Disabling Chat History Not Possible in Gmail Anymore, NSA Approves

UPDATE: It seems this has been discussed in Google’s product forum since may.

Let me start by saying that the NSA bit in the title is only a joke that might as well be true given the current circumstances. Despite that, it is worrying that it is now impossible to completely disable chat history in Google’s chat services.

Last May, Google revamped its chat platform, moving from gTalk to Hangouts. Google still allows non-accepting users to go back to the old system. The problem is that now both systems do not have any option that would allow users to disbale chat history completely. I know for a fact that gTalk used to have this feature, which by the away it is still illustrated in Google’s Official documentation even though isn’t available anymore.

Below we can see Hangouts’ chat settings screen, presenting only an option to disable the entire chat service.

Captura de Tela 2013-09-11 às 09.33.07

 

The same thing happens if we revert back to the old system. We can see no option to disable chat history in gTalk’s chat settings screen:

Captura de Tela 2013-09-11 às 09.36.01

 

I don’t know if hangouts used to have this option before, but the important thing here is that neither gTalk nor Hangouts has it as of now.

I can’t see the reason for that, unless Google is trying to force users into giving more private information against their will.

I hope this is reverted back the way it was.

 

 

 

Publicado em Outros | 3 comentários

A Origem da palavra “MULHER”

A Origem da palavra “MULHER” (de Pablo Ximenes)

A palavra “MULHER” tem origem do latim “MULIER” , que significava o mesmo, ou seja, “mulher”, especialmente as casadas. “MULIER”, por sua vez, já é uma derivação de outra palavra latina, “MOLLIOR”, que é o superlativo relativo de “MOLLIS” que, em fim, é o latim para “mole”. Isso mesmo, “mole”! Como em molenga, fraco, sem consistência, etc.

Como vemos, a injustiça contra a mulher começou muito antes de sequer aprendermos seu nome. Tem sido chamada de “sexo frágil” na própria raiz da palavra. É por isso que hoje, 8 de maço, é um dia importante. É importante para resignificarmos o sentido de mulher. Para lembrarmos dos sacrifícios que fazem e que sofrem todos os dias para cuidar de nós homens e até de si mesmas.

Esqueçamos desse latim arcaico. A partir de hoje, 8 de Março, “MULHER” é sinônimo original de “AMOR”, algo que de tão mole, tão suave, tão tenro, vence tudo nesse mundo tão injusto, como água insistente em pedra tão dura.

Deixo aqui um singelo poema que compus para minha mulher, Patrícia Mello, em homenagem ao dia da mulher e estendo a homenagem a todas vocês. Feliz dia da Mulher!

POEMA:

Para Patrícia

Feito menino no berço
Eu fico envolto em ti
Levado pelos teus braços
Imerso em teu conduzir
Zangada, mansa, calada
De todo jeito bem me quer
Improviso meu sonho ao teu lado
Abraçando o que der e vier
Digo em certeza amadora
Amo você sem esconder
Meu peito tem dona agora
Um tanto de mim em você
Lembra pra sempre de hoje
Hoje, que eu quis te dizer
Eu te amo, meu bem, de verdade,
Rindo à toa, assim vou viver

- Pablo Ximenes

Publicado em Outros | Com a tag , , , , , , | Deixar um comentário

Microfone de Lapela feito em casa para o HT YAESU VX-8GR (MH-37A4B)

Compartilho uma curiosidade que encontrei por acaso.

Recentemente adquiri um rádio HT, o YAESU VX-8GR e estava procurando um microfone de lapela para ele, referência MH-37A4B.

Todos os modelos que achei estavam muito caros e, como eu não pretendia falar no rádio agora, adiei a compra.

