Escolar Documentos
Profissional Documentos
Cultura Documentos
Resumo
Índice
1. Introdução
1.1 Oportunidade
1.2 Apresentação
2. Sobre autenticidade
3. Descrição do sistema
4. Análise da segurança
https://cic.unb.br/~rezende/trabs/analise_setup.html 1/22
14/05/2021 analise de um sistema eleitoral eletrônico
6. Conclusões
Referências bibliográficas
1. Introdução
A primeira eleição nacional 100% informatizada de todo mundo ocorreu no Brasil em 2000.
Neste evento, o fornecimento das urnas eletrônicas e do software que as fazem funcionar coube
à empresa Procomp, subsidiária da empresa americana Diebold, que também fornece urnas
eletrônicas para as eleições norte-americanas.
Em 2003, quatro professores da Johns Hopkins University e da Rice University publicaram uma
análise sobre a segurança do sistema eleitoral eletrônico, equivalente às nossas urnas eletrônicas,
fornecido pela empresa americana Diebold, em relação ao risco de fraudes [1] A análise foi
desenvolvida sobre um software obtido na Internet, publicado anonimamente, e os autores
concluíram pela existência de inúmeras falhas de segurança neste sistema que, se exploradas nos
momentos oportunos, poderiam alterar o resultado eleitoral. Ao tentar impedir judicialmente a
divulgação da análise, a empresa poderia estar implicitamente admitindo a autenticidade do
material analisado pelos professores da John Hopkins e Rice.
Esta decisão do Secretário de Estado da Califórnia surpreende a muitos brasileiros, já que, entre
nós, parece comum um alto grau de confiança no sistema eleitoral informatizado aqui em uso,
através do qual somos obrigados a votar. Uma das revelações desta decisão, todavia, é que a
confiança do público brasileiro nas eleições eletrônicas aqui já conduzidas baseia-se mais no
fascínio pela modernidade, explorado pela propaganda dos fornecedores e operadores do
sistema, do que em procedimentos e dados técnicos objetivos. Isto ficou evidente, quando
menos, pela forma atabalhoada e canhestra com que foi votada a mais recente lei federal
destinada a regulamentar o processo eleitoral brasileiro, registrada no artigo “A Seita do Santo
Byte ” [4] e em análise do Fórum do Voto Eletrônico [16].
1.1 Oportunidade
Em fevereiro de 2004 surge uma novidade. Alguém publica na Internet uma parte do software
que, ao que tudo indica, teria sido desenvolvido pela Diebold/Procomp para as eleições de 2000
no Brasil. Este fato criou uma oportunidade única para se estudar o sistema eleitoral brasileiro,
https://cic.unb.br/~rezende/trabs/analise_setup.html 2/22
14/05/2021 analise de um sistema eleitoral eletrônico
especialmente em vista do precedente nos EUA, para verificar se nele também ocorrem
problemas semelhantes aos lá apontados.
Esta oportunidade é única e valiosa pois a Justiça Eleitoral brasileira escolheu, a nosso ver
equivocadamente, um método de desenvolvimento e validação do seu sistema com modelo de
confiança para seu sistema de segurança baseado no obscurantismo, aparentando transparência
apenas na superfície. Ademais de tê-lo desenvolvido com excessiva e precária dependência a
pessoas que hora ocupam cargos de confiança na Secretaria de Informática do TSE, ao invés de
a processos institucionais. A suposta transparência do sistema atual é crível apenas por leigos,
tendo em vista:
O termo de compromisso de sigilo, absoluto e irrevogável, que fiscais de partido têm sido
obrigados a assinar para poderem ver código-fonte de parte do software do sistema, em
ambiente totalmente controlado pelo fiscalizado, o Tribunal Superior Eleitoral, a título de
fiscalização e/ou auditoria do processo eleitoral.
A natureza dos estudos e análises técnicas independentes que até o momento foram
oficialmente permitidos sobre o sistema. (seguindo a norma de segurança da International
Standard Organization -- ISO -- denominada "Common Criteria", o PT solicitou ao TSE,
em agosto de 2000, permissão para a realização de teste de penetração no sistema, que foi
negada sem explicações)
1.2 Apresentação
Trata-se de uma análise técnica de parte essencial de um sistema eleitoral informatizado, que
tudo indica ser o brasileiro de 2000, em relação ao risco de fraudes. Começamos analisando, no
capítulo 2, a plausibilidade< de ser autêntica a origem desse novo material. No capítulo 3,
fazemos um esboço da arquitetura do sistema de segurança das urnas eletrônicas brasileiras, que
emerge das descrições oficiais em documentos publicados pelo TSE e em artigos técnicos
apresentados em congressos acadêmicos de computação.
2. Sobre autenticidade
No dia 28 de fevereiro de 2004, mensagens quase simultâneas foram divulgadas em duas listas
de debate sobre voto eletrônico na Internet, anunciando a novidade. A saber, na lista
internacional UPA-EVOTING <http://groups.yahoo.com/group/upa-evoting/> e na lista
brasileira FÓRUM do VOTO-E <http://www.votoseguro.org/forum.htm>, informando que o
código de programa do SETUP.BAT [5], utilizado nas urnas eletrônicas brasileiras de 2000, e
que o relatório da Fundação COPPETEC [6], de avaliação da documentação do software do
sistema eleitoral brasileiro de 2002, estavam disponíveis no endereço
<http://www.angelfire.com/journal2/tatawilson>.
As mensagens tinham como origem aparente (endereço IP) a cidade de Amsterdã, na Holanda,
mas seu autor não se identificava, afirmando apenas ser ex-funcionário da Justiça Eleitoral no
Brasil. A anonímia do publicante levanta, naturalmente, a questão sobre a autenticidade da
https://cic.unb.br/~rezende/trabs/analise_setup.html 3/22
14/05/2021 analise de um sistema eleitoral eletrônico
Esta seção busca antes, e especificamente, afastar toda e qualquer possibilidade de que o
propósito da divulgação do presente trabalho possa ser interpretado, em leitura racional e
honesta, para além ou para fora daquele que moveu o autor.
Apesar da complexidade, a lógica de transição entre suas diversas partes internas é coesa, não
ocorrendo casos de desvios sem destino útil, ou de trechos com desenvolvimento incompleto, o
que revela um longo trabalho de desenvolvimento e depuração. O código-fonte é rico em
comentários que fazem referência a processos, componentes, equipamentos e periféricos todos
compatíveis e coerentes com os nomeados nas especificações oficiais para as Urnas-E 2000,
conforme distribuídas em Edital de Licitação mediante Concorrência nº 27/99 do TSE [7],
licitação vencida e executada pela Procomp/Diebold. Esta complexidade, aliada à coerência
interna e às especificações oficiais do sistema, sugere tratar-se de documento autêntico.
