[VotoEletronico] Re: Existe alguma possibilidade

2004-09-20 Por tôpico Marcio C. Teixeira
Benjamin, sou um grande defensor do voto impresso, mas só ele não basta. 
Precisamos ter uma urna bastante segura para podermos confiar no 
resultado das eleições. A idéia da impressão do voto com conferência 
visual do eleitor e válida porque um possível fraudador teria 
dificuldade te fazer duas fraudes tão diferentes e sincronizadas. É 
preciso se dificultar a fraude no papel e no equipamento, se um dos 
lados ficar muito fraco a dupla conferência pode ficar comprometida.
Atualmente a situação é ainda pior, pois não temos um segundo canal de 
conferência e temos um sistema com baixo nível de segurança.
Meus esforços são no sentido de melhorar o canal existente e introduzir 
um segundo canal (impressão do voto com a conferência visual) que exija 
uma tecnologia de fraude completamente diferente da necessária para 
fraudar o canal já existente.

B Azevedo wrote:
Marcio C. Teixeira wrote:
Atacar é muito mais fácil do que proteger, basta encontrar uma única 
falha e explorar.
Por tudo que já vimos da urna, existem muitas falhas.
Infelizmente acredito que não é necessário muito conhecimento para se 
atacar e fraudar o sistema.
Um teste de penetração seria muito útil para entender qual é este 
grau de fragilidade.

Eles sabem que o sistema nao resistiria ao seu teste de penetracao,
por isto fogem dele.
Sem contar que a vulnerabilidade a fraudes internas eh a mais critica,
pois o pessoal interno tem informacao e facilidade de acesso para 
realizar a fraude,
agravada pela sua amplitude pois feita centralmente pode ter ate 
abrangencia nacional,
enquanto agentes externos tem sua acao limitada pelo menor nivel de 
informacao e acesso.

Por isto, o principal eh o controle tipo caixa preta:
mais importante do que (fazer de conta que) se verificam os programas,
as midias, enfim toda esta novela mexicana que eh a fiscalizacao hoje,
bastaria o controle ponta-a-ponta de impressao verificada pelo eleitor,
teste impressao x BUs impressos por amostragens de urnas apos o 
encerramento da eleicao,
teste Bus impressos x Bus computados acessiveis no site do TSE x 
totalizacao.

Benjamin Azevedo
__
O texto acima e' de inteira e exclusiva responsabilidade de seu
autor, conforme identificado no campo remetente, e nao
representa necessariamente o ponto de vista do Forum do Voto-E
O Forum do Voto-E visa debater a confibilidade dos sistemas
eleitorais informatizados, em especial o brasileiro, e dos
sistemas de assinatura digital e infraestrutura de chaves publicas.
__
Pagina, Jornal e Forum do Voto Eletronico
   http://www.votoseguro.org
__

__
O texto acima e' de inteira e exclusiva responsabilidade de seu
autor, conforme identificado no campo remetente, e nao
representa necessariamente o ponto de vista do Forum do Voto-E
O Forum do Voto-E visa debater a confibilidade dos sistemas
eleitorais informatizados, em especial o brasileiro, e dos
sistemas de assinatura digital e infraestrutura de chaves publicas.
__
Pagina, Jornal e Forum do Voto Eletronico
   http://www.votoseguro.org
__


[VotoEletronico] Re: Existe alguma possibilidade

2004-09-20 Por tôpico B Azevedo
Marcio C. Teixeira wrote:
Benjamin, sou um grande defensor do voto impresso, mas só ele não 
basta. Precisamos ter uma urna bastante segura para podermos confiar 
no resultado das eleições. A idéia da impressão do voto com 
conferência visual do eleitor e válida porque um possível fraudador 
teria dificuldade te fazer duas fraudes tão diferentes e 
sincronizadas. É preciso se dificultar a fraude no papel e no 
equipamento, se um dos lados ficar muito fraco a dupla conferência 
pode ficar comprometida.
Atualmente a situação é ainda pior, pois não temos um segundo canal de 
conferência e temos um sistema com baixo nível de segurança.
Meus esforços são no sentido de melhorar o canal existente e 
introduzir um segundo canal (impressão do voto com a conferência 
visual) que exija uma tecnologia de fraude completamente diferente da 
necessária para fraudar o canal já existente.
De absoluto acordo, talvez so invertendo a prioridade, sem demerito de 
uma ou outra providencia.
Meus esforços são no sentido de introduzir um segundo canal (impressão 
do voto com a conferência visual +
coleta dos BUs e possibilidade comparacao com o BU usado na totalizacao 
eletronica) que exija uma tecnologia de fraude completamente diferente 
da necessária para fraudar o canal já existente que por sua vez tambem 
precisa
ser melhorado.

