divergências, estranhamento e rapidez

Estamos tornando as urnas eletrônicas menos seguras para ganhar tempo? - Por Sam Biddle

O apetite voraz por um vencedor imediato, impulsionado pela cobertura frenética nos canais de notícias

ALGUMA COISA ESTRANHA acontece na noite das eleições. À medida que a votação se aproxima do fim, os americanos em lados opostos do espectro partidário se alinham em uníssono, intensamente, por alguns instantes: todos querem saber quem vai vencer e não querem esperar nem mais um minuto. O apetite voraz por um vencedor imediato, impulsionado pela cobertura frenética nos canais de notícias – e agora também nas redes sociais – exige a entrega de resultados e projeções hiperatualizados antes da divulgação de qualquer contagem oficial. No entanto, as tecnologias que ajudam a trazer resultados na velocidade da luz dos locais de votação até a CNN são também as mais arriscadas, dizem os especialistas.

Já se passaram quase dois anos desde que hackers militares russos tentaram invadir os computadores usados tanto pelos agentes eleitorais locais quanto pela VR Systems, uma empresa de votação eletrônica que viabiliza as eleições em diversos estados decisivos [os chamados “swing states”, estados que não têm uma clara maioria de um dos partidos]. Desde então, relatórios que detalham o dueto entre o risco técnico inerente e a negligência abjeta transformaram a segurança eleitoral em tópico de debate nacional. Em novembro, milhões de americanos votarão novamente. Mas, a despeito das centenas de milhões de dólares de auxílio federal despejados na tarefa de encorpar a segurança das seções eleitorais, a tensão entre os especialistas, as grandes empresas e o status quo até mesmo sobre o significado de “segurança” tem deixado perguntas importantes sem resposta: será que cada voto deveria ser registrado em papel, para que haja um rastro físico a seguir? Será que cada eleição deveria ser auditada ao final, como se discute no Brasil, com o objetivo de impedir e ao mesmo tempo detectar fraudes? E, numa era em que praticamente tudo está online, será que equipamentos eleitorais deveriam chegar perto da internet?

A resposta que o senso comum dá a essa última pergunta – de que isso parece uma péssima ideia – esconde sua complexidade. Por um lado, o público agora recebe advertências regulares e uniformes da comunidade de inteligência, do Congresso e de outras entidades que lidam com dados sensíveis: malfeitores estrangeiros já tentaram e vão continuar tentando usar computadores para invadir ou perturbar nossa votação cada vez mais informatizada. Recentemente, em março, o Comitê de Inteligência do Senado dos EUA recomendou que “[n]o mínimo, qualquer máquina adquirida futuramente deve ter um rastro em papel verificado pelos eleitores, e não deve ter recursos Wi-Fi”. Considerando que um hacker do outro lado do mundo teria dificuldades para se conectar a uma urna no estado da Virgínia que não esteja conectada a absolutamente nada, parece razoável que isolar tais sistemas sensíveis do resto do mundo os tornará mais seguros.

Tammy Patrick, que já atuou nas eleições no Arizona e atualmente é consultora sênior no Fundo da Democracia, que, como o Intercept, é financiado pelo fundador do eBay Pierre Omidyar, disse que, embora não conheça nenhuma jurisdição que “conecte seus equipamentos de votação usando Wi-Fi”, outras tecnologias sem fio eventualmente podem estar embutidas. Além disso, frequentemente computadores a apenas um grau de separação das urnas digitais de votação estão conectados à internet, explicou Patrick. “O que acontece com mais frequência é que a unidade de armazenamento de votos pode ser removida [da máquina de votação] e usada para transmitir os resultados”, disse ela. Alguns agentes eleitorais enviam contagens de votos por tablets que usam Wi-Fi, enquanto, em outras jurisdições, os mesários precisam ir a locais centralizados para ter acesso à internet via cabo ou sem fio. É possível pensar nisso como uma espécie de contaminação cruzada de malware, em que um computador mantido segregado da internet está vulnerável da mesma forma por causa dos computadores conectados à internet com os quais tem contato. É o mesmo conceito básico que hackers americanos e israelenses usaram para atacar os computadores das centrífugas nucleares iranianas, que estavam tecnicamente isolados da rede. (No Brasil, este poderia ser o caminho utilizado por hackers: embora as urnas eletrônicas brasileiras não tenham conexão à internet, os votos são retirados delas e depois transferidos para o TSE via internet através de computadores comuns presentes nas seções eleitorais).

