Re: [PSL-Brasil] Hackers acusam TSE de manipular desaf io de urnas eletrônicas
Perguntinhas ingênuas: Exitem Piratas Legais ? Qual é o prêmio de maior Valor no Cassino que é o TSE? As cinco mil merrecas? Ter sido o primeiro a 'matar a cobra e mostrar o pau ? ***O que tem makior valor ? A segurança do indivíduo (Pirata) ? A Segurança da Sociedade (Auditabilidade do Processo Eleitoral)? É isso! fernando gonçalves 13 9109-6150 "Tenho convicção que teremos uma sociedade melhor e mais justa quando todos tiverem conhecimento de seus direitos e deveres para com o próximo." --- Em seg, 26/10/09, Marco Carnut escreveu: De: Marco Carnut Assunto: Re: [PSL-Brasil] Hackers acusam TSE de manipular desafio de urnas eletrônicas Para: "Projeto Software Livre BRASIL" Data: Segunda-feira, 26 de Outubro de 2009, 11:58 Prezados, Eu não sou um dos grandes participantes dessa lista, mas eu a acompanho semi-regularmente porque, a despeito de alguns ocasionais quebra-paus, aqui aparecem notícias e opiniões interessantes. Creio, porém, que eu possa dar uma contribuição significativa sobre esse assunto porque tenho uma empresa que realiza comercial e profissionalmente o serviço de testar a segurança de sistemas computacionais. Numa tentativa talvez fútil de não ser acusado de estar fazendo propaganda, nem vou mencionar o nome dela. Qualquer um interessado em saber rapidamente será capaz de catar no Google quem sou e qual ela é. Ou quem sabe o Pedro Rezende, velho amigo e habitué dessa lista, possa me apresentar. Na condição de quem já viu e/ou participou direta ou indiretamente de talvez uma centena de trabalhos de Ethical Hacking, afirmo-lhes que, salvo uma, as condições impostas pelo TSE não são pouco razoáveis, nem sequer incomuns no mercado. Ao sermos contratados, vários clientes colocam nos contratos um monte de restrições no escopo ou na metodologia que por vezes soam esdrúxulas e que atrapalham, sim, tendendo a tornar o resultado míope -- mas não totalmente inútil. O fato de, apesar disso, nossa taxa de sucesso ser historicamente superior a 90% apenas mostra a) o quão frágil é a segurança dos sistemas computacionais e b) o quão pouco eficazes essas restrições são para um time realmente competente. Mas se é o que o cliente quer, terá de ser assim e pronto; a função última de toda operação comercial é dar aquilo que o cliente quer, nada menos e, nesses casos, nada mais. O cliente não é o obrigado (ao meu ver, infelizmente -- vide http://www.postcogito.org/Kiko/EsqueletosNoArmario.html) a testar seu site nem a aceitar compulsoriamente a metodologia de ninguém. Em vista disso, não considero a iniciativa do TSE "idiota". Pelo contrário, acho até uma mudança de atitude histórica, dada que a abordagem anterior deles parecia ser rechaçar sistematicamente qualquer possibilidade de o sistema pudesse ser menos que perfeito, ao bom estilo "la garantia soy yo!". Isso posto, acho que a iniciativa do TSE é, no máximo, não muito bem concebida, pois: a) o prêmio de R$ 5.000,00 é muitíssimo inferior ao preço comumente praticado no mercado por esse tipo de auditoria, mesmo em um escopo sufocantemente pequeno. Tende a atrair aventureiros em busca de notoriedade e não especialistas sérios. Com efeito, esse foi o principal motivo de minha empresa não ter sequer se interessado em participar. b) A urna eletrônica é apenas parte do processo eleitoral. Garantir que a urna eletrônica seja segura "standalone" é necessário, mas não suficiente, para que o processo eleitoral como um todo seja seguro. Há diversos outros sistemas computacionais e processos humanos envolvidos, como bem colocou um dos entrevistados na matéria jornalística. Quando o Banfy diz que um resultado negativo não garante que a urna seja segura. Mas também é verdade que um resultado positivo garante que ela é insegura. É por isso que, para esse tipo de situação, acho que os testes deveriam periódicos, parte intrínseca do processo, e deveria haver um tipo de revesamento: um ano vai ser o time tal, outro ano vai ser o time tal, algo nessa linha, para minimizar o efeito o "olho viciado" e outras coisinhas comuns no mundo real, tais como conluios ou arrumadinhos. Não é uma estratégia perfeita, mas não conheço outra melhor. Um dos entrevistados citou o clichê que "em informática não existe sistema seguro". Esse é um sofisma sutil. Se por um lado isso é verdade do ponto de vista estritamente lógico, essa frase costuma ser mais usada para justificar a falta de empenho em tornar os sistemas adequadamente seguros, tipo "nosso objetivo é intrinsecamente inatingível, então não vale a pena nem tentar". Ledo engano. Na condição de quem já viu centenas de sistemas computacionais vulneráveis, eu posso lhes garantir que existem, sim, sistemas extremamente resistentes a ponto de podermos "arredondar" e chamá-los de seguros sem estar forçando demais a barra. Mas eles dão uma trabalheira de fazer, frequentemente bem acima do que a maioria das pessoas e instituições costumam querer dispender. Em outras pal
