Mundo Bugado, ANP, MP, PF e a INTERPOL

Ainda me lembro como se fosse ontem, há exatos 2 anos, 7 meses e 16 dias…

No dia 25 de Abril de 2014, 30 anos da aprovação das Diretas Já, fui acordado às 6h da manhã por policiais da Polícia Federal na casa do meu pai.

Eu estava dormindo quando meu pai bateu na porta do quarto e perguntou por mim. Eu logo pulei da cama e abri a porta preocupado. Quando abri a porta, o corredor estava cheio de policiais. Sem entender o que estava acontecendo olhei para o meu pai que falou: “Marcelo, tem alguns policiais aqui e eles querem te fazer algumas perguntas“.

Juro que a primeira coisa que me veio a cabeça era que eles precisavam da minha ajuda… Muita inocência da minha parte, porque ao dar o primeiro passo para fora do quarto um dos agentes da PF perguntou: “Você é o Marcelo? Você é hacker? Fica invadindo site do Governo?“.

Eles estavam com um mandado judicial em mãos que indeferia a medida coercitiva e deferia a busca e apreensão para colher provas ou me inocentar do crime que eu reconhecia ser o autor da alteração nas páginas da Agência Nacional do Petróleo (ANP).

Os seis policiais e mais duas testemunhas entram no quarto onde eu dormia para fazer o serviço. Um dos policiais ligou minha câmera fotográfica e tentou ver as fotos, enquanto os outros abriam cada gaveta e armários.

No final da ação, eles apreenderam um notebook, um HD externo e mais 3 HDs de máquinas que estavam no quarto.

Os policiais não eram peritos, não fizeram hash dos discos e nem se preocuparam em embalar os equipamentos adequadamente. Por sorte, meu irmão conseguiu alguns sacos antiestático e espumas para embalar e proteger os equipamentos.

Após a saída da PF, eu li com mais calma o mandado judicial e vi que o Thiago Silva estava sofrendo as mesmas acusações que eu e que possivelmente também estava ocorrendo naquele momento uma busca e apreensão na casa dele (sim, aconteceu).

O Thiago foi envolvido porque segundo o mandado judicial, ele era o responsável pelo domínio mundobugado.org onde a página modificada da ANP teria sido hospedada. Esse domínio foi registrado pelo Thiago para que eu, ele e a Yaso hospedássemos coisas relativas ao trabalho que estávamos fazendo para o Ministério da Justiça em 2011.

No mandado judicial listava o número do processo na Justiça. Com ele eu consegui ver toda a movimentação que até então estava acontecendo em segredo de justiça.

A busca e apreensão foi feita 3 anos e 20 dias (1.116 dias) após a suposta alteração da página da ANP.

O Inquérito Policial

Depois de esperar 53 dias (desde a busca e apreensão) por notícias sobre o Inquérito Policial, no dia 17 de Junho de 2014 o Ariel Foina, nosso advogado, conseguiu pegar uma cópia do processo que até essa data possuía 202 páginas.

Como o Inquérito Policial ainda é Segredo de Justiça, nesse momento eu não posso entrar em muitos detalhes. Espero um dia publicar o passo-a-passo com links para cada PDF com tudo que aconteceu. Mas por hora, para contar como desenrolou essa história, vou dividi-la nas seguintes fases:

Um breve contexto

Em Abril de 2011, eu descobri uma falha (XSS) no site da Agência Nacional do Petróleo (ANP). Não era uma falha crítica porque só era vista se você acessasse o site da ANP através de um endereço de internet com parâmetros extras (iframe), e portanto não era uma mudança definitiva. O site permanecia inalterado se acessado pelo endereço habitual, não havia cópia e nem alteração de dados e sim uma espécie de maquiagem que modificava o visual.

Não sou um especialista em segurança e contei como descobri essa falha aqui mesmo nesse Blog: Agência Nacional do Petróleo (ANP) e o Mundo Bugado.

Como sou curioso, procurei se outros órgãos do governo e empresas privadas possuíam a mesma falha. Não é que achei?!

