Amilcar, isto é ridículo, pois um ataque real não segue planos, ele é baseado em oportunismo. Na verdade vc pode ate ter uma lista inicial de coisas que devem ser verificadas, mas não um plano. Imagine esta situação: alguem escreve um plano (baseado em algumas vulnerabilidades conhecidas), ai durante o processo, ele descobre um "buraco" enorme na segurança, ai aparece o "fiscal" do auditado é diz, NAO, vc não pode explorar esta falha, pois não está em seu plano que foi aprovado previamente...
Qualquer pessoa que tenha um bom conhecimento sobre segurança logo notará que o próprio TSE não confia nas urnas, pois inviabiliza uma simulação de ataque através de regras absurdas. Só falta o TSE combinar (estas regras) com os bandidos (fraudadores) reais. Amilcar Brunazo Filho wrote: > Um jovem progamador me questionou sobre estes teste de segurança, como > proposto pelo TSE, e acabou por me alertar de outro problema. > > Segundo a resolução do TSE, equipamento (software e hardware) que > será submetido é o sistema de 2010 que ainda nem está pronto e por > isto o TSE disponibilizou junto com o material do teste, a sua última > versão do projeto básico das urnas 2009 (existem pelo menos duas > outras versões anteriores). > > Os pretensos atacantes deverão entregar o seu "plano detalhado de > ataque" com um mês de antecedência, *dando tempo para eles adaptarem > seu projeto para defender o ataque específico*!!! > > Permitir testes de penetração não é má idéia, mas desta forma, > realmente, merece entrar para a listas das leis idiotas. > > Amilcar > > Roger Chadel escreveu: >> >> O Brasil vai entrar na lista de leis absurdas, publicada em 2002 pela >> revista Superinteressante. Lá há leis como a do Estado de >> Washington, que obriga motoristas com intenções criminais a pararem >> nos limites da cidade, ligarem para o chefe de polícia e avisarem que >> estão chegando. O Estado do Texas foi ainda mais longe. Segundo uma >> lei feita pelo deputado Jim Kaster, os candidatos a criminosos >> precisam notificar suas futuras vítimas do crime que irão cometer com >> 24 horas de antecedência. O comunicado deve também informar à vítima >> que, em algumas circunstâncias, é permitido o uso de armas letais >> para se defender. Não há registro de nenhum criminoso que tenha >> seguido essa lei. >> >> http://super.abril.com.br/cotidiano/leis-absurdas-442600.shtml >> <http://www.neofito.com.br/adrisum/leis.htm> >> >> >> Ainda não descobri em que lugar do site da SuperInteressante devo >> postar o comentário abaixo: >> >> >> "O Brasil já merece entrar para a lista das leis curiosas levantada >> por Rafael Kenski na edição 172 de janeiro de 2002, "Leis absurdas", >> no parágrafo 'Vou roubar você amanhã'. O TSE acaba de soltar a >> resolução 23.090 que permite o 'teste de penetração' nas urnas >> eletrônicas >> (http://www.tse.gov.br/internet/eleicoes/arquivos/resolucao23090.pdf >> <http://www.tse.gov.br/internet/eleicoes/arquivos/resolucao23090.pdf%29.>). >> Este teste de penetração já vinha sendo solicitado por técnicos e >> outros interessados na segurança do sistema eletrônico de votação >> desde 2000, por ser a única maneira de verificar se o sistema é >> realmente imune a ataques e fraudes. Mas pela resolução, os >> candidatos a hacker deverão descrever o que vão tentar fazer e >> entregar cópias de suas ferramentas antes de ter contato com a urna >> para analisar o caminho a seguir durante os três dias da cerimônia! >> As polícias de todos os estados deveriam seguir o exemplo e pedir >> para os assaltantes e marginais se inscreverem e explicarem como >> pretendem realizar seus crimes!" >> >> >> Roger Chadel >> >> >> A respeito de {VotoEletronico} TSE convoca hackers para invadir urna >> eletrônica, >> >> em 12/09/2009, 06:28, Amilcar Brunazo Filho escreveu: >> >> >> >> >> >> Não se animem muito com mais este show que o TSE está criando. >> >> >> Este processo de testes de segurança (PET 1896/06) se iniciou com um >> pedido conjunto do PT e do PDT que depois foi apoiado pelo PR. >> >> >> Porém, o que o TSE decidiu permitir fugiu ao que foi pedido pelos >> partidos, em especial a tal Comissão Avaliadora que não é >> independente do administrador eleitoral como constava no pedido >> original. Por isto os partidos peticionários declararam a desistência >> formal do teste, porque vislumbraram que as regras seriam (e são) >> limitadoras. >> >> >> Os autores do pedido conheçem gente capaz de penetrar no software nas >> urnas e burlá-lo. Foi pensando em usar estes técnicos que fizemos o >> pedido. Mas diante das limitações impostas aos testes decidimos não >> "gastar munição" neste momento. >> >> >> Por exemplo: para se ter sucesso numa adulteração do software da >> urnas é preciso pegar uma máquina pronta e começar a analisá-la, >> testando algumas alternativas, para descobrir qual o melhor meio de >> invadir (os hackers não tem sucesso imediato em todas as suas >> investidas). >> >> >> Mas isto não será permitido. Segundo as regras impostas, o >> pretendente a atacante deverá descrever o que vai tentar fazer