Saltar para: Posts [1], Pesquisa [2]

Jonasnuts

Jonasnuts

Voto eletrónico? Não, obrigada.

Jonasnuts, 26.06.24

pexels-tara-winstead-8850706.jpg

 

Na sequência da desmaterialização dos cadernos eleitorais nas últimas eleições europeias (escrevi sobre isso aqui, aqui, e aqui - tudo auto-links), e como seria de esperar, ouviram-se algumas vozes falar em voto eletrónico.

 

Na altura pensei em escrever um post a explicar porque é que, sendo a favor da desmaterialização dos cadernos eleitorais (melhorando o processo e tornando-o mais seguro e menos vulnerável), sou VIOLENTAMENTE contra o voto eletrónico.

Reparem, voto eletrónico nem sequer diz respeito ao voto pela internet, a partir do dispositivo de cada um, voto eletrónico é a ausência de papel, e o registo exclusivamente digital do voto dos cidadãos.

De acordo com a constituição portuguesa, "O povo exerce o poder político através do sufrágio universal, igual, direto, secreto,......."

Portanto, esta coisa de ter de ser secreto, universal e igual, arruma logo com o voto por internet.

 

Vamos ao voto eletrónico. Aquele em que as pessoas se deslocam à assembleia de voto e têm, em vez de caneta e papel, uma maquineta, onde registam o seu voto.

 

O atual sistema de voto, existe há milhares de anos. O primeiro registo é da Grécia antiga. Não era universal, não era igual, mas era secreto. As pessoas registavam fisicamente a sua intenção, fosse numa folha, num bocado de argila ou, como atualmente, num papel. Há uma manifestação física do voto de cada pessoa. Ora, um sistema que existe há milhares de anos, e que tem vindo a evoluir ao longo do tempo, tem a enorme vantagem de já ter sido testado milhões de vezes. E já muita gente terá pensado e tentado furar o esquema. Já foram tentados todos os tipos de fraude. E o sistema evoluiu, para mitigar essas fraudes. E já se percebeu há muito tempo, que para haver impacto, a sério, no atual sistema, é preciso que haja muita, muita gente envolvida e, como sabemos, o único segredo que se consegue guardar é aquele que não partilhamos com ninguém. Muita gente a saber de uma fraude, porque vai participar nela, ou porque o tio, ou a namorada, ou whatever, significa que a coisa não tem pernas para andar, porque rapidamente se identifica a tentativa de fraude.

Não estou a falar do presidente da junta que, de cabeça perdida porque o seu partido está em clara desvantagem nas sondagens, decide meter meia dúzia de votos na urna. Isso não tem impacto (além de que precisa da cumplicidade duma série de gente). Essas são fraudes locais, com nenhum impacto no resultado final e que, mesmo assim, vêm a lume e são investigadas.

 

Fraude a sério, com capacidade para virar o resultado de umas eleições, com o atual sistema, é impossível.

O que é bom.

Outra vantagem do atual sistema é o facto de ser simples, compreensível e acessível a todas as pessoas, independentemente do seu background, grau de instrução, cultura ou conhecimento. Toda a gente percebe como funciona e qualquer palerma, mesmo com pouco recursos intelectuais, consegue auditar o processo, ou perceber se existe algum problema.

Convém também que o processo seja seguro, e que essa segurança seja percetível e palpável por todos. A confiança no sistema de voto é fundamental. Não é à toa que os partidos anti democráticos clamem por fraude por dá cá aquela palha (sem link que não dou palco a porcos). O atual sistema é seguro e inspira confiança, precisamente porque toda a gente percebe como funciona.

Policiamento e auditoria. Num processo em que confiamos, é preciso desconfiar de tudo, por isso é que o voto é secreto, para não ser manipulável de fora, sujeito a pressões e subornos. É a pessoa, sozinha, numa cabine de voto, com uma caneta, vota, dobra o boletim e insere na urna, que está sempre vigiada por várias pessoas diferentes e de diferentes cores políticas. Este processo é fácil de auditar, e policiamo-nos todos uns aos outros. E bem. Este policiamento de todos por todos acontece também no momento da contagem e da elaboração da ata.

