Movimento Servir o Benfica

[xipox]

Infelizmente só consigo contribuir com 1 voto. Mas todos são importantes

[Kaká]

Compreendo que o voto físico seja o ideal mas muita gente como eu não poderá votar, ou poderá votar por correio?

Voto físico é digno de chalupas. Voto eletrónico com auditoria de uma comissão independente.
Ponto final.

99.9999% de todas as votações no mundo são por voto físico. Chalupas 

De todas aquelas que não têm meios tecnológicos para o fazerem...até no Zukil fazem isso há mais de 20 anos.

Pedir para regressar ao voto físico é apenas e só chalupice. Se há duvidas sobre a autenticidade que no processo eleitoral seja chamada uma equipa de auditoria que acompanhe o processo, com representantes/delegados de todas as candidaturas e pronto caso resolvido.

Se até os lagartos que sao cognitivamente limitados o conseguem e aceitam...não vejo onde está a dificuldade.

Zukil??? Onde é isso? É a tua terra?
O voto eletrónico não deve ser usado em votações importantes e, no caso de ser usado, tem de ser muito bem auditado e com possibilidade de serem recontados os votos físicos imediatamente (não passado 1 ano). E o chalupa sou eu...

Eu pensei que todas as votações eram importantes...afinal são só algumas? 

E lá está estás a misturar coisas. Uma é o voto eletrónico outra é o processo eleitoral e os procedimentos. O voto eletrónico deve imprimir um ticket para armazenamento em urna lacrada. E depois caso haja necessidade ser contado, sim. E não andar em malas de carros de sabe-se lá quem e tudo mais...mas isso não é o voto eletrónico em si. O que está errado é a nível de procedimentos.

Simples, não?

*Nota* Necessidade de ser contado é no caso do terminal avariar. Não é porque se perdeu por meia dúzia de votos no eletrónico que se vai contar os físicos...é que daqui a um bocado também querem recontagem eletrónica como os lagartos queriam

Alem de todos os problemas apontados à implementação feita pelos serviços do Benfica, é inegável que os serviços podem não só ver quem votou, mas em quem votaram.
e esse é o grande obstáculo ao voto electrónico tal como está concebido pelos serviços do clube.

Isso das urnas é um ponto separado, mas bem em linha com as tropelias que se vão fazendo há anos.

Se podem é porque a coisa está mal feita!

É algo que me diz bastante porque é da minha área e trabalhei em parceria com um dos maiores especialistas e membro integrante de várias comissões de auditorias informáticas e entre elas na revisão do sistema de voto eletrónico do SCP. Portanto sei do que falo e conheço detalhes dos procedimentos.

Se o sistema de voto eletrónico for devidamente implementado e auditado os elementos dos serviços apenas conseguem ver quem votou e quantos votos tem. Não em quem votou. Se os procedimentos forem bem implementados as urnas lacradas para introdução do ticket de voto serve para contagem em caso de avaria do terminal associado.

Tirando isso só há resultados finais quando o presidente da MAG introduzir a chave física e proceder à impressão de resultados. Nada mais é possível de verificar. Aliás é o conceito de black box e nem a equipa de auditoria consegue ver em quem cada sócio votou. Os dados são anonimizados daí a importância dos tickets. Se avariar não há backup nem centrais com os dados aglomerados.

Se tudo for feito com independência e rigor nada há a apontar ao sistema. As máquinas não se enganam, não vão ter contagens diferentes, não vão ler votos errados, não vão anular votos...

Portanto sendo as coisas feitas como devem ser nada há a apontar. É um sistema robusto, seguro e que não admite erros de contagens.

Se o do Benfica não é assim repito como comecei que peçam suporte e uma auditoria e revisão independente para resolver as falhas do sistema e depois em cada votação haja uma equipa de suporte e auditoria.

Fazer votação por voto físico repito é para chalupas. Porque também já lá diz o ditado "quem é desconfiado, não é certo"

Muito bom, só chalupas por essa Europa fora !

Por esta Europa fora não foram tantos que implementaram por conta de custos e escala de dimensão.
agora O sistema no clube existe se não está como devia que seja analisado, revisto e que seja utilizado. Voltar ao voto físico tendo a oportunidade de ser voto eletrónico é sim de uma chalupice só!

Continuas a carregar nessa tecla. Já ai atrás falei que existe efectivamente falhas nesses sistemas, e não são como a possibilidade de crackar uma mega password (que existe mas não há capacidade computacional para o fazer).

São situações efectivamente possiveis, não são hipoteses puramente académicas.

Vou voltar a dizer, apesar de eu ser de cybersec e nao andar a fazer as auditorias, não tens forma de manter a triade CIA, sem a contagem de votos em papel. Os factores existentes de uma votação, impossibilitam uma confirmação de integridade do objectivo final. Sim consegues integridade no output final, mas não consegues garantir de forma nenhuma que não houve inputs impróprios mesmo que faças um audit após as eleições. Tu anonimizares (se for bem feita e através de um digest por exemplo) os dados, ainda torna mais difícil tu confirmares a integridade após a finalização do processo.

Confirmar resultado final com a contagem posterior de papel é UNICA forma de garantir a integridade dos dados. Ignorar isto é confiar cegamente em código, e na minha área, não poucas vezes tenho encontrado exemplos de que isso é errado. Em empresas que o orçamento de cyber é superior ao que o Benfica gasta num mandato presidencial inteiro.

Sim, falaste da radiação cósmica. E eu já disse que é o mesmo raio cair duas vezes no mesmo lugar...se queres considerar isso é como disse temos de deixar utilizar inclusive os aviões pois podem cair por conta do mesmo fator.

Além disso eu não sei porque aventas com a Tríade CIA, mas acredito que seja por formação profissional. Por que é que achas que não se garante a integridade dos dados?!

