e-SIC da Prefeitura de São Paulo tem falha de segurança
39 views
Skip to first unread message
Nitai Silva
Nov 4, 2012, 6:05:52 PM11/4/12
to thac...@googlegroups.com
Gente,
Alguns de vocês sabem que estou tramitando um pedido de acesso à informação pra conseguir os dados em GTFS da SPTrans.
Hoje fui enviar mais um recurso e acabei descobrindo que o sistema tem uma falha de segurança. a falha é a mesma que o Pedro encontrou no e-SIC do governo federal. A mesminha! Ela permite que a pessoa autenticada consiga navegar pelos pedidos dos outros usuários, apenas trocando o número do pedido na URL.
Façam aí o teste. Entrem em http://e-sic.prefeitura.sp.gov.br/ se autentiquem e acessem o meu pedido http://e-sic.prefeitura.sp.gov.br/detalhes_pedido.aspx?id=10
Depois naveguem nos outros trocando apenas o final da URL.
Fica o alerta pra prefeitura!
[]s
Nitai
ps. acabei não conseguindo enviar o recurso. Não apareceu o botão!
Daniela Mattern
Nov 4, 2012, 6:10:39 PM11/4/12
to thac...@googlegroups.com
acho que o desenvolvedor não concordou com o sistema ficar fechado e deixou essa opção pra aumentar a transparência ... ;)
--
Daniela Mattern
Coordenadora Geral
IT3S - Instituto de Fomento à Tecnologia do Terceiro Setor
Rua Emiliano Cardoso de Mello, 34
Vila Butantã
CEP: 05360-000
São Paulo - SP
Brasil
Fone: 0055-11-34768025
Celular: 0055-11-987 356 563
Siga nosso Twitter | Acompanhe nosso Facebook
mootiro.org
2012/11/4 Nitai Silva <nitaib...@gmail.com>
--
Você recebeu esta mensagem porque está cadastrado no grupo "Transparência Hacker"
Para enviar uma mensagem a todo o grupo, escreva para thac...@googlegroups.com
Para não receber mais mensagens, envie um email para thackday+u...@googlegroups.com
Para mais informações, ou para ler mensagens arquivadas deste grupo, visite http://groups.google.com/group/thackday?hl=pt-BR
Daniela Mattern
Coordenadora Geral
IT3S - Instituto de Fomento à Tecnologia do Terceiro Setor
Rua Emiliano Cardoso de Mello, 34
Vila Butantã
CEP: 05360-000
São Paulo - SP
Brasil
Fone: 0055-11-34768025
Celular: 0055-11-987 356 563
Siga nosso Twitter | Acompanhe nosso Facebook
mootiro.org
Diego Rabatone
Nov 4, 2012, 6:12:26 PM11/4/12
to Transparência Hacker
Nitai, só lembrando que de acordo com a proposta de alteração do Código Penal para incluir as tipificações de crimes usando meios tecnológicos isso que você fez é um crime passível de prisão..... (Só pra jogar o tema).....
--------------------------------
Diego Rabatone Oliveira
diraol(arroba)diraol(ponto)eng(ponto)br
Identica: (@diraol) http://identi.ca/diraol
Twitter: @diraol
--------------------------------
Diego Rabatone Oliveira
diraol(arroba)diraol(ponto)eng(ponto)br
Identica: (@diraol) http://identi.ca/diraol
Twitter: @diraol
Nitai Silva
Nov 4, 2012, 6:17:41 PM11/4/12
to thac...@googlegroups.com
Boa Diego. Me explica melhor. Foi crime eu trocar o id da URL, eu ler o pedido de outra pessoa, ou eu divulgar publicamente que existe e como replicar o problema no sistema público? Ou tudo é crime?
Daniela Mattern
Nov 4, 2012, 6:19:45 PM11/4/12
to thac...@googlegroups.com
Patrícia Cornils
Nov 4, 2012, 6:20:58 PM11/4/12
to thac...@googlegroups.com
oxe! (acabei de ver Gonzaga).Patrícia Cornils
11 8372-7473
11 8372-7473
Diego Rabatone
Nov 4, 2012, 6:22:31 PM11/4/12
to Transparência Hacker
Nitai, segue um quadro resumo do projeto:
- Acho que você se enquadraria no artigo de "Invasão de Sistema" (Art. 209).
