No Leaky Buckets ! --- Needed: Voting Security and Election Results Credibility
One of Marian's Fundamental Four
"If you cannot trust the way your votes are counted, nothing much else in politics matters!"
  Home     Section Summaries     All The Holes      Publications      Demos      Reference-Materials      Legislative     Brazil 


Brazil has been using nearly the same DRE's as the Diebold machines, whose reliability is now being severely questioned -- perhaps already proven as unsecure. A citizen activist in Brazil, Amilcar Brunazo Filho, has written a review of their status, in association with the recent discoveries in the US by BBV.

Here is his report, in both Portuguese and English. A revised Portuguese original is online at:

http://www.votoseguro.org/textos/relatoriohursti1.htm
and this site will soon be modified to coincide with those revisions.

Portuguese:

Título
Falhas de Segurança nas Urnas-E Americanas e Brasileiras

Aviso: O autor deste artigo atua como representante técnico de alguns partidos políticos junto a Justiça Eleitoral brasileira, onde teve acesso a informações sobre o projeto interno das urnas eletrônicas. Para tanto teve que assinar um termo de compromisso de manutenção de sigilo de forma que não pode divulgar informações que obteve dentro daquele órgão oficial. Desta forma, as informações sobre o projeto das urnas-e brasileiras aqui apresentadas são apenas aquelas que podem ser obtidas em documentos e em procedimenos públicos como Resoluções e Instruções do Tribunal Superior Eleitoral (TSE), os descritivos técnicos incluidos nos editais de concorrência para o fornecimento de urnas eletrônicas, os relatórios técnicos oficiais apresentados por entidades acadêmicas (UNICAMP, SBC e COPPE-UFRJ), artigos técnicos de terceiros apresentados em congressos e na Internet, a participação em cerimônias públicas de carga, teste e lacração de urnas eletrônicas, autos de processos públicos e períc ias na Justiça Eleitoral, etc.

1- Introdução

No dia 11 de maio de 2006, foi tornado público pela ONG Black Box Voting (BBV) a segunda parte do Relatório do especialista em informática Harri Hursti contendo análise e testes livres desenvolvidos sobre as maquinas eletrônicas de votar modelos TSx fabricadas pela empresa Diebold e vendidas nos EUA e no Canadá e onde são cobrem em torno de 30% daqueles mercados.

Estes tipos de testes livres de ataque são tecnicamente denominados Teste de Penetração e os Relatórios Hursti (1ª e 2ª partes) podem ser obtidos em:
http://www.blackboxvoting.org/BBVreport.pdf
http://www.blackboxvoting.org/BBVtsxstudy.pdf

A conclusão básica destes relatórios é que existem falhas de segurança nos projetos e construção das máquinas de votar yanque/canadenses da Diebold que permitem que o programa de votação possa ser adulterado para modificar o resultado da apuração dos votos.

A primeira parte do Relatório Hursti, de dezembro de 2005, descrevia como foi possivel adulterar os programas das máquinas de votar de Diebold utilizadas no município de Leon na Flórida de forma a fraudar uma votação. A conseqüência imediata da publicação deste relatório foi a demisão do presidente da Diebold que, até então, afirmava ser impossível se fraudar suas máquinas de votar.

A repercursão do segundo relatório na imprensa americana foi rápida e intensa como pode ser visto em:
- The New York Times
http://www.nytimes.com/2006/05/12/us/12vote.html?_r=1&oref=slogin
- The Register
http://www.theregister.com/2006/05/14/diebold_e-voting_flaw/
- The Beacon Journal
http://www.ohio.com/mld/beaconjournal/business/14561489.htm

Como a empresa Diebold possui quase 90% do mercado brasileiro de urnas eletrônicas, onde com a marca Diebold-Procomp produziu 375 mil das 426 mil urnas eletrônicas que serão utilizadas nas eleições presidenciais brasileiras de outubro de 2006, se faz necessário analisar se as falhas de segurança apontadas nos Relatorios Hursti também existem nos modelos de urnas eletrônicas fornecidas no Brasil.


2- A Análise Hursti - Parte 2

A segunda parte do Relatório Hursti foi desenvovlvida sobre máquinas de votar TSx e TS6 da Diebold, fornecidas para o município de Emery no estado de Utah. Foi tornado público com quase 50 expressões censuradas (substituídos pela expressão "redacted") pelos responsáveis da BBV, em virtude de conterem informações que, porventura, poderiam facilitar o uso escuso por terceiros em eleições futuras.