Nenhum destes canais isoladamente pode ser garantido 100%,
mas combinados, a dificuldade de fraudar aumenta geometricamente.
Se hipoteticamente garantirmos 99% de certeza em cada um, a combinacao 
da 99,99% de confiabilidade,
ou seja o percentual de erro cai de 1% para 0,01%, ou seja 100 vezes 
menos, pela simples combinacao dos canais.

Benjamin
__
O texto acima e' de inteira e exclusiva responsabilidade de seu
autor, conforme identificado no campo remetente, e nao
representa necessariamente o ponto de vista do Forum do Voto-E
O Forum do Voto-E visa debater a confibilidade dos sistemas
eleitorais informatizados, em especial o brasileiro, e dos
sistemas de assinatura digital e infraestrutura de chaves publicas.
__
Pagina, Jornal e Forum do Voto Eletronico
   http://www.votoseguro.org
__


[VotoEletronico] Re: Existe alguma possibilidade

2004-09-20 Por tôpico Marcio C. Teixeira
Benjamin, concordo com a sua inversão de ordem, mas queria lembrar que a 
impressão pode ser introduzida de uma forma insegura também, por 
exemplo. Nas últimas eleições houve impressão em algumas poucas urnas, 
mas existia um GRANDE ERRO no processo: A conferência era feita se 
utilizando uma outra urna eletrônica, ou seja houve uma aproximação dos 
dois canais.

B Azevedo wrote:
Marcio C. Teixeira wrote:
Benjamin, sou um grande defensor do voto impresso, mas só ele não 
basta. Precisamos ter uma urna bastante segura para podermos confiar 
no resultado das eleições. A idéia da impressão do voto com 
conferência visual do eleitor e válida porque um possível fraudador 
teria dificuldade te fazer duas fraudes tão diferentes e 
sincronizadas. É preciso se dificultar a fraude no papel e no 
equipamento, se um dos lados ficar muito fraco a dupla conferência 
pode ficar comprometida.
Atualmente a situação é ainda pior, pois não temos um segundo canal 
de conferência e temos um sistema com baixo nível de segurança.
Meus esforços são no sentido de melhorar o canal existente e 
introduzir um segundo canal (impressão do voto com a conferência 
visual) que exija uma tecnologia de fraude completamente diferente da 
necessária para fraudar o canal já existente.

De absoluto acordo, talvez so invertendo a prioridade, sem demerito de 
uma ou outra providencia.
Meus esforços são no sentido de introduzir um segundo canal (impressão 
do voto com a conferência visual +
coleta dos BUs e possibilidade comparacao com o BU usado na 
totalizacao eletronica) que exija uma tecnologia de fraude 
completamente diferente da necessária para fraudar o canal já 
existente que por sua vez tambem precisa
ser melhorado.

Nenhum destes canais isoladamente pode ser garantido 100%,
mas combinados, a dificuldade de fraudar aumenta geometricamente.
Se hipoteticamente garantirmos 99% de certeza em cada um, a combinacao 
da 99,99% de confiabilidade,
ou seja o percentual de erro cai de 1% para 0,01%, ou seja 100 vezes 
menos, pela simples combinacao dos canais.

Benjamin
__
O texto acima e' de inteira e exclusiva responsabilidade de seu
autor, conforme identificado no campo remetente, e nao
representa necessariamente o ponto de vista do Forum do Voto-E
O Forum do Voto-E visa debater a confibilidade dos sistemas
eleitorais informatizados, em especial o brasileiro, e dos
sistemas de assinatura digital e infraestrutura de chaves publicas.
__
Pagina, Jornal e Forum do Voto Eletronico
   http://www.votoseguro.org
__

__
O texto acima e' de inteira e exclusiva responsabilidade de seu
autor, conforme identificado no campo remetente, e nao
representa necessariamente o ponto de vista do Forum do Voto-E
O Forum do Voto-E visa debater a confibilidade dos sistemas
eleitorais informatizados, em especial o brasileiro, e dos
sistemas de assinatura digital e infraestrutura de chaves publicas.
__
Pagina, Jornal e Forum do Voto Eletronico
   http://www.votoseguro.org
__


[VotoEletronico] Re: Existe alguma possibilidade

2004-09-20 Por tôpico B Azevedo
Marcio C. Teixeira wrote:
Benjamin, concordo com a sua inversão de ordem, mas queria lembrar que 
a impressão pode ser introduzida de uma forma insegura também, por 
exemplo. Nas últimas eleições houve impressão em algumas poucas urnas, 
mas existia um GRANDE ERRO no processo: A conferência era feita se 
utilizando uma outra urna eletrônica, ou seja houve uma aproximação 
dos dois canais.
Fico feliz em saber da sintonia de ideias.
Este metodo de fazer contagem pelo voto cantado eh muito fragil, alem de 
trabalhoso.
Para ter certeza precisa conferir o resultado cantado com o manual.

E como vc diz, a impressao sozinha nao eh segura, dependendo da guarda 
fisica dos votos impressos.
O que atenua um pouco o risco eh que eh geograficamente diluido e o 
fraudador teria que ter
acesso aos votos em toda a area de interesse, enquanto na fraude mais 
perigosa do sistema, um fraudador
bem instalado poderia mudar o resultado nacional.