Esta autenticidade se sustenta como plausível, ademais, pela combinação entre complexidade,
coerência e datas envolvidas. Explico-me: seria razoável supor como pouco provável a tese de
um eventual agente falsificador dando-se a trabalho técnico de tal magnitude sem possibilidade
de ganho aparente. É difícil acreditar que alguém se dispusesse a desenvolver código-fonte de
longos programas, tais como módulos para treinamento de eleitores e de mesários, para coleta de
justificativas, para apuração do voto-cantado e mais alguns, e integrá-los funcionalmente a um
programa de votação, sem possibilidade de testes finais posto que sempre foi vedado o acesso
livre ao equipamento a que se destinaria, sendo tudo isto referente a uma eleição já passada há
mais de 3 anos, cujos resultados já estão juridicamente resolvidos e tidos, portanto, como
irreversíveis, com o único propósito de tentar difamar.
testes não oficiais, traços de falsificação ou de forja. Os nomes dos supostos autores, citados no
cabeçalho inicial do programa contido no referido exemplar, poderiam, em tese (ou
necessidade), apontar quem poderia confirmar ou refutar a autenticidade do documento.
Porém, é sabido que esses alegados autores, se verdadeiros, estão legalmente comprometidos em
seus contratos de trabalho com o sigilo do mesmo. Se não pelas práticas trabalhistas e negociais
comuns às empresas contratadas e subcontratadas para fornecimento, manutenção e operação do
sistema eleitoral brasileiro, ao menos indiretamente, pelas cláusulas jurídicas impostas aos que
teriam, por lei, direito de fiscalizar esse trabalho, cláusulas estas de caráter absoluto e
irrevogável [10] (comentários em [18]). E também por justificativas já apresentadas pela Justiça
Eleitoral ao restringir tal direito, baseado na Lei 9.504/01, aos fiscais dos partidos políticos que
tentassem cumprir a bom termo técnico a sua missão [17].
Assim, agimos de boa fé ao acreditar que seria ilegal os alegados autores se manifestassem sobre
a questão, ou mesmo que deles se solicitasse uma tal manifestação, motivo pelo qual não foram
consultados sobre a autenticidade do exemplar de programa que os nomeia como autores, para
aqui reforçar a tese da plausibilidade da autoria e origem do material em exame. Dentro deste
quadro de fatos, e tomando como plausível a autenticidade do material em exame, procedeu-se a
presente análise do código-fonte no arquivo SETUP.BAT publicado na internet, para posterior
encaixe em descrições oficiais do sistema eleitoral brasileiro.
Em respeito ao direito autoral dos verdadeiros programadores ou seus detentores, quaisquer que
sejam, o código completo do exemplar do SETUP.BAT em exame não é reproduzido neste
trabalho; apenas pequenos trechos de poucas linhas, necessários para explicar situações de risco
oferecidas à reflexão. E a imagem aqui replicada apenas pelo desejo e necessidade de se honrar
tributo a um grande brasileiro.
3. Descrição do Sistema
Descrições do fluxo de informação dentro do sistema eleitoral brasileiro podem ser encontradas
em [8] e [9]. Simplificadamente, o processo eleitoral pode ser subdividido em cinco etapas
subseqüentes:
O acúmulo das etapas 2 e 3 numa mesma máquina introduziu risco adicional e em princípio
evitável ao sistema, que é o fato de duas informações que não poderiam nunca ser juntadas, o
voto e a identidade do votante, estarem disponíveis no mesmo equipamento. Se este
equipamento tiver sua função ampliada, poderá refazer a relação entre esses dados, violando o
https://cic.unb.br/~rezende/trabs/analise_setup.html 5/22
14/05/2021 analise de um sistema eleitoral eletrônico
princípio constitucional do sigilo do voto. Por este motivo é que o Relatório da Sociedade
Brasileira de Computação [10] afirma em suas conclusões que:
O relatório da SBC se referia ao sistema eleitoral do TSE de 2002, mas esta sua conclusão se
aplica sem restrições ao sistema de 2000, visto terem ambas versões exatamente a mesma
arquitetura neste aspecto. O chamado relatório Unicamp [9], por sua vez, descreve análise
conduzida sobre um sistema eleitoral informatizado fornecido pelo TSE como sendo a versão
usada na eleição de 2000. Não se trata, portanto, de análise do sistema em produção, ou seja,
feita diretamente em urnas usadas nas eleições de 2000.
Escritos em texto pleno, isto é, código ASCII como qualquer arquivo de formato txt, batch files
listam comandos a serem executados seqüencialmente pelo interpretador do sistema operacional
(shell). Programas que executam diretamente a partir da forma em que são escritos pelo
programador (código-fonte), sob a ação de um outro programa que interpreta o código-fonte
para a linguagem de máquina subjacente, são ditos interpretados. Batch files são portanto
programas interpretados, também chamados de “scripts”.
Programação por lote de comandos interpretados, ou scripting, é o modo mais simples possível
de se programar em ambiente DOS/VirtuOS. Oferece poucos recursos aos programadores, como
desvios de execução e laços condicionais bastante limitados, programação seqüencial elementar,
sem apoio a objetos (dados e/ou subprogramas com estrutura) e sem passagem de parâmetros
para funções (procedures). Além disso, por ser uma forma de programação interpretada e não
compilada, isto é, onde o código-fonte teria que ser traduzido para linguagem de máquina antes
da instalação do correspondente executável, a modificação de scripts é extremamente fácil,
podendo ser feita em editores de texto comuns, de forma intuitiva e interativa, no próprio
ambiente de produção.
https://cic.unb.br/~rezende/trabs/analise_setup.html 6/22
14/05/2021 analise de um sistema eleitoral eletrônico
Segundo o edital de fornecimento das urnas [7], cabia ao fornecedor desenvolver os programas
do sistema, o que nos leva a entender que foi a Procomp/Diebold que escolheu utilizar o sistema
operacional VirtuOS, como também incluir todo o controle da verificação de integridade de
hardware e software da urna em um script de inicialização. Mas cabia à Secretaria de
Informática do TSE avaliar, validar, aceitar e homologar, ou não, estas decisões e métodos de
programação, obviamente de baixíssima resistência a ataques por parte de quem possa ter acesso
privilegiado ao sistema.
Por fraude, neste caso, deve-se entender qualquer ação que permita:
O chamado relatório Unicamp [9] descreve boa parte do que seriam os mecanismos de proteção
contra fraude nas urnas eletrônicas de 2000. O sistema de 2000 não produz nenhum documento
ou material que permita a recontagem ou conferência da tabulação desses votos (feita na urna),
ou da totalização (apuração feita na rede dos tribunais eleitorais) eletrônicas, como permitiria o
voto impresso, conferível pelo eleitor, previsto na abortada Lei 10.408/02. Assim, toda
segurança contra fraude nas urnas eletrônicas se baseava, e voltou a se basear com a revogação
da referida lei, em mecanismos para se garantir a idoneidade e a integridade dos programas que
executam, nas urnas ou redes de totalização, durante a eleição.
