[VotoEletronico] A teoria do Tota

[Amilcar Brunazo Filho]

Eu estou vendo esta discusão do código na foto na seguinte forma.
O Chadel apenas demonstrou que é possivel, e está ficando cada vez mais 
fácil, incluir na foto do candidato mais dados e código além da própria 
foto em si.

O Regivaldo argumenta que é necessário avaliar todo o processo produtivo 
para avaliar se seria possível se valer desta porta de insegurança para 
explorar efetivamente.

Bom, vamos, lá:
Os técnicos do TSE afirmam que a digitalização das fotos é feita no 
cartório eleitoral e não pelo candidato.

Isto não quer dizer absolutamente nada.
Existem candidatos honestos tanto quanto existem funcionários de 
cartórios honestos.
Existem candidatos corruptos tanto quanto funcionários de cartórios 
corruptos.
Basear a segurança do eleitor na confiabilidade de um grupo de pessoas é 
 ridiculamente equivocado.
As fraudes anteriores ao voto-e eram 100% delas praticadas com a 
colaboração ou participação de alguns candidatos desonestos que 
corrompiam alguns funcionários eleitorais desonestos.
Isto não mudou.

Como está claramente explicado no Relatório SBC, é impossível aos 
representantes técnicos dos partidos, da OAB e de entidades externas, 
confererirem o conteúdo completo do sistema que é compilado e implantado 
nas urnas.
Colmo eles disseram, toda a confiabilidade dos programas, consiste em se 
confiar nos programadores, e isto é equivocado.

Sinceramente, eu não consigo entender como ainda tem gente que pensa que 
é possivel se validar e certificar técnicamente o software eleitoral.

Não é possível na prática.

Os maiores especialistas em cripotgrafia e segurança de dados como o 
Bruce Scheneier e o Ronald Rivest (este o inventor da assinatura 
digital) NÃO RECOMENDAM TENTAR VALIDAR E CERTICAR O SOFTWARE ELEITORAL. 
Consideram isto impossível na prática. Recomendam a mais clara e 
elementar técnica de segurança em sistemas contábeis: auditoria contábil 
da apuração, ou seja, voto impresso conferido pelo eleitor e recontagem 
estatística.

Qualquer consideração de que poderia ser possível se validar e 
certificar o software em 400 mil urnas só pode ser feita por quem não 
nunca tentou fazer isto.


Regivaldo Gomes Costa escreveu:
Chadel,

Bom, eu me intrometi no assunto mais pela frase do colega Cordioli, onde 
ele posiciona idéias de denúncia.

Entendo no que vc se refere quanto a inserção de códigos inteiro. Mas há 
suas dificuldade de manipulação... principalmente se considerar que a 
imagem está guardada em meio persistente e a carga do código deve ser 
carregada em memória.

Bom, como falei, não sou nenhum especialista e para debater melhor teria 
que estudar algo a mais.

Enfim, achei apenas prematuro usar a idéia de que isso possa ser feito 
facilmente sem ser observado num processo de auditoria por 
técnicos/programadores.

Obrigado.

[]s,
 
Regivaldo Costa
Salve vidas, visite -> http://www.doesanguecuritiba.org


----- Mensagem original ----
De: Roger Chadel <[EMAIL PROTECTED]>
Para: Regivaldo Gomes Costa <voto-eletronico@encoder1.iron.com.br>
Enviadas: Sexta-feira, 15 de Junho de 2007 15:01:04
Assunto: [VotoEletronico] Re: Res: Re: Res: A teoria do Tota


Regivaldo,


Duas coisas:


1. Eu falei de uma linha de código em um dos programas da urna, um 
comando que desvia para um determinado endereço armazenando o endereço 
da instrução seguinte. É claro que uma fraude não se faz com apenas uma 
linha de código. Mas dentro da imagem, como mostrei, você pode armazenar 
um programa inteiro. Este programa fraudador fará tudo o que tiver que 
ser feito, na quantidade de linhas de código necessárias e por fim 
desviará para aquele endreço armazenado. Não conheço nada de programação 
da plataforma Intel, mas num mainframe IBM essa instrução se chama BALR 
(Branch and link register: desvia para o endereço que está num 
registrador e guarda o endereço da próxima instrução em outro 
registrador). Sabe qual o tamanho desta instrução? 2 bytes!


2. As técnicas de armazenagem de informações dentro de imagens são 
complexas, como você mesmo diz. Mas a que eu apresentei é específica 
para imagens JPG, que é o padrão usado no TSE. Esse padrão permite a 
inserção de qualquer informação que não tem absolutamente nada a ver com 
a imagem. É muito simples, a única diferença é o tamanho final do 
arquivo. Você viu o que eu mostrei. Se você quiser, em vez de um texto, 
coloco um programa (na imagem acima inseri o Bloco de Notas do Windows - 
notepad.exe, por isso o tamanho maior).


O que eu expliquei não é denúncia. É apenas um alerta, mostrando uma das 
opções que existem para fazer-se uma fraude. E muito simples, convenhamos.


Chadel


A respeito de [VotoEletronico] Res: Re: Res: A teoria do Tota,

em 15/06/2007, 14:09, Regivaldo Gomes Costa escreveu:




        

Prezado Amigos,


Não sou nenhum especialista na área. Mas a arte de esconder informações 
numa imagem ou outro meio qualquer está associado a área da 
esteganografia (estegano = esconder/ocultar; grafia = escrita).