Benjamin
__
O texto acima e' de inteira e exclusiva responsabilidade de seu
autor, conforme identificado no campo remetente, e nao
representa necessariamente o ponto de vista do Forum do Voto-E
O Forum do Voto-E visa debater a confibilidade dos sistemas
eleitorais informatizados, em especial o brasileiro, e dos
sistemas de assinatura digital e infraestrutura de chaves publicas.
__
Pagina, Jornal e Forum do Voto Eletronico
   http://www.votoseguro.org
__


[VotoEletronico] Re: Existe alguma possibilidade

2004-09-20 Por tôpico maneschy

Pois [e, Marcio, um absurdo. Lembro que voce questionou isto la no TSE. Como 
conferir o resultado da impressao do voto usando uma outra urna eletronica? 
Estamos bem longe da transparencia... E mais esta agora, o TRE de Sao Paulo 
capital dando uma de TRE-RJ, nao entregando BU. E aih???


On Mon, 20 Sep 2004 12:04:56 -0300, Marcio C. Teixeira wrote
 Benjamin, concordo com a sua inversão de ordem, mas queria lembrar 
 que a impressão pode ser introduzida de uma forma insegura também, 
 por exemplo. Nas últimas eleições houve impressão em algumas poucas 
 urnas, mas existia um GRANDE ERRO no processo: A conferência era 
 feita se utilizando uma outra urna eletrônica, ou seja houve uma 
 aproximação dos dois canais.
 
 B Azevedo wrote:
 
  Marcio C. Teixeira wrote:
 
  Benjamin, sou um grande defensor do voto impresso, mas só ele não 
  basta. Precisamos ter uma urna bastante segura para podermos confiar 
  no resultado das eleições. A idéia da impressão do voto com 
  conferência visual do eleitor e válida porque um possível fraudador 
  teria dificuldade te fazer duas fraudes tão diferentes e 
  sincronizadas. É preciso se dificultar a fraude no papel e no 
  equipamento, se um dos lados ficar muito fraco a dupla conferência 
  pode ficar comprometida.
  Atualmente a situação é ainda pior, pois não temos um segundo canal 
  de conferência e temos um sistema com baixo nível de segurança.
  Meus esforços são no sentido de melhorar o canal existente e 
  introduzir um segundo canal (impressão do voto com a conferência 
  visual) que exija uma tecnologia de fraude completamente diferente da 
  necessária para fraudar o canal já existente.
 
 
  De absoluto acordo, talvez so invertendo a prioridade, sem demerito de 
  uma ou outra providencia.
  Meus esforços são no sentido de introduzir um segundo canal (impressão 
  do voto com a conferência visual +
  coleta dos BUs e possibilidade comparacao com o BU usado na 
  totalizacao eletronica) que exija uma tecnologia de fraude 
  completamente diferente da necessária para fraudar o canal já 
  existente que por sua vez tambem precisa
  ser melhorado.
 
  Nenhum destes canais isoladamente pode ser garantido 100%,
  mas combinados, a dificuldade de fraudar aumenta geometricamente.
  Se hipoteticamente garantirmos 99% de certeza em cada um, a combinacao 
  da 99,99% de confiabilidade,
  ou seja o percentual de erro cai de 1% para 0,01%, ou seja 100 vezes 
  menos, pela simples combinacao dos canais.
 
  Benjamin
 
  __
  O texto acima e' de inteira e exclusiva responsabilidade de seu
  autor, conforme identificado no campo remetente, e nao
  representa necessariamente o ponto de vista do Forum do Voto-E
 
  O Forum do Voto-E visa debater a confibilidade dos sistemas
  eleitorais informatizados, em especial o brasileiro, e dos
  sistemas de assinatura digital e infraestrutura de chaves publicas.
  __
  Pagina, Jornal e Forum do Voto Eletronico
 http://www.votoseguro.org
  __
 
 
 
 __
 O texto acima e' de inteira e exclusiva responsabilidade de seu
 autor, conforme identificado no campo remetente, e nao
 representa necessariamente o ponto de vista do Forum do Voto-E
 
 O Forum do Voto-E visa debater a confibilidade dos sistemas
 eleitorais informatizados, em especial o brasileiro, e dos
 sistemas de assinatura digital e infraestrutura de chaves publicas.
 __
 Pagina, Jornal e Forum do Voto Eletronico
 http://www.votoseguro.org
 __


Assine o manifesto pela segurança
e transparência do voto eletrônico em: 
http://www.votoseguro.com/alertaprofessores

__
O texto acima e' de inteira e exclusiva responsabilidade de seu
autor, conforme identificado no campo remetente, e nao
representa necessariamente o ponto de vista do Forum do Voto-E

O Forum do Voto-E visa debater a confibilidade dos sistemas
eleitorais informatizados, em especial o brasileiro, e dos
sistemas de assinatura digital e infraestrutura de chaves publicas.
__
Pagina, Jornal e Forum do Voto Eletronico
http://www.votoseguro.org
__


[VotoEletronico] Re: Existe alguma possibilidade

2004-09-20 Por tôpico maneschy

A conferencia dos votos impressos - pela Justiça Eleitoral - era para 
ser anotada, via voto cantado, numa urna eletronica. A raposa nunca deixou 
de tomar conta do galinheiro.




