Explicando alguma afirmações que coloquei na página com comentários sobre o teste do Paraguai em: http://www.votoseguro.org/textos/penetracao2.htm
1) Sobre a quebra do verificação de integridade: As urnas modelo 96, utilizadas no Paraguai, tem o sistema operacional VirtuOS com o seu programa autoexec.bat (setup.bat, na verdade) que controla toda a verificação de integridade. Num artigo do Pedro Rezende de 2004 ele já havia denunciado que era possivel quebrar a verificação de integridade pela simples edição deste arquivo setup.bat. Vejam logo no início do vídeo que entram as telas normais dos programas de votação que informam estarem sendo feitas as verificações de integridade (do sistema, da FI, etc), mas nenhuma adulteração foi detectada e o programa continuou como se tudo estivesse normal, sugerindo que foi feita a quebra nos moldes que o Prof Rezende previu. 2) sobre a modalidade de teste (CAPACITACION) No Brasil, as urnas podem funcionar em modalidade de teste que são feitos obrigatoriamente em pelo menos uma urna em cada zona eleitoral. As características desta modalidade de funcionamento das urnas é que: a) não respeita o bloqueio de data e hora, podendo-se iniciar a encerrar a votação a qualquer momento; b) na zerésima e no BU final aparece escrito, logo em cima de seu cabeçalho, que o programa está sob teste (VPREPOS) Reparem que entre o inicio da votação e o final no video paraguaio, correm apenas 30 minutos sem nenhuma restrição de horário, o que significa que o programa de votação estava em modalidade de teste. (para colocar o programa em modalidade de teste também basta apenas fazer pequenas alterações no arquivo setup.bat) Reparem também que no BU (acta de escrutínio) da para ler a palavra CAPACITACION logo no seu início. Isto tudo significa que, no video paraguaio, as modificações no software foram desenvolvidas não para fraudar uma eleição e sim para demonstrar que é possivel se modificar os programas das urnas para fraudar uma eleição. 3) sobre a troca de teclas. No video é possivel ver que cada eleitor votava para seis cargos. Os votos dados por eleitores pares à chapa 8 eram trocados pela chapa 2 quando o eleitor confirmava o voto. Para se fazer isto não é necessário nem mesmo mexer no programa de votação. Este fica intacto. Apenas se instala um programa de controle de teclado, que têm sido chamados de sniffers, que substitui seletivamente as teclas digitas pelo eleitor. Assim, se o segundo CONFIRMA (que completa o voto) for substituido pelo CANCELA e em seguida foram introduzidas as teclas com o voto ao outro candidato, o programa de votação (que está inalterado) irá computar o voto ao outro candidato e não ao que o eleitor digitou. Tudo indica que foi esta a técnica utilizada pelos paraguaios que fizeram o vídeo. A possibilidade deste tipo de ataque por controle do ambiente (teclado e vídeo), sem adulterar o programa de votação, também tinha sido previsto em artigo escrito por mim e pelo Marcio Teixeira em 2001. Ver o artigo em: http://www.brunazo.eng.br/voto-e/textos/reflexoes.htm obs.: não coloquei esta referência ao artigo que escrevi com o Márcio nos comentários sobre o vídeo do Paraguai. [ ]s Amilcar Brunazo Filho ______________________________________________________________ O texto acima e' de inteira e exclusiva responsabilidade de seu autor, conforme identificado no campo "remetente", e nao representa necessariamente o ponto de vista do Forum do Voto-E O Forum do Voto-E visa debater a confibilidade dos sistemas eleitorais informatizados, em especial o brasileiro, e dos sistemas de assinatura digital e infraestrutura de chaves publicas. __________________________________________________ Pagina, Jornal e Forum do Voto Eletronico http://www.votoseguro.org __________________________________________________