Pois bem, ao testar alguns fones antigos de celular que tinha engavetados, acabei descobrindo que um da Nokia funcionava direitinho, com pinagem correta, inclusive com o PTT habilitado. Era o Nokia Stereo Headset WH-102 WH102 3.5mm. A única observação é que a perna direira do fone (Right – R) não funciona adequadamente já que a entrada do rádio é projetada pra ser mono. O que fiz foi cortar a perna direita do fone, deixando apenas o Left. Isso não seria necessário para que funcionasse, apenas não quiz ficar com aquela perna inútil balançnado no meu pescoço ou conectado ao meu ouvido. No fim, fiquei com um fone no mesmo estilo do original da YAESU quase de graça. Testei tudo e  TX é acionado com captação do microfone ao se pressionar o botão usado para atender e delisgar chamadas , embora o ganho seja inferior ao microfone interno do rádio (quando você fala direto no HT o som fica mais alto do que quando você fala pelo fone). Só pra vocês perceberem a diferença de preços entre os dois fones, mostro abaixo os dois na Vertex MH-37A4B RX/TX Light Duty Ear Piece for Yaesu:Amazon:

Vertex MH-37A4B RX/TX Light Duty Ear Piece for Yaesu: US$42,00
http://www.amazon.com/Vertex-MH-37A4B-Light-Piece-Yaesu/dp/B003J37576

Nokia Stereo Headset WH-102 WH102 3.5mm: US$8,47
http://www.amazon.com/Nokia-Stereo-Headset-Connector-Packaging/dp/B003124190

A seguir estão algumas fotos do meu fone já cortado para orientar melhor quem quiser fazer o mesmo:

 

 

 

 

Publicado em Outros | Com a tag , , , , , , , , , , | 2 comentários

Google sob ataque cibernético? Erro 502 pode indicar.

Hoje, a partir das 15:30, vários serviços oferecidos pela Google começaram a apresentar resposta de erro 502 o que indica problema de comunicação interna no backend dos servidores da empresa. Esse tipo de erro é um indício um ataque de negação de serviços distribuída, comumente conhecido como DDoS. Ainda no mês de novembro, dia 23, a Google foi vítima de ataques vindos do paquistão, onde alguns domínios da Gigante de Buscas terminados em .tk foram pichados.

Vamos eperar para ver o desenrolar dos acontecimentos.

Publicado em Outros | 12 comentários

Lei de crimes cibernéticos é aprovada com vitória para a comunidade de segurança da informação

Ontem foi aprovada, em sessão extraordinária da Câmara dos Deputados,  a lei que tipifica o crime de invadir computadores. Muito se tem debatido sobre essa lei, principalmente no que tange os efeitos dela para profissionais de segurança da informação pois, além de criminalizar a conduta de invadir, a lei criminalizaria também a conduta de criar ferramentas usadas para tanto. Militei exaustivamente contra essa criminalização de ferramentas usadas para quebrar segurança, visto que a quebra de segurança é uma das práticas comuns de quem trabalha no ramo. Além disso, criminalizar tais ferramentas seria o mesmo que criminalizar o chaveiro por conta da gazua, ou da chave mestra. Seria também um golpe fatal em nossa defesa nacional em tempos de ciberguerra. Os trabalhos de mobilização foram intensos (com muitos colegas em conjunto com a mesma iniciativa) e posso dizer com orgulho de nossa capacidade de mobilização e da postura democrática de nossos parlamentares que a lei foi aprovada com a mudança necessária para descriminalizar não apenas a questão das ferramentas, mas também qualquer prática de quebra de segurança que tenha fins legítimos, construtivos ou, como a lei define, lícitos.