On Mon, 20 Sep 2004 12:37:00 -0300, lut wrote
 Desculpe, não entendi a última parte, sobre a conferência ser feita 
utilizando
 outra urna. Poderia explicar?
 
 []'s
 Lut.
 
 Citando Marcio C. Teixeira [EMAIL PROTECTED]:
 
  Benjamin, concordo com a sua inversão de ordem, mas queria lembrar que a 
  impressão pode ser introduzida de uma forma insegura também, por 
  exemplo. Nas últimas eleições houve impressão em algumas poucas urnas, 
  mas existia um GRANDE ERRO no processo: A conferência era feita se 
  utilizando uma outra urna eletrônica, ou seja houve uma aproximação dos 
  dois canais.
  
  
 __
 O texto acima e' de inteira e exclusiva responsabilidade de seu
 autor, conforme identificado no campo remetente, e nao
 representa necessariamente o ponto de vista do Forum do Voto-E
 
 O Forum do Voto-E visa debater a confibilidade dos sistemas
 eleitorais informatizados, em especial o brasileiro, e dos
 sistemas de assinatura digital e infraestrutura de chaves publicas.
 __
 Pagina, Jornal e Forum do Voto Eletronico
 http://www.votoseguro.org
 __


Assine o manifesto pela segurança
e transparência do voto eletrônico em: 
http://www.votoseguro.com/alertaprofessores

__
O texto acima e' de inteira e exclusiva responsabilidade de seu
autor, conforme identificado no campo remetente, e nao
representa necessariamente o ponto de vista do Forum do Voto-E

O Forum do Voto-E visa debater a confibilidade dos sistemas
eleitorais informatizados, em especial o brasileiro, e dos
sistemas de assinatura digital e infraestrutura de chaves publicas.
__
Pagina, Jornal e Forum do Voto Eletronico
http://www.votoseguro.org
__


[VotoEletronico] Re: Existe alguma possibilidade

2004-09-20 Por tôpico Marcio C. Teixeira




Lut, o problema  que se "algum" tivesse acesso para fraudar o
programa de votao da urna ele tambm poderia ter fraudado o programa
de conferir os votos impressos. So programas com muitas semelhanas,
com o mesmo nvel de segurana, desenvolvidos pelas mesma equipe e
rodam no mesmo equipamento.


[EMAIL PROTECTED] wrote:

  Desculpe, no entendi a ltima parte, sobre a conferncia ser feita utilizando
outra urna. Poderia explicar?

[]'s
Lut.

Citando "Marcio C. Teixeira" [EMAIL PROTECTED]:

  
  
Benjamin, concordo com a sua inverso de ordem, mas queria lembrar que a 
impresso pode ser introduzida de uma forma insegura tambm, por 
exemplo. Nas ltimas eleies houve impresso em algumas poucas urnas, 
mas existia um GRANDE ERRO no processo: A conferncia era feita se 
utilizando uma outra urna eletrnica, ou seja houve uma aproximao dos 
dois canais.



  
  __
O texto acima e' de inteira e exclusiva responsabilidade de seu
autor, conforme identificado no campo "remetente", e nao
representa necessariamente o ponto de vista do Forum do Voto-E

O Forum do Voto-E visa debater a confibilidade dos sistemas
eleitorais informatizados, em especial o brasileiro, e dos
sistemas de assinatura digital e infraestrutura de chaves publicas.
__
Pagina, Jornal e Forum do Voto Eletronico
http://www.votoseguro.org
__


  





[VotoEletronico] Re: Existe alguma possibilidade

2004-09-20 Por tôpico lut
Ah, bendito voto cantado! É aí que teria que ser exigida a contagem manual, uma
vez que ela seria apenas para amostragem ou recontagem de determinada seção em
virtude de dúvida. Não se justificaria a pressa em anotar em outra urna para
ter uma contagem eletrônica. Afinal, as juntas eleitorais são hoje a coisa
mais monótona da face da terra...

[]'s
Lut.

Citando maneschy [EMAIL PROTECTED]:

 
 A conferencia dos votos impressos - pela Justiça Eleitoral - era para 
 ser anotada, via voto cantado, numa urna eletronica. A raposa nunca deixou
 
 de tomar conta do galinheiro.
 
 
 
 
 On Mon, 20 Sep 2004 12:37:00 -0300, lut wrote
  Desculpe, não entendi a última parte, sobre a conferência ser feita 
 utilizando
  outra urna. Poderia explicar?
  
