marikaa-kambui: TSE - URNAS-e - TESTE COMEÇA AMANHÃ

O Teste de Segurança das Urnas, os hackers e o TSE (Parte 1)

Urna Eletrônica Apesar do assunto “teste de segurança nas urnas eletrônicas” ter ganhado maior popularidade apenas nos últimos meses, a idéia original nasceu em junho de 2006, após o protocolo, por parte do Partido dos Trabalhadores (PT) e do Partido Democrático Trabalhista (PDT), da Petição Conjunta Nº 1896/2006. Através deste documento, os partidos solicitavam ao Tribunal Superior Eleitoral (TSE) permissão para realizar teste de penetração no sistema de votação das urnas eletrônicas brasileiras.

quinta-feira, 29 de outubro de 2009
http://www.fraudeurnaseletronicas.com.br/

-------------------------------------------------

Testes de Penetração em Urnas Eletrônicas

ÍNDICE

1. O que é Teste de Penetração
2. Um Teste de Penetração em 1934
3. Os não-testes nas Urnas-E Brasileiras

Detalhamento dos Casos
4. Caso Atual - A Petição Conjunta PT e PDT em 2006 - atualizado em novembro de 2008
5. Casos Anteriores - A Recusa do TSE em 2004

6. Teste de Penetração nas Urnas-E brasileiras no Paraguai
7. Teste da Black Box Voting nas Urnas Diebold americanas
8. Teste em Princeton nas Urnas Diebold americanas - legenda em português
9. Teste em Princeton nas Urnas Diebold americanas - em inglês

Voltar ao Índice
Artigos e Textos
do Voto Eletrônico

1. O que é Teste de Penetração

Testes de Penetração é a denominação técnica para testes de resistência contra ataques intencionais em sistemas informatizados complexos, onde se permite que pessoas capazes possam tentar burlar as defesas de segurança do sistema.

A finalidade dos testes de penetração é descobrir falhas de segurança, ignoradas pelos projetistas, de forma a permitir a correção das falhas antes do sistema entrar em operação regular.

Existem normas técnicas internacionais e brasileiras que estabelecem os Critérios Básicos de Avaliação da Segurança em Sistemas Informatizados, como a ISO 15.408 conhecida como Common Criteria, que indicam o uso de testes de penetração como ferramenta adequada para avaliação da confiabilidade de sistemas.

Em dezembro de 2005 e em maio de 2006, foram publicados pela ONG Black Box Voting (BBV) dois relatórios do especialista em informática Harri Hursti contendo o resultado de Testes de Penetração desenvolvidos sobre as máquinas eletrônicas de votar modelos TSx fabricadas pela empresa Diebold.

Em setembro de 2006 foi o Center for Information Technology Policy da Universidade de Princeton que publicou um relatório e um vídeo também desenvolvidos sobre as urnas TSx da Diebold.

Os testes revelaram a possibilidade de se adulterar o software daquelas máquinas de votar em menos de um minuto e sem que as suas defesas lógicas detectem a adulteração.

Como são máquinas feitas pelo mesmo fabricante que as urnas-e brasileiras e similares em seus aspectos de segurança, de imediato sugerem que as máquinas brasileiras também deveriam passar por tais testes.

Porém, até o momento (agosto de 2008) o Tribunal Superior Eleitoral tem impedido o desenvolvimento de Testes de Penetração nas urnas-e brasileiras sob alegações falaciosas e com obscurantismo como se procura demonstrar com a documentação apresentada a seguir.

2. Um Teste de Penetração em 1934

A Justiça Eleitoral brasileira afirma enfaticamente, em sua propaganda oficial, a absoluta segurança de suas urnas eletrônicas. Mas, por outro lado, tem rejeitado qualquer possibilidade de se efetuar Testes de Penetração que possam confirmar sua propaganda.

Mas nem sempre a Justiça Eleitoral brasileira agiu desta forma obscurantista e autoritária.

Nos idos de 1934 (é mil novecentos e trinta e quatro, mesmo), ainda respirando os ares de sua fundação em 1932 para moralizar o processo eleitoral, que então tinha a fama de regularmente fraudado pela "Política do Café com Leite" e pelo "voto a bico de pena", registrou-se um caso que enriqueceu sua história.

No então denominado Tribunal Regional de Justiça Eleitoral de São Paulo houve uma licitação para a confecção de urnas de aço (2.000 urnas). A licitação foi ganha pelo Lyceu de Artes e Ofícios. Quando as urnas foram apresentadas houve denuncia de que era possível abrir as urnas com uma técnica pouco conhecida: a chave do tipo "micha".

