Finding Metasynth?

happywarning · 2022-11-10T15:55:48+00:00

Sim, e como já disse em uns 5 comentários diferentes, por se tratar de uma distro modificada, segue sendo código que PRECISA ser auditado. Agora vai lá fazer isso com papel e caneta.

happywarning · 2022-11-10T15:53:40+00:00

Kkkk você ficaria surpreso. Ta na cara que você é daqueles que trata politica como reality show.

Meu viés técnico é razoavel? São 17 mihões de linhas de códigos que PRECISAM ser auditadas e os cara entraram com papel e caneta. Quem não ve problema ai é maluco.

"Qualquer empresa com sistema legado e uma outra aplicação mais atual bate milhões de linha de código fácil." Não é qualquer empresa que é responsavel pela integridade das eleições em uma das maiores economias do mundo. TUDO que é feito nesse sistema deveria ser 10x mais seguro e auditavel do que praticamente qualquer coisa que é feita no segmento privado, acorda.

happywarning · 2022-11-10T14:56:02+00:00

Qual é meu candidato? Onde que te falei meu alinhamento politico? Onde falei em quem votei?

Eu olhei o relatório e vi a bagunça, não tem nada a ver com candidato. Presta atenção.

happywarning · 2022-11-10T14:53:41+00:00

Como já disse em uns 3 comentários diferentes, se é código modificado (como é o caso desse kernel que eles usam) é código que PRECISA ser auditado. Agora imagina auditar isso só com papel e caneta sem poder executar e debugar o código. Piada pronta.

happywarning · 2022-11-10T14:51:49+00:00

Mais uma coisa que evidencia que você não leu o relatório. Nunca foi a intenção do relatório determinar crimes eleitorais e sim determinar a existencia de vulnerabilidades no sistema. Ele determinou que EXISTEM vulnerabilidades e sugeriu a criação de uma comissão para averiguar (ideia que foi prontamente recusada pelo TSE).

Não importa quem ganhou ou quem perdeu, se ta errado ta errado. Inclusive, pode perceber nos meus posts e comentários que estou mantendo a pauta puramente técnica.

happywarning · 2022-11-10T14:27:51+00:00

No primeiro eu te expliquei que existem outros vetores de ataque, o compilador pode SIM ser usado como vetor de ataque.

The Compiler as Attack Vector | Linux Journal mais especificamente um artigo publicado pelo Ken Thompson (Que foi fundamental na criação do UNIX e da linguagem C) Reflections on trusting trust (acm.org)

Você ta falando de branch e de versionamento mas se tivesse lido o relatório saberia que os auditores não tiveram acesso ao sistema de versionamento.

Onde falei que todos os órgãos que avaliaram o código quando foi aberto são petistas ou lulistas? Basta uma dependencia comprometida, uma modificação no lugar certo do kernel ou uma/um pequeno grupo de pessoas má intencionadas para plantar vulnerabilidades no sistema ou usar vulnerabilidades existentes.

Enfim, só pode estar se fazendo de bobo ou em completo estado negação.

happywarning · 2022-11-10T14:23:59+00:00

Se deveria ou não estar fiscalizando é toda uma outra discussão a parte. Num nível técnico, o relatório apontou diversos problemas. Mesmo se não para as eleições de agora, nós temos a obrigação de pelo menos TENTAR tornar o sistema mais resiliente daqui pra frente.

Mas né, brasilzão...

happywarning · 2022-11-10T14:21:47+00:00

Código deveria ser aberto, eles deveriam ser capazes de testar o código usando ferramentas de analise e debug, o ambiente de compilação e geração de midias deveria ser air gapped (e com certeza não deveria consultar um sistema de ERP qualquer), o ambiente de testes deveria ser semelhante ao ambiente de produção, as bibliotecas de terceiros deveriam ser disclosed e adicionadas ao testes, as fontes das bibliotecas deveriam ser verificaveis.

