Um jovem progamador me questionou sobre estes teste de segurança, como proposto pelo TSE, e acabou por me alertar de outro problema.
Segundo a resolução do TSE, equipamento (software e hardware) que será submetido é o sistema de 2010 que ainda nem está pronto e por isto o TSE disponibilizou junto com o material do teste, a sua última versão do projeto básico das urnas 2009 (existem pelo menos duas outras versões anteriores). Os pretensos atacantes deverão entregar o seu "plano detalhado de ataque" com um mês de antecedência, *dando tempo para eles adaptarem seu projeto para defender o ataque específico*!!! Permitir testes de penetração não é má idéia, mas desta forma, realmente, merece entrar para a listas das leis idiotas. Amilcar Roger Chadel escreveu: > > O Brasil vai entrar na lista de leis absurdas, publicada em 2002 pela > revista Superinteressante. Lá há leis como a do Estado de > Washington, que obriga motoristas com intenções criminais a pararem > nos limites da cidade, ligarem para o chefe de polícia e avisarem que > estão chegando. O Estado do Texas foi ainda mais longe. Segundo uma > lei feita pelo deputado Jim Kaster, os candidatos a criminosos > precisam notificar suas futuras vítimas do crime que irão cometer com > 24 horas de antecedência. O comunicado deve também informar à vítima > que, em algumas circunstâncias, é permitido o uso de armas letais para > se defender. Não há registro de nenhum criminoso que tenha seguido > essa lei. > > http://super.abril.com.br/cotidiano/leis-absurdas-442600.shtml > <http://www.neofito.com.br/adrisum/leis.htm> > > > Ainda não descobri em que lugar do site da SuperInteressante devo > postar o comentário abaixo: > > > "O Brasil já merece entrar para a lista das leis curiosas levantada > por Rafael Kenski na edição 172 de janeiro de 2002, "Leis absurdas", > no parágrafo 'Vou roubar você amanhã'. O TSE acaba de soltar a > resolução 23.090 que permite o 'teste de penetração' nas urnas > eletrônicas > (http://www.tse.gov.br/internet/eleicoes/arquivos/resolucao23090.pdf > <http://www.tse.gov.br/internet/eleicoes/arquivos/resolucao23090.pdf%29.>). > Este teste de penetração já vinha sendo solicitado por técnicos e > outros interessados na segurança do sistema eletrônico de votação > desde 2000, por ser a única maneira de verificar se o sistema é > realmente imune a ataques e fraudes. Mas pela resolução, os candidatos > a hacker deverão descrever o que vão tentar fazer e entregar cópias de > suas ferramentas antes de ter contato com a urna para analisar o > caminho a seguir durante os três dias da cerimônia! As polícias de > todos os estados deveriam seguir o exemplo e pedir para os assaltantes > e marginais se inscreverem e explicarem como pretendem realizar seus > crimes!" > > > Roger Chadel > > > A respeito de {VotoEletronico} TSE convoca hackers para invadir urna > eletrônica, > > em 12/09/2009, 06:28, Amilcar Brunazo Filho escreveu: > > > > > > Não se animem muito com mais este show que o TSE está criando. > > > Este processo de testes de segurança (PET 1896/06) se iniciou com um > pedido conjunto do PT e do PDT que depois foi apoiado pelo PR. > > > Porém, o que o TSE decidiu permitir fugiu ao que foi pedido pelos > partidos, em especial a tal Comissão Avaliadora que não é independente > do administrador eleitoral como constava no pedido original. Por isto > os partidos peticionários declararam a desistência formal do teste, > porque vislumbraram que as regras seriam (e são) limitadoras. > > > Os autores do pedido conheçem gente capaz de penetrar no software nas > urnas e burlá-lo. Foi pensando em usar estes técnicos que fizemos o > pedido. Mas diante das limitações impostas aos testes decidimos não > "gastar munição" neste momento. > > > Por exemplo: para se ter sucesso numa adulteração do software da urnas > é preciso pegar uma máquina pronta e começar a analisá-la, testando > algumas alternativas, para descobrir qual o melhor meio de invadir (os > hackers não tem sucesso imediato em todas as suas investidas). > > > Mas isto não será permitido. Segundo as regras impostas, o pretendente > a atacante deverá descrever o que vai tentar fazer e entregar cópias > de seus softwares antes de ter contato com a urna para analisar que > caminho seguir. E só terá contato por três dias fora do seu ambiente > normal de trabalho. > > > Não é assim que atacantes fazem. Eles primeiro ganham acesso ao > equipamento pronto, depois o analisam no seu ambiente próprio de > "trabalho" usando uma miríade de recursos e softwares, nem