--------------------------------
Diego Rabatone Oliveira
diraol(arroba)diraol(ponto)eng(ponto)br
Identica: (@diraol) http://identi.ca/diraol
Twitter: @diraol
- Acho que você se enquadraria no artigo de "Invasão de Sistema" (Art. 209).
| Quadro Resumido | |
|---|---|
|
Stalking |
|
|
Cyberbullying |
|
|
Fraude Informática |
|
|
Invasão de Sistema |
|
|
Defacement / Negação de Serviço |
|
--------------------------------
Diego Rabatone Oliveira
diraol(arroba)diraol(ponto)eng(ponto)br
Identica: (@diraol) http://identi.ca/diraol
Twitter: @diraol
Patrícia Cornils
Nov 4, 2012, 6:27:08 PM11/4/12
to thac...@googlegroups.com
... se tem um problema de segurança e vc aponta... o criminoso é vc...
Nitai Silva
Nov 4, 2012, 6:31:06 PM11/4/12
to thac...@googlegroups.com
E se eu não tivesse divulgado a falha aqui e tivesse informado à prefeitura, seria crime?
Daniela Mattern
Nov 4, 2012, 6:35:15 PM11/4/12
to thac...@googlegroups.com
não. - bom, seria interessante podemos conversar sobre isso com os responsaveis pelos sistemas. uma coisa que todos os sistemas carecem é a falta de um recurso pra relatar um bug.
isso compromete a usabilidade dos sistemas, sua segurança e o avança da implementação da lei de acesso.
Nitai Silva
Nov 4, 2012, 6:46:09 PM11/4/12
to thac...@googlegroups.com
Sem dúvida Daniele. A falta do botão pro recurso me parece um bug também!
Mas voltando à questão do crime. Não é crime se eu não divulgasse aqui? Mas eu teria que ter acessado, mesmo que pra descobrir e informar à SPTrans.
Daniela Mattern
Nov 4, 2012, 6:49:00 PM11/4/12
to thac...@googlegroups.com
ué, é possível e até um certo ponto normal que sistemas possuem problemas de segurança - tudo bem, esse bug é muito grave é básico, ele deveria ser descoberto pela equipe que testou o sistema antes de lançar.
mas se vc encontra o bug é necessário que você o informa para os administradores do sistema. assim você colabora com a melhoria do sistema. isso não é crime.
2012/11/4 Nitai Silva <nitaib...@gmail.com>
Diego Rabatone
Nov 4, 2012, 7:44:26 PM11/4/12
to Transparência Hacker
Sinceramente, querem a minha leitura da situação? As pessoas que fizeram e pensaram a lei legislariam que isso foi sim um crime. Não está escrito em lugar nenhum que o crime é "acessar com más intenções" ou "acessar e causar danos", mas sim "acessar".
Sim, a lei é absurda. Mas o que esperar de alguém que não vivencia o mundo digital e quer legislar sobre o mesmo? Ou de pessoas que defendem um modelo absolutamente restrito?
Não se esqueçam que estamos no Brasil, o país que mais faz requisições de remoção de conteúdo ao google.
--------------------------------
Diego Rabatone Oliveira
diraol(arroba)diraol(ponto)eng(ponto)br
Identica: (@diraol) http://identi.ca/diraol
Twitter: @diraol
Sim, a lei é absurda. Mas o que esperar de alguém que não vivencia o mundo digital e quer legislar sobre o mesmo? Ou de pessoas que defendem um modelo absolutamente restrito?
Não se esqueçam que estamos no Brasil, o país que mais faz requisições de remoção de conteúdo ao google.
--------------------------------
Diego Rabatone Oliveira
diraol(arroba)diraol(ponto)eng(ponto)br
Identica: (@diraol) http://identi.ca/diraol
Twitter: @diraol
Nitai Silva
Nov 4, 2012, 8:21:32 PM11/4/12
to thac...@googlegroups.com
Ok!