.gov.br:

  • Brazilian Tourism Portal (Ministério do Turismo)
  • CAIXA (O banco que acredita nas pessoas)
  • CEB (Companhia Energética de Brasília)
  • Domínio Público (Ministério da Educação)
  • Embratur (Ministério do Turismo)
  • MF (Ministério da Fazenda)
  • MINC (Ministério da Cultura
  • MMA (Ministério do Meio Ambiente)
  • MME (Ministério de Minas e Energia)
  • MDA (Ministério do Desenvolvimento Agrário)
  • MCT (Ministério da Ciência e Tecnologia)
  • Portal da Transparência (Presidência)
  • Plataforma Lattes (CNPq)
  • SINDEC (Sistema Nacional de Informações de Defesa do Consumidor)
  • TCU (Tribunal de Contas da União)

Jornal/TV:

  • Estadão
  • Carta Maior
  • O TEMPO
  • Diário de São Paulo
  • Terra
  • Rede Minas

Nesse momento eu fiz um outro post com o título Segurança Nacional, que enviei por email para todos os órgãos e empresas alertando sobre o problema. Até fui mencionado em alguns veículos de comunicação:

Durante a entrevista que concedi a Rede Brasil Atual me perguntaram se eu tinha testado a falha em outros sites de bancos além da CAIXA, eu respondi que não, que a minha intenção era testar os sites dos Ministérios. Mas quando cheguei em casa (já falei que sou curioso) comecei a testar em alguns bancos. E não é que mais uma vez eu encontrei?!

Bancos:

  • Banco Alfa
  • BRB (Banco de Brasília)
  • BANESE (Banco do Estado de Sergipe)
  • BANESTES (Banco do Estado do Espírito Santo)
  • BANRINSUL (Banco do Estado do Rio Grande do Sul)
  • BRP (Banco Ribeirão Preto)
  • BSMB (Banco Sumitomo Mitsui Brasileiro)

.gov.br:

  • ANVISA (Agência Nacional de Vigilância Sanitária)
  • TCEMG (Tribunal de Contas do Estado de Minas Gerais)

Outras empresas:

  • IG
  • UNIMED

Fiz um terceiro post com o título Vários bancos com falha de segurança (A saga continua). Tomei o cuidado de ligar para todos os bancos e registrar que eu havia encontrado uma falha, porque mesmo sendo boba, ela poderia ser usada para tirar algum tipo de vantagem.

Investigação interna da ANP

Por volta do dia 5 de Abril de 2011, a Assessoria de Inteligência da ANP fez uma investigação interna sobre o que ocorreu no Sistema de Preços.

Após uma troca de emails internos o Chefe da Assessoria de Inteligência da ANP envia no dia 10 de Maio de 2011 um pedido de investigação para o Superintendente da Polícia Federal do Rio de Janeiro (A Assessoria de Inteligência da ANP é sediada no Rio de Janeiro).

Polícia Federal e INTERPOL

No dia 19 de Julho de 2011, o Delegado Chefe da Delegacia de Defesa Institucional (DELINST) no Rio de Janeiro, tendo em vista as informações passadas pelo Núcleo de Prevenção e Repressão de Crimes via Internet (NUNET), decide encaminhar um pedido para a Regional da INTERPOL do Rio de Janeiro para obter os registros de criação e atualização dos sites: metaldot.alucinados.com e mundobugado.org.

Instauração do Inquérito Policial

No dia 30 de Janeiro de 2012, uma Delegada da COR/SR/DF encaminha para a Corregedora da PF um despacho para a instauração de Inquérito Policial.

No dia 10 de Fevereiro de 2012, foi selecionado o Delegado Chefe do Grupo de Repressão a Crimes Cibernéticos (GRCC) da Polícia Federal de Brasília para instaurar o Inquérito Policial.

No dia 11 de Novembro de 2013, o Delegado responsável pelo caso formaliza o nosso indiciamento e ainda pede pela a expedição de dois mandados, um de busca e apreensão e outro de condução coercitiva. As tipificações usadas para justificar foram atentado contra funcionamento do serviço de utilidade pública (art. 265) e dano qualificado contra o patrimônio da União (art. 163, p. único, III) ambos no Código Penal Brasileiro.

No dia 19 de Dezembro de 2013, uma Procuradora da República (Ministério Público Federal), aceita o pedido do Delegado Chefe do Grupo de Repressão a Crimes Cibernéticos (GRCC) da Polícia Federal de Brasília.

No dia 14 de Fevereiro de 2014, o Juiz Federal da 10ª VF/SJDF aceita a busca e apreensão e nega a medida coercitiva.

No dia 25 de Abril de 2014 foi executada a busca e apreensão.

