Sur les machines à voter ..petite lecture pour vous donner ... confiance :-)
http://www.votoseguro.org/
3- O modelo das urnas-e brasileiras
Os modelos (98, 2000, 2002, 2004 e 2006) das urnas-e brasileras são totalmente controlados pelo corpo técnico do TSE de forma que as 51 mil fornecidas pela Unisys (modelo 2002) e as 375 mil urnas fornecidas pela Diebold (demais modelos) possuem exatamente as mesmas características de funcionamento, usabilidade e de segurança.
Diferente dos modelos TSx americanos que, para interação com o eleitor, possuem tela e teclado integrados (touch-screen), os modelos de urna brasileiras possuem um teclado numérico fixo e uma tela de cristal líquido separados e dispostos num mesmo desenho patenteado pelo seu primeiro projetista, o Eng. Carlos Rocha.
Os modelos 98 e 2000, que representam 2/3 das urnas-e, possuem Sistema Operacional VirtuOS, semelhante ao antigo DOS ampliado com funções multi-tarefa, e os modelos seguintes possuem o mesmo Windows CE dos modelos TSx americanos.
Por uma questão de padronização da interface com o eleitor e como o VirtuOS tem recursos visuais muito limitados, todas as urnas brasileiras trabalham com tela totalmente em formato de texto (DOS-like) sem os recursos de "janelas" do Windows.
Esta impossibilidade de configuração da tela como teclado é que provocou as dificuldades durante a votação do Referendo de 2005 porque o teclado fixo não possue as teclas "SIM" e " NÃO" que seriam necessárias.
4- As características de segurança das urnas-e brasileiras
No Brasil, o TSE acumula funções como a regulamentação da fiscalização, a administração do processo eleitoral e o julgamento que qualquer recurso em matéria eleitoral até mesmo aqueles que sejam contra seus atos administrativos. Devido a natureza humana, este acúmulo de poderes, inexistente em regimes democráticos maduros, naturalmente leva ao autoritarismo e a falta de transparência. Por este motivo, pedidos oficiais de Testes Livres de Penetração apresentados repetidas vezes por alguns Partidos Políticos tem sido sistematicamente impedidos por este super-órgão eleitoral pelo simples fato de que ele tem poder de centralizar a decisão e impedir tais testes.
Assim, inexistem relatórios no Brasil que sejam similares aos Relatórios Hursti, mas ainda é possivel se descobrir as fragilidades das urnas-e brasileiras pela análise de documentos oficiais publicos como as especificações técnicas em concorências para o fornecimento de urnas e laudos de perícias técnicas ocorridas dentro de processos judiciais.
Desta forma, se pode afirmar que são muito similares os recursos de segurança (e de insegurança) das urnas eletrônicas brasileiras quando comparadas com o descrito do Relatório Hursti sobre o modelo TSx da Diebold:
a) não emitem o voto impresso conferido pelo eleitor que permita auditoria da contagemn dos votos, de forma que são altamente dependentes da confiabilidade do software;
b) Possuem chip da BIOS (com inicializador) preso em soquete e regravável por software, como especificado nos editais de concorrência;
c) Possuem "extensão de BIOS" habilitada por "jumper" na placa-mãe (informação obtida na perícia das urnas-e utilizadas no recadastramento no município de Camaçari, BA, onde a "extensão da BIOS" estava desabilitada, ver [CHA-02]) que permitem a inicialização (boot) a partir do soquete externo para cartão de memória flash-card.
d) É possivel a execução de software "batch file" gravado em disquete conforme descrito no Relatório Unicamp [UNI-02]
e) O programa aplicativo que verifica a integridade interna do sistema é extremamente vulnerável a adulterações [REZ-04]
f) Sistema de lacres e de fechamento do gabinete são simples e permitem acesso ao soquete do cartão de memória interno, conforme descrito no laudo da perícia no município de Sto. Estevão, BA [REG-04]
Este conjunto de características de (in)segurança das urnas brasileiras as tornam tão passíveis de fraudes quanto suas similares americanas.
A possibilidade de inicializar (boot) as urnas-e brasileiras através de cartão de memória instalado no soquete externo é uma enorme falha de segurança pois o programa que comanda o boot pode fazer o que se quiser a seguir, inclusive adulterar todo o software interno anteriormente instalado. Mas este recurso foi implementado proposidamente pelos projetistas do sistema para se poder fazer a atualização simplificada do programa de votação nas urnas-e, como se conclui analisando-se os procedimentos (públicos) de carga e recarga do software, como a seguir descrito:
i) Procedimentos de carga normal das urnas.
É feito por meio de um Flash-card "de carga" que é colocado no conector externo das urnas-e. Ao se ligar as urnas com este dispositivo de memória instalado se pode ver que o boot é dado pelo drive D: (conector externo de flash-card), que então copia todo o software oficial para a flash interna das urnas-e.