E a confidencialidade e disponibilidade? Não? Porquê?

Sinceramente não entendo como manter a integridade é na conferência dos votos em papel...

Não fui eu que falei da radiação cósmica. Isso são eventos de possibilidades absurdas.

Eu avento com isso, porque é efectivamente um principio básico de segurança . Não me parece um conceito assim tão estranho.

Eu explico:

1. O sistema de voto não é open source. (pode ser resolvido por uma questão de confiança/autoridade que advém de quem a audita. Mas é inegável que a concepção de um software que dita o futuro de quem o concebe é um ponto de suspeição que tem que ser resolvido de uma forma ou de outra. Qualquer software proprietário que não sofre peer review como o open source, carece efectivamente de uma linha de intenção transparente. Prova disso são serviços/apps/hardware com arquitectura proprietária que em alguns casos se vem a descobrir vários anos depois a presença de backdoors/malware/etc.) Corrige-me se tiver errado porque no caso de cybersec, tu nunca fazes uma verificação integral. Fazes de forma segmentada, e geralmente cada segmento é feito numa altura do tempo e por equipa diferente. Presumo que em código seja igual. Com acesso apenas a funções especificas, ou ao funcionamento em si de forma a proteger a propriedade intelectual/segurança da empresa em si.

2. A confidencialidade não falo porque por principio a votação sendo anónima é fácil de implementar. Um código robusto dificilmente sofre tampering na altura da anonimização dos dados. Pode sofrer antes ou depois. O durante só acontece se existir erro grosseiro na programação. Uma boa implementação como sabes, ou deverias saber, torna "impossivel" qualquer reversão de um digest. Não consegues pegar numa hash e saber o que é que deu origem aquilo. O que garante a Confidencialidade neste modelo, é que apenas os autorizados poderão ter acesso aos dados. Tendo em conta que estão 100% anonimizados ninguém tem acesso. (Aqui entra novamente um Audit decente, ou a divulgação do código fonte para confirmação pela comunidade).
Se quiseres falar dos restantes dados, como cadernos eleitorais, dados de sócios em sistema, isso é completamente paralelo a um sistema de voto electrónico, ou por principio deveria ser para reduzir vectores de ataque, e deve ser protegido de uma forma que em nada tem a ver com o sistema de voto per si.

3. Não falo de disponibilidade, porque é irrelevante. Não é uma amazon, não são as votações para Presidente da republica. Se os sistemas deixarem de funcionar, azarito. Vota-se noutra altura, ou alarga-se a janela de tempo. Não é de todo um problema. Até porque como disse atrás, é uma questão que tem que ser prevista durante os 4 anos anteriores à votação a proteger os sistemas existentes, como o website/loja do clube, intranet (com as bases de dados de por exemplo observação de jogadores), webmail, etc.

4. Falo de integridade porque, o trabalho de qualquer profissional de cybersec é reduzir o risco. Não é eliminá-lo. É avaliar que actores estariam dispostos a fazer algo, ver os meios que possam ter à disposição (financiamento por exemplo), e com base na informação disponível sobre os sistemas a serem utilizados, desenhar um meio de redução de riscos. Efectivamente é possível alterar de várias formas um voto na altura que ele está a ser colocado a nivel electrónico. Não são teorias académicas. São situações do dia a dia, que são replicadas e sinalizadas nos mais variados serviços e que os ataques se executam da mesma forma e são independentes da aplicação em si.

A partir do momento que existe um risco, não académico, mas possível e quantificável da alteração de votação no preciso momento em que o voto é feito (sem duplicação porque um bom sistema não irá permitir duplicação de voto, a menos que se encontre um... bug ) esse risco tem que ser mitigado. E a melhor, mais barata e mais fácil mitigação de todas, é o ticket de voto em papel. Os sistemas electrónicos de votos devem servir apenas para entrega de resultado na hora, e como baseline de contagem dos tickets para avaliar uma possivel margem de erro humano na contagem.


Só um aparte. Nem vou entrar em lateralizações de ataques. Porque de cabeça consigo arquitectar 2/3 modos possíveis (prováveis) de o fazer. No online, nas ultimas eleições, os jornais falaram de um "ataque" (lol, bela merda de ataque). Posso-te dizer, que na votação online houve pelo menos uma falha de segurança grave que não foi noticiada (não fui eu que a encontrei). E que sem contagem de tickets, ou algum tipo de confirmação fisica, se abusada, poderia colocar em risco a eleição (especialmente com dados efectivamente anonimizados, porque com tokenização padrão seria possivel de apanhar com uma auditoria simples).

[axiomas]

Compreendo que o voto físico seja o ideal mas muita gente como eu não poderá votar, ou poderá votar por correio?

Voto físico é digno de chalupas. Voto eletrónico com auditoria de uma comissão independente.
Ponto final.

99.9999% de todas as votações no mundo são por voto físico. Chalupas 

De todas aquelas que não têm meios tecnológicos para o fazerem...até no Zukil fazem isso há mais de 20 anos.

Pedir para regressar ao voto físico é apenas e só chalupice. Se há duvidas sobre a autenticidade que no processo eleitoral seja chamada uma equipa de auditoria que acompanhe o processo, com representantes/delegados de todas as candidaturas e pronto caso resolvido.

Se até os lagartos que sao cognitivamente limitados o conseguem e aceitam...não vejo onde está a dificuldade.

Zukil??? Onde é isso? É a tua terra?
O voto eletrónico não deve ser usado em votações importantes e, no caso de ser usado, tem de ser muito bem auditado e com possibilidade de serem recontados os votos físicos imediatamente (não passado 1 ano). E o chalupa sou eu...

Eu pensei que todas as votações eram importantes...afinal são só algumas? 