O relatório conclui pela existência de graves falhas de segurança que permitem a adulteração dos programas de votação de forma a fraudarem uma eleição futura.

Os portas-voz do fabricante estão se defendendo afirmando que:

a) não existem provas de fraudes já ocorridas em eleições regulares;

b) as vulnerabilidades encontradas são "teoricas" e são baixas a probalilidade de virem a ser exploradas.

E a "pérola" das desculpas esfarrapadas onde Sr. David Bear, um porta-voz de Diebold Election Systems, publicado no NY Times, disse que:

c) "está se supondo que funcionários eleitorais diabólicos intruduziriam software malicioso nos equipamentos. Eu não acredito que estes funcionários eleitorais diabólicos existam!"

Pode parecer trivial afirmar que um programa de computador possa ser adulterado com finalidades maliciosas, mas a análise do Sr. Hursti é mais rigorosa e completa, afirmando além disso que as falhas de segurança encontradas na urnas-E modelos TSx da Diebold:

a) Permitem que as alterações possíveis não só desviem os votos como também enganem os testes de verificação de integridade regularmente desenvolvidos como as simulações de votação e as verificações de assinaturas digitais e resumos "Hash";

b) Foram introduzidas, em parte, de forma intencional pelos projetistas para facilitarem os serviços de atualização do software;

c) Possibilita a modificação dos programas em 3 níveis de controle diferentes (Sistema Incializador, Sistema Operacional e Programas Aplicativos) de forma que as adulterações possam até sobre-existir a futuras atualizações, recontaminando automaticamente as máquinas.

A possibilidade de modificação dos programas de computador das urnas-e não seria problema grave se elas propiciassem alguma forma de se auditar o resultado final da contagem dos votos. Por exemplo, o voto impresso conferido pelo eleitor emitidos pelas urnas-e modelo SAES3000 da empresa Smartmatic, que foram utilizadas nas eleições de 2004 e 2005 na Venezuela, permitiu a auditoria da apuração eletrônica dos votos e, se houvesse adulteração dos programas de votação, a fraude teria sido detectada.

Porém, as máquinas da Diebold, tanto as disponíveis nos EUA como as brasileiras, não fornecem esta alternativa de auditoria da apuração dos votos de forma que a confiabilidade do seu software é tudo que poderiam dar como garantia de uma justa apuração.

Assim, se nestas máquinas o software das máquinas pode ser modificado à revelia do fabricante, cai por terra qualquer possibilidade de se afirmar a confiabilidade de tais equipamentos.

Entre as falhas de segurança do modelo TSx da Diebold estão:

a) o sistema de inicialização (boot) pode ser modificado por software;
b) é possivel se modificar os programas internos por meios digitais externos;
c) o Sistema Operacional (Windows CE) não possui recursos de segurança fortes;
d) o sistema de lacres físicos são ineficientes e o gabinete é fácil de abrir sem nada destruir;
e) é possivel se reconfigurar os recursos de segurança por meio de "jumpers" na placa-mãe;
f) existe um conector interno para cartões de memória "multimédia";
g) o botão externo de "teste de bateria" pode ser explorado em ataques disparados pelo eleitor;


resultando que é necessário menos de 5 minutos para se contaminar uma máquina sadia.


3- O modelo das urnas-e brasileiras

Os modelos (98, 2000, 2002, 2004 e 2006) das urnas-e brasileras são totalmente controlados pelo corpo técnico do TSE de forma que as 51 mil fornecidas pela Unisys (modelo 2002) e as 375 mil urnas fornecidas pela Diebold (demais modelos) possuem exatamente as mesmas características de funcionamento, usabilidade e de segurança.

Diferente dos modelos TSx americanos que, para interação com o eleitor, possuem tela e teclado integrados (touch-screen), os modelos de urna brasileiras possuem um teclado numérico fixo e uma tela de cristal líquido separados e dispostos num mesmo desenho patenteado pelo seu primeiro projetista, o Eng. Carlos Rocha.

Os modelos 98 e 2000, que representam 2/3 das urnas-e, possuem Sistema Operacional VirtuOS, semelhante ao antigo DOS ampliado com funções multi-tarefa, e os modelos seguintes possuem o mesmo Windows CE dos modelos TSx americanos.

