Estou desacostumado com isso. Alguns dos argumentos deles até fazem sentido.

Thomas T. Soares wrote:
As urnas eletrônicas brasileiras possuem falhas de segurança que podem alterar os resultados das eleições.
        Seu voto pode ser roubado.

As de papel também tinham seus problemas de segurança. Nem todo o software do mundo vai acabar com todos eles.

    *Os fatos:* Recentemente, a ONG americana /Black Box Voting/
    publicou o relatório do especialista Harri Hursti sobre os Testes de
    Penetração que realizou nas urnas eletrônicas fabricadas pela
    empresa Diebold o qual reforça a análise do Fórum do Voto Seguro.
    Nas palavras do Eng. Amilcar Brunazo Filho, Diretor Técnico da TD
    Tecnologia Digital Ltda:

    "A conclusão básica destes relatórios é que existem falhas de
    segurança nos projetos e construção das máquinas de votar
    americana-canadenses da Diebold que permitem que o programa de
    votação possa ser adulterado para modificar o resultado da apuração
    dos votos.

Argumento furado. As urnas que ele testou foram as americanas.

    Como a empresa Diebold possui quase 90% do mercado brasileiro de
    urnas eletrônicas, onde, com a marca Diebold-Procomp, produziu 375
    mil das 426 mil urnas eletrônicas que serão utilizadas nas eleições
    presidenciais brasileiras de outubro de 2006, se faz necessário
    analisar se as falhas de segurança apontadas nos Relatórios Hursti
    também existem nos modelos de urnas eletrônicas fornecidas ao Brasil."

Posso afirmar que elas são animais totalmente diferentes. As brasileiras podem ter outros problemas, interiramente diversos.

    O jornal baiano "A TARDE" publicou, em 4 de junho de 2006, uma
    matéria sobre o acontecido nas eleições de 2002 na cidade de
    Salvador: o desaparecimento de 8.000 (oito mil) cartões de
    programação de urnas eletrônicas, que colocaram em risco a segurança
    do pleito na Bahia!! Este montante corresponde a 24% do eleitorado
    daquele estado e o fato foi totalmente omitido na ocasião.

Devem estar em cameras digitais e tocadores de MP3.

    Em 11 de junho passado foi a vez do Jornal do Brasil informando que
    a Polícia Federal investiga possível fraude eleitoral na urna
    eletrônica no Rio, nas eleiões de 2004. Dois políticos - um
    ex-deputado e um vereador - já foram indiciados por compra de votos,
    e outro político e um assessor de juiz eleitoral serão indiciados em
    breve. O processo segue em segredo de justiça.

E, evidentemente, melhorar as urnas impediria a compra de votos. Arrã.

    Há ainda inúmeros casos documentados de fraudes eleitorais
    decorrentes de fragilidades do sistema, que não cabe detalhar neste
    documento.

    Falhas de segurança encontradas nas urnas eletrônicas:

    -O Sistema de inicilização (boot) pode ser modificado por software;
    -Possibilidade de se modificar os programas internos por meios
    digitais externos;

Dá pra violar qualquer coisa com tempo e disposição. O fato de que caixas eletrônicos são vítimas disso (e, acreditem, bancos guardam seu dinheiro com tanto ou mais zelo que TSE emprega na guarda dos seus votos) é uma clara demonstração dos limites da tecnologia na prevenção de fraudes.

    -O Sistema Operacional (Windows CE) não possui recursos de segurança
    aceitáveis;

Como assim? Ele é tão mínimo que é difícil pensar em um vetor de ataque crível que explore falhas do SO. Windows CE não é Windows 98. Claro que poderia ser melhor - poderia ser algo mais reforçado e fortificado, usando um TPM ou programas digitalmente assinados. O SO podia estar em ROM soldada na motherboard e ser ele próprio passado pelo TPM.

