Wednesday, October 8, 2014

Schneier on Security - The Problem with Electronic Voting Machines


ENGLISH
PORTUGUÊS
Schneier on Security
Schneier on Security
The Problem with Electronic Voting Machines
O Problema das Máquinas Eletrônicas de Votação
Posted on November 10, 2004 at 9:15 AM
Afixado em 10 de novembro de 2004 às 9:15 hs
In the aftermath of the U.S.’s 2004 election, electronic voting machines are again in the news. Computerized machines lost votes, subtracted votes instead of adding them, and doubled votes. Because many of these machines have no paper audit trails, a large number of votes will never be counted. And while it is unlikely that deliberate voting-machine fraud changed the result of the presidential election, the Internet is buzzing with rumors and allegations of fraud in a number of different jurisdictions and races. It is still too early to tell if any of these problems affected any individual elections. Over the next several weeks we'll see whether any of the information crystallizes into something significant.
Na esteira da eleição de 2004 nos Estados Unidos, as máquinas eletrônicas de votação de novo estão no noticiário. Máquinas computarizadas perderam votos, subtraíram votos em vez de somá-los, e duplicaram votos. Pelo fato de muitas dessas máquinas não terem pistas adequadas para auditoria, grande número de votos nunca será contado. E embora seja improvável que fraude deliberada de máquina de votação tenha modificado o resultado da eleição para presidente, a Internet está divulgando rumores e alegações de fraude em diversas jurisdições e competições. É ainda cedo demais para dizer se quaisquer desses problemas afetaram quaisquer eleições específicas. No decorrer das diversas próximas semanas veremos se quaisquer informações cristalizar-se-ão em algo relevante.
The U.S has been here before. After 2000, voting machine problems made international headlines. The government appropriated money to fix the problems nationwide. Unfortunately, electronic voting machines -- although presented as the solution -- have largely made the problem worse. This doesn’t mean that these machines should be abandoned, but they need to be designed to increase both their accuracy, and peoples’ trust in their accuracy. This is difficult, but not impossible.
Isso já aconteceu antes nos Estados Unidos. Depois de 2000, problemas com máquinas de votação fizeram manchetes internacionais. O governo apropriou dinheiro para consertar os problemas em todo o país. Infelizmente, as máquinas eletrônicas de votação -- embora apresentadas como sendo a solução -- têm, em grande parte, tornado o problema pior. Isso não significa que essas máquinas devam ser abandonadas, mas elas precisam ser projetadas para aumentar tanto sua precisão quanto a confiança do povo em sua precisão. Isso é difícil, mas não impossível.
Before I can discuss electronic voting machines, I need to explain why voting is so difficult. Basically, a voting system has four required characteristics:
Antes de eu poder discutir máquinas eletrônicas de votação, preciso explicar por que votar é tão difícil. Basicamente, sistema de votação tem quatro características exigidas:
1. Accuracy. The goal of any voting system is to establish the intent of each individual voter, and translate those intents into a final tally. To the extent that a voting system fails to do this, it is undesirable. This characteristic also includes security: It should be impossible to change someone else’s vote, ballot stuff, destroy votes, or otherwise affect the accuracy of the final tally.
1. Precisão. O objetivo de qualquer sistema de votação é captar a intenção de cada eleitor individual e traduzir essas intenções num cômputo final. Na medida em que qualquer sistema não consiga fazer isso, será indesejável. Esta característica inclui também segurança: Deveria ser impossível modificar o voto de alguém, inflar ilegalmente a urna com votos, destruir votos ou afetar de qualquer outra maneira a precisão do total final.
2. Anonymity. Secret ballots are fundamental to democracy, and voting systems must be designed to facilitate voter anonymity.
2. Anonimato. Votos secretos são fundamentais para a democracia, e os sistemas de votação precisam ser projetados para facilitar o anonimato do eleitor.
3. Scalability. Voting systems need to be able to handle very large elections. One hundred million people vote for president in the United States. About 372 million people voted in India’s June elections, and over 115 million in Brazil’s October elections. The complexity of an election is another issue. Unlike many countries where the national election is a single vote for a person or a party, a United States voter is faced with dozens of individual election: national, local, and everything in between.