Re: [PSL-Brasil] Hackers acusam TSE de manipular desaf io de urnas eletrônicas
Prezados, Eu não sou um dos grandes participantes dessa lista, mas eu a acompanho semi-regularmente porque, a despeito de alguns ocasionais quebra-paus, aqui aparecem notícias e opiniões interessantes. Creio, porém, que eu possa dar uma contribuição significativa sobre esse assunto porque tenho uma empresa que realiza comercial e profissionalmente o serviço de testar a segurança de sistemas computacionais. Numa tentativa talvez fútil de não ser acusado de estar fazendo propaganda, nem vou mencionar o nome dela. Qualquer um interessado em saber rapidamente será capaz de catar no Google quem sou e qual ela é. Ou quem sabe o Pedro Rezende, velho amigo e habitué dessa lista, possa me apresentar. Na condição de quem já viu e/ou participou direta ou indiretamente de talvez uma centena de trabalhos de Ethical Hacking, afirmo-lhes que, salvo uma, as condições impostas pelo TSE não são pouco razoáveis, nem sequer incomuns no mercado. Ao sermos contratados, vários clientes colocam nos contratos um monte de restrições no escopo ou na metodologia que por vezes soam esdrúxulas e que atrapalham, sim, tendendo a tornar o resultado míope -- mas não totalmente inútil. O fato de, apesar disso, nossa taxa de sucesso ser historicamente superior a 90% apenas mostra a) o quão frágil é a segurança dos sistemas computacionais e b) o quão pouco eficazes essas restrições são para um time realmente competente. Mas se é o que o cliente quer, terá de ser assim e pronto; a função última de toda operação comercial é dar aquilo que o cliente quer, nada menos e, nesses casos, nada mais. O cliente não é o obrigado (ao meu ver, infelizmente -- vide http://www.postcogito.org/Kiko/EsqueletosNoArmario.html) a testar seu site nem a aceitar compulsoriamente a metodologia de ninguém. Em vista disso, não considero a iniciativa do TSE "idiota". Pelo contrário, acho até uma mudança de atitude histórica, dada que a abordagem anterior deles parecia ser rechaçar sistematicamente qualquer possibilidade de o sistema pudesse ser menos que perfeito, ao bom estilo "la garantia soy yo!". Isso posto, acho que a iniciativa do TSE é, no máximo, não muito bem concebida, pois: a) o prêmio de R$ 5.000,00 é muitíssimo inferior ao preço comumente praticado no mercado por esse tipo de auditoria, mesmo em um escopo sufocantemente pequeno. Tende a atrair aventureiros em busca de notoriedade e não especialistas sérios. Com efeito, esse foi o principal motivo de minha empresa não ter sequer se interessado em participar. b) A urna eletrônica é apenas parte do processo eleitoral. Garantir que a urna eletrônica seja segura "standalone" é necessário, mas não suficiente, para que o processo eleitoral como um todo seja seguro. Há diversos outros sistemas computacionais e processos humanos envolvidos, como bem colocou um dos entrevistados na matéria jornalística. Quando o Banfy diz que um resultado negativo não garante que a urna seja segura. Mas também é verdade que um resultado positivo garante que ela é insegura. É por isso que, para esse tipo de situação, acho que os testes deveriam periódicos, parte intrínseca do processo, e deveria haver um tipo de revesamento: um ano vai ser o time tal, outro ano vai ser o time tal, algo nessa linha, para minimizar o efeito o "olho viciado" e outras coisinhas comuns no mundo real, tais como conluios ou arrumadinhos. Não é uma estratégia perfeita, mas não conheço outra melhor. Um dos entrevistados citou o clichê que "em informática não existe sistema seguro". Esse é um sofisma sutil. Se por um lado isso é verdade do ponto de vista estritamente lógico, essa frase costuma ser mais usada para justificar a falta de empenho em tornar