[VotoEletronico] Re: [VotoEletronico] Re: Urnas Eletrônicas - Testes de Penetração

[fernando gonçalves]

Caros Concidadãos

Paz e Bem

 

Tornar popular a causa do voto seguro, eis a questão.

 

Levar a causa aonde está o eleitor.

 

Panfletar, colocar faixas

 

nas ruas, nos postes

 

ir à praça

 

fazer real este fórum virtual.

 

Estou disposto a investir nisso

 

Procuro parceiros

 

pessoas/entidades capazes de usar as Artes, Ciências e Tecnologias

 

para falar na linguagem simples do povo

 

Eu sei em quem votei

Eles também sabem

Mas só eles sabem quem recebeu meu voto.

 

Promover 'Movimentos Populares pelo Voto Seguro'

 

é tão necessário guanto reivindicar Moradia, Transporte, Educação, Saúde.

 

O momento é propício para se ir à praça pública levando a mensagem do Voto Seguro numa variedade de linguagens que não seja apenas o discurso falado/escrito.

 

Em Santos/SãoVicente - SP fóruns de cidadania engendram diferentes eventos

 

que atraem a participação popular,

 

passeios ciclísticos, provas de pedestrianismo, tribuna livre, ágoras, dia do desafio, festas juninas, (...)

 

Meus caros, estou certo que 'em nosso' meio estão presentes os mais diferentes profissionais, pessoas ligadas aos meios de comunicação, a área de marketing, promoção de eventos.

 

Carecemos apenas de 'Ver, Pensar e Agir Coletivamente sobre a conjuntura política atual.

 

O foco das ações deve ser mudado. Sem abandonar as tratativas com o Poder

 

vale-mo-nos de ações 'populares' que ponham a causa do Voto Seguro aonde o povo está.

 

 

Amilcar Brunazo Filho <[EMAIL PROTECTED]> escreveu:

Caro Jurandyr,

Como representante do PDT, conjuntamente com a adv. Maria Cortiz, já tentamos todos estes recursos que você sugere (abaixo).

Dezenas de vezes peticionamos, protestamos, impugnamos junto ao TSE. O resultado é padrão: pede-se um parecer contrário da Secretaria de Informática e, mesmo com argumentos falsos e falciosos, decide-se pelo arquivamento do processo.

Também já representamos alguns temas ao MP. Eles levam nossas denuncias ao TSE, que lhes remete um parecer da Secretaria de Informática, como sempre cheio de falsidades, e o MP decide: arquive-se a representação. Por fora, eles dizem que têm assuntos mais urgentes do que questionar a Justiça Eleitoral que parece estar funcionando tão bem.

Levar qualquer tema ao Supremo (STF ou STJ) é inútil. Pela Constituição 6 dos 7 juizes do TSE veem destas cortes que também indicam o presidente, o vice e o corregedor do TSE. Os demais ministros do Supremo que ainda não estão no TSE, estarão em breve, devido ao sistema de rodízio que intituiram. Votando no STF ou no STJ eles nunca acatam (tomam conhecimento) de nada que venha apresentando recursos contra decisões deles próprios no TSE.

No Congresso, temos assessorados deputados e senadores. No momento existem 4 projetos de lei que apoiamos. Também há 3 pedidos de audiência pública aguardando serem marcadas. Mas nada anda se as cúpulas não deixarem andar. Tem um projeto de lei muito simples, que pede que os boletins de urna sejam disponibilizados na Internet para facilitar a fiscalização, que foi aprovado pela CCJ da Câmara e está quase há um ano ser colocado em votação no plenário pelo presidente da casa. Mas se a sociedade não empurrar, a coisa simplesmente não anda...

Também já fomos ao meio acadêmico. Apresentamos teses e palestras e participamos de debates. A reação: palmas ao final e inação depois.

Ao Vaticano ainda não recorri, mas já fui à OAB, à ABI, à imprensa escrita, televiosionada e internetada, e, como você mesmo ja percebeu como jornalista, a apatia da imprensa é incompreensível. Eles noticiam os problemas das urnas americanas mas são incapazes de falar dos problemas das urnas brasileiras.

Com isto tudo eu lhe repasso a perguntinha inocente: Como chamar a atenção dos políticos, da imprensa, da comunidade acadêmica e do eleitor leigo para o absurdo de se votar em máquinas que não permitem auditoria da apuração?