O então diretor da Escola de Polícia, Moysés Marx, que acompanhara o projeto das novas urnas foi designado para proceder às investigações e criou-se uma Comissão de Investigação composta por técnicos de renome como Luis Ignácio de Anhaia Mello e outros da Escola Politécnica da USP.

A Comissão decidiu pela realização de um teste oficial sobre a segurança daquelas urnas, até então ditas "invioláveis". Hoje o teste seria chamado de "Teste de Penetração" e consistiu em se levar ao Tribunal o cidadão que dizia saber abrir a urna sem deixar vestígios e permitir-lhe demonstrar o que afirmava.

O teste teve sucesso. Uma falha de segurança foi encontrada, o que levou ao aperfeiçoamento posterior do mecanismo de tranca das urnas.

Dentro do espírito de transparência que levou à criação da Justiça Eleitoral em 1932, todo o desenrolar deste evento foi devidamente registrado, dia após dia, no Diário Oficial da época.

Eram tempos em que vigorava o Princípio de Transparência da Coisa Pública no processo eleitoral!

3. Os não-testes nas Urnas-E Brasileiras

Desde o ano 2000, os partidos políticos que se apresentam para acompanhar o desenvolvimento dos sistemas informatizados de eleição, normalmente o PT e o PDT, têm apresentado petições ao TSE solicitando permissão para efetuarem testes de penetração nas urnas eletrônicas com o intuito de verificarem ou não a existência de falhas no esquema de segurança projetado.

Em 2000 e 2002, os pedidos apresentados à Secretaria de Informática do TSE foram simplesmente ignorados e nenhuma resposta oficial foi dada. Extra-oficialmente, demonstrando total incompreensão da função de testes de penetração, dizia-se que não queriam permitir que os testes "desmoralizassem" as suas urnas eletrônicas.

Em 2004, o PT voltou a apresentar um pedido à Secretaria de Informática do TSE para que lhe fosse permitido testar o sistema de embaralhamento dos votos. Desta vez, houve resposta oficial. Negaram o pedido "por falta de previsão na regulamentação". O que não disseram é que a tal "regulamentação" fora escrita pela própria Secretaria de Informática do TSE.

Por sua vez, o PDT tentou em 2004 apresentar sua petição diretamente ao Ministro Presidente do TSE, na esperança que sua imparcialidade pudesse levar a aprovação da petição.

Vã esperança!

O Ministro Sepulveda Pertence, então presidente do TSE, remeteu a petição à Secretaria de Informática a qual respondeu que suas urnas-E eram invulneráveis como deveria saber o autor da petição. Com esta falaciosa resposta em mãos, o presidente do TSE deu sua decisão "largamente" justificada em uma linha manuscrita: "comunique-se ao interessado (que ele deveria saber que o sistema é invulnerável) e arquive-se" !

Em junho de 2006, o PT e o PDT resolveram apresentar uma petição conjunta para poder efetuar um Teste de Penetração nas urnas-e brasileiras. Até este momento (novembro de 2008) esta petição ainda não foi oficialmente respondida como se descreve a seguir.

4. A Petição Conjunta PT e PDT em 2006 - atualizado em agosto de 2008

Em 08 de junho de 2006, o Partido dos Trabalhadores, PT, e o Partido Democrático Trabalhista, PDT, apresentaram a Petição Conjunta PET TSE nº 1896/2006, solicitando ao TSE permissão para efetuar testes de vulnerabilidades contra ataques nas urnas eletrônicas, também chamados de testes de penetração.

No dia 23 de maio de 2007, o Secretário de Informática do TSE, Sr. Guizeppe Janino, em audiência pública na CCJC da Câmara Federal, questionado sobre a demora em permitir os testes de penetração afirmou que os testes seriam permitidos em Novembro de 2007.

A informação era falsa. Diante da omissão do TSE, em junho de 2008 o Partido da República, PR, aderiu à petição do PT e do PDT.

Para conhecer o andamento desta petição acesse o sistema PUSH do TSE para acompanhamento de processos e siga os seguintes passos:

* digite 1896
* clique em Pesquisar
* selecione a PET-1896 ou o protocolo 8708/2006
* marque o botão Todos
* clique em Visualizar

