Category: Home (Page 1 of 5)

Mundo Bugado, ANP, MP, PF e a INTERPOL

Ainda me lembro como se fosse ontem, há exatos 2 anos, 7 meses e 16 dias…

No dia 25 de Abril de 2014, 30 anos da aprovação das Diretas Já, fui acordado às 6h da manhã por policiais da Polícia Federal na casa do meu pai.

Eu estava dormindo quando meu pai bateu na porta do quarto e perguntou por mim. Eu logo pulei da cama e abri a porta preocupado. Quando abri a porta, o corredor estava cheio de policiais. Sem entender o que estava acontecendo olhei para o meu pai que falou: “Marcelo, tem alguns policiais aqui e eles querem te fazer algumas perguntas“.

Juro que a primeira coisa que me veio a cabeça era que eles precisavam da minha ajuda… Muita inocência da minha parte, porque ao dar o primeiro passo para fora do quarto um dos agentes da PF perguntou: “Você é o Marcelo? Você é hacker? Fica invadindo site do Governo?“.

Eles estavam com um mandado judicial em mãos que indeferia a medida coercitiva e deferia a busca e apreensão para colher provas ou me inocentar do crime que eu reconhecia ser o autor da alteração nas páginas da Agência Nacional do Petróleo (ANP).

Os seis policiais e mais duas testemunhas entram no quarto onde eu dormia para fazer o serviço. Um dos policiais ligou minha câmera fotográfica e tentou ver as fotos, enquanto os outros abriam cada gaveta e armários.

No final da ação, eles apreenderam um notebook, um HD externo e mais 3 HDs de máquinas que estavam no quarto.

Os policiais não eram peritos, não fizeram hash dos discos e nem se preocuparam em embalar os equipamentos adequadamente. Por sorte, meu irmão conseguiu alguns sacos antiestático e espumas para embalar e proteger os equipamentos.

Após a saída da PF, eu li com mais calma o mandado judicial e vi que o Thiago Silva estava sofrendo as mesmas acusações que eu e que possivelmente também estava ocorrendo naquele momento uma busca e apreensão na casa dele (sim, aconteceu).

O Thiago foi envolvido porque segundo o mandado judicial, ele era o responsável pelo domínio mundobugado.org onde a página modificada da ANP teria sido hospedada. Esse domínio foi registrado pelo Thiago para que eu, ele e a Yaso hospedássemos coisas relativas ao trabalho que estávamos fazendo para o Ministério da Justiça em 2011.

No mandado judicial listava o número do processo na Justiça. Com ele eu consegui ver toda a movimentação que até então estava acontecendo em segredo de justiça.

A busca e apreensão foi feita 3 anos e 20 dias (1.116 dias) após a suposta alteração da página da ANP.

O Inquérito Policial

Depois de esperar 53 dias (desde a busca e apreensão) por notícias sobre o Inquérito Policial, no dia 17 de Junho de 2014 o Ariel Foina, nosso advogado, conseguiu pegar uma cópia do processo que até essa data possuía 202 páginas.

Como o Inquérito Policial ainda é Segredo de Justiça, nesse momento eu não posso entrar em muitos detalhes. Espero um dia publicar o passo-a-passo com links para cada PDF com tudo que aconteceu. Mas por hora, para contar como desenrolou essa história, vou dividi-la nas seguintes fases:

Um breve contexto

Em Abril de 2011, eu descobri uma falha (XSS) no site da Agência Nacional do Petróleo (ANP). Não era uma falha crítica porque só era vista se você acessasse o site da ANP através de um endereço de internet com parâmetros extras (iframe), e portanto não era uma mudança definitiva. O site permanecia inalterado se acessado pelo endereço habitual, não havia cópia e nem alteração de dados e sim uma espécie de maquiagem que modificava o visual.

Não sou um especialista em segurança e contei como descobri essa falha aqui mesmo nesse Blog: Agência Nacional do Petróleo (ANP) e o Mundo Bugado.

Como sou curioso, procurei se outros órgãos do governo e empresas privadas possuíam a mesma falha. Não é que achei?!