[ ]s
Amilcar

Jura Passos escreveu:
> Obrigado, Professor.
>
> Perguntinha inocente: não é possível protocolar no TSE, no Ministério
> Público, no Supremo, no Congresso ou no Vaticano uma denúncia apontando
> tudo que está abaixo e no site do voto seguro, chamando oficialmente a
> atenção de todos para os riscos institucionais que estamos criando? Será
> que não basta o que já ocorreu, mais o que está ocorrendo em São Paulo
> em termos de "surpresas", isto é, desgraças anunciadas que ninguém quer
> admitir?
>
> Saudações,
>
> Jurandyr Passos
>
> 2006/5/15, Amilcar Brunazo Filho <[EMAIL PROTECTED]
> >:
>
> (mensagem longa)
> Esta mensagem está sendo enviada para uma lista de jornalistas e
> professores universitários além dos destinatários aparentes
>
> Título
> Falhas de Segurança nas Urnas-E Americanas e Brasileiras
>
> Aviso:
> O autor deste artigo atua como representante técnico de alguns
> partidos políticos junto a Justiça Eleitoral brasileira, onde teve
> acesso a informações sobre o projeto interno das urnas eletrônicas.
> Para tanto teve que assinar um termo de compromisso de manutenção de
> sigilo de forma que não pode divulgar informações que obteve dentro
> daquele órgão oficial. Desta forma, as informações sobre o projeto
> das urnas-e brasileiras aqui apresentadas são apenas aquelas que
> podem ser obtidas em documentos e em procedimenos públicos como
> Resoluções e Instruções do Tribunal Superior Eleitoral (TSE), os
> descritivos técnicos incluidos nos editais de concorrência para o
> fornecimento de urnas eletrônicas, os relatórios técnicos oficiais
> apresentados por entidades acadêmicas (UNICAMP, SBC e COPPE-UFRJ),
> artigos técnicos de terceiros apresentados em congressos e na
> Internet, a participação em cerimônias públicas de carga, teste e
> lacração de urnas eletrônicas,
> autos de processos públicos e perícias na Justiça Eleitoral, etc.
>
> 1- Introdução
>
> No dia 11 de maio de 2006, foi tornado público pela ONG Black Box
> Voting (BBV) a segunda parte do Relatório do especialista em
> informática Harri Hursti contendo análise e testes livres
> desenvolvidos sobre as maquinas eletrônicas de votar modelos TSx
> fabricadas pela empresa Diebold e vendidas nos EUA e no Canadá e
> onde são cobrem em torno de 30% daqueles mercados.
>
> Estes tipos de testes livres de ataque são tecnicamente denominados
> Teste de Penetração e os Relatórios Hursti (1ª e 2ª partes) podem
> ser obtidos em:
> http://www.blackboxvoting.org/BBVreport.pdf
>
> http://www.blackboxvoting.org/BBVtsxstudy.pdf
>
> A conclusão básica destes relatórios é que existem falhas de
> segurança nos projetos e construção das máquinas de votar
> yanque/canadenses da Diebold que permitem que o programa de votação
> possa ser adulterado para modificar o resultado da apuração dos votos.
>
> A primeira parte do Relatório Hursti, de dezembro de 2005, descrevia
> como foi possivel adulterar os programas das máquinas de votar de
> Diebold utilizadas no município de Leon na Flórida de forma a
> fraudar uma votação. A conseqüência imediata da publicação deste
> relatório foi a demisão do presidente da Diebold que, até então,
> afirmava ser impossível se fraudar suas máquinas de votar.
>
> A repercursão do segundo relatório na imprensa americana foi rápida
> e intensa como pode ser visto em:
> - The New York Times
> http://www.nytimes.com/2006/05/12/us/12vote.html?_r=1&oref=slogin
>
> - The Register
> http://www.theregister.com/2006/05/14/diebold_e-voting_flaw/
> - The Beacon Journal
> http://www.ohio.com/mld/beaconjournal/business/14561489.htm
>
> Como a empresa Diebold possui quase 90% do mercado brasileiro de
> urnas eletrônicas, onde com a marca Diebold-Procomp produziu 375 mil
> das 426 mil urnas eletrônicas que serão utilizadas nas eleições
> presidenciais brasileiras de outubro de 2006, se faz necessário
> analisar se as falhas de segurança apontadas nos Relatorios Hursti
> também existem nos modelos de urnas eletrônicas fornecidas no Brasil.
>
> 2- A Análise Hursti
>
> A segunda parte do Relatório Hursti foi desenvovlvida sobre máquinas
> de votar TSx e TS6 da Diebold, fornecidas para o município de Emery
