Páginas

dezembro 31, 2018

[Segurança] 5 anos de Roadsec

O pessoal da Flipside preparou um vídeo bem legal para celebrar os 5 anos de existência do Roadsec, trazendo depoimentos de várias pessoas que participaram dessa história:


O Roadsec inovou o mercado de segurança ao surgir como um evento itinerante, que visita várias cidades brasileiras no decorrer do ano e termina sempre com um mega-evento em São Paulo. Além de permitir que pessoas de quase todo o Brasil tenham acesso a conteúdo de qualidade, o Roadsec também popularizou várias oficinas pelo Brasil afora, e principalmente, popularizou e deu muita atenção as competições de Capture the Flag (CTF). Com o campeonato "HackaFlag" do Roadsec, os CTFs se espalharam pelo país e levaram conhecimento (e novas oportunidades de emprego) para muita gente.

Parabéns a todos que tornaram o Roadsec possível!

dezembro 29, 2018

[Segurança] E faz-se a "Autoridade Nacional de Proteção de Dados"

No apagar das luzes do governo Temer, ganhamos um pequeno presente de Natal: o governo lançou uma medida provisória regulamentando a Autoridade Nacional de Proteção de Dados, a entidade responsável por regulamentar e vigias vários aspectos da Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018, ou simplesmente "LGPD").

Ao sancionar a LGPD em agosto desse ano, o presidente Temer havia vetado os artigos referentes a criação da agência reguladora, criando uma legislação capenga, sem pé nem cabeça, aonde vários artigos faziam referência a uma entidade não existente. Caberia a agência, por exemplo, definir as multas para punir as empresas que permitissem o vazamento de dados.

A Medida Provisória Nº 869 vem tentar corrigir (ou atenuar) essa aberração jurídica.

Além da criação da ANPD, os principais pontos da MP 869 são os seguintes:
  • Passa a permitir a comunicação ou compartilhamento de dados pessoais sensíveis referentes à saúde nos casos de portabilidade de dados (mediante consentimento do titular) ou para a prestação de serviços de saúde suplementar (art. 11);
  • passa a permitir que o Poder Público transfira dados pessoais a entidades privadas nos casos previstos em leis, contratos ou convênios, ou na hipótese de prevenção de fraudes e irregularidades (art. 26);
  • a ANPD será composta por um Conselho Diretor (com 5 membros indicados pelo Presidente da República), um "Conselho Nacional de Proteção de Dados Pessoais e da Privacidade" (com 23 representantes não remunerados), além de Corregedoria e Ouvidoria;
    • "O projeto de lei original criava a ANPD ligada ao Ministério da Justiça, mas a MP 869 a deixou subordinada a Presidência;
    • a ANPD entra em vigor imediatamente (art. 65);
  • extende por mais 6 meses o período para a LGPD entrar em vigor, totalizando 2 anos desde a data de sua publicação. Assim, a LGPD só vai valer a partir de Agosto de 2020 (art. 65);
  • Deixa de existir a obrigação de informar o titular dos dados em casos de tratamento realizado pela administração pública (com a revogação dos parágrafos 1º e 2º do art. 7º).
A MP tem 4 artigos, aonde as principais alterações estão descritas no artigo primeiro. Como eu tenho feito aqui no blog toda vez que surge uma legislação pertinente, vou transcrever abaixo os trechos da MP que considero serem os mais relevantes para nós, profissionais de segurança da informação - até mesmo porque algumas alterações foram feitas para corrigir erros no texto original. Também coloquei algumas observações minhas, em itálico, para facilitar o entendimento.