e >> entregar cópias de seus softwares antes de ter contato com a urna >> para analisar que caminho seguir. E só terá contato por três dias >> fora do seu ambiente normal de trabalho. >> >> >> Não é assim que atacantes fazem. Eles primeiro ganham acesso ao >> equipamento pronto, depois o analisam no seu ambiente próprio de >> "trabalho" usando uma miríade de recursos e softwares, nem sempre >> "oficiais", muitos desenvolvidos autonomamente. Pedir para eles >> entregarem suas "ferramentas" já é uma restrição enorme, que vai >> afastar muita gente boa. >> >> >> Aliás, a própria idéia de estabelecer as regras do teste pela >> comissão nomeada do TSE, já é um limite artificial ao próprio teste. >> A ação de hackers é marcada justamente pelo desrespeito a regras. >> >> >> É por tudo isto os autores originais do teste, desistiram deste >> teste-show que o TSE resolveu permitir. >> >> >> [ ]s Eng. Amilcar Brunazo Filho - Santos, SPwww.votoseguro.org >> <http://www.votoseguro.org> ----------------- SEI EM QUEM VOTEI, >> ELES TAMBÉM, MAS SÓ ELES SABEM QUEM RECEBEU MEU >> >> >> >> Beth Osuch escreveu: >> >> Eis a chance.. >> >> >> >> >> >> TSE convoca hackers para invadir urna eletrônica >> >> Agencia Estado - 11/9/2009 - 10h54 >> >> >> >> >> SÃO PAULO - O Tribunal Superior Eleitoral (TSE) promoveu hoje >> audiência pública de convocação para a realização de testes de >> segurança na urna eletrônica e nos softwares de votação das eleições >> gerais de 2010. Os testes serão realizados entre 10 e 13 de novembro. >> >> Os participantes poderão atuar como hackers, o que significa que vão >> promover ataques nos sistemas para verificar se eles são falhos ou >> suscetíveis a violações e fraudes. Além disso, também será uma >> oportunidade de as comunidades acadêmica e científica e o meio >> partidário conhecerem o sistema em profundidade. >> >> As inscrições vão até o dia 13 de outubro, no setor de protocolo do >> TSE. O Diário Oficial da União (DOU) publicará no dia 26 de outubro a >> relação dos investigadores selecionados. Os testes públicos nos >> softwares, hardware e demais procedimentos relativos às próximas >> eleições representam uma possibilidade inédita de a própria sociedade >> verificar o funcionamento dos sistemas. >> >> A audiência pública de hoje é realizada no auditório do edifício-sede >> do TSE, em Brasília, com a participação do ministro Ricardo >> Lewandowski na sua abertura. O secretário de Tecnologia da Informação >> do Tribunal, Giuseppe Janino, irá explicar a representantes de >> partidos políticos, especialistas em informática e demais >> interessados como será o processo de realização dos primeiros testes >> públicos de segurança no sistema eletrônico de votação. >> >> Os testes vão ocorrer no auditório do edifício-sede do TSE. Serão >> premiados os participantes que derem as melhores contribuições para o >> aperfeiçoamento desses serviços da Justiça Eleitoral. Os trabalhos >> serão coordenados pelo ministro Ricardo Lewandowski, relator do >> processo que introduziu essa novidade. >> >> >> -- >> >> Eu sei em quem votei. Eles também. >> >> Mas só eles sabem quem recebeu meu voto. >> >> Cuidado, seu voto não é secreto e pode ser roubado. >> >> http://voto-e.blogspot.com >> >> http://brasilacimadetudo.lpchat.com >> >> >> >> >> >> >> >> >> -- >> >> Grande abraço, >> >> >> Roger Chadel >> >> >> -------- >> >> >> //// O TSE deve voltar a ser um tribunal >> >> |---//---| >> >> | / | Se a urna não imprimir, seu voto pode sumir! >> >> |--------| www.votoseguro.org <http://www.votoseguro.org> >> >> >> -------- >> >> >> Extraido de minha coleção de taglines: >> >> O sonho não acabou. E ainda temos pão doce, maria-mole e queijadinha. >> (tm Marilia) >> >> >> /"\ >> >> \ / Campanha da fita ASCII - contra mail html >> >> X ASCII ribbon campaign - against html mail >> >> / \ >> >> >> > > -- > [ ]s > Eng. Amilcar Brunazo Filho - Santos, SP > www.votoseguro.org > ----------------- > SEI EM QUEM VOTEI, > ELES TAMBÉM, > MAS SÓ ELES SABEM QUEM RECEBEU MEU VOTO > > > > --~--~---------~--~----~------------~-------~--~----~ __________________________________________________ O texto acima e' de inteira e exclusiva responsabilidade de seu autor, conforme identificado no campo "remetente", e nao representa necessariamente o ponto de vista do Forum do Voto-E O Forum do Voto-E visa debater a confibilidade dos sistemas eleitorais informatizados, em especial o brasileiro, e dos sistemas de assinatura digital e infraestrutura de chaves publicas. __________________________________________________ Pagina, Jornal e Forum do Voto Eletronico http://www.votoseguro.org __________________________________________________ Você recebeu esta mensagem porque está inscrito no Grupo "VotoEletronico" em Grupos do Google. Para postar neste grupo, envie um e-mail para [email protected] Para cancelar a sua inscrição neste grupo, envie um e-mail para [email protected] Para ver mais opções, visite este grupo em http://groups.google.com/group/votoeletronico?hl=pt- -~----------~----~----~----~------~----~------~--~---