Uma perícia nas urnas eletrônicas utilizadas na eleição de Camaçari, Bahia, em 2000 [21],
revelou que o software nelas utilizado durante aquela eleição não era o mesmo que havia sido
validado pelos partidos políticos em agosto de 2000. Ressalte-se, mais uma vez, que o presente
trabalho analisa o exemplar de script no SETUP.BAT pressupondo-o idêntico ao utilizado nas
urnas eletrônicas de 2000, com lastro nas evidências arroladas na seção 2 e complementadas nas
seguintes, mas sem a intenção de assumir ou atestar tal identificação, diferentemente do
chamado relatório Unicamp.
Em 2002, tornou-se público o fato de que o sistema não dispunha de nenhum mecanismo de
proteção para efetivamente prevenir ou detectar ataques de origem interna, ou seja, ataques
perpetráveis por parte de quem conhece o sistema pela necessidade de operá-lo. Os lacres
físicos, mandatórios nas urnas eletrônicas, a título de garantia de absoluta inviolabilidade dos
programas e dados armazenados nos seus dispositivos eletrônicos internos, como propalado a
quatro ventos por vários magistrados da Justiça Eleitoral [20], não serviam a tal propósito, como
restou provado numa perícia judicial nas urnas usadas na eleição de 2000 na cidade de Santo
Estevão, Bahia, [12]. Nesta, o perito nomeado pelo Poder Judiciário constatou:
1. Que havia uma urna eletrônica que teria sido lacrada no dia 23 de setembro de 2000, mas
que teve seu software recarregado no dia 25 mantendo os lacres intactos.
2. Que era perfeitamente possível abrir a tampa frontal das urnas modelo 98 e 2000, trocar os
dispositivos eletrônicos de armazenamento interno de programas e dados conhecidos por
flash-cards, violando-os, e voltar a fechá-la, SEM ROMPER OS LACRES!
Ou seja, a garantia dos lacres era, efetivamente, a de que ataques de origem interna, por parte de
custodiantes de urnas lacradas que conhecessem os detalhes, não seriam detectados pelo
mecanismo supostamente projetado para detectá-los. Ao contrário do que alardeavam a quatro
https://cic.unb.br/~rezende/trabs/analise_setup.html 8/22
14/05/2021 analise de um sistema eleitoral eletrônico
ventos alguns magistrados da Justiça Eleitoral [20], enquanto nenhum perito nomeado por parte
interpelante foi jamais autorizado a periciar uma urna eletrônica, em processos de impugnação.
Enquanto solicitações de testes de segurança, recomendados pelo OSI, foram sequer respondidos
ao partido solicitante. Temos que reconhecer, todavia, que a inversão de sentido na garantia dos
lacres, entre o anunciado e o efetivo, pode ter ocorrido por algum lapso do autor da resolução
que regulamentava a lacração.
Mas temos também que reconhecer: este tipo de lapso é também uma brisa de tentação
assoprada constantemente no modelo obscurantista. Nessas circunstâncias, dizer que o sistema é
seguro porque ninguém nunca provou a ocorrência de fraude é sofisma, que muito se aproxima
do deboche e do cinismo. Para sondarmos tal proximidade, temos que perguntar se a dos lacres
seria a única inversão de garantias obscurecida, talvez acidentalmente. O chamado relatório
Unicamp, apesar de nada mencionar a respeito desta inversão, revela fatos que apontam
indiretamente para outra, agora envolvendo o esquema da autoverificação de integridade dos
programas.
Esta descrição do esquema de autocertificação das urnas eletrônicas é muito esclarecedora, mas
algumas das conclusões acima podem ser contestadas, supondo-se autêntica a origem do
material aqui em análise, como veremos adiante.
4. Análise da Segurança
https://cic.unb.br/~rezende/trabs/analise_setup.html 9/22
14/05/2021 analise de um sistema eleitoral eletrônico
Comecemos por examinar, na citação anterior do referido relatório, uma primeira fragilidade do
mecanismo de autoverificação da integridade dos programas das urnas eletrônicas. A que se
revela no fato desse mecanismo e o resultado a ser verificado estarem, ambos, no próprio
dispositivo cuja integridade se quer assim verificar (flash-card interna, ou FI). Esta mesma
fragilidade foi também encontrada nas urnas eletrônicas americanas da Diebold, conforme
aponta o estudo dos professores das Universidades de John Hopkins e Rice [1].
Depois do detalhe dos quatro lacres, agora o de que bastava calcular o hash MD5 de um arquivo
e “reassiná-lo” com o SHA1, trocando, no arquivo de "assinaturas", as do arquivo original pelas
da respectiva versão adulterada. Quem e como poderia trocar, veremos adiante. Por enquanto,
observemos que a “segurança baseada no segredo do algoritmo” era, para não dizer um jogo de
palavras, apenas mais uma garantia cuja efetividade estava invertida. Pois o segredo não era do
algoritmo, era do nome do algoritmo. Não seria preciso ter acesso legítimo e controlado ao
ambiente onde um algoritmo secreto de assinaturas estaria implementado, para se poder
modificar programas com o aval da autoverificação. Bastaria o nome. Mais um acidente
lingüístico, ou, mais um catavento para tentações assopradas pelo modelo obscurantista,
inadequadamente empregado sob condições estruturais de alto risco de conluio.
set DQ=a:
set FI=c:
set FC=d:
Mesmo que o arquivo analisado não seja de produção, isto é, mesmo que a versão instalada para
controlar as urnas eletrônicas durante a votação em 2000 não tenha os comentários do exemplar
analisado, a fragilidade do esquema permaneceria. Para a segurança dos eleitores que usam tais
urnas, a fragilidade não se restringiria à profusão de comentários no script de inicialização.
Começa no fato do controle dos mecanismos de proteção dessas urnas estar em um script de
inicialização.
Para ilustrarmos a gravidade do risco de ataque interno a que estaria exposto um sistema com tal
forma de controle da proteção, buscamos exemplo na úlma eleição realizada com o sistema
eleitoral brasileiro, a de 2002. Nela, este controle estaria nas mãos de mais de 10 mil operadores
terceirizados pela fornecedora para operar a eleição, de quem os fiscais de partido não
conseguem da Justiça Eleitoral sequer os nomes, ou nas mãos de quem os instruía em tarefas que
lhes eram opacas. Para entendermos como, e como esse controle poderia ser malversado,
examinemos o trecho do script no SETUP.BAT onde seria acionada a verificação da integridade
dos programas instalados no flash-card interno das urnas eletrônicas.