3. Escala. Os sistemas de votação precisam ser capazes de lidar com eleições muito grandes. Nos Estados Unidos, cem milhões de pessoas votam para presidente. Cerca de 372 milhões de pessoas votaram nas eleições de junho na Índia, e mais de 115 milhões nas eleições de outubro no Brasil. A complexidade da eleição é outro problema. Diferentemente de muitos países onde a eleição nacional admite um único voto para pessoa ou partido, o eleitor estadunidense vê-se frente a dúzias de eleições individuais: nacional, local, e tudo o mais entre essas duas.
4. Speed. Voting systems should produce results quickly. This is particularly important in the United States, where people expect to learn the results of the day’s election before bedtime. It’s less important in other countries, where people don’t mind waiting days -- or even weeks -- before the winner is announced.
4. Rapidez. Sistemas de votação devem produzir resultados rapidamente. Isso é particularmente importante nos Estados Unidos, onde as pessoas esperam os resultados da eleição do dia antes da hora de ir para a cama. É algo menos importante em outros países, onde as pessoas não se importam com esperar dias -- ou mesmo semanas -- antes de o vencedor ser anunciado.
Through the centuries, different technologies have done their best. Stones and pot shards dropped in Greek vases gave way to paper ballots dropped in sealed boxes. Mechanical voting booths, punch cards, and then optical scan machines replaced hand-counted ballots. New computerized voting machines promise even more efficiency, and Internet voting even more convenience.
Ao longo dos séculos diferentes tecnologias fizeram o que puderam. Pedras e cacos de cerâmica colocados dentro de vasos gregos foram substituídos por cédulas de papel enfiadas em caixas lacradas. Compartimentos de votação mecânicos, cartões perfurados e, depois, máquinas de escaneio ótico substituíram cédulas contadas à mão. Novas máquinas computarizadas de votação prometem ainda maior eficiência, e a votação pela Internet ainda maior conveniência.
But in the rush to improve speed and scalability, accuracy has been sacrificed. And to reiterate: accuracy is not how well the ballots are counted by, for example, a punch-card reader. It’s not how the tabulating machine deals with hanging chads, pregnant chads, or anything like that. Accuracy is how well the process translates voter intent into properly counted votes.
Contudo, no açodamento para melhorar rapidez e escala, a precisão tem sido sacrificada. E para reiterar: precisão significa quão bem as cédulas são contadas por, por exemplo, leitora de cartões perfurados. Não se trata de como a máquina de tabular lida com pedacinhos de papel com um ou mais cantos não soltos ou com todos os cantos ainda presos, ou algo da espécie. Precisão é quão bem o processo traduz a intenção do eleitor em votos adequadamente contados.
Technologies get in the way of accuracy by adding steps. Each additional step means more potential errors, simply because no technology is perfect. Consider an optical-scan voting system. The voter fills in ovals on a piece of paper, which is fed into an optical-scan reader. The reader senses the filled-in ovals and tabulates the votes. This system has several steps: voter to ballot to ovals to optical reader to vote tabulator to centralized total.
As tecnologias sacrificam a precisão mediante o acréscimo de passos. Cada passo adicional significa mais possibilidade de erro, simplesmente pelo fato de nenhuma tecnologia ser perfeita. Consideremos sistema de votação de escaneio ótico. O eleitor preenche ovais num pedaço de papel, que é alimentado para dentro de leitor de escaneio ótico. O leitor identifica os ovais preenchidos e tabula os votos. Este sistema tem diversos passos: eleitor à cédula aos ovais ao leitor ótico ao tabulador de votos ao total centralizado.
At each step, errors can occur. If the ballot is confusing, then some voters will fill in the wrong ovals. If a voter doesn’t fill them in properly, or if the reader is malfunctioning, then the sensor won’t sense the ovals properly. Mistakes in tabulation -- either in the machine or when machine totals get aggregated into larger totals -- also cause errors. A manual system -- tallying the ballots by hand, and then doing it again to double-check -- is more accurate simply because there are fewer steps.