(Há países onde o suborno funciona especialmente bem, como em Itália, onde existe quem pague por voto num determinado partido, mediante fotografia do boletim de voto devidamente assinalado, o que, como sabemos não serve de nada, porque as pessoas podem perfeitamente tirar a foto, anular o voto e pedir outro boletim. Já se o fazem, são outros quinhentos).

E há também o Bulgarian Train. Mas, lá está, a coisa acaba por se saber, além de que é preciso ter MUITO dinheiro.

Portanto, atual sistema, funciona, inspira confiança, manipulado com muita dificuldade, seguro, simples e funciona.

 

Vamos então ao voto eletrónico, e a minha pergunta começa por ser, para quê? Se temos um sistema que funciona, que é simples, seguro e de confiança, vamos substituí-lo porquê? Se não existe um problema para resolver, porquê mudar?

As respostas que obtenho, habitualmente, são duas. As questões ambientais, por causa do papel, e as questões da rapidez na obtenção do resultado. Sou sensível à primeira, de facto. Gostava que se gastasse menos papel. Mas, antes de tentarmos eliminar os boletins de voto por motivos ambientais, temos muito que fazer nessa área, portanto, chutemos essa questão lá mais para a frente.

Já quanto à segunda, o tempo de espera pelos resultados, até consigo compreender quando se trata de países gigantes, quase continentais. Se umas eleições em Portugal são um evento com uma logística desafiante, num país grande, a coisa é muitíssimo mais exigente e complexa. Mas em Portugal? Somos meia dúzia de gatos pingados, ainda por cima votamos cada vez menos, os resultados sabem-se no mesmo dia, o mais tardar no dia seguinte. Lá está, mais um problema que não precisa de ser resolvido.

Mas a minha objeção não passa pelo facto do atual sistema não precisar de ser mudado, nem apresentar nenhum problema que precise de ser resolvido.

 

O meu problema tem a ver com tudo o resto.

A começar pelo equipamento e respetivo software (idealmente software livre, que sempre é mais auditável, mas na maioria dos casos, software proprietário, em que a quantidade de gente que consegue auditar se resume e meia dúzia de pessoas). Quem assegura que não está vulnerável e comprometido? Não é qualquer pessoa, ao contrário do método atual, é preciso competências técnicas que estão muito longe do cidadão comum. Portanto, passamos de um esquema em que a auditoria é global, simples e acessível a qualquer pessoa, para um sistema em que a auditoria está ao alcance de apenas alguns. É logo um mau ponto de partida. Logicamente, mina a confiança.

E, mesmo que não estejam vulneráveis nem comprometidos hoje, o que é que me garante que não venham a estar amanhã, depois de uma atualização disto, ou daquilo?

A segurança dos equipamentos e das estruturas é uma ilusão. Qualquer pessoa que trabalhe na área da segurança informática, confirma isto. Há sistemas mais protegidos, há sistemas menos protegidos, mas não há sistemas invioláveis ou seguros a 100%. É o jogo do gato e do rato. Uns protegem, outros tentam furar. E os que protegem vão criando mais proteções, à medida que se vão identificando novas vulnerabilidades. E os que furam, vão continuando a tentar furar. É assim que funciona e é uma indústria de trilhões de euros (ou dólares, como preferirem).

A logística que o voto em papel apresenta a quem quer cometer uma fraude, é diametralmente oposta à logística de quem quer cometer fraude com voto digital. Se em papel precisamos de muita gente para causar, mesmo assim, pouco impacto e acaba sempre por se saber, com o voto digital é precisamente o contrário, pouca gente pode conseguir causar um grande impacto, e sem nunca se saber, porque não precisam, sequer, de estar no mesmo país onde decorrem as eleições que querem falsificar. Mínimo esforço, máximo impacto. Entram e saem, e o pessoal nem se apercebe de nada.

Contar os votos, em papel, é fácil. Facílimo. Já o fiz por duas vezes, em legislativas. Pode existir a dúvida pontual de "isto é válido?" mas é a clara exceção, e toda a gente vê, e toda a gente conta e confirma o número de votos de cada partido, e o número de boletins tem de coincidir com o número de eleitores cujo voto foi registado nos cadernos eleitorais.  Contar votos digitais é diferente. A máquina cospe um número, e a malta tem de engolir o número que a máquina cospe, sem qualquer possibilidade de validação ou dupla confirmação. Neste, como noutro casos, não engulas, cospe.

