So complementando: O maior problema que temos, é que, poucas pessoas com conhecimento técnico perderão tempo lendo as regras deste teste, pois, nem de longe, elas pensam que estas regras podem ser tão absurdas. Neste caso, o que fica, são as manchetes: "TSE desafia os hackers...", "TSE permite hackers testarem as urnas...", etc...
Marcio C Teixeira wrote: > Amilcar, isto é ridículo, pois um ataque real não segue planos, ele é > baseado em oportunismo. Na verdade vc pode ate ter uma lista inicial > de coisas que devem ser verificadas, mas não um plano. > Imagine esta situação: alguem escreve um plano (baseado em algumas > vulnerabilidades conhecidas), ai durante o processo, ele descobre um > "buraco" enorme na segurança, ai aparece o "fiscal" do auditado é diz, > NAO, vc não pode explorar esta falha, pois não está em seu plano que > foi aprovado previamente... > > Qualquer pessoa que tenha um bom conhecimento sobre segurança logo > notará que o próprio TSE não confia nas urnas, pois inviabiliza uma > simulação de ataque através de regras absurdas. Só falta o TSE > combinar (estas regras) com os bandidos (fraudadores) reais. > > > > Amilcar Brunazo Filho wrote: >> Um jovem progamador me questionou sobre estes teste de segurança, >> como proposto pelo TSE, e acabou por me alertar de outro problema. >> >> Segundo a resolução do TSE, equipamento (software e hardware) que >> será submetido é o sistema de 2010 que ainda nem está pronto e por >> isto o TSE disponibilizou junto com o material do teste, a sua última >> versão do projeto básico das urnas 2009 (existem pelo menos duas >> outras versões anteriores). >> >> Os pretensos atacantes deverão entregar o seu "plano detalhado de >> ataque" com um mês de antecedência, *dando tempo para eles adaptarem >> seu projeto para defender o ataque específico*!!! >> >> Permitir testes de penetração não é má idéia, mas desta forma, >> realmente, merece entrar para a listas das leis idiotas. >> >> Amilcar >> >> Roger Chadel escreveu: >>> >>> O Brasil vai entrar na lista de leis absurdas, publicada em 2002 >>> pela revista Superinteressante. Lá há leis como a do Estado de >>> Washington, que obriga motoristas com intenções criminais a pararem >>> nos limites da cidade, ligarem para o chefe de polícia e avisarem >>> que estão chegando. O Estado do Texas foi ainda mais longe. Segundo >>> uma lei feita pelo deputado Jim Kaster, os candidatos a criminosos >>> precisam notificar suas futuras vítimas do crime que irão cometer >>> com 24 horas de antecedência. O comunicado deve também informar à >>> vítima que, em algumas circunstâncias, é permitido o uso de armas >>> letais para se defender. Não há registro de nenhum criminoso que >>> tenha seguido essa lei. >>> >>> http://super.abril.com.br/cotidiano/leis-absurdas-442600.shtml >>> <http://www.neofito.com.br/adrisum/leis.htm> >>> >>> >>> Ainda não descobri em que lugar do site da SuperInteressante devo >>> postar o comentário abaixo: >>> >>> >>> "O Brasil já merece entrar para a lista das leis curiosas levantada >>> por Rafael Kenski na edição 172 de janeiro de 2002, "Leis absurdas", >>> no parágrafo 'Vou roubar você amanhã'. O TSE acaba de soltar a >>> resolução 23.090 que permite o 'teste de penetração' nas urnas >>> eletrônicas >>> (http://www.tse.gov.br/internet/eleicoes/arquivos/resolucao23090.pdf >>> <http://www.tse.gov.br/internet/eleicoes/arquivos/resolucao23090.pdf%29.