E lá está estás a misturar coisas. Uma é o voto eletrónico outra é o processo eleitoral e os procedimentos. O voto eletrónico deve imprimir um ticket para armazenamento em urna lacrada. E depois caso haja necessidade ser contado, sim. E não andar em malas de carros de sabe-se lá quem e tudo mais...mas isso não é o voto eletrónico em si. O que está errado é a nível de procedimentos.

Simples, não?

*Nota* Necessidade de ser contado é no caso do terminal avariar. Não é porque se perdeu por meia dúzia de votos no eletrónico que se vai contar os físicos...é que daqui a um bocado também querem recontagem eletrónica como os lagartos queriam

Alem de todos os problemas apontados à implementação feita pelos serviços do Benfica, é inegável que os serviços podem não só ver quem votou, mas em quem votaram.
e esse é o grande obstáculo ao voto electrónico tal como está concebido pelos serviços do clube.

Isso das urnas é um ponto separado, mas bem em linha com as tropelias que se vão fazendo há anos.

Se podem é porque a coisa está mal feita!

É algo que me diz bastante porque é da minha área e trabalhei em parceria com um dos maiores especialistas e membro integrante de várias comissões de auditorias informáticas e entre elas na revisão do sistema de voto eletrónico do SCP. Portanto sei do que falo e conheço detalhes dos procedimentos.

Se o sistema de voto eletrónico for devidamente implementado e auditado os elementos dos serviços apenas conseguem ver quem votou e quantos votos tem. Não em quem votou. Se os procedimentos forem bem implementados as urnas lacradas para introdução do ticket de voto serve para contagem em caso de avaria do terminal associado.

Tirando isso só há resultados finais quando o presidente da MAG introduzir a chave física e proceder à impressão de resultados. Nada mais é possível de verificar. Aliás é o conceito de black box e nem a equipa de auditoria consegue ver em quem cada sócio votou. Os dados são anonimizados daí a importância dos tickets. Se avariar não há backup nem centrais com os dados aglomerados.

Se tudo for feito com independência e rigor nada há a apontar ao sistema. As máquinas não se enganam, não vão ter contagens diferentes, não vão ler votos errados, não vão anular votos...

Portanto sendo as coisas feitas como devem ser nada há a apontar. É um sistema robusto, seguro e que não admite erros de contagens.

Se o do Benfica não é assim repito como comecei que peçam suporte e uma auditoria e revisão independente para resolver as falhas do sistema e depois em cada votação haja uma equipa de suporte e auditoria.

Fazer votação por voto físico repito é para chalupas. Porque também já lá diz o ditado "quem é desconfiado, não é certo"

Muito bom, só chalupas por essa Europa fora !

Por esta Europa fora não foram tantos que implementaram por conta de custos e escala de dimensão.
agora O sistema no clube existe se não está como devia que seja analisado, revisto e que seja utilizado. Voltar ao voto físico tendo a oportunidade de ser voto eletrónico é sim de uma chalupice só!

Continuas a carregar nessa tecla. Já ai atrás falei que existe efectivamente falhas nesses sistemas, e não são como a possibilidade de crackar uma mega password (que existe mas não há capacidade computacional para o fazer).

São situações efectivamente possiveis, não são hipoteses puramente académicas.

Vou voltar a dizer, apesar de eu ser de cybersec e nao andar a fazer as auditorias, não tens forma de manter a triade CIA, sem a contagem de votos em papel. Os factores existentes de uma votação, impossibilitam uma confirmação de integridade do objectivo final. Sim consegues integridade no output final, mas não consegues garantir de forma nenhuma que não houve inputs impróprios mesmo que faças um audit após as eleições. Tu anonimizares (se for bem feita e através de um digest por exemplo) os dados, ainda torna mais difícil tu confirmares a integridade após a finalização do processo.

Confirmar resultado final com a contagem posterior de papel é UNICA forma de garantir a integridade dos dados. Ignorar isto é confiar cegamente em código, e na minha área, não poucas vezes tenho encontrado exemplos de que isso é errado. Em empresas que o orçamento de cyber é superior ao que o Benfica gasta num mandato presidencial inteiro.

Sim, falaste da radiação cósmica. E eu já disse que é o mesmo raio cair duas vezes no mesmo lugar...se queres considerar isso é como disse temos de deixar utilizar inclusive os aviões pois podem cair por conta do mesmo fator.

Além disso eu não sei porque aventas com a Tríade CIA, mas acredito que seja por formação profissional. Por que é que achas que não se garante a integridade dos dados?!

E a confidencialidade e disponibilidade? Não? Porquê?

Sinceramente não entendo como manter a integridade é na conferência dos votos em papel...

Não fui eu que falei da radiação cósmica. Isso são eventos de possibilidades absurdas.

Eu avento com isso, porque é efectivamente um principio básico de segurança . Não me parece um conceito assim tão estranho.

Eu explico:

1. O sistema de voto não é open source. (pode ser resolvido por uma questão de confiança/autoridade que advém de quem a audita. Mas é inegável que a concepção de um software que dita o futuro de quem o concebe é um ponto de suspeição que tem que ser resolvido de uma forma ou de outra. Qualquer software proprietário que não sofre peer review como o open source, carece efectivamente de uma linha de intenção transparente. Prova disso são serviços/apps/hardware com arquitectura proprietária que em alguns casos se vem a descobrir vários anos depois a presença de backdoors/malware/etc.) Corrige-me se tiver errado porque no caso de cybersec, tu nunca fazes uma verificação integral. Fazes de forma segmentada, e geralmente cada segmento é feito numa altura do tempo e por equipa diferente. Presumo que em código seja igual. Com acesso apenas a funções especificas, ou ao funcionamento em si de forma a proteger a propriedade intelectual/segurança da empresa em si.