> no estado de Utah. Foi tornado público com quase 50 expressões
> censuradas (substituídos pela expressão "redacted") pelos
> responsáveis da BBV, em virtude de conterem informações que,
> porventura, poderiam facilitar o uso escuso por terceiros em
> eleições futuras.
>
> O relatório conclui pela existência de graves falhas de segurança
> que permitem a adulteração dos programas de votação de forma a
> fraudarem uma eleição futura.
>
> Os portas-voz do fabricante estão se defendendo afirmando que:
>
> a) não existem provas de fraudes já ocorridas em eleições regulares;
>
> b) as vulnerabilidades encontradas são "teoricas" e são baixas a
> probalilidade de virem a ser exploradas.
>
> e a "pérola" das desculpas esfarrapadas onde se disse que:
> c) "está se supondo que funcionários eleitorais diabólicos
> intruduziriam software malicioso nos equipamentos. Eu não acredito
> que estes funcionários eleitorais diabólicos existam!"
>
> Pode parecer trivial afirmar que um programa de computador possa ser
> adulterado com finalidades maliciosas, mas a análise do Sr. Hursti é
> mais rigorosa e completa, afirmando além disso que as falhas de
> segurança encontradas na urnas-E modelos TSx da Diebold:
>
> a) Permitem que as alterações possíveis não só desviem os votos como
> também enganem os testes de verificação de integridade regularmente
> desenvolvidos como as simulações de votação e as verificações de
> assinaturas digitais e resumos "Hash";
>
> b) Foram introduzidas, em parte, de forma intencional pelos
> projetistas para facilitarem os serviços de atualização do software;
>
> c) Possibilita a modificação dos programas em 3 níveis de controle
> diferentes (Sistema Incializador, Sistema Operacional e Programas
> Aplicativos) de forma que as adulterações possam até sobre-existir a
> futuras atualizações, recontaminando automaticamente as máquinas.
>
> A possibilidade de modificação dos programas de computador das
> urnas-e não seria problema grave se elas propiciassem alguma forma
> de se auditar o resultado final da contagem dos votos. Por exemplo,
> o voto impresso conferido pelo eleitor emitidos pelas urnas-e modelo
> SAES3000 da empresa Smartmatic, que foram utilizadas nas eleições de
> 2004 e 2005 na Venezuela, permitiu a auditoria da apuração
> eletrônica dos votos e, se houvesse adulteração dos programas de
> votação, a fraude teria sido detectada.
>
> Porém, as máquinas da Diebold, tanto as disponíveis nos EUA como as
> brasileiras, não fornecem esta alternativa de auditoria da apuração
> dos votos de forma que a confiabilidade do seu software é tudo que
> poderiam dar como garantia de uma justa apuração.
>
> Assim, se nestas máquinas o software das máquinas pode ser
> modificado à revelia do fabricante, cai por terra qualquer
> possibilidade de se afirmar a confiabilidade de tais equipamentos.
>
> Entre as falhas de segurança do modelo TSx da Diebold estão:
>
> a) o sistema de inicialização (boot) pode ser modificado por software;
> b) é possivel se modificar os programas internos por meios digitais
> externos;
> c) o Sistema Operacional (Windows CE) não possui recursos de
> segurança fortes;
> d) o sistema de lacres físicos são ineficientes e o gabinete é fácil
> de abrir sem nada destruir;
> e) é possivel se reconfigurar os recursos de segurança por meio de
> "jumpers" na placa-mãe;
> f) existe um conector interno para cartões de memória "multimédia";
> g) o botão externo de "teste de bateria" pode ser explorado em
> ataques disparados pelo eleitor;
>
> resultando que é necessário menos de 5 minutos para se contaminar
> uma máquina sadia.
>
>
> 3- O modelo das urnas-e brasileiras
>
> Os modelos (98, 2000, 2002, 2004 e 2006) das urnas-e brasileras são
> totalmente controlados pelo corpo técnico do TSE de forma que as 51
> mil fornecidas pela Unisys (modelo 2002) e as 375 mil urnas
> fornecidas pela Diebold (demais modelos) possuem exatamente as
> mesmas características de funcionamento, usabilidade e de segurança.
>
> Diferente dos modelos TSx americanos que, para interação com o
> eleitor, possuem tela e teclado integrados (touch-screen), os
> modelos de urna brasileiras possuem um teclado numérico fixo e uma
