Ainda me lembro como se fosse ontem, há exatos 2 anos, 7 meses e 16 dias…
No dia 25 de Abril de 2014, 30 anos da aprovação das Diretas Já, fui acordado às 6h da manhã por policiais da Polícia Federal na casa do meu pai.
Eu estava dormindo quando meu pai bateu na porta do quarto e perguntou por mim. Eu logo pulei da cama e abri a porta preocupado. Quando abri a porta, o corredor estava cheio de policiais. Sem entender o que estava acontecendo olhei para o meu pai que falou: “Marcelo, tem alguns policiais aqui e eles querem te fazer algumas perguntas“.
Juro que a primeira coisa que me veio a cabeça era que eles precisavam da minha ajuda… Muita inocência da minha parte, porque ao dar o primeiro passo para fora do quarto um dos agentes da PF perguntou: “Você é o Marcelo? Você é hacker? Fica invadindo site do Governo?“.
Eles estavam com um mandado judicial em mãos que indeferia a medida coercitiva e deferia a busca e apreensão para colher provas ou me inocentar do crime que eu reconhecia ser o autor da alteração nas páginas da Agência Nacional do Petróleo (ANP).
Os seis policiais e mais duas testemunhas entram no quarto onde eu dormia para fazer o serviço. Um dos policiais ligou minha câmera fotográfica e tentou ver as fotos, enquanto os outros abriam cada gaveta e armários.
No final da ação, eles apreenderam um notebook, um HD externo e mais 3 HDs de máquinas que estavam no quarto.
Os policiais não eram peritos, não fizeram hash dos discos e nem se preocuparam em embalar os equipamentos adequadamente. Por sorte, meu irmão conseguiu alguns sacos antiestático e espumas para embalar e proteger os equipamentos.
Após a saída da PF, eu li com mais calma o mandado judicial e vi que o Thiago Silva estava sofrendo as mesmas acusações que eu e que possivelmente também estava ocorrendo naquele momento uma busca e apreensão na casa dele (sim, aconteceu).
O Thiago foi envolvido porque segundo o mandado judicial, ele era o responsável pelo domínio mundobugado.org onde a página modificada da ANP teria sido hospedada. Esse domínio foi registrado pelo Thiago para que eu, ele e a Yaso hospedássemos coisas relativas ao trabalho que estávamos fazendo para o Ministério da Justiça em 2011.
No mandado judicial listava o número do processo na Justiça. Com ele eu consegui ver toda a movimentação que até então estava acontecendo em segredo de justiça.
A busca e apreensão foi feita 3 anos e 20 dias (1.116 dias) após a suposta alteração da página da ANP.
O Inquérito Policial
Depois de esperar 53 dias (desde a busca e apreensão) por notícias sobre o Inquérito Policial, no dia 17 de Junho de 2014 o Ariel Foina, nosso advogado, conseguiu pegar uma cópia do processo que até essa data possuía 202 páginas.
Como o Inquérito Policial ainda é Segredo de Justiça, nesse momento eu não posso entrar em muitos detalhes. Espero um dia publicar o passo-a-passo com links para cada PDF com tudo que aconteceu. Mas por hora, para contar como desenrolou essa história, vou dividi-la nas seguintes fases:
- Um breve contexto
- Investigação interna da ANP
- Polícia Federal e INTERPOL
- Instauração do Inquérito Policial
- Pedido de Restituição
- Ministério Público pede o arquivamento
- Depoimento
- Justiça Federal arquiva o processo
- Recebi minhas coisas de volta
Um breve contexto
Em Abril de 2011, eu descobri uma falha (XSS) no site da Agência Nacional do Petróleo (ANP). Não era uma falha crítica porque só era vista se você acessasse o site da ANP através de um endereço de internet com parâmetros extras (iframe), e portanto não era uma mudança definitiva. O site permanecia inalterado se acessado pelo endereço habitual, não havia cópia e nem alteração de dados e sim uma espécie de maquiagem que modificava o visual.
Não sou um especialista em segurança e contei como descobri essa falha aqui mesmo nesse Blog: Agência Nacional do Petróleo (ANP) e o Mundo Bugado.
Como sou curioso, procurei se outros órgãos do governo e empresas privadas possuíam a mesma falha. Não é que achei?!
.gov.br:
- Brazilian Tourism Portal (Ministério do Turismo)
- CAIXA (O banco que acredita nas pessoas)
- CEB (Companhia Energética de Brasília)
- Domínio Público (Ministério da Educação)
- Embratur (Ministério do Turismo)
- MF (Ministério da Fazenda)
- MINC (Ministério da Cultura
- MMA (Ministério do Meio Ambiente)
- MME (Ministério de Minas e Energia)
- MDA (Ministério do Desenvolvimento Agrário)
- MCT (Ministério da Ciência e Tecnologia)
- Portal da Transparência (Presidência)
- Plataforma Lattes (CNPq)
- SINDEC (Sistema Nacional de Informações de Defesa do Consumidor)
- TCU (Tribunal de Contas da União)
Jornal/TV:
- Estadão
- Carta Maior
- O TEMPO
- Diário de São Paulo
- Terra
- Rede Minas
Nesse momento eu fiz um outro post com o título Segurança Nacional, que enviei por email para todos os órgãos e empresas alertando sobre o problema. Até fui mencionado em alguns veículos de comunicação:
- Sites da Caixa e de mais 10 órgãos do governo federal têm falha de segurança
- Falha? Que falha?
