Olá,
Estou repassando o link que recebi de Eduardo Souza Machado da Silva (a
quem agradeço a indicação) sobre um texto que fala sobre validação de
programas.
O link e':
[ http://www.acm.org/classics/sep95/ ]
Do qual o Eduardo destacou a conclusão final:
Reflections on Trusting Trust
Ken Thompson
Reprinted from Communication of the ACM, Vol. 27, No. 8, August 1984, pp.
761-763. Copyright © 1984, Association for Computing Machinery, Inc. Also
appears in ACM Turing Award Lectures: The First Twenty Years 1965-1985
Copyright © 1987 by the ACM press and Computers Under Attack: Intruders,
Worms, and Viruses Copyright © 1990 by the ACM press.
[...] varias linhas cortadas
Moral
The moral is obvious. You can't trust code that you did not totally create
yourself. (Especially code from companies that employ people like me.) No
amount of source-level verification or scrutiny will protect you from using
untrusted code. In demonstrating the possibility of this kind of attack, I
picked on the C compiler. I could have picked on any program-handling
program such as an assembler, a loader, or even hardware microcode. As the
level of program gets lower, these bugs will be harder and harder to
detect. A well installed microcode bug will be almost impossible to detect.
Que eu traduzo mais ou menos assim....
"A moral é óbvia. Voce não pode certificar um código (de programa) que não
foi você mesmo que o criou totalmente. (Especialmente código de empresas
que empregam pessoas como eu). Nenhum monte de verificação e análise de
código-fonte irá protegê-lo de usar um código não confiável. Na
demonstração da possibilidade deste tipo de ataque, eu usei um Compilador
da linguagem C. Eu poderia ter usado qualquer outro programa de auxilio a
programação como um assembler (montador), um carregador ou mesmo um
programa numérico gravado em hardware (chips). Conforme o nível de
programação desce, os vícios serão cada vez mais difíceis de se detectar.
Um vício bem instalado programa numérico (compiled assembly microcode) será
quase impossível de detectar."
---------------------
E o Secr. de Inf. do TSE, Sr. Camarão, agora diz, com a maior cara de pau,
que os fiscais dos partidos tiveram ENORMES cinco dias para verificarem e
certificarem o código compilado do sistema operacional integral da urna
(VirtuOS).
Este homem não pode ser levado a sério... Esta apenas nos tentando fazer de
bobos.
...e, para piorar, tem gente que assina em baixo, dizendo que o sistema é
confiável!
__________________________________________________
Pagina, Jornal e Forum do Voto Eletronico
http://www.votoseguro.org
__________________________________________________
