Leamartine, dependerá da capacidade técnica dos desenvolvedores e dos
recursos disponíveis. Como já disse na existe urna 100% segura, mas é
possível fazer algo muito mais seguro do que a atual urna do TSE.
Leamartine Pinheiro de Souza - Rio Net wrote:
Estimado Colega Marcio C Teixeira,
No caso do duplo teste de penetração, quais seriam as possibilidades do
TSE
conseguir sucesso no teste da Urna criada pelo nosso Fórum ?!!
POR UMA URNA ELETRÔNICA REALMENTE SEGURA, subscrevo-me
Atenciosamente,
Leamartine Pinheiro de Souza
21 2558-9814 - [EMAIL PROTECTED]
Rua Conde de Baependi 78, Ap 1310
Flamengo, Rio de Janeiro, RJ
22231-140
-----Mensagem original-----
De: [EMAIL PROTECTED]
[mailto:[EMAIL PROTECTED]] Em
nome de Marcio C. teixeira
Enviada em: quinta-feira, 3 de agosto de 2006 12:00
Para: [EMAIL PROTECTED]
Cc: [email protected]
Assunto: Re: RES: [Voto Seguro] Pergunta
Leamartine, sobre o teste de penetração na urna do TSE, isto já foi
pedido várias vezes e nunca aprovado. O Amilcar tem batalhado para
isto,
e ele sabe que pode contar comigo.
Em relação a fazer uma urna para o fórum, este assunto já foi ventilado
a alguns anos atrás. Eu até me propus a abrir os fontes do software que
desenvolvemos para uma das concorrências do TSE, desde que alguém
escrevesse uma licença de uso adequada para os nossos propósitos.
De qualquer maneira, eu diria que estou disposto a participar se eu
sentir que isto realmente vai levar a algum lugar.
Leamartine Pinheiro de Souza - Rio Net wrote:
>
> Estimado Colega Marcio C Teixeira,
>
> Com base em vossos profundos conhecimentos, a minha proposta de um
duplo
> teste de penetração, com os técnicos de nosso Fórum examinando as
Urnas do
> TSE e os técnicos do TSE examinando uma Urna feita pelos técnicos
de nosso
> Fórum é exeqüível ou não ?!!
>
> Principalmente no que diz respeito a uma Urna com a Bios, o Sistema
> Operacional e o próprio programa de votação carregados em um
memória RAM,
> dependendo, apenas, dos Bancos de Dados relativos aos Candidatos
que
> seriam
> carregados pelas Flash Cards ?!!
>
> Pelo que tenho acompanhado em nossos Fóruns cheguei à conclusão
que
> sim, no
> entanto, não tenho a menor intenção de ficar propondo uma medida
que não
> tenhamos condições de sustentar !!!
>
> POR UMA URNA ELETRÔNICA REALMENTE SEGURA, subscrevo-me
>
> Atenciosamente,
>
>
> Leamartine Pinheiro de Souza
> 21 2558-9814 - [EMAIL PROTECTED]
> Rua Conde de Baependi 78, Ap 1310
> Flamengo, Rio de Janeiro, RJ
> 22231-140
>
> -----Mensagem original-----
> De: [EMAIL PROTECTED]
> [mailto:[EMAIL PROTECTED]] Em
> nome de Marcio C. teixeira
> Enviada em: quinta-feira, 3 de agosto de 2006 08:15
> Para: [EMAIL PROTECTED]
> Assunto: Re: [Voto Seguro] Pergunta
>
> Divino,
> desculpe-me, mas acho que vc não conhece a tecnologia que está
> defendendo. Para colocar seu chip fictício, vc criou um sistema
muito
> mais complexo e falho do que o atual.
> Por exemplo, fizemos um desenvolvimento de um chip (na verdade são
2
> chips) com conteúdo dinâmico, exatamente para implementar
segurança, a
> um ano atrás. Por isto estudei o assunto bastante a fundo, e ele é
bem
> complexo. Não existe, no mercado, uma solução realmente dinâmica,
> existem várias soluções caixa preta, com algum dinamismo
insuficiente
> para se evitar um real ataque.