> tela de cristal líquido separados e dispostos num mesmo desenho
> patenteado pelo seu primeiro projetista, o Eng. Carlos Rocha.
>
> Os modelos 98 e 2000, que representam 2/3 das urnas-e, possuem
> Sistema Operacional VirtuOS, semelhante ao antigo DOS ampliado com
> funções multi-tarefa, e os modelos seguintes possuem o mesmo Windows
> CE dos modelos TSx americanos.
>
> Por uma questão de padronização da interface com o eleitor e como o
> VirtuOS tem recursos visuais muito limitados, todas as urnas
> brasileiras trabalham com tela totalmente em formato de texto
> (DOS-like) sem os recursos de "janelas" do Windows.
>
> Esta impossibilidade de configuração da tela como teclado é que
> provocou as dificuldades durante a votação do Referendo de 2005
> porque o teclado fixo não possue as teclas "SIM" e " NÃO" que seriam
> necessárias.
>
>
> 5- As características de segurança das urnas-e brasileiras
>
> No Brasil, o TSE acumula funções como a regulamentação da
> fiscalização, a administração do processo eleitoral e o julgamento
> que qualquer recurso em matéria eleitoral até mesmo aqueles que
> sejam contra seus atos administrativos.
>
> Devido a natureza humana, este acúmulo de poderes, inexistente em
> regimes democráticos maduros, naturalmente leva ao autoritarismo e a
> falta de transparência. Por este motivo, pedidos oficiais de Testes
> Livres de Penetração apresentados repetidas vezes por alguns
> Partidos Políticos tem sido sistematicamente impedidos por este
> super-órgão eleitoral pelo simples fato de que ele tem poder de
> centralizar a decisão e impedir tais testes.
>
> Assim, inexistem relatórios no Brasil que sejam similares aos
> Relatórios Hursti, mas ainda é possivel se descobrir as fragilidades
> das urnas-e brasileiras pela análise de documentos oficiais publicos
> como as especificações técnicas em concorências para o fornecimento
> de urnas e laudos de perícias técnicas ocorridas dentro de processos
> judiciais.
>
> Desta forma, se pode afirmar que são muito similares os recursos de
> segurança (e de insegurança) das urnas eletrônicas brasileiras
> quando comparadas com o descrito do Relatório Hursti sobre o modelo
> TSx da Diebold:
>
> a) não emitem o voto impresso conferido pelo eleitor que permita
> auditoria da contagemn dos votos, de forma que são altamente
> dependentes da confiabilidade do software;
>
> b) Possuem chip da BIOS (com inicializador) preso em soquete e
> regravável por software, como especificado nos editais de concorrência;
>
> c) Possuem "extensão de BIOS" habilitada por "jumper" na placa-mãe
> (informação obtida na perícia das urnas-e utilizadas no
> recadastramento no município de Camaçari, BA, onde a "extensão da
> BIOS" estava desabilitada, ver [CHA-02]) que permitem a
> inicialização (boot) a partir do soquete externo para cartão de
> memória flash-card.
>
> d) É possivel a execução de software "batch file" gravado em
> disquete conforme descrito no Relatório Unicamp [UNI-02]
>
> e) O programa aplicativo que verifica a integridade interna do
> sistema é extremamente vulnerável a adulterações [REZ-04]
>
> f) Sistema de lacres e de fechamento do gabinete são simples e
> permitem acesso ao soquete do cartão de memória interno, conforme
> descrito no laudo da perícia no município de Sto. Estevão, BA [REG-04]
>
> Este conjunto de características de (in)segurança das urnas
> brasileiras as tornam tão passíveis de fraudes quanto suas similares
> americanas.
>
> A possibilidade de inicializar (boot) as urnas-e brasileiras através
> de cartão de memória instalado no soquete externo é uma enorme falha
> de segurança pois o programa que comanda o boot pode fazer o que se
> quiser a seguir, inclusive adulterar todo o software interno
> anteriormente instalado. Mas este recurso foi implementado
> proposidamente pelos projetistas do sistema para se poder fazer a
> atualização simplificada do programa de votação nas urnas-e, como se
> conclui analisando-se os procedimentos (públicos) de carga e recarga
> do software, como a seguir descrito:
>
> i) Procedimentos de carga normal das urnas.
>
> É feito por meio de um Flash-card "de carga" que é colocado no