Art. 1º A Lei nº 13.709, de 14 de agosto de 2018, passa a vigorar com as seguintes alterações:
(...)
"Art. 5º
(...)
XIX - autoridade nacional: órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento desta Lei."
(...)
"Art. 11. (nota: sobre o Do Tratamento de Dados Pessoais Sensíveis)
§ 4º É vedada a comunicação ou o uso compartilhado entre controladores de dados pessoais sensíveis referentes à saúde com objetivo de obter vantagem econômica, exceto nas hipóteses de:
I - portabilidade de dados quando consentido pelo titular; ou
II - necessidade de comunicação para a adequada prestação de serviços de saúde suplementar."
(...)
"Art. 26. (nota: sobre o "O uso compartilhado de dados pessoais pelo Poder Público")
§ 1º (nota: este parágrafo veda ao Poder Público transferir dados pessoais a entidades privadas, exceto nos casos abaixo)
III - se for indicado um encarregado para as operações de tratamento de dados pessoais, nos termos do art. 39;
IV - quando houver previsão legal ou a transferência for respaldada em contratos, convênios ou instrumentos congêneres;
V - na hipótese de a transferência dos dados objetivar a prevenção de fraudes e irregularidades, ou proteger e resguardar a segurança e a integridade do titular dos dados; ou
(...)
"Art. 55-A. Fica criada, sem aumento de despesa, a Autoridade Nacional de Proteção de Dados - ANPD, órgão da administração pública federal, integrante da Presidência da República." (Nota: aqui começa o capítulo sobre a ANPD, que havia sido vetado integralmente)
"Art. 55-B. É assegurada autonomia técnica à ANPD."
"Art. 55-C. ANPD é composta por:
I - Conselho Diretor, órgão máximo de direção;
II - Conselho Nacional de Proteção de Dados Pessoais e da Privacidade;
III - Corregedoria;
IV - Ouvidoria;
V - órgão de assessoramento jurídico próprio; e
VI - unidades administrativas e unidades especializadas necessárias à aplicação do disposto nesta Lei."
"Art. 55-D. O Conselho Diretor da ANPD será composto por cinco diretores, incluído o Diretor-Presidente.
§ 1º Os membros do Conselho Diretor da ANPD serão nomeados pelo Presidente da República e ocuparão cargo em comissão do Grupo-Direção e Assessoramento Superior - DAS de nível 5."
(...)
§ 3º O mandato dos membros do Conselho Diretor será de quatro anos.
(...)
"Art.55-G. Ato do Presidente da República disporá sobre a estrutura regimental da ANPD.
Parágrafo único. Até a data de entrada em vigor de sua estrutura regimental, a ANPD receberá o apoio técnico e administrativo da Casa Civil da Presidência da República para o exercício de suas atividades."
(...)
"Art. 55-J. Compete à ANPD:
I - zelar pela proteção dos dados pessoais;
II - editar normas e procedimentos sobre a proteção de dados pessoais;
III - deliberar, na esfera administrativa, sobre a interpretação desta Lei, suas competências e os casos omissos;
IV - requisitar informações, a qualquer momento, aos controladores e operadores de dados pessoais que realizem operações de tratamento de dados pessoais;
V - implementar mecanismos simplificados, inclusive por meio eletrônico, para o registro de reclamações sobre o tratamento de dados pessoais em desconformidade com esta Lei;
VI - fiscalizar e aplicar sanções na hipótese de tratamento de dados realizado em descumprimento à legislação, mediante processo administrativo que assegure o contraditório, a ampla defesa e o direito de recurso;
VII - comunicar às autoridades competentes as infrações penais das quais tiver conhecimento;
VIII - comunicar aos órgãos de controle interno o descumprimento do disposto nesta Lei praticado por órgãos e entidades da administração pública federal;
IX - difundir na sociedade o conhecimento sobre as normas e as políticas públicas de proteção de dados pessoais e sobre as medidas de segurança;
X - estimular a adoção de padrões para serviços e produtos que facilitem o exercício de controle e proteção dos titulares sobre seus dados pessoais, consideradas as especificidades das atividades e o porte dos controladores;
XI - elaborar estudos sobre as práticas nacionais e internacionais de proteção de dados pessoais e privacidade;
XII - promover ações de cooperação com autoridades de proteção de dados pessoais de outros países, de natureza internacional ou transnacional;
XIII - realizar consultas públicas para colher sugestões sobre temas de relevante interesse público na área de atuação da ANPD;
XIV - realizar, previamente à edição de resoluções, a oitiva de entidades ou órgãos da administração pública que sejam responsáveis pela regulação de setores específicos da atividade econômica;
XV - articular-se com as autoridades reguladoras públicas para exercer suas competências em setores específicos de atividades econômicas e governamentais sujeitas à regulação; e
XVI - elaborar relatórios de gestão anuais acerca de suas atividades.
§ 1º A ANPD, na edição de suas normas, deverá observar a exigência de mínima intervenção, assegurados os fundamentos e os princípios previstos nesta Lei e o disposto no art. 170 da Constituição.
§ 2º A ANPD e os órgãos e entidades públicos responsáveis pela regulação de setores específicos da atividade econômica e governamental devem coordenar suas atividades, nas correspondentes esferas de atuação, com vistas a assegurar o cumprimento de suas atribuições com a maior eficiência e promover o adequado funcionamento dos setores regulados, conforme legislação específica, e o tratamento de dados pessoais, na forma desta Lei.
§ 3º A ANPD manterá fórum permanente de comunicação, inclusive por meio de cooperação técnica, com órgãos e entidades da administração pública que sejam responsáveis pela regulação de setores específicos da atividade econômica e governamental, a fim de facilitar as competências regulatória, fiscalizatória e punitiva da ANPD.
§ 4º No exercício das competências de que trata o caput, a autoridade competente deverá zelar pela preservação do segredo empresarial e do sigilo das informações, nos termos da lei, sob pena de responsabilidade.
§ 5º As reclamações colhidas conforme o disposto no inciso V do caput poderão ser analisadas de forma agregada e as eventuais providências delas decorrentes poderão ser adotadas de forma padronizada."
"Art. 55-K. A aplicação das sanções previstas nesta Lei compete exclusivamente à ANPD, cujas demais competências prevalecerão, no que se refere à proteção de dados pessoais, sobre as competências correlatas de outras entidades ou órgãos da administração pública.
Parágrafo único. A ANPD articulará sua atuação com o Sistema Nacional de Defesa do Consumidor do Ministério da Justiça e com outros órgãos e entidades com competências sancionatórias e normativas afetas ao tema de proteção de dados pessoais, e será o órgão central de interpretação desta Lei e do estabelecimento de normas e diretrizes para a sua implementação."
"Art. 58-A. O Conselho Nacional de Proteção de Dados Pessoais e da Privacidade será composto por vinte e três representantes, titulares suplentes, dos seguintes órgãos:
I - seis do Poder Executivo federal;
II - um do Senado Federal;
III - um da Câmara dos Deputados;
IV - um do Conselho Nacional de Justiça;
V - um do Conselho Nacional do Ministério Público;
VI - um do Comitê Gestor da Internet no Brasil;
VII - quatro de entidades da sociedade civil com atuação comprovada em proteção de dados pessoais;
VIII - quatro de instituições científicas, tecnológicas e de inovação; e
IX - quatro de entidades representativas do setor empresarial relacionado à área de tratamento de dados pessoais.
§ 1º Os representantes serão designados pelo Presidente da República.
§ 2º Os representantes de que tratam os incisos I a VI do caput e seus suplentes serão indicados pelos titulares dos respectivos órgãos e entidades da administração pública.
§ 3º Os representantes de que tratam os incisos VII, VIII e IX do caput e seus suplentes:
I - serão indicados na forma de regulamento;
II - terão mandato de dois anos, permitida uma recondução; e
III - não poderão ser membros do Comitê Gestor da Internet no Brasil.
§ 4º A participação no Conselho Nacional de Proteção de Dados Pessoais e da Privacidade será considerada prestação de serviço público relevante, não remunerada."
"Art. 58-B. Compete ao Conselho Nacional de Proteção de Dados Pessoais e da Privacidade:
I - propor diretrizes estratégicas e fornecer subsídios para a elaboração da Política Nacional de Proteção de Dados Pessoais e da Privacidade e para a atuação da ANPD;
II - elaborar relatórios anuais de avaliação da execução das ações da Política Nacional de Proteção de Dados Pessoais e da Privacidade;
III - sugerir ações a serem realizadas pela ANPD;
IV - elaborar estudos e realizar debates e audiências públicas sobre a proteção de dados pessoais e da privacidade; e
V - disseminar o conhecimento sobre a proteção de dados pessoais e da privacidade à população em geral."
"Art. 65. Esta Lei entra em vigor:
I - quanto aos art. 55-A, art. 55-B, art. 55-C, art. 55-D, art. 55-E, art. 55-F, art. 55-G, art. 55-H, art. 55-I, art. 55-J, art. 55-K, art. 58-A e art. 58-B, no dia 28 de dezembro de 2018; e
II - vinte e quatro meses após a data de sua publicação quanto aos demais artigos."