> O grande problema, é que este chip "variável" tem que ser validado
(ou
> seja, ele tem que ser reconhecido pelo sistema ou por algo que
> verificará sua presença). "Quem" (equipamento ou software) que
fará este
> reconhecimento, tem que "compreender" como funciona este
dinamismo. Como
> esta solução também seria fiscalizada, ela não poderia ser uma
"caixa
> preta", pois se acreditamos que o software da urna (que é muito
mais
> simples) pode ser fraudada, esta solução também pode. Criar um
"chip"
> que altere seu conteúdo dinamicamente e ainda possa ser aberto
para ser
> auditado, vai ser muita mais complexo que a própria urna. Entramos
em um
> circulo vicioso, onde o solução de segurança cria novos problemas
de
> segurança mais complexos.
>
> obesvação:
> 1) criptografia, só protege dados em trânsito, ou armazenados (que
não
> deixa de ser trânsito também).
> 2) se vc tem um sistema centralizado para controlar segurança, este
> sistema também pode ser responsável pela própria quebra de
segurança,
> esta decisão estará na mão de quem o controla.
> 3) criptografia não evita copia e sim que o conteúdo seja
entendido.
> 4) se vc usa um equipamento (com o palm) para validar o chip, vc
terá
> que proteger este software contra ataques de "engenharia
reversa". Não
> existe uma proteção eficaz, no mercado, para este tipo de
equipamento.
> Estamos portanto uma solução de comunicação segura para um Ipaq
(com
> WinCe) e criar esta segurança contra "engenharia reversa" esta
sendo o
> maior problema.
> 5) Embora eu seja um dos maiores defensores da impresão do voto,
ele
> também tem falhas. Defendo a impressão do voto, conferido pelo
eleitor
> (sem manipulação) e confirmado ou cancelado por um sistema
> eletro-mecânico (aqui é o ponto chave, pois se for um sistema de
> acionamento eletrônico, ele poderá produzir, facilmente, varios
votos
> inexistentes).
>
> obs final: Acho que o maior erro que o TSE cometeu foi divulgar
que a
> urna é invuneravel (100% SEGURA), por causa disto muitas pessoas
que
> participam do processo (ou mesmo eleitores) deixaram de ajudar a
> fiscalizar o sistema.
> Uma vez perguntei a um membro da equipe técnica do TSE (prefiro não
> falar o nome), quantas tentativas de fraudes eles já tinham
detectado, a
> resposta foi: NENHUMA. Perguntei então se ele achava que os
desonestos
> (que sempre fraudaram ou tentaram) tinham ficado honestos depois
da urna
> eletrônica. Ele ficou sem resposta...
>
> Algumas regras práticas sobre como se desenvolver soluções seguras:
>
> 1) não sub-estime os possíveis fraudadores.
> 2) não existe 100% seguro.
> 3) todo sistema será quebrado, por isto vc tem que prever e
antever esta
> hipótese.
> 4) o fato de vc não conhecer, a fundo, uma tecnologia não a faz
segura.
> (ex: Prof Pedro e sua Seita do Santo Byte)
> 5) (esta é polêmica) mesmo quando vc usa soluções abertas, a real
> segurança esta na parte obscura. Por exemplo na chave.
>
> Desculpe-me pela resposta um tanto técnica, mas se estamos
defendendo
> uma melhoria no sistema atual, temos que a aprofundar um pouco no
lado
> técnico.
>
>
> DivListas wrote:
> > Respondendo a Marcio:
> >
> >
> > > Este é o 1. caso que descrevi. Se não tiver conexão com
o sistema,
> > > seria bastante fácil fraudar ou simular este chip.
> >
> > Um chip gravado não é tão simples de fraudar. Pode-se
clona-lo
> > por engenharia reversa, mas reproduzir um conteúdo
variável sem
> > conhecer a codificação é algo muito difícil.
> >
> > > Qual tecnologia vc usaria neste chip?
> >
> > Um simples header codificado com o melhor que a
criptografia possa
> > criar. No header haveria um código de identificação da
urna que não
> > poderia ser repetido, se o chip fosse clonado o
sistema de
> > identificação das urnas avisaria.
> >
> > > Como vc o protegeria, o chip, contra copia?
> >
> > Já dito acima, cada chip tem uma identificação
criptografada que o
> > diferencia dos outros e não permite cópias. Mesmo que
fosse clonado
> > ao ser identificada uma repetição haveria um alarme em
um sistema
> > integrado.
> >
> > > Como vc garantiria a não existência de 2 chips iguais?
> >
> > Ao identificar o chip a informação é enviada para um
sistema central
> > que faz a validação. Se dois ou mais chips
iguais forem
> > identificados envia-se para o local responsáveis por uma
auditoria
> > para verificar se foi erro ou tentativa de fraude.