 

Já houve um teste com voto eletrónico em Portugal. Na altura passou-me ao lado. Foi em Évora, nas europeias de 2019. O relatório do MAI sobre a coisa pode ser visto aqui, mas tenho mais confiança no parecer da CNPD que foi demolidor. Tenho mais confiança na CNPD que, ao longo dos anos tem vindo a ser cada vez mais desautorizada (por ser incómoda), do que nos gajos do MAI que, de acordo com o seu próprio comunicado, pré-agendam uma atualização de segurança ao sistema não só para o dia das eleições, mas para o horário em que se esperava um pico de afluência às urnas. Não inspira grande confiança nem para a desmaterialização dos cadernos eleitorais, quanto mais para o voto eletrónico.

 

Portanto, para concluir, que isto já vai longo (parece que agora só consigo escrever testamentos), deixo-vos com dois vídeos, em inglês, de um gajo que apesar de um bocadinho acelerado demais para o meu gosto, explica mais e mais profundamente os motivos dele, que são basicamente, os mesmos que os meus. Aqui, e aqui.

 

Voto eletrónico não resolve nenhum problema, não é seguro, não é confiável, não é universalmente auditável, não é desejável.

Eleições europeias - Relatório final

Jonasnuts, 12.06.24

eleiçõeseuropeias.png 

Não venho falar de resultados eleitorais. Sobre isso, o que tenho a dizer é que precisamos de fazer mais e melhor.

Venho falar das alterações aos processos habituais de voto. Já tinha falado disso aqui, e aqui (tudo auto-links), e queria partilhar agora a experiência final.

Não quis escrever a quente. Deixar passar uns dias, refletir, ponderar, dar espaço para que se instalasse alguma capacidade de relativização.

Relativizar, porque foi a primeira vez que se experimentou esta coisa da desmaterialização dos cadernos eleitorais. Seria expectável e natural que existissem erros, arestas a limar. Estas eleições serviriam para identificar pontos de melhoria.

Mas há mínimos, não é?

Já referi os problemas de comunicação e a ausência de informação, algum atabalhoamento, soluços, a falta de centralização tem dessas coisas, nãos nos esqueçamos, e trata-se de um processo exigente.  Mas, se os problemas tivessem sido apenas estes, estaríamos muitíssimo bem servidos. Tudo questões fáceis de resolver. Haja vontade.

Reparem, para 90% dos (poucos) eleitores que foram às urnas, a experiência foi positiva, mais rápida, pelo menos.

Para os (pouquíssimos) eleitores que foram ali na hora de pico (na minha mesa foi um bocadinho antes da hora de almoço - fim da manhã), a experiência já foi diferente, com tempos de espera ali na casa da meia hora. Porquê? Só posso supor, mas tendo em conta a minha experiência, é aquilo a que os estrangeiros chamam um educated guess. A rede não estava dimensionada para picos de pedidos. Atascava e demorava a responder, o que fazia com que a aplicação borregasse e obrigasse à intervenção dos Técnicos de Apoio Informático que, fazendo uso de todas as horas de formação, aliadas às suas competências pessoais, optavam por um "long press" para desligar, aguardavam uns momentos, e premiam de novo o botão (premiam, não pressionavam), para reiniciar a máquina. 

Tomem nota, atascar e borregar são termos altamente técnicos.

Eu fiz restart às "minhas" máquinas pelo menos uma dúzia de vezes.
Nas outras três mesas que estavam no mesmo sítio que a minha, a experiência não andou longe.

A confirmar-se este educated guess, a rede atascou em hora de pico, numas eleições que tiveram 70% de abstenção. Numas eleições um bocadinho mais concorridas, as presidenciais, por exemplo (abstenção de 60%, nas últimas), nem quero imaginar como seria. Os tempos de espera teriam sido substancialmente superiores aos do analógico. Longe de reunir condições mínimas.

Este foi o ponto de que alguns eleitores se aperceberam. Há depois os bastidores, as coisas de que se apercebe apenas quem participou no processo.

