Eu estou vendo esta discusão do código na foto na seguinte forma.
O Chadel apenas demonstrou que é possivel, e está ficando cada vez mais
fácil, incluir na foto do candidato mais dados e código além da própria
foto em si.
O Regivaldo argumenta que é necessário avaliar todo o processo produtivo
para avaliar se seria possível se valer desta porta de insegurança para
explorar efetivamente.
Bom, vamos, lá:
Os técnicos do TSE afirmam que a digitalização das fotos é feita no
cartório eleitoral e não pelo candidato.
Isto não quer dizer absolutamente nada.
Existem candidatos honestos tanto quanto existem funcionários de
cartórios honestos.
Existem candidatos corruptos tanto quanto funcionários de cartórios
corruptos.
Basear a segurança do eleitor na confiabilidade de um grupo de pessoas é
ridiculamente equivocado.
As fraudes anteriores ao voto-e eram 100% delas praticadas com a
colaboração ou participação de alguns candidatos desonestos que
corrompiam alguns funcionários eleitorais desonestos.
Isto não mudou.
Como está claramente explicado no Relatório SBC, é impossível aos
representantes técnicos dos partidos, da OAB e de entidades externas,
confererirem o conteúdo completo do sistema que é compilado e implantado
nas urnas.
Colmo eles disseram, toda a confiabilidade dos programas, consiste em se
confiar nos programadores, e isto é equivocado.
Sinceramente, eu não consigo entender como ainda tem gente que pensa que
é possivel se validar e certificar técnicamente o software eleitoral.
Não é possível na prática.
Os maiores especialistas em cripotgrafia e segurança de dados como o
Bruce Scheneier e o Ronald Rivest (este o inventor da assinatura
digital) NÃO RECOMENDAM TENTAR VALIDAR E CERTICAR O SOFTWARE ELEITORAL.
Consideram isto impossível na prática. Recomendam a mais clara e
elementar técnica de segurança em sistemas contábeis: auditoria contábil
da apuração, ou seja, voto impresso conferido pelo eleitor e recontagem
estatística.
Qualquer consideração de que poderia ser possível se validar e
certificar o software em 400 mil urnas só pode ser feita por quem não
nunca tentou fazer isto.
Regivaldo Gomes Costa escreveu:
Chadel,
Bom, eu me intrometi no assunto mais pela frase do colega Cordioli, onde
ele posiciona idéias de denúncia.
Entendo no que vc se refere quanto a inserção de códigos inteiro. Mas há
suas dificuldade de manipulação... principalmente se considerar que a
imagem está guardada em meio persistente e a carga do código deve ser
carregada em memória.
Bom, como falei, não sou nenhum especialista e para debater melhor teria
que estudar algo a mais.
Enfim, achei apenas prematuro usar a idéia de que isso possa ser feito
facilmente sem ser observado num processo de auditoria por
técnicos/programadores.
Obrigado.
[]s,
Regivaldo Costa
Salve vidas, visite -> http://www.doesanguecuritiba.org
----- Mensagem original ----
De: Roger Chadel <[EMAIL PROTECTED]>
Para: Regivaldo Gomes Costa <voto-eletronico@encoder1.iron.com.br>
Enviadas: Sexta-feira, 15 de Junho de 2007 15:01:04
Assunto: [VotoEletronico] Re: Res: Re: Res: A teoria do Tota
Regivaldo,
Duas coisas:
1. Eu falei de uma linha de código em um dos programas da urna, um
comando que desvia para um determinado endereço armazenando o endereço
da instrução seguinte. É claro que uma fraude não se faz com apenas uma
linha de código. Mas dentro da imagem, como mostrei, você pode armazenar
um programa inteiro. Este programa fraudador fará tudo o que tiver que
ser feito, na quantidade de linhas de código necessárias e por fim
desviará para aquele endreço armazenado. Não conheço nada de programação
da plataforma Intel, mas num mainframe IBM essa instrução se chama BALR
(Branch and link register: desvia para o endereço que está num
registrador e guarda o endereço da próxima instrução em outro
registrador). Sabe qual o tamanho desta instrução? 2 bytes!
2. As técnicas de armazenagem de informações dentro de imagens são
complexas, como você mesmo diz. Mas a que eu apresentei é específica
para imagens JPG, que é o padrão usado no TSE. Esse padrão permite a
inserção de qualquer informação que não tem absolutamente nada a ver com
a imagem. É muito simples, a única diferença é o tamanho final do
arquivo. Você viu o que eu mostrei. Se você quiser, em vez de um texto,
coloco um programa (na imagem acima inseri o Bloco de Notas do Windows -
notepad.exe, por isso o tamanho maior).
O que eu expliquei não é denúncia. É apenas um alerta, mostrando uma das
opções que existem para fazer-se uma fraude. E muito simples, convenhamos.
Chadel
A respeito de [VotoEletronico] Res: Re: Res: A teoria do Tota,
em 15/06/2007, 14:09, Regivaldo Gomes Costa escreveu:
Prezado Amigos,
Não sou nenhum especialista na área. Mas a arte de esconder informações
numa imagem ou outro meio qualquer está associado a área da
esteganografia (estegano = esconder/ocultar; grafia = escrita).