Este acionamento seria feito pela seguinte seqüência de comandos, da qual foram retirados os
comentários e os desvios intermediários, e ajustada a descrição dos dispositivos de
armazenamento, para facilitar o entendimento:
diskfix c: /vs > nul
if errorlevel 1 goto TentaRecuperar
ckpack c:\raiz.crc c:\ > nul
if errorlevel 1 goto ebatger
O Comando “diskfix” é chamado para verificar o disco C: (flash-card interna) sendo que o
resultado desta verificação não é apresentado na tela da urna por causa do parâmetro “> nul”.
https://cic.unb.br/~rezende/trabs/analise_setup.html 11/22
14/05/2021 analise de um sistema eleitoral eletrônico
Um dos arquivos no diretório raiz é o próprio SETUP.BAT, de forma que a sua autoverificação
seria facilmente burlável, de maneira imperceptível por quem usa a urna, pelo simples acréscimo
da diretiva “REM” em posições adequadas. Assim, a inserção de apenas oito letras no script de
inicialização do sistema operacional, conforme descrito abaixo, faria com que as assinaturas dos
programas instalados na urna deixasse de ser recalculado e comparado aos valores no arquivo de
assinaturas. Inclusive, obviamente, a do próprio arquivo SETUP.BAT contendo este script, não
sendo necessário ao fraudador nem mesmo trocar as assinaturas previamente gravadas nos
arquivos .crc:
diskfix c: /vs > nul
REM - if errorlevel 1 goto TentaRecuperar
ckpack c:\raiz.crc c:\ > nul
REM - if errorlevel 1 goto ebatger
Isto poderia ser feito por quem tivesse, por exemplo, acesso físico ao flash-card interno. A partir
desse acesso, poder-se-ia contaminá-lo com programas embusteiros, antes ou depois de
carregado com os softwares eleitorais, bastando editar as duas linhas do arquivo SETUP.BAT,
conforme descrito acima, e alterar o processo que tabula votos sufragados na urna. A maneira
mais simples de alterar a tabulação de votos seria através de um pequeno programa que age
como Robin Hood. Inserido entre os arquivos da urna, ao final da votação ele interceptaria a
gravação do boletim de urna para alterar, de forma balanceada, porcentagens pré-programadas
nos totais de votos de candidatos, indexados pelo número que lhe foi designado desde o registro
da candidatura, meses antes [19].
Esse programa "Robin-Hood" poderia ser acionado por uma linha de comando tão simples como
as citadas anteriormente, inserida em posição adequada no script do SETUP.BAT, já hackeado
para não verificar alterações nos arquivos. Se o programa "Robin-Hood" for bem feito, sua
última tarefa será deletar a si mesmo, e as alterações no script SETUP.BAT que permitiram o seu
silencioso acionamento. Com isso, apagaria seus rastros depois do boletim de urna ser alterado,
tornando a fraude indetectável até por eventuais auditorias, após a divulgação do resultado da
eleição.
Depois de inseminadas as urnas, esse tipo de fraude teria o menor efeito possível, localizado.
Mesmo assim, alcance igual ao das antigas técnicas de fraude com urnas de lona e cédulas de
papel. Uma a uma, só que invisível na forma eletrônica. Essa forma invisível de violação a
varejo era possível não apenas sob a proteção da resolução que ditava os detalhes da lacração
física das urnas eletrônicas, em vigor até junho de 2002. Resolução que foi depois corrigida, por
outra instituindo um quinto lacre, datada de antes, mas até onde se pôde constatar vinda a
público somente depois da perícia de Santo Estêvão, na internet em 16 de agosto de 2002.
Outras formas invisíveis de violação a varejo resistiriam ao fim do segredo dos quatro lacres.
https://cic.unb.br/~rezende/trabs/analise_setup.html 12/22
14/05/2021 analise de um sistema eleitoral eletrônico
Formas de fraude eletrônica de varejo e de origem interna sem abir a urna serão explicadas; mas
antes, cumpre relembrar que o detalhamento aqui oferecido não constitui denúncia de fraude no
sistema eleitoral brasileiro, muito menos incitação à fraude. Seu objetivo, a quem o queira
interpretar como denúncia, será somente sobre a inadequação do modelo obscurantista de
segurança adotado. Mesmo porque não se tem como fato, mas como hipótese, a origem do
exemplar do arquivo SETUP.BAT aqui analisado.
Em outras palavras, este detalhamento busca, unicamente, explicar de forma didática o porquê
dos conceitos de autoverificação e autocertificação serem totalmente inócuos para proteção geral
de sistemas informáticos que operam em circunstâncias onde o conluio seja uma possibilidade
teórica no modelo de confiança a ele adequado [19]. No caso, adequado pela ocorrência de mais
de dois interesses potencialmente conflitantes em cena. A saber, os interesses de pelo menos
dois partidos, concorrentes a um pleito, e os da Justiça Eleitoral, que executa esse pleito com tal
sistema e julga o resultado com seu poder de Justiça.
De volta aos exemplos didáticos, e sob o único intuito de explicar o sentido desta inadequação,
observe-se que todas as formas de ataque aqui descritas se devem ao mesmo equívoco
conceitual na modelagem da segurança, decorrente da dependência completa a mecanismos de
proteção que só servem para detectar falhas não intencionais ou intrusões por quem não detêm
direitos de acesso e conhecimento do sistema necessários para operá-lo. Decorrentes do
equívoco de se buscar proteção eficaz apenas contra as ameaças menos perigosas à lisura de um
pleito sufragado eletronicamente, as mais fáceis de serem neutralizadas.
Para indicar mais algumas dessas formas de ataque de origem interna, podemos começar, no
script, com o ponto de controle para ataques que requeiram alteração de dados da sessão
eleitoral de cada urna
REM VERIFICANDO INTEGRIDADE DOS ARQUIVOS ESPECIFICOS DA ELEICAO
ckpack c:\aplic\apl_elei.crc c:\aplic > nul
if errorlevel 1 goto eaplic
E o que permite ataques que requeiram alteração em componentes eletrônicos da urna, já que a
verificação de integridade da BIOS (Binary Input-Output system), também é controlada pelo
mesmo script (A BIOS é um programa de inicialização de hardware que vem embarcado em
chip removível e que controla o acionamento e a intercomunicação entre os diferentes
dispositivos eletrônicos de um computador tipo PC):
REM VERIFICA SE O BIOS ESTA PROTEGIDO
uecheck /J > nul
if errorlevel 1 goto bios_desprotegido
Outra forma de ataque muito simples consiste em adulterar a tabela de candidatos (excluindo um
candidato a vereador indesejável, por exemplo) ou a tabela de eleitores (incluindo ou retirando
eleitores). Como a verificação da integridade dos arquivos com estas tabelas também seria
controlado por comando no script do SETUP.BAT, com as mesmas falhas de segurança já
apontadas, torna-se fácil, a quem tem acesso legítimo à urna, perpetrar estes ataques (que não
modificariam o programa de votação e apuração, apenas a base de dados), manipulando os
comandos
REM CONTROLA A INTEGRIDADE DA BASE DE CANDIDATOS GERADO NA CARGA
ckpack c:\basedado\candidat.crc c:\basedado > nul
if errorlevel 1 goto ecandidat
REM CONTROLA A INTEGRIDADE DA BASE DE ELEITORES GERADO NA CARGA
ckpack c:\basedado\elelocal.crc c:\basedado > nul
if errorlevel 1 goto eeleitores
https://cic.unb.br/~rezende/trabs/analise_setup.html 13/22
14/05/2021 analise de um sistema eleitoral eletrônico
Com a inserção da diretiva “REM” à frente dos comandos “ckpack” ou dos comandos de desvio
(“if”), burlar-se-ia invisivelmente a verificação da integridade da base de dados da urna.