Ontem, sob forte pressão e com muito dificuldade, um grupo de deputados consciente da necessidade de melhorar a lei conseguiu adicionar um emenda de redação que deixou clara a intenção do congresso de criminalizar apenas a conduta de quem invade computadores (ou cria ferramentas de ataque) “para obter vantagem ilícita”. Veja que é clara a intenção de poupar os profissionais de segurança, fruto de toda a nossa mobilização, o que pode se visto no parecer da Comissão de Constituição e Justiça (CCJ), proferido oralmente na sessão de ontem:

 E, nesse mesmo diapasão, restabelecendo a redação original da Câmara, em especial no que se relaciona ao art. 154, substituir o verbo “devassar”, que foi incluído pelo Senado, pelo verbo “invadir” e, mais do que isso, restabelecer aquele “especial fim de agir ou obter vantagem ilícita”, que a Câmara dos Deputados aprovou. E a explicação é simples: se nós não recuperarmos este “especial fim de agir ou obter vantagem ilícita”, qualquer técnico de segurança de informática poderá ser criminalmente punido, mesmo ele querendo, mesmo ele intencionando consertar, aperfeiçoar o sistema de segurança danificado.

Agora, é evidente que, restabelecendo a redação da Câmara no sentido de acrescentar o “especial fim de agir” consubstanciado na expressão “obter vantagem ilícita”, aí, sim, nós poderemos ter a segurança necessária para reprimir a conduta daquele que, com dolo, daquele que, com má-fé, daquele que, com especial propósito de causar dano a outrem, venha, através da invasão de dispositivo informático alheio, conectado ou não à rede de computadores, mediante violação indevida de mecanismo de segurança e com o fim de obter, adulterar ou destruir dados ou informações sem autorizaçãoo expressa ou tácita do titular do dispositivo, a instalar vulnerabilidades ou obter vantagem ilícita.

Nesse caso, nós estaremos transformando o tipo penal que veio do Senado como um crime de mera conduta em um crime material, isto é, um crime que se satisfaz com a configuração do especial fim criminoso de agir que é consistente na obtenção de vantagem ilícita.

Portanto, Sr. Presidente, na rejeição que se recomenda aos Deputados das Emendas 1, 4 e 5 do Senado, o que se propõe é o restabelecimento da redação original da Câmara que satisfaz ao princípio da reserva legal, não pune técnicos de segurança, de informática e concentra seu foco naqueles que querem de fato praticar dano a ouras pessoas.

E o parecer foi reforçado com o outro da Comissão de Segurança Pública e Combate ao Crime Organizado (CSPCCO):

Então, sobre as Emendas nos 2, 3 e 5, somos pela aprovação; sobre a Emenda no 4, pela rejeição. A Emenda no 1 nós vamos aprovar parcialmente, com as seguintes ressalvas: a palavra “devassar” será substituída por “invadir”. E ao final da redação, depois do termo “vulnerabilidade”, acrescentar “para obter vantagem ilícita”.

Dessa forma, a lei que irá para sanção presidencial terá o caput do artigo 154-A com a seguinte redação final:

Art. 154. Invadir dispositivo informático alheio, conectado ou não a rede de computadores, mediante violação indevida de mecanismo de segurança e com o fim de obter, adulterar ou destruir dados ou informações sem autorização expressa ou tácita do titular do dispositivo ou instalar vulnerabilidades, para obter vantagem ilícita. “  (negrito nosso)

A parte final (“para obter vantagem ilícita”) é uma excludente de ilicitude para testes de segurança ou pesquisa acadêmica. Asim, mesmo que todos os atos definidos sejam praticados, se não houver objetivo de “obter vantagem ilícita”, não haverá crimine. Isso, sem sombra de dúvidas, promove a segurança da informação e a defesa nacional, servindo de norte para juízes e demais operadores do direito ao se depararem com essa parte tão nova do direito brasileiro.

Essa vitória é de todo o povo brasileiro, mas parabenizo especialmente o Congresso Nacional na figura do Deputado Paulo Teixeira (PT-SP) que, além de autor do projeto de lei, foi o principal articulador das mudanças apresentadas através do diálogo, da construção de propostas alternativas e da mobilização política. Não podemos deixar de mencionar também o Deputado João Arruda (PMDB-PR), co-autor da lei e responsável por abrir inicialmente o canal de diálogo, a Deputada Manuela D’Ávila (PCdoB-RS), também co-autora do projeto, e o Deputado Ariosto Holanda (PSB-CE), grande parceiro da ciência e tecnologia nacionais.