Em cada passo podem ocorrer erros. Se a cédula é confusa, alguns eleitores preencherão os ovais errados. Se eleitor não os preencher corretamente, ou se o leitor não estiver funcionando bem, o sensor não identificará os ovais corretamente. Equívocos na tabulação -- ou na máquina ou quando os totais da máquina forem agregados em totais maiores -- também causam erro. Sistema manual -- computando as cédulas à mão, e em seguida fazendo-o de novo para verificação -- é mais preciso simplesmente porque há menos passos.
The error rates in modern systems can be significant. Some voting technologies have a 5% error rate: one in twenty people who vote using the system don’t have their votes counted properly. This system works anyway because most of the time errors don’t matter. If you assume that the errors are uniformly distributed -- in other words, that they affect each candidate with equal probability -- then they won’t affect the final outcome except in very close races. So we’re willing to sacrifice accuracy to get a voting system that will more quickly handle large and complicated elections. In close races, errors can affect the outcome, and that’s the point of a recount. A recount is an alternate system of tabulating votes: one that is slower (because it’s manual), simpler (because it just focuses on one race), and therefore more accurate.
Os índices de erros nos sistemas modernos podem ser significativos. Algumas tecnologias de votação apresentam índice de erro de 5%: uma em cada vinte pessoas que votam não terá seus votos contados corretamente. Esse sistema funciona, de qualquer modo, porque na maior parte das vezes os erros não são importantes. Se você assumir que os erros sejam uniformemente distribuídos -- em outras palavras, que eles possam afetar cada candidato com igual probabilidade -- eles então não afetarão o resultado final exceto em competições muito acirradas. Portanto estamos dispostos a sacrificar a precisão a fim de obter sistema de votação que lide mais rapidamente com eleições grandes e complicadas. Em competições acirradas, os erros poderão afetar o resultado, e essa é a hora de contar os votos de novo. Contar de novo é um sistema alternativo de tabular votos: mais lento (por ser manual), mais simples (porque se concentra em uma única competição) e portanto mais preciso.
Note that this is only true if everyone votes using the same machines. If parts of town that tend to support candidate A use a voting system with a higher error rate than the voting system used in parts of town that tend to support candidate B, then the results will be skewed against candidate A. This is an important consideration in voting accuracy, although tangential to the topic of this essay.
Notem que isso só é verdade se todo mundo votar usando as mesmas máquinas. Se partes da cidade que tendam a apoiar o candidato A usarem sistema de votação com índice de erros mais alto do que o do sistema de votação usado em partes da cidade que apoiem o candidato B, os resultados se inclinarão contra o candidato A. Esta é importante consideração quanto à precisão da votação, embora tangencial em relação ao tópico deste ensaio.
With this background, the issue of computerized voting machines becomes clear. Actually, "computerized voting machines" is a bad choice of words. Many of today’s voting technologies involve computers. Computers tabulate both punch-card and optical-scan machines. The current debate centers around all-computer voting systems, primarily touch-screen systems, called Direct Record Electronic (DRE) machines. (The voting system used in India’s most recent election -- a computer with a series of buttons -- is subject to the same issues.) In these systems the voter is presented with a list of choices on a screen, perhaps multiple screens if there are multiple elections, and he indicates his choice by touching the screen. These machines are easy to use, produce final tallies immediately after the polls close, and can handle very complicated elections. They also can display instructions in different languages and allow for the blind or otherwise handicapped to vote without assistance.
Com este plano de fundo, a questão das máquinas computarizadas de votação torna-se clara. Na verdade, "máquinas computarizadas de votação" é má escolha de palavras. Muitas das tecnologias de votação de nossos dias envolvem computadores. Os computadores tabulam máquinas tanto de perfuração de cartões quanto de escaneio ótico. O debate atual concentra-se nos sistemas de votação totalmente por computador, precipuamente sistemas de écran tátil, chamados de máquinas de Registro Eletrônico Direto (DRE). (O sistema de votação usado na mais recente eleição da Índia -- um computador com uma série de botões -- está sujeito aos mesmos problemas.) Nesses sistemas é apresentada ao eleitor lista de escolhas em tela, talvez múltiplas telas se houver múltiplas eleições, e ele indica sua escolha mediante tocar a tela. Essas máquinas são fáceis de usar, produzem resultados finais imediatamente depois que a eleição se encerra, e podem lidar com eleições muito complicadas. Também podem exibir instruções em línguas diferentes e permitir aos cegos ou a pessoas com outras formas de deficiência votarem sem ajuda.