> >
> > > Como o fiscal validaria este chip?
> >
> > Um simples PALM pode ler o código e enviar pela Internet
através de
> > um celular, esta seria uma das diversas formas
possíveis. O chip
> > pode ser lido por qualquer equipamento preparado para isso
e enviar
> > a informação para uma central.
> >
> > A qualquer momento um fiscal poderia checar uma urna
de forma
> > aleatória, garantindo diversas verificações ao invés de uma
só.
> >
> > E o chip poderia ser apenas UMA das identificações,
pode-se gravar
> > em cada URNA um simples código (impresso no metal, por
exemplo) que
> > também seja enviado junto com a validação, isso
dificultaria
> > ainda mais a clonagem de uma urna.
> >
> > > etc?
> >
> > Para etc, respondo: etc!
> >
> > > Me de um exemplo realmente bem sucedido. Na verdade
quase tudo que
> > > só depende de proteção física, ja foi falsificado ou
pirateado.
> >
> > Tudo pode ser falsificado ou pirateado, por um motivo
simples, não
> > existe preocupação real em que não seja.
> >
> > Dinheiro é falsificado mas ironicamente não tem muita
utilidade a
> > quem faz a falsificação porque assim que ela for
identificada a
> > origem pode ser rastreada, quanto mais se falsifica mais
se corre o
> > risco de ser apanhado.
> >
> > Penso em facilitar a vida do responsável pelo controle
das urnas,
> > que teria a sua disposição um sistema em tempo real
que iria
> > permitir checar qualquer urna suspeita. Poder a qualquer
momento (e
> > não apenas em uma das etapas) fazer uma verificação e
enviar para um
> > sistema central é muito útil.
> >
> > Somar seguranças não impede a falsificação mas atrapalha
bastante.
> >
> > Lacre, identificação física em local visível, selo
holográfico e um
> > chip com conteúdo criptografado já tornariam bastante
complexo
> > falsificar uma urna, some-se a isso falsificar o programa
interno e
> > faze-lo passar por outros procedimentos secretos de
segurança e
> > temos não um sistema indevassável, mas muito
seguro. E se
> > acrescentar a ele a impressão do voto e cuidar para que não
se perca
> > este material então chegamos a algo interessante.
> >
> > Note que em momento algum pretendo um sistema infalível,
apenas não
> > deveria ser tão fácil de burlar quanto o atual.
> >
> > Olhe o trabalho que alguém teria para falsificar uma urna:
> >
> > 1. Fazer uma urna falsa, com um chip codificado falso e
diversos
> > outros dispositivos falsos;
> >
> > 2. Pagar a alguém para introduzi-la entre as urnas reais;
> >
> > 3. Fazer uma urna real sumir;
> >
> > 4. Criar um programa que reproduza um programa que
todo mundo
> > conhece mas que ao mesmo tempo foi projetado para não
falhar;
> >
> > 5. Corromper diversos fiscais e juízes eleitorais
que são os
> > responsáveis por cada urna;
> >
> > 6. Burlar a impressão do voto (quero ver alguém
conseguir fazer
> > isso);
> >
> > Agora observe o trabalho que alguém teria para
burlar o atual
> > sistema;
> >
> > 1. Pagar alguém de dentro do processo para introduzir um
vírus que
> > altere os resultados e fazer com que ele conste do programa
que será
> > distribuído;
> >
> > Neste caso bastaria ter conhecimento do sistema
usado na URNA
> > (certamente muita gente deve ter, apesar do povo não
ter) e bolar
> > uma das milhares (atualmente 60 mil) de formas de fazer
o sistema
> > ser corrompido por um virus.
> >
> > > Quais procedimentos de segurança vc acha que deveria
ter? É
> > > exatamente isto que eu tinha questionado.
> >
> > Os sistemas de segurança que imagino e tenho
certeza que
> > especialistas poderiam imaginar melhor teriam a ver com
um sistema
> > totalmente aberto e auditável colocado em um hardware
padronizado e
> > que pudesse ser identificado a partir de um simples
dispositivo
> > eletronico (celular, palm, notebook) que seja conectado a
urna para
> > permitir a leitura de um ou mais chips de identificação.