2. A confidencialidade não falo porque por principio a votação sendo anónima é fácil de implementar. Um código robusto dificilmente sofre tampering na altura da anonimização dos dados. Pode sofrer antes ou depois. O durante só acontece se existir erro grosseiro na programação. Uma boa implementação como sabes, ou deverias saber, torna "impossivel" qualquer reversão de um digest. Não consegues pegar numa hash e saber o que é que deu origem aquilo. O que garante a Confidencialidade neste modelo, é que apenas os autorizados poderão ter acesso aos dados. Tendo em conta que estão 100% anonimizados ninguém tem acesso. (Aqui entra novamente um Audit decente, ou a divulgação do código fonte para confirmação pela comunidade).
Se quiseres falar dos restantes dados, como cadernos eleitorais, dados de sócios em sistema, isso é completamente paralelo a um sistema de voto electrónico, ou por principio deveria ser para reduzir vectores de ataque, e deve ser protegido de uma forma que em nada tem a ver com o sistema de voto per si.

3. Não falo de disponibilidade, porque é irrelevante. Não é uma amazon, não são as votações para Presidente da republica. Se os sistemas deixarem de funcionar, azarito. Vota-se noutra altura, ou alarga-se a janela de tempo. Não é de todo um problema. Até porque como disse atrás, é uma questão que tem que ser prevista durante os 4 anos anteriores à votação a proteger os sistemas existentes, como o website/loja do clube, intranet (com as bases de dados de por exemplo observação de jogadores), webmail, etc.

4. Falo de integridade porque, o trabalho de qualquer profissional de cybersec é reduzir o risco. Não é eliminá-lo. É avaliar que actores estariam dispostos a fazer algo, ver os meios que possam ter à disposição (financiamento por exemplo), e com base na informação disponível sobre os sistemas a serem utilizados, desenhar um meio de redução de riscos. Efectivamente é possível alterar de várias formas um voto na altura que ele está a ser colocado a nivel electrónico. Não são teorias académicas. São situações do dia a dia, que são replicadas e sinalizadas nos mais variados serviços e que os ataques se executam da mesma forma e são independentes da aplicação em si.

A partir do momento que existe um risco, não académico, mas possível e quantificável da alteração de votação no preciso momento em que o voto é feito (sem duplicação porque um bom sistema não irá permitir duplicação de voto, a menos que se encontre um... bug ) esse risco tem que ser mitigado. E a melhor, mais barata e mais fácil mitigação de todas, é o ticket de voto em papel. Os sistemas electrónicos de votos devem servir apenas para entrega de resultado na hora, e como baseline de contagem dos tickets para avaliar uma possivel margem de erro humano na contagem.


Só um aparte. Nem vou entrar em lateralizações de ataques. Porque de cabeça consigo arquitectar 2/3 modos possíveis (prováveis) de o fazer. No online, nas ultimas eleições, os jornais falaram de um "ataque" (lol, bela merda de ataque). Posso-te dizer, que na votação online houve pelo menos uma falha de segurança grave que não foi noticiada (não fui eu que a encontrei). E que sem contagem de tickets, ou algum tipo de confirmação fisica, se abusada, poderia colocar em risco a eleição (especialmente com dados efectivamente anonimizados, porque com tokenização padrão seria possivel de apanhar com uma auditoria simples).

Compreendo o teu ponto. Acho que é uma boa reply e que toca em pontos fulcrais.

Posto isto repara que na Web of Things tu não consegues manter integridade, confidencialidade e disponibilidade de nada. Tudo ligado à rede pode ser atacado. Tudo o que não esteja ligado à rede e tenha a intervenção humana pode ficar comprometido e por aí em diante.

A Tríade CIA padroniza e estabelece precisamente a fasquia, mas como disse acima se formos nessa ideia nada passa pelo padrão pois tudo o que é ligado à rede é atacável e com intervenção humana é passível de termos a integridade comprometida...nada é infalível. Os sistemas estarão sempre sujeitos a ataques e afins. A integridade pode ser sempre comprometida. A confidencialidade idem. Isso é certo e sabido.

Aliás se quisermos colocar as coisas nesse patamar deviamos acabar com todos os SI. Tivemos há uns anos o WannaCry que foi o mais nefasto nos últimos largos anos. Todos os SI comprometidos deviam ter-se deixado de usar...foram em hospitais, bancos, ministérios, universidades, empresas de telecomunicações, etc...

Temos de acabar com as ATM. Temos de acabar com tudo. Tudo pode ser atacado.

Temos, por exemplo, de acabar com os postos de combustível porque tu só podes ter a certeza que o combustível que saiu é o que aparece no leitor se ele for medido num recipiente próprio para tal medição e claro devidamente certificado.

Tu dizes "ahh mas a máquina está verificada e tem lá um selo de que foi auditada e está conforme"

E eu digo "ahh mas no dia seguinte podem ter ido lá e manipular a máquina, a pistola, etc..."

E portanto acabamos com tudo. 

Ou então a partir do momento que tens um sistema certificado assume-se que estão reunidas as condições necessárias para a sua utilização.

Assumindo-se que o conceito da Tríade e todas as normas ISO da família 27000 são para que se possam criar, monitorizar e auditar os SI garantindo a confidencialidade, integridade e disponibilidade do próprio SI.

E, portanto, se tu cumpres com tal estás a garantir a integridade do sistema e como tal o resultado final. Quando vais auditar, avaliar e relatar as inconformidades e atuar sobre as mesmas no tradicional ciclo PDCA por uma comissão especialista, independente e que certifique tais condições podes e deves utilizar o SI, tal como a bomba que tem o selo.