They’re also more error-prone. The very same software that makes touch-screen voting systems so friendly also makes them inaccurate. And even worse, they’re inaccurate in precisely the worst possible way.
Também são mais tendentes a erros. Exatamente o mesmo software que torna os sistemas de votação de écran tátil tão amigáveis torna-os também não rigorosos. E, pior ainda, eles são imprecisos exatamente sob o pior aspecto.
Bugs in software are commonplace, as any computer user knows. Computer programs regularly malfunction, sometimes in surprising and subtle ways. This is true for all software, including the software in computerized voting machines. For example:
Defeitos de software são comuns, como qualquer usuário de computador sabe. Programas de computador ordinariamente apresentam defeitos de funcionamento, por vezes de maneira surpreendente e sutil. Isso é verdade de todo software, inclusive o software de máquinas computarizadas de votação. Por exemplo:
In Fairfax County, VA, in 2003, a programming error in the electronic voting machines caused them to mysteriously subtract 100 votes from one particular candidates’ totals.
No Condado de Fairfax, VA, em 2003, erro de programação nas máquinas eletrônicas de votação levou essas máquinas a misteriosamente subtraírem 100 votos dos totais de um candidato específico.
In San Bernardino County, CA in 2001, a programming error caused the computer to look for votes in the wrong portion of the ballot in 33 local elections, which meant that no votes registered on those ballots for that election. A recount was done by hand.
No Condado de San Bernardino County, CA, em 2001, erro de programação levou o computador a procurar votos na porção errada da cédula em 33 eleições locais, o que significou que nenhum voto com aquelas cédulas foi registrado naquela eleição. Foi feita recontagem manual.
In Volusia County, FL in 2000, an electronic voting machine gave Al Gore a final vote count of negative 16,022 votes.
No Condado de Volusia, FL. em 2000, máquina eletrônica de votação deu a Al Gore contagem final de votos de 16.022 votos negativos.
The 2003 election in Boone County, IA, had the electronic vote-counting equipment showing that more than 140,000 votes had been cast in the Nov. 4 municipal elections. The county has only 50,000 residents and less than half of them were eligible to vote in this election.
A eleição de 2003 no Condado de Boone, IA, teve equipamento de contagem eletrônica de votos mostrando que mais de 140.000 votos haviam sido colocados nas urnas nas eleições municipais de novembro. O condado tinha apenas 50.000 residentes e menos da metade tinha credenciais para votar naquela eleição.
There are literally hundreds of similar stories.
Há literalmente centenas de histórias similares.
What’s important about these problems is not that they resulted in a less accurate tally, but that the errors were not uniformly distributed; they affected one candidate more than the other. This means that you can’t assume that errors will cancel each other out and not affect the election; you have to assume that any error will skew the results significantly.
O importante nesses problemas não é eles terem resultado de total menos preciso, e sim os erros não terem sido distribuídos uniformemente; afetaram um candidato mais do que outro. Isso significa que não podemos assumir que os erros se cancelarão mutuamente e não afetarão a eleição; temos de assumir que qualquer erro distorcerá os resultados significativamente.
Another issue is that software can be hacked. That is, someone can deliberately introduce an error that modifies the result in favor of his preferred candidate. This has nothing to do with whether the voting machines are hooked up to the Internet on election day. The threat is that the computer code could be modified while it is being developed and tested, either by one of the programmers or a hacker who gains access to the voting machine company’s network. It’s much easier to surreptitiously modify a software system than a hardware system, and it’s much easier to make these modifications undetectable.