Por uma questão de padronização da interface com o eleitor e como o VirtuOS tem recursos visuais muito limitados, todas as urnas brasileiras trabalham com tela totalmente em formato de texto (DOS-like) sem os recursos de "janelas" do Windows.

Esta impossibilidade de configuração da tela como teclado é que provocou as dificuldades durante a votação do Referendo de 2005 porque o teclado fixo não possue as teclas "SIM" e " NÃO" que seriam necessárias.


4- As características de segurança das urnas-e brasileiras

No Brasil, o TSE acumula funções como a regulamentação da fiscalização, a administração do processo eleitoral e o julgamento que qualquer recurso em matéria eleitoral até mesmo aqueles que sejam contra seus atos administrativos. Devido a natureza humana, este acúmulo de poderes, inexistente em regimes democráticos maduros, naturalmente leva ao autoritarismo e a falta de transparência. Por este motivo, pedidos oficiais de Testes Livres de Penetração apresentados repetidas vezes por alguns Partidos Políticos tem sido sistematicamente impedidos por este super-órgão eleitoral pelo simples fato de que ele tem poder de centralizar a decisão e impedir tais testes.

Assim, inexistem relatórios no Brasil que sejam similares aos Relatórios Hursti, mas ainda é possivel se descobrir as fragilidades das urnas-e brasileiras pela análise de documentos oficiais publicos como as especificações técnicas em concorências para o fornecimento de urnas e laudos de perícias técnicas ocorridas dentro de processos judiciais.

Desta forma, se pode afirmar que são muito similares os recursos de segurança (e de insegurança) das urnas eletrônicas brasileiras quando comparadas com o descrito do Relatório Hursti sobre o modelo TSx da Diebold:

a) não emitem o voto impresso conferido pelo eleitor que permita auditoria da contagemn dos votos, de forma que são altamente dependentes da confiabilidade do software;

b) Possuem chip da BIOS (com inicializador) preso em soquete e regravável por software, como especificado nos editais de concorrência;

c) Possuem "extensão de BIOS" habilitada por "jumper" na placa-mãe (informação obtida na perícia das urnas-e utilizadas no recadastramento no município de Camaçari, BA, onde a "extensão da BIOS" estava desabilitada, ver [CHA-02]) que permitem a inicialização (boot) a partir do soquete externo para cartão de memória flash-card.

d) É possivel a execução de software "batch file" gravado em disquete conforme descrito no Relatório Unicamp [UNI-02]

e) O programa aplicativo que verifica a integridade interna do sistema é extremamente vulnerável a adulterações [REZ-04]

f) Sistema de lacres e de fechamento do gabinete são simples e permitem acesso ao soquete do cartão de memória interno, conforme descrito no laudo da perícia no município de Sto. Estevão, BA [REG-04]

Este conjunto de características de (in)segurança das urnas brasileiras as tornam tão passíveis de fraudes quanto suas similares americanas.

A possibilidade de inicializar (boot) as urnas-e brasileiras através de cartão de memória instalado no soquete externo é uma enorme falha de segurança pois o programa que comanda o boot pode fazer o que se quiser a seguir, inclusive adulterar todo o software interno anteriormente instalado. Mas este recurso foi implementado proposidamente pelos projetistas do sistema para se poder fazer a atualização simplificada do programa de votação nas urnas-e, como se conclui analisando-se os procedimentos (públicos) de carga e recarga do software, como a seguir descrito:

i) Procedimentos de carga normal das urnas.

É feito por meio de um Flash-card "de carga" que é colocado no conector externo das urnas-e. Ao se ligar as urnas com este dispositivo de memória instalado se pode ver que o boot é dado pelo drive D: (conector externo de flash-card), que então copia todo o software oficial para a flash interna das urnas-e.
Durante esta instalação é apagado tudo que tinha no flash-card interno, exceto (a partir de 2004) o arquivo de log com eventual carga anterior do mesmo sistema.
Neste arquivo de log são lançados as informações da carga atual pelo próprio programa de instalação (que está gravado na flash externa) como se pode deduzir no item (ii) seguinte.
Depois da carga, o flash-card externo é substituido por outro sem sistema de inicialização de forma que, durante a eleição/votação, a inicialização passa a ser controlada pela software instalado no flash-card interno.


ii) Procedimentos de carga excepcional utilizado em 2002:

