sábado, 8 de agosto de 2015

Agile Boleta

Un éxito completo, 66% de asistencia de los inscriptos, que podríamos llevar a 80% si consideramos que uno de los inscriptos avisó varios días antes que no iba a asistir.

Todo esto relativizado a que asistimos cinco.

Pese a esta introducción engañosamente desalentadora, el encuentro fue más rico de lo que podiamos esperar de los presentes, ya que ninguno tenía algún conocimiento extraordinario del tema, pero al tener distintos puntos de vista y experiencias relacionados con las elecciónes (uno había sido en otra ocasión presidente de mesa) y las vulnerabilidades en general, logramos un buen intercambio.

Por supuesto en algún momento terminamos hablando de la vedette en la cabina del avión[1], espero que no sea el nuevo Hitler[2].


Lo que a continuación transcribo, es el resultado de mi opinión amalgamada con lo conversado, no es un registro fiel.

Voto vs Boleta


Hay que distinguir entre "voto electronico" y "boleta electrónica". Lo primero es la utilización de una aplicación para registrar el voto y podría incluso ser online. Lo que hemos vivido es lo segundo, el reemplazo de la boleta previamente impresa por una que se imprime en el momento más los adicionales optativos de contéo automático y la transmisión.

Las vulnerabilidades de la transmisión de los resultados.

Esta fue una de nuestras dudas no resueltas, si se contemplaba como parte del sistema la transmisión de los resultados por Internet.

Las vulnerabilidades asociadas al chip.

Si los chips utilizados son como los del conocido sistema de pago de transportes, una clave se obtiene en una horas[3] y el resto en minutos[4]. Alguien había entendido que sólo se podían grabar una vez.

Las medidas de represalia tomadas contra los investigadores.

¿Se puede considerar que por tratarse de un acto electoral las vulnerabilidades deban ser tratados de un modo distinto al de cualquier otro sistema?

Estuvimos todos de acuerdo en que fue una acción política (en el sentido que se le dá en el trabajo, como cuestión de poder, de bandos) más que de índole legal.

El proceso fue más eficiente.

Nuestro asistente que fue presidente de mesa en otra elección ha dado fé que hay gente que tarda un tiempo absolutamente injustificable en el cuarto oscuro. Suponemos que se debe a algún tipo de acto de auto satisfacción sexual, pues ahora esta vez todo parece haber sido más rápido.

Otra ventaja es que no había posibilidad de equivocarse, como lo ocurrió a alguno de los asistentes que en una oportunidad impugnó involuntariamente su voto al hacer mal los cortes de boleta.


La transparencia de este método frente al tradicional.

Como bien dijo Vampii en la lista de la eko, el proceso tradicional es extremadamente sencillo, cualquiera puede comprenderlo. Habiendo una computadora de por medio, hay mucha gente que queda afuera. El simple hecho de que quienes estábamos presentes, que tenemos una cierta cultura en informática y seguridad, no tuviéramos muy claro el asunto, además de revelar una cierta falta de responsabilidad y empeño de nuestra parte, indica que hay bastante confusión.

La transparencia de este método frente al tradicional.

Si es código para una función del Estado, ¿no debería ser este si no Open Source al menos de acceso público para su escrutinio por quien tenga el interés?

Nueva vulnerabilidad detectada

Hay un leak de información. La única manera de "impugnar" un voto es no votando ni siquiera en blanco. Se ha dicho que en realidad la impugnación no es una opción, si no un defecto del proceso tradicional.

Entendimos que para impugnar el voto ahora hace falta romper el chip o no imprimir nada. Tanto uno como otro acto es inmediatamente detectado por quienes estén presentes, así que si impugnás estás "cantando" el voto de modo involuntario.


Escenarios de ataque

Anulación de votos: según entendimos no se podía regrabar, pero si arruinar el chip de modo remoto. Con un emisor lo suficientemente potente, se puede pasar cerca de la urna y anular toda una mesa.