>). >>> Este teste de penetração já vinha sendo solicitado por técnicos e >>> outros interessados na segurança do sistema eletrônico de votação >>> desde 2000, por ser a única maneira de verificar se o sistema é >>> realmente imune a ataques e fraudes. Mas pela resolução, os >>> candidatos a hacker deverão descrever o que vão tentar fazer e >>> entregar cópias de suas ferramentas antes de ter contato com a urna >>> para analisar o caminho a seguir durante os três dias da cerimônia! >>> As polícias de todos os estados deveriam seguir o exemplo e pedir >>> para os assaltantes e marginais se inscreverem e explicarem como >>> pretendem realizar seus crimes!" >>> >>> >>> Roger Chadel >>> >>> >>> A respeito de {VotoEletronico} TSE convoca hackers para invadir urna >>> eletrônica, >>> >>> em 12/09/2009, 06:28, Amilcar Brunazo Filho escreveu: >>> >>> >>> >>> >>> >>> Não se animem muito com mais este show que o TSE está criando. >>> >>> >>> Este processo de testes de segurança (PET 1896/06) se iniciou com um >>> pedido conjunto do PT e do PDT que depois foi apoiado pelo PR. >>> >>> >>> Porém, o que o TSE decidiu permitir fugiu ao que foi pedido pelos >>> partidos, em especial a tal Comissão Avaliadora que não é >>> independente do administrador eleitoral como constava no pedido >>> original. Por isto os partidos peticionários declararam a >>> desistência formal do teste, porque vislumbraram que as regras >>> seriam (e são) limitadoras. >>> >>> >>> Os autores do pedido conheçem gente capaz de penetrar no software >>> nas urnas e burlá-lo. Foi pensando em usar estes técnicos que >>> fizemos o pedido. Mas diante das limitações impostas aos testes >>> decidimos não "gastar munição" neste momento. >>> >>> >>> Por exemplo: para se ter sucesso numa adulteração do software da >>> urnas é preciso pegar uma máquina pronta e começar a analisá-la, >>> testando algumas alternativas, para descobrir qual o melhor meio de >>> invadir (os hackers não tem sucesso imediato em todas as suas >>> investidas). >>> >>> >>> Mas isto não será permitido. Segundo as regras impostas, o >>> pretendente a atacante deverá descrever o que vai tentar fazer e >>> entregar cópias de seus softwares antes de ter contato com a urna >>> para analisar que caminho seguir. E só terá contato por três dias >>> fora do seu ambiente normal de trabalho. >>> >>> >>> Não é assim que atacantes fazem. Eles primeiro ganham acesso ao >>> equipamento pronto, depois o analisam no seu ambiente próprio de >>> "trabalho" usando uma miríade de recursos e softwares, nem sempre >>> "oficiais", muitos desenvolvidos autonomamente. Pedir para eles >>> entregarem suas "ferramentas" já é uma restrição enorme, que vai >>> afastar muita gente boa. >>> >>> >>> Aliás, a própria idéia de estabelecer as regras do teste pela >>> comissão nomeada do TSE, já é um limite artificial ao próprio teste. >>> A ação de hackers é marcada justamente pelo desrespeito a regras. >>> >>> >>> É por tudo isto os autores originais do teste, desistiram deste >>> teste-show que o TSE resolveu permitir. >>> >>> >>> [ ]s Eng. Amilcar Brunazo Filho - Santos, SPwww.votoseguro.org >>> <http://www.votoseguro.org> ----------------- SEI EM QUEM VOTEI, >>> ELES TAMBÉM, MAS SÓ ELES SABEM QUEM RECEBEU MEU >>> >>> >>> >>> Beth Osuch escreveu: >>> >>> Eis a chance.. >>> >>> >>> >>> >>> >>> TSE convoca hackers para invadir urna eletrônica >>> >>> Agencia Estado - 11/9/2009 - 10h54 >>> >>> >>> >>> >>> SÃO PAULO - O Tribunal Superior Eleitoral (TSE) promoveu hoje >>> audiência pública de convocação para a realização de testes de >>> segurança na urna eletrônica e nos softwares de votação das eleições >>> gerais de 2010. Os testes serão realizados entre 10 e 13 de novembro. >>> >>> Os participantes poderão atuar como hackers, o