  []'s
  Lut.
  
  Citando Marcio C. Teixeira [EMAIL PROTECTED]:
  
   Benjamin, concordo com a sua inversão de ordem, mas queria lembrar que a
 
   impressão pode ser introduzida de uma forma insegura também, por 
   exemplo. Nas últimas eleições houve impressão em algumas poucas urnas, 
   mas existia um GRANDE ERRO no processo: A conferência era feita se 
   utilizando uma outra urna eletrônica, ou seja houve uma aproximação dos 
   dois canais.
   
   
  __
  O texto acima e' de inteira e exclusiva responsabilidade de seu
  autor, conforme identificado no campo remetente, e nao
  representa necessariamente o ponto de vista do Forum do Voto-E
  
  O Forum do Voto-E visa debater a confibilidade dos sistemas
  eleitorais informatizados, em especial o brasileiro, e dos
  sistemas de assinatura digital e infraestrutura de chaves publicas.
  __
  Pagina, Jornal e Forum do Voto Eletronico
  http://www.votoseguro.org
  __
 
 
 Assine o manifesto pela segurança
 e transparência do voto eletrônico em: 
 http://www.votoseguro.com/alertaprofessores
 
 __
 O texto acima e' de inteira e exclusiva responsabilidade de seu
 autor, conforme identificado no campo remetente, e nao
 representa necessariamente o ponto de vista do Forum do Voto-E
 
 O Forum do Voto-E visa debater a confibilidade dos sistemas
 eleitorais informatizados, em especial o brasileiro, e dos
 sistemas de assinatura digital e infraestrutura de chaves publicas.
 __
 Pagina, Jornal e Forum do Voto Eletronico
 http://www.votoseguro.org
 __
 



__
O texto acima e' de inteira e exclusiva responsabilidade de seu
autor, conforme identificado no campo remetente, e nao
representa necessariamente o ponto de vista do Forum do Voto-E

O Forum do Voto-E visa debater a confibilidade dos sistemas
eleitorais informatizados, em especial o brasileiro, e dos
sistemas de assinatura digital e infraestrutura de chaves publicas.
__
Pagina, Jornal e Forum do Voto Eletronico
http://www.votoseguro.org
__


[VotoEletronico] Re: Existe alguma possibilidade

2004-09-18 Por tôpico Marcio C. Teixeira
Atacar é muito mais fácil do que proteger, basta encontrar uma única 
falha e explorar.
Por tudo que já vimos da urna, existem muitas falhas.
Infelizmente acredito que não é necessário muito conhecimento para se 
atacar e fraudar o sistema.
Um teste de penetração seria muito útil para entender qual é este grau 
de fragilidade.

Marian Beddill wrote:
Concordo com Benjamin;
Podem ser manipulados os resultados, atraves de diversas caminhos de 
ataque.

Exemplo:  Somente esta semana, no meu estado de Washington, cidade de 
Seattle, houve um caso (ainda em pesquisa do verdade), de pessoal do 
vendedor das maquinas Diebold, observados sentados nas 
maquinas-de-contagem no escritorio central e fazendo coisas com os 
teclados, discos, etc.

Ha uma relatorio desta noite posto no website  
http://BlackBoxVoting.org (em ingles), junto com os informacoes 
exigidos do chefe.  Vamos ver se eles deram os dados solicitados?

Marian
At 9/17/2004  06:44 PM, B Azevedo wrote:
So lembrando, alem de mudar os programas, eh possivel mudar o 
ambiente onde
eles executam, e desta forma interferir no comportamento dos programas,
ou no seu resultados, desde que se disponha de informacoes e 
conhecimentos adequados.

Eh comportamento similar aos dos virus, worms  cia, e mesmo os 
antigos TSR (programas residentes) que fazem todos a maquina e os 
programas do usuario se comportarem de forma diversa da prevista.  
Podem estar recolhendo informacoes da operacao, trocando informacoes
antes de serem passadas aos programas, ou mesmo mexendo na memoria ou 
nos arquivos.

Pode tudo, e sem mexer nos programas gravados no disco ou flash card.
Sem falar em clonagem de urnas, repasse da votacao, e mil outras 
maneiras
que se a gente comecasse a listar ia demorar para acabar.
Com acesso e informacao, o ceu eh o limite.