Estás a assumir que os riscos são residuais e que tudo está devidamente apto a ser usado. É uma gestão de risco. Numa eleição com votos de papel os riscos também existem e assume-se que são residuais e que a eleição poder-se-á realizar.

Se mitigar o risco no que confere à exatidão dos resultados é contar os tickets de votos não vale a pena votar eletrónico estamos a ter dois trabalhos.

[orlando77]

43 membros do SB que já assumiram votar no FB:

policeMAN / KKT / fyure / Esbutenado / ABenficaC / Dealer 88 / xipox / pasfomp / Shroom / SAL. / melo7 / orlando77 / MSAM / pedro22 / Blitzer / Ludwig van / Bleach / Fundamentalista SLB / S1Benfica / lancadordedois / dvck / Sexta-Feira / ThyHard / Manuelferreira1 / DBdennisDB / karkow / Pedro.SLB.71 / G-Man / immoreofadogperson / Mikashnikov / patetalegre / Mpaq / .:CMPunk:. / Guardião Encarnado / Kumbayala / Ru10 / HoMiCiDaL / Harlem / diabo maiato / GGG / Gambino / Saiidj / Achor81 /...

Por um Benfica sério, honesto, transparente, de gente humilde e de bons princípios!
Por um Benfica dos sócios e para os sócios!

[manjob]

43 membros do SB que já assumiram votar no FB:

policeMAN / KKT / fyure / Esbutenado / ABenficaC / Dealer 88 / xipox / pasfomp / Shroom / SAL. / melo7 / orlando77 / MSAM / pedro22 / Blitzer / Ludwig van / Bleach / Fundamentalista SLB / S1Benfica / lancadordedois / dvck / Sexta-Feira / ThyHard / Manuelferreira1 / DBdennisDB / karkow / Pedro.SLB.71 / G-Man / immoreofadogperson / Mikashnikov / patetalegre / Mpaq / .:CMPunk:. / Guardião Encarnado / Kumbayala / Ru10 / HoMiCiDaL / Harlem / diabo maiato / GGG / Gambino / Saiidj / Achor81 /...

Por um Benfica sério, honesto, transparente, de gente humilde e de bons princípios!
Por um Benfica dos sócios e para os sócios!

44

[paulomaia1972]

20 votos

[Kaká]

Compreendo que o voto físico seja o ideal mas muita gente como eu não poderá votar, ou poderá votar por correio?

Voto físico é digno de chalupas. Voto eletrónico com auditoria de uma comissão independente.
Ponto final.

99.9999% de todas as votações no mundo são por voto físico. Chalupas 

De todas aquelas que não têm meios tecnológicos para o fazerem...até no Zukil fazem isso há mais de 20 anos.

Pedir para regressar ao voto físico é apenas e só chalupice. Se há duvidas sobre a autenticidade que no processo eleitoral seja chamada uma equipa de auditoria que acompanhe o processo, com representantes/delegados de todas as candidaturas e pronto caso resolvido.

Se até os lagartos que sao cognitivamente limitados o conseguem e aceitam...não vejo onde está a dificuldade.

Zukil??? Onde é isso? É a tua terra?
O voto eletrónico não deve ser usado em votações importantes e, no caso de ser usado, tem de ser muito bem auditado e com possibilidade de serem recontados os votos físicos imediatamente (não passado 1 ano). E o chalupa sou eu...

Eu pensei que todas as votações eram importantes...afinal são só algumas? 

E lá está estás a misturar coisas. Uma é o voto eletrónico outra é o processo eleitoral e os procedimentos. O voto eletrónico deve imprimir um ticket para armazenamento em urna lacrada. E depois caso haja necessidade ser contado, sim. E não andar em malas de carros de sabe-se lá quem e tudo mais...mas isso não é o voto eletrónico em si. O que está errado é a nível de procedimentos.

Simples, não?

*Nota* Necessidade de ser contado é no caso do terminal avariar. Não é porque se perdeu por meia dúzia de votos no eletrónico que se vai contar os físicos...é que daqui a um bocado também querem recontagem eletrónica como os lagartos queriam

Alem de todos os problemas apontados à implementação feita pelos serviços do Benfica, é inegável que os serviços podem não só ver quem votou, mas em quem votaram.
e esse é o grande obstáculo ao voto electrónico tal como está concebido pelos serviços do clube.

Isso das urnas é um ponto separado, mas bem em linha com as tropelias que se vão fazendo há anos.

Se podem é porque a coisa está mal feita!

É algo que me diz bastante porque é da minha área e trabalhei em parceria com um dos maiores especialistas e membro integrante de várias comissões de auditorias informáticas e entre elas na revisão do sistema de voto eletrónico do SCP. Portanto sei do que falo e conheço detalhes dos procedimentos.

Se o sistema de voto eletrónico for devidamente implementado e auditado os elementos dos serviços apenas conseguem ver quem votou e quantos votos tem. Não em quem votou. Se os procedimentos forem bem implementados as urnas lacradas para introdução do ticket de voto serve para contagem em caso de avaria do terminal associado.

Tirando isso só há resultados finais quando o presidente da MAG introduzir a chave física e proceder à impressão de resultados. Nada mais é possível de verificar. Aliás é o conceito de black box e nem a equipa de auditoria consegue ver em quem cada sócio votou. Os dados são anonimizados daí a importância dos tickets. Se avariar não há backup nem centrais com os dados aglomerados.

Se tudo for feito com independência e rigor nada há a apontar ao sistema. As máquinas não se enganam, não vão ter contagens diferentes, não vão ler votos errados, não vão anular votos...

Portanto sendo as coisas feitas como devem ser nada há a apontar. É um sistema robusto, seguro e que não admite erros de contagens.