Durante esta instalação é apagado tudo que tinha no flash-card interno, exceto (a partir de 2004) o arquivo de log com eventual carga anterior do mesmo sistema.
Neste arquivo de log são lançados as informações da carga atual pelo próprio programa de instalação (que está gravado na flash externa) como se pode deduzir no item (ii) seguinte.
Depois da carga, o flash-card externo é substituido por outro sem sistema de inicialização de forma que, durante a eleição/votação, a inicialização passa a ser controlada pela software instalado no flash-card interno.
ii) Procedimentos de carga excepcional utilizado em 2002:
Em 2002, o software de votação utilizado no 1º turno apresentou falhas intermitentes que levaram a modificações para a votação do 2º turno. A instalação deste novo software foi feita de uma forma diferente da instalação normal. Um novo flash de carga foi preparado e, quando colocado no soquete externo das urnas-e, apenas trocava o software de votação defeituoso pela nova versão, "preservando-se" todos os demais dados e arquivos gravados na flash-card interna durante o primeiro turno, e lançando no arquivo de log uns eventos diferentes do programa de carga normal.
obs.: as aspas na palavra "preservando-se" foi colocada porque, naturalmente, os fiscais externos não tinham como saber se os dados anteriores eram mesmo sendo preservados ou não, especialmente depois do caso das "Dança dos Hashs" denunciada por um membro do Fórum do Voto-e, quando se descobriu que havia diferenças entre as assinaturas "hashs" no sistema final instalado nas urnas e o que fora apresentado aos fiscais na sede do TSE antes da nova carga.
Estes dois procedimentos, normal e excepcional, de carga das urnas-e brasileiras demonstram que é perfeitamente possível se instalar software integral ou parcialmente nas urnas-e pelo uso de um flash card externo devidamente preparado e que os registros no tal arquivo de log é totalmente controlado pelo próprio programa no flash externo.
Para piorar, é este mesmo software externo, que é passado para flash intermo, que comandará a máquina durante a votação, durante a apuração e, pasmem, durante os testes de assinatura digital permitido aos fiscais externos.
Quer dizer, um programa "bem preparado" instalado via flash-card externo poderá burlar tanto a apuração dos votos como os testes de confiabilidade também...
5- Conclusões
As semelhanças entre as falhas de segurança nas urnas-e brasileiras e americanas da Diebold, que são dependentes da segurança do software mas que permitem que este software seja adulterado por agentes externos, parecem mais que simples coincidência.
No Brasil se desenvolveu uma imagem positiva das urnas eletrônicas, apesar destas não permitirem auditoria da apuração dos votos.
Os recursos de segurança aqui aplicados, mesmo não sendo suficientes do ponto de vista estritamente técnico, foram suficientes para convencer os eleitores leigos com a publicidade oficial que repetia insistentemente utilizar "avançados recursos tecnológicos de assinatura digital e de criptografia". O publico leigo não entendia direito para o que isto servia mas acreditou nos chavões de que as urnas eletrônicas "são 100% seguras" e que "acabaram as fraudes eleitorais".
A Diebold conhecia o sucesso até o momento desta desta experiência social, onde recursos de segurança eram usados não com eficácia mas apenas como meio de publicidade ilusória. É natural que tentasse a mesma "estratégia" nos EUA.
Mas a inexistência de uma órgão central com super-poderes como a Justiça Eleitoral brasileira parece estar criando dificuldades à estratégia que aqui vingou.
No Brasil, o TSE conseguiu, desde 2000 até hoje, impedir por meio de decisões obscuras e autoritárias que fosse feita qualquer tipo de análise livre se suas urnas, como a análise do Sr. Hurst, e continua escondendo, dos eleitores desatentos, as fragilidades de seu sistema eletrônico de votação.
--------------------------------------------------------------------------------
6- Referências
[CHA-02] - http://www.votoseguro.org/textos/camacari1.htm resumo - http://www.votoseguro.org/arquivos/camacari1.zip
[UNI-02] - http://www.tse.gov.br/eleicoes/seguranc … _final.zip resumo - http://www.votoseguro.org/textos/relfuncamp1.htm
[REZ-04] - http://www.cic.unb.br/docentes/pedro/tr … setup.html
[REG-04] - http://www.votoseguro.org/arquivos/stoestevao.zip resumo - http://www.votoseguro.org/textos/stoestevao1.htm
------------------------
[ ]s
Amilcar Brunazo Filho
www.votoseguro.org
EU SEI EM QUEM VOTEI.
ELES TAMBÉM.
MAS SÓ ELES SABEM QUEM RECEBEU O MEU VOTO.
Dernière modification par Salève (2010-09-21 22:20:39)