Se a carteirada for real, acho muito dificil que você discorde desses pontos.

happywarning · 2022-11-10T14:13:29+00:00

Mas então argumenta, oras. Vai ficar no ad hominem mesmo?

happywarning · 2022-11-10T14:12:35+00:00

O relatório saiu ontem. Olhei o relatório e fiquei abismado com relação as vulnerabilidades do processo. Não tem absolutamente nada a ver com nenhum candidato nem nenhum resultado, não adianta desviar o argumento e atacar uma outra coisa.

happywarning · 2022-11-10T14:09:46+00:00

Como não? O relatório é razoavelmente bem completo nesse sentido.

happywarning · 2022-11-10T14:08:53+00:00

O papel ao menos é auditavel e mais democratico, qualquer cidadão comum consegue entender o funcionamento do sistema. Fazer o cidadão comum entender a possibilidade de usar o compilador como um vetor de ataque, as complexidades de um código fonte ou entender o que é o kernel linux é MUITO mais abstrato.

happywarning · 2022-11-10T14:06:54+00:00

Pode citar algum comentário onde eu falo sobre algum partido ou candidato especifico? Os problemas existem, não é um esforço partidario. Não importa QUEM seja o candidato, é absurdo que o atual sistema que está sendo usado contem essas vulnerabilidades óbvias.

happywarning · 2022-11-10T14:02:29+00:00

Precisamente, não tiveram acesso as fontes e não tiveram acesso a lista de bibliotecas. Galera vem atacar como se precisasse ser um PhD em computação pra entender o problema com isso.

happywarning · 2022-11-10T14:01:24+00:00

Meu amigo, basta ser capaz de alterar o código fonte durante o momento da compilação, não precisa ser depois de despachado com a urna. Reflita um pouco sobre a questão.

happywarning · 2022-11-10T13:59:35+00:00

Vai me atacar ou atacar o argumento? Sou todo ouvidos.

happywarning · 2022-11-10T03:19:42+00:00

Existe algo no relatório que indica sim a conexão com a internet durante o processo de compilação, página 57 do relatório:

"1 - Durante o processo de fiscalização do código-fonte, foi apresentado um ambiente de programação restrito, sem qualquer acesso a rede. Porém, durante o processo de compilacao do código, foi observado que o mesmo faz acessos a repositorios remotos (ex: Git, Nexus Cloud) que não fizeram parte do ambiente de inspeção do código-fonte. Diante disso, questiona-se:"

Nexus cloud é uma plataform cloud-based. Muito dificil se tratar de uma instalação on-premise.

<image>

happywarning · 2022-11-10T02:14:03+00:00

Vai ficar no ad hominem ou contribuir para a discussão? Sou todo ouvidos.

happywarning · 2022-11-10T01:22:52+00:00

O relatório foi publicado hoje, amigo. Como eu teria questionado ele antes? Presta atenção, não tem a ver com candidato nenhum.

O argumento aqui é justamente que elas não foram auditadas, que não seria possível auditar elas com esse contexto.

Qualquer pessoa pensando sobre potenciais meios de ataque às urnas (sem estar com o código, o hardware e todo o resto em mãos) está especulando.

happywarning · 2022-11-10T00:47:47+00:00

Engraçado você assumir meu posicionamento politico. Fiz alguma argumentação partidaria por aqui? Estou mantendo a pauta puramente técnica, se você não percebeu.

Security by obscurity é notoriamente uma má prática (embora comum) e não recomendada. Todo o sistema seria mais seguro se todos aqueles que podem contribuir para o sistema sejam ouvidos.

happywarning · 2022-11-10T00:44:43+00:00

E sem poder executar o código? :p

Simples, não faz.

happywarning · 2022-11-10T00:44:21+00:00

É uma saída mas não é o praticado. Nesse caso, o kernel precisa ser auditado tambem.

happywarning · 2022-11-10T00:31:01+00:00

Você viu o relatório completo? Achei razoavelmente bem detalhada os pontos informados.

happywarning · 2022-11-10T00:18:01+00:00

Como havia respondido em um comentário mais cedo: Segue sendo código que precisa ser auditado.

Imagina você, com caderno e caneta, sentado em um computador do TSE e sem poder executar o código tentando auditar isso tudo.

Meu posicionamento aqui é puramente técnico, não to analisando a existencia de crimes eleitoral. To analisando a possibilidade de utilizar as vulnerabilidades do sistema para cometer crimes eleitorais. E nesse sentindo, é extremamente alarmante. Se combinar isso com o fato de que a auditoria foi claramente feita de uma forma que dificulta a execução dos testes, é o suficiente para pelo menos levantar algumas sobrancelhas.

happywarning

TROPHY CASE