Leamartine, sobre o teste de penetração na urna do TSE, isto já foi
pedido várias vezes e nunca aprovado. O Amilcar tem batalhado para
isto, e ele sabe que pode contar comigo.
Em relação a fazer uma urna para o fórum, este assunto já foi ventilado
a alguns anos atrás. Eu até me propus a abrir os fontes do software que
desenvolvemos para uma das concorrências do TSE, desde que alguém
escrevesse uma licença de uso adequada para os nossos propósitos.
De qualquer maneira, eu diria que estou disposto a participar se eu
sentir que isto realmente vai levar a algum lugar.
Leamartine Pinheiro de Souza - Rio Net wrote:
Estimado Colega Marcio C Teixeira,
Com base em vossos profundos conhecimentos, a minha proposta de um duplo
teste de penetração, com os técnicos de nosso Fórum examinando as Urnas
do
TSE e os técnicos do TSE examinando uma Urna feita pelos técnicos de
nosso
Fórum é exeqüível ou não ?!!
Principalmente no que diz respeito a uma Urna com a Bios, o Sistema
Operacional e o próprio programa de votação carregados em um memória
RAM,
dependendo, apenas, dos Bancos de Dados relativos aos Candidatos que
seriam
carregados pelas Flash Cards ?!!
Pelo que tenho acompanhado em nossos Fóruns cheguei à conclusão que
sim, no
entanto, não tenho a menor intenção de ficar propondo uma medida que não
tenhamos condições de sustentar !!!
POR UMA URNA ELETRÔNICA REALMENTE SEGURA, subscrevo-me
Atenciosamente,
Leamartine Pinheiro de Souza
21 2558-9814 - [EMAIL PROTECTED]
Rua Conde de Baependi 78, Ap 1310
Flamengo, Rio de Janeiro, RJ
22231-140
-----Mensagem original-----
De: [EMAIL PROTECTED]
[mailto:[EMAIL PROTECTED]] Em
nome de Marcio C. teixeira
Enviada em: quinta-feira, 3 de agosto de 2006 08:15
Para: [EMAIL PROTECTED]
Assunto: Re: [Voto Seguro] Pergunta
Divino,
desculpe-me, mas acho que vc não conhece a tecnologia que está
defendendo. Para colocar seu chip fictício, vc criou um sistema muito
mais complexo e falho do que o atual.
Por exemplo, fizemos um desenvolvimento de um chip (na verdade são 2
chips) com conteúdo dinâmico, exatamente para implementar segurança, a
um ano atrás. Por isto estudei o assunto bastante a fundo, e ele é bem
complexo. Não existe, no mercado, uma solução realmente dinâmica,
existem várias soluções caixa preta, com algum dinamismo insuficiente
para se evitar um real ataque.
O grande problema, é que este chip "variável" tem que ser validado (ou
seja, ele tem que ser reconhecido pelo sistema ou por algo que
verificará sua presença). "Quem" (equipamento ou software) que fará
este
reconhecimento, tem que "compreender" como funciona este dinamismo.
Como
esta solução também seria fiscalizada, ela não poderia ser uma "caixa
preta", pois se acreditamos que o software da urna (que é muito mais
simples) pode ser fraudada, esta solução também pode. Criar um "chip"
que altere seu conteúdo dinamicamente e ainda possa ser aberto para ser
auditado, vai ser muita mais complexo que a própria urna. Entramos em
um
circulo vicioso, onde o solução de segurança cria novos problemas de
segurança mais complexos.
obesvação:
1) criptografia, só protege dados em trânsito, ou armazenados (que não
deixa de ser trânsito também).
2) se vc tem um sistema centralizado para controlar segurança, este
sistema também pode ser responsável pela própria quebra de segurança,
esta decisão estará na mão de quem o controla.
3) criptografia não evita copia e sim que o conteúdo seja entendido.
4) se vc usa um equipamento (com o palm) para validar o chip, vc terá
que proteger este software contra ataques de "engenharia reversa". Não
existe uma proteção eficaz, no mercado, para este tipo de equipamento.
Estamos portanto uma solução de comunicação segura para um Ipaq (com
WinCe) e criar esta segurança contra "engenharia reversa" esta sendo o
maior problema.
5) Embora eu seja um dos maiores defensores da impresão do voto, ele
também tem falhas. Defendo a impressão do voto, conferido pelo eleitor
(sem manipulação) e confirmado ou cancelado por um sistema
eletro-mecânico (aqui é o ponto chave, pois se for um sistema de
acionamento eletrônico, ele poderá produzir, facilmente, varios votos
inexistentes).
obs final: Acho que o maior erro que o TSE cometeu foi divulgar que a
urna é invuneravel (100% SEGURA), por causa disto muitas pessoas que
participam do processo (ou mesmo eleitores) deixaram de ajudar a
fiscalizar o sistema.