Em 2002, o software de votação utilizado no 1º turno apresentou falhas intermitentes que levaram a modificações para a votação do 2º turno. A instalação deste novo software foi feita de uma forma diferente da instalação normal. Um novo flash de carga foi preparado e, quando colocado no soquete externo das urnas-e, apenas trocava o software de votação defeituoso pela nova versão, "preservando-se" todos os demais dados e arquivos gravados na flash-card interna durante o primeiro turno, e lançando no arquivo de log uns eventos diferentes do programa de carga normal.

obs.: as aspas na palavra "preservando-se" foi colocada porque, naturalmente, os fiscais externos não tinham como saber se os dados anteriores eram mesmo sendo preservados ou não, especialmente depois do caso das "Dança dos Hashs" denunciada por um membro do Fórum do Voto-e, quando se descobriu que havia diferenças entre as assinaturas "hashs" no sistema final instalado nas urnas e o que fora apresentado aos fiscais na sede do TSE antes da nova carga.

Estes dois procedimentos, normal e excepcional, de carga das urnas-e brasileiras demonstram que é perfeitamente possível se instalar software integral ou parcialmente nas urnas-e pelo uso de um flash card externo devidamente preparado e que os registros no tal arquivo de log é totalmente controlado pelo próprio programa no flash externo.

Para piorar, é este mesmo software externo, que é passado para flash intermo, que comandará a máquina durante a votação, durante a apuração e, pasmem, durante os testes de assinatura digital permitido aos fiscais externos.

Quer dizer, um programa "bem preparado" instalado via flash-card externo poderá burlar tanto a apuração dos votos como os testes de confiabilidade também...


5- Conclusões

As semelhanças entre as falhas de segurança nas urnas-e brasileiras e americanas da Diebold, que são dependentes da segurança do software mas que permitem que este software seja adulterado por agentes externos, parecem mais que simples coincidência.

No Brasil se desenvolveu uma imagem positiva das urnas eletrônicas, apesar destas não permitirem auditoria da apuração dos votos.

Os recursos de segurança aqui aplicados, mesmo não sendo suficientes do ponto de vista estritamente técnico, foram suficientes para convencer os eleitores leigos com a publicidade oficial que repetia insistentemente utilizar "avançados recursos tecnológicos de assinatura digital e de criptografia". O publico leigo não entendia direito para o que isto servia mas acreditou nos chavões de que as urnas eletrônicas "são 100% seguras" e que "acabaram as fraudes eleitorais".

A Diebold conhecia o sucesso até o momento desta desta experiência social, onde recursos de segurança eram usados não com eficácia mas apenas como meio de publicidade ilusória. É natural que tentasse a mesma "estratégia" nos EUA.

Mas a inexistência de uma órgão central com super-poderes como a Justiça Eleitoral brasileira parece estar criando dificuldades à estratégia que aqui vingou.

No Brasil, o TSE conseguiu, desde 2000 até hoje, impedir por meio de decisões obscuras e autoritárias que fosse feita qualquer tipo de análise livre se suas urnas, como a análise do Sr. Hurst, e continua escondendo, dos eleitores desatentos, as fragilidades de seu sistema eletrônico de votação.


6- Referências

[CHA-02] - http://www.votoseguro.org/textos/camacari1.htm resumo - http://www.votoseguro.org/arquivos/camacari1.zip

[UNI-02] - http://www.tse.gov.br/eleicoes/seguranca/relatorio_unicamp/rel_final.zip resumo - http://www.votoseguro.org/textos/relfuncamp1.htm

[REZ-04] - http://www.cic.unb.br/docentes/pedro/trabs/analise_setup.html

[REG-04] - http://www.votoseguro.org/arquivos/stoestevao.zip resumo - http://www.votoseguro.org/textos/stoestevao1.htm

------------------------
[ ]s
Amilcar Brunazo Filho
www.votoseguro.org

EU SEI EM QUEM VOTEI.
ELES TAMBÉM.
MAS SÓ ELES SABEM QUEM RECEBEU O MEU VOTO.

English:

Title
Security Failures in the electronic voting machines (DRE's) in the US and in Brazil.