.gov.br:

  • Brazilian Tourism Portal (Ministério do Turismo)
  • CAIXA (O banco que acredita nas pessoas)
  • CEB (Companhia Energética de Brasília)
  • Domínio Público (Ministério da Educação)
  • Embratur (Ministério do Turismo)
  • MF (Ministério da Fazenda)
  • MINC (Ministério da Cultura
  • MMA (Ministério do Meio Ambiente)
  • MME (Ministério de Minas e Energia)
  • MDA (Ministério do Desenvolvimento Agrário)
  • MCT (Ministério da Ciência e Tecnologia)
  • Portal da Transparência (Presidência)
  • Plataforma Lattes (CNPq)
  • SINDEC (Sistema Nacional de Informações de Defesa do Consumidor)
  • TCU (Tribunal de Contas da União)

Jornal/TV:

  • Estadão
  • Carta Maior
  • O TEMPO
  • Diário de São Paulo
  • Terra
  • Rede Minas

Nesse momento eu fiz um outro post com o título Segurança Nacional, que enviei por email para todos os órgãos e empresas alertando sobre o problema. Até fui mencionado em alguns veículos de comunicação:

Durante a entrevista que concedi a Rede Brasil Atual me perguntaram se eu tinha testado a falha em outros sites de bancos além da CAIXA, eu respondi que não, que a minha intenção era testar os sites dos Ministérios. Mas quando cheguei em casa (já falei que sou curioso) comecei a testar em alguns bancos. E não é que mais uma vez eu encontrei?!

Bancos:

  • Banco Alfa
  • BRB (Banco de Brasília)
  • BANESE (Banco do Estado de Sergipe)
  • BANESTES (Banco do Estado do Espírito Santo)
  • BANRINSUL (Banco do Estado do Rio Grande do Sul)
  • BRP (Banco Ribeirão Preto)
  • BSMB (Banco Sumitomo Mitsui Brasileiro)

.gov.br:

  • ANVISA (Agência Nacional de Vigilância Sanitária)
  • TCEMG (Tribunal de Contas do Estado de Minas Gerais)

Outras empresas:

  • IG
  • UNIMED

Fiz um terceiro post com o título Vários bancos com falha de segurança (A saga continua). Tomei o cuidado de ligar para todos os bancos e registrar que eu havia encontrado uma falha, porque mesmo sendo boba, ela poderia ser usada para tirar algum tipo de vantagem.

Investigação interna da ANP

Por volta do dia 5 de Abril de 2011, a Assessoria de Inteligência da ANP fez uma investigação interna sobre o que ocorreu no Sistema de Preços.

Após uma troca de emails internos o Chefe da Assessoria de Inteligência da ANP envia no dia 10 de Maio de 2011 um pedido de investigação para o Superintendente da Polícia Federal do Rio de Janeiro (A Assessoria de Inteligência da ANP é sediada no Rio de Janeiro).

Polícia Federal e INTERPOL

No dia 19 de Julho de 2011, o Delegado Chefe da Delegacia de Defesa Institucional (DELINST) no Rio de Janeiro, tendo em vista as informações passadas pelo Núcleo de Prevenção e Repressão de Crimes via Internet (NUNET), decide encaminhar um pedido para a Regional da INTERPOL do Rio de Janeiro para obter os registros de criação e atualização dos sites: metaldot.alucinados.com e mundobugado.org.

Instauração do Inquérito Policial

No dia 30 de Janeiro de 2012, uma Delegada da COR/SR/DF encaminha para a Corregedora da PF um despacho para a instauração de Inquérito Policial.

No dia 10 de Fevereiro de 2012, foi selecionado o Delegado Chefe do Grupo de Repressão a Crimes Cibernéticos (GRCC) da Polícia Federal de Brasília para instaurar o Inquérito Policial.

No dia 11 de Novembro de 2013, o Delegado responsável pelo caso formaliza o nosso indiciamento e ainda pede pela a expedição de dois mandados, um de busca e apreensão e outro de condução coercitiva. As tipificações usadas para justificar foram atentado contra funcionamento do serviço de utilidade pública (art. 265) e dano qualificado contra o patrimônio da União (art. 163, p. único, III) ambos no Código Penal Brasileiro.

No dia 19 de Dezembro de 2013, uma Procuradora da República (Ministério Público Federal), aceita o pedido do Delegado Chefe do Grupo de Repressão a Crimes Cibernéticos (GRCC) da Polícia Federal de Brasília.

No dia 14 de Fevereiro de 2014, o Juiz Federal da 10ª VF/SJDF aceita a busca e apreensão e nega a medida coercitiva.

No dia 25 de Abril de 2014 foi executada a busca e apreensão.

Pedido de Restituição

No dia 09 de Setembro de 2014, o Ariel Foina, nosso advogado entrou com o pedido de restituição.