Uma vez perguntei a um membro da equipe técnica do TSE (prefiro não
falar o nome), quantas tentativas de fraudes eles já tinham detectado,
a
resposta foi: NENHUMA. Perguntei então se ele achava que os desonestos
(que sempre fraudaram ou tentaram) tinham ficado honestos depois da
urna
eletrônica. Ele ficou sem resposta...
Algumas regras práticas sobre como se desenvolver soluções seguras:
1) não sub-estime os possíveis fraudadores.
2) não existe 100% seguro.
3) todo sistema será quebrado, por isto vc tem que prever e antever
esta
hipótese.
4) o fato de vc não conhecer, a fundo, uma tecnologia não a faz segura.
(ex: Prof Pedro e sua Seita do Santo Byte)
5) (esta é polêmica) mesmo quando vc usa soluções abertas, a real
segurança esta na parte obscura. Por exemplo na chave.
Desculpe-me pela resposta um tanto técnica, mas se estamos defendendo
uma melhoria no sistema atual, temos que a aprofundar um pouco no lado
técnico.
DivListas wrote:
> Respondendo a Marcio:
>
>
> > Este é o 1. caso que descrevi. Se não tiver conexão com o
sistema,
> > seria bastante fácil fraudar ou simular este chip.
>
> Um chip gravado não é tão simples de fraudar. Pode-se
clona-lo
> por engenharia reversa, mas reproduzir um conteúdo variável
sem
> conhecer a codificação é algo muito difícil.
>
> > Qual tecnologia vc usaria neste chip?
>
> Um simples header codificado com o melhor que a criptografia
possa
> criar. No header haveria um código de identificação da urna que
não
> poderia ser repetido, se o chip fosse clonado o
sistema de
> identificação das urnas avisaria.
>
> > Como vc o protegeria, o chip, contra copia?
>
> Já dito acima, cada chip tem uma identificação criptografada
que o
> diferencia dos outros e não permite cópias. Mesmo que fosse
clonado
> ao ser identificada uma repetição haveria um alarme em um
sistema
> integrado.
>
> > Como vc garantiria a não existência de 2 chips iguais?
>
> Ao identificar o chip a informação é enviada para um sistema
central
> que faz a validação. Se dois ou mais chips iguais
forem
> identificados envia-se para o local responsáveis por uma
auditoria
> para verificar se foi erro ou tentativa de fraude.
>
> > Como o fiscal validaria este chip?
>
> Um simples PALM pode ler o código e enviar pela Internet
através de
> um celular, esta seria uma das diversas formas possíveis. O
chip
> pode ser lido por qualquer equipamento preparado para isso e
enviar
> a informação para uma central.
>
> A qualquer momento um fiscal poderia checar uma urna de
forma
> aleatória, garantindo diversas verificações ao invés de uma só.
>
> E o chip poderia ser apenas UMA das identificações, pode-se
gravar
> em cada URNA um simples código (impresso no metal, por exemplo)
que
> também seja enviado junto com a validação, isso
dificultaria
> ainda mais a clonagem de uma urna.
>
> > etc?
>
> Para etc, respondo: etc!
>
> > Me de um exemplo realmente bem sucedido. Na verdade quase
tudo que
> > só depende de proteção física, ja foi falsificado ou
pirateado.
>
> Tudo pode ser falsificado ou pirateado, por um motivo simples,
não
> existe preocupação real em que não seja.
>
> Dinheiro é falsificado mas ironicamente não tem muita
utilidade a
> quem faz a falsificação porque assim que ela for
identificada a
> origem pode ser rastreada, quanto mais se falsifica mais se
corre o
> risco de ser apanhado.
>
> Penso em facilitar a vida do responsável pelo controle das
urnas,
> que teria a sua disposição um sistema em tempo real que
iria
> permitir checar qualquer urna suspeita. Poder a qualquer
momento (e
> não apenas em uma das etapas) fazer uma verificação e enviar
para um
> sistema central é muito útil.
>
> Somar seguranças não impede a falsificação mas atrapalha
bastante.
>
> Lacre, identificação física em local visível, selo holográfico
e um
> chip com conteúdo criptografado já tornariam bastante
complexo
> falsificar uma urna, some-se a isso falsificar o programa
interno e
> faze-lo passar por outros procedimentos secretos de
segurança e
> temos não um sistema indevassável, mas muito seguro.
E se
> acrescentar a ele a impressão do voto e cuidar para que não se
perca
> este material então chegamos a algo interessante.
>
> Note que em momento algum pretendo um sistema infalível, apenas
não
> deveria ser tão fácil de burlar quanto o atual.