O resumo da tramitação da PET TSE 1896/06 é:

junho de 2006
é apresentada a petição inicial
maio de 2007
Diretor Geral e Secretário de Tecnologia da Informação (STI) do TSE comparecem a audiência pública na Câmara Federal e informam que os testes de penetração pelos partidos serão feitos em novembro de 2007
junho de 2007
nos autos da PET 1896/06, a STI se manifestou favorável à execução dos testes no mês de novembro de 2007
outubro de 2007
despacho do ministro relator solicita à STI definição dos critérios para a realização dos testes
maio de 2008
através do Contrato TSE 032/2008, foram contratadas a Fundação de Apoio à Capacitação de Tecnologia da Informação - FACTI - e o Centro de Pesquisas Renato Archer - CenPRA - com o objeto de elaboração e análise de testes de vulnerabilidade quanto a segurança do sistema eletrônico de votação
agosto de 2008
diante dos relatórios parciais da FACTI, que apontaram inúmeras falhas de segurança no processo eletrônico de votação, a STI/TSE decide:

* manter os relatórios totalmente secretos para impedir que o eleitor brasileiro saiba que o sistema possui vulnerabilidades;
* impedir os testes de Penetração solicitados em 2006 pelos Partidos Políticos;
* Abandonar, após as eleições de 2008, o projeto atual das urnas eletrônicas por causa dos vícios de segurança insanáveis;
* aditar o contrato com a FACTI/CenPRA para tentar desenvolver um novo projeto de urnas eletrônicas mais confiáveis para 2010;
* desinformar o público por meio de propaganda falsa: negando a existência de falhas de segurança e afirmando que o Teste de Penetração será permitido em 2010 ! ;
Em resumo, a despeito de reiteradas declarações de transparência do processo eleitoral e da invulnerabilidade do seus sistema eletrônico de votação, o andamento desta petição revela que a atual Administração Eleitoral brasileira perdeu totalmente o espírito de transparência que a norteava durante os Testes de Penetração em 1934

5. Casos Anteriores - a Recusa do TSE em 2004

Você pode baixar o arquivo .DOC com a Petição do PDT em 2004, protocolizada sob número: Protocolo TSE n 14307/2004.

Segue abaixo o fac simile das 3 páginas com a negativa oficial do TSE à petição para testes de penetração apresentada pelo PDT em 2004.
Na primeira página se pode ver o despacho manuscrito do presidente do TSE mandando dar ciência ao autor e arquivar o pedido. Na segunda página está o argumento central de que o autor devia tomar conhecimento:
"... a agremiação impugnante indicou o técnico Amílcar Brunazo Filho, o qual teve oportunidade de conhecer e verificar todos os procedimentos de segurança adotados pela Justiça Eleitoral que inviabilizam qualquer ataque e ou alteração dos sistemas eleitorais e da urna eletrônica. "

Em resumo, ao pedido para efetuar testes de penetração nas urnas eletrônicas, o presidente do TSE respondeu que o autor do pedido sabia (ou deveria saber) que é inviável qualquer tipo de ataque contra as defesas de suas urnas eletrônicas... e impediu os testes.

Diante desta atual postura autoritária e obscurantista da Justiça Eleitoral há que se lamentar a perda daquele espírito democrático e transparente que a guiava em 1934.
-------------------------------------------------
Um teste de penetração (em inglês, pen-test ou penetration test) é um método de avaliação da segurança de um sistema de computador ou rede, onde se permite que pessoas capazes possam tentar burlar as defesas de segurança, simulando um ataque. É o componente mais importante de uma completa auditoria de segurança.
-------------------------------------------------
É o procedimento utilizado para testar e descobrir vulnerabilidades em sistemas de informática e a possibilidade de ver como estas podem ser exploradas ou corrigidas. O processo envolve uma análise de todo o sistema, considerando as potenciais vulnerabilidades, conhecidas ou não, que podem resultar da má configuração do procedimento.

Na prática, são convocados profissionais para explorar todo o sistema, da mesma forma que um hacker faria. Em seguida, são entregues os resultados indicando todas as falhas encontradas e, se possível, indicando formas de corrigi-las.
-------------------------------------------------
Foram três anos de trâmite no TSE, até que na sessão administrativa do dia 30 de junho de 2009, a Petição Conjunta Nº 1896/2006 foi aprovada por unanimidade entre os ministros.

Baixe a íntegra da Petição 1896/2006 - no link do site -

A permissão dada pelo TSE para que os partidos realizassem tentativas de ataques intencionais nos sistemas das urnas eletrônicas parecia ser um marco na fiscalização partidária sobre o processo eleitoral.

Pedidos parecidos foram apresentados durante as cerimônias de lacração dos programas em 2000, 2002 e 2004, pelo PT e pelo PDT, e não receberam, em tempo, respostas positivas da Secretária de Informática. De acordo com o site Voto Seguro, os pedidos apresentados à Secretaria de Informática do TSE, em 2000 e 2002, foram simplesmente ignorados e nenhuma resposta oficial foi dada. Em 2004, negaram o pedido "por falta de previsão na regulamentação" e ainda mandaram comunicar aos partidos que eles deveriam saber que o sistema é invulnerável.