os sistemas adequadamente seguros, tipo "nosso objetivo é intrinsecamente inatingível, então não vale a pena nem tentar". Ledo engano. Na condição de quem já viu centenas de sistemas computacionais vulneráveis, eu posso lhes garantir que existem, sim, sistemas extremamente resistentes a ponto de podermos "arredondar" e chamá-los de seguros sem estar forçando demais a barra. Mas eles dão uma trabalheira de fazer, frequentemente bem acima do que a maioria das pessoas e instituições costumam querer dispender. Em outras palavras: se por um não existem sistemas 100% seguros, existem, sim, sistemas seguros o bastante. Mas, realmente, são raros. Meu oftamologista diz que "pra quem era cego, voltar a ter 10% de visão já é estar vendo muito". A atitude anterior do TSE parecia insistir em que ficássemos cegos; agora nos franqueiam a possibilidade de vermos talvez uns 10%. É um começo, talvez um começo não muito grandioso, mas um começo. Àqueles que optarem por participar apesar das condições adversas e recompensa pífia, meus sinceros respeitos, pois serão vocês que abrirão a trilha para que algum dia venhamos a ver mais do que 10%. E digo mais: atribuo pelo menos em parte a possibilidade desse "começo" à militância de muita gente persistente e corajosa, muitas das quais frequentam
Re: [PSL-Brasil] Hackers acusam TSE de manipular desaf io de urnas eletrônicas
Outra analogia interessante: nem sempre o exército alemão invade a França conforme os planos dos franceses. 2009/10/26 Antonio Fonseca : > "No máximo > você pode provar que é um problema mais complicado do que os > convidados são capazes de resolver." > Ou que é permitido pelas regras cuidadosamente impostas, que é o que > acontece nesse caso, na minha modesta opinião. > Abraço, -- Ricardo Bánffy http://www.dieblinkenlights.com http://twitter.com/rbanffy ___ PSL-Brasil mailing list PSL-Brasil@listas.softwarelivre.org http://listas.softwarelivre.org/mailman/listinfo/psl-brasil Regras da lista: http://twiki.softwarelivre.org/bin/view/PSLBrasil/RegrasDaListaPSLBrasil SAIR DA LISTA ou trocar a senha: http://listas.softwarelivre.org/mailman/options/psl-brasil
Re: [PSL-Brasil] Hackers acusam TSE de manipular desaf io de urnas eletrônicas
Acho que o TSE demonstra, por analogia, que pode ser muito difícil fazer balões com macarrão seco e pasta de dente. 2009/10/26 Antonio Fonseca : > "No máximo > você pode provar que é um problema mais complicado do que os > convidados são capazes de resolver." > Ou que é permitido pelas regras cuidadosamente impostas, que é o que > acontece nesse caso, na minha modesta opinião. > Abraço, -- Ricardo Bánffy http://www.dieblinkenlights.com http://twitter.com/rbanffy ___ PSL-Brasil mailing list PSL-Brasil@listas.softwarelivre.org http://listas.softwarelivre.org/mailman/listinfo/psl-brasil Regras da lista: http://twiki.softwarelivre.org/bin/view/PSLBrasil/RegrasDaListaPSLBrasil SAIR DA LISTA ou trocar a senha: http://listas.softwarelivre.org/mailman/options/psl-brasil
Re: [PSL-Brasil] Hackers acusam TSE de manipular desaf io de urnas eletrônicas
"No máximo você pode provar que é um problema mais complicado do que os convidados são capazes de resolver." Ou que é permitido pelas regras cuidadosamente impostas, que é o que acontece nesse caso, na minha modesta opinião. Abraço, 2009/10/26 Ricardo Bánffy > IMHO, toda a idéia de fazer um desafio público assim é idiota. > > É idiota porque nem todos os que conseguirem violar as urnas vão > contar que conseguiram - e como fizeram - para o TSE: há um mercado > muito lucrativo para esse tipo de informação fora de órgãos do > governo. > > É idiota porque seixa o TSE vulnerável a constrangimentos públicos > (pela urna ser invadida, da competição ser "marmelada" e por aí vai) > > É idiota porque mostra um raciocínio torto - você não pode provar que > algo é impossível tentando fazer acontecer e fracassando. No máximo > você pode provar que é um problema mais complicado do que os > convidados são capazes de resolver. > > > > http://noticias.terra.com.br/brasil/noticias/0,,OI4059597-EI7896,00.html > > Laryssa Borges >Direto de Brasília > > Hackers dizem que o desafio lançado pelo Tribunal Superior Eleitoral > (TSE), que pediu a piratas da internet de todo o País para que tentem > fraudar o sistema de urnas eletrônicas é, na verdade, apenas uma forma > de "provar" que o mecanismo eletrônico