Estimado Colega Marcio C Teixeira, Desculpe o equívoco na pergunta abaixo, a memória teria de ser ROM ou PROM, e não a memória RAM. Já que até uma EPROM também não seria recomendada.
POR UMA URNA ELETRÔNICA REALMENTE SEGURA, subscrevo-me Atenciosamente, Leamartine Pinheiro de Souza 21 2558-9814 - [EMAIL PROTECTED] Rua Conde de Baependi 78, Ap 1310 Flamengo, Rio de Janeiro, RJ 22231-140 -----Mensagem original----- De: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] Em nome de Leamartine Pinheiro de Souza - Rio Net Enviada em: quinta-feira, 3 de agosto de 2006 11:37 Para: [EMAIL PROTECTED]; [email protected] Assunto: [VotoEletronico] RES: [Voto Seguro] Pergunta Estimado Colega Marcio C Teixeira, Com base em vossos profundos conhecimentos, a minha proposta de um duplo teste de penetração, com os técnicos de nosso Fórum examinando as Urnas do TSE e os técnicos do TSE examinando uma Urna feita pelos técnicos de nosso Fórum é exeqüível ou não ?!! Principalmente no que diz respeito a uma Urna com a Bios, o Sistema Operacional e o próprio programa de votação carregados em um memória RAM, dependendo, apenas, dos Bancos de Dados relativos aos Candidatos que seriam carregados pelas Flash Cards ?!! Pelo que tenho acompanhado em nossos Fóruns cheguei à conclusão que sim, no entanto, não tenho a menor intenção de ficar propondo uma medida que não tenhamos condições de sustentar !!! POR UMA URNA ELETRÔNICA REALMENTE SEGURA, subscrevo-me Atenciosamente, Leamartine Pinheiro de Souza 21 2558-9814 - [EMAIL PROTECTED] Rua Conde de Baependi 78, Ap 1310 Flamengo, Rio de Janeiro, RJ 22231-140 -----Mensagem original----- De: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] Em nome de Marcio C. teixeira Enviada em: quinta-feira, 3 de agosto de 2006 08:15 Para: [EMAIL PROTECTED] Assunto: Re: [Voto Seguro] Pergunta Divino, desculpe-me, mas acho que vc não conhece a tecnologia que está defendendo. Para colocar seu chip fictício, vc criou um sistema muito mais complexo e falho do que o atual. Por exemplo, fizemos um desenvolvimento de um chip (na verdade são 2 chips) com conteúdo dinâmico, exatamente para implementar segurança, a um ano atrás. Por isto estudei o assunto bastante a fundo, e ele é bem complexo. Não existe, no mercado, uma solução realmente dinâmica, existem várias soluções caixa preta, com algum dinamismo insuficiente para se evitar um real ataque. O grande problema, é que este chip "variável" tem que ser validado (ou seja, ele tem que ser reconhecido pelo sistema ou por algo que verificará sua presença). "Quem" (equipamento ou software) que fará este reconhecimento, tem que "compreender" como funciona este dinamismo. Como esta solução também seria fiscalizada, ela não poderia ser uma "caixa preta", pois se acreditamos que o software da urna (que é muito mais simples) pode ser fraudada, esta solução também pode. Criar um "chip" que altere seu conteúdo dinamicamente e ainda possa ser aberto para ser auditado, vai ser muita mais complexo que a própria urna. Entramos em um circulo vicioso, onde o solução de segurança cria novos problemas de segurança mais complexos. obesvação: 1) criptografia, só protege dados em trânsito, ou armazenados (que não deixa de ser trânsito também). 2) se vc tem um sistema centralizado para controlar segurança, este sistema também pode ser responsável pela própria quebra de segurança, esta decisão estará na mão de quem o controla. 3) criptografia não evita copia e sim que o conteúdo seja entendido. 4) se vc usa um equipamento (com o palm) para validar o chip, vc terá que proteger este software contra ataques de "engenharia reversa". Não existe uma proteção eficaz, no mercado, para este tipo de equipamento. Estamos portanto uma solução de comunicação segura para um Ipaq (com WinCe) e criar esta segurança contra "engenharia reversa" esta sendo o maior problema. 5) Embora eu seja um dos maiores defensores da impresão do voto, ele também tem falhas. Defendo a impressão do voto, conferido pelo eleitor (sem manipulação) e confirmado ou cancelado por um sistema eletro-mecânico (aqui é o ponto chave, pois se for um sistema de acionamento eletrônico, ele poderá produzir, facilmente, varios votos inexistentes). obs final: Acho que o maior erro que o TSE cometeu foi divulgar que a urna é invuneravel (100% SEGURA), por causa disto muitas pessoas que participam do processo (ou mesmo eleitores) deixaram de ajudar a fiscalizar o sistema. Uma vez perguntei a um membro da equipe técnica do TSE (prefiro não falar o nome), quantas tentativas de fraudes eles já tinham detectado, a resposta foi: NENHUMA. Perguntei então se ele achava que os desonestos (que sempre fraudaram ou tentaram) tinham ficado honestos depois da urna eletrônica. Ele ficou sem resposta... Algumas regras práticas sobre como se desenvolver soluções seguras: 1) não sub-estime os possíveis fraudadores. 