Não faça como a Secretaria da Fazenda de São Paulo
Publicado por Perfil removido em 06/12/2008
[ Hits: 7.953 ]
Não faça como a Secretaria da Fazenda de São Paulo
Hoje todos nós temos que nos preocupar com segurança da informação, com ela podemos tomar principalmente decisões, mas também cometer crimes. Por isso é fundamental que todo software que possua informações sensíveis tenha uma boa equipe de programadores, uma boa equipe de gestão de segurança e um código muito bem testado e estruturado.
Nesta dica vou ser um pouco mais específico, vou falar sobre o erro gravíssimo cometido pela Secretaria do Estado de São Paulo (daqui para frente vou chamar de apenas SF-SP).
A SF-SP é um dos órgãos públicos que possui uma quantidade imensurável de informações sensíveis, confidenciais, que devem ser exibidas apenas para seus titulares, salvo em circunstâncias especiais. Eles, por possuírem essas informações, tem por sua vez a obrigação de as manter seguras, a salvo de criminosos na Internet. Mas não é bem o que vem acontecendo.
Depois de quase um mês de reclamações sobre uma grande falha de segurança envolvendo informações sensíveis e robôs, perdi a minha paciência e decidi sair a público com a falha de segurança, que poderia ter sido corrigida, mesmo que de maneira paliativa em questão de minutos.
Ocorre que o site da IPVANet SF-SP não possui controle de quantidade de pesquisas por usuário (IP, login etc), nem um captcha (teste de idiota), apenas um controle de sessão muito complicado mas desvendável, não diria nem que se trata de uma proteção, mas de uma gambiarra. Isto possibilita que se usem robôs para que se capturem informações pessoais confidenciais, como CPF/CNPJ, Placa, Renavam, Chassi, informações do modelo etc.
Para que você não cometa os mesmos erros recomendo sempre aplicar um teste de idiota em formulários que retornam informações sensíveis e também um limitador de consultas por dia, minuto, hora (fica a seu critério), ou até mesmo ambos a depender do caso.
Para vocês que residem em São Paulo e querem saber mais sobre a falha para que possam se defender, segue o link do meu Blog, inclusive com o código que explora a falha:
Proteja-se, estão nem aí com suas informações
Nesta dica vou ser um pouco mais específico, vou falar sobre o erro gravíssimo cometido pela Secretaria do Estado de São Paulo (daqui para frente vou chamar de apenas SF-SP).
A SF-SP é um dos órgãos públicos que possui uma quantidade imensurável de informações sensíveis, confidenciais, que devem ser exibidas apenas para seus titulares, salvo em circunstâncias especiais. Eles, por possuírem essas informações, tem por sua vez a obrigação de as manter seguras, a salvo de criminosos na Internet. Mas não é bem o que vem acontecendo.
Depois de quase um mês de reclamações sobre uma grande falha de segurança envolvendo informações sensíveis e robôs, perdi a minha paciência e decidi sair a público com a falha de segurança, que poderia ter sido corrigida, mesmo que de maneira paliativa em questão de minutos.
Ocorre que o site da IPVANet SF-SP não possui controle de quantidade de pesquisas por usuário (IP, login etc), nem um captcha (teste de idiota), apenas um controle de sessão muito complicado mas desvendável, não diria nem que se trata de uma proteção, mas de uma gambiarra. Isto possibilita que se usem robôs para que se capturem informações pessoais confidenciais, como CPF/CNPJ, Placa, Renavam, Chassi, informações do modelo etc.
Para que você não cometa os mesmos erros recomendo sempre aplicar um teste de idiota em formulários que retornam informações sensíveis e também um limitador de consultas por dia, minuto, hora (fica a seu critério), ou até mesmo ambos a depender do caso.
Para vocês que residem em São Paulo e querem saber mais sobre a falha para que possam se defender, segue o link do meu Blog, inclusive com o código que explora a falha:
Proteja-se, estão nem aí com suas informações
Outras dicas deste autor
kinit: No resume image, doing normal boot...