- “Hackers do bem” desaprovam colegas que atacaram sites governamentais
- Hacker revela problema de segurança nacional
Durante a entrevista que concedi a Rede Brasil Atual me perguntaram se eu tinha testado a falha em outros sites de bancos além da CAIXA, eu respondi que não, que a minha intenção era testar os sites dos Ministérios. Mas quando cheguei em casa (já falei que sou curioso) comecei a testar em alguns bancos. E não é que mais uma vez eu encontrei?!
Bancos:
- Banco Alfa
- BRB (Banco de Brasília)
- BANESE (Banco do Estado de Sergipe)
- BANESTES (Banco do Estado do Espírito Santo)
- BANRINSUL (Banco do Estado do Rio Grande do Sul)
- BRP (Banco Ribeirão Preto)
- BSMB (Banco Sumitomo Mitsui Brasileiro)
.gov.br:
- ANVISA (Agência Nacional de Vigilância Sanitária)
- TCEMG (Tribunal de Contas do Estado de Minas Gerais)
Outras empresas:
- IG
- UNIMED
Fiz um terceiro post com o título Vários bancos com falha de segurança (A saga continua). Tomei o cuidado de ligar para todos os bancos e registrar que eu havia encontrado uma falha, porque mesmo sendo boba, ela poderia ser usada para tirar algum tipo de vantagem.
Investigação interna da ANP
Por volta do dia 5 de Abril de 2011, a Assessoria de Inteligência da ANP fez uma investigação interna sobre o que ocorreu no Sistema de Preços.
Após uma troca de emails internos o Chefe da Assessoria de Inteligência da ANP envia no dia 10 de Maio de 2011 um pedido de investigação para o Superintendente da Polícia Federal do Rio de Janeiro (A Assessoria de Inteligência da ANP é sediada no Rio de Janeiro).
Polícia Federal e INTERPOL
No dia 19 de Julho de 2011, o Delegado Chefe da Delegacia de Defesa Institucional (DELINST) no Rio de Janeiro, tendo em vista as informações passadas pelo Núcleo de Prevenção e Repressão de Crimes via Internet (NUNET), decide encaminhar um pedido para a Regional da INTERPOL do Rio de Janeiro para obter os registros de criação e atualização dos sites: metaldot.alucinados.com e mundobugado.org.
Instauração do Inquérito Policial
No dia 30 de Janeiro de 2012, uma Delegada da COR/SR/DF encaminha para a Corregedora da PF um despacho para a instauração de Inquérito Policial.
No dia 10 de Fevereiro de 2012, foi selecionado o Delegado Chefe do Grupo de Repressão a Crimes Cibernéticos (GRCC) da Polícia Federal de Brasília para instaurar o Inquérito Policial.
No dia 11 de Novembro de 2013, o Delegado responsável pelo caso formaliza o nosso indiciamento e ainda pede pela a expedição de dois mandados, um de busca e apreensão e outro de condução coercitiva. As tipificações usadas para justificar foram atentado contra funcionamento do serviço de utilidade pública (art. 265) e dano qualificado contra o patrimônio da União (art. 163, p. único, III) ambos no Código Penal Brasileiro.
No dia 19 de Dezembro de 2013, uma Procuradora da República (Ministério Público Federal), aceita o pedido do Delegado Chefe do Grupo de Repressão a Crimes Cibernéticos (GRCC) da Polícia Federal de Brasília.
No dia 14 de Fevereiro de 2014, o Juiz Federal da 10ª VF/SJDF aceita a busca e apreensão e nega a medida coercitiva.
No dia 25 de Abril de 2014 foi executada a busca e apreensão.
Pedido de Restituição
No dia 09 de Setembro de 2014, o Ariel Foina, nosso advogado entrou com o pedido de restituição.
Intimação para depoimento
No dia 11 de Agosto de 2015 eu recebi uma intimação com data e hora para comparecer na Superintendência Regional da Polícia Federal para “prestar esclarecimentos no interesse da Justiça“.
Ministério Público pede o arquivamento
No dia 31 de Agosto de 2015, o Ministério Público Federal pediu o arquivamento.
Depoimento
Dia 8 de Setembro de 2015, eu fui até a sede da Polícia Federal e prestei depoimento. Levei comigo o pedido de arquivamento do Ministério Público.
Justiça Federal arquiva o processo
No dia 08 de Março de 2016, o Juiz Federal da 10ª VF/SJDF promove o arquivamento do procedimento criminal.
Recebi minhas coisas de volta
Depois de 885 dias (2 anos, 5 meses e 1 dia) sem meus equipamentos, no dia 26 de Setembro de 2016 o Ariel Foina conseguiu pegar meus equipamentos apreendidos.
Total de 5 anos, 5 meses e 21 dias depois do “XSS” no site da ANP.