Art. 2º A Lei nº 13.502, de 1º de novembro de 2017, passa a vigorar com as seguintes alterações:
"Art. 2º
(...)
"SEÇÃO VI - A
DA AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS PESSOAIS
Art. 12-A. À Autoridade Nacional de Proteção de Dados Pessoais compete exercer as competências estabelecidas na Lei nº 13.709, de 14 de agosto de 2018."

Art. 3º Ficam revogados os seguintes dispositivos da Lei nº 13.709, de 2018:
I - o § 4º do art. 4º;
II - os § 1º e § 2º do art. 7º; e
III - o art. 62.

Art. 4º Esta Medida Provisória entra em vigor na data de sua publicação.

Brasília, 27 de dezembro de 2018; 197º da Independência e 130º da República.

Atualização (03/01/19): O governo Bolsonaro manteve a ANPD. Na Medida Provisória Nº 870, que define a organização básica dos Ministérios e dos órgãos subordinados a nova Presidência da República, ele cita, rapidamente, a existência da ANPD:
Autoridade Nacional de Proteção de Dados Pessoais
Art. 12. À Autoridade Nacional de Proteção de Dados Pessoais compete exercer as competências estabelecidas na Lei nº 13.709, de 14 de agosto de 2018.

Para saber mais:



dezembro 27, 2018

[Segurança] Retrospectiva 2018

2018 foi o ano da privacidade (para o bem e para o mal).

No Brasil e no mundo, o cenário de segurança da informação em 2018 foi dominado pelas notícias incessantes de vazamentos de dados. Nos Estados Unidos o ano acabou com um mega-vazamento de dados de 500 milhões de clientes da rede de hotéis Marriott, e já tem quem estime que o prejuízo pode alcançar 600 milhões de dólares. No Brasil, onde raramente víamos notícias de vazamentos de dados, neste ano fomos surpreendidos com uma avalanche, que incluiu bancos, lojas de e-commerce, etc. Vítimas incluiram a Boa Vista SCPC, Banco Inter, Stone Pagamentos, Movida, Netshoes, C&A, etc.

OBS (adicionada em 27/12): Nos EUA, até a NASA sofreu vazamento de dados!!!

Quem diria, a revista Veja criou uma página só para centralizar as Notícias sobre Vazamento de Dados!!!

Aqui no Brasil, o Ministério Público do Distrito Federal e Territórios (MPDFT) tomou as dores e começou a investigar e punir tais vazamentos (por exemplo, no caso da FIESP, da Stone, da C&A, e até mesmo da Marriott!). A propósito, recentemente soubemos que o Banco Inter fechou um acordo com o MPDFT para encerrar uma ação civil pública por vazamento de dados de clientes, e aceitou pagar 1,5 milhão de reais em indenização.  O comprometimento dos dados cadastrais foi anunciado em agosto desse ano e atingiu de 19.961 correntistas, dos quais 13.207 eram de dados bancários, como número da conta, senha, endereço, CPF e telefone. Cá entre nós, a conta saiu muito barato, não é?

Do outro lado dessa moeda, a preocupação com privacidade nunca esteve tão em voga, graças a legislações específicas que vimos neste ano: a entrada em vigor da GDPR na Europa e a aprovação da LGPD aqui no Brasil.

Eu me arrisco a dizer que em 2018 os demais tipos de ataques seguiram um ritmo "suave", sem grandes destaques nem grandes sustos. O ano começou muito mal, com o anúncio das vulnerabilidades Meltdown e Spectre, que prometiam causar o caos em toda a indústria de tecnologia. #SQN. O ano seguiu sem grandes notícias de infecção por ransomware, nem botnets formadas por dispositivos IoT causando tanta dor de cabeçaa quanto tivemos em 2017. Surpreendentemente, também falamos pouco sobre os ataques de negação de serviço (DDoS), que vinham em uma marcha crescente nos últimos anos. Essesataques continuam existindo, claro, e os ciber criminosos continuam ganhando muito dinheiro aqui e mundo afora, mas não tivemos um cenário de ameaças tão volumoso quanto nos anos anteriores.

Muito se falou sobre o surgimento de malwares especializados em mineração de moedas virtuais, mas provavelmente a grande queda constante da cotação do bitcoin durante 2018 deve ter desanimado essa galera e fez essa tendência não se concretizar.


Do ponto de vista do mercado corporativo de segurança, se falou como nunca de Blockchain e Machine Learning, mas na minha opinião, neste ano tivemos uma grande preocupação em como garantir uma melhor autenticação dos usuários. Os bancos parecem estar apostando em tecnologias de biometria facial, embora elas ainda precisem amadurecer um pouco bastante. Mas a busca por novas tecnologias de autenticação é o caminho que eu vejo os bancos seguirem atualmente para tentar reduzir o volume de fraudes e, ao mesmo tempo, fornecer uma solução que seja de fácil uso ou transparente para os clientes. No mundo corporativo, os Tokens FIDO estão ganhando espaço, e os tokens Yubikey viraram objeto de desejo dos profissionais mais antenados.

No mercado brasileiro, não podemos esquecer algumas coisinhas a mais:
  • As "fake news" foram um assunto que tiveram muito destaque em 2018, e bombaram durante as eleições presidenciais. Tá aí algo que veio para ficar :(
  • As "tretas" continuaram a todo o vapor! Muito ainda se zoou com a discussão sobre quem foi o fundador da H2HC e com o concurso "Competente Leaders" promovido pelo SecOps Infosec Army. Até a coincidência de data da Nullbyte e do Roadsec SP foi usado por alguns para tentar criar uma polarização entre os "profissionais rootz" e os mais lammers.

Para saber mais:

dezembro 26, 2018

[Segurança] SPAM nos comentários do Blog

Sim, há spammers que aproveitam a seção de comentários dos blogs para colocar anúncios (as vezes mais ou menos explícitos). Por exemplo, nos últimos 2 meses, eu recebi algumas tentativas de publicar spam:


A melhor forma para evitar ter seu blog usado para divulgar anúncios indesejados é colocar a moderação nos comentários. Ao receber um comentário no blog, temos a opção de publicar, apagar ou denunciar esse comentário como spam.

Feliz Natal! (Com charges)

Acho que todos os anos eu repito o quanto gosto dessa época, em que aproveitamos para celebrar as conquistas e renovar nossos sonhos e objetivos. Para mim, esse período de confraternização com a família e amigos é muito energizante!