Notice: The author of this article acts as the technical representative of some political parties in relations to the federal Elections Division (loose translation of "Justiça Eleitoral", the Tribunal Superior Eleitoral -TSE) in Brazil, which operates all elections, where he has had access to information about the internal project of the Brazilian electronic voting machines. For this, he was obliged to sign an agreement of secrecy such that he cannot divulge information which he received from within that official agency. Thus, this report on the Brazilian DRE's presented here are only those which can be obtained in documents and in public proceedings such as Resolutions and Instructions of the Tribunal Superior Eleitoral (TSE), the technical parameters (specifications) included in the RFP's (Requests for Proposals) bidding documents asking for supply of the DRE's, the official technical reports presented by academic units (UNICAMP, SBC e COPPE-UFRJ), technical articles by others presented in conventions and the internet, the participation in public ceremonies of loading, testing and sealing of the DRE's, records of public processes and judicial investigations.

1- Introduction:

On May 11, 2006, the non-profit organization Black Box Voting (BBV) made public the second part of a report by the information systems specialist Harri Hursti, containing analysis and free tests developed in relation to the electronic voting machines (DRE's) models TSx, manufactured by the company Diebold and sold in the USA and in Canada, where they cover about 30% of those markets.

These types of tests of independent attack are technically called "Penetration Tests" and the Hursti Reports (1st and 2nd Parts) may be obtained at:
http://www.blackboxvoting.org/BBVreport.pdf
http://www.blackboxvoting.org/BBVtsxstudy.pdf

The basic conclusion of these reports is that there exist security failures in the design and manufacture of these Diebold DREs' used in the US and Canada, which permit that the voting program can be adulterated to modify the results in the counting of the votes.

The first part of the Hursti Report, in December 2005, described how it was possible to adulterate the programs in the Diebold DRE'S actually used in Leon County, Florida, in such a way to fraudulently affect the voting. The immediate consequence of the publishing of this report was the firing of the President of Diebold which, until that moment, continued to say that it was impossible to fraudulently affect their DRE's.

The repercussion of the seconf report, in the American press, was rapid and intense, as can be seen in:
- The New York Times
http://www.nytimes.com/2006/05/12/us/12vote.html?_r=1&oref=slogin
- The Register
http://www.theregister.com/2006/05/14/diebold_e-voting_flaw/
- The Beacon Journal
http://www.ohio.com/mld/beaconjournal/business/14561489.htm

As the company Diebold holds almost 90% of the Brazilian market of DRE's, where under the brand-name Diebold-Procomp it produced 375 thousand of the 426 thousand DRE's which will be utilized in the Brazilian Presidential elections in October of 2006, it is necessary to analyze whether the security failures pointed out in the Hursti Reports also exist in the DRE models furnished in Brazil.


2- The Hursti Analysis - Part 2:

The second part of the Hursti Report was developed regarding the DRE's Diebold models TSx and TS6, supplied to the Emery County in the state of Utah. It made public with almost 50 places censored (replaced by the expression "redacted") by those responsible at BBV, in virtue of information content which, by chance, might facilitate the improper use of the information by third parties in future elections.

The report concludes with the existence of grave security breaches which permit the adulteration of the voting programs in such a way as to fraudulently affect a future election.

The spokespersons for the factory are defending themselves, affirming that:

a) there is no proof that fraud has occurred in regular elections;

b) the vulnabilities found are "theoretical" and with a very low probability of being actually exploited;

and the "pearl" of the tattered excuses where David Bear, a spokesman for Diebold Election Systems, said (in the NY Times):

c) "For there to be a problem here, you're basically assuming a premise where you have some evil and nefarious election officials who would sneak in and introduce a piece of software. I don't believe these evil elections people exist."

It might seem trivial to state that a computer program can be adulterated for malicious purposes, but the analysis by Mr Hursti is high;y rigorous and complete, affirming in addition to this, that the security breaches in the Diebold DRE's:

a) Permit that the alterations which are possible may not only alter votes, but also fool the verification integrity tests regularly used by election simulations and the verifications of the digital signatures "Hash";

b) the possibility of modifying the programs were introduced by Diebold, in part, intentionally by the programmers to facilitate the tasks of updating the software;

c) They permit modifications of the programs on three levels of control (boot system, operating system, and application programs), in such a way that the changes may even carry over to future updates, automatically recontaminating the machines.

The possibility of modifications to the DRE's would not be a grave problem if they contained some way to have the final vote-counting audited. For example, the paper ballot verified by the voter produced by the DRE's Model SAE3000 of the company Smartmatic, which were used in the elections of 2004 and 2005 in Venezuela, permit the auditing of the electronic vote-counting and, if there were adukteration of the voting programs, the fraud could have been detected.