Também a verificação de integridade feita por outros programas da urna, como o próprio
programa de votação por exemplo, poderiam ser eventualmente burladas, por quem detivesse
acesso privilegiado na inseminação do software, conhecimento do segredo sobre o verdadeiro
sentido da inviolabilidade dos quatro lacres, ou do algoritmo de assinatura de "arquitetura
fechada". A do aplicativo de votação, por exemplo, como sugerido por Teixeira e Brunazo [11,
cap. 6.3].
O calcanhar de Aquiles da arquitetura de segurança que emerge do encaixe das peças em exame,
que são o script de inicialização analisado e as descrições oficiais do sistema eleitoral brasileiro
de 2000, está no fato de muitas autoverificações se darem com base na checagem da existência,
ou não, de arquivo com determinado nome em determinado dispositivo, independentemente do
seu conteúdo. Por exemplo, a decisão do script do SETUP.BAT de verificar os arquivos de teste
é tomada pela existência ou não de um arquivo com o nome de “eleicao” no diretório raiz:
if exist c:\eleicao goto bypassa_teste_integridade
ckpack c:\raiz2000.crc c:\ > nul
Para burlar verificações controladas por arquivos cujo único propósito é sinalizar um caminho
de execução ao sistema, bastaria renomear o arquivo apontado, não importa o seu conteúdo. Não
seria necessário nem que se adulterasse o script do SETUP.BAT. Além disso, o uso desses
arquivos pode servir de "esconderijo". Usados para abrigar programas embusteiros, chamados a
executar por algum comando introduzido nalgum script, como o do SETUP.BAT. Em momento
oportuno, e sem chamar a atenção pela existência de arquivos inesperados na flash-card interna.
Como o hipotético programa "Robin-Hood", do exemplo inicial.
Também os arquivos de log das urnas, que registram o uso das mesmas para efeito de posterior
auditoria, seriam passíveis de manipulação semelhante. Por exemplo, a seqüência que registra a
primeira operação da urna seria:
:faz_log_inicial
REM URNA FOI LIGADA
REM log 02 - A LIGADA JA É LOGADA NA SUBIDA DO PROPRIO DRIVER DE LOG
REM SE EH A PRIMEIRA VEZ QUE SOBE A URNA, FAZ LOG DE QUE OCORREU
CARGA COM SUCESSO
REM
if not exist c:\novo.sb goto JaLogouCarga
log 07
del c:\novo.sb
O comando “log 07” é que registra a mensagem de “carga com sucesso”. Comentar este
comando (colocar as letras REM no início da linha) faria o script seguir adiante sem que nada se
registre no arquivo de log. Aliás, tal adulteração poderia ser feita em qualquer ponto onde um
eventual registro de log se tornasse indesejável. Ou, ao contrário, poder-se-ia forçar no log o
registro de um evento que não se realizou. Nesta seqüência de comandos se vê, novamente, a
fragilidade em se decidir por um caminho do processo com base na existência de um arquivo.
No caso anterior, determinado “novo.sb”. Bastaria brincar de esconde-esconde como tal
arquivo, renomeando-o lá e cá, para que o comportamento do sistema, como registrado nos logs,
entre com Alice no país das maravilhas.
https://cic.unb.br/~rezende/trabs/analise_setup.html 14/22
14/05/2021 analise de um sistema eleitoral eletrônico
Em outras palavras o arquivo de log, como instrumento de auditoria das urnas eletrônicas, seria
ineficaz, visto que se poderia adulterar dinamicamente a sua função, via script do SETUP.BAT,
tornando-o uma peça ficcional. Todas estas fragilidades apontadas por uma breve análise do
script em exame facilitariam e viabilizariam inúmeras formas de ataque de origem interna ao
sistema eleitoral, e de rastros também facilmente apagáveis antes da divulgação dos resultados
fraudados. Possibilidades estas antes já sinalizadas, só que de forma mais hipotética em [11] e
[19], e solenemente ignoradas, talvez pelo caráter especulativo.
Mas a novidade agora nos permite melhor dosar especulação, observação e dedução. Com ela, a
segurança do eleitor interessado em opiniões e sistema equilibrados, aquelas quanto à seriedade,
e este quanto aos riscos dos agentes envolvidos, inclusive no tocante à competência para avaliar
riscos, e dentre riscos inclusive os de interesses privilegiadamente ocultos, apresenta-se como
potencialmente bem mais precária do que se podia antes especular. É que, no script de
inicialização em análise, arquivos sinalizadores são por vezes procurados em disquete. Como
por exemplo, na linha de comando:
if exist a:\disco9 goto ConsisteBaseCandidatos
fato que pode ter gerado uma das críticas do chamado relatório Unicamp, que assim corrobora a
plausibilidade de origem autêntica do script aqui analisado. A equipe contratada para produzir
tal relatório detectou que o sistema da urna eletrônica poderia ter seus arquivos trocados nos
flash-cards internos, a partir da colocação de disquetes devidamente preparados com um
determinado conjunto de arquivos. Por exemplo, a seqüência de procedimentos que dispara o
programa de votação do 1º turno é a seguinte:
Desta forma, quem tivesse acesso legítimo à urna eletrônica, entre a inseminação e o uso na
eleição, poderia facilmente alterar o conteúdo de qualquer programa e base de dados do flash-
card interno explorando a janela aberta por essa tosca verificação. Com um pequeno script em
disquete, idêntico em formato ao do SETUP.BAT, contendo comando para sobrescrever um ou
mais arquivos do flash-card interno por homônimos do disquete, junto com sua assinatura no
arquivo correspondente, também no mesmo disquete.
No caso do exemplo anterior, bastaria dar o nome instala.bat ao arquivo com este pequeno
script e ligar a urna com o disquete nela inserido, para se ter uma urna transformista. Tal
situação é precária porque esse tipo de janela -- emoldurada na greta para o disquete -- pode
levar a urna ao país das maravilhas mesmo com seu trinco fora do script de inicialização.