Mas, nesse ano, o Natal teve um tempero geek a mais: há exatos 50 anos atrás, no Natal de 1968, os 3 astronautas da Apollo 8 estavam voando ao redor da Lua e tiveram a oportunidade de ver a Terra nascer no horizonte dela, e nessa hora o astronauta Bill Anders tirou uma foto que ficou para a história da humanidade!


A NASA batizou esse fenômeno de "Earthrise" ("nascer da Terra").

No final de 1968 a NASA fez a sua primeira missão com objetivo de colocar os astronautas em órbita ao redor da Lua, que abriu o caminho para o pouso na Lua. A Apollo 8 coincidiu com a época de Natal e foi o primeiro vôo a sair da órbita da Terra: eles foram até a Lua e lá permaneceram por 20 horas.Veja um pouco mais sobre essa história no site da NASA e no pequeno vídeo abaixo:


“A vasta solidão aqui da Lua é inspiradora e faz você perceber exatamente o que você tem lá na Terra. A Terra daqui é um grande oásis para a grande vastidão do espaço.” - Jim Lovell, astronauta da Apolo 8
Mas não precisa ser apaixonado por astronomia para curtir o Natal. Neste ano, a galera de TI aproveitou para celebrar essa data com algumas decorações bem especiais...




Tivemos até foto do Maddog vestido de Papai Noel:


E, nesse ano, ser Papai Noel não deve ter sido fácil...



Afinal, como comemorar o Natal em uma época em que o comportamento do Papai Noel pode ser facilmente comparado ao de um stalker, um hacker, uma agência de espionagem (como a NSA) e até mesmo o Facebook? Quem, desses personagens será que conhece melhor tudo o que fazemos?


É provável que o Papai Noel tenha problema com a GDPR no ano que vem...


O jeito mesmo é respirar fundo...


... e curtir a ceia de Natal com a família (e a eterna piada do Pavê).



PS/1: (adicionado em 26/12) Cuidado na hora de pedir os presentes de Natal...


PS/2: Lembre-se: se beber, não dirija!



dezembro 21, 2018

[Segurança] As piores senhas de 2018

A empresa SplashData divulga periodicamente uma lista com as piores senhas de 2018, baseado nos dados de senha contidos nos vazamentos de dados que aconteceram neste ano.

A lista é formada principalmente por senhas de usuários norte-americanos, por isso não estranha que entre as 25 primeiras encontram-se palavras e expressões em inglês, tais como "password" (2a senha mais usada), "iloveyou" (décima senha mais usada), "princess" (11a), "welcome" (13a) e até mesmo "donald" (23a colocada)  - talvez em referência ao presidente americano Donald Trump.

A lista com as 100 senhas mais fracas identificadas em 2018 é encabeçada pelas senhas abaixo:
  1. 123456
  2. password
  3. 123456789
  4. 12345678
  5. 1234
  6. 111111
  7. 1234567
  8. sunshine
  9. qwerty
  10. iloveyou
  11. princess
  12. admin
  13. welcome
  14. 666666
  15. abc123
  16. football
  17. 123123
  18. monkey
  19. 654321
  20. !@#$%^&*
  21. charlie
  22. aa123456
  23. donald
  24. password1
  25. qwerty123


Em uma rápida olhada na lista completa, fica evidente que os usuários ainda utilizam senhas baseadas em palavras simples e combinações triviais de letras e números.

Para exemplificar, eu peguei uma pequena amostra aleatória em uma lista de senhas com de dados de brasileiros que foi divulgada recentemente no Pastebin:


Nesse pequeno exemplo do mundo real podemos ver senhas triviais como "123456", "alterarsenha", "namorado" e "jesuscristo" :(

Para saber mais:

dezembro 19, 2018

[Carreira] Site Reliability Engineering

Preocupados em como garantir a correta gestão de seus sites, há poucos anos atrás o pessoal do Google teve a idéia de criar um grupo multidisciplinar responsável por isso. Enquanto a maioria das empresas deixam essas tarefas sob responsabilidade do time de Arquitetura e Operação dos sistemas, o Google criou o conceito de...

Site Reliability Engineering (SRE)


O Site Reliability Engineering (SRE), ou "Engenheiro de Confiabilidade de Sites" (em uma tradução livre), é um profissional com background em engenharia de software responsável por apoiar a resolução de problemas de operações de TI. Ou seja, eles atuam, de forma multidisciplinar na gestão e na automação do ambiente de tecnologia. Isso inclui participar de decisões de arquitetura, de desenvolvimento, de segurança - entre outras - interagindo com diversos times e garantindo que todos os times trabalhem de forma coesa.

O conceito de Site Reliability Engineering foi criado no Google em 2003, quando Ben Treynor foi contratado para liderar uma equipe de sete engenheiros de software responsáveis por um ambiente de produção.

Com o foco na confiabilidade do sistema, o objetivo do SRE está em encontrar formas para aprimorar o design e a operação dos sistemas para fazê-los mais escaláveis, confiáveis e mais eficientes. Em geral, uma equipe SRE é responsável pela disponibilidade, latência, desempenho, eficiência, gerenciamento de mudanças, monitoramento, resposta a emergências e planejamento de capacidade dos serviços sob sua supervisão.

São algumas das vantagens do SRE:
  • Reduzir os silos dentro da organização;
  • Compartilhar a responsabilidade com os desenvolvedores,;
  • Incentivar os desenvolvedores e gestores de produtos a se movimentarem rapidamente, reduzindo o impacto e custo de falhas;
  • Alavancar o uso de ferramentas e automação e gerar métricas.
Para saber mais:

dezembro 17, 2018

[Segurança] Governos contra a criptografia

Um grupo de pesquisadores do Centro de Ensino e Pesquisa em Inovação (CEPI) da faculdade FGV Direito SP elaborou uma excelente pesquisa científica sobre como diversos governos tem tratado a questão da privacidade dos cidadãos versus a necessidade de proteção e vigilância governamental, e como esse debate tem influenciado a adoção de técnicas de criptografia.

Por exemplo, quando um governo ou uma força policial tem a necessidade de acessar comunicações online que são criptografadas, como eles podem fazer para evitar esse controle, e como fazê-lo sem afetar o direito a privacidade de todos os demais usuários desse serviço?