Outro problema é que o software pode ser hackado [pode ser objeto de acesso não autorizado]. Isto é, alguém pode, deliberadamente, inserir erro que modifica o resultado em favor de seu candidato favorito. Isto não tem nada a ver com se as máquinas de votação estão conexas com a Internet no dia da eleição. A ameaça consiste em que o código do computador pode ser modificado durante o período em que esteja sendo desenvolvido e testado, ou por um dos programadores ou por um hacker que ganhe acesso à rede de máquinas de votação da empresa. É muito mais fácil modificar sub-repticiamente um sistema de software do que um sistema de hardware, e é muito mais fácil tornar essas modificações indetectáveis.
A third issue is that these problems can have further-reaching effects in software. A problem with a manual machine just affects that machine. A software problem, whether accidental or intentional, can affect many thousands of machines -- and skew the results of an entire election.
Terceiro problema é que esses problemas podem, em software, ter efeitos de propagação. Problema com máquina manual afeta apenas aquela máquina. Problema de software, acidental ou intencional, pode afetar muitos milhares de máquinas -- e distorcer os resultados de eleição inteira. 
Some have argued in favor of touch-screen voting systems, citing the millions of dollars that are handled every day by ATMs and other computerized financial systems. That argument ignores another vital characteristic of voting systems: anonymity. Computerized financial systems get most of their security from audit. If a problem is suspected, auditors can go back through the records of the system and figure out what happened. And if the problem turns out to be real, the transaction can be unwound and fixed. Because elections are anonymous, that kind of security just isn’t possible.
Algumas pessoas têm argumentado em favor dos sistemas de votação de écran tátil, citando os milhões de dólares com os quais lidam, diariamente, máquinas ATM e outros sistemas financeiros computarizados. Essa argumentação ignora outra caracterísitica vital dos sistemas de votação: anonimato. Sistemas financeiros computarizados obtêm a maior parte de sua segurança de auditoria. Havendo suspeita de problema, auditores podem vasculhar os registros do sistema e descobrir o que aconteceu. E se o problema revelar-se real, a transação poderá ser eviscerada e consertada. Como eleições são anônimas, esse tipo de segurança simplesmente não é possível.
None of this means that we should abandon touch-screen voting; the benefits of DRE machines are too great to throw away. But it does mean that we need to recognize its limitations, and design systems that can be accurate despite them.
Nada disto significa que devamos abandonar votações de écran tátil; os benefícios das máquinas DRE são grandes demais para serem jogados fora. Significa, porém, que precisamos reconhecer as limitações delas, e projetar sistemas que possam ser precisos apesar delas.
Computer security experts are unanimous on what to do. (Some voting experts disagree, but I think we’re all much better off listening to the computer security experts. The problems here are with the computer, not with the fact that the computer is being used in a voting application.) And they have two recommendations:
Os especialistas em segurança de computação são unânimes quanto a o que fazer. (Alguns especialistas em votação discordam, mas acredito que bem melhor faremos dando ouvidos aos especialistas em segurança de computação. Os problemas aqui são de computador, não relativos ao fato do computador estar sendo usado em aplicativo de votação.) E eles fazem duas recomendações:
1. DRE machines must have a voter-verifiable paper audit trails (sometimes called a voter-verified paper ballot). This is a paper ballot printed out by the voting machine, which the voter is allowed to look at and verify. He doesn’t take it home with him. Either he looks at it on the machine behind a glass screen, or he takes the paper and puts it into a ballot box. The point of this is twofold. One, it allows the voter to confirm that his vote was recorded in the manner he intended. And two, it provides the mechanism for a recount if there are problems with the machine.
1. Máquinas DRE têm de ter pistas de auditoria em papel verificáveis pelo eleitor (por vezes chamadas de cédulas de papel verificadas por eleitor). É cédula de papel impressa pela máquina de votação, que o eleitor pode olhar e confirmar. Ele não a leva para casa com ele. Ou ele olha para ela através de uma tela de vidro, ou ele pega o papel e o coloca numa urna de cédulas. O objetivo é duplo. Um, o eleitor pode confirmar que seu voto foi registrado da maneira que ele pretendeu. E dois, é oferecido mecanismo para recontagem se houver problemas na máquina. 
