1. O uso de Urnas-E brasileiras no Paraguai
O Tribunal Superior Eleitoral do Brasil (TSE) estabeleceu um acordo de cooperação com a Organização dos Estados Americanos (OEA)
para o fornecimento de urnas eletrônicas brasileiras para serem utilizadas em eleições na América Latina.
Como resultado deste acordo, desde 2001 o Tribunal Superior de Justiça Eleitoral do Paraguai (TSJE) vêm utilizando
urnas eletrônicas brasileiras em várias eleições gerais ou internas dos partidos políticos.
Após o último acordo, em 2005, foram entregues ao TSJE, 20 mil urnas eletrônicas brasileiras do modelo 96.
Estas urnas foram utilizadas na eleições internas do Partido Colorado em 19 de fevereiro de 2006 e nas eleições gerais em novembro de 2006.
Ainda em 2005, o TSJE perdeu o controle sobre 18 urnas eletrônicas que desapareceram. Talvez mais urnas tenham desaparecido durante a eleição em fevereiro de 2006, mas o TSJE somente abriu inquérito para apurar estes
desaparecimentos no final de maio de 2006, depois do surgimento de um vídeo nos telenoticiários na TV paraguaia que apresentava um Teste de Penetração sobre uma urna brasileira modelo 96 carregada com os programas oficiais da eleição de fevereiro de 2006 adulterados.
Em 12 e 13 de junho de 2006, um segundo vídeo, de melhor qualidade, foi apresentado no jornais da TV Telefuturo Canal 4 do Paraguai.
Como consequência direta desta demonstração pública da insegurança das urnas-e brasileiras, elas foram abandonadas na eleição para Presidência da República em 2008. Optou-se por retornar ao sistema de voto manual. As urnas-E brasileiras foram sucateadas.
2. Comentários sobre o Vídeo dos Teste no Paraguai
O vídeo apresentado na TV paraguaia em junho de 2006 apresenta um teste de penetração que
foi desenvolvido sobre uma urna eletrônica brasileira, modelo 96.
Tudo indica que era uma Urna-E verdadeira, cedida em comodato pelo TSE brasileiro ao TSJE paraguaio,
e não uma imitação falsa. Os detalhes e entalhes no gabinete da urna testada são iguais ao modelo original como se pode ver na foto abaixo.
Foto da Urna-E testada no Paraguai
As únicas diferenças deste modelo e o modelo 96 usado no Brasil são as 3 teclas de função, que estão escritas em espanhol, e a ausência do selo das Armas do Brasil na parte superior do teclado.
As telas iniciais apresentadas na inicialização da urna sob teste são as mesmas apresentadas
pelo programa de votação oficial utilizado nas eleições internas do Partido Colorado
em 19 de fevereiro de 2006, inclusive as telas com dizeres em português como a que aparece quando o cronometro indica 32, com os dizeres "Instalando os drives da urna".
Então, houve pelo menos dois momentos em que foi quebrada a segurança.
O primeiro se refere ao sumiço de urnas eletrônicas em 2005.
O segundo se refere ao vazamento de cópia dos programas oficiais de 2006 para ser carregado na urna mostrada no vídeo.
Mas o programa estava adulterado para provocar o desvio de votos da lista de candidatos nº 8
para a lista 2.
Nada indica que esta adulteração dos programas tenha sido utilizada durante a citada
eleição. Pelo contrário, a penetração foi feita com o programa operando no
modo de "capacitacion", como se vê na tela aos 41 seg com os dizeres "Urna operando em modo
capacitacion" e na fita impressa ao final com os resultados onde aparece o termo "CAPACITACION".
Este modo de operação é a forma sob a qual se permite aos partidos desenvolverem testes
de integridade do sistema. Nele ficam inertes as restrições de horário podendo a
votação ser iniciada e finalizada a qualquer momento, porém seus os resultados são
impressos com a palavra "CAPACITACION" no cabeçalho (no Brasil aparece a palavra "VPREPOS" de verificação pré e pós eleição).
O TSE e o TSJE sempre anunciaram que o programa na modalidade de teste ou de capacitação era
exatamente o mesmo utilizado nas eleições apenas sem a limitação do horário
de forma que o vídeo demonstra ser possivel adulterar o programa oficial de apuração dos
votos sem que a sua autoverificação de integridade bloqueie seu funcionamento.
O vídeo é narrado por dois locutores com a voz distorcida eletronicamente para impedir sua identificação e tem duração aproximada de 30 minutos, marcados num cronometro sempre visível na tela para mostrar não ter havido montagem.
Porém, para se ter uma garantia completa de não ter havido montagem do vídeo seria
necessária uma perícia técnica que detectasse, ou não, emendas de vídeo. É
de se esperar que o TSJE denunciasse se encontrasse emendas no vídeo, mas não se tem notícia
de nenhuma perícia que indicasse o vídeo ser montagem.
O cuidado de proteger a identidade dos locutores se deve ao fato do teste de penetração
não ter sido produzido com autorização oficial. O TSJE segue a mesma orientação do TSE brasileiro que consiste em afirmar taxativamente a invulnerabilidade do
sistema ao mesmo tempo que não permite que sejam efetuados testes livres de
penetração que possam confirmar esta assertiva.