    -Sistema de lacres físicos ineficiente e o gabinete fácil de abrir
    sem nada destruir;

Aparentemente sim. Parece que alguém do TSE precisa ler mais sobre lacres invioláveis e como usá-los (dica: não se deve distribuí-los por aí)

    -Possibilidade de se reconfigurar os recursos de segurança por meio
    de "jumpers" na placa-mãe;

Não seria um problema se a urna fosse inviolável e, se a urna for violável, tudo está perdido. De repente guardar parâmetros de inicialização em uma memória write-once soldada na motherboard - SHA1s de todas as mídias e configuração de jumpers - seria uma boa idéia. Não vai impedir nada, mas vai deixar um rastro auditável - quem bootar uma urna com o software errado vai deixar marcas. Essa memória poderia ainda guardar uma chave criptográfica (recriada a cada boot) para autenticar os dados como tendo sido gerador por aquela urna naquela operação.

    -Presença de conector interno para cartões de memória "multimedia";

O software da urna fica nesse cartão que não tem acesso externo. Você precisa violar a urna para isso.

    -O Botão externo de "teste de bateria" pode ser explorado em ataques
    disparados pelo eleitor.

Queria (sério mesmo) saber como isso acontece.

    "A forma mais devastadora envolve a inserão de programa que adultera
    o Boletim de Urna (BU) junto com o correspondente mecanismo para o
    seu acionamento. Encerrada a votação, esse programa interceptaria a
    gravação em disquete e a impressão do BU para, por exemplo, antes,
    desviar uma porcentagem pré-programada dos votos de um candidato a
    outro.... Tais ações seriam relativamente fáceis de serem
    codificadas por um programador mediano que conheça o sistema."

Isso demandaria o uso de código não-autorizado na urna. Fazer isso é ridiculamente simples. A mágica acontece se alguém conseguir fazer isso sem ser notado antes, durante e depois da eleição. Se conseguir, tem meu mais sincero respeito. Não que não seja um crime, mas o cara é bom.

    Paulo Gustavo Sampaio Andrade, advogado especializado em Direito
    Constitucional acrescenta:

    "Pode-se, por exemplo, fazer inserir nos programas das urnas um
    comando para que, a cada quatro votos para um candidato, um seja
    desviado para outro candidato. Pior: este programa de desvio de
    votos pode ser programado para se auto-destruir às 17 horas do dia
    da votação, sem deixar vestígios, tornando inócua qualquer
    verificaão posterior nos programas da urna."

Poderia se destruir às 15 ou às 17:01. Estamos mesmo ouvindo um especialisa em Direito Constitucional falar de segurança de dados? Ele deve ter algo interessante a dizer, mas sobre leis, não sobre bits (até porque ele repetiu o que o Pedro já falou)

    *Impossibilidade de auditoria:*

    1) As urnas são inauditáveis porque não existe a impressão paralela
    do voto. As ONGs nos EUA e na Europa estão trabalhando no sentido de
    dar maior segurança às urnas eletrônicas e fazer valer a democracia.
    Nos EUA, 50% dos estados já estão com a legislação que exige a
    impressão do voto nas urnas eletrônicas. E na maioria dos países
    democráticos existem movimentos como o do Voto Seguro para forçar a
    materialização do voto.

Concordo que a impressão e visualização dos votos é importante. Em 2002 fizemos uma impressora exatamente para isso. Como eram em menor número que as urnas (elas não são baratas), elas seriam sorteadas entre as urnas. Não sei se isso aconteceu.

    O voto impresso não resolve 100% o problema de segurança e
    confiabilidade das urnas eletrônicas atuais, mas constitui um avanço
    significativo na conquista da lisura nas eleições. Em caso de
    necessidade, pode-se fazer uma recontagem parcial ou total dos votos.

Eu acho que ele mais ou menos resolve os mais importantes. O eleitor vê se o voto é o dele mesmo e ele vai pra uma urna. Havendo suspeita, os votos de papel são verificados. O que não pode é qualquer um pedir recontagem de votos de papel para todas as urnas ou poderiamos simplesmente voltar à época dos votos de papel.