Fidelidad de votos comprados: se le puede decir a quien va a votar que se están monitoreando las computadoras para que que los votos comprados sean efectivamente realizados a quien los compra. Está claro que no hace falta que sea verdad, con que el vendedor de su voto lo crea, alcanza.

Descubrimiento de votos: desde el momento en que se pueden leer las boletas, con el equipamiento apropiado se puede consultar permanentemente todos los votos en la urna y revelar a quien vota cada persona, si no directamente leer a distancia en el momento de acercar la boleta a la urna. Lo que no sé bien es con que equipo pues alguien me contó que nfc-list, que funciona bien con tarjetas como SUBE, no vió un único ejemplar de origen dudoso.

Tambien está este [5]

Cómo se pudo haber hecho bien.

Considerando todo lo anterior, llegamos al acuerdo de que si se hubiera usado las máquinas como simples impresoras, se ganaba la eficiencia detectada.

Consideramos superfluos el chip y la conectividad.


En el conteo, se podía usar la computadora pero controlando que coincidiera lo del papel con lo detectado. No sabemos si el software tiene la capacidad de "corregir" errores, por ejemplo si alguien marcó varios votos, lo cual engañaría a la computadora, lo impreso igual es correcto y debería valer, no impugnar.


Haciendo los deberes

Lamentablemente ninguno de los asistentes es telépata, así que cuando se me ocurrió que teníamos que ir con el asunto bastante estudiado viendo al menos algunos links, nadie me leyó la mente.

Varias de las dudas nos las pudimos haber despejado en el momento, pero aunque el tema nos produjo el suficiente interés como para reunirnos, no fue lo suficiente como para que ninguno prendiera una computadora y se fijara en las noticias o el reglamento electoral.

Esta noticia aclara algunas: 

"Dado el diseño del sistema, el voto no se puede cargar a mano, por lo que se creó una nueva categoría: 'Voto no leído por motivos técnicos'. Para el escrutinio definitivo será tenido en cuenta, pero no en el provisorio. En elecciones ajustadas, la diferencia podría ser motivo de conflictos."[6]



Algunas reflexiones mías posteriores

A partir de lo conversado y mi propias reflexiones, en el momento en que alguno de los actores principales decide hacer fraude, no hay medida técnica que lo pueda impedir. Tiene que tener el sector afectado un aparato de fiscalización en las mesas con cobertura total. Así que toda esta discusión puede ser muy instructiva, pero a la hora de las piñas, es intrascendente.


Pensé que el error que cometió el muchacho allanado[7] fue considerar esta vulnerabilidad como un habitual problema técnico, sin considerar bien las implicancias de negocio.

El problema es que es político. No político por las elecciones sino de negocios y poder. Por definición cualquier problema con el sistema de elecciones es político pues se trata de negocios y poder. Hay bandos enfrentados con intereses opuestos. Una cosa es que la vulnerabilidad la reporte la Fundación Sadosky, que tiene respaldo y la otra es que sea un actor técnico, ingenuo e independiente, que resultará probablemente lastimado. Una situación parecida ocurriría si a alguien se le ocurriera revelar una vulnerabilidad en los sistemas del INDEC justo cuando esta bajo escrutinio.

Yo hubiera reportado de modo anónimo, pero eso implica perder el mérito, que no es poca cosa para quienes hacen actividades voluntarias.





[1] http://seguridad-agile.blogspot.com/2015/07/boxeadores-en-la-cabina-de-un-avion.html
[2] https://es.wikipedia.org/wiki/Ley_de_Godwin
[3] mfuk
[4] mfoc
[5] https://twitter.com/mis2centavos/status/622765428411121665
[6] http://www.perfil.com/politica/Detectan-problemas-de-vulnerabilidad-en-el-nuevo-sistema-de-voto-electronico-20150704-0006.html
[7] http://www.clarin.com/policiales/Voto-electronico-allanaron-domicilio-irregularidades_0_1387661308.html