Com isso, a arquitetura de segurança que emerge do encaixe dos peças do material analisado
continuaria permitindo os mesmos ataques de origem interna, independente de onde estejam os
controles. Mesmo que esses passem para um programa executável compilado, por exemplo. A
medida "de segurança adicional" de impressão das assinatutas dos arquivos da urna, por
exemplo, mudaria apenas na forma de se obter a informação sobre como funciona o trinco da
janela de Alice, mas nada nas paisagens dos dois lados dessa janela. Janela pela qual poderia
passar um disquete tirado de um bolso sem crachá, por um terceirazado sem nome, sem vínculo
trabalhista com a Justiça, enquanto as urnas vão sendo inseminadas na ausência do juiz da Zona,
como na 1a. eleitoral de São Paulo em 2002, em seu próprio fórum.
https://cic.unb.br/~rezende/trabs/analise_setup.html 15/22
14/05/2021 analise de um sistema eleitoral eletrônico
Ressalte-se, novamente, que dentre as mudanças ocorridas desde 2000 visando eliminar
vulnerabilidades já antes sinalizadas, é de conhecimento público apenas uma. Apenas aquela
destinada a corrigir o sentido da garantia oferecida pelos lacres de papel adesivo, posicionados
entre as tampas e os chassis das nossas urnas eletrônicas. O que até aqui se revela, revela
também um grave equívoco que os técnicos da Unicamp poderiam ter cometido em seu
relatório, caso o arquivo de SETUP.BAT aqui analisado coincida, mesmo que só em
funcionalidade, com o que lhes foi dado analisar. O grave equívoco estaria na assertiva ali
lavrada, de que
Tal assertiva seria patentemente falsa com respeito ao arquivo SETUP.BAT. Através da análise
acima oferecida, fica claro como seria fácil, a quem tiver acesso legítimo à urna, eliminar a
citada detecção pela inserção de apenas oito letras no script, e com isso modificar qualquer dos
programas nela instalado, sem detecção. A verificação de integridade do sistema pode ser
facilmente neutralizada se, ao conceito de integridade, incluirmos o modo mais relevante para
sistemas com a missão social daquele analisado por profissionais da Unicamp. A saber, a
integridade relacionada à possível associação entre má-fé e abuso de poder, por parte de quem o
controla. Nessa assertiva, os autores do relatório omitem uma predicação essencial, do tipo "por
agentes que ignorem o script de inicialização" ou "por agentes que desconheçam os controles do
mecanismo de verificação", ao substantivo "qualquer modificação feita".
No contexto geral, a ambigüidade nas conclusões do referido relatório poderia se justificar pela
acriticidade. Por exemplo, argumentando-se que "algum arquivo" não pretendia significar
"qualquer arquivo", embora seja este o sentido que o contexto semântico da frase selecione, na
ausência de predicado à ação 'qualquer modificação feita' [15]. Mas não se justificaria
eticamente, pela importância social do sistema e pelas potenciais conseqüências de uma semiose
enganosa. Se a base ética do menosprezo aos riscos à integridade em modo citado, quer na
arquitetura de segurança do sistema, quer em avaliações oficiais tidas por independentes, for a
aristotélica -- a ética da virtude no caráter da autoridade --, na democracia esta ética só se realiza
pela transparência, estratégia oposta à obscurantista adotada, paradoxalmente à guisa da
necessidade de segurança.
Uma das contribuições adicionais que esta presente análise pode oferecer é a de colocar o
referido relatório em perspectiva. Para que não se lhe atribuam, em citações apressadas ou
desleixadas, mais do que a tarefa relatada em sua introdução se propôs a alcançar,
independentemente da linguagem imprecisa -- e nada científica -- que possa ser encontrada em
incautos arroubos e frouxidões semânticas ali lavradas, dedutivamente ou a título de conclusão.
Segurança é controle da proteção, e proteção não existe sem sujeito e predicado. Se estão
implíticos, como na introdução no relatório, isto não significa que sejam universais. Resumindo,
não se deve confundir segurança contra a fraude com segurança para a fraude, muito menos
induzir leigos a confundi-las.
https://cic.unb.br/~rezende/trabs/analise_setup.html 16/22
14/05/2021 analise de um sistema eleitoral eletrônico
Toda a análise acima se aplica às eleições de 2000 no Brasil, se a origem indicada no material
analisado for autêntica. Já nas eleições seguintes, de 2002, a empresa fornecedora do software
das urnas eletrônicas brasileiras foi a Unisys, que optou por manter o sistema VirtuOS em 350
mil urnas e adotar o sistema Windows CE em outras 50 mil urnas.
As fragilidades aqui apontadas dizem respeito ao sistema que teria sido produzido pela
Diebold/Procomp, não se aplicando diretamente às urnas com sistema operacional Windows CE
fornecidas pela Unisys. Mas poderiam, potencialmente, ainda ser aplicadas às 350 mil urnas que
vêm mantendo o sistema operacional VirtuOS e às outras, devido à arquitetura do sistema como
um todo. Como por exemplo, ataques de Alice-no-país-das-maravilhas com disquetes e arquivos
sinalizadores, por mãos terceirizadas que operam eleições cumprindo ordens. Nesse contexto,
antes que se sofisme sobre a desatualização do material em exame, como fez a Diebold na
grande mídia dos EUA, examinemos o que mais pode ser dito acerca de versões posteriores,
tendo em vista a última eleição já transcorrida no Brasil, em 2002.
Sabe-se que técnicos da COPPE foram contratados para produzir um relatório sobre o sistema
eleitoral brasileiro de 2002, mas não se tem notícias de sua publicação oficial. Como foi dito na
introdução, junto com o script aqui analisado foi também publicado um relatório cuja autoria
original é atribuída à Fundação COPPETEC, ligada à COPPE [6]. Este relatório aponta a baixa
qualidade e imaturidade no desenvolvimento do software eleitoral, que seria o brasileiro de
2002, predizendo que, daquela forma como fora desenvolvido, o comportamento do sistema
seria imprevisível. Esta afirmação, anonimamente atribuída à análise que a equipe da
COPPETEC teria feito sobre a documentação oficial do sistema brasileiro, foi corroborada por
fatos.
Nas eleições de 2002, devido aos inúmeros problemas apresentados no 1º Turno, incluindo um
momentâneo mergulho da apuração oficial do candidato Lula em território negativo (menos 41
mil votos), resolvido com o desliga-religa de computadores e explicações do seu presidente na
linha "foi erro de formatação e não se fala mais nisso", o TSE promoveu um reparo de
emergência nos programas entre o 1º e o 2º Turnos. Curiosamente, as alterações nas urnas
eletrônicas forma introduzidas pela via de duas das fragilidades contra fraudes internas aqui
apontadas: a possibilidade de alteração dos dados e programas pela simples inserção de um
disquete ou flash-card devidamente preparado, e a possibilidade de controle do arquivo de log
para registrar apenas os eventos desejados. Fato que ademais corrobora a plausibilidade da
origem autêntica do material aqui analisado (ainda bem que o sistema em questão não era o da
Venezuela!).