Pedido de Restituição

No dia 09 de Setembro de 2014, o Ariel Foina, nosso advogado entrou com o pedido de restituição.

Intimação para depoimento

No dia 11 de Agosto de 2015 eu recebi uma intimação com data e hora para comparecer na Superintendência Regional da Polícia Federal para “prestar esclarecimentos no interesse da Justiça“.

Ministério Público pede o arquivamento

No dia 31 de Agosto de 2015, o Ministério Público Federal pediu o arquivamento.

Depoimento

Dia 8 de Setembro de 2015, eu fui até a sede da Polícia Federal e prestei depoimento. Levei comigo o pedido de arquivamento do Ministério Público.

Justiça Federal arquiva o processo

No dia 08 de Março de 2016, o Juiz Federal da 10ª VF/SJDF promove o arquivamento do procedimento criminal.

Recebi minhas coisas de volta

Depois de 885 dias (2 anos, 5 meses e 1 dia) sem meus equipamentos, no dia 26 de Setembro de 2016 o Ariel Foina conseguiu pegar meus equipamentos apreendidos.

Total de 5 anos, 5 meses e 21 dias depois do “XSS” no site da ANP.

Atualizando a BIOS do ThinkPad X1 Carbon (Type 34xx)

Se você utiliza Debian (ou alguma variação dele) e quer atualizar a BIOS do seu ThinkPad X1 Carbon utilizando um pendrive, basta seguir os seguintes passos:

0) Dê uma olhada qual é a versão atual da sua BIOS:

dmidecode -t bios

1) Faça download da ISO da BIOS no site da Lenovo:

wget https://download.lenovo.com/pccbbs/mobiles/g6uj23us.iso

2) Instale o genisoimage:

aptitude install genisoimage

3) Crie a imagem a partir da ISO. Nesse exemplo eu fiz download da versão g6uj23us.iso:

geteltorito -o g6uj23us.img g6uj23us.iso

4) Grave a imagem gerada no pendrive. Cuidado! Lembre-se de verificar se o pendrive é o /dev/sdb:

dd if=g6uj23us.img of=/dev/sdb1

Agora é reiniciar o notebook, seguir os passos e atualizar a BIOS. Lembre-se de plugar o carregador e de não retirar o pendrive ou reiniciar o notebook no meio do processo. Você corre o risco de transformar seu notebook em um tijolo.

Políticos API

No final de 2015, conversando com o kov (Gustavo Noronha) sobre a minha vontade de criar o “Me representa” (um projeto onde qualquer cidadão poderia ver se o seu representante estava votando como ele esperava), ele comentou que tinha rabiscado uma ideia de ter em um único lugar todas as informações dos políticos e partidos Brasileiros (Esse é um dos grandes problemas que enfrentamos no OlhoNeles.org, porque toda vez que escrevemos um novo coletor precisamos mapear os políticos e os partidos novamente e ainda encontramos vários problemas para identificar os candidatos que muitas vezes são referenciados pelo apelido).

Ideias foram surgindo em volta do tema e a possibilidade de criar uma base de dados e uma linha do tempo de todos os candidatos e partidos políticos Brasileiros pulsaram forte na minha mente. Algo como um Curriculum Vitae do candidato. Qual ano ele foi eleito, qual não foi. Como foi a sua carreira, se ele começou como vereador, virou deputado estatual, prefeito, etc. Quantas vezes ele mudou de partido e quais foram, etc.

Pesquisei e vi que o TSE disponibilizava os dados em formato zip para cada ano. Abrindo o zip, existem vários arquivos em formato texto para cada Estado Brasileiro. Cada arquivo contém as informações sobre as eleições e os dados pessoais dos candidatos.

Sabendo onde estavam os dados eu poderia fazer download de todos os arquivos zip’s que eles disponibilizam (de 1945 até 2014) e processar todos eles, mas seriam várias horas gastas se mais alguém no mundo teve a mesma ideia e processou todos os arquivos.

Pesquisei novamente e vi que vários projetos utilizavam os “dados abertos” do TSE, mas todos eles faziam só a camada de visualização, não disponibilizavam uma forma onde eu poderia usar a base de dados já processada. Fiquei imaginando as inúmeras vezes e horas gastas para reprocessar esses dados em cada projeto devido a escolha do TSE em disponibilizar os dados em formato zip. Se tivessem feito uma API, não seria necessário processar os arquivos e ainda correr o risco de fazer algo errado. Acredito que esses dados seriam muito bem usados em Hackathons pelo país, por exemplo.

