Criminosos compram acesso a banco de dados de segurança pública do Brasil – alguma novidade ?

Li a reportagem abaixo, publicada pelo IDGNOW, e só posso dizer uma coisa “alguma novidade”?

Reportagem exibida pelo SBT afirma que existe um esquema de venda de senhas do maior banco de dados de Segurança Pública do Brasil, o Infoseg. A denúncia foi feita ao SBT Brasil por um hacker, que não teve o nome divulgado.

O sistema contém dados de milhões de cidadãos brasileiros, como informações sobre vigilância, mandados de prisão, armas de fogo e registros de veículo, e seu acesso é restrito a agentes nacionais de Segurança Pública, Justiça e Fiscalização.

Segundo a reportagem, um cracker da Bahia invadiu o sistema ao inserir as credenciais de um policial no portal do Ministério da Justiça. Com as credenciais preenchidas, o acesso ao Infoseg é liberado.

Os criminosos interessados no serviço devem pagar 2 mil reais para conseguir esses dados que garantem acesso ao Infoseg durante o período de 30 dias. Ainda de acordo com a reportagem, quem compra o serviço tem como objetivo conseguir dados para fraudar documentos, placas de carros ou aplicar golpes com as informações conseguidas com o sistema.

A reportagem do SBT Brasil comprou uma senha e recebeu os dados de login da soldado Luciana Marques, policial militar em Maceió (AL) – ela negou ter vendido suas informações. O hacker disse que, provavelmente, a PM não saiba do vazamento.

Os dados dos cidadãos são obtidos digitando o CPF da pessoa no sistema.

Em 2008 o SBT também relatou outro esquema de venda de senhas do Infoseg. À época, a polícia prendeu cerca de 50 envolvidos no esquema, em cinco estados.

Como eu disse na entrevista concedida para InfoExame “O maior problema com a segurança da informação dentro dos governos está com as pessoas, e não com os sistemas ou redes.” Então, temos a seguinte equação “dinheiro + alguém corrupto = invasão nos sistema do governo”

Vejam, o que são R$ 2500,00 para um criminoso ? Para uma pessoa que deseja acompanhar os mandados de busca e apreensão conta si e seus associados ?

O engraçado é que ontem, uma amiga havia me dito que tinha acesso a este sistema, graças a um conhecido, dela, ex-policial.

Ele o utiliza para passar informações para “clientes”, visando saber se a vítima, vamos colocar desta forma, possui alguma pendência financeira ou criminal já que as informações do infosec são quase que completas.

Digo isso porque descobri uma falha no processo de busca e apreensão feito pela polícia de todo o país. Mas isso é papo para outro post.

Será que poderei falar a respeito sobre no hackingday2013 ? Garanta já o seu ingresso porque o último lote está quase no fim

Esqueci de falar a parte mais importante, em minha opinião que é, como resolver o problema. Sim, é isso mesmo que vocês estão lendo. É fácil falar que o sistema x possui uma vulnerabilidade. Isso todo mundo já sabe. Mas e como resolvê-la ? Isso são poucas as pessoas que se atrevem a responder.

Acho que cai no mesmo caso do caseiro da caixa econômica federal. Aquele em que o ministro da fazenda acabou entregando o cargo devido a quebra do sigilo bancário de um funcionário por alguém de alta patenten do governo, mas sem a devida autorização da justiça. Coisa corriqueira, cai entre nós, mas que derrubou um ministro.

Os investigadores do caso acabaram achando o responsável pela quebra de sigilo investigando os logs dos sistemas e colocando-os na parede até encontrarem os autores do ato.

Daí vem uma outra pergunta ? Como fazer isso, uma auditoria em um sistema, em que pode haver mais corruptos do que em toda Brasília reunida acessando-o ? Cortando os acessos e verificando os pontos de falha ?

Não, isso iria travar toda justiça. O jeito seria criar um outro sistema, onde o mesmo teria o conjunto de duas senhas, a primeira de uso pessoal e asegunda teria que ser requerida e liberada no momento, mais por um prazo de x minutos. 20 no máximo.

Acredito que isso ajudaria e muito.