Mas mesmo não sendo o da Venezuela, pode-se entender que, também nas eleições de 2002,
havia graves falhas de segurança no nosso sistema. Não na segurança de quem o controla acima
do bem e do mal, mas na do eleitor interessado em opiniões e sistema isentos. Onde o risco de
detecção de conluio envolvendo operadores se equipare ao risco destes cometerem fraudes
impunemente. Apesar de algumas alterações terem sido feitas, como a resolução determinando a
colocação de um quinto lacre nas urnas, para inverter o sentido da efetiva garantia por eles
oferecida, e a adoção de mais um programa de autocertificação, para imprimir os valores das
assinaturas dos arquivos da urna, essas novas medidas têm efeito apenas cosmético na segurança
que poderia almejar o nosso hipotético eleitor.
A primeira, como já explicado. E a segunda (a impressão dos valores das assinaturas dos
arquivos da urna), para saber como burlá-la, basta notar a forma como ela é acionada. Se
novamente por Alice, pela presença em disquete quando a urna é ligada, de arquivo de programa
com um determinado nome, bastará a um eventual fraudador interno reescrever o programa que
imprime as assinaturas dos arquivos, fazendo-o imprimir não os valores que possam estar no
arquivo de assinaturas da urna, nem os de lá recalculados quando da verificação, nem ambos,
apenas os valores esperados por quem esteja "fiscalizando".
https://cic.unb.br/~rezende/trabs/analise_setup.html 17/22
14/05/2021 analise de um sistema eleitoral eletrônico
Como o disquete não é transparente nem translúcido, mas opaco, o fiscal só pode fiscalizar com
olhos crédulos aquilo que o programa escreve na tela ou na impressora da urna, sem poder tocar
em nada. O fiscal acredita que não pode tocar em nada por causa da segurança, achando que a
dele, mas sem saber porque. E como o fiscal não sabe, o programa cujo comportamento ele está
ali para observar poderia transmutar-se em programa Tudo-jóia. Rodando a partir do disquete
acionador do original, interceptando o comando que acionaria o original, Tudo-jóia mostraria o
que o fiscal possa interpretar com tranqüilidade: tudo jóia, no país das maravilhas eleitorais.
Para 2004, a Procomp/Diebold voltou a ser a fornecedora do software das urnas brasileiras e, até
o momento, nada indica que as falhas aqui apontadas foram ou serão corrigidas. Em especial a
falha de se ter no mesmo ambiente todos os dados de verificação da confiabilidade do sistema e
a própria ferramenta de verificação. Somente um estudo isento e independente sobre o que está
sendo desenvolvido no presente momento, poderia esclarecer tais dúvidas.
Porém tal meta, apesar de nobre, parece impossível de ser alcançada. Sob o atual regime
jurídico-institucional, a inspeção dos arquivos de programas do sistema, a título de fiscalização
permitida por lei, sempre foi e vem sendo possível apenas em condições absolutamente inócuas
à fiscalização eficaz de sistemas informáticos. Permitidas somente em ambiente computacional
totalmente controlado pelo fiscalizado, fora do ambiente de produção (o das eleições em si) e,
pior, sob o mais rigoroso compromisso de sigilo acerca das informações relativas ao objeto da
fiscalização. No mais, pode-se apenas observar o que dizem as resoluções, leis e processos, e
tentar compreender suas correlações. E estas, quanto mais convolutas, menos impactam o eleitor
leigo, quanto a eventuais falácias e ineficácias.
Podemos resumir esse drama com uma metáfora. A cada nova eleição, somos brindados com um
novo jogo de espelhos, se não mais sofisticado, mais complexo que o anterior. Seu mais
espetacular efeito é seguir entretendo a opinião pública ufanista e ingênua, enquanto o modelo
de confiança sobre o qual se construiu, se legisla, se julga e se opera nossa maravilha eleitoral
continua o mesmo. Um modelo que despreza o risco de conluio, por demais simplista em missão
social como a de um tal sistema, em regime institucional que se pretenda democrático. Se
continuar a evoluir nessa direção, em algum momento alguma dessas fantasias irá se esboroar.
6. Conclusões
Sustentadas as hipóteses de origem autêntica dos documentos analisados lá e cá, fornecidos pela
mesma empresa, foram encontradas inúmeras fragilidades nos seus sistemas de segurança que
permitiam, e que poderiam em tese ainda permitir, com grande facilidade a quem precisa
manipulá-lo, a execução de mecanismos destinados a desviar ou identificar votos. E o que é pior,
de forma também facilmente obscurecível a qualquer auditoria a posteriori.
A arquitetura de segurança do sistema eleitoral informatizado parece ter sido relegada, lá e cá, a
segundo plano, tratada antes como opção de projeto da alçada de empresas ou consultorias
contratadas para o seu desenvolvimento [19], ou a obscuros lobbies legislativos [17], do que
como tema político da mais alta sensibilidade e importância cívica, que precisa seguir seu
próprio curso. Cá, com o agravante do mais próximo resgate -- o processo de fiscalização
eleitoral -- vir sendo tratado como atividade lúdica, performance na qual uma cinderela chamada
opinião pública dança em fabuloso salão, lotado de belas teses hermenêuticas positivistas,
encerado com uma mistura pastosa de fobia e desdém pelo saber técnico como poder difuso.
https://cic.unb.br/~rezende/trabs/analise_setup.html 18/22
14/05/2021 analise de um sistema eleitoral eletrônico
Chamar a si, para delegar a poucos, tamanha responsabilidade pode ser um erro, pois, no poder,
aparência de má fé é contagiosa.
Contra este tipo de ameaça aos princípios democráticos, parece que os cidadãos norte-
americanos estão mais dispostos a se defenderem do que os nossos compatriotas, ainda
embriagados de ingênuo ufanismo por nossa "conquista tecnológica", ainda sem bem entender
quem nela é conquistador e quem é conquistado. Assim nos parece pelas notícias que nos
chegam. De lá, sobre a crescente mobilização popular contra o poder excessivo de quem fabrica
e/ou opera as novas caixas-pretas da cidadania. De cá, pela forma atabalhoada e canhestra como
foi aprovada a última lei eleitoral brasileira no Congresso Nacional, em 1/10/2003 [4, 17]. E
como esta lei vem sendo regulamentada e aceita, ademais agora que o grande líder desta luta
cívica entre nós se foi, homenageado póstumo desta singela contribuição à causa.