Para imagens, podem ser utilizados métodos baseados no domínio espacial 
e da frequência. Entre as técnicas temos a substituição do bit menos 
significativo, permutação pseudo-râmdomica (utiliza stego-key... a senha 
citada) entre outras.


Ao meu ver, imbutir um código numa imagem, para tratá-lo (ou ler esse 
contéudo, pois o mesmo poderia ser uma fonte de dados maliciosa), deve 
haver um controle razoável sobre essa operação e, portanto, acredito eu 
que não se faria em apenas uma linha de código. 


Problemas associados a ruídos na imagem e de sua leitura podem ocorrer 
quando se insere/esconde grandes conteúdos sobre imagens, principalmente 
em imagens que utilizam paletas, onde a troca de um único bit, pode por 
exemplo, comprometer a cor da imagem com um todo.


Assim, penso que o exposto não deixa de ser possível, mas muito 
complicado de ser feito. Talvez usar a informação escondida como 
conteúdo de um constante a ser utilizado no código seja mais plausivel, 
mas efetuar um desvio, de forma que código a ser executado seja o da 
imagem, acho que complica mais.


Como falei, não é impossível. Mas usar como forma de denúncia, tenho 
minhas dúvidas da credibilidade.


 

Obrigado.


[]s,


Regivaldo Costa

Salve vidas, visite -> http://www.doesanguecuritiba.org




----- Mensagem original ----

De: Roger Chadel <[EMAIL PROTECTED]>

Para: Luiz <voto-eletronico@encoder1.iron.com.br>

Enviadas: Sexta-feira, 15 de Junho de 2007 13:08:10

Assunto: [VotoEletronico] Re: Res: A teoria do Tota


Luiz,


Eu fiz o teste novamente, e funcionou. Na hora de abrir, ele me avisa 
que tem um anexo, e eu dou OK. Aí ele pede a senha e eu escrevo alerta. 
E funciona! Ah! Tem que ser em minúsculas. 


Chadel


A respeito de [VotoEletronico] Res: A teoria do Tota,

em 15/06/2007, 11:49, Luiz escreveu:




        

Chadel, tentei aqui a manobra indicada, acusou a existência do texto 
anexo, mas não aceitou a senha indicada. 

De qualquer, forma, é impressionante sentir na pele a realidade da coisa.

Vamos espalhar, mas seria imprescindível termos e repassarmos a senha 
correta, para dar credibilidade absoluta à denúncia.

 

Com um tapa na cara, deste tamanho, um dia haverá massa crítica de 
pessoas acordadas...e haverá reação.

 

Abraços

Cordioli

 

À la Demóstenes, que falava para as ondas com pedras na boca para 
melhorar suas futuras performances de oratória, uma sugestão de tagline 
eleitoral:

 

URNAS ELETRÔNICAS SÃO FRAUDÁVEIS.

PORTANTO, VAMOS IMPEDIR SUA UTILIZAÇÃO. 


        
        


__________ NOD32 2330 (20070615) Information __________


This message was checked by NOD32 antivirus system.

http://www.eset.com






--

Grande abraço,


Roger Chadel


--------


    ////    O TSE deve voltar a ser um tribunal

|---//---|  

|   /    |  Se a urna não imprimir, seu voto pode sumir!

|--------|  www.votoseguro.org <http://www.votoseguro.org>


--------


Extraido de minha coleção de taglines:

Seja legal com seus filhos. São eles que vão escolher seu asilo.


 /"\

 \ /  Campanha da fita ASCII - contra mail html

  X   ASCII ribbon campaign - against html mail

 / \




__________ NOD32 2330 (20070615) Information __________


This message was checked by NOD32 antivirus system.

http://www.eset.com






--

Grande abraço,


Roger Chadel


--------


    ////    O TSE deve voltar a ser um tribunal

|---//---|  

|   /    |  Se a urna não imprimir, seu voto pode sumir!

|--------|  www.votoseguro.org <http://www.votoseguro.org>


--------


Extraido de minha coleção de taglines:

Metade deste jogo é noventa porcento mental. (Danny Ozark, técnico de 
futebol americano)


 /"\

 \ /  Campanha da fita ASCII - contra mail html

  X   ASCII ribbon campaign - against html mail

 / \



--
[ ]s
  Eng. Amilcar Brunazo Filho - Santos, SP
  www.votoseguro.org
  -----------------
  SEI EM QUEM VOTEI,
  ELES TAMBÉM,
  MAS SÓ ELES SABEM QUEM RECEBEU MEU VOTO

  Assine o manifesto pela segurança
  e transparência do voto eletrônico em:
  http://www.votoseguro.com/alertaprofessores



______________________________________________________________
O texto acima e' de inteira e exclusiva responsabilidade de seu
autor, conforme identificado no campo "remetente", e nao
representa necessariamente o ponto de vista do Forum do Voto-E

O Forum do Voto-E visa debater a confibilidade dos sistemas
eleitorais informatizados, em especial o brasileiro, e dos
sistemas de assinatura digital e infraestrutura de chaves publicas.
__________________________________________________
Pagina, Jornal e Forum do Voto Eletronico
       http://www.votoseguro.org
__________________________________________________