> >
> > A função do chip de identificação é apenas garantir que o
hardware
> > não é falsificado e não pode haver qualquer
possibilidade de
> > comunicação entre o dispositivo de identificação de
hardware com o
> > software de votação.
> >
> > Garante-se assim um hardware idôneo.
> >
> > sendo o software conhecido ele pode ser auditado
ANTES de ser
> > injetado no hardware, claro que nada vai impedir a
falsificação
> > neste processo (como não é possível impedir no processo
atual) e é
> > neste ponto que entra a importância da impressão. Por
mais que se
> > falsifique um programa não é possível falsificar uma
impressão e
> > mesmo que os defensores da NÃO IMPRESSÃO usem argumentos
ridículos
> > sob a impossibilidade de analfabetos e cegos checarem o
que está
> > sendo impresso eu apenas responderia que eles JÁ não
podem checar
> > seu voto, um cego pode apertar a tecla certa gravada com
sinais em
> > braille, mas um analfabeto não tem como saber o número
que está na
> > tela se não sabe qual o número que está no papel e até
onde sei as
> > urnas não tem som... mas na minha opinião deveria ter,
pois seria
> > mais uma dificuldade para eventuais pilantras.
> >
> > Outra forma de segurança seria codificar a relação de
candidatos,
> > afinal nas eleições regionais eles mudam mesmo. Sem
saber qual a
> > codificação usada um eventual programador de uma urna
falsa ou uma
> > verdadeira com software falso não teria como saber a ordem
dos dados
> > e seu programa não conseguiria ler.
> >
> > É aí que entra o chip codificado, na hora de carregar a
urna com a
> > relação dos candidatos o sistema de carga pode checar o
chip e se
> > não receber um OK do sistema central não carrega os
candidatos na
> > urna, ou seja, alguém pode colocar um sistema falso
lá... mas ele
> > não vai saber ler o banco de dados.
> >
> > Naturalmente estou apenas dando uma resposta a uma
pergunta, com
> > certeza uma equipe de experts teria condições de pensar em
sistemas
> > muito melhores e dinheiro para paga-los sei que não falta.
> >
> > > Acho que vc não entendeu como é a fraude por clonagem,
acredito que
> > > o livro do Amilcar explica bem este tipo de ataque.
> >
> > Mesmo que eu não entendesse seria apenas uma das fraudes
possíveis e
> > não a única.
> >
> > Impedir UM tipo de ataque não resolve nada, e preciso
pensar em
> > vários tipos.
> >
> > Como também não sei quais seriam todos os tipos de ataques
possiveis
> > (alguém sabe?) seria o caso de criar dispositivos de
proteção em
> > vários níveis que pretendam impedir algumas das
possibilidades
> > conhecidas, a meu ver:
> >
> > 1. Dificultar a clonagem do hardware;
> >
> > 2. Dificultar - pela transparência - o uso de um software
que pode
> > ser malicioso desde sua origem;
> >
> > 3. Criar dispositivos de teste imediato e eletronico nas
urnas, que
> > possam ser utilizados em várias etapas por pessoas
que apenas
> > precisam de um treinamento no uso do dispositivo.
> >
> > Os dispositivos seriam:
> >
> > 1. Leitor de sinais na urna, de lacres e de chips
identificadores,
> > repassando ON LINE esta informação para um sistema
central,
> > projetado para encontrar padrões e falhas de segurança;
> >
> > 2. Leitura visual de sinais da urna, que permitiriam
ao próprio
> > eleitor saber se ela é real ou falsa, com isso se
impediria
> > falsificações grosseiras, atualmente qualquer caixa
metálica com
> > botões que se coloque em um local de votação podem
enganar um
> > eleitor;
> >
> > 3. IMPRESSÃO DO VOTO;
> >
> > 4. IMPRESSÃO DO VOTO;
> >
> > 5. IMPRESSÃO DO VOTO;
> >
> > E finalmente criar um sistema para ler os votos impressos
e dar um
> > segundo resultado em tempo bem mais hábil que a leitura
manual.
> >
> > Se o sistema de leitura de votos impressos não estiver
exatamente
> > igual ao sistema eletronico - com uma margem matemática
de erro -
> > então passa-se a contagem manual porque neste caso houve
falha ou
> > fraude no processo.
> >
> > > Divino, se vc quiser aprofundar tecnicamente o assunto,
terei o
> > > maior prazer em levar esta discussão adiante, mas se ela
for ficar a
> > > superficialidade, acho que não será um ganho para este
forum.
