A todos
Encaminho respostas do Amilcar e mais comentários do JCMelo. Esclareço ao
JCMelo que, em nosso Fórum, há vários 'tops' no assunto, versados em segurança
de dados; eu me excluo desse universo. Considero-me um informata conhecedor do
problema e com noções suficientes para desmascarar a propaganda criminosa
promovida pelos técnicos do TSE (e, eventualmente, outros participantes),
incompetentes, demagogos e arrogantes, que montaram esse sistema. Sua maior
habilidade foi a de enganar juristas leigos no assunto. Felizmente, parece que
foram substituidos.
Abraço
Walter Del Picchia - S.Paulo/SP
(Seria muito produtivo que o Melo participasse de nosso Fórum, inscrevendo-se
nas
listas)
=============================================
Em Sab, Junho 10, 2006 10:26 pm, melo2 escreveu:
> Amigos,
>
> O Amilcar, que junto com o Walter sao o top desse assunto, me mandou o e-mail
abaixo, que repasso.
>
> Tambem o Walter colocou meus comentarios nas 3 listas sobre o voto (sugiro aos
amigos interessados serem membros desses forums), em
>
> [EMAIL PROTECTED]
> [EMAIL PROTECTED]
> [EMAIL PROTECTED]
>
> com o comentario:
>
> Encaminho observações do JCMelo sobre o documento entregue ao Presidente do
> TSE.
Não repito o documento, pois já foi enviado às três listas (hoje,
> 10/06/06).
>
> Acho ótimo uma pessoa com a experiência do JCMelo suscitar debates na lista.
> É da
discussão que surgem e/ou se testam as idéias (quase sempre...).
>
> ====================================Caro Amilcar, obrigado. Data venia, veja
> meus
> comentarios abaixo.
>
> *********** REPLY SEPARATOR ***********
>
> On 10/6/2006 at 16:16 Amilcar Brunazo Filho wrote:
>
>>Caro Melo,
>>
>>Respondo, entre-trechos, algumas de suas colocações.
>>
>>melo2 escreveu:
>
>>> Concordo com tudo, entretanto, o documento praticamente visa
>>> conhecer/evitar os EFEITOS de uma fraude (como fiscalizar, etc), mas
>>> a minha preocupacao es com as CAUSAS.
>
> COMENTARIO do Amilcar: No meu entender, a fonte de todo o problema de falta de
transparencia na apuracao dos votos no Brasil nao eh de natureza de tecnologia,
e
sim de natureza juridica. Tem a ver com o acumulo de poderes do TSE. Onde ha
acumulo de poderes, resulta em obscurantismo e autoritarismo.
>
> COMENTARIO do Melo: O caso do TSE es unico, nunca vi nada similar em toda
> minha
vida, e me pergunto como o STF e a OAB aceitaram isso.
>
> Mas a sua importancia seria muito menor se tivessemos seguranca tecnologica na
propria urna.
>
> Quero entretanto dizer que eu conheco muito pouco da urna, somente por ouvir
> dizer.
> Voces a conhecem infinitamente mais do que eu. No entanto, tenho 55 anos de
> hardware/software e uns 30 anos continuos de controle de processos por
computadores (tudo em tempo-real) pois ele foi a minha maior especialidade, e
aprendi sobre como dar seguranca a um sistema por isso ser imperativo nessas
aplicacoes.
>
> Dizendo-o de outra maneira eu nao conheco a urna, mas conheco o que ela DEVE
> TER.
E por conhecer controle de processos (o que certamente nao ocorre com os
tecnicos
do TSE) tenho certeza de que a urna deve ter somente processos superficiais de
seguranca, como alias provam algumas coisas que ja sabemos.
>
>>>
>>> Sobre a urna em si, eu posso fazer dezenas de perguntas tecnicas que,
>>> por impossibilidade de respostas, evidenciariam a sua fragilidade.
>>> Cito quatro exemplos somente:
>>> 1. Que codigo de verificacao (ou um simples checksum, ou um cyclic
>>> redundant code, ou outro) es usado na urna? Se algum codigo de
>>> verificacao es usado, simultaneamente es feita nele uma programacao
>>> vertical? Idem, ele esta gravado em PROM soldada no chassis?
>>> Se as respostas forem negativas, eu afirmo que essa urna es 100%
>>> vulneravel, nao importando o metodo de fraude que possa ser usado.