Benjamin

__
O texto acima e' de inteira e exclusiva responsabilidade de seu
autor, conforme identificado no campo remetente, e nao
representa necessariamente o ponto de vista do Forum do Voto-E
O Forum do Voto-E visa debater a confibilidade dos sistemas
eleitorais informatizados, em especial o brasileiro, e dos
sistemas de assinatura digital e infraestrutura de chaves publicas.
__
Pagina, Jornal e Forum do Voto Eletronico
   http://www.votoseguro.org
__

__
O texto acima e' de inteira e exclusiva responsabilidade de seu
autor, conforme identificado no campo remetente, e nao
representa necessariamente o ponto de vista do Forum do Voto-E
O Forum do Voto-E visa debater a confibilidade dos sistemas
eleitorais informatizados, em especial o brasileiro, e dos
sistemas de assinatura digital e infraestrutura de chaves publicas.
__
Pagina, Jornal e Forum do Voto Eletronico
   http://www.votoseguro.org
__


[VotoEletronico] Re: Existe alguma possibilidade

2004-09-18 Por tôpico B Azevedo




Marian,

Colocar os fiscais para ficar examinando programas, flash cards,
disquetes,
eh mera distracao divercionista, ineficiente e dispendiosa para a JE e
os partidos.
Estes exames, ou melhor ainda a abertura dos codigos, devem ser
garantidos como medida profilatica 
complementar, preventiva.
Mas para dificultar fraudes e garantir a auditabilidade do processo
como um todo
basta imprimir e poder conferir votos x BUs e BUs x totalizacao.
O TSE deveria inclusive prover acesso individual aos BUs via internet
para conferencia pelos partidos.

Reproduzo abaixo o trecho de encerramento de minha apresentacao (pags
32-37) no seminario 
em Brasilia em maio/2002, cujas notas taquigraficas integram o eBook
Burla Eletronica 
http://www.brunazo.eng.br/voto-e/arquivos/BurlaEletronica.pdf
cuja leitura recomendo a todos que queiram entender a problematica da
seguranca
do voto eletronico, e como sua solucao eh simples e conhecida ha muito
tempo

(pag 36 - Seminrio do Voto Eletrnico)
  Como tornar o processo mais confivel
Preparei uma agenda resumida com aquilo que precisaria ser mudado
para tornar o processo eleitoral mais confivel, que em seguida
apresentarei.
  Impresso do comprovante no ato da votao, conferido pelo
prprio
eleitor e automaticamente colhido em recipiente lacrado. 
...
  Auditoria de uma percentagem das urnas. Est prevista
auditoria de
3% das urnas. Mas elas precisam ser sorteadas depois de
fechadas as sees
e emitidos os boletins. S ser um teste vlido se quem tentou realizar
a fraude j tenha conseguido faz-la. No podem ser sorteadas antes.
  Disponibilizao dos boletins de urna, em forma
individualizada,
no site do TSE para confronto com as cpias impressas e montagem da
conferncia da totalizao. Outro ponto interessante  que essa
totalizao
seja regionalizada para facilitar as conferncias.
  Eliminao de qualquer identificao do eleitor na urna, vedada
a digitao do nmero do ttulo.
...
  Toda a programao da urna tem que ser aberta. O que a urna tem
que fazer  algo to simples que no existe nenhuma justificativa para
que
existam programas secretos. Saliento ainda que no precisamos de nenhuma
segurana extraordinria para transmitir as informaes para o TSE,
pois o boletim que ser transmitido j  de conhecimento pblico. No 
preciso escond-lo, apenas garantir que ele chegue exatamente igual na
outra ponta. 
...
se quisermos dar
meios plenos de fiscalizao, os partidos teriam que ter um mecanismo
para isso ou ser rotina o presidente da seo dispor de um meio de
confirmao
da verso do programa que est no computador. Isso tem que ser
algo que no esteja programado na prpria urna, porque seno
ela pode dar
o resultado esperado, mesmo que ela no esteja com o programa certo.
Basicamente, com essa agenda teramos um sistema rpido e seguro.
Hoje temos um sistema rpido, mas que s  confivel por garantias
verbais.
 muito grave dizer: Olha, eu garanto que a eleio est correta. O
TSE
nunca poderia dar essa garantia mediante simples aval pessoal como: A
pessoa que est l  muito boa,  muito honesta. Tem que ser uma medida
que torne praticamente impossvel a fraude, ainda que o servidor ou
prestador
de servio ou qualquer terceiro que esteja l queira fraudar, e no o
vai funcionar
bem porque acredito que a pessoa que est l  correta. Benjamin
Azevedo

Bastava implementar o que esta ai no resuminho para ter-se um sistema
confiavel, auditavel e cuja seguranca eh facilmente entendida por
qualquer 
pessoa com o minimo de discernimento, sem necessidade de qualquer
background tecnico sofisticado.