A despeito de todos esses alertas, os especialistas se preocupam com a possibilidade de que esteja havendo pressão, sem justificativas razoáveis, para integrar os recursos sem fio – que podem poupar a um hacker habilidoso ou a algum outro intrometido o trabalho de precisar estar fisicamente próximos dos sistemas em questão – num momento em que muitas outras questões de segurança ainda não foram resolvidas. “Em nível local, é um esforço enorme conseguir ajustar o básico”, disse a The Intercept o pesquisador de segurança e criptógrafo Kenneth White. “Quando acrescentamos, por exemplo, conectividade celular ou Wi-Fi ao próprio equipamento de votação, isso torna a segurança muito mais difícil, e o risco de comprometimento é bem maior.”

Segundo um ex-agente eleitoral federal que conversou com The Intercept sob condição de anonimato, porque não tinha autorização para falar com a imprensa, muitos estados já usam algum tipo de conexão sem fio e relutam em abandoná-las agora, mesmo com o propósito de dificultar a invasão de hackers. “Agentes eleitorais entendem que é uma questão de segurança”, disse essa pessoa a The Intercept, “mas esse recurso já está embutido no processo eleitoral e eles dependem dele. Fazer esse tipo de alteração logística no processo, durante um ano eleitoral, é duro, e isso vale especialmente para a transmissão dos resultados na noite da eleição.”

Algumas máquinas de votação permitem que os resultados preliminares sejam transmitidos para um escritório do condado usando o mesmo tipo de modem dos smartphones, em vez de serem fisicamente deslocados de cada seção eleitoral. Isso significa que os resultados iniciais podem ser compartilhados instantaneamente, mas também significa que os dados só estão seguros na medida em que a empresa de telefonia que os transmite permita. Tais conexões, que não apenas transmitem dados, mas também os recebem, representam mais um potencial ponto fraco que os hackers poderiam explorar para invadir uma máquina e comprometê-la. Céticos do Wi-Fi, como o professor de ciência da computação da Universidade George Washington, Poorvi Vora, argumentam que tais vulnerabilidades precisam ser eliminadas. “Precisamos reduzir todas as oportunidades de interferência. Nossos sistemas são apenas tão seguros quanto os seus elos mais frágeis”, escreveu Vora no começo do ano em uma lista de e-mails sobre segurança eleitoral mantida pelo NIST, o Instituto Nacional de Padrões e Tecnologia dos EUA.

Sistemas modernos de votação – os equipamentos usados para organizar uma votação, votar, tabular os votos, reportá-los, e auditar todo o processo – são em essência apenas computadores extremamente especializados que, como um notebook qualquer, rodam software, armazenam entradas e enviam saídas. Como acontece com qualquer computador, é possível que uma pessoa inteligente induza a máquina a fazer algo que não deveria, seja por uma diversão pessoal, seja para atender a uma pauta mais sinistra.

A maior parte dos métodos para fortalecer a segurança de um computador estão acompanhados de pequenos inconvenientes: colocar uma senha no seu telefone significa que você precisará desbloqueá-lo; usar programas antivírus no seu computador consome um pouco da memória; e encriptar seu e-mail com PGP exige um pequeno seminário sobre os fundamentos da criptografia. A segurança dos votos é um sacrifício como qualquer outro, e o debate sobre as conexões sem fio expõe uma tensão permanente: quanto mais fácil se torna conduzir uma eleição, mais fácil se torna interferir nessa eleição.

Além disso, uma parte tão grande do processo de votação é atualmente digital, do registro dos eleitores à contagem das cédulas, em meio a uma colcha de retalhos de computadores, que impedir que essas máquinas se comuniquem entre si parece cada vez mais impraticável. Há também a questão de que muitas das pessoas envolvidas no setor privado industrial e no setor público de administração das eleições desejam a conectividade sem fio pelos mesmos motivos que você a deseja no seu iPhone e no seu notebook: ela torna a vida mais fácil. Imagine que você dependa de conexões sem fio para administrar uma votação importante, em que atrasos ou imprevistos no dia da eleição podem tornar o seu distrito alvo de manchetes humilhantes e da chacota local.

“Não precisamos ir longe para ver exemplos do que acontece quando uma jurisdição não envia seus relatórios rapidamente”, alertou Tammy Patrick. “Quando há atrasos no envio, isso pode colocar em xeque a reputação dos agentes eleitorais, de sua seção, e colocar em jogo a legitimidade da própria eleição – mesmo quando os atrasos são claramente documentados e compreendidos.” O ex-agente eleitoral federal concordou, dizendo que a pressão por resultados antecipados é potencialmente perigosa:

“Na minha opinião, nosso país está excessivamente preocupado em obter os resultados na noite da eleição. Os gestores eleitorais já vão estar fazendo muitas horas extras às vésperas de uma grande eleição geral. E agora eles precisam ficar ali e continuar trabalhando, depois de um dia de 12-15 horas, para tabular os resultados. Essas condições podem criar um ambiente em que às vezes atalhos são tomados e erros são cometidos, embora os administradores trabalhem duro para tentar evitar que aconteça.”

