas ali estão disponíveis nesta edição de vídeo que depois publiquei na web.

A reação imediata do TSE àquela audiência, onde expusemos ao vivo na TV Senado tudo isso e mais, estendeu-se por mais dois dias: no dia seguinte, como noticiado no portal G1, enviando ao STF um pedido para anulação da lei de 2015 que exige voto impresso da eleição de 2018 em diante; e dois dias depois, conforme registrado na Wayback machine, com uma revisão sorrateira de notícia publicada no site do TSE em 4/2, sobre o início da segunda etapa da licitação recém-cancelada. E não é a primeira vez que isso acontece no site do TSE. Esses assuntos voltam agora a pauta, o que pede uma reconstituição da cronologia dos fatos e dos feitos, para identificar fake news que vem tentar embaralhar essa cronologia, ofuscar detalhes cruciais ou atacar quem os denuncia, pelo efeito de pôr panos quentes no assunto, desviar a atenção de eleitores que acreditam em democracia, ou cumprir ordens. Como esta matéria do portal Aos Fatos, seguida de outras na Folha de São Paulo, Veja, etc, e até no TSE.

Conclusões

Códigos-fonte e binários dos programas do sistema de votação, chaves públicas de verificação de assinaturas digitais que autenticam a origem de executáveis e arquivos, e até certos tipos de chaves de sessão, poderiam ficar acessíveis ao público, sem prejuízo à higidez do processo de votação, CASO o modelo de sistema, escolhido pela autoridade eleitoral -- ultimamente ao arrepio do poder legislativo -- para informatizar esse processo, tivesse entre seus fundamentos a trasparência dos atos de contagem de votos. Um tipo de ato administrativo que não deve ser confundido com o ato de registro do voto, este privado e que deve ser - só ele - secreto no processo de votação. Porém, a escolha desse modelo, de origem nebulosa e que não muda há mais de vinte anos de informatização desse processo (me refiro ao sistema de votação, não à urna em si), amarra juntos esses dois tipos de ato na glorificação de um fetiche modernoso que cultua certo desenho de máquina para votar/contar, já deprecado no resto do mundo.

Assim, na medida em que os equipamentos e subprocessos vão ficando mais complexos, um modelo como esse, baseado em centralização de controles e na ofuscação como estratégia de proteção, que no frigir dos ovos só protege mesmo o próprio modelo, transforma iniciativas de terceirização como esta, para integração de MIVs, em dramas republicanos e crises populares de confiança. Nessas circunstâncias, a mobilização de hostes de fariseus da seita do santo byte, para atacarem mensageiros que desvelam o drama e descortinam razões para desconfianças, não resolve nenhum problema. Apenas prorroga suas consequências e dificulta possíveis saídas. A quem interessa isso?

Perguntas e dúvidas persistem. Poderiam estrangeiros estar detendo informações sensíveis do sistema de votação que lhes capacitem a interferir, de alguma forma ou por algum meio a seu dispor, no resultado de eleições aqui? Talvez sim, talvez não. Depende de como certos contratos são executados, ao pé da letra ou não, e certos testes interpretados. Na minha linha interpretativa, contratualmente alguns poderiam, bastando que contratados (ou contratandos) por um dos contratos aqui citados pedissem. Talvez venezuelanos, talvez coreanos, do norte ou do sul, nessa ou naquela empresa. Mas pior: talvez entre os que mandam na fabricante de urnas, a Diebold, empresa que (também) controla os chips MSD nas urnas vendidas a partir de 2015 (mais de 90% do atual estoque da JE). Eis que os MSD controlam o que pode ou não ser executado nas urnas vendidas.

Uma das perguntas de jornalistas é se ainda vejo risco à soberania. Pela mesma linha interpretativa, para a eleição de 2018 ele persiste, nessa nuvem de dúvidas, desconfianças e incertezas. Quem vai ganhar os contratos de terceirização de serviços de logística para 2018, que na eleição de 2014 incluiram tarefas de preparação e inseminação de centenas de milhares de urnas nos TREs, com programas oriundos supostamente apenas do TSE, tarefas essas não detalhadas nos respectivos editais? Nada a respeito, em editais ou contratos para 2018, foi encontrado na web até a data deste artigo. E foi a Smartmatic - a do engenheiro coreano de testes (ex?) que em abril ganhou, pela CIS, o Contrato TSE 40/2018 - a que ganhou, em nove dos maiores TREs, os contratos de logística para 2014. Se surgirão aditivos a contratos anteriores, pela urgência da hora, não sabemos.

Só sabemos que faltam menos de duas semanas para se dirimir essas dúvidas e incertezas. Aditivos a contratos de logística anteriores seriam preocupantes pois certa autoridade eleitoral, a que dirige a Secretaria de Informática do TSE, está denunciada na Polícia Federal por faltar com a verdade em declarações e audiências públicas, incluive no Congresso Nacional. E inclusive lá, sobre a extensão das tarefas nos contratos de logística para 2014. Os senadores que mostram entendimento da gravidade das denúncias apresentadas naquela audiência da CCJ fizeram sua parte, redigindo e encaminhando um decreto legislativo que obrigaria as eleiçoes de 2018 serem realizadas em cédulas de papel. Mas a presidência do Senado botou na gaveta enquanto espera o vendaval de desconfianças e incertezas passar. Enquanto a mídia corporativa se faz hora de ingênua absoluta, hora de vestal, se arvorando a juiz ou esquadrão de caça a fake news, vomitando da própria. Que Deus então nos proteja e nos guie.

Documentos linkados

  • 01/12/2017, do TSE: Licitação 106/2017 - Edital e Anexos I, II, III, IV, V e VI (pgs 22 a 35 do Edital)
  • 04/12/2017, aa PGR (Pedro Rezende): Pedido de Audiencia - protocolo 67345/2017
  • 04/12/2017, ao TSE (Maria Cortiz): Pedido de Audiencia - protocolo SEI 14528-7 doc 610921
  • 21/12/2017, ao TSE (Maria Cortiz e Pedro Rezende): Pedido de Explicações - protocolo SEI 14258-7
  • 10/01/2018, ao TSE (Maria Cortiz e Pedro Rezende): Pedido de Adequação de Licitação - protocolo ?
  • 29/01/2018, ao TCU (Maria Cortiz e Pedro Rezende): Denúncia sobre contrato do TSE com a Flextronix - protocolo TCU 565632313
  • 31/01/2018, ao TCU (Maria Cortiz e Pedro Rezende): Denúncia sobre contrato do TSE com a Smartmatic - protocolo TCU 565631682
  • 08/03/2018, do TSE: Licitação 18/2018 - Edital
  • 30/04/2018, do comprasgovernamemtais.gov.br: Contrato 40/2018

Autor

Pedro Antonio Dourado de Rezende é professor concursado no Departamento de Ciência da Com­putação da Universidade de Brasília, Advanced to Candidacy a PhD pela Universidade da Cali­fornia em Berkeley. Membro do Conselho do Ins­tituto Brasileiro de Política e Direito de In­formática, ex-membro do Conselho da Fundação Softwa­re Li­vre América Latina, e do Comitê Gestor da Infraestrutura de Chaves Públicas Brasileira (ICP-BR). http://www.­cic.unb.br/~rezende/sd.php

Direitos de Autor

Pedro A D Rezende et. al., 2017: Este artigo é publicado no portal do editor-autor sob a licença disponível em http://creativecommons.org/licenses/by-nd/2.5/br/

Ler comentários e comentar