>
> Olhe o trabalho que alguém teria para falsificar uma urna:
>
> 1. Fazer uma urna falsa, com um chip codificado falso e
diversos
> outros dispositivos falsos;
>
> 2. Pagar a alguém para introduzi-la entre as urnas reais;
>
> 3. Fazer uma urna real sumir;
>
> 4. Criar um programa que reproduza um programa que todo
mundo
> conhece mas que ao mesmo tempo foi projetado para não falhar;
>
> 5. Corromper diversos fiscais e juízes eleitorais que
são os
> responsáveis por cada urna;
>
> 6. Burlar a impressão do voto (quero ver alguém conseguir
fazer
> isso);
>
> Agora observe o trabalho que alguém teria para burlar o
atual
> sistema;
>
> 1. Pagar alguém de dentro do processo para introduzir um vírus
que
> altere os resultados e fazer com que ele conste do programa que
será
> distribuído;
>
> Neste caso bastaria ter conhecimento do sistema usado na
URNA
> (certamente muita gente deve ter, apesar do povo não ter) e
bolar
> uma das milhares (atualmente 60 mil) de formas de fazer o
sistema
> ser corrompido por um virus.
>
> > Quais procedimentos de segurança vc acha que deveria ter? É
> > exatamente isto que eu tinha questionado.
>
> Os sistemas de segurança que imagino e tenho certeza
que
> especialistas poderiam imaginar melhor teriam a ver com um
sistema
> totalmente aberto e auditável colocado em um hardware
padronizado e
> que pudesse ser identificado a partir de um simples
dispositivo
> eletronico (celular, palm, notebook) que seja conectado a urna
para
> permitir a leitura de um ou mais chips de identificação.
>
> A função do chip de identificação é apenas garantir que o
hardware
> não é falsificado e não pode haver qualquer
possibilidade de
> comunicação entre o dispositivo de identificação de hardware
com o
> software de votação.
>
> Garante-se assim um hardware idôneo.
>
> sendo o software conhecido ele pode ser auditado ANTES de
ser
> injetado no hardware, claro que nada vai impedir a
falsificação
> neste processo (como não é possível impedir no processo atual)
e é
> neste ponto que entra a importância da impressão. Por mais
que se
> falsifique um programa não é possível falsificar uma
impressão e
> mesmo que os defensores da NÃO IMPRESSÃO usem argumentos
ridículos
> sob a impossibilidade de analfabetos e cegos checarem o que
está
> sendo impresso eu apenas responderia que eles JÁ não podem
checar
> seu voto, um cego pode apertar a tecla certa gravada com
sinais em
> braille, mas um analfabeto não tem como saber o número que
está na
> tela se não sabe qual o número que está no papel e até onde
sei as
> urnas não tem som... mas na minha opinião deveria ter, pois
seria
> mais uma dificuldade para eventuais pilantras.
>
> Outra forma de segurança seria codificar a relação de
candidatos,
> afinal nas eleições regionais eles mudam mesmo. Sem saber
qual a
> codificação usada um eventual programador de uma urna falsa ou
uma
> verdadeira com software falso não teria como saber a ordem dos
dados
> e seu programa não conseguiria ler.
>
> É aí que entra o chip codificado, na hora de carregar a urna
com a
> relação dos candidatos o sistema de carga pode checar o chip
e se
> não receber um OK do sistema central não carrega os
candidatos na
> urna, ou seja, alguém pode colocar um sistema falso lá... mas
ele
> não vai saber ler o banco de dados.
>
> Naturalmente estou apenas dando uma resposta a uma pergunta,
com
> certeza uma equipe de experts teria condições de pensar em
sistemas
> muito melhores e dinheiro para paga-los sei que não falta.
>
> > Acho que vc não entendeu como é a fraude por clonagem,
acredito que
> > o livro do Amilcar explica bem este tipo de ataque.
>
> Mesmo que eu não entendesse seria apenas uma das fraudes
possíveis e
> não a única.
>
> Impedir UM tipo de ataque não resolve nada, e preciso
pensar em
> vários tipos.
>
> Como também não sei quais seriam todos os tipos de ataques
possiveis
> (alguém sabe?) seria o caso de criar dispositivos de
proteção em
> vários níveis que pretendam impedir algumas das
possibilidades
> conhecidas, a meu ver:
>
> 1. Dificultar a clonagem do hardware;
>
> 2. Dificultar - pela transparência - o uso de um software que
pode
> ser malicioso desde sua origem;
>
> 3. Criar dispositivos de teste imediato e eletronico nas urnas,
que
> possam ser utilizados em várias etapas por pessoas que
apenas
> precisam de um treinamento no uso do dispositivo.