However, the Diebold machines, both those available in the USA and in Brazil, do not furnish this alternative way to verify the votes, so the confidence in the software is everything which guarantees a correct election result.

Thus, if in these machines the software can be modified without the knowledge or consent of the manufacturer, whatever possibility of affirming the confidence in the equipment falls to the ground.

Among the security failures in the model TSx of Diebold are:

a) the boot-system may be modified by software;
b) it is possible to modify the internal programs by external digital methods;
c) the OS (Windows CE) does not possess strong resources of security;
d) the system of physical seals is insufficient and the case is easy to open, without destroying anything;
e) it is possible to reconfigure the security resources by means of jumpers on the motherboard;
f) there exists an internal socket for multimedia memory cards;
g) the external button labelled "battery test" can be used for attacks set off by a voter;

resulting in the requirement of less than 5 minutes to contaminate a previously healthy machine.


3- The Brazilian DRE models:

The models (98, 2000, 2002, 2004 and 2006) of the Brazilian DRE's are totally controlled by the technical staff of the TSE, in such a way that the 51 thousand furnished by Unisys (model 2002) and the 375 thousand furnished by Diebold (the other models) possess exactly the same characteristics of operation, usability and safety.

Different from the US TSx models which, for the interaction of the voter, they have an integrated screen and "keyboard" (touch-screen), the Brazilian models have separate fixed numerical keyboard and a LCD screen and are of the design patented by their first creator, Engineer Carlos Rocha.

The models 98 e 2000, which represent 2/3 of the DRE's, use the OS VirtuOS, similar to the old DOS complemented with multi-tasking, and the later models have the same Windows CE of the american TSx.

For standardization of the interface with the voter, and since the VirtuOS has very limited visual resources, all the Brazilian DRE's work with the screen totally in text format (DOS-like) without using the resources of the graphic interface of Windows.

This impossibility to configure the screen as a "keyboard" (touch-screen) is what provoked the difficulties during the vote of the Referendum of 2005, because the fixed keyboard did not have keys labelled "YES" and "NO" which were needed.


4- The security characteristics of the Braziliam DRE's:

In Brazil, the TSE (federal elections division) combines the duties of inspection, and administration of the election process and the power of the judge for all election material resources, even those which are contrary its administrative acts. Due to human nature, this accumulation of powers, which are not found in mature democratic regimes, naturally lead to authoritarianism and lack of transparency. Because of this, official requests for Security Penetration Tests presented repeated times by some political parties have been systematically blocked by this elections super-organ by the simple fact that it had the power to centralize the decision and impede such tests.

Thus, there are no reports in Brazil similar to the Hursti Reports, but it is still possible to discover the fragilities of the Brazilian DRE's by the analysis of the official documents published as the technical specifications in supply bidding for the furnishing of the machines, and the statements of technical expertise found within some jusicial processes.

In this way, it can be affirmed that the security (and insecurity) resources of the Brazilian DRE's are similar, when compared to that described in the Hursti Report on the Diebold TSx model.

a) they do not create a printed vote verified by the voter which permits an audit of the vote-counting, so that they are highly dependent on the trusting of the software;

b) They have a BIOS chip (with boot function) installed in a socket and re-recordable by software, as specified in the bidding specifications;

c) they have a "BIOS extension" accomplished by a "jumper" on the motherboard (information obtained from the inspection of the DRE's used in the re-registration of the City of Camaçari, Bahia, Brazil, where the BIOS-extension was disactivated, see [CHA-02]) which permitted the boot from the external socket from an external flash-card memory;

d) It is possible to execute "batch file" software recorded on a diskette, as described in the Unicamp Report [UNI-02] ;

e) the application program which verifies the internal integrity of the system is itself extremely vulnerable to adulterations [REZ-04];

f) the system of seals and closure of the box are simple and permit access to the socket of the internal memory cartridge, as described in the inspection report in the City of Sto. Estevão, Bahia, Brazil [REG-04];

This set of characteristics of (in)security of the Brazilian DRE's make them just as subject to fraud as their American similar models.