sempre > "oficiais", muitos desenvolvidos autonomamente. Pedir para eles > entregarem suas "ferramentas" já é uma restrição enorme, que vai > afastar muita gente boa. > > > Aliás, a própria idéia de estabelecer as regras do teste pela comissão > nomeada do TSE, já é um limite artificial ao próprio teste. A ação de > hackers é marcada justamente pelo desrespeito a regras. > > > É por tudo isto os autores originais do teste, desistiram deste > teste-show que o TSE resolveu permitir. > > > [ ]s Eng. Amilcar Brunazo Filho - Santos, SPwww.votoseguro.org > <http://www.votoseguro.org> ----------------- SEI EM QUEM VOTEI, > ELES TAMBÉM, MAS SÓ ELES SABEM QUEM RECEBEU MEU > > > > Beth Osuch escreveu: > > Eis a chance.. > > > > > > TSE convoca hackers para invadir urna eletrônica > > Agencia Estado - 11/9/2009 - 10h54 > > > > > SÃO PAULO - O Tribunal Superior Eleitoral (TSE) promoveu hoje > audiência pública de convocação para a realização de testes de > segurança na urna eletrônica e nos softwares de votação das eleições > gerais de 2010. Os testes serão realizados entre 10 e 13 de novembro. > > Os participantes poderão atuar como hackers, o que significa que vão > promover ataques nos sistemas para verificar se eles são falhos ou > suscetíveis a violações e fraudes. Além disso, também será uma > oportunidade de as comunidades acadêmica e científica e o meio > partidário conhecerem o sistema em profundidade. > > As inscrições vão até o dia 13 de outubro, no setor de protocolo do > TSE. O Diário Oficial da União (DOU) publicará no dia 26 de outubro a > relação dos investigadores selecionados. Os testes públicos nos > softwares, hardware e demais procedimentos relativos às próximas > eleições representam uma possibilidade inédita de a própria sociedade > verificar o funcionamento dos sistemas. > > A audiência pública de hoje é realizada no auditório do edifício-sede > do TSE, em Brasília, com a participação do ministro Ricardo > Lewandowski na sua abertura. O secretário de Tecnologia da Informação > do Tribunal, Giuseppe Janino, irá explicar a representantes de > partidos políticos, especialistas em informática e demais interessados > como será o processo de realização dos primeiros testes públicos de > segurança no sistema eletrônico de votação. > > Os testes vão ocorrer no auditório do edifício-sede do TSE. Serão > premiados os participantes que derem as melhores contribuições para o > aperfeiçoamento desses serviços da Justiça Eleitoral. Os trabalhos > serão coordenados pelo ministro Ricardo Lewandowski, relator do > processo que introduziu essa novidade. > > > -- > > Eu sei em quem votei. Eles também. > > Mas só eles sabem quem recebeu meu voto. > > Cuidado, seu voto não é secreto e pode ser roubado. > > http://voto-e.blogspot.com > > http://brasilacimadetudo.lpchat.com > > > > > > > > > -- > > Grande abraço, > > > Roger Chadel > > > -------- > > > //// O TSE deve voltar a ser um tribunal > > |---//---| > > | / | Se a urna não imprimir, seu voto pode sumir! > > |--------| www.votoseguro.org <http://www.votoseguro.org> > > > -------- > > > Extraido de minha coleção de taglines: > > O sonho não acabou. E ainda temos pão doce, maria-mole e queijadinha. > (tm Marilia) > > > /"\ > > \ / Campanha da fita ASCII - contra mail html > > X ASCII ribbon campaign - against html mail > > / \ > > > > -- [ ]s Eng. Amilcar Brunazo Filho - Santos, SP www.votoseguro.org ----------------- SEI EM QUEM VOTEI, ELES TAMBÉM, MAS SÓ ELES SABEM QUEM RECEBEU MEU VOTO --~--~---------~--~----~------------~-------~--~----~ __________________________________________________ O texto acima e' de inteira e exclusiva responsabilidade de seu autor, conforme identificado no campo "remetente", e nao representa necessariamente o ponto de vista do Forum do Voto-E O Forum do Voto-E visa debater a confibilidade dos sistemas eleitorais informatizados, em especial o brasileiro, e dos sistemas de assinatura digital e infraestrutura de chaves publicas. __________________________________________________ Pagina, Jornal e Forum do Voto Eletronico http://www.votoseguro.org __________________________________________________ Você recebeu esta mensagem porque está inscrito no Grupo "VotoEletronico" em Grupos do Google. Para postar neste grupo, envie um e-mail para [email protected] Para cancelar a sua inscrição neste grupo, envie um e-mail para [email protected] Para ver mais opções, visite este grupo em http://groups.google.com/group/votoeletronico?hl=pt- -~----------~----~----~----~------~----~------~--~---