2) não existe 100% seguro. 3) todo sistema será quebrado, por isto vc tem que prever e antever esta hipótese. 4) o fato de vc não conhecer, a fundo, uma tecnologia não a faz segura. (ex: Prof Pedro e sua Seita do Santo Byte) 5) (esta é polêmica) mesmo quando vc usa soluções abertas, a real segurança esta na parte obscura. Por exemplo na chave. Desculpe-me pela resposta um tanto técnica, mas se estamos defendendo uma melhoria no sistema atual, temos que a aprofundar um pouco no lado técnico. DivListas wrote: > Respondendo a Marcio: > > > > Este é o 1. caso que descrevi. Se não tiver conexão com o sistema, > > seria bastante fácil fraudar ou simular este chip. > > Um chip gravado não é tão simples de fraudar. Pode-se clona-lo > por engenharia reversa, mas reproduzir um conteúdo variável sem > conhecer a codificação é algo muito difícil. > > > Qual tecnologia vc usaria neste chip? > > Um simples header codificado com o melhor que a criptografia possa > criar. No header haveria um código de identificação da urna que não > poderia ser repetido, se o chip fosse clonado o sistema de > identificação das urnas avisaria. > > > Como vc o protegeria, o chip, contra copia? > > Já dito acima, cada chip tem uma identificação criptografada que o > diferencia dos outros e não permite cópias. Mesmo que fosse clonado > ao ser identificada uma repetição haveria um alarme em um sistema > integrado. > > > Como vc garantiria a não existência de 2 chips iguais? > > Ao identificar o chip a informação é enviada para um sistema central > que faz a validação. Se dois ou mais chips iguais forem > identificados envia-se para o local responsáveis por uma auditoria > para verificar se foi erro ou tentativa de fraude. > > > Como o fiscal validaria este chip? > > Um simples PALM pode ler o código e enviar pela Internet através de > um celular, esta seria uma das diversas formas possíveis. O chip > pode ser lido por qualquer equipamento preparado para isso e enviar > a informação para uma central. > > A qualquer momento um fiscal poderia checar uma urna de forma > aleatória, garantindo diversas verificações ao invés de uma só. > > E o chip poderia ser apenas UMA das identificações, pode-se gravar > em cada URNA um simples código (impresso no metal, por exemplo) que > também seja enviado junto com a validação, isso dificultaria > ainda mais a clonagem de uma urna. > > > etc? > > Para etc, respondo: etc! > > > Me de um exemplo realmente bem sucedido. Na verdade quase tudo que > > só depende de proteção física, ja foi falsificado ou pirateado. > > Tudo pode ser falsificado ou pirateado, por um motivo simples, não > existe preocupação real em que não seja. > > Dinheiro é falsificado mas ironicamente não tem muita utilidade a > quem faz a falsificação porque assim que ela for identificada a > origem pode ser rastreada, quanto mais se falsifica mais se corre o > risco de ser apanhado. > > Penso em facilitar a vida do responsável pelo controle das urnas, > que teria a sua disposição um sistema em tempo real que iria > permitir checar qualquer urna suspeita. Poder a qualquer momento (e > não apenas em uma das etapas) fazer uma verificação e enviar para um > sistema central é muito útil. > > Somar seguranças não impede a falsificação mas atrapalha bastante. > > Lacre, identificação física em local visível, selo holográfico e um > chip com conteúdo criptografado já tornariam bastante complexo > falsificar uma urna, some-se a isso falsificar o programa interno e > faze-lo passar por outros procedimentos secretos de segurança e > temos não um sistema indevassável, mas muito seguro. E se > acrescentar a ele a impressão do voto e cuidar para que não se perca > este material então chegamos a algo interessante. > > Note que em momento algum pretendo um sistema infalível, apenas não > deveria ser tão fácil de burlar quanto o atual. > > Olhe o trabalho que alguém teria para falsificar uma urna: > > 1. Fazer uma urna falsa, com um chip codificado falso e diversos > outros dispositivos falsos; > > 2. Pagar a alguém para introduzi-la entre as urnas reais; > > 3. Fazer uma urna real sumir; > > 4. Criar um programa que reproduza um programa que todo mundo > conhece