Agora a missão é aprovar o Marco Civil da Internet da forma que quer o povo brasileiro, com neutralidade da rede e preservando a liberdade de expressão. Viva a democracia!

ATUALIZAÇÃO: Veja a explicação do Deputado Paulo Teixeira (PT-SP).

Publicado em Security | Com a tag , , , | 5 comentários

Open Letter to the International Information Security Community – Help Brazilian Security Researchers

November 2nd, 2012 – Fortaleza, Brazil

Dear Information Security Professional, Student, Evangelist, Researcher, Aficionado, Business Person, or mere Sympathizer,

Brazil is a wonderful country that has many problems. When it comes to information security, many will recognize that Brazil has good and bad examples. We have no cybercrime law in Brazil and it is close to a consensus that we need one. It has been more than 10 years that our Congress is trying to pass laws on this regard with no success. This unsuccessful path is due mostly to a lack of proximity between politicians and the Brazilian information security community and internet freedom activists. Usually lawyers and law enforcement agents are the ones to provide the theoretical support for building these law proposals that end up facxing strong opposition from society for not seeing their true interests being held (e.g. Azeredo cybercrime law proposal, known as “AI5 Digital”). This political standoff between cybercrime law proposals and society rebellion has been broken last May/2012 when a well cherished Brazilian actress had her email account breached, leaking many intimate pictures depicting her nude body. That was the case of actress Carolina Dieckmann and because of her popularity Brazilian Congress has been pushed into action (and society into passive acceptance) to pass any cybercrime law, no matter how incorrect it was. Because of that Congress has been pushing forward without the due transparency and discussion a new cybercrime law proposal altering Brazilian Federal Penal Code in order to include the definition for the crime of breaching computer security. This proposal has already been approved by Brazilian House of Representatives under the code PL2793/2011 (http://www.camara.gov.br/proposicoesWeb/fichadetramitacao?idProposicao=529011), sent to and already approved by Brazilian Senate under the code PLC35/2012 (http://www.senado.gov.br/atividade/materia/detalhes.asp?p_cod_mate=105612), and sent back to the House for final approval. This letter is a cry for help to the international community to help us Brazilians change this law proposal, for it has been advancing inexplicably fast, already reaching its last legislative stage in less than six months (being voted definitely next November 6th 2012) and when passed into law it will criminalize the building and dissemination of any tool, computer software or hardware, that might be used as means of breaching computer security, no matter who uses it or if it will be used at all. You read it right: simply writing PoC’s, sniffers, scanners, payloads, etc; giving talks about them, selling them or simply giving them away will be a crime in Brazil after this law is in effect. Please, read on, it is important that you do.

Firstly, let me briefly review the law so my words are not the only interpretation of this problem. I will show the last version of the proposal, as approved by Senate in Portuguese/Brazilian and a free translation into English afterwards.

Invasão de dispositivo informático

Art. 154-A. Invadir dispositivo informático alheio, conectado ou não a rede de computadores, mediante violação indevida de mecanismo de segurança e com o fim de obter, adulterar ou destruir dados ou informações sem autorização expressa ou tácita do titular do dispositivo ou instalar vulnerabilidades:”

Pena – detenção, de 3 (três) meses a 1 (um) ano, e multa.

§1o Na mesma pena incorre quem produz, oferece, distribui, vende ou difunde dispositivo ou programa de computador com o intuito de permitir a prática da conduta definida no caput.

§2o Aumenta-se a pena de um sexto a um terço se da invasão resulta prejuízo econômico.

§ 3o Se da invasão resultar a obtenção de conteúdo de comunicações eletrônicas privadas, segredos comerciais ou industriais, informações sigilosas, assim definidas em lei, ou o controle remoto não autorizado do dispositivo invadido:

Pena – reclusão, de 6 (seis) meses a 2 (dois) anos, e multa, se a conduta não constitui crime mais grave.