Respondendo pergunta da plateia (pg 84/85) 
BENJAMIN AZEVEDO  Quanto  impresso, o
objetivo  montar a
cadeia que compreenda desde o voto individual at o resultado geral.
Ento,
a impresso da cdula em cada urna  para garantir que seja auditado
contra aqueles votos individuais. Haver o problema da transmisso que
chega aqui. Se publico o boletim de urna, consigo fechar outro elo, para
verificar se o referido boletim eletrnico confere com o que saiu de
cada
seo. Assim, posso facilmente somar os boletins de urnas publicados e
confirmar se o total geral est correto.
... devemos nos preocupar com todas as etapas.
Repito:
o processo eleitoral no comea no ato do voto, mas no cadastramento,
na limpeza do cadastro. Talvez a maior ameaa seja exatamente a postura
que a Justia adotou at o momento. Se ela no se preocupa com o ncleo
de automao, com a atitude de buscar a clareza do processo, o que dizer
das outras partes que no tm automao envolvida, como o cadastramento
de eleitores? Trata-se de assunto muito amplo.
Para concluir, precisamos atestar a mudana de atitude. O rgo
deve agir como esperamos, ser o maior interessado e demonstrar o
interesse
de que o processo todo seja limpo e legtimo.
So nao fizeram por que nao quiseram, pelo contrario intencionalmente 
eliminaram a impressao e manteem o sistema inauditavel e extremamente 
vulneravel aa fraude interna.

No livro tem muito mais, por diversos palestrantes, com capitulos
imperdiveis.

Benjamin Azevedo

Marian Beddill 

[VotoEletronico] Re: Existe alguma possibilidade

2004-09-18 Por tôpico B Azevedo
Marcio C. Teixeira wrote:
Atacar é muito mais fácil do que proteger, basta encontrar uma única 
falha e explorar.
Por tudo que já vimos da urna, existem muitas falhas.
Infelizmente acredito que não é necessário muito conhecimento para se 
atacar e fraudar o sistema.
Um teste de penetração seria muito útil para entender qual é este grau 
de fragilidade.
Eles sabem que o sistema nao resistiria ao seu teste de penetracao,
por isto fogem dele.
Sem contar que a vulnerabilidade a fraudes internas eh a mais critica,
pois o pessoal interno tem informacao e facilidade de acesso para 
realizar a fraude,
agravada pela sua amplitude pois feita centralmente pode ter ate 
abrangencia nacional,
enquanto agentes externos tem sua acao limitada pelo menor nivel de 
informacao e acesso.

Por isto, o principal eh o controle tipo caixa preta:
mais importante do que (fazer de conta que) se verificam os programas,
as midias, enfim toda esta novela mexicana que eh a fiscalizacao hoje,
bastaria o controle ponta-a-ponta de impressao verificada pelo eleitor,
teste impressao x BUs impressos por amostragens de urnas apos o 
encerramento da eleicao,
teste Bus impressos x Bus computados acessiveis no site do TSE x 
totalizacao.

Benjamin Azevedo
__
O texto acima e' de inteira e exclusiva responsabilidade de seu
autor, conforme identificado no campo remetente, e nao
representa necessariamente o ponto de vista do Forum do Voto-E
O Forum do Voto-E visa debater a confibilidade dos sistemas
eleitorais informatizados, em especial o brasileiro, e dos
sistemas de assinatura digital e infraestrutura de chaves publicas.
__
Pagina, Jornal e Forum do Voto Eletronico
   http://www.votoseguro.org
__


[VotoEletronico] Re: Existe alguma possibilidade

2004-09-18 Por tôpico maneschy



Amigo Benjamin, como diria o nosso Aristóteles, o filósofo de Joao Pessoa,
claro como-água-de-beber. A verdade é simples e objetiva.




On Sat, 18 Sep 2004 06:46:47 -0300, B Azevedo wrote
 Marian,
 
 Colocar os fiscais para ficar examinando programas, flash cards,
 disquetes, eh mera distracao divercionista, ineficiente e 
 dispendiosa para a JE eos partidos. Estes exames, ou melhor ainda a 
 abertura dos codigos, devem sergarantidos como medida profilatica 
 complementar, preventiva. Mas para dificultar fraudes e garantir a 
 auditabilidade do processocomo um todo basta imprimir e poder 
 conferir votos x BUs e BUs x totalizacao. O TSE deveria inclusive 
 prover acesso individual aos BUs via internetpara conferencia pelos partidos.
 
 Reproduzo abaixo o trecho de encerramento de minha apresentacao 
 (pags32-37) no seminario em Brasilia em maio/2002, cujas notas 
 taquigraficas integram o eBookBurla Eletronica 
 http://www.brunazo.eng.br/voto-e/arquivos/BurlaEletronica.pdf cuja 
 leitura recomendo a todos que queiram entender a problematica daseguranca
 do voto eletronico, e como sua solucao eh simples e conhecida ha muitotempo
 


Assine o manifesto pela segurança
e transparência do voto eletrônico em: 
http://www.votoseguro.com/alertaprofessores

__
O texto acima e' de inteira e exclusiva responsabilidade de seu
autor, conforme identificado no campo remetente, e nao
representa necessariamente o ponto de vista do Forum do Voto-E

O Forum do Voto-E visa debater a confibilidade dos sistemas
eleitorais informatizados, em especial o brasileiro, e dos
sistemas de assinatura digital e infraestrutura de chaves publicas.
__
Pagina, Jornal e Forum do Voto Eletronico
http://www.votoseguro.org
__


[VotoEletronico] Re: Existe alguma possibilidade

2004-09-17 Por tôpico B Azevedo
So lembrando, alem de mudar os programas, eh possivel mudar o ambiente onde
eles executam, e desta forma interferir no comportamento dos programas,
ou no seu resultados, desde que se disponha de informacoes e 
conhecimentos adequados.