Leonel Brizola deve, porém, ser antes visto como exemplo de brio e digna tenacidade, do que
como nosso último bastião de vigilância cívico-democrática, tombado pela inexorabilidade da
morte. Morte irônica, já que o velório teve mais eleitores por ele chorando do que sua última
eleição os teve nele votando, para senador da República. É a mágica dessas urnas eletrônicas,
conquista tecnológica cantada em prosa e verso pela grande mídia, como na capa da revista Veja
de 16 de Outubro de 2002, reproduzida abaixo
Brizola nunca desistiu de lutar pela transparência dessa maravilha. Ele, o então senador Roberto
Requião e alguns brancaleontes, espicaçados como conspiracionistas retrógrados, lutaram e
conseguiram, com a ajuda do fugaz mal estar que o escândalo do painel do senado nos causou, a
aprovação da lei 10.408/02, introduzindo meios para recontagem de votos impressos,
https://cic.unb.br/~rezende/trabs/analise_setup.html 19/22
14/05/2021 analise de um sistema eleitoral eletrônico
E agora, onze meses depois da grotesca farsa democrática desse banimento, e dois meses de
enterrado quem chamou de fóssil político, esta mesma espécie circulante volta à carga. Até em
telejornais de campeã audiência, regurgitando diariamente irresponsáveis denúncias vazias de
"monstruosas fraudes", sem nenhum embaraço pela farsa da renúncia de Chávez orquestrada em
abril de 2002, ela agora insiste num sagrado direito democrático. Mas não nosso: o de abusados
perdedores em país vizinho, inconformados com uma surra diferencial de 17% em referendo
presidencial. Qual direito? O de fazerem auditoria do sistema eleitoral eletrônico, através da
recontagem dos votos impressos, lá disponíveis. Seria a firmeza das quatro patas brizolistas um
ato falho do inconsciente coletivo no artista gráfico da Veja, a denunciar tão deslavada e
nauseabunda hipocrisia?
Independente de suas últimas escolhas eleitorais terem sido boas ou más para o mundo, o povo
irmão norte-americano ainda tem lições de cidadania a dar, a uma sociedade globalizada pelo
cerco cada vez mais ubíquo e sinistro da aliança entre poder econômico e domínio tecnológico.
Aliança que coopta o poder político sob o véu de inevitabilidade com que o poder mitiático --
operado por essa espécie circulante -- hipocritamente lhe cobre, enquanto dela se nutre.
Lá, onde leis eleitorais são estaduais, vários estados vêm modificando as suas, de sorte a impor a
seus processos eleitorais mecanismos de recontagem por meio de registro material dos votos, no
rastro do escândalo dos softwares da Diebold e da última eleição presidencial, sob pressão de
grupos de cidadãos organizados contra o risco de fraudes eleitorais. Justamente lá, no tear dessa
tessitura de nova ideologia e nova religião, que é o absolutismo tecno-neoliberal. Sua
inevitabilidade, caros leitores, é apenas mais um véu sobre a face do destino humano. Pode
parecer maravilhoso, especialmente a Narcisos, mas é um véu que um dia cairá, para revelar o
próximo.
Descanse em paz, velho Briza! A firmeza de seu caráter sobrevive como ícone, nem que pelas
patas do poder.
Referências Bibliográficas
[1] – Rubin, Aviel D., Kohno, T.,Stubblefield, A. e Wallach, D. S., “Analysis of an Electronic
Voting System”. Consultado em 10 de janeiro de 2004 em: http://avirubin.com/vote.pdf
[3] – Schwartz, J., “High-Tech Voting System Is Banned in California” . New York
Times. Publicado em 01 de maio de 2004 em:
http://www.nytimes.com/2004/05/01/national/01VOTE.html
[4] – Rezende, P. A. D., “A Seita do Santo Byte”. Consultado em 20 de fevereiro de 2004 em:
http://www.cic.unb.br/~rezende/trabs/azeredo.htm
[5] – Seixas, I., Paglerani, R. B., Gonçalves, M. J. [?], “Setup.FI - Setup da urna usado para a
Eleição Oficial do Tribunal Superior Eleitoral". Setembro de 2000. Consultado em 01
de março de 2004 em: http://www.angelfire.com/journal2/tatawilson/ue2000.zip
[6] – Rocha, A. R. C., Travassos, G. H., Souza, G. S., Mafra, S. [?], “Relatório de Avaliação do
Software do TSE”. Fundação COPPETEC, COPPE/UFRJ, agosto de 2002. Consultado
https://cic.unb.br/~rezende/trabs/analise_setup.html 20/22
14/05/2021 analise de um sistema eleitoral eletrônico
[8] – Brunazo F., A., “A Segurança do Voto na Urna Eletrônica Brasileira” in Seminário de
Segurança em Informática, SSI’99, ITA. Anais... São José dos Campos, SP, Brasil,
1999. Disponível em: http://www.votoseguro.org/arquivos/SSI99int.zip
[10]– Graaf, J. V., Custódio, R. F., “Tecnologia Eleitoral e a Urna Eletrônica”. Sociedade
Brasileira de Computação. 2002. Disponível em:
http://www.sbc.org.br/ArquivosComunicacao/TSE.pdf
[12]– Rego, C. A., “Auditoria de Sistemas Eleitorais – O Caso Sto. Estevão ”. Fórum do Voto
Eletrônico. Consultado em 10 de março de 2004 em:
http://www.votoseguro.org/textos/stoestevao1.htm
[13] – Brunazo F., A., “O Relatório TSE-FUNCAMP - Um Laudo, Duas Conclusões”. Fórum do
Voto Eletrônico. Disponível em:
http://www.votoseguro.org/textos/relfuncamp1.htm#1.4
[14] – Brunazo F., A., “Critérios para Avaliação da Segurança do Voto Eletrônico” in Workshop
em Segurança de Sistemas Computacionais, Wseg'2001, UFSC. Anais... Florianópolis,
SC, Brasil, 2001. Disponível em: http://www.votoseguro.org/arquivos/Wseg2001.zip
[15]- Rezende, Pedro A. D. "Análise do relatório Unicamp"
http://www.cic.unb.br/~rezende/trabs/relunicamp.htm
[17] – Brunazo F., A., “Lei do Voto Eletrônico” revista eletrônica Consultor Jurídico,
17/12/2001. Acessado em http://www.cic.unb.br/~rezende/trabs/e-voto.htm.
[18] – Rezende, P. A. D., Brunazo F., A., e outros “Burla Eletrônica”. Livro Eletrônico sobre
experiências fiscalizatórias com o sistema eleitoral eletrônico brasileiro. Disponível em:
http://www.cic.unb.br/~rezende/trabs/BurlaEletronica.pdf
http://www.cic.unb.br/~rezende/trabs/entrevistaJCBSB.htm
[21]- Teixeira, M. C. et alli. “Parecer sobre o Laudo Técnico da Perícia das urnas Eletrônicas
de Camaçari - 2000”. Partido Popular Socialista, Processo n.º 41/01 da 171ª Zona Eleitoral da
Bahia. Disponível em: http://www.votoseguro.org/textos/camacari2.htm
Direitos autorais
Este artigo é distribuido sob a licença copyleft publicada em
http://www.gnu.org/licenses/fdl.pt.html:
Livre para republicação resguardadas a integridade e autoria, e vedadas quaisquer restrição alem
desta, em republicações
https://cic.unb.br/~rezende/trabs/analise_setup.html 22/22