que significa que vão >>> promover ataques nos sistemas para verificar se eles são falhos ou >>> suscetíveis a violações e fraudes. Além disso, também será uma >>> oportunidade de as comunidades acadêmica e científica e o meio >>> partidário conhecerem o sistema em profundidade. >>> >>> As inscrições vão até o dia 13 de outubro, no setor de protocolo do >>> TSE. O Diário Oficial da União (DOU) publicará no dia 26 de outubro >>> a relação dos investigadores selecionados. Os testes públicos nos >>> softwares, hardware e demais procedimentos relativos às próximas >>> eleições representam uma possibilidade inédita de a própria >>> sociedade verificar o funcionamento dos sistemas. >>> >>> A audiência pública de hoje é realizada no auditório do >>> edifício-sede do TSE, em Brasília, com a participação do ministro >>> Ricardo Lewandowski na sua abertura. O secretário de Tecnologia da >>> Informação do Tribunal, Giuseppe Janino, irá explicar a >>> representantes de partidos políticos, especialistas em informática e >>> demais interessados como será o processo de realização dos primeiros >>> testes públicos de segurança no sistema eletrônico de votação. >>> >>> Os testes vão ocorrer no auditório do edifício-sede do TSE. Serão >>> premiados os participantes que derem as melhores contribuições para >>> o aperfeiçoamento desses serviços da Justiça Eleitoral. Os trabalhos >>> serão coordenados pelo ministro Ricardo Lewandowski, relator do >>> processo que introduziu essa novidade. >>> >>> >>> -- >>> >>> Eu sei em quem votei. Eles também. >>> >>> Mas só eles sabem quem recebeu meu voto. >>> >>> Cuidado, seu voto não é secreto e pode ser roubado. >>> >>> http://voto-e.blogspot.com >>> >>> http://brasilacimadetudo.lpchat.com >>> >>> >>> >>> >>> >>> >>> >>> >>> -- >>> >>> Grande abraço, >>> >>> >>> Roger Chadel >>> >>> >>> -------- >>> >>> >>> //// O TSE deve voltar a ser um tribunal >>> >>> |---//---| >>> >>> | / | Se a urna não imprimir, seu voto pode sumir! >>> >>> |--------| www.votoseguro.org <http://www.votoseguro.org> >>> >>> >>> -------- >>> >>> >>> Extraido de minha coleção de taglines: >>> >>> O sonho não acabou. E ainda temos pão doce, maria-mole e >>> queijadinha. (tm Marilia) >>> >>> >>> /"\ >>> >>> \ / Campanha da fita ASCII - contra mail html >>> >>> X ASCII ribbon campaign - against html mail >>> >>> / \ >>> >>> >>> >> >> -- >> [ ]s >> Eng. Amilcar Brunazo Filho - Santos, SP >> www.votoseguro.org >> ----------------- >> SEI EM QUEM VOTEI, >> ELES TAMBÉM, >> MAS SÓ ELES SABEM QUEM RECEBEU MEU VOTO >> >> >> > > > --~--~---------~--~----~------------~-------~--~----~ __________________________________________________ O texto acima e' de inteira e exclusiva responsabilidade de seu autor, conforme identificado no campo "remetente", e nao representa necessariamente o ponto de vista do Forum do Voto-E O Forum do Voto-E visa debater a confibilidade dos sistemas eleitorais informatizados, em especial o brasileiro, e dos sistemas de assinatura digital e infraestrutura de chaves publicas. __________________________________________________ Pagina, Jornal e Forum do Voto Eletronico http://www.votoseguro.org __________________________________________________ Você recebeu esta mensagem porque está inscrito no Grupo "VotoEletronico" em Grupos do Google. Para postar neste grupo, envie um e-mail para [email protected] Para cancelar a sua inscrição neste grupo, envie um e-mail para [email protected] Para ver mais opções, visite este grupo em http://groups.google.com/group/votoeletronico?hl=pt- -~----------~----~----~----~------~----~------~--~---