Como uma das nossa ideias era também fazer uma camada de API e deixar os dados realmente abertos, não demorou para que eu começasse a escrever uma versão inicial de uma API com os dados do TSE. O código da API é livre e pode ser testado aqui: http://politicos.olhoneles.org

 

Políticos API

Como quero validar a ideia rápido, a base da Politicos API é o framework Django. Por isso optei em usar o Tastypie, que é um framework Python poderoso e altamente personalizável de criação de APIs. Também usei o Swagger, que é uma representação simples mas poderosa de uma API RESTful.

 

Se você esta familiarizado com o Git, basta executar o seguinte comando para fazer download do código:

git clone https://github.com/olhoneles/politicos.git

Caso queria navegar no código fonte, acesse: https://github.com/olhoneles/politicos/

 

Para a primeira versão, coletei os dados das eleições de 2000 até 2014. Se não ocorreu erros, no total concorrem 1.150.792 candidatos únicos, sendo ​841.542 homens, ​309.117 mulheres e 133 não informaram o sexo.

Como uma API é voltada para desenvolvedores, também comecei a desenvolver uma visualização desses dados que pode ser acessada no endereço: http://olhoneles.github.io/politicos-react/

 

Politicos React.JS

 

O que é uma API?

A sigla API refere-se ao termo em inglês “Application Programming Interface” que significa em tradução livre para o português “Interface de Programação de Aplicativos”. Segundo a Wikipedia: “API é um conjunto de rotinas e padrões estabelecidos por um software para a utilização das suas funcionalidades por aplicativos que não pretendem envolver-se em detalhes da implementação do software, mas apenas usar seus serviços”.

 

Dados abertos

Segundo a Open Definition, dados abertos são dados que podem ser livremente utilizados, reutilizados e redistribuídos por qualquer pessoa – sujeitos, no máximo, à exigência de atribuição à fonte original e ao compartilhamento pelas mesmas licenças em que as informações foram apresentadas. (Fonte: Wikipedia)

Hackers criam site para ajudar na compreensão da prestação de contas dos deputados estaduais

Projeto de Gustavo Noronha e Marcelo Vieira analisa dados públicos da Assembleia Legislativa
por Paola Carvalho | 29 de Janeiro de 2014

Gustavo Noronha & Marcelo Jorge Vieira

Noronha (à esq.) e Vieira: orientação para os eleitores

Eles vêm tirando o sono dos deputados estaduais. Já receberam algumas ameaças, mas parecem não dar a mínima para as reclamações das autoridades. Os hackers Gustavo Noronha, de 30 anos, e Marcelo Vieira, de 32, querem mesmo é que todo mundo saiba como os parlamentares estão gastando os 20 000 reais mensais da verba indenizatória que serve para custear despesas de transporte, hospedagem e alimentação, entre outros itens – um dinheiro público sobre o qual devem prestar contas. A dupla criou, há quatro anos, o olhoneles.org, um site onde qualquer cidadão pode acompanhar os gastos de forma bem simples, o que não costuma ocorrer nos portais oficiais de transparência. A ideia foi de Noronha, em 2010, quando quis avaliar o comportamento dos candidatos à reeleição antes de decidir seu voto. No portal da Assembleia Legislativa de Minas Gerais, ele encontrou muitos números e poucas conclusões. “Os dados são individualizados e separados por mês, o que não permite ter uma visão geral do mandato ou fazer comparações”, afirma o programador de computadores. Sem se dar por vencido, ele convidou o amigo Vieira, também programador, para juntos criarem o que chama de “robozinho”, um aplicativo que entra no portal da assembleia e coleta os dados da execução orçamentária, que a casa é obrigada a divulgar on-line por força de uma lei federal. “O que fazemos é apresentar as mesmas informações em outros formatos, como por meio de tabelas e gráficos”, explica Noronha. Ele faz questão de frisar que não existe nenhum trabalho de análise em seu site. Mas, diante da “tradução” dos dados, fica fácil para qualquer eleitor tirar as próprias conclusões, como quem são os líderes no ranking da gastança (veja o quadro acima). No olhoneles.org, é possível ver as despesas por parlamentar, partido, fornecedor ou tipo de gasto.