§ 4o Na hipótese do § 3o, aumenta-se a pena de um a dois terços se houver divulgação, comercialização ou transmissão a terceiro, a qualquer título, dos dados ou informações obtidos.   

Translation:

Breach of Informatics Device

Art. 154-A. Breaching informatics device of others, connected or not to a computer network, through undue violation of security mechanism and with the intent of obtaining, tampering, or destroying data or information without express or tacit authorization or installing vulnerabilities.

Sentence – detention*, from 3 (three) months to 1 (one) year, and fine.

§1o. The same sentence will be applied to whom manufactures, offers, distributes, sells, or disseminates computer program or device with the intent of allowing the practice of the conduct defined in the beginning of this article.

§2o. The sentence will be increased from one sixth to one third if the breach results in economic losses.

§3o. If the breach results in the obtention of the contents of private electronic communications, commercial or industrial secrets, privileged information, therefore defined by law, or non-authorized remote control of the breached device:

Sentence – reclusion*, from 6 (six) months to 2 (two) years, and fine, only if the conduct does not constitute worse crime.

§4o. In the case of §3o, the sentence will be increased from one to two thirds if there is divulgation, commercialization, or transmission to a third party, in any way, of the obtained data or information.

* Translation Note: reclusion and detention are two different types of arrest covered by Brazilian Penal Process.

As we can see, the main problem lies in §1o that equals breaching computer security in an undue manner to writing computer software that enables such practice. Taking into comparison, if this law was applied to the locksmith industry, It would be like criminalizing lock picking tools production because they are used by home trespassers. Worse, it is like assigning a crime to the very profession of locksmiths. There is no intent to a tool, as the law wants us to believe. What is the intent of a hammer? Nailing? Killing? The intent is in the hands of the user, not in the tool. Manufacturing, offering, distributing, selling, or disseminating firearms (devices that are usually used for killing) in Brazil is not a crime. It is regulated, but definitely not a crime. Outrageously enough, after this cybercrime law is in effect, the same will not be true to a certain type of computer software that enables legitimate professionals, students, and researchers in the computer security industry to do theirs deeds. This law if passed will represent nothing but censorship, not only indirect but also the direct kind since books like “The shellcoder’s handbook” or “Hacking Exposed” will clearly be against the law as they present computer code and techniques that “disseminate computer programs” used for hacking. Sadly enough, even if this law existed when actress Carolina Dieckmann had her email account breached, no crime would have been committed and no one would have been put in jail, for this law proposal does not cover the social engineering based phishing techniques that made the actress simply give away her password to the perpetrators. Again you read it right, if there is no violation of a security mechanism, there is no crime according to this proposal and Phishing will remain permitted even after it is passed into law. There are other already existing types of crimes in Brazil that punish fraud, but phishing in the manner used against Dieckmann is not and will not be a crime, even if the cybercrime law is passed. Interestingly, this cybercrime law proposal is nicknamed “Law Carolina Dieckmann”.

The solution is simple: most of the problem would be taken care of by completely removing §1o. Unfortunately, politicians have manifested themselves in favor of keeping §1o arguing that it is important and serves only to protect against malware, in a clear lack of knowledge of how the information security lifecycle works. Whoever thinks malware distributors and producers will be affected by this law is naive, since there are so many other laws that can put them in jail already. Also, crime laws in Brazil are interpreted by the letter, making §1o a clear threat to security professionals, creators of security testing tools, bug hunters, proof of concept software developers, malware analysts, and so on. They will be at the mercy of misguided judges that will see no different between a virus and a PoC exploit. Because of this difficulty of simply removing §1o, I have helped proposing and alternate text adding §6o in order to provide a partial solution:

§6o Não constitui crime a prática do ato mencionado no parágrafo primeiro quando a produção, oferecimento, distribuição, venda ou difusão de dispositivo ou programa de computador tiver finalidades acadêmicas, ocorrer no contexto de testes de segurança ou for praticada com o objetivo de permitir a adequada e legítima proteção de sistemas computacionais.