Intimação para depoimento

No dia 11 de Agosto de 2015 eu recebi uma intimação com data e hora para comparecer na Superintendência Regional da Polícia Federal para “prestar esclarecimentos no interesse da Justiça“.

Ministério Público pede o arquivamento

No dia 31 de Agosto de 2015, o Ministério Público Federal pediu o arquivamento.

Depoimento

Dia 8 de Setembro de 2015, eu fui até a sede da Polícia Federal e prestei depoimento. Levei comigo o pedido de arquivamento do Ministério Público.

Justiça Federal arquiva o processo

No dia 08 de Março de 2016, o Juiz Federal da 10ª VF/SJDF promove o arquivamento do procedimento criminal.

Recebi minhas coisas de volta

Depois de 885 dias (2 anos, 5 meses e 1 dia) sem meus equipamentos, no dia 26 de Setembro de 2016 o Ariel Foina conseguiu pegar meus equipamentos apreendidos.

Total de 5 anos, 5 meses e 21 dias depois do “XSS” no site da ANP.

Share on FacebookShare on Google+Tweet about this on TwitterShare on LinkedInEmail this to someone

Hackers criam site para ajudar na compreensão da prestação de contas dos deputados estaduais

Projeto de Gustavo Noronha e Marcelo Vieira analisa dados públicos da Assembleia Legislativa
por Paola Carvalho | 29 de Janeiro de 2014

Noronha (à esq.) e Vieira: orientação para os eleitores

Noronha (à esq.) e Vieira: orientação para os eleitores

Eles vêm tirando o sono dos deputados estaduais. Já receberam algumas ameaças, mas parecem não dar a mínima para as reclamações das autoridades. Os hackers Gustavo Noronha, de 30 anos, e Marcelo Vieira, de 32, querem mesmo é que todo mundo saiba como os parlamentares estão gastando os 20 000 reais mensais da verba indenizatória que serve para custear despesas de transporte, hospedagem e alimentação, entre outros itens – um dinheiro público sobre o qual devem prestar contas. A dupla criou, há quatro anos, o olhoneles.org, um site onde qualquer cidadão pode acompanhar os gastos de forma bem simples, o que não costuma ocorrer nos portais oficiais de transparência. A ideia foi de Noronha, em 2010, quando quis avaliar o comportamento dos candidatos à reeleição antes de decidir seu voto. No portal da Assembleia Legislativa de Minas Gerais, ele encontrou muitos números e poucas conclusões. “Os dados são individualizados e separados por mês, o que não permite ter uma visão geral do mandato ou fazer comparações”, afirma o programador de computadores. Sem se dar por vencido, ele convidou o amigo Vieira, também programador, para juntos criarem o que chama de “robozinho”, um aplicativo que entra no portal da assembleia e coleta os dados da execução orçamentária, que a casa é obrigada a divulgar on-line por força de uma lei federal. “O que fazemos é apresentar as mesmas informações em outros formatos, como por meio de tabelas e gráficos”, explica Noronha. Ele faz questão de frisar que não existe nenhum trabalho de análise em seu site. Mas, diante da “tradução” dos dados, fica fácil para qualquer eleitor tirar as próprias conclusões, como quem são os líderes no ranking da gastança (veja o quadro acima). No olhoneles.org, é possível ver as despesas por parlamentar, partido, fornecedor ou tipo de gasto.

Noronha e Vieira, que são funcionários de empresas privadas de tecnologia e costumam prestar serviços também de consultoria, usam as horas vagas para atualizar o site, que recebe hoje uma média de 200 visitantes por dia – número que, em ano eleitoral, tende a aumen­tar. Depois da experiência com a assembleia mineira, eles ampliaram o serviço e atualmente coletam também informações das câmaras municipais de Belo Horizonte e São Paulo, além de dados do Senado. Os dois já receberam até proposta de patrocínio, mas recusaram. “Não temos fins lucrativos”, diz Vieira. Muitos amigos apoiam o exercício de cidadania da dupla, mas há quem considere o trabalho uma perda de tempo um tanto perigosa. As ameaças – principalmente de processos contra eles – são frequentes, embora não exista nada no site que não seja público.