 

Comecemos pela segurança. Avancemos com um disclaimer: eu não sou especialista em segurança. O que sei de segurança destas coisas aprendi por privar de muito perto e por trabalhar com equipas de gente muitíssimo competente nesta matéria, e por eles terem tido a paciência de me explicar coisas e de responder às minhas dúvidas e perguntas. Posto isto, não me parece grande ideia, do ponto de vista da segurança, que os usernames dos membros das mesas fossem públicos. 

As credenciais foram entregues num envelope fechado, muito semelhante ao usado pelo bancos para nos enviar o pin (sendo que o banco não manda user e pin no mesmo envelope, mas pronto). Mas o username dos membros da mesa obedecia a características que o tornam público. Um conjunto de letras e números constituídos por XX – Região | Continente, YY – Distrito | País, WW – Concelho | Consulado, ZZ – Freguesia | Posto Consular, U – Perfil do utilizador (1 presidente, 2 vice presidente, 3 secretário, 4 e 5 escrutinadores) e 000 – Secção de Voto.

De repente, um dado que se quer, no mínimo discreto, é público. Não me parece grande ideia.

Sobretudo quando a password (ou pin, ou palavra-chave, ou senha, dependendo do documento consultado) e constituída por apenas 6 dígitos numéricos. Não há cá aqueles requisitos de segurança que até as redes sociais nos colocam...... caixa alta, caixa baixa, letras, números, símbolos, mais do que 10 carateres. É preciso para o Instagram, mas para o Ministério da Administração Interna, nem por isso.

Podem dizer-me (que disseram), ah, passwords complicadas depois as pessoas demoram muito a digitar e perde-se tempo, e é verdade. Mas se nos queixamos tanto da falta de literacia digital das pessoas, e o desconhecimentos sobre conceitos básicos de segurança é uma das primeiras queixas, ter o MAI a dar este exemplo, não me parece nem boa ideia nem pedagógico.

Também me podem dizer, que disseram, que não se faz nada com estes dados, que não se consegue fazer nada com estes dados a não ser abrir a mesa, fechar a mesa, suspender a mesa, fazer pesquisas à base de dados, consultar relatórios, dar entrada a eleitores e concluir o processo de votação (mesmo assim parece-me muita coisa), e eu respondo, se não se faz nada com estes dados, eles não são propriamente necessários, e escusavam de ter gastado um dinheirão com os envelopes dos usernames (ou user, ou utilizador ou login, é à vontade do freguês).

 

Por último, a equipa de apoio ao TAI. Os Técnicos de Apoio Informático tinham acesso a uma linha (um 800 qualquer coisa, qualquer coisa) de apoio técnico, que deveriam contactar sempre que tivessem problemas técnicos.

O trabalho dos TAI não era difícil ou complexo. Chegar às 6 da manhã, montar o equipamento e assegurar que estava ligado, dar apoio à equipa da mesa com dúvidas técnicas que pudessem existir sem nunca poderem olhar para o monitor ou ter acesso ao sistema (e bem), fazer reset às máquinas sempre que surgisse algum problema, desmontar e arrumar o equipamento assim que a presidente da mesa desse indicação de que já não seria necessário. Para além disso, tinham apenas uma outra função, reportar afluência.

Para o efeito, era necessário descarregar uma app (do MAI, em versão android e iOS), sincronizá-la com a mesa, através da leitura de um QR Code, e de 15 em 15 minutos, reportar.

IMG_1586.jpg

Não são muitas as opções, bem sei, e acabou por ser diferente daquilo que nos tinham dito na formação, mas pronto. Seja como for, foi já esta versão que testei, sem problemas de maior, no dia dos ensaios, a 1 de junho.

Ora, eu tive problemas de sincronização da app, no dia das eleições. A presidente gerava o código, eu lia o código e recebia uma mensagem de erro.

IMG_1583.PNG 

Primeiro descartamos os problemas óbvios, não é?

Deixa lá ver se é a última versão da app. É.

Desinstala e volta a instalar. Nada.

Experimenta só depois da mesa abrir. Népia (outro termo técnico).

Pessoal à minha volta sem problemas, mas tudo android. 

Ligo para o número. 

Tenho dúvidas de que a senhora que me atendeu tenha, sequer, percebido o que lhe estava a dizer. Tendo em conta que me mandou verificar se o equipamento estava bem ligado à corrente, creio que não chegou lá. Expliquei mais devagar que o meu problema era de sincronização da app, app do telemóvel. Também me perguntou se eu tinha a certeza de que tinha instalado a versão iOS ou se não me tinha enganado e instalado a versão Android. Suspirei. Calmamente expliquei. Esperei um bocadinho para que pudesse falar com a supervisão e veio a resposta. Uma resposta digna de um (mau) contact center: isso não é neste número, é no número de apoio aos membros da mesa. Ainda tentei explicar que os membros da mesa não tinham nada a ver com isto e, em cima disso, os meus dados de autenticação não deixavam, sequer, que eu chegasse ao IVR no número de apoio aos membros da mesa (e bem). Mas dali não saiu e eu, vendo que estava a perder o meu tempo (e o dela), agradeci muito e desliguei.

Por descargo de consciência, ainda tentei o 800 dos membros da mesa, apenas para confirmar a minha suspeição de que não passava do pedido de autenticação e que as minhas credenciais não serviam.

Recorro à TAI da mesa do lado, que teve acesso a mais documentação do que eu (no site do MAI, num sítio onde as minhas credenciais não me deixavam aceder), e havia um número de telefone específico para problemas com a app o 21 394 71 00. Fui muito bem atendida, por uma senhora simpatiquíssima, que de app, percebia boi (mais um termo técnico). Nem sequer sabia que o número a que estava a dar resposta estava identificado nos manuais dos TAI e não me conseguia ajudar. Que eu devia ligar para o número de apoio aos TAI. Expliquei que já tinha experimentado. Estava chocadíssima por me terem mandado para o número da mesa, que não, quer era o número dos TAI.

Lá vou eu outra vez. Número dos TAI. A pessoa que me atende é diferente, a resposta é a mesma. Explico que não passo sequer da autenticação e dizem-me que tenho de pedir a um membro da mesa para ligar para o número de apoio ao processo de contingência (nada como os portugueses, para tentarem dar a volta aos esquemas). Tento explicar o ridículo da situação, de ter um membro da mesa a ligar para o número de contingência, para tratar de uma dificuldade técnica da TAI. Debalde.

Acabei por, através da metodologia infalível da tentativa e erro, desinstala e volta a instalar, descobrir o problema e resolvê-lo (a app precisava de mais permissões de geolocalização do que as que eu estava a dar - eu estava a autorizar uma vez, e a app precisa de ter acesso sempre - o que é estúpido, porque um TAI não pode mudar de mesa). Ainda desenrasquei mais dois iOS users da mesma escola onde eu estava.

Os requisitos para se ser TAI não eram muitos (12º ano e informática do ponto de vista do utilizador), pensar-se-ia que, com esta limitação de competências dos TAI, tivessem investido nas competências de quem lhes daria apoio, que soubessem, pelo menos, perceber problemas e apresentar potenciais soluções, ou ter uns scripts de jeito. Da minha experiência..... nota máxima na simpatia, nota mínima no que era mais importante.

 

O sistema não foi amplamente testado, é a ideia com que fico. 

Toda a gente que trabalha nesta área, sobretudo se trabalha para um número grande de potenciais utilizadores, sabe que, quanto maior for o número de testers diferentes e que não pertençam à equipa de desenvolvimento/produto, melhor. 

Há falhas que se perdoam por não serem óbvias, por apenas percebermos que são falhas depois de acontecerem, por serem difíceis de identificar sem que o sistema esteja em produção. Deparei com muitas, destas, ao longo da minha vida. Claro que também me deparei com falhas que poderiam ter sido evitadas, que isto só não falha quem não faz.

Mas, para umas eleições, os requisitos têm de ser mais exigentes do que os de um serviço que aloja homepages, nos anos 90. E não me parece que tenham sido. Não na proporção em que acho que deveriam ter sido.

Resta-me esperar que os senhores do MAI (e das câmaras, mas sobretudo do MAI) tenham estado atentos, e que tenham agora um formulário para enviar aos TAI a pedir feedback, senão a todos, pelo menos aos que contactaram com as linhas de apoio, e aos que reiniciaram o sistema mais do que X vezes. 