"Tentando" fazer com que programas rodem no Wayland e no X11
Leitura recomendada
Gravar arquivos no Windows a partir do Ubuntu (NTFS)
Rodando um Debian Lenny bem facilitado
Editor Vim - Introdução e trabalhando com Vim
Comentários
[1] Comentário enviado por aroldobossoni em 06/12/2008 - 17:18h
A informatização do setor publico do estado de SP é uma piada.
Segurança não existe. Qualquer um consegue mexer na maioria dos sistemas de qual quer orgão publico. Basta querer.
A informatização do setor publico do estado de SP é uma piada.
Segurança não existe. Qualquer um consegue mexer na maioria dos sistemas de qual quer orgão publico. Basta querer.
[2] Comentário enviado por albertguedes em 06/12/2008 - 19:41h
Cara , nem sei o que dizer.
Este é um doa artigos mais sóbrios que já li no site, e extremamente de utilidade pública.
Pode ter certeza que isso vai ter um bom retorno.
Excelente.
Cara , nem sei o que dizer.
Este é um doa artigos mais sóbrios que já li no site, e extremamente de utilidade pública.
Pode ter certeza que isso vai ter um bom retorno.
Excelente.
[3] Comentário enviado por annakamilla em 07/12/2008 - 00:55h
realmente esse artigo é ótimo e serve para vermos como as coisas são em nosso pais. eles não tem o direito de tirar o dinheiro do nosso bolso sem fazer alguma coisa decente, não moro em são paulo mas dá para perceber que não é só na rua que não temos segurança, na Internet também.
realmente esse artigo é ótimo e serve para vermos como as coisas são em nosso pais. eles não tem o direito de tirar o dinheiro do nosso bolso sem fazer alguma coisa decente, não moro em são paulo mas dá para perceber que não é só na rua que não temos segurança, na Internet também.
[4] Comentário enviado por wizard.slack em 07/12/2008 - 10:28h
Quer que eles resolvam?
além da divulgacao pela net.
também temos que divulgar por outros meios de comunicacão..!!
absurdo a falta de competencia!
Quer que eles resolvam?
além da divulgacao pela net.
também temos que divulgar por outros meios de comunicacão..!!
absurdo a falta de competencia!
[5] Comentário enviado por gorlandi em 08/12/2008 - 13:37h
É tanta a falta de competência, que se esquecem que os dados deles mesmos estão para todos!!
É tanta a falta de competência, que se esquecem que os dados deles mesmos estão para todos!!
[6] Comentário enviado por franklincsilva em 24/06/2009 - 10:28h
Absurda mesmo a falta de competência!
Temos e precisamos tomar alguma atitude quanto a isto, não nossos dados, familia, trabalho e outros... que estão ou vão ser prejudicados com essa bagunça toda!
Absurda mesmo a falta de competência!
Temos e precisamos tomar alguma atitude quanto a isto, não nossos dados, familia, trabalho e outros... que estão ou vão ser prejudicados com essa bagunça toda!
Patrocínio
Site hospedado pelo provedor RedeHost.
Destaques
Artigos
Como gerar um podcast a partir de um livro em PDF
Automatizando digitação de códigos 2FA no browser
Resolver problemas de Internet
Como compartilhar a tela do Ubuntu com uma Smart TV (LG, Samsung, etc.)
Dicas
Como Instalar o Microsoft Teams no Linux Ubuntu
Músicas de Andrew Hulshult no DOOM (WAD)
Instalar o Apache, MySQL e PHP no Oracle Linux 8
Bloqueando telemetria no Deepin 23.1
Como converter imagens PNG/JPEG para SVG em linha de comando
Tópicos
Top 10 do mês
-
Xerxes
1° lugar - 73.592 pts -
Fábio Berbert de Paula
2° lugar - 55.560 pts -
Buckminster
3° lugar - 18.791 pts -
Mauricio Ferrari
4° lugar - 17.108 pts -
Alberto Federman Neto.
5° lugar - 15.005 pts -
Daniel Lara Souza
6° lugar - 13.971 pts -
Diego Mendes Rodrigues
7° lugar - 13.445 pts -
edps
8° lugar - 13.364 pts -
Alessandro de Oliveira Faria (A.K.A. CABELO)
9° lugar - 13.265 pts -
Andre (pinduvoz)
10° lugar - 10.668 pts
Scripts
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