Desde o início do uso das urnas eletrônicas no Brasil, a decisão de 2009 foi a primeira com parecer favorável aos testes de penetração. Entretanto, conforme comentamos no artigo “Realização de teste de segurança no sistema de votação das urnas eletrônicas”, publicado em 8 de julho:

“Apesar de significar grandes avanços, a autorização concedida em 2009 ainda não pode ser considerada uma vitória plena da democracia. Após sucessivas negativas, não está bem claro qual a intenção do TSE em contribuir com uma devassa dos sistemas eleitorais.”

Era opinião unânime entre os membros do [Fraude UE] que “existia algo de pobre no Reino da Dinamarca”. Detalhes sombrios ainda não revelados.

E não deu outra. Dias depois, nossas suspeitas foram sendo confirmadas. Em 9 de julho, os autores da petição inicial desistiram formalmente dos testes de penetração. Os partidos, que vinham solicitando a autorização há nove anos, se recusaram a testar as urnas eletrônicas do jeito que o Tribunal exigia. E, desta forma, protocolaram a Petição Nº 14.814/2009 solicitando que o nome dos partidos não fosse usado impropriamente, uma vez que estes consideraram indeferido o pedido original.

Segundo as agremiações partidárias, o TSE descaracterizou de tal forma o procedimento técnico, que do jeito que o Tribunal planejava realizar, o teste não seria isento. Dentre as estritas condições impostas pelo TSE, estava a que não permitia que os partidos indicassem membros para nenhuma das duas comissões fiscalizadoras dos testes.

Aliás, para piorar a situação, as duas comissões seriam estritamente ligadas ao TSE. A parcialidade da Comissão Disciplinadora era fato incontestável, haja vista que seria integrada exclusivamente por servidores da Justiça Eleitoral. Por sua vez, a Comissão Avaliadora, conforme informado pelo engenheiro Amílcar Brunazo Filho, seria integrada pelos mesmos professores universitários e cientistas anteriormente nomeados para compor o Comitê Multidisciplinar, constituído pelo TSE em março de 2009. Estes pesquisadores, em oportunidades anteriores, prestaram serviço remunerado ao TSE, contribuindo na elaboração de relatórios técnico-especializados. Portanto, sem isenção formal para a função de auditores do próprio contratante.

Conforme informado por Brunazo, representante do PDT no TSE e um dos autores da petição inicial:

"Os partidos solicitaram permissão para indicar técnicos para testarem as urnas perante uma Comissão de professores universitários independentes do TSE que determinariam as regras e elaborariam o relatório dos testes. Só que o TSE decidiu que é ele quem vai indicar os membros responsáveis pelas regras e pelo relatório. Não haverá isenção."

Apesar da posterior desistência dos partidos, a realização dos testes foi mantida porque o procurador-geral eleitoral, Roberto Gurgel, assumiu a autoria da petição das legendas por entender que havia interesse público no caso.
-------------------------------------------------
continua na parte 2
em breve
http://www.fraudeurnaseletronicas.com.br/

2009/10/o-teste-de-seguranca-das-urnas-os.html
-------------------------------------------------

marikaa-kambui

Restinga_Zacarias_Maricá_RJ_Brasil

Páginas

segunda-feira, 9 de novembro de 2009

TSE - URNAS-e - TESTE COMEÇA AMANHÃ

Nenhum comentário:

Postar um comentário

Twitter

VIDEOS

Pesquisar este blog

FRASE

Amazônia Quase Legal

Câncer tem cura!

LINKS ÚTEIS E FAVORITOS

Urna Eletrônica...

Colaborador

Colaborador

AmBeCerva

CURSO NA UNDERWATER

TRAINEE ROV

Colaboradores

Colaborador

SE BEBER, NÃO DIRIJA! VÁ DE VERMELHINHO

Colaborador

LIVROS

BLOGS & SITES

Arquivo do blog

Colaboradores

CAMPANHAS

UNDERWATER ROV TRAINING

+ CAMPANHAS

ALCAIDES E EDIS

Blog - Alcaides e Edis

COLABORADOR

COLABORADOR

ARQUITETURA

RICARDO IMÓVEIS

ALEDIO AR CONDICIONADO

AGS SOFTWARE

RETROESCAVADEIRA

OFICINA DE ENROLAMENTO

POUSADA MIRENE's HOUSE

ENGENHEIRA CIVIL

Frases e Mensagens

Marikaa

Maricá - Território Livre