Translation:

§6o The practice of the act mentioned in §1o does not constitute a crime when the production, offer, distribution, sale, or dissemination of the computer program or device has academic purposes, occurs in the context of security testing or is done with aims to allow the adequate and legitimate protection of computer systems.

This alteration proposal was offered while discussions were happening in Senate, but no mention of this text was ever done publicly nor officially by any politician, even though It is known for a fact that it was presented to decision makers who have committed themselves to including this proposal in the discussions.

As members of the information security community our professional actions are not restricted to our nations, but have effect in a global scale. A cybercrime law passed in Brazil might harm colleagues in China or France, fr instance. In fact a similar law passed in Germany has done exactly that (http://www.theregister.co.uk/2009/06/07/germany_hacker_tool_law/). There are no boundaries anymore. The security industry is a whole, every body is a target, everybody is an actor, everybody helps everybody. If you are not worried about a tool you might write because you are not physically in Brazil, at least Imagine the amount of contributions to world’s computer security that will be blocked in Brazil. Imagine if this kind of legislation gains strength and starts serving as a whole model so other countries start adopting it. We must stop it right now.

I urge you Information Security Community Member to help Brazil and yourself on this matter by exposing it as publicly as possible. It is incredible when the complaints in Brazil against this law proposal started to be heard by politicians when Brazilian press gave minimum attention (http://www1.folha.uol.com.br/tec/1092515-lei-de-crimes-ciberneticos-pode-punir-inocentes-se-aprovada-dizem-especialistas.shtml). If this PRESSure continues and happens internationally I am positive Brazilian Congress will respond appropriately and change will come.

The proposal is scheduled to be voted definitely next November 6th 2012 (http://www2.camara.leg.br/agencia/noticias/POLITICA/429234-CAMARA-PODE-VOTAR-ROYALTIES,-FIM-DA-TAXA-DE-TELEFONIA-E-MARCO-CIVIL-DA-INTERNET.html). It is little time until there, and a lot of work.

I am also listing in the end of the letter the names and email addresses of all the politicians that will vote the proposal. Feel free to drop them an email with your opinion, they understand English or have people that do.

Best Wishes,

Pablo Ximenes

Information Security Researcher and Internet Freedom Activist

Information Securty Research Team (http://insert.uece.br)

Ceara State Government Security Analyst (http://ww.etice.ce.gov.br)

Security Blogger (http://ximen.es)