A seqüência de eventos apresentada no vídeo é:
- São ligados o cronometro e a urna-e para iniciliazação do sistema;
- Logo no primeiro minuto aparecem as mensagens de verificação de integridade do ambiente e do
software instalado no cartão de memória interno, chamado de FI. Estas verificações (das assinaturas "hash")
não detectam a adulteração, continuando o processo de incialização;
- Após sete minutos é completada a iniciliazação e aparece a tela para impressão da "acta de urna vacia",
que no Brasil é chamada de Zerésima. Depois da impressão ela é colocada sobre
a própria urna para permanecer visível durante todo o teste;
- A seguir é liberada a urna para receber os votos do primeiro eleitor. Estavam em distupa seis cargos
de membros da Junta de Governo, membros da Seccional e delegados convencionais.
Assim, cada eleitor devia, para cada cargo em disputa, digitar o número da chapa escolhida seguido da
tecla SI (CONFIRMA) duas vezes;
- Foram depositados os votos de oito eleitores. Os seis primeiros votos eram sempre para as chapas de número 8.
O dois votos finais foram para as chapas 2 ou 24. Para cada cargo em disputa, este era o
resultado esperado: chapa 8 > 6 votos; chapa 2 > 2 votos;
- Ao final da votação do oitavo eleitor foi digitada a senha de encerramento da votação e emitida a
"acta de escrutinio", que no Brasil é chamada de Boletim de Urna, com os resultados da apuração naquela urna;
- No entando, o impresso revela, para cada cargo, o seguinte
resultado obtido: chapa 8 > 3 votos; chapa 2 > 5 votos.
Três votos da chapa 8, em cada cargo, foram desviados para a chapa 2 (ou chapa 24 conforme o caso).
Durante a votação, é possivel se ver na tela que os votos dos eleitores 2, 4 e 6 na chapa 8 eram susbtituídos pelo número 2
quando a segunda tecla SI era digitada. O locutor afirma que foram introduzidos "suficientes parâmetros"
para permitir que a substituição do voto ficasse visível.
Numa fraude verdadeira, dificilmente o programador invasor iria deixar visível a troca do número digitado pelo eleitor.
Assim, fica claro que a adulteração do software e o próprio vídeo paraguaio foram desenvolvidos com natureza
didática, para derrubar a tese da invulnerabilidade do sistema que o TSE e o TSJE insistem em afirmar,
e não para fraudar uma eleição de fato.
Pela sequência de eventos mostrado no vídeo, pode-se induzir que a adulteração no software da Urna-E consistiu em:
- Introduzir modificações no programa AUTOEXEC.BAT ou SETUP.BAT para se desviar das
verificações de integridade do ambiente e do software;
- Incluir um programa controlador do teclado e do vídeo, tipo sniffer, para alternadamente substituir a
seqüência de teclas <8, SI, SI> pela seqüência <8, SI, NO, 2, SI, SI>.
Esta troca na seqüência de teclas digitadas funciona da seguinte forma:
- a tecla 8 digitada pelo eleitor indica sua escolha;
- a primeira tecla SI (que é a tecla CONFIRMA nas urnas brasileiras) faz aparecer a foto do candidato (8);
- a segunda tecla SI confirma e encerra o voto;
- ao trocar este segundo SI, digitado pelo eleitor, pela tecla NO
(que é a tecla CANCELA nas urnas brasileiras) o voto no número 8 é cancelado;
- a tecla 2, incluida a seguir pelo programa tipo sniffer, seleciona o candidato 2
- a tecla SI, incluidas duas vezes, confirma o 2 e encerra a votação.
Se entre as 3 teclas falsamente incluídas se incluir ainda pequenos atrasos de tempo,
a susbstituição pode ser visualizada na tela. Caso estes atrasos não sejam incluídos,
a troca é rapidamente processada e o eleitor não a percebe.
A possibilidade de se incluir um programa controlador do teclado e do vídeo nas urnas eletrônicas
foi prevista e descrita no artigo Reflexões sobre Confiabilidade de Sistemas Eleitorais
escrito em janeiro de 2001 por Márcio Coelho Teixeira e Amílcar Brunazo Filho, membros do Fórum do Voto-E.
A possibilidade de adulterações de arquivos do tipo AUTOEXEC.BAT para burlar a verificação de integridade nas urnas eletrônicas brasileiras foi prevista e descrita
pelo Prof. Pedro Rezende, da UNB, em seu artigo
Análise de um Sistema Eleitoral Eletrônico
publicado em setembro de 2004 no Observatório da Imprensa.
Infelizmente os avisos do prof. Rezende e dos membros Fórum do Voto-E não receberam a devida atenção
da imprensa nem foi levado a sério pelo TSE. Um técnico do TSE, Sr. Oswaldo Catsumi, um dos projetistas das
Urnas-E brasileiras, chegou a publicar uma réplica à tese do Prof. Rezende, alegando que nada daquilo seria possível.
O vídeo do teste paraguaio deixa inequívoco que o Sr. Catsumi ou não sabia sobre
o que falava, ou sabia, mas queria esconder a fragilidade do sistema que ele próprio projetara.
3. Assista o Video
O vídeo com o teste paraguaio pode ser visto no: