Olá,
Eu estava escrevendo uma tradução para o trecho do Relatório Hursti (sobre as urnas eletrônicas Diebold americanas em: http://www.blackboxvoting.org/BBVtsxstudy.pdf ) solicitado pela Marian, quando recebi a tradução do Chadel.
Aí fiz ligeiras adaptações e adicionei uns comentários ao final a respeito das
urnas brasileiras, as quais na sua grande maioria foram fabricadas pela mesma
empresa Diebold, para se ver como seus projetos de (in)segurança são similares
(e, se lá tem falhas de segurança, obviamente aqui tem os mesmos problemas)
Roger Chadel escreveu:
MB> "...Scientists, who have conferred with Diebold representatives, said
MB> Diebold programmers created the security hole intentionally as a
MB> means of quickly upgrading voting software on its electronic voting
MB> machines.
MB> The hole allows someone with a common computer component and
MB> knowledge of Diebold systems to load almost any software without a
MB> password or proof of authenticity and potentially without leaving
MB> telltale signs of the change. ..."
MB> "...This is a 'feature' that was knowingly installed by Diebold. It was
MB> not a mistake or something that was overlooked in the design of the
MB> software. It is not a 'bug', 'glitch', 'flaw', 'error in
MB> programming' or any other simplistic name...."
"Cientistas, que consultaram representantes da Diebold, disseram que
programadores da Diebold criaram a brecha de segurança intecionalmente
como um meio rápido de atualizar o software de votação nas suas
máquinas eletrônicas de votação.
A brecha permite a alguém com um componente comum de computador e
conhecimento dos sistemas da Diebold carregar praticamente qualquer
software sem senha ou prova de autenticidade e sem, potencialmente,
deixar qualquer rastro da modificação.
... Este é um "recurso" que foi instalado com o conhecimento da
Diebold. Não se trata de erro ou algo que tenha sido negligenciado no
projeto do software. Não é 'bug', 'falha', 'flaw', 'erro de
programação' ou qualquer outro nome simplista..."
--------------------
Comentários a respeito das semelhanças do projeto das urnas Diebold americanas
e brasileiras (ou, do TSE):
As urnas-e brasileiras possuem exatamente a mesma falha grave de segurança,
INTENCIONALMENTE instalada por seus projetistas, que foi encontrada e
denunciada no Relatório Hursti -2, e que possibilita que se possa fazer a troca
do software das urnas-e por código malicioso que, eventualmente, poderá
adulterar o resultado da apuração dos votos e ainda não deixar rastros da troca.
São alterações colocadas na programação da BIOS (chip soquetado na placa-mãe)
para que a inicialização (boot) da máquina de votar possa ser feito pela
flash-card EXTERNA.
Este recurso, que é uma tremenda falha de segurança pois o programa que comanda
o boot pode fazer o que se quiser, inclusive se adulterar todo o software
interno anteriormente instalado, foi desenvolvido para se poder fazer a
atualização simplificada do programa de votação nas urnas-e.
Pode-se determinar que de fato existem estas falhas de segurança nas urnas-e
brasileiras analisando-se os seus procedimentos (públicos) de carga e recarga
do software, como abaixo descrito:
1) Procedimentos de carga normal das urnas.
É feito por meio de um Flash-card "de carga" que é colocado no conector externo
das urnas-e. Ao se ligar as urnas com este dispositivo instalado se pode ver que o boot é
dado pelo drive D: (dispositivo externo de flash-card), que então copia todo o software
oficial para a flash interna das urnas-e.
Durante esta instalação é apagado tudo que tinha no flash interno, exceto (a
partir de 2004) o arquivo de log com eventual carga anterior do mesmo sistema.
Neste arquivo de log são lançados as informações da carga atual pelo próprio
programa de instalação (que está gravado na flash externa) como se pode deduzir
no item seguinte apresentado mais adiante.
Depois da carga, o flash externo é substituido por outro sem sistema de
inicialização de forma que, durante a eleição/votação, a inicialização passa a
ser controlada pela software instalado no flash interno.
2) Procedimentos de carga excepcional utilizado em 2002:
Em 2002, o software de votação das urnas-e utilizado no 1º turno apresentou
falhas intermitentes que levaram a se modificá-lo para a votação do 2º turno.
A instalação deste novo software foi feita de uma forma diferente da instalação normal.
Um novo flash de carga foi preparado que, quando colocado no flash externo das urnas-e,
apenas trocava o software de votação defeituoso pela nova versão,
"preservando-se" todos os demais dados e arquivos gravados na flash interna
durante o primeiro turno, e lançando no arquivo de log uns eventos diferentes do programa
de carga normal.
As aspas na palavra "preservando-se" foi colocada porque, naturalmente, os fiscais externos não
tinham como saber se os dados anteriores eram mesmo preservados ou não, especialmente depois do caso das
"Dança dos Hashs" denunciada por um membro do Fórum do Voto-e, quando se descobriu que havia
diferenças entre as assinaturas "hashs" no sistema final instalado nas urnas e o que foi
apresentado aos fiscais na sede do TSE antes da nova carga.
Estes dois procedimentos, normal e excepcional, de carga das urnas-e
brasileiras demonstram que é perfeitamente possível se instalar software
integral ou parcialmente nas urnas-e pelo uso de um flash card externo
devidamente preparado e que o que vai conter o tal arquivo de log é totalmente
controlado pelo programa no flash externo.
Para piorar, é este mesmo software externo, que é passado para flash intermo, que comandará a máquina durante a votação, durante a apuração e, pasmem, durante os testes de assinatura digital permitido aos fiscais externos.
Quer dizer, um programa "bem preparado" instalado via flash externo poderá
burlar tanto a apuração dos votos como os testes de confiabilidade também...
Conclusão final: as semelhanças entre as falhas de segurança nas urnas-e
brasileiras e americanas da Diebold parecem mais que simples coincidência.
[ ]s
Amilcar Brunazo Filho
www.votoseguro.org
EU SEI EM QUEM VOTEI.
ELES TAMBÉM.
MAS SÓ ELES SABEM QUEM RECEBEU O MEU VOTO.
______________________________________________________________
O texto acima e' de inteira e exclusiva responsabilidade de seu
autor, conforme identificado no campo "remetente", e nao
representa necessariamente o ponto de vista do Forum do Voto-E
O Forum do Voto-E visa debater a confibilidade dos sistemas
eleitorais informatizados, em especial o brasileiro, e dos
sistemas de assinatura digital e infraestrutura de chaves publicas.
__________________________________________________
Pagina, Jornal e Forum do Voto Eletronico
http://www.votoseguro.org
__________________________________________________