> conector externo das urnas-e.
> Ao se ligar as urnas com este dispositivo de memória instalado se
> pode ver que o boot é dado pelo drive D: (conector externo de
> flash-card), que então copia todo o software oficial para a flash
> interna das urnas-e.
> Durante esta instalação é apagado tudo que tinha no flash-card
> interno, exceto (a partir de 2004) o arquivo de log com eventual
> carga anterior do mesmo sistema.
> Neste arquivo de log são lançados as informações da carga atual pelo
> próprio programa de instalação (que está gravado na flash externa)
> como se pode deduzir no item (ii) seguinte.
> Depois da carga, o flash-card externo é substituido por outro sem
> sistema de inicialização de forma que, durante a eleição/votação, a
> inicialização passa a ser controlada pela software instalado no
> flash-card interno.
>
> ii) Procedimentos de carga excepcional utilizado em 2002:
>
> Em 2002, o software de votação utilizado no 1º turno apresentou
> falhas intermitentes que levaram a modificações para a votação do 2º
> turno. A instalação deste novo software foi feita de uma forma
> diferente da instalação normal.
> Um novo flash de carga foi preparado e, quando colocado no soquete
> externo das urnas-e, apenas trocava o software de votação defeituoso
> pela nova versão, "preservando-se" todos os demais dados e arquivos
> gravados na flash-card interna durante o primeiro turno, e lançando
> no arquivo de log uns eventos diferentes do programa de carga normal.
>
> obs.: as aspas na palavra "preservando-se" foi colocada porque,
> naturalmente, os fiscais externos não tinham como saber se os dados
> anteriores eram mesmo sendo preservados ou não, especialmente depois
> do caso das "Dança dos Hashs" denunciada por um membro do Fórum do
> Voto-e, quando se descobriu que havia diferenças entre as
> assinaturas "hashs" no sistema final instalado nas urnas e o que
> fora apresentado aos fiscais na sede do TSE antes da nova carga.
>
> Estes dois procedimentos, normal e excepcional, de carga das urnas-e
> brasileiras demonstram que é perfeitamente possível se instalar
> software integral ou parcialmente nas urnas-e pelo uso de um flash
> card externo devidamente preparado e que os registros no tal arquivo
> de log é totalmente controlado pelo próprio programa no flash externo.
>
> Para piorar, é este mesmo software externo, que é passado para flash
> intermo, que comandará a máquina durante a votação, durante a
> apuração e, pasmem, durante os testes de assinatura digital
> permitido aos fiscais externos.
>
> Quer dizer, um programa "bem preparado" instalado via flash-card
> externo poderá burlar tanto a apuração dos votos como os testes de
> confiabilidade também...
>
>
> 6- Conclusões
>
> As semelhanças entre as falhas de segurança nas urnas-e brasileiras
> e americanas da Diebold, que são dependentes da segurança do
> software mas que permitem que este software seja adulterado por
> agentes externos, parecem mais que simples coincidência.
>
> No Brasil se desenvolveu uma imagem positiva das urnas eletrônicas,
> apesar destas não permitirem auditoria da apuração dos votos.
>
> Os recursos de segurança aqui aplicados, mesmo não sendo suficientes
> do ponto de vista estritamente técnico, foram suficientes para
> convencer os eleitores leigos com a publicidade oficial que repetia
> insistentemente utilizar "avançados recursos tecnológicos de
> assinatura digital e de criptografia".
>
> O publico leigo não entendia direito para o que isto servia mas
> acreditou nos chavões de que as urnas eletrônicas "são 100% seguras"
> e que "acabaram as fraudes eleitorais".
>
> A Diebold conhecia o sucesso até o momento desta desta experiência
> social, onde recursos de segurança eram usados não com eficácia mas
> apenas como meio de publicidade ilusória. É natural que tentasse a
> mesma "estratégia" nos EUA.
>
> Mas a inexistência de uma órgão central com super-poderes como a
> Justiça Eleitoral brasileira parece estar criando dificuldades à

=== message truncated ===

---

Abra sua conta no Yahoo! Mail - 1GB de espaço, alertas de e-mail no celular e anti-spam realmente eficaz.