Li a reportagem abaixo, publicada pelo IDGNOW, e só posso dizer uma coisa “alguma novidade”?
Reportagem exibida pelo SBT afirma que existe um esquema de venda de senhas do maior banco de dados de Segurança Pública do Brasil, o Infoseg. A denúncia foi feita ao SBT Brasil por um hacker, que não teve o nome divulgado.
O sistema contém dados de milhões de cidadãos brasileiros, como informações sobre vigilância, mandados de prisão, armas de fogo e registros de veículo, e seu acesso é restrito a agentes nacionais de Segurança Pública, Justiça e Fiscalização.
Segundo a reportagem, um cracker da Bahia invadiu o sistema ao inserir as credenciais de um policial no portal do Ministério da Justiça. Com as credenciais preenchidas, o acesso ao Infoseg é liberado.
Os criminosos interessados no serviço devem pagar 2 mil reais para conseguir esses dados que garantem acesso ao Infoseg durante o período de 30 dias. Ainda de acordo com a reportagem, quem compra o serviço tem como objetivo conseguir dados para fraudar documentos, placas de carros ou aplicar golpes com as informações conseguidas com o sistema.
A reportagem do SBT Brasil comprou uma senha e recebeu os dados de login da soldado Luciana Marques, policial militar em Maceió (AL) – ela negou ter vendido suas informações. O hacker disse que, provavelmente, a PM não saiba do vazamento.
Os dados dos cidadãos são obtidos digitando o CPF da pessoa no sistema.
Em 2008 o SBT também relatou outro esquema de venda de senhas do Infoseg. À época, a polícia prendeu cerca de 50 envolvidos no esquema, em cinco estados.
Como eu disse na entrevista concedida para InfoExame “O maior problema com a segurança da informação dentro dos governos está com as pessoas, e não com os sistemas ou redes.” Então, temos a seguinte equação “dinheiro + alguém corrupto = invasão nos sistema do governo”
Vejam, o que são R$ 2500,00 para um criminoso ? Para uma pessoa que deseja acompanhar os mandados de busca e apreensão conta si e seus associados ?
O engraçado é que ontem, uma amiga havia me dito que tinha acesso a este sistema, graças a um conhecido, dela, ex-policial.
Ele o utiliza para passar informações para “clientes”, visando saber se a vítima, vamos colocar desta forma, possui alguma pendência financeira ou criminal já que as informações do infosec são quase que completas.
Digo isso porque descobri uma falha no processo de busca e apreensão feito pela polícia de todo o país. Mas isso é papo para outro post.
Será que poderei falar a respeito sobre no hackingday2013 ? Garanta já o seu ingresso porque o último lote está quase no fim
Esqueci de falar a parte mais importante, em minha opinião que é, como resolver o problema. Sim, é isso mesmo que vocês estão lendo. É fácil falar que o sistema x possui uma vulnerabilidade. Isso todo mundo já sabe. Mas e como resolvê-la ? Isso são poucas as pessoas que se atrevem a responder.
Acho que cai no mesmo caso do caseiro da caixa econômica federal. Aquele em que o ministro da fazenda acabou entregando o cargo devido a quebra do sigilo bancário de um funcionário por alguém de alta patenten do governo, mas sem a devida autorização da justiça. Coisa corriqueira, cai entre nós, mas que derrubou um ministro.
Os investigadores do caso acabaram achando o responsável pela quebra de sigilo investigando os logs dos sistemas e colocando-os na parede até encontrarem os autores do ato.
Daí vem uma outra pergunta ? Como fazer isso, uma auditoria em um sistema, em que pode haver mais corruptos do que em toda Brasília reunida acessando-o ? Cortando os acessos e verificando os pontos de falha ?
Não, isso iria travar toda justiça. O jeito seria criar um outro sistema, onde o mesmo teria o conjunto de duas senhas, a primeira de uso pessoal e asegunda teria que ser requerida e liberada no momento, mais por um prazo de x minutos. 20 no máximo.
Acredito que isso ajudaria e muito.
Gustavo Henrique Serafim liked this on Facebook.
João Pedro Souza liked this on Facebook.
Patricia Lucena liked this on Facebook.
Jairo Master Zion liked this on Facebook.
Luiz Roberto Barreto Filho liked this on Facebook.
Jairo Alves liked this on Facebook.
Flavio Rafael liked this on Facebook.
Marcelo Julio Batista liked this on Facebook.
Marcio Serdeira liked this on Facebook.
Um token com certificado digital para cada pessoa com acesso ao Infoseg também ajudaria (ignorando o custo).
Hugo Piovesan Gonçalves liked this on Facebook.
boa..
Creio que a questão de desenvolvimento de um novo sistema um pouco mais seguro, não resolveria tanto o problema, se não houvesse um pouco mais de capacitação das pessoas que fazem acesso a eles. Mas a ideia do token também seria boa.
Abs!
creio que acesso ao sistema por biometria resolveria o problema.