AS DIVERGÊNCIAS SOBRE equipamentos eleitorais sem fio podem ficar feias. Na obscura lista de e-mail gerida pelo NIST, onde um grupo bem diverso de acadêmicos, executivos do setor privado e autoridades eleitorais estão tentando produzir na marra diretrizes voluntárias de segurança eleitoral, a questão da conexão sem fio chegou a um impasse.

Na troca de mensagens com Vora no começo do ano, um executivo da Votem, uma empresa que vende software de votação para smartphones, zombou da proposta de uma proibição geral de conexões sem fio no contexto eleitoral, que chamou de “preguiçosa”. Foi contrário especialmente à “ideia de que qualquer um de nós nessa discussão possa saber o suficiente sobre o futuro para dizer com certeza que a tecnologia x deveria ser proibida ou não”. (Em um post no blog da Votem publicado um mês antes, o executivo, David Wallick, escreveu que o “maior desafio” da empresa era “fazer pressão” em relação às tecnologias que possam incomodar o público.)

Unindo-se a ele, Bernie Hirsch, executivo na empresa de votação eletrônica MicroVote, sugeriu que, da mesma forma que o Wi-Fi, os rastros de papel da votação eletrônica também poderiam ser “hackeados” por um carteiro mal-intencionado – então por que uma deveria ser proibida enquanto o outro era deixado em paz? Duncan Buell, professor de ciência da computação na Universidade da Carolina do Sul, não gostou da brincadeira, e chamou a resposta de Hirsch de “no mínimo imensamente inadequada e, na pior das hipóteses, produto de um genuíno troll”.

“A corrupção do voto num sistema de papel exige cúmplices humanos no local, lidando com objetos físicos”, observou Buell. “Como todos bem sabemos, a corrupção/perturbação de sistemas eletrônicos (de voto ou de outros tipos) pode ser realizada sem detecção, praticamente por qualquer pessoa de praticamente qualquer lugar do mundo.”

Não são apenas os vendedores, resistentes a proibir hoje um recurso que futuramente possam comercializar, que estão fazendo pressão a favor das conexões sem fio, a despeito dos enfáticos alertas contrários. Organizar uma eleição é uma responsabilidade enorme e ingrata, e conseguir transmitir dados pelo ar significa que menos etapas precisarão ser concluídas pessoalmente. Numa recente teleconferência entre membros da lista do NIST, um administrador eleitoral do Texas argumentou que as conexões sem fios permitiriam ligar as máquinas remotamente no caminho para o depósito onde ficam armazenadas, economizando a todos o tempo desperdiçado esperando os computadores inicializarem, segundo participantes da teleconferência.

Embora seja possível “endurecer” uma conexão sem fio contra os ataques para permitir esse tipo de uso, fazê-lo “não é brincadeira, e é o tipo de coisa que pode facilmente ficar mal configurada”, advertiu Joseph Lorenzo Hall, tecnólogo-chefe do Centro para a Democracia e a Tecnologia e estudioso da insegurança das votações. Como acontece com qualquer tipo de segurança de computadores, há inúmeras oportunidades para que alguém estrague tudo sem alarde. “Existem protocolos mais fortes de conexão sem fio que poderiam ser usados”, acrescentou o criptógrafo Kenneth White, “mas são consideravelmente mais difíceis de gerir e manter”. Mesmo as melhores precauções de segurança no papel podem ser desfeitas instantaneamente por um único erro, a que White se refere como “o problema do voluntário no porão da igreja”.

O desejo de transmitir resultados eleitorais não oficiais sem esforço “é realmente uma pressão” no debate sobre conexões sem fio, concorda Hall. “Tanto os eleitores quanto a imprensa acham que deveria existir uma resposta quase imediata, quando, na verdade, a verdadeira resposta demora de 15 a 30 dias em muitos lugares.” Patrick concorda, acrescentando que “a pressão vem de todos os lados – meios de comunicação, candidatos, partidos, eleitores”, e que “ninguém está imune a buscar gratificação instantânea, e talvez alguma catarse”.

Para White e muitos de seus colegas, há uma simples conclusão: elimine ao máximo possível essas oportunidades de erro. “Queremos ou não assegurar a integridade de nossos votos? Se queremos, e queremos fazer isso em escala, então os sistemas eletrônicos de votação com verificação em papel [são] o melhor caminho a seguir”, disse White. “Quanto mais conseguirmos tornar esses sistemas menos complexos e menos conectados, mais podemos acreditar que o voto de cada cidadão esteja sendo registrado.”

Fonte: The Intercept
Créditos: The Intercept