é inviolável. Segundo eles, o > TSE manipula as regras do jogo, limitando os softwares que eles podem > usar na tentativa de violar as urnas. O TSE afirma que "não pretende > cercear nenhum investigador". > > "A realidade é uma só. Eles, do TSE, não querem correr o risco. Por > isso escolhem os softwares a serem usados. Fica complicado assim. Um > software que é usado para 'crackear' e 'hackear' hoje custa em torno > de R$ 30 mil. É quase impossível adquirir a licença de forma legal. Se > pudéssemos usar (qualquer ferramenta) seria outra coisa e a realidade, > outra. Com certeza a perícia forense nesses sistemas (ilegais) seria > frágil", comenta o hacker Álvaro Falconi, moderador do fórum > www.forum-hacker.com.br, grupo de discussão sobre a atividade na > internet. > > Entre os profissionais que trabalham para testar a segurança de > sistemas informatizados, a preocupação com o desafio do TSE é que, em > função de lidar com o Poder Judiciário, eles possam ser processados se > tentarem violar as urnas eletrônicas utilizando softwares piratas. > > "Ter acesso (ao conteúdo interno da urna) não é o problema. O problema > é eu ser preso por usar softwares ilegais. Em grandes fóruns > brasileiros sobre o tema, o pessoal só diz isso. Só com esses > softwares e possíveis hardwares (piratas) pode ser possível a invasão > do sistemas do TSE. Os softwares que o governo vai disponibilizar, nem > em computadores domésticos conseguem ser explorados", alerta. "Não tem > como burlar (as urnas com os programas sugeridos pelo TSE). Todos, até > leigos no assunto, sabem que isso é malandragem deles. Se eles querem > testar se as urnas deles realmente estão seguras, teriam que deixar > usar as ferramentas que nós temos", critica o hacker. > > Além da proibição óbvia de que os piratas da internet não podem, > durante o teste, jogar as urnas eletrônicas no chão e as abrir > fisicamente com chaves de fenda, por exemplo, o edital garante margem > para que programas ilegais ou roubados, principal mecanismo dos > crackers, sejam preferencialmente evitados nos testes. > > "Como verdadeiros hackers ou crackers vão dizer o software usado (para > burlar a urna)? Um software 'crackeado' do FBI que está na internet, > se o usar (contra o TSE) vai estar usando um software ilegal para > tentar achar as falhas. Não creio que vão se expor assim", resume > Álvaro Falconi. > > Outro lado > O secretário de tecnologia da informação do TSE, Giuseppe Janino, > afirma que o tribunal "não pretende cercear nenhum investigador" e que > não distinguirá os hackers entre os que usam "software livre, > proprietário ou pirata". > > Ele alerta, no entanto, que "os investigadores (hackers inscritos) são > responsáveis pelos softwares e demais ferramentas que julguem > necessários para a execução dos testes, e as penalidades com relação a > roubo ou o uso indevido de softwares de terceiros são publicamente > conhecidas e definidas em lei". > > A decisão de o TSE realizar "testes de penetração" nas urnas > eletrônicas ocorreu após PT e PDT terem ponderado junto ao tribunal > que a verificação feita pelo colegiado "não consegue aferir a > resistência do sistema contra 'ataques informatizados intencionais'". > > Pelo edital, publicado pelo tribunal e sugerido pelo ministro relator > do caso, Ricardo Lewandowski, "o TSE será responsável pela definição e > preparação dos equipamentos necessários para a realização dos testes", > e duas comissões tratarão da "definição dos procedimentos de > realização dos testes", irão "analisar e aprovar a inscrição dos > investigadores" e "validar a metodologia (apresentada pelos hackers)". > > Segundo o tribunal, serão recusados testes qu
[PSL-Brasil] Hackers acusam TSE de manipular desaf io de urnas eletrônicas