Noronha e Vieira, que são funcionários de empresas privadas de tecnologia e costumam prestar serviços também de consultoria, usam as horas vagas para atualizar o site, que recebe hoje uma média de 200 visitantes por dia – número que, em ano eleitoral, tende a aumen­tar. Depois da experiência com a assembleia mineira, eles ampliaram o serviço e atualmente coletam também informações das câmaras municipais de Belo Horizonte e São Paulo, além de dados do Senado. Os dois já receberam até proposta de patrocínio, mas recusaram. “Não temos fins lucrativos”, diz Vieira. Muitos amigos apoiam o exercício de cidadania da dupla, mas há quem considere o trabalho uma perda de tempo um tanto perigosa. As ameaças – principalmente de processos contra eles – são frequentes, embora não exista nada no site que não seja público.

De vez em quando, os hackers deparam com casos suspeitos. Certa vez, pediram esclarecimentos a um parlamentar sobre pagamentos feitos a uma empresa cujo registro no Cadastro Nacional de Pessoa Jurídica (CNPJ) tinha o mesmo algarismo, o 5, repetido em seus catorze dígitos. Esperavam que a identifica­ção da “empresa cinco” fosse retificada. Mas o lançamento simplesmente desapareceu do sistema. “Há outras esquisitices, como notas seriadas e valor mensal fixo de combustível”, exemplifica Noronha. “Ainda vamos cruzar muitos dados”, promete Vieira. De fato, é um serviço público importante.

Números do atual mandato
De janeiro de 2011 até a última terça (21), as despesas com a verba indenizatória dos deputados estaduais mineiros somaram 46,1 milhões de reais

Os deputados que mais gastaram em milhares de reais

  • Adalclever Lopes (PMDB): 740,5
  • Adelmo Carneiro Leão (PR): 729,2
  • Rosângela Reis (PV): 723,0
  • Zé Maia (PSDB): 720,1
  • Alencar da Silveira Júnior (PDT): 720,0
  • Deiró Marra (PR): 720,0

Para onde foi o dinheiro em milhões de reais

  • Divulgação da atividade parlamentar: 14,529 31%
  • Locação e fretamento de veículos: 9,864 21%
  • Combustível e lubrificante: 8,447 18%
  • Serviços de consultoria, assessoria e pesquisa: 7,057 15%
  • Locação de imóvel e despesas de manutenção: 3,009 7%
  • Outros: 3,218 8%

Fonte: http://vejabh.abril.com.br/edicoes/hackers-criam-site-ajudar-compreensao-prestacao-contas-deputados-estaduais-771394.shtml

Movimente.me – Personal Trainer 2.0, Treinos Online e Fichas de Musculação

Após o rompimento da sociedade FITNOVA, eu, Rafael e César decidimos continuar com um novo projeto e um novo nome. Após alguns meses pensando, escolhemos o nome Movimente.me e a marca:

movimente.me

Conseguimos melhorar e muito a plataforma antiga. Mexemos na usabilidade de todas as páginas, na visualização e nos filtros do catálogo de exercícios e no layout. Lançamos o Movimente.me no dia 02 de Outubro de 2013. Por todo esse trabalho, eu gostaria de agradecer todas as pessoas que nos ajudaram a construir esse novo projeto, em especial Eduardo Loureiro, Marcos Paulo Machado, Guilherme Guerra, Lincoln de Sousa, Gustavo Noronha, VJ Pixel e Pablo Aguiar.

Como funciona?

Após cadastro no site, é necessário preencher um questionário com 15 perguntas para descobrirmos o seu nível de condicionamento físico atual. Terminando essa etapa, temos um segundo questionários com 8 perguntas sobre o objetivos do seu treino. Com os dois questionários respondidos, um treino é selecionado com as suas características. Daí é começar a treinar, movimente-se!

Sobre o Movimente.me:

Uma plataforma de Educação Física a distância que permite a organização, o controle e o acompanhamento para a prática de atividades físicas, podendo ser utilizada tanto por praticantes quanto por profissionais. Sendo onipresente para os usuários, além de simples e a um baixo custo.

Cuidado para não gerar uma legislação que só atenda uma demanda num momento de pânico

Primeiro prêmio da Fitnova

Fitnova – Personal Trainer 2.0, Treinos Online e Fichas de Musculação

Vários bancos com falha de segurança (A saga continua)

Segurança Nacional

Page 1 of 6

Powered by WordPress & Theme by Anders Norén