pablo@ximen.es

pablo@etice.ce.gov.br

pablo@insert.uece.br

VOTING POLITICIANS

“DEPUTADO(A) ABELARDO CAMARINHA – PSB – SP” <dep.abelardocamarinha@camara.leg.br>,
“DEPUTADO(A) ABELARDO LUPION – DEM – PR” <dep.abelardolupion@camara.leg.br>,
“DEPUTADO(A) ACELINO POPO – PRB – BA” <dep.acelinopopo@camara.leg.br>,
“DEPUTADO(A) ADEMIR CAMILO – PSD – MG” <dep.ademircamilo@camara.leg.br>,
“DEPUTADO(A) ADRIAN – PMDB – RJ” <dep.adrian@camara.leg.br>,
“DEPUTADO(A) AELTON FREITAS – PR – MG” <dep.aeltonfreitas@camara.leg.br>,
“DEPUTADO(A) AFONSO FLORENCE – PT – BA” <dep.afonsoflorence@camara.leg.br>,
“DEPUTADO(A) AFONSO HAMM – PP – RS” <dep.afonsohamm@camara.leg.br>,
“DEPUTADO(A) ALBERTO FILHO – PMDB – MA” <dep.albertofilho@camara.leg.br>,
“DEPUTADO(A) ALBERTO MOURAO – PSDB – SP” <dep.albertomourao@camara.leg.br>,
“DEPUTADO(A) ALCEU MOREIRA – PMDB – RS” <dep.alceumoreira@camara.leg.br>,
“DEPUTADO(A) ALESSANDRO MOLON – PT – RJ” <dep.alessandromolon@camara.leg.br>,
“DEPUTADO(A) ALEX CANZIANI – PTB – PR” <dep.alexcanziani@camara.leg.br>,
“DEPUTADO(A) ALEXANDRE CARDOSO – PSB – RJ” <dep.alexandrecardoso@camara.leg.br>,
“DEPUTADO(A) ALEXANDRE LEITE – DEM – SP” <dep.alexandreleite@camara.leg.br>,
“DEPUTADO(A) ALEXANDRE ROSO – PSB – RS” <dep.alexandreroso@camara.leg.br>,
“DEPUTADO(A) ALEXANDRE SANTOS – PMDB – RJ” <dep.alexandresantos@camara.leg.br>,
“DEPUTADO(A) ALFREDO KAEFER – PSDB – PR” <dep.alfredokaefer@camara.leg.br>,
“DEPUTADO(A) ALFREDO SIRKIS – PV – RJ” <dep.alfredosirkis@camara.leg.br>,
“DEPUTADO(A) ALICE PORTUGAL – PCdoB – BA” <dep.aliceportugal@camara.leg.br>,
“DEPUTADO(A) ALINE CORREA – PP – SP” <dep.alinecorrea@camara.leg.br>,
“DEPUTADO(A) ALMEIDA LIMA – PPS – SE” <dep.almeidalima@camara.leg.br>,
“DEPUTADO(A) AMAURI TEIXEIRA – PT – BA” <dep.amauriteixeira@camara.leg.br>,
“DEPUTADO(A) ANDERSON FERREIRA – PR – PE” <dep.andersonferreira@camara.leg.br>,
“DEPUTADO(A) ANDRE FIGUEIREDO – PDT – CE” <dep.andrefigueiredo@camara.leg.br>,
“DEPUTADO(A) ANDRE MOURA – PSC – SE” <dep.andremoura@camara.leg.br>,
“DEPUTADO(A) ANDRE VARGAS – PT – PR” <dep.andrevargas@camara.leg.br>,
“DEPUTADO(A) ANDRE ZACHAROW – PMDB – PR” <dep.andrezacharow@camara.leg.br>,
“DEPUTADO(A) ANDREIA ZITO – PSDB – RJ” <dep.andreiazito@camara.leg.br>,
“DEPUTADO(A) ANGELO AGNOLIN – PDT – TO” <dep.angeloagnolin@camara.leg.br>,
“DEPUTADO(A) ANGELO VANHONI – PT – PR” <dep.angelovanhoni@camara.leg.br>,
“DEPUTADO(A) ANIBAL GOMES – PMDB – CE” <dep.anibalgomes@camara.leg.br>,
“DEPUTADO(A) ANTHONY GAROTINHO – PR – RJ” <dep.anthonygarotinho@camara.leg.br>,
“DEPUTADO(A) ANTONIA LUCIA – PSC – AC” <dep.antonialucia@camara.leg.br>,
“DEPUTADO(A) ANTONIO ANDRADE – PMDB – MG” <dep.antonioandrade@camara.leg.br>,
“DEPUTADO(A) ANTONIO BALHMANN – PSB – CE” <dep.antoniobalhmann@camara.leg.br>,
“DEPUTADO(A) ANTONIO BRITO – PTB – BA” <dep.antoniobrito@camara.leg.br>,
“DEPUTADO(A) ANTONIO BULHOES – PRB – SP” <dep.antoniobulhoes@camara.leg.br>,
“DEPUTADO(A) ANTONIO CARLOS MAGALHAES NETO – DEM – BA” <dep.antoniocarlosmagalhaesneto@camara.leg.br>,
“DEPUTADO(A) ANTONIO CARLOS MENDