Tradução do artigo Security Vulnerability in ESS ExpressVote Touchscreen Voting Computer, de Bruce Schneier publicado no site Schneier on Security.

É claro que a urna eletrônica ExpressVote da ESS  tem muitas falhas de segurança (NT: no original, security vulnerabilities). É um computador, e computadores têm muitas falhas de segurança. Essa falha específica é particularmente interessante porque é o resultado de um erro no processo de projeto. Os projetistas não pensaram na segurança e o resultado foi um registro em papel para auditoria do voto que não dá a segurança que promete.

Eis os detalhes [do artigo de Andrew Appel]:

Além disso, há uma opção ainda pior do que “DRE with paper trail”; eu a chamo de opção “se estiver OK, pressione esse botão para que a urna fraude o seu voto”. O maior fornecedor do país de urnas eletrônicas, a ES&S, tem uma linha de urnas eletrônicas chamada ExpressVote. Algumas dessas urnas são scanners óticos (que são bons) e outras que são máquinas “combinadas” – basicamente a junção de um scanner ótico com um dispositivo de impressão do voto (NT: ballot-marking device).

Esse vídeo mostra uma demonstração das telas de toque multifuncionais ExpressVote adquiridas pelo Condado de Johnson, no Kansas. O eleitor leva uma cédula de votação em branco até a urna, a insire numa abertura e escolhe os candidatos. Em seguida, a urna imprime as escolhas do eleitor na cédula em branco para que o eleitor a verifique. Se estiver satisfeito, o eleitor insere a cédula de volta na abertura, onde é contabilizada (e jogada em uma urna lacrada para possível recontagem ou auditoria).

Até aqui, parece tudo certo, exceto que o processo é um tanto moroso e não totalmente intuitivo (veja você mesmo no vídeo). E, ainda, sofre dos problemas que eu citei acima: o eleitor pode não rever com cuidado todas as escolhas, especialmente em disputas por cargos mais baixos; os condados precisam comprar uma quantidade de urnas eletrônicas muito maior já que os eleitores as ocupam por muito tempo (ao contrário de cédulas de escaneamento ótico em que os eleitores usam  uma cabine de votação de papelão barata).

Mas eis a característica surpreendentemente ruim: “A nossa versão tem uma opção para ambos os procedimentos” disse Ronnie Metsker [Comissário Eleitoral do Condado de Johnson]. “Nós instruímos os eleitores para imprimir os seus votos para que possam verificar as cédulas impressas mas eles não são obrigados a fazer isso. Se eles quiserem pressionar o botão ‘cast ballot’ (NT: “confirmar voto”), o voto será computado, mas se eles fizerem isso eles estão fazendo com pleno conhecimento de que não verão a cédula de voto; em vez disso, ela será computada, escaneada, tabulada e depositada na urna de votação lacrada atrás da máquina”. [TYT Investigates, artigo de Jennifer Cohn, 6 de setembro de 2018]

Assim, é fácil para uma urna eletrônica hackeada ser fraudada de forma indetectável! Tudo o que o programa de contagem de votos fraudulento tem que fazer é aguardar até que o eleitor escolha entre “cast ballot without inspecting” e “inspect ballot before casting” (NT: “confirmar voto sem verificar” e “verificar o voto antes de confirmar”). Escolher a segunda opção significa “não fraude esse voto”. Escolher a primeira significa “mude os votos à vontade, e imprima os votos fraudados na céula em papel, sabendo que o eleitor já abriu mão do direito de verificá-lo“.

Um registro em papel para auditoria do voto não requer que cada um dos eleitores verifique o voto impresso. Mas requer que cada eleitor seja capaz de verificar o voto impresso. Fico continuamente espantado como o quão ruins são as urnas eletrônicas. Sim, elas são computadores. Mas também parecem ser projetadas por pessoas que não entendem de segurança de computadores (ou de segurança alguma).

***