Se o do Benfica não é assim repito como comecei que peçam suporte e uma auditoria e revisão independente para resolver as falhas do sistema e depois em cada votação haja uma equipa de suporte e auditoria.

Fazer votação por voto físico repito é para chalupas. Porque também já lá diz o ditado "quem é desconfiado, não é certo"

Muito bom, só chalupas por essa Europa fora !

Por esta Europa fora não foram tantos que implementaram por conta de custos e escala de dimensão.
agora O sistema no clube existe se não está como devia que seja analisado, revisto e que seja utilizado. Voltar ao voto físico tendo a oportunidade de ser voto eletrónico é sim de uma chalupice só!

Continuas a carregar nessa tecla. Já ai atrás falei que existe efectivamente falhas nesses sistemas, e não são como a possibilidade de crackar uma mega password (que existe mas não há capacidade computacional para o fazer).

São situações efectivamente possiveis, não são hipoteses puramente académicas.

Vou voltar a dizer, apesar de eu ser de cybersec e nao andar a fazer as auditorias, não tens forma de manter a triade CIA, sem a contagem de votos em papel. Os factores existentes de uma votação, impossibilitam uma confirmação de integridade do objectivo final. Sim consegues integridade no output final, mas não consegues garantir de forma nenhuma que não houve inputs impróprios mesmo que faças um audit após as eleições. Tu anonimizares (se for bem feita e através de um digest por exemplo) os dados, ainda torna mais difícil tu confirmares a integridade após a finalização do processo.

Confirmar resultado final com a contagem posterior de papel é UNICA forma de garantir a integridade dos dados. Ignorar isto é confiar cegamente em código, e na minha área, não poucas vezes tenho encontrado exemplos de que isso é errado. Em empresas que o orçamento de cyber é superior ao que o Benfica gasta num mandato presidencial inteiro.

Sim, falaste da radiação cósmica. E eu já disse que é o mesmo raio cair duas vezes no mesmo lugar...se queres considerar isso é como disse temos de deixar utilizar inclusive os aviões pois podem cair por conta do mesmo fator.

Além disso eu não sei porque aventas com a Tríade CIA, mas acredito que seja por formação profissional. Por que é que achas que não se garante a integridade dos dados?!

E a confidencialidade e disponibilidade? Não? Porquê?

Sinceramente não entendo como manter a integridade é na conferência dos votos em papel...

Não fui eu que falei da radiação cósmica. Isso são eventos de possibilidades absurdas.

Eu avento com isso, porque é efectivamente um principio básico de segurança . Não me parece um conceito assim tão estranho.

Eu explico:

1. O sistema de voto não é open source. (pode ser resolvido por uma questão de confiança/autoridade que advém de quem a audita. Mas é inegável que a concepção de um software que dita o futuro de quem o concebe é um ponto de suspeição que tem que ser resolvido de uma forma ou de outra. Qualquer software proprietário que não sofre peer review como o open source, carece efectivamente de uma linha de intenção transparente. Prova disso são serviços/apps/hardware com arquitectura proprietária que em alguns casos se vem a descobrir vários anos depois a presença de backdoors/malware/etc.) Corrige-me se tiver errado porque no caso de cybersec, tu nunca fazes uma verificação integral. Fazes de forma segmentada, e geralmente cada segmento é feito numa altura do tempo e por equipa diferente. Presumo que em código seja igual. Com acesso apenas a funções especificas, ou ao funcionamento em si de forma a proteger a propriedade intelectual/segurança da empresa em si.

2. A confidencialidade não falo porque por principio a votação sendo anónima é fácil de implementar. Um código robusto dificilmente sofre tampering na altura da anonimização dos dados. Pode sofrer antes ou depois. O durante só acontece se existir erro grosseiro na programação. Uma boa implementação como sabes, ou deverias saber, torna "impossivel" qualquer reversão de um digest. Não consegues pegar numa hash e saber o que é que deu origem aquilo. O que garante a Confidencialidade neste modelo, é que apenas os autorizados poderão ter acesso aos dados. Tendo em conta que estão 100% anonimizados ninguém tem acesso. (Aqui entra novamente um Audit decente, ou a divulgação do código fonte para confirmação pela comunidade).
Se quiseres falar dos restantes dados, como cadernos eleitorais, dados de sócios em sistema, isso é completamente paralelo a um sistema de voto electrónico, ou por principio deveria ser para reduzir vectores de ataque, e deve ser protegido de uma forma que em nada tem a ver com o sistema de voto per si.

3. Não falo de disponibilidade, porque é irrelevante. Não é uma amazon, não são as votações para Presidente da republica. Se os sistemas deixarem de funcionar, azarito. Vota-se noutra altura, ou alarga-se a janela de tempo. Não é de todo um problema. Até porque como disse atrás, é uma questão que tem que ser prevista durante os 4 anos anteriores à votação a proteger os sistemas existentes, como o website/loja do clube, intranet (com as bases de dados de por exemplo observação de jogadores), webmail, etc.

4. Falo de integridade porque, o trabalho de qualquer profissional de cybersec é reduzir o risco. Não é eliminá-lo. É avaliar que actores estariam dispostos a fazer algo, ver os meios que possam ter à disposição (financiamento por exemplo), e com base na informação disponível sobre os sistemas a serem utilizados, desenhar um meio de redução de riscos. Efectivamente é possível alterar de várias formas um voto na altura que ele está a ser colocado a nivel electrónico. Não são teorias académicas. São situações do dia a dia, que são replicadas e sinalizadas nos mais variados serviços e que os ataques se executam da mesma forma e são independentes da aplicação em si.