> >
> > Meu caro Marcio, não sei se com isso quer dizer que sou
burro ou
> > algo parecido, neste caso lamento não estar
contribuindo para o
> > Forum, mas acredito que contestar meu ponto de vista
apenas com
> > perguntas não é ganho para ninguém.
> >
> > Estou apenas fazendo sugestões, se alguém as considerar
válidas que
> > acrescente algo a elas e as torne úteis, se não
considerar então
> > ignore como ignoro muita coisa que leio tanto neste Forum
quanto na
> > própria internet e que nada acrescentam a lugar nenhum.
> >
> > Nada contra não concordar com minhas idéias, mas tudo
contra sugerir
> > que não tenho conhecimento técnico do que falo.
> >
> > Sei muito bem o que já foi dito sobre a urna e até muita
coisa que
> > não foi dita, mas jamais tive a oportunidade de ver
com meus
> > próprios olhos e se duvido dos juizes posso muito bem
duvidar de
> > qualquer outro que diga que viu mas não tem como provar.
> >
> > Neste ambiente de desconhecimento geral valem as
suposições e o
> > conhecimento de cada um da tecnologia e neste aspecto
sei que me
> > garanto e espero que o Forum permita que expresse minhas
opiniões a
> > respeito, ainda que pareçam inúteis a quem assim quiser
vê-las.
> >
> > Sou inclusive, totalmente contra opiniões que
impeçam a livre
> > expressão, já que teoricamente somos um grupo de
defensores da
> > democracia, embora tenha certeza que aqui há muitos
representantes
> > do lado que não é.
> >
> > Grande abraço,
> >
> > Divino Leitão
> > Conheça www.minimidia.com.br mais informação em menos
espaço.
> >
> > Pra rir e pensar (não necessariamente nesta ordem)
> > Mulher: O ideal é que tenha o brilho de uma atriz de
cinema, os
> > modos de uma dama, que faça amor como uma prostituta e que
trabalhe
> > feito uma mula.
> >
> >
> >
> >
>
>
> [As partes desta mensagem que não continham texto foram removidas]
>
>
>
> _____________________________________________
> O texto acima e' de inteira e exclusiva responsabilidade de seu
autor,
> conforme identificado no campo "remetente", e nao representa
> necessariamente
> o ponto de vista do Forum do Voto Seguro
>
> O Forum do Voto Seguro visa debater a confiabilidade dos sistemas
> eleitorais
> informatizados, em especial o brasileiro, nos seus aspectos
técnicos e
> jurídicos.
> _____________________________________________
> Pagina, Jornal e Forum do Voto-E
> http://www.votoseguro.org
> _____________________________________________
>
> Para cancelar sua assinatura neste grupo, envie um e-mail para:
> [EMAIL PROTECTED]
>
> Links do Yahoo! Grupos
>
>
>
>
>
>
>
>
>
>
>
[As partes desta mensagem que não continham texto foram removidas]
_____________________________________________
O texto acima e' de inteira e exclusiva responsabilidade de seu autor,
conforme identificado no campo "remetente", e nao representa
necessariamente
o ponto de vista do Forum do Voto Seguro
O Forum do Voto Seguro visa debater a confiabilidade dos sistemas
eleitorais
informatizados, em especial o brasileiro, nos seus aspectos técnicos e
jurídicos.
_____________________________________________
Pagina, Jornal e Forum do Voto-E
http://www.votoseguro.org
_____________________________________________
Para cancelar sua assinatura neste grupo, envie um e-mail para:
[EMAIL PROTECTED]
Links do Yahoo! Grupos
__._,_.___
_____________________________________________
O texto acima e' de inteira e exclusiva responsabilidade de seu autor,
conforme identificado no campo "remetente", e nao representa
necessariamente o ponto de vista do Forum do Voto Seguro
O Forum do Voto Seguro visa debater a confiabilidade dos sistemas
eleitorais informatizados, em especial o brasileiro, nos seus aspectos
técnicos e jurídicos.
_____________________________________________
Pagina, Jornal e Forum do Voto-E
http://www.votoseguro.org
_____________________________________________
Para cancelar sua assinatura neste grupo, envie um e-mail para:
[EMAIL PROTECTED]
![]()
| Yahoo!
Grupos, um serviço oferecido por: |
PUBLICIDADE
![]()
|
|
Links do Yahoo! Grupos
__,_._,___
|