O estudo “Criptografia e Direito: uma perspectiva comparada” foi desenvolvido nos anos de 2017 e 2018 pelo pessoal do CEPI, com objetivo de mapear o debate internacional sobre acesso a dados criptografados por autoridades de investigação e seu impacto an discussão sobre o direito a privacidade. Nessa pesquisa, eles identificaram que alguns países mais "radicais" chegaram a proibir ou regulamentar severamente o uso de criptografia (por exemplo, tentando forçar limites nos algoritmos ou exigir a implementação de "backdoors"), mas certos países estão optando pela regulação de mecanismos alternativos de investigação para conseguir obter o conteúdo de dados criptografados, uma forma de evitar o enfraquecimento de sistemas de criptografia. A mais comum dessas alternativas é a exploração de vulnerabilidades de sistemas por autoridades de investigação, uma técnica conhecida como "government hacking". Além disso, o debate sobre o impacto dessas alternativas à regulação da criptografia tem sido negligenciado, principalmente no que tange aos seus potenciais riscos aos direitos fundamentais.

Como fruto desse extenso e detalhado trabalho acadêmico, foram criados dois "produtos" da pesquisa: a Criptopédia e o CryptoMap, um site e um mapa interativo que compilam de forma prática os resultados encontrados sobre os 40 países estudados.


Os resultados dessa pesquisa foram apresentados em um evento no dia 05 de Dezembro de 2018 ("Criptografia e Direito: uma perspectiva comparada"), que foi filmado e está disponível online.



O resultado desse trabalho é sensacional, tanto pelo mapa interativo quanto pelo mapeamento detalhado que foi feito em 40 países. Mas não é um trabalho fácil de ser mantido (e esse vai ser maior desafio do pessoal), pois todos os dias estão surgindo novos problemas, iniciativas e novas regulamentações. O debate sobre privacidade está acontecendo e é um tema muito quente no mundo inteiro, principalmente neste ano que tivemos a General Data Protection Regulation (GDPR) na Europa. Na sua carona, novas regulamentações e leia surgem a todo momento.

Esse debate é muito importante pois de um lado temos o direito fundamental a privacidade do cidadão (e das empresas), que muitas vezes se contrapõe a necessidade de vigilantismo, de espionagem e de controle governamental. Muitas vezes esse debate é travestido pela discussão sobre necessidade de combater o crime online - e nessa hora, muitas vezes o problema da pedofilia na Internet é usado para sensibilizar a população em prol do controle governamental das comunicações.

No meu ponto de vista, esse debate todo tem 2 problemas principais:

  • A necessidade de combater a grande desinformação sobre o assunto (por exemplo, o falso argumento do “não tenho nada a esconder”)
  • O assunto é muito técnico, que envolve o entendimento de algoritmos de criptografia que são complexos e com detalhes específicos, e isso atrapalha o debate. Dessa forma, essa discussão dificilmente é entendida pelo público leigo e demanda um grande esforço de apoio e envolvimento por parte da comunidade técnica;

A criptografia é fundamental para garantir o bom uso da Internet, através do sigilo das transações bancárias e comerciais, além de garantir a nossa privacidade online. A criptografia permite evitar a interceptação e vazamento de dados pessoais. Quando os governos optam por restringir o uso de ferramentas criptográficas, automaticamente enfraquecem toda a nossa segurança e privacidade online. Além disso, as mesmas restrições que favorecem a investigação dos governos (por exemplo, o uso de "backdoors"), também favorece a espionagem e o crime organizado, que podem usar essas restrições para ter acesso não autorizado as comunicações.

O "government hacking" talvez seja o menor dos males - melhor do que diminuir o nível de segurança ou implementar backdoors. Ele pode ser autorizado somente em casos pontuais e específicos, através de mandatos, controles e regulamentos específicos. Ele pode também ser implantado como um processo similar ao de uma escuta telefônica legal - só muda a tecnologia e o meio. Do ponto de vista técnico, normalmente ele envolve alterações no dispositivo final, do suspeito. O ponto negativo é que essa técnica, ao interferir no computador ou smartphone do investigado, ele pode prejudicar a qualidade da prova.

No final das contas, esse debate ainda precisa ser amadurecido devido aos diversos aspectos técnicos e impactos nas nossas liberdades fundamentais. E a comunidade técnica tem que, obrigatoriamente, se posicionar.

Para saber mais:

dezembro 14, 2018

[Segurança] Another day, another leak

Esses últimos dias foram marcados por alguns vazamentos de dados aqui mesmo, no Brasil, que chamaram bastante a atenção. Vale a pena relembrar...

Não só isso, mas também...
  • O Ministério Público entrou nessa parada e começou a investigar esses casos de vazamento de dados, como por exemplo no caso da FIESPno caso da Sky Brasil e da Tivit;
  • A Polícia Federal deflagrou a Operação Data Leak, que apura os crimes de vazamento e receptação ilícita de dados sigilosos por servidores públicos federais. Foram cumpridos sete mandados de prisão temporária e nove mandados de busca e apreensão nos estados de Mato Grosso, Paraná, Rio Grande do Sul, Rio de Janeiro e Espírito Santo.
As informações não estão mais disponíveis nos links originais, mas correram pela comunidade de segurança!

Em tempo: A Google anunciou que vai antecipar o fim do seu serviço Google+ após uma falha expor dados de 52 milhões de pessoas. Além disso, um bug no Facebook permitiu que aplicativos pudessem ter acesso não autorizado a fotos de 6,8 milhões de usuários :(

dezembro 05, 2018

[Segurança] Ransomware Timeline

No relatório "State of Cyber Security 2017", a F-Secure publicou u gráfico bem legal que mostra a enorme evolução das famílias de Ransomwares e suas variações desde 2010:



É possível baixar a imagem em alta resolução desse "Ransomware Timeline: 2010 – 2017".

Para saber mais:

novembro 30, 2018

[Segurança] Device Fingerprint

"Device Fingerprint" é o nome dado a técnica de criar uma identificação única (ou melhor, o mais única possível) para o dispositivo utilizado pelos usuários. Na área de segurança, essa identificação do dispositivo pode ser utilizada para associar um usuário ao dispositivo que ele normalmente utiliza para navegar na Internet, seja um computador, o browser ou o dispositivo mobile (smartphone). Assim, teremos uma informação a mais que pode ser usada para identificar um usuário no momento em que ele acessa o nosso site ou serviço.

A identificação de dispositivos permite melhorar a assertividade da autenticação, ao tentar associar um dispositivo "único" a um determinado usuário. Por isso, ela é muito utilizado para detecção e prevenção de fraudes, quando ocorrer um acesso originário de um dispositivo desconhecido, e também é usado para monitoramento e espionagem de usuários, rastreando o acesso do dispositivo que a vítima utiliza.