Então pra evitar má interpretações da minha mensagem: aqueles que tiverem contato com a equipe responsável pelo e-sic da prefeitura de são paulo, os informem do problema.
[]s
n
2012/11/4 Diego Rabatone <dir...@diraol.eng.br>
Diego Rabatone
Nov 4, 2012, 8:23:05 PM11/4/12
to Transparência Hacker
hehehe.... Só pra destacar que essa é a leitura que eu acho que os juristas e legisladores brasileiros fariam.... não é a minha opinião pessoal sobre o tema!!!
Mas, como essa legislação ainda não foi aprovada, mandemos ver! Let's find the bugs!
Aliás, esse é um bug que deveria virar uma feature-request.... rs
--------------------------------
Diego Rabatone Oliveira
diraol(arroba)diraol(ponto)eng(ponto)br
Identica: (@diraol) http://identi.ca/diraol
Twitter: @diraol
Mas, como essa legislação ainda não foi aprovada, mandemos ver! Let's find the bugs!
Aliás, esse é um bug que deveria virar uma feature-request.... rs
--------------------------------
Diego Rabatone Oliveira
diraol(arroba)diraol(ponto)eng(ponto)br
Identica: (@diraol) http://identi.ca/diraol
Twitter: @diraol
yaso
Nov 5, 2012, 5:33:57 AM11/5/12
to thac...@googlegroups.com
Aliás,
vou aproveitar a thread porque o senado acabou de aprovar a lei carolina dieckmann, que, entre outras maravilhas, coloca um pedacinho do AI-5 digital do azeredo no texto do CODIGO PENAL.
Olhem esse trecho mal escrito:
"devassar dispositivo informático alheio, conectado ou não à rede de computadores, mediante violação indevida de mecanismo de segurança e com o fim de obter, adulterar ou destruir dados ou informações sem autorização expressa ou tácita do titular do dispositivo,"
Imaginem a discussão sobre o que seria "devassar dispositivo informático alheio" e "violação de mecanismo de segurança" com o "fim de obter dados".
(http://www.senado.gov.br/atividade/materia/Consulta_Parl.asp?RAD_TIP=PLC&Tipo_Cons=16&FlagTot=1&p_cod_senador=4994&p_cod_comissao=)
Detalhe: esse trem é do Paulo Teixeira.
yaso
vou aproveitar a thread porque o senado acabou de aprovar a lei carolina dieckmann, que, entre outras maravilhas, coloca um pedacinho do AI-5 digital do azeredo no texto do CODIGO PENAL.
Olhem esse trecho mal escrito:
"devassar dispositivo informático alheio, conectado ou não à rede de computadores, mediante violação indevida de mecanismo de segurança e com o fim de obter, adulterar ou destruir dados ou informações sem autorização expressa ou tácita do titular do dispositivo,"
Imaginem a discussão sobre o que seria "devassar dispositivo informático alheio" e "violação de mecanismo de segurança" com o "fim de obter dados".
(http://www.senado.gov.br/atividade/materia/Consulta_Parl.asp?RAD_TIP=PLC&Tipo_Cons=16&FlagTot=1&p_cod_senador=4994&p_cod_comissao=)
Detalhe: esse trem é do Paulo Teixeira.
yaso
Pedro Markun
Nov 5, 2012, 10:10:45 AM11/5/12
to thac...@googlegroups.com, Otavio Moreira de Castro Neves
Opa,
é a mesma feature que tinha no site da CGU e que eles desabilitaram depois que a gente avisou =/
Tomara que na prefeitura eles entendam o valor disso e ao invés de desabilitar a feature eles dêem visibilidade pra ela na página inicial e tragam mais transparência pro processo!
abs,
Pedro Markun
é a mesma feature que tinha no site da CGU e que eles desabilitaram depois que a gente avisou =/
Tomara que na prefeitura eles entendam o valor disso e ao invés de desabilitar a feature eles dêem visibilidade pra ela na página inicial e tragam mais transparência pro processo!
abs,
Pedro Markun
2012/11/4 Nitai Silva <nitaib...@gmail.com>
--
Reply all
Reply to author
Forward
0 new messages