Eh comportamento similar aos dos virus, worms  cia, e mesmo os antigos 
TSR (programas residentes)
que fazem todos a maquina e os programas do usuario se comportarem de 
forma diversa da prevista.
Podem estar recolhendo informacoes da operacao, trocando informacoes
antes de serem passadas aos programas, ou mesmo mexendo na memoria ou 
nos arquivos.

Pode tudo, e sem mexer nos programas gravados no disco ou flash card.
Sem falar em clonagem de urnas, repasse da votacao, e mil outras maneiras
que se a gente comecasse a listar ia demorar para acabar.
Com acesso e informacao, o ceu eh o limite.
Benjamin

Amilcar Brunazo Filho wrote:
Gladston,
At 15:43 17/09/04, you wrote:
1-Existe a possibilidades de progamadores do TRE terem como 
modificarem os programas das urnas-e? ou essa alteração só pode ser 
feita no TSE? Essas perguntas se referem no caso de haver uma 
manipulação pra beneficiar algum candidato!
Obrigado a todos que poderem ajudar!
Gladston

Para se trocar os programas das urnas é necessário duas coisas: acesso 
físico a elas e um muito bom conhecimento de programação em baixo 
nível, pois demanda trabalho de engenharia reversa e inclusão de 
interrupções. Não é simples, principalmente se se quiser esconder os 
rastros de uma perícia posterior.

Mas mudar os programas não é a única forma de se atacar o sistema 
eleitoral. Pode-se pensar em tocar os resultados de uma urna por os 
resultados falsos produzidos por outra urna-e clonada. Este tipo de 
ataque é mais fácil de ser feito nos cartórios, pois não demanda 
conhecimento de programação, apenas requer conhecimento do sistema e 
acesso aos equipamentos. Porém, estes ataques podem ser descobertos 
por uma fiscalização bem feita.

[ ]s
 Eng.  Amilcar Brunazo Filho - Santos, SP
__
O texto acima e' de inteira e exclusiva responsabilidade de seu
autor, conforme identificado no campo remetente, e nao
representa necessariamente o ponto de vista do Forum do Voto-E
O Forum do Voto-E visa debater a confibilidade dos sistemas
eleitorais informatizados, em especial o brasileiro, e dos
sistemas de assinatura digital e infraestrutura de chaves publicas.
__
Pagina, Jornal e Forum do Voto Eletronico
   http://www.votoseguro.org
__


[VotoEletronico] Re: Existe alguma possibilidade

2004-09-17 Por tôpico Marian Beddill
Concordo com Benjamin;
Podem ser manipulados os resultados, atraves de diversas caminhos de ataque.
Exemplo:  Somente esta semana, no meu estado de Washington, cidade de 
Seattle, houve um caso (ainda em pesquisa do verdade), de pessoal do 
vendedor das maquinas Diebold, observados sentados nas maquinas-de-contagem 
no escritorio central e fazendo coisas com os teclados, discos, etc.

Ha uma relatorio desta noite posto no website  http://BlackBoxVoting.org 
(em ingles), junto com os informacoes exigidos do chefe.  Vamos ver se eles 
deram os dados solicitados?

Marian
At 9/17/2004  06:44 PM, B Azevedo wrote:
So lembrando, alem de mudar os programas, eh possivel mudar o ambiente onde
eles executam, e desta forma interferir no comportamento dos programas,
ou no seu resultados, desde que se disponha de informacoes e conhecimentos 
adequados.

Eh comportamento similar aos dos virus, worms  cia, e mesmo os antigos 
TSR (programas residentes) que fazem todos a maquina e os programas do 
usuario se comportarem de forma diversa da prevista.  Podem estar 
recolhendo informacoes da operacao, trocando informacoes
antes de serem passadas aos programas, ou mesmo mexendo na memoria ou nos 
arquivos.

Pode tudo, e sem mexer nos programas gravados no disco ou flash card.
Sem falar em clonagem de urnas, repasse da votacao, e mil outras maneiras
que se a gente comecasse a listar ia demorar para acabar.
Com acesso e informacao, o ceu eh o limite.
Benjamin
__
O texto acima e' de inteira e exclusiva responsabilidade de seu
autor, conforme identificado no campo remetente, e nao
representa necessariamente o ponto de vista do Forum do Voto-E
O Forum do Voto-E visa debater a confibilidade dos sistemas
eleitorais informatizados, em especial o brasileiro, e dos
sistemas de assinatura digital e infraestrutura de chaves publicas.
__
Pagina, Jornal e Forum do Voto Eletronico
   http://www.votoseguro.org
__