Esse "fingerprint" deve identificar um equipamento da fora mais única possível, de modo que hajam poucos dispositivos semelhantes. Quanto mais único, mais preciso. A impressão digital de um navegador pode ser criada a partir da coleta de dados sobre a configuração do navegador e do sistema operacional de um usuário quando esse usuário visita um web site. Diversas informações podem ser coletadas sem necessidade de intervenção ou aprovação do usuário, e assim são correlacionadas na tentativa de criar o fingerprint do dispositivo como. Além das informações enviadas no cabeçalho HTTP, várias outras também podem ser utilizadas para este fim, como dados do computador do usuário e até mesmo a lista de plugins utilizados.

O site AmIunique.org, por exemplo, nos permite testar o quanto nosso browser fornece de informação e o quanto isso favorece a nossa identificação.



Esse paper, por exemplo, lista 38 identificadores implícitos que podem ser obtidos dos aparelhos Android que cobrem informações sobre características físicas, da camada de aplicação e da camada de usuário que podem ser utilizados para formar a impressão digital do dispositivo. O interessante é que essas informações podem ser coletadas sem solicitar qualquer permissão.

Um bom sistema para fingerprint de dispositivos deve possuir as características abaixo:
  • Diversidade: o principal critério para um algoritmo de impressão digital é saber quantos atributos ele necessita para gerar um fingerprint único. Ele deve aceitar um conjunto de atributos  e calcular o fingerprint com uma entropia aceitável. Ou seja, o algoritmo deve aceitar um conjunto de dados diversos o suficiente para prover uma quantidade aceitável de identificações com alta probabilidade de serem únicas;
  • Estabilidade: indica quantas vezes uma impressão digital pode alterar seu valor ao longo do tempo. Devemos considerar o número total de mudanças durante a vida do dispositivo, o tempo médio entre as mudanças, uma razão percentual média de quantas amostras foram modificadas para esses dispositivos, etc;
  • Tamanho do código - à medida que o número de impressões digitais coletadas aumenta, assim como as bibliotecas necessárias para processamento, o tamanho do código do algoritmo se torna uma limitação - podendo causar impacto na capacidade de incluir esse código em uma aplicação existente (o overload causado), ou até problemas de performance. Impressões digitais podem depender de um processamento demorado, inviabilizando o seu uso;
  • Comprimento da impressão digital - quanto maior o tamanho da impressão (em termos de números de caracteres), menor a chance de gerar colisão, porém, haverá a demanda por maior capacidade de armazenamento desses dados!
Diversos sites nos permitem testar o quanto nossos cesso a internet pode ser rastreável:
Referências bem interessantes:

novembro 22, 2018

[Segurança] BSides Vitória

Mais uma BSides vai se juntar a família global de conferências Security BSides, mas dessa vez tem algo de especial no ar: No ano que vem teremos a BSides Vitoria, no Espírito Santo, que assim se torna a segunda BSides no Brasil!!!
A BSides Vitoria é organizada por um grupo de profissionais do Espírito Santo. Sua organização é independente da BSides São Paulo, e todas se reportam para o grupo global de BSides.
Atualmente já temos mais de mais de 420 edições em 34 países, incluindo os EUA, Alemanha, Inglaterra, Austria, Portugal, África do Sul, Austrália, Chile, Colômbia, Peru e México. No Brasil, a BSidesSP surgiu em Maio de 2011 e foi a pioneira em toda a América Latina. Em Junho de 2016 realizamos a primeira BSides Latam, atraindo os organizadores das conferências BSides em toda a América Latina.

Conheça mais sobre a BSides Vitoria e acompanhe as novidades:


novembro 19, 2018

[Cyber Cultura] Truques úteis ao fazer busca no Google

Todo profissional de segurança deveria saber de cor e salteado pelo menos os truques mais simples para fazer buscas no Google. O termo "Google Hacking" surgiu para isso: as diversas formas de usar buscas no Google para encontrar sites vulneráveis ou fazer busca por informações que podem ser utilizadas para reconhecimento do alvo, ataques ou ações de engenharia social.


Na Wikipedia, por exemplo, tem uma lista com os principais comandos interessantes que podem ser utilizados no Google para buscar informações específicas sobre sites e alvos. O projeto Google Hacking Database (GHDB) mantém uma lista mais completa.

Recentemente eu vi um artigo no Medium com um infográfico bem legal e mais algumas dicas adicionais de como usar o Google de forma mais eficiente: "40+ Best Google Search Tips, Tricks & Hacks for 2018 [Infographic]". Veja o infográfico abaixo:


Para saber mais:

novembro 16, 2018

Posts que nunca foram escritos

Chega novamente aquele momento de limpar o backlog...

Paper gigante e bem interessante, do MITRE: Ten Strategies of a World-Class Cybersecurity Operations Center

Conheça o "NIST Cybersecurity Framework"


Outro material interessante do NIST, que mapeia as principais carreiras na área de segurança: "NICE Cybersecurity Workforce Framework" (paper)


Aproveitando a carona, vale a pena ver esse guia do NIST sobre como criar um programa de conscientização: "Cybersecurity is Everyone’s Job".


Já visitou o OWASP Internet of Things Project?

Paper sobre tecnologias de 2o fator de autenticação: "Security Keys: Practical Cryptographic Second Factors for the Modern Web" (PDF).

Alguns sites oferecem exemplos e templates para você criar a politica de segurança da sua organização. O SANS Institute tem um punhado de templates disponíveis online: “Information Security Policy Templates”.

Alguns checklists para desenvolvimento de aplicativos mobile:



Vídeos, vídeos e mais vídeos: The Linux Basics Course 50 vídeos



Operação Serenata de Amor: Um grupo de voluntários criou um aplicativo para analisar gastos dos nossos políticos. Eles também criaram um robô no Twitter chamado @RosieDaSerenata para notificar publicamente os gastos suspeitos da Câmara dos Deputados. (link para apoiar a iniciativa)

Se você procura uma solução de VPN que garanta a sua privacidade, a opinião dos profissionais na área é unânime: "construa a sua própria VPN", usando um servidor e os aplicativos específicos. Um caso mostra que não dá para confiar cegamente nas empresas que vendem serviço de acesso anônimo: a empresa PureVPN forneceu para o FBI os logs de acesso de um usuário que estava sob investigação.

Como se preparar para um mega ciber ataque? Veja esse artigo no blog da RSA.