The possibility of booting (starting operation) of the Brazilian DRE's by using a memory-card inserted in the external socket, is an enormous security fault, since the program which commands the boot can do, fololowing that, whatever it is programmed to do - including changes to the internal software previously installed. But this resource was established on purpose by the system programmers, in order to more easily do the program upgrades in the DRE's, as has been learned by analyzing the (public) procedures for loading and re-loading the software, as seen here:

i) Normal procedure for loading the machines.

This is done by way of a loading Flash-card, which is located on the external connector of the machine. Upon powering up the machine with this memory device installed, one can see that the boot is done via the drive D: (the external connector for the Flash-card), which then copies all the official software to the internal memory of the DREs.

During this installation, everything which was in the machine is erased, except for (beginning in 2004) the archive of the log of the previous booting of the same system.

In this log archive, a record is made of the new boot information, done by the loading program itself, (which is loaded on the external Flash-card) as can be deduced from the following Item (ii). After loading, the external Flash-card is replaced by another without a boot system in such a way that during an election and voting, the boot operation is controlled by the software installed on the internal flash-card.

ii) Exceptional procedure for loading the machines used in 2002:

In 2002, the voting software used during the first session presented intermittent faults which led to modifications for the voting in the second session. The installation of this new software was done differently from the normal installation. A new flash-card was prepared and, when placed in the external socket of the DRE's, only exchanged the defective voting software with the new version, "preserving" all the other data and archives stored on the internal flash-card during the first session, and placing in the log archive some events different from the normal loading program.

Note: the quote-marks on the word "preserving" were used because, naturally, the external inspectors did not have any way to know if the previous data were being preserved, or not, especially after the case of the "Hash Dance" exposed by a member of the "Forum of E-Voting", when it was discovered that there were differences between the "hash" signatures of the system finally installed in the machines and that which was presented to the Inspectors at the headquarters of the TSE (Federal Tribunal for Elections) before the new loading.

These two procedures, norma and exceptional, of loading the Brazilian DRE's demonstrates that it is perfectly possible to install complete or partial software on the DRE's by the use of an external flash-card suitable prepared, and furthermore, that the log archive is totally controlled by the same method from the external flash-card.

Worse yet, this same external software, which gets passed onto the internal flash-card which controls the machine during voting, during the tally and, notably, even during the digital signature tests permitted by the external inspectors.

In other words, a "well-prepared" program installed by external flash-card can break through both the counting of the votes and the tests of machine reliability also.


5 - Conclusions

The similarities between the security faults of the DRE's made by Diebold in the US and Brazil, which depend on the security of the software but which permit that this software can be adulterated by external agents, seems more than a simple coincidence.

In Brazil a positive image of the DRE's has been developed, in spite of those responsible not permitting any audits of the vote-counting.

The security resources applied here, even not being sufficient from the point of view strictly techically, were sufficient to convince the ordinary voters with the official publications repeated insistently that it utilized "advanced technological resources of digital signatures and cryptography". The lay public did not really understand what this served for, but believed the claims that the electronic voting machines "are 100% secure" and that "we have eliminated election fraud".

Diebold knew success until the moment of this social experience, where security resources were used not with efficacy but only as a means of illusory publicity. It is natural that they would attempt the same "strategy" in the US.

But the existence of a central agency with super-powers like the Brazilian National Electoral Justice agency (TSE) seems to be creating difficulties with the strategy which was applied here.

In Brasil, the TSE managed, from 2000 until today (2006), block, by way of obscure and authoritarian decisions, that there could be made any type of free analasis of its DRE machines, such as that done by Mr Hursti, and it continues hiding from the inattentive voters, the fragilities of its electronic voting system.


6- References:

[CHA-02] - http://www.votoseguro.org/textos/camacari1.htm resumo - http://www.votoseguro.org/arquivos/camacari1.zip

[UNI-02] - http://www.tse.gov.br/eleicoes/seguranca/relatorio_unicamp/rel_final.zip resumo - http://www.votoseguro.org/textos/relfuncamp1.htm

[REZ-04] - http://www.cic.unb.br/docentes/pedro/trabs/analise_setup.html

[REG-04] - http://www.votoseguro.org/arquivos/stoestevao.zip resumo - http://www.votoseguro.org/textos/stoestevao1.htm

------------------------
s/
Amilcar Brunazo Filho
www.votoseguro.org

I KNOW WHO I VOTED FOR
THEY ALSO KNOW
BUT ONLY THEY KNOW WHO RECEIVED MY VOTE