>
> Os dispositivos seriam:
>
> 1. Leitor de sinais na urna, de lacres e de chips
identificadores,
> repassando ON LINE esta informação para um sistema
central,
> projetado para encontrar padrões e falhas de segurança;
>
> 2. Leitura visual de sinais da urna, que permitiriam ao
próprio
> eleitor saber se ela é real ou falsa, com isso se
impediria
> falsificações grosseiras, atualmente qualquer caixa metálica
com
> botões que se coloque em um local de votação podem
enganar um
> eleitor;
>
> 3. IMPRESSÃO DO VOTO;
>
> 4. IMPRESSÃO DO VOTO;
>
> 5. IMPRESSÃO DO VOTO;
>
> E finalmente criar um sistema para ler os votos impressos e
dar um
> segundo resultado em tempo bem mais hábil que a leitura manual.
>
> Se o sistema de leitura de votos impressos não estiver
exatamente
> igual ao sistema eletronico - com uma margem matemática de
erro -
> então passa-se a contagem manual porque neste caso houve
falha ou
> fraude no processo.
>
> > Divino, se vc quiser aprofundar tecnicamente o assunto, terei
o
> > maior prazer em levar esta discussão adiante, mas se ela for
ficar a
> > superficialidade, acho que não será um ganho para este forum.
>
> Meu caro Marcio, não sei se com isso quer dizer que sou
burro ou
> algo parecido, neste caso lamento não estar contribuindo
para o
> Forum, mas acredito que contestar meu ponto de vista apenas
com
> perguntas não é ganho para ninguém.
>
> Estou apenas fazendo sugestões, se alguém as considerar válidas
que
> acrescente algo a elas e as torne úteis, se não considerar
então
> ignore como ignoro muita coisa que leio tanto neste Forum
quanto na
> própria internet e que nada acrescentam a lugar nenhum.
>
> Nada contra não concordar com minhas idéias, mas tudo contra
sugerir
> que não tenho conhecimento técnico do que falo.
>
> Sei muito bem o que já foi dito sobre a urna e até muita coisa
que
> não foi dita, mas jamais tive a oportunidade de ver com
meus
> próprios olhos e se duvido dos juizes posso muito bem
duvidar de
> qualquer outro que diga que viu mas não tem como provar.
>
> Neste ambiente de desconhecimento geral valem as suposições
e o
> conhecimento de cada um da tecnologia e neste aspecto sei
que me
> garanto e espero que o Forum permita que expresse minhas
opiniões a
> respeito, ainda que pareçam inúteis a quem assim quiser vê-las.
>
> Sou inclusive, totalmente contra opiniões que impeçam a
livre
> expressão, já que teoricamente somos um grupo de
defensores da
> democracia, embora tenha certeza que aqui há muitos
representantes
> do lado que não é.
>
> Grande abraço,
>
> Divino Leitão
> Conheça www.minimidia.com.br mais informação em menos
espaço.
>
> Pra rir e pensar (não necessariamente nesta ordem)
> Mulher: O ideal é que tenha o brilho de uma atriz de cinema,
os
> modos de uma dama, que faça amor como uma prostituta e que
trabalhe
> feito uma mula.
>
>
>
>
[As partes desta mensagem que não continham texto foram removidas]
_____________________________________________
O texto acima e' de inteira e exclusiva responsabilidade de seu autor,
conforme identificado no campo "remetente", e nao representa
necessariamente
o ponto de vista do Forum do Voto Seguro
O Forum do Voto Seguro visa debater a confiabilidade dos sistemas
eleitorais
informatizados, em especial o brasileiro, nos seus aspectos técnicos e
jurídicos.
_____________________________________________
Pagina, Jornal e Forum do Voto-E
http://www.votoseguro.org
_____________________________________________
Para cancelar sua assinatura neste grupo, envie um e-mail para:
[EMAIL PROTECTED]
Links do Yahoo! Grupos
__._,_.___
_____________________________________________
O texto acima e' de inteira e exclusiva responsabilidade de seu autor,
conforme identificado no campo "remetente", e nao representa
necessariamente o ponto de vista do Forum do Voto Seguro
O Forum do Voto Seguro visa debater a confiabilidade dos sistemas
eleitorais informatizados, em especial o brasileiro, nos seus aspectos
técnicos e jurídicos.
_____________________________________________
Pagina, Jornal e Forum do Voto-E
http://www.votoseguro.org
_____________________________________________
Para cancelar sua assinatura neste grupo, envie um e-mail para:
[EMAIL PROTECTED]
![]()
| Yahoo!
Grupos, um serviço oferecido por: |
PUBLICIDADE
![]()
|
|
Links do Yahoo! Grupos
__,_._,___
|