mas que ao mesmo tempo foi projetado para não falhar; > > 5. Corromper diversos fiscais e juízes eleitorais que são os > responsáveis por cada urna; > > 6. Burlar a impressão do voto (quero ver alguém conseguir fazer > isso); > > Agora observe o trabalho que alguém teria para burlar o atual > sistema; > > 1. Pagar alguém de dentro do processo para introduzir um vírus que > altere os resultados e fazer com que ele conste do programa que será > distribuído; > > Neste caso bastaria ter conhecimento do sistema usado na URNA > (certamente muita gente deve ter, apesar do povo não ter) e bolar > uma das milhares (atualmente 60 mil) de formas de fazer o sistema > ser corrompido por um virus. > > > Quais procedimentos de segurança vc acha que deveria ter? É > > exatamente isto que eu tinha questionado. > > Os sistemas de segurança que imagino e tenho certeza que > especialistas poderiam imaginar melhor teriam a ver com um sistema > totalmente aberto e auditável colocado em um hardware padronizado e > que pudesse ser identificado a partir de um simples dispositivo > eletronico (celular, palm, notebook) que seja conectado a urna para > permitir a leitura de um ou mais chips de identificação. > > A função do chip de identificação é apenas garantir que o hardware > não é falsificado e não pode haver qualquer possibilidade de > comunicação entre o dispositivo de identificação de hardware com o > software de votação. > > Garante-se assim um hardware idôneo. > > sendo o software conhecido ele pode ser auditado ANTES de ser > injetado no hardware, claro que nada vai impedir a falsificação > neste processo (como não é possível impedir no processo atual) e é > neste ponto que entra a importância da impressão. Por mais que se > falsifique um programa não é possível falsificar uma impressão e > mesmo que os defensores da NÃO IMPRESSÃO usem argumentos ridículos > sob a impossibilidade de analfabetos e cegos checarem o que está > sendo impresso eu apenas responderia que eles JÁ não podem checar > seu voto, um cego pode apertar a tecla certa gravada com sinais em > braille, mas um analfabeto não tem como saber o número que está na > tela se não sabe qual o número que está no papel e até onde sei as > urnas não tem som... mas na minha opinião deveria ter, pois seria > mais uma dificuldade para eventuais pilantras. > > Outra forma de segurança seria codificar a relação de candidatos, > afinal nas eleições regionais eles mudam mesmo. Sem saber qual a > codificação usada um eventual programador de uma urna falsa ou uma > verdadeira com software falso não teria como saber a ordem dos dados > e seu programa não conseguiria ler. > > É aí que entra o chip codificado, na hora de carregar a urna com a > relação dos candidatos o sistema de carga pode checar o chip e se > não receber um OK do sistema central não carrega os candidatos na > urna, ou seja, alguém pode colocar um sistema falso lá... mas ele > não vai saber ler o banco de dados. > > Naturalmente estou apenas dando uma resposta a uma pergunta, com > certeza uma equipe de experts teria condições de pensar em sistemas > muito melhores e dinheiro para paga-los sei que não falta. > > > Acho que vc não entendeu como é a fraude por clonagem, acredito que > > o livro do Amilcar explica bem este tipo de ataque. > > Mesmo que eu não entendesse seria apenas uma das fraudes possíveis e > não a única. > > Impedir UM tipo de ataque não resolve nada, e preciso pensar em > vários tipos. > > Como também não sei quais seriam todos os tipos de ataques possiveis > (alguém sabe?) seria o caso de criar dispositivos de proteção em > vários níveis que pretendam impedir algumas das possibilidades > conhecidas, a meu ver: > > 1. Dificultar a clonagem do hardware; > > 2. Dificultar - pela transparência - o uso de um software que pode > ser malicioso desde sua origem; > > 3. Criar dispositivos de teste imediato e eletronico nas urnas, que > possam ser utilizados em várias etapas por pessoas que apenas > precisam de um treinamento no uso do dispositivo. > > Os dispositivos seriam: > > 1. Leitor de sinais na urna, de lacres e de chips identificadores, > repassando ON LINE esta informação para um sistema central, > projetado para encontrar padrões e falhas de segurança; > > 2. Leitura visual de sinais da urna, que permitiriam ao próprio > eleitor saber se ela é real ou falsa, com isso se impediria > falsificações grosseiras, atualmente qualquer caixa metálica com > botões que se coloque em um local de votação podem enganar um > eleitor; > > 