So What Does A Modern Encryption Key Look Like?

Artigo sobre uma história bem interessante, de como um grupo de franceses conseguiram explorar uma rede de telecomunicação rudimentar na França, há 100 anos atrás: "Here’s How the First Cyber Attack Went Down"

Interessante: Mobile Apps Testing: Sample Test Cases & Test Scenarios


novembro 14, 2018

[Segurança] Mapas de ciber ataques

Diversos fabricantes de segurança disponibilizam online mapas visuais com dados e estatísticas de ciber ataques. São gráficos bem interessante para vermos estatísticas de forma visual e, as vezes, em tempo real.



Estes gráficos podem ser utilizados em campanhas de conscientização ou até mesmo no telão do seu NOC e SOC, como forma de ilustrar os ataques que acontecem no mundo.

Abaixo eu listei os gráficos que encontrei e destaquei meus preferidos ;)
  • Kaspersky - O meu favorito, pelo aspecto visual. O gráfico é bem impressionante. Também tem uma versão "widget", para você embutir em uma página web. (veja aqui uma demo)
  • Digital Attack Map, da Arbor - um dos mais populares, este mapa da Arbor mostra os ataques DDoS que acontecem no mundo, e tem a opção de visualizarmos dados históricos. Embora seja relativamente útil, os recursos gráficos são um pouco simples e consome muitos recursos do navegador. (veja uma demo)

  • Bitdefender - Eu gostei desse mapa, achei um dos mais simples ela o mesmo tempo, causa boa impressão visual;

  • Cybercrime Threat Map, da ThreatMetrix - mapa em tempo real com dados de tentativas de fraude online, incluindo roubo de contas, fraudes de pagamentos e tentativas de roubo de identidade.
  • Threat Map da Looking Glass - eu ahem esse mapa legal; ele plota ataques de botnets em ym mapa mundi.
  • Norse - embora seja citado por 10 entre 10 profissionais de segurança, várias vezes eu tenteia cessar esse mapa sem sucesso, obtendo um erro de Connection Refused :(
  • Akamai - Eles tem algumas páginas com mapas e estatísticas, que são bem interessantes:
    • Eles tem uma página com diversas estatísticas de ataques, que tem o link para os demais mapas (abaixo);
    • Real Time Web Monitor - Mostra um heat map estático sobre volume de tráfego ou quantidade de ataques no mundo.
    • Enterprise Threat Monitor - Bem mais interessante, este mapa mostra estatísticas de ataques de Malware, Phishing e C&C.



  • Threatbutt Internet Hacking Attack Attribution Map - apesar do nome pomposo, esse mapa é totalmente fake, pura zoeira... além do visual tosco, simples, ele mostra alguns dados bem falsos, como ataques do Morris Worm, Stuxnet, Slammer, etc. A cada ataque, ele faz um barulho, para aumentar o grau de tosquice ;)


Segundo um artigo da CSO Online, a maioria dos mapas disponíveis não trabalham com dados reais, ao vivo, mas sim com um conjunto de dados pré-gravados e dados de captura sanitizados. Segundo eles, o valor desses mapas não está na informação que apresentam, mas sim na possibilidade deles iniciarem uma conversa ou discussão sobre o assunto.

Para saber mais:
PS: Post atualizado em 04/09/23.

novembro 13, 2018

[Segurança] O golpe de R$ 400 milhões

Algumas reportagens, como essa da revista Época e essa do Yahoo! detalham o funcionamento do esquema criminoso milionário que foi desmascarado recentemente pela polícia, que permitiu a uma quadrilha ganhar milhões de reais através de fraudes online. O caso chamou muito a atenção por causa dos gastos mega-extravagantes dos criminosos presos, que incluíram a compra de diversos carros importados, mansões, viagens para a Europa, passeios frequentes de helicóptero, etc.


O grupo, preso em outubro pela Polícia Civil de São Paulo e pelo Ministério Público, foi acusado de arrecadar cerca de 400 milhões de reais em 18 meses, através de transações fraudulentas pela Internet. Estima-se que pelo menos 23 mil contas correntes foram lesadas em 23 estados.

Apesar do valor total arrecadado pelo grupo criminoso ser absurdamente alto, eles cometiam golpes simples pela Internet, que nada mais são do que o "arroz com feijão' do ciber crime.

Segundo a reportagem, o esquema criminoso funcionava da seguinte forma:
  • O grupo desenvolveu um sistema de roubo de logins e senhas, que deu origem a um banco de dados utilizado pela quadrilha. O sistema foi criado por um autodidata, Leandro Xavier Magalhães Fernandes, morador de Goiânia, que estudou só até completar o ensino médio;
  • Eles aperfeiçoaram o sistema usado para fazer as fraudes, que passou a ser rodado 24 horas por dia, sete dias por semana, capturando logins e senhas de quem entra em sites de bancos;
  • Para executar a fraude e extraviar dinheiro das contas correntes invadidas (as vítimas), a quadrilha oferecia, via WhatsApp e Facebook, o pagamento de qualquer tipo de boleto com “50% de desconto”. Assim, quem tivesse uma conta para pagar dava metade do valor da dívida para a quadrilha, e o boleto era pago pelos criminosos a partir das contas das vítimas. O grupo aceitava boletos de contas de ISS, IPVA, celular ou de TV a cabo;
  • Se o cliente do banco tinha pouco ou nenhum dinheiro na conta, a quadrilha tomava um empréstimo pré-aprovado e, assim que o valor caía na conta, era imediatamente usado para pagamento de boletos ou transferido para contas em nome de laranjas;
  • O dinheiro arrecadado pelo grupo era dividido em cinco empresas diferentes, criadas com a única finalidade de cobrir os atos ilícitos. O grupo possuía um escritório de fachada localizado em um prédio empresarial de alto padrão no bairro do Itaim Bibi, em São Paulo. As empresas eram usadas para dar lastro aos títulos de investidor do mercado financeiro, e para lavagem de dinheiro por meio de bitcoins.
A quadrilha tinha integrantes em Tocantins, Goiás e São Paulo O líder da quadrilha, Pablo Henrique Borges, era morador da periferia de Francisco Morato, em São Paulo, que até 2012 apenas instalava computadores e só em 2015 tirou sua carteira de identidade. Pablo já era conhecido da polícia por pequenos golpes via internet, como venda enganosa de milhagens de companhias aéreas e venda de passagens por valores muito abaixo do mercado, além de compras com senhas roubadas de cartões de crédito.