>>
> COMENTARIO do Melo:
>
> Checksum ou CRC somente nao resolve, ninguem pode aceita-los se nao conhece o
soft, "fiscalizar" o que nao conhece? Essa urna deveria possibilitar que um
fiscal
de partido tivesse um pequeno circuito impresso com um circuitinho e uma prom
soldada, para checar o proprio sistema de checksum da urna (que tambem deve ser
soldado na placa da urna), o que se chama programacao vertical. E antes de tudo,
todos terem conhecimento do soft principal para poder checa-lo. Alias melhor
seria
um CRC. Es imperativo conhecer o soft, pois obviamente eu posso fazer um soft
com
fraude e ele passar num checksum... E aqui vejo um grave erro: segundo sei es
usado aquele SO do Windows mobile, e em hipotese alguma eu o usuaria pois por
seguranca o ideal seria fazer tudo em Assembler ou semelhante. Ai sim a urna
teria
um soft (em linguagem de
> maquina) conhecido e estavel e flowcharteado (invencao minha...), checado
> continuadamente (em tempo-real) pelo checksum da maquina, e este testado A
> VONTADE
pelo checksum externo ao qual me referi, pincipalmente durante a votacao (alguem
vota, e um fiscal de partido interrompe a votacao por um minuto quando quizer
para
fazer o checksum do checksum - e o checksum da maquina seria em tempo-real,
continuo).
>
> Se alguem fraudar o soft o fiscal de partido descobre; se fraudar a prom
> (soldada)
de checksum, idem.
>
> Evidentemente isso se podera melhorar muito mais, es uma questao de discussao
tecnica. No CRC poderia entrar o bios, o soft, a prom de checksum interno, etc.
Questao de discutir, tudo isso es facil.
>
> COMENTARIO do Amilcar:
>
> Todos os programas instalados numa urna-e brasileira tem seu hash
> calculado e assinado. Tambem eh calculado o checksum do chip da BIOS.
>
> Mas nenhum destes valores ficam gravados em PROM fixa. Ficam gravados na
> Flash Card comum (regravavel e presa em soquete) que atua como o Drive C:
> O chip da BIOS também fica colocado num soquete e tambem eh regravavel
> por software.
> Todo este esquema de assinaturas e checksums pode ser burlado por um
> atacante que saiba o que faz. (como o nosso colega Marcio que está
> recebendo copia desta).
>
> Detalhes da sequencia de verificação de integridade dos programas nas
> urnas-e esta descrito no relatorio Unicamp em:
> http://www.tse.gov.br/eleicoes/seguranca/relatorio_unicamp/rel_final.zip
>
> COMENTARIO do Melo: Es o que eu digo, erros primarios que so indicam como
> esta o
resto. Fazer um bios em soquete e todo o resto numa Flash Card ja diz tudo
sobre o
primarismo da urna. Eu nunca faria um negocio desses. E esse erro es tao
primario
que ate da para se pensar em outras coisas.
>
>>> 2. Que confiabilidade tem cada circuito da urna, de acordo com a
>>> Reliability Calculation (R(t)=x) da General Control Theory? E idem
>>> sua confiabilidade total?
>>> Se o TSE nao pode responder a essa pergunta, faco uma outra: Como ele
>>> pode usar uma urna para eleger Congressistas e Governadores e o
>>> Presidente sem conhecer e poder provar a sua confiabilidade minima?
>>> Como aceitar e homologar o seu uso com um circuito eletronico de tal
>>> importancia sem conhecer a confiabilidade matematica dos seus
>>> circuitos eletronicos?
>>> Para conhecimento, eu nunca vi um unico contrato de fabricacao de um
>>> equipamento eletronico de importancia (NASA, servico publico,
>>> militar) sem a OBRIGATORIA clausula da confiabilidade minima R(t)=x;
>>> voces podem isso perguntar ao IEEE, que como sabemos es a maior
>>> associacao de engenheiros eletronicos do mundo. E a Diebold,
>>> fabricante da urna do TSE, obrigatoriamente sabe disso pois caso
>>> contrario nao venderia sequer uma unica urna nos Estados Unidos.
>>> Obviamente se por erro o TSE nao criou essa obrigatoriedade no
>>> circuito TSE-Diebold, no outro circuito TSE-cidadoes/candidatos ela
>>> existe em duas confiabilidades, a conceitual institucional e a formal
>>> eletronica...