IMHO, toda a idéia de fazer um desafio público assim é idiota. É idiota porque nem todos os que conseguirem violar as urnas vão contar que conseguiram - e como fizeram - para o TSE: há um mercado muito lucrativo para esse tipo de informação fora de órgãos do governo. É idiota porque seixa o TSE vulnerável a constrangimentos públicos (pela urna ser invadida, da competição ser "marmelada" e por aí vai) É idiota porque mostra um raciocínio torto - você não pode provar que algo é impossível tentando fazer acontecer e fracassando. No máximo você pode provar que é um problema mais complicado do que os convidados são capazes de resolver. http://noticias.terra.com.br/brasil/noticias/0,,OI4059597-EI7896,00.html Laryssa Borges Direto de Brasília Hackers dizem que o desafio lançado pelo Tribunal Superior Eleitoral (TSE), que pediu a piratas da internet de todo o País para que tentem fraudar o sistema de urnas eletrônicas é, na verdade, apenas uma forma de "provar" que o mecanismo eletrônico é inviolável. Segundo eles, o TSE manipula as regras do jogo, limitando os softwares que eles podem usar na tentativa de violar as urnas. O TSE afirma que "não pretende cercear nenhum investigador". "A realidade é uma só. Eles, do TSE, não querem correr o risco. Por isso escolhem os softwares a serem usados. Fica complicado assim. Um software que é usado para 'crackear' e 'hackear' hoje custa em torno de R$ 30 mil. É quase impossível adquirir a licença de forma legal. Se pudéssemos usar (qualquer ferramenta) seria outra coisa e a realidade, outra. Com certeza a perícia forense nesses sistemas (ilegais) seria frágil", comenta o hacker Álvaro Falconi, moderador do fórum www.forum-hacker.com.br, grupo de discussão sobre a atividade na internet. Entre os profissionais que trabalham para testar a segurança de sistemas informatizados, a preocupação com o desafio do TSE é que, em função de lidar com o Poder Judiciário, eles possam ser processados se tentarem violar as urnas eletrônicas utilizando softwares piratas. "Ter acesso (ao conteúdo interno da urna) não é o problema. O problema é eu ser preso por usar softwares ilegais. Em grandes fóruns brasileiros sobre o tema, o pessoal só diz isso. Só com esses softwares e possíveis hardwares (piratas) pode ser possível a invasão do sistemas do TSE. Os softwares que o governo vai disponibilizar, nem em computadores domésticos conseguem ser explorados", alerta. "Não tem como burlar (as urnas com os programas sugeridos pelo TSE). Todos, até leigos no assunto, sabem que isso é malandragem deles. Se eles querem testar se as urnas deles realmente estão seguras, teriam que deixar usar as ferramentas que nós temos", critica o hacker. Além da proibição óbvia de que os piratas da internet não podem, durante o teste, jogar as urnas eletrônicas no chão e as abrir fisicamente com chaves de fenda, por exemplo, o edital garante margem para que programas ilegais ou roubados, principal mecanismo dos crackers, sejam preferencialmente evitados nos testes. "Como verdadeiros hackers ou crackers vão dizer o software usado (para burlar a urna)? Um software 'crackeado' do FBI que está na internet, se o usar (contra o TSE) vai estar usando um software ilegal para tentar achar as falhas. Não creio que vão se expor assim", resume Álvaro Falconi. Outro lado O secretário de tecnologia da informação do TSE, Giuseppe Janino, afirma que o tribunal "não pretende cercear nenhum investigador" e que não distinguirá os hackers entre os que usam "software livre, proprietário ou pirata". Ele alerta, no entanto, que "os investigadores (hackers inscritos) são responsáveis pelos softwares e demais ferramentas que julguem necessários para a execução dos testes, e as penalidades com relação a roubo ou o uso indevido de softwares de terceiros são publicamente conhecidas e definidas em lei". A decisão de o TSE realizar "testes de penetração" nas urnas eletrônicas ocorreu após PT e PDT terem ponderado junto ao tribunal que a verificação feita pelo colegiado "não consegue aferir a resistência do sistema contra 'ataques informatizados intencionais'". Pelo edital, publicado pelo tribunal e sugerido pelo ministro relator do caso, Ricardo Lewandowski, "o TSE será responsável pela definição e preparação dos equipamentos necessários para a realização dos testes", e duas comissões tratarão da "definição dos procedimentos de realização dos testes", irão "analisar e aprovar a inscrição dos investigadores" e "validar a metodologia (apresentada pelos hackers)". Segundo o tribunal, serão recusados testes que "não puderem ser repetidos" e "os de caráter destrutivo, que possam resultar em inutilização da urna eletrônica e de seus softwares". Teste para hackers seria inócuo Sem a garantia de utilizar um programa que, pela potência, pode destruir completamente o conteúdo interno da urna eletrônica, hackers avaliam que o desafio do TSE seria inócuo. "As regras não limitam o uso de ferramentas, equipamentos e softwares aos que serão