O uso de pagamento de boletos para desviar dinheiro é um golpe muito comum no Brasil, e é muito fácil achar anúncios desse tipo de "serviço" nas redes sociais. No vídeo abaixo, por exemplo, um fraudador oferece esse serviço através do Youtube.


Veja o texto do anúncio:
"Pagamento de boleto online com desconto de 50% do valor
*Você está endividado ? não aguenta mais cobradores na sua porta te enchendo o saco? CHEGOU A HORA DE MUDAR !!1
PAGO BOLETOS COM PELA METADE DO PREÇO ,COM 50 % DE DESCONTO
FUNCIONA Assim: você envia a foto ou o documento do boleto ,vou te passar um prazo para que o boleto seja pago e envio o comprovante de pagamento, o comprovante é fornecido pelo próprio site do BANCO,após o envio do comprovante você tem 30 minutos para efetuar o pagamento dos 50 % do valor do boleto via depósito ou transferência BANCARIA.
Caso o pagamento não seja feito estornamos o pagamento e seu débito volta a existir,temos várias referencias ,você só fara o pagamento após comprovante ,pago boletos a partir de 600 reais pois cobro caro por meus conhecimentos ,pagamos"

Ou seja, a pessoa endividada passa os dados do boleto para o criminoso, paga para ele 50% do valor da dívida, e o ciber criminoso invade a conta de uma vítima e usa essa conta para pagar o valor integral do boleto. O criminoso ganha o dinheiro e a vítima fica no prejuízo.

novembro 09, 2018

[Segurança] As senhas mais usadas de todos os tempos

O pessoal do Techmundo fez um artigo em 2011 sobre "as senhas mais usadas de todos os tempos", um erro muito comum entre os usuários finais, e que os tornam alvos fáceis de ataques baseados em adivinhação de senha - os ataques mais básicos para tentar acessar a conta de uma vítima.

As senhas mais comuns (sem ordem de preferência), segundo o Techmundo, são:
  • 1234567
  • 123456
  • 12345
  • 123123
  • 000000
  • password
  • qwerty
  • asdfgh
  • zxcvbnm
  • qazwsx
  • abc123
  • blink182
  • lol123
  • 7777777
  • 666666
  • jesus
  • brasil/brazil
  • letmein
  • iloveyou
  • hello123
  • matrix
  • admin
  • hotmail
  • babygirl
Dá para perceber, na lista acima, que ela mistura vários termos em inglês (como "letmein") com um em português: "brasil". Obviamente, as senhas mais utilizadas variam de acordo com o idioma da vítima - a chance de encontrar um usuário brasileiro usando uma senha "hello123" é bem baixa.

Além disso, o artigo mostrou quais temas são os mais escolhidos na hora de cadastrar uma senha:

  • O nome ou sobrenome do próprio usuário ou de membros da família;
  • O nome do clube de futebol favorito;
  • A data de nascimento do usuário ou de pessoas próximas;
  • O número do seu telefone ou do cônjuge;
  • O nome do próprio site do cadastro (como “facebook” ou “twitter”);
  • Teclas que estejam lado a lado no teclado (como em “qwerty” ou “123456”);
  • O mesmo nome de usuário utilizado no login.

O artigo tem algumas dicas interessantes e, apesar de ter sido escrito há 7 anos atrás, continua bem atual.

novembro 07, 2018

[Segurança] Você é um alvo!

O pessoal do SANS Institute, em conjunto com o Brian Krebs, criaram um poster de conscientização para os usuários finais que destaca porque os usuários devem se preocupar com segurança.

Batizado de "You Are A Target", o pôster lista brevemente os principais riscos em termos de senhas, e-mails, informações financeiras, extorsão, roubo de identidade, fraudes em e-commerce, ameaças de botnets e de hospedar conteúdos no computador da vítima.


O poster é um bom material de conscientização, pena que eles disponibilizaram o material feito com cores muito claras, que deixam o material de difícil leitura.

novembro 05, 2018

[Segurança] Leis para Proteção de Dados Pessoais e a origem da LGPD

Diversos países em todo o mundo já possuem ou estão elaborando leis específicas para a proteção de dadospessoais. A popularização da Internet, do e-commerce e das redes sociais trouxe o hábito de compartilharmos online fotos, opiniões e dados pessoais, que estão em mãos de diversas empresas. Em contra partida, isso trouxe o grande risco de roubo e vazamento de dados, além do mal uso por terceiros (como, por exemplo, empresas que vendem dados cadastrais de seus usuários para outras).

Esse cenário tem fomentado o surgimento de leis específicas em todo o mundo. A União Européia, por exemplo, possui uma lei de proteção de dados desde 1995 e, neste ano, entrou em vigor a famosa GDPR, a General Data Protection Regulation.

No Brasil, temos a Lei Geral de Proteção de Dados (LGPD). Antes dela, o Marco Civil já possuía diversos artigos que abordam a necessidade de proteção de dados pessoais e da privacidade dos usuários online. Também existe o Projeto de Lei 3558/2012, que dispõe sobre a proteção de dados pessoais e sobre a utilização de sistemas biométricos. O problema é que este projeot de lei trata a proteção de dados de forma superficial.

A LGPD juntou alguns projetos existentes no Congresso. O principal deles foi criado pelo Ministério da Justiça, que criou um projeto de legislação específica sobre a proteção de dados pessoais através de um esforço público, batizado de Anteprojeto de Lei de Proteção de Dados Pessoais, Tal trabalho foi similar ao processo de criação do Marco Civil da Internet, e iniciou em 2011 por meio da Secretaria Nacional do Consumidor (Senacon) em conjunto com a Secretaria de Assuntos Legislativos do Ministério da Justiça. O projeto foi criado de uma forma colaborativa através de discussões online e presenciais com a sociedade, através de diversas discussões e colaborações recebidas (veja alguns detalhes aquiaqui). No total foram recebidas mais de 2.000 contribuições. Também colaboraram o Comitê Gestor da Internet no Brasil (CGI.br) e a Universidade Federal de Minas Gerais (UFMG). A última versão do anteprojeto está disponível aqui.


A tramitação do projeto de lei na Câmara dos Deputados começou em 13 de maio de 2016, e recebeu o nome de Projeto de Lei 5276/2016.




Este projeto foi juntado ao PL 4060/2012, do deputado Milton Monti (PR-SP), que já tramitava no congresso, dando origem a nossa LGPD.