>>
>
> COMENTARIO do Melo: Eu tenho certeza de que nao existe. E isso tem varios
> aspectos
negativos. Se voce disser isso numa industria norte-americana que faca qualquer
coisa que deva ter seguranca (como em controle de processos, ou uma urna) ela
vai
achar extranhissimo, pois essa exigencia contratual es a sua tradicional dor de
cabeca para conseguir entregar um contrato... NINGUEM faz isso sem essa
clausula,
o que define a confiabilidade (de uma urna ou equivalente) es o seu R(t)=x, seu
MTBF, seu MTTR, suas redundancias ou nao, e outras coisas. Em paises do 3o.
mundo
es comum nao ter isso, pois es uma grande porta aberta para uma corrupcao
(aconteceu na privatizacao das teles, propositadamente nao teve). Foi um
"esquecimento", e os links das teles no Brasil nao tiveram suas
confiabilidades/redundancias minimas obrigatorias... com grande "economia" dos
investimentos. O sintomatico es que contratos como esses NUNCA sao feitos no
exterior, em comunicacoes, e elas sabiam disso. Ou calaram ou a "tiraram" das
specs.
>
> R = confiabilidade, t = tempo digamos em horas, x = um valor ate 1,00 (1,00
> seria
confiabilidade absoluta, normalmente es um menor valor). Um exemplo real:
> R(10)=0,99. Ou seja em 10 horas PARA ACEITA-LA a urna teria que funcionar em
> 99%
desse tempo, sem falhas eletronicas ou, em outro caso, sem possibilidade de
fraudes (tambem se aplicaria).
>
> Compreenda, Amilcar, o TSE NAO TEM esse valor para poder com ele responder a
> uma
pergunta num processo juridico, portanto estando vulneravel e, por extensao,
toda
uma eleicao. E talvez essa seja uma das razoes por que o sistema foi bloqueado
na
justica brasileira, o TSE nao pode dar numeros acerca das varias confiabilidades
que o seu sistema deve ter. Ele nao os tem, pois nao definiu um minimo e muito
menos obrigou ao fabricante te-lo. Juridicamente nao poderia responder a essa
pergunta. E seria facilimo provar que no 1o. mundo isso es obrigatorio.
>
> COMENTARIO do Amilcar: Nunca vi nas especificações tecnicas das urnas-e nada
parecido com este indice que voce fala.
> Como pode ter passado despercebido por mim, veja os descritivos em:
> http://www.tse.gov.br/institucional/licitacao/arquivos/scident_dt_eu2002.doc
> http://www.tse.gov.br/institucional/licitacao/arquivos/scident_dt_eu2004.doc
>
>>> 3. Que tipo de protocolo es usado entre uma urna (um client) e o seu
>>> server? Se o mais simples TCP/IP, quais as protecoes para evitar
>>> invasoes nos momentos em que a urna ficara online? Esse protocolo tem
>>> alguma verificacao automatica de alto nivel, como por exemplo o
>>> padrao Bose-Chauduri ou uma assinatura automatica de 128 bits?
>>>
>>> Em caso negativo, como o TSE coloca um client online sem uma minima
>>> protecao (proporcional a sua importancia, que em tese ate pode eleger
>>> um Presidente da Republica por fraude) para os dados a serem
>>> transmitidos? Isso es equivalente a um controle de linhas de
>>> transmissao mandar abrir ou fechar um disjuntor de alta tensao usando
>>> o TCP/IP... Protocolos com codigos de verificacao diferentes existem
>>> exatamente por que as suas finalidades sao diferentes.
>>
>
> COMENTARIO do Amilcar: Em nenhum momento as urnas-e se conectam com outros
computadores.
> A carga dos programas e dados eh feita por uma flash-card que eh
> plugada num soquete externo (drive d:) e que controla o boot.
> A sequencia de boot das urnas eh:
> 1- drive D: (externo)
> 2- drive C: (interno)
> 3- bloqueado o boot pelo disquete
>
> A transmissao dos resultados das urnas-e para os computadores da rede do
> TSE eh feito pelo disquete onde todos os arquivos sao criptografados e
> assinados com uma chave de 128 bits comuns a todas as urnas-e e mantida
> secreta (sera mesmo?)
>
> A rede interna do TSE tem recursos de segurança e de controle de acesso
> fornecido pela empresa Modulo.
> No dia da eleição, a rede do TSE fica fisicamente desconectada da Internet.