De vez em quando, os hackers deparam com casos suspeitos. Certa vez, pediram esclarecimentos a um parlamentar sobre pagamentos feitos a uma empresa cujo registro no Cadastro Nacional de Pessoa Jurídica (CNPJ) tinha o mesmo algarismo, o 5, repetido em seus catorze dígitos. Esperavam que a identifica­ção da “empresa cinco” fosse retificada. Mas o lançamento simplesmente desapareceu do sistema. “Há outras esquisitices, como notas seriadas e valor mensal fixo de combustível”, exemplifica Noronha. “Ainda vamos cruzar muitos dados”, promete Vieira. De fato, é um serviço público importante.

Números do atual mandato
De janeiro de 2011 até a última terça (21), as despesas com a verba indenizatória dos deputados estaduais mineiros somaram 46,1 milhões de reais

Os deputados que mais gastaram em milhares de reais

  • Adalclever Lopes (PMDB): 740,5
  • Adelmo Carneiro Leão (PR): 729,2
  • Rosângela Reis (PV): 723,0
  • Zé Maia (PSDB): 720,1
  • Alencar da Silveira Júnior (PDT): 720,0
  • Deiró Marra (PR): 720,0

Para onde foi o dinheiro em milhões de reais

  • Divulgação da atividade parlamentar: 14,529 31%
  • Locação e fretamento de veículos: 9,864 21%
  • Combustível e lubrificante: 8,447 18%
  • Serviços de consultoria, assessoria e pesquisa: 7,057 15%
  • Locação de imóvel e despesas de manutenção: 3,009 7%
  • Outros: 3,218 8%

Fonte: http://vejabh.abril.com.br/edicoes/hackers-criam-site-ajudar-compreensao-prestacao-contas-deputados-estaduais-771394.shtml

Share on FacebookShare on Google+Tweet about this on TwitterShare on LinkedInEmail this to someone

Movimente.me – Personal Trainer 2.0, Treinos Online e Fichas de Musculação

Após o rompimento da sociedade FITNOVA, eu, Rafael e César decidimos continuar com um novo projeto e um novo nome. Após alguns meses pensando, escolhemos o nome Movimente.me e a marca:

movimente.me

Conseguimos melhorar e muito a plataforma antiga. Mexemos na usabilidade de todas as páginas, na visualização e nos filtros do catálogo de exercícios e no layout. Lançamos o Movimente.me no dia 02 de Outubro de 2013. Por todo esse trabalho, eu gostaria de agradecer todas as pessoas que nos ajudaram a construir esse novo projeto, em especial Eduardo Loureiro, Marcos Paulo Machado, Guilherme Guerra, Lincoln de Sousa, Gustavo Noronha, VJ Pixel e Pablo Aguiar.

Como funciona?

Após cadastro no site, é necessário preencher um questionário com 15 perguntas para descobrirmos o seu nível de condicionamento físico atual. Terminando essa etapa, temos um segundo questionários com 8 perguntas sobre o objetivos do seu treino. Com os dois questionários respondidos, um treino é selecionado com as suas características. Daí é começar a treinar, movimente-se!

Sobre o Movimente.me:

Uma plataforma de Educação Física a distância que permite a organização, o controle e o acompanhamento para a prática de atividades físicas, podendo ser utilizada tanto por praticantes quanto por profissionais. Sendo onipresente para os usuários, além de simples e a um baixo custo.

Share on FacebookShare on Google+Tweet about this on TwitterShare on LinkedInEmail this to someone

Cuidado para não gerar uma legislação que só atenda uma demanda num momento de pânico

Read More

Share on FacebookShare on Google+Tweet about this on TwitterShare on LinkedInEmail this to someone

Primeiro prêmio da Fitnova

Read More

Share on FacebookShare on Google+Tweet about this on TwitterShare on LinkedInEmail this to someone

Fitnova – Personal Trainer 2.0, Treinos Online e Fichas de Musculação

Read More

Share on FacebookShare on Google+Tweet about this on TwitterShare on LinkedInEmail this to someone

Vários bancos com falha de segurança (A saga continua)

Read More

Share on FacebookShare on Google+Tweet about this on TwitterShare on LinkedInEmail this to someone

Segurança Nacional

Read More

Share on FacebookShare on Google+Tweet about this on TwitterShare on LinkedInEmail this to someone

Quem procura, acha!

Read More

Share on FacebookShare on Google+Tweet about this on TwitterShare on LinkedInEmail this to someone

Composição dos preços dos combustíveis: qual é a verdade?

Read More

Share on FacebookShare on Google+Tweet about this on TwitterShare on LinkedInEmail this to someone

Page 1 of 5

Powered by WordPress & Theme by Anders Norén