A partir do momento que existe um risco, não académico, mas possível e quantificável da alteração de votação no preciso momento em que o voto é feito (sem duplicação porque um bom sistema não irá permitir duplicação de voto, a menos que se encontre um... bug ) esse risco tem que ser mitigado. E a melhor, mais barata e mais fácil mitigação de todas, é o ticket de voto em papel. Os sistemas electrónicos de votos devem servir apenas para entrega de resultado na hora, e como baseline de contagem dos tickets para avaliar uma possivel margem de erro humano na contagem.


Só um aparte. Nem vou entrar em lateralizações de ataques. Porque de cabeça consigo arquitectar 2/3 modos possíveis (prováveis) de o fazer. No online, nas ultimas eleições, os jornais falaram de um "ataque" (lol, bela merda de ataque). Posso-te dizer, que na votação online houve pelo menos uma falha de segurança grave que não foi noticiada (não fui eu que a encontrei). E que sem contagem de tickets, ou algum tipo de confirmação fisica, se abusada, poderia colocar em risco a eleição (especialmente com dados efectivamente anonimizados, porque com tokenização padrão seria possivel de apanhar com uma auditoria simples).

Compreendo o teu ponto. Acho que é uma boa reply e que toca em pontos fulcrais.

Posto isto repara que na Web of Things tu não consegues manter integridade, confidencialidade e disponibilidade de nada. Tudo ligado à rede pode ser atacado. Tudo o que não esteja ligado à rede e tenha a intervenção humana pode ficar comprometido e por aí em diante.

A Tríade CIA padroniza e estabelece precisamente a fasquia, mas como disse acima se formos nessa ideia nada passa pelo padrão pois tudo o que é ligado à rede é atacável e com intervenção humana é passível de termos a integridade comprometida...nada é infalível. Os sistemas estarão sempre sujeitos a ataques e afins. A integridade pode ser sempre comprometida. A confidencialidade idem. Isso é certo e sabido.

Aliás se quisermos colocar as coisas nesse patamar deviamos acabar com todos os SI. Tivemos há uns anos o WannaCry que foi o mais nefasto nos últimos largos anos. Todos os SI comprometidos deviam ter-se deixado de usar...foram em hospitais, bancos, ministérios, universidades, empresas de telecomunicações, etc...

Temos de acabar com as ATM. Temos de acabar com tudo. Tudo pode ser atacado.

Temos, por exemplo, de acabar com os postos de combustível porque tu só podes ter a certeza que o combustível que saiu é o que aparece no leitor se ele for medido num recipiente próprio para tal medição e claro devidamente certificado.

Tu dizes "ahh mas a máquina está verificada e tem lá um selo de que foi auditada e está conforme"

E eu digo "ahh mas no dia seguinte podem ter ido lá e manipular a máquina, a pistola, etc..."

E portanto acabamos com tudo. 

Ou então a partir do momento que tens um sistema certificado assume-se que estão reunidas as condições necessárias para a sua utilização.

Assumindo-se que o conceito da Tríade e todas as normas ISO da família 27000 são para que se possam criar, monitorizar e auditar os SI garantindo a confidencialidade, integridade e disponibilidade do próprio SI.

E, portanto, se tu cumpres com tal estás a garantir a integridade do sistema e como tal o resultado final. Quando vais auditar, avaliar e relatar as inconformidades e atuar sobre as mesmas no tradicional ciclo PDCA por uma comissão especialista, independente e que certifique tais condições podes e deves utilizar o SI, tal como a bomba que tem o selo.

Estás a assumir que os riscos são residuais e que tudo está devidamente apto a ser usado. É uma gestão de risco. Numa eleição com votos de papel os riscos também existem e assume-se que são residuais e que a eleição poder-se-á realizar.

Se mitigar o risco no que confere à exatidão dos resultados é contar os tickets de votos não vale a pena votar eletrónico estamos a ter dois trabalhos.

O wannacry foi um reality check para muita gente

De acordo com tudo o que dizes. Assumindo os protocolos normais, deve-se estabelecer uma relação de confiança com o serviço que estamos a utilizar. 100% de acordo. Mas já vi serviços a respeitar as normas dessa familia ISO, a depois terem falhas que foram geradas de forma posterior por "mau manuseamento" para dizer de forma simpática.

Devido à parte a bold, e falando de gestão de risco. Deve-se avaliar o mesmo seja em que circunstância for.
Deves sempre definir o teu apetite de risco, e os modelos regulares não são na minha opinião aplicáveis a este âmbito. Porque eleições é diferente de gasto mitigação/protecção vs perca de uptime/lucro multas no sector empresarial.

Umas eleições (neste caso são as do Benfica, mas isto até poder extrapolado para outro tipo de votações mais "oficiais"), devem ser avaliadas de forma diferente.

-Os SI mesmo com todas as normas são falíveis, e por N vezes as empresas resguardam-se em damage control até informarem as autoridades como manda a lei, e normalmente acabam por minorizar os reais problemas.

-Os votos em papel são também eles sujeitos a erros, humanos, seja de contagem ou cadernos eleitorais, perca de boletins, etc etc.

Na minha opinião, numa votação o apetite de risco deve ser o menor possivel. E o custo de ter "dois trabalhos" é inferior aos ganhos. Utilizar os dois sistemas ao mesmo tempo reduz significativamente a hipótese de erros tanto num como noutro, dado que existe uma confirmação em dois planos diferentes. Não são efectivamente  "dois trabalhos", são duas formas de controlo que se complementam se bem utilizadas e trás integridade. Uma mitigação do risco residual, que pela funcionalidade da aplicação deve ser reduzido sempre que exista essa possibilidade. Não há apetite de risco numa votação (ou não deveria haver). 

É quase como uma confirmação de dois factores , como quando te pedem o CC e o cartão de sócio antes de votares. Em teoria bastava pedir um.