Para imagens, podem ser utilizados métodos baseados no domínio espacial
e da frequência. Entre as técnicas temos a substituição do bit menos
significativo, permutação pseudo-râmdomica (utiliza stego-key... a senha
citada) entre outras.
Ao meu ver, imbutir um código numa imagem, para tratá-lo (ou ler esse
contéudo, pois o mesmo poderia ser uma fonte de dados maliciosa), deve
haver um controle razoável sobre essa operação e, portanto, acredito eu
que não se faria em apenas uma linha de código.
Problemas associados a ruídos na imagem e de sua leitura podem ocorrer
quando se insere/esconde grandes conteúdos sobre imagens, principalmente
em imagens que utilizam paletas, onde a troca de um único bit, pode por
exemplo, comprometer a cor da imagem com um todo.
Assim, penso que o exposto não deixa de ser possível, mas muito
complicado de ser feito. Talvez usar a informação escondida como
conteúdo de um constante a ser utilizado no código seja mais plausivel,
mas efetuar um desvio, de forma que código a ser executado seja o da
imagem, acho que complica mais.
Como falei, não é impossível. Mas usar como forma de denúncia, tenho
minhas dúvidas da credibilidade.
Obrigado.
[]s,
Regivaldo Costa
Salve vidas, visite -> http://www.doesanguecuritiba.org
----- Mensagem original ----
De: Roger Chadel <[EMAIL PROTECTED]>
Para: Luiz <voto-eletronico@encoder1.iron.com.br>
Enviadas: Sexta-feira, 15 de Junho de 2007 13:08:10
Assunto: [VotoEletronico] Re: Res: A teoria do Tota
Luiz,
Eu fiz o teste novamente, e funcionou. Na hora de abrir, ele me avisa
que tem um anexo, e eu dou OK. Aí ele pede a senha e eu escrevo alerta.
E funciona! Ah! Tem que ser em minúsculas.
Chadel
A respeito de [VotoEletronico] Res: A teoria do Tota,
em 15/06/2007, 11:49, Luiz escreveu:
Chadel, tentei aqui a manobra indicada, acusou a existência do texto
anexo, mas não aceitou a senha indicada.
De qualquer, forma, é impressionante sentir na pele a realidade da coisa.
Vamos espalhar, mas seria imprescindível termos e repassarmos a senha
correta, para dar credibilidade absoluta à denúncia.
Com um tapa na cara, deste tamanho, um dia haverá massa crítica de
pessoas acordadas...e haverá reação.
Abraços
Cordioli
À la Demóstenes, que falava para as ondas com pedras na boca para
melhorar suas futuras performances de oratória, uma sugestão de tagline
eleitoral:
URNAS ELETRÔNICAS SÃO FRAUDÁVEIS.
PORTANTO, VAMOS IMPEDIR SUA UTILIZAÇÃO.
__________ NOD32 2330 (20070615) Information __________
This message was checked by NOD32 antivirus system.
http://www.eset.com
--
Grande abraço,
Roger Chadel
--------
//// O TSE deve voltar a ser um tribunal
|---//---|
| / | Se a urna não imprimir, seu voto pode sumir!
|--------| www.votoseguro.org <http://www.votoseguro.org>
--------
Extraido de minha coleção de taglines:
Seja legal com seus filhos. São eles que vão escolher seu asilo.
/"\
\ / Campanha da fita ASCII - contra mail html
X ASCII ribbon campaign - against html mail
/ \
__________ NOD32 2330 (20070615) Information __________
This message was checked by NOD32 antivirus system.
http://www.eset.com
--
Grande abraço,
Roger Chadel
--------
//// O TSE deve voltar a ser um tribunal
|---//---|
| / | Se a urna não imprimir, seu voto pode sumir!
|--------| www.votoseguro.org <http://www.votoseguro.org>
--------
Extraido de minha coleção de taglines:
Metade deste jogo é noventa porcento mental. (Danny Ozark, técnico de
futebol americano)
/"\
\ / Campanha da fita ASCII - contra mail html
X ASCII ribbon campaign - against html mail
/ \
--
[ ]s
Eng. Amilcar Brunazo Filho - Santos, SP
www.votoseguro.org
-----------------
SEI EM QUEM VOTEI,
ELES TAMBÉM,
MAS SÓ ELES SABEM QUEM RECEBEU MEU VOTO
Assine o manifesto pela segurança
e transparência do voto eletrônico em:
http://www.votoseguro.com/alertaprofessores
______________________________________________________________
O texto acima e' de inteira e exclusiva responsabilidade de seu
autor, conforme identificado no campo "remetente", e nao
representa necessariamente o ponto de vista do Forum do Voto-E
O Forum do Voto-E visa debater a confibilidade dos sistemas
eleitorais informatizados, em especial o brasileiro, e dos
sistemas de assinatura digital e infraestrutura de chaves publicas.
__________________________________________________
Pagina, Jornal e Forum do Voto Eletronico
http://www.votoseguro.org
__________________________________________________