>
> COMENTARIO do Melo: Nao sabia, mas o meu comentario nao foi errado pois creio
> que
com resultados em poucas horas EM ALGUM MOMENTO o diskette tem que ser
transmitido
numa operacao client-server. E qual o protocolo? Tenho quase certeza de que es o
TCP/IP (mesmo fora da Web) pois ele es facil, seguindo o "criterio" da urna
eletronica. Tem codigo de verificacao automatica? Qual? Ora, um bom hacker entra
ate no Pentagono... mas um codigo como o Bose-Chaudari deixaria o hacker maluco.
Isso es hardware/software, facil de ser feito, por que nao fizeram?
>
> Quero tambem dizer que o que a Modulo fez em nenhuma hipotese es um grid
computing imune a um ataque, pois eu nao conheco nenhum grid "verdadeiro" no
Brasil. Como informacao, a nova grande agencia de Security nos Estados Unidos
(que
englobou 22 agencias idem), SO USA grid computing para torna-la imune a
ataques, e
no ano passado saiu uma recomendacao presidencial para que todas as agencias
publicas passassem para o grid pelo mesmo motivo.
>
> O TSE nao ter um grid (pelo processo que executa) em um crime tecnico.
>
>>
>>> 4. Ate o sistema central usado esta errado, pois ele deveria usar um
>>> grid computing/verticalization para tecnicamente poder evitar ataques
>>> (fraudes). Se o TSE nao acredita, pergunte ao Governo norte-americano
>>> ou mais simplesmente, ao departamento de grid computing da IBM nos
>>> Estados Unidos.
>>>
>>> Como ja disse, dezenas de outras perguntas podem ser feitas, e os
>>> questionamentos dos competentes Walter e Amilcar mesmo se aceitos o
>>> que infelizmente nao acredito, somente resolveriam alguns problemas e
>>> fundamentalmente de fiscalizacao, mas nao os basicos.
>>>
>>> Ora, uma confiabilidade intrinseca e invulneravel ate (em principio)
>>> eliminaria a necessidade de uma extensa e custosa fiscalizacao,
>>> portanto o caso principal seria eliminar os erros de base e nao
>>> somente melhorar a sua fiscalizacao. E se nem isso o TSE aceita,
>>> muito menos esta minha sugestao...
>>
> COMENTARIO do Amilcar: Melo, do meu ponto de vista, somente uma boa (e
eventualmente custosa) fiscalizacao pode atenuar os riscos de fraude em sistema
eleitorais que, pela sua natureza, sao altamente passiveis de serem atacados por
elementos capazes.
> Eu nao acredito que recursos tecnológicos de segurança, por si so,
> possam dar o nivel de segurança absoluto que um sistema eleitoral
> necessita. Por outro lado, ha ainda que se atender ao principio de que a
> confiabilidade do sistema TEM QUE PODER SER COMPLETAMENTE COMPREENDIDA PELOS
ELEITORES COMUNS, e nao apenas pelos especialistas.
>
> COMENTARIO do Melo: Evidentemente nao sou contra qualquer fiscalizacao pelos
partidos ou outros. Mas se pode criar sistemas (e sem custos grandes,
provavelmente iguais aos atuais) tao confiaveis que colocariam a fiscalizacao em
segundo plano. Ademais, existe um outro aspecto: Numa votacao desse tamanho a
fiscalizacao "humana" torna-se impraticavel, ela so pode ser eletronica e
automatica. Mas aberta, claro. E um fiscal de partido interromper uma votacao
por
um minuto para verificar se a maquina "esta boa", psicologicamente seria otimo.
E
nao somente os partidos teriam essa maquininha (acho que ela pode ser feita por
uns R$ 50,00 cada), mas tambem a
> OAB e outras organizacoes.
>
>>
>>> Eu ja disse isso ao meu amigo Walter: Esse caso nao tem solucao e sua
>>> unica saida seria virar a mesa internacionalmente. Ou entao
>>> esperarmos uma comocao institucional com dois candidatos a Presidente
>>> com uma diferenca entre si de somente 2% e uma urna juridicamente
>>> vulneravel em termos internacionais.
>>>
>>> Um abraco, JCMelo
>
>
>
>
______________________________________________________________
O texto acima e' de inteira e exclusiva responsabilidade de seu
autor, conforme identificado no campo "remetente", e nao
representa necessariamente o ponto de vista do Forum do Voto-E
O Forum do Voto-E visa debater a confibilidade dos sistemas
eleitorais informatizados, em especial o brasileiro, e dos
sistemas de assinatura digital e infraestrutura de chaves publicas.
__________________________________________________
Pagina, Jornal e Forum do Voto Eletronico
http://www.votoseguro.org
__________________________________________________