3. IMPRESSÃO DO VOTO; > > 4. IMPRESSÃO DO VOTO; > > 5. IMPRESSÃO DO VOTO; > > E finalmente criar um sistema para ler os votos impressos e dar um > segundo resultado em tempo bem mais hábil que a leitura manual. > > Se o sistema de leitura de votos impressos não estiver exatamente > igual ao sistema eletronico - com uma margem matemática de erro - > então passa-se a contagem manual porque neste caso houve falha ou > fraude no processo. > > > Divino, se vc quiser aprofundar tecnicamente o assunto, terei o > > maior prazer em levar esta discussão adiante, mas se ela for ficar a > > superficialidade, acho que não será um ganho para este forum. > > Meu caro Marcio, não sei se com isso quer dizer que sou burro ou > algo parecido, neste caso lamento não estar contribuindo para o > Forum, mas acredito que contestar meu ponto de vista apenas com > perguntas não é ganho para ninguém. > > Estou apenas fazendo sugestões, se alguém as considerar válidas que > acrescente algo a elas e as torne úteis, se não considerar então > ignore como ignoro muita coisa que leio tanto neste Forum quanto na > própria internet e que nada acrescentam a lugar nenhum. > > Nada contra não concordar com minhas idéias, mas tudo contra sugerir > que não tenho conhecimento técnico do que falo. > > Sei muito bem o que já foi dito sobre a urna e até muita coisa que > não foi dita, mas jamais tive a oportunidade de ver com meus > próprios olhos e se duvido dos juizes posso muito bem duvidar de > qualquer outro que diga que viu mas não tem como provar. > > Neste ambiente de desconhecimento geral valem as suposições e o > conhecimento de cada um da tecnologia e neste aspecto sei que me > garanto e espero que o Forum permita que expresse minhas opiniões a > respeito, ainda que pareçam inúteis a quem assim quiser vê-las. > > Sou inclusive, totalmente contra opiniões que impeçam a livre > expressão, já que teoricamente somos um grupo de defensores da > democracia, embora tenha certeza que aqui há muitos representantes > do lado que não é. > > Grande abraço, > > Divino Leitão > Conheça www.minimidia.com.br mais informação em menos espaço. > > Pra rir e pensar (não necessariamente nesta ordem) > Mulher: O ideal é que tenha o brilho de uma atriz de cinema, os > modos de uma dama, que faça amor como uma prostituta e que trabalhe > feito uma mula. > > > > [As partes desta mensagem que não continham texto foram removidas] _____________________________________________ O texto acima e' de inteira e exclusiva responsabilidade de seu autor, conforme identificado no campo "remetente", e nao representa necessariamente o ponto de vista do Forum do Voto Seguro O Forum do Voto Seguro visa debater a confiabilidade dos sistemas eleitorais informatizados, em especial o brasileiro, nos seus aspectos técnicos e jurídicos. _____________________________________________ Pagina, Jornal e Forum do Voto-E http://www.votoseguro.org _____________________________________________ Para cancelar sua assinatura neste grupo, envie um e-mail para: [EMAIL PROTECTED] Links do Yahoo! Grupos <*> Para visitar o site do seu grupo na web, acesse: http://br.groups.yahoo.com/group/votoseguro/ <*> Para sair deste grupo, envie um e-mail para: [EMAIL PROTECTED] <*> O uso que você faz do Yahoo! Grupos está sujeito aos: http://br.yahoo.com/info/utos.html ______________________________________________________________ O texto acima e' de inteira e exclusiva responsabilidade de seu autor, conforme identificado no campo "remetente", e nao representa necessariamente o ponto de vista do Forum do Voto-E O Forum do Voto-E visa debater a confibilidade dos sistemas eleitorais informatizados, em especial o brasileiro, e dos sistemas de assinatura digital e infraestrutura de chaves publicas. __________________________________________________ Pagina, Jornal e Forum do Voto Eletronico http://www.votoseguro.org __________________________________________________ ______________________________________________________________ O texto acima e' de inteira e exclusiva responsabilidade de seu autor, conforme identificado no campo "remetente", e nao representa necessariamente o ponto de vista do Forum do Voto-E O Forum do Voto-E visa debater a confibilidade dos sistemas eleitorais informatizados, em especial o brasileiro, e dos sistemas de assinatura digital e infraestrutura de chaves publicas. __________________________________________________ Pagina, Jornal e Forum do Voto Eletronico http://www.votoseguro.org __________________________________________________