Ou como teres apenas um servidor em cloud com contrato de 99.9% de uptime com x de utilização. Mas ainda assim há empresas que contratam servidores backup em continentes diferentes, com elasticidade do serviço.

[george 20]

O meu e da minha esposa vão para Benitez

[BC]

Votarei no SoB com muito orgulho e com muito amor!

[GARAJAU]

43 membros do SB que já assumiram votar no FB:

policeMAN / KKT / fyure / Esbutenado / ABenficaC / Dealer 88 / xipox / pasfomp / Shroom / SAL. / melo7 / orlando77 / MSAM / pedro22 / Blitzer / Ludwig van / Bleach / Fundamentalista SLB / S1Benfica / lancadordedois / dvck / Sexta-Feira / ThyHard / Manuelferreira1 / DBdennisDB / karkow / Pedro.SLB.71 / G-Man / immoreofadogperson / Mikashnikov / patetalegre / Mpaq / .:CMPunk:. / Guardião Encarnado / Kumbayala / Ru10 / HoMiCiDaL / Harlem / diabo maiato / GGG / Gambino / Saiidj / Achor81 /...

Por um Benfica sério, honesto, transparente, de gente humilde e de bons princípios!
Por um Benfica dos sócios e para os sócios!

44

Já deve dar para recolher os 7% da praxe, e por isso é que ele pede agora o adiamento das eleções. O Benitez é outro Bruno da Costa Carvalho, vai lá para animar os apaniguados, depois faz como o NL, manda umas bocas e diz quem tem mais que fazer na sua vida profissional.

[orlando77]

47 membros do SB que já assumiram votar no FB:

policeMAN / KKT / fyure / Esbutenado / ABenficaC / Dealer 88 / xipox / pasfomp / Shroom / SAL. / melo7 / orlando77 / MSAM / pedro22 / Blitzer / Ludwig van / Bleach / Fundamentalista SLB / S1Benfica / lancadordedois / dvck / Sexta-Feira / ThyHard / Manuelferreira1 / DBdennisDB / karkow / Pedro.SLB.71 / G-Man / immoreofadogperson / Mikashnikov / patetalegre / Mpaq / .:CMPunk:. / Guardião Encarnado / Kumbayala / Ru10 / HoMiCiDaL / Harlem / diabo maiato / GGG / Gambino / Saiidj / Achor81 / manjob / paulomaia1972 / george 20 / BC /...

Por um Benfica sério, honesto, transparente, de gente humilde e de bons princípios!
Por um Benfica dos sócios e para os sócios!

[força Benfica]

Aqui,20 no Benítez.

[VodkaBoy]

43 membros do SB que já assumiram votar no FB:

policeMAN / KKT / fyure / Esbutenado / ABenficaC / Dealer 88 / xipox / pasfomp / Shroom / SAL. / melo7 / orlando77 / MSAM / pedro22 / Blitzer / Ludwig van / Bleach / Fundamentalista SLB / S1Benfica / lancadordedois / dvck / Sexta-Feira / ThyHard / Manuelferreira1 / DBdennisDB / karkow / Pedro.SLB.71 / G-Man / immoreofadogperson / Mikashnikov / patetalegre / Mpaq / .:CMPunk:. / Guardião Encarnado / Kumbayala / Ru10 / HoMiCiDaL / Harlem / diabo maiato / GGG / Gambino / Saiidj / Achor81 /...

Por um Benfica sério, honesto, transparente, de gente humilde e de bons princípios!
Por um Benfica dos sócios e para os sócios!

44

Já deve dar para recolher os 7% da praxe, e por isso é que ele pede agora o adiamento das eleções. O Benitez é outro Bruno da Costa Carvalho, vai lá para animar os apaniguados, depois faz como o NL, manda umas bocas e diz quem tem mais que fazer na sua vida profissional.

e quem ganhará? Fará o que depois de ganhar?

[vrtds]

43 membros do SB que já assumiram votar no FB:

policeMAN / KKT / fyure / Esbutenado / ABenficaC / Dealer 88 / xipox / pasfomp / Shroom / SAL. / melo7 / orlando77 / MSAM / pedro22 / Blitzer / Ludwig van / Bleach / Fundamentalista SLB / S1Benfica / lancadordedois / dvck / Sexta-Feira / ThyHard / Manuelferreira1 / DBdennisDB / karkow / Pedro.SLB.71 / G-Man / immoreofadogperson / Mikashnikov / patetalegre / Mpaq / .:CMPunk:. / Guardião Encarnado / Kumbayala / Ru10 / HoMiCiDaL / Harlem / diabo maiato / GGG / Gambino / Saiidj / Achor81 /...

Por um Benfica sério, honesto, transparente, de gente humilde e de bons princípios!
Por um Benfica dos sócios e para os sócios!

Mais 20 votos aqui

[Benfica954]

47 membros do SB que já assumiram votar no FB:

policeMAN / KKT / fyure / Esbutenado / ABenficaC / Dealer 88 / xipox / pasfomp / Shroom / SAL. / melo7 / orlando77 / MSAM / pedro22 / Blitzer / Ludwig van / Bleach / Fundamentalista SLB / S1Benfica / lancadordedois / dvck / Sexta-Feira / ThyHard / Manuelferreira1 / DBdennisDB / karkow / Pedro.SLB.71 / G-Man / immoreofadogperson / Mikashnikov / patetalegre / Mpaq / .:CMPunk:. / Guardião Encarnado / Kumbayala / Ru10 / HoMiCiDaL / Harlem / diabo maiato / GGG / Gambino / Saiidj / Achor81 / manjob / paulomaia1972 / george 20 / BC /...

Por um Benfica sério, honesto, transparente, de gente humilde e de bons princípios!
Por um Benfica dos sócios e para os sócios!

Gostaria tanto ajudar o nosso Benfica, mas nao posso