2. Software used on DRE machines must be open to public scrutiny. This also has two functions. One, it allows any interested party to examine the software and find bugs, which can then be corrected. This public analysis improves security. And two, it increases public confidence in the voting process. If the software is public, no one can insinuate that the voting system has unfairness built into the code. (Companies that make these machines regularly argue that they need to keep their software secret for security reasons. Don’t believe them. In this instance, secrecy has nothing to do with security.)
2. Software usado em máquinas DRE tem de estar aberto para exame público. Isto também tem duas funções. Uma, qualquer parte interessada poderá examinar o software e encontrar defeitos, que poderão em seguida ser corrigidos. Essa análise pública aumenta a segurança. E dois, aumenta a confiança do público no processo de votação. Se o software for público, ninguém poderá insinuar que o sistema de votação tem iniquidade embutida na codificação. (Empresas que fazem essas máquinas sistematicamente argumentam que precisam manter seu software secreto por motivos de segurança. Não acreditem nelas. Neste caso, segredo nada tem a ver com segurança.) 
Computerized systems with these characteristics won’t be perfect -- no piece of software is -- but they’ll be much better than what we have now. We need to start treating voting software like we treat any other high-reliability system. The auditing that is conducted on slot machine software in the U.S. is significantly more meticulous than what is done to voting software. The development process for mission-critical airplane software makes voting software look like a slapdash affair. If we care about the integrity of our elections, this has to change.
Sistemas computarizados com estas características não serão perfeitos -- nenhum produto de software o é -- mas serão muito melhores do que os que temos hoje. Precisamos começar a tratar o software de votação do mesmo modo que tratamos qualquer outro sistema de alta fidedignidade. A auditoria que é conduzida em software de máquinas caça-níqueis nos Estados Unidos é significativamente mais meticulosa do que a feita em máquina de votação. O processo de desenvolvimenhto de software de aeroplano para missões críticas torna o software de votação parecer programação feita nas coxas. Se damos importância à integridade de nossas eleições, isto tem de mudar. 
Proponents of DREs often point to successful elections as "proof" that the systems work. That completely misses the point. The fear is that errors in the software -- either accidental or deliberately introduced -- can undetectably alter the final tallies. An election without any detected problems is no more a proof the system is reliable and secure than a night that no one broke into your house is proof that your door locks work. Maybe no one tried, or maybe someone tried and succeeded...and you don’t know it.
Proponentes das DRE amiúde citam eleições bem-sucedidas como "prova" de que os sistemas funcionam. Isto escamoteia completamente a questão. O temor está em que erros no software -- tanto acidentais quanto introduzidos deliberadamente -- possam alterar, sem serem detectados, o cômputo final. Eleição sem problemas detectados não prova que sistema seja fidedigno e seguro, assim como uma noite na qual ninguém tenha arrombado sua casa não prova que as trancas de suas portas funcionem. Talvez ninguém tenha tentado, ou talvez alguém tenha tentado e conseguido...e você não sabe.
Even if we get the technology right, we still won’t be done. If the goal of a voting system is to accurately translate voter intent into a final tally, the voting machine is only one part of the overall system. In the 2004 U.S. election, problems with voter registration, untrained poll workers, ballot design, and procedures for handling problems resulted in far more votes not being counted than problems with the technology. But if we’re going to spend money on new voting technology, it makes sense to spend it on technology that makes the problem easier instead of harder.
Mesmo se o aspecto tecnológico for resolvido satisfatoriamente, a questão ainda não estará encerrada. Se o objetivo de sistema de votação é traduzir com rigor a intenção do eleitor para cômputo final, a máquina de votação é apenas uma parte do sistema geral. Na eleição de 2004 nos Estados Unidos problemas com registro de eleitores, trabalhadores sem treinamento nos locais de votação, e procedimentos para lidar com problemas resultaram em muito mais votos não serem contados do que problemas de tecnologia. Se, porém, vamos gastar dinheiro em nova tecnologia de votação, faz sentido gastá-lo em tecnologia que torne o problema mais fácil em vez de mais difícil.

No comments:

Post a Comment