    E possui uma implementação bastante simples, ou seja, todas as urnas
    brasileiras possuem uma impressora embutida para a impressão da
    rotina de abertura, denominada "zerésima" e do Boletim de Urna. As
    desculpas do TSE são de que "a impressora dá problema" e por isso
    não se pode imprimir o voto. E é a mesma impressora que imprime a
    Zerézima e os BUs, sem problema algum.

É uma impressora diferente, ligada a uma urna descartável e com uma janela (e componentes mecânicos bem chatos de manter funcionando) para que o eleitor visualize seu voto. E sim, eu acho que o BU deveria ser fornecido a qualquer cidadão interessado, inclusive, dentro dos limites do razoável.

    A idéia não é imprimir o voto para levar para a casa porque isto
    estaria contribuindo para a volta do voto de cabresto ou a compra de
    votos. Os votos impressos seriam colhidos automaticamente em urnas
    lacradas e, após o término da eleição, algumas seriam escolhidas por
    sorteio para fazer a contagem manual. Ou seja, seria muito mais
    difícil fraudar os dois sistemas - manual e eletrônico -
    simultaneamente.

Essa é uma das coisas que fazem sentido. Eu sempre tenho vontade de surrar quem propõe que se imprima o voto para levar pra casa.

    2) A regulamentação das eleições deste ano retirou dos partidos
    políticos o direito de obterem cópias individuais dos BU impressos,
    o que inviabiliza a conferência de totalização dos votos. Segundo
    Amilcar Brunazo Filho, "Sem o BU impresso os partidos não terão como
    conferir a totalização dos votos e, um ataque (de fraudadores) neste
    campo é mais abrangente, sendo o que eu chamaria de "a mãe de todas
    as fraudes", pois poderia reverter até resultados fraudados na
    urnas-e pelo outro lado."

Com o BU impresso (e eu sugeriria que ele fosse impresso ao mesmo tempo em forma legível para humanos e também para máquinas - "códigos de barra" que hoje em dia não são mais barras, mas pontos). A impressão do BU na hora da lacração da urna dificultaria o ataque à urna depois de lacrada. Se bem me lembro, para dificultar ataques à urna em trânsito, ela tem um prazo de algumas horas para chegar ao tribunal eleitoral e, se perder esse prazo, é impugnada.

    Além disso, é desejável que os BUs aceitos pelo sistema eletrônico
    de totalização sejam publicados na Internet na medida em que
    possibilitaria a comparação e auditoria entre eles e os BUs emitidos
    pelas urnas eletrônicas.

Concordo totalmente com isso. Mais uma coisa que faz sentido. A análise de desvios na contagem pode ajudar a indicar onde e se houve fraudes (duas urnas da mesma seção não devem divergir significativamente, por exemplo). Se isso puder ser feito em tempo real e pelo maior número de pessoas possível, só temos a ganhar.

    Ações: O Voto Seguro já entrou com um novo pedido de dissecação e/ou
    penetração no sistema de segurança das Urnas Eletrônicas brasileiras
    e precisa do vosso apoio para ajudar a pressionar o TSE para tomar
    medidas urgentes ainda para as próximas eleições, no sentido de
    torná-las auditáveis.

Não vejo porque não aceitar opiniões (e rebatê-las energicamente, quando o caso) de qualquer um qualificado para isso.

    TSE vem sistematicamente se opondo a realizar os Testes de
    Penetração, impedindo o acesso aos programas de segurança
    (permitidos até a Lei 9.504/97), abolindo todo e qualquer tipo de
auditoria quando veta a impressão do voto e dos Boletins de Urna (BU).

De fato, torná-la inauditável só faz com que não tenhamos más notícias. Nem sempre é preciso receber boas notícias, mas, se deixarmos de receber as más, teremos problemas.


_______________________________________________
PSL-Brasil mailing list
PSL-Brasil@listas.softwarelivre.org
http://listas.softwarelivre.org/mailman/listinfo/psl-brasil
Regras da lista: 
http://twiki.softwarelivre.org/bin/view/PSLBrasil/RegrasDaListaPSLBrasil

Responder a