 

Foram cometidos muitos erros (uns mais evitáveis que outros). Ao menos que aprendamos com eles.

 

Seja como for, quando vierem falar em voto eletrónico, estas eleições são um bom argumento contra (sou violentamente contra o voto eletrónico), se nem a porra dos cadernos eleitorais conseguem desmaterializar, quanto mais meterem-se em voos altos de votação eletrónica.

 

(Ai valha-me deus, que isto saiu um testamento...... Alguém chegou aqui ao fundo?)

Para mostrar à miudagem miúda

Jonasnuts, 03.05.24

Este spot tem uns anos valentes. É de 2017. Na altura fartou-se de ganhar prémios.

Continua relevante. Continua atual. Continua imprescindível.

Para mostrar à miudagem. 
Quando? 

Costuma ser a pergunta que me fazem, nestas coisas.

Assim que passarem a ter telemóvel próprio. Ah, mas só tem 8 anos. 
Das duas, uma; ou não tem telemóvel, ou, se tem, precisa de estar informada (a criança) dos riscos que corre, de como se deve proteger, de como evitar e do que fazer se achar que está numa situação em que não se sente confortável.

Não podemos ter sol na eira e chuva no nabal. E os miúdos também não.

Ah, mas assim vai-se a inocência.

A inocência vai-se no momento em que lhes colocamos um telemóvel na mão. Os predadores estão onde estão as crianças. A justificação "ah, mas ela usa aquilo só para o tiktok" não colhe, ou vocês acham que no tiktok só há anjinhos? 

Quanto mais informadas, mais seguras. 

Segurança online

Jonasnuts, 04.07.16

Quem me conhece, seja irl seja virtualmente, sabe que sou ligeiramente fundamentalista no que diz respeito à segurança e à privacidade (as duas são íntimas).

 

Ainda na semana passada fiz uma cena por causa de um mail com demasiadas pessoas em cc. A grande maioria das pessoas não me percebe e acham que eu sou maluquinha, o que, não sendo genericamente falso, neste caso em particular, não se aplica.

 

Sou até moderada. Se eu fosse fundamentalista da segurança e da privacidade não tinha conta em redes sociais (e tenho em praticamente todas, mesmo que não as use assiduamente), só usava browsers em modo privado, usava contas provisórias de mail para me registar em cenas, e só pagava com cartões de crédito virtuais. Ou não me ligava, pura e simplesmente.

 

Mas a segurança e a privacidade são temas que me interessam. Quer do ponto de vista pessoal quer do ponto de vista profissional. Tenho a "meu" cargo dados pessoais de muitos utilizadores, de quem considero ser fiel depositária duma série de dados pessoais cuja segurança e, consequentemente privacidade, está sob a minha guarda. Levo muito a sério, esse papel de fiel depositária.

 

Não há cá consultas ad hoc a bases de dados, não há informações pela porta do cavalo, não há jeitinhos, não há cunhas. E já estive nessa posição mais vezes do que aquelas que gostaria. 

 

Irrita-me solenemente a utilização abusiva dos meus mails. Tenho uma embirração de estimação pela DECO à conta disso mesmo. 

 

Preocupam-me MUITO as tentativas que vêm de todos os sectores, de centralização de informação (só tive cartão de cidadão quando fui mesmo obrigada a isso, este ano, porque já não dava para ter por mais tempo o meu bilhete de identidade), ou a tentativas de fazer bypass à segurança que as empresas adoptam para manter privados os dados dos utilizadores. Acho vergonhoso o que, impunemente, a NSA andou e anda a fazer, e o Edward Snowden é um herói recente da minha parca lista de heróis.

 

Preocupam-me muito mais estas coisas do que os hackers e afins.

 

Aceitei, por isso, o convite que a Siemens me fez para participar na #SiemensTalks. Tem tudo a ver comigo, porque é um debate sobre segurança, e porque decorrerá no Twitter que, como se sabe, é A rede social :)

 

É hoje, a partir das cinco da tarde. Apareçam. Não têm de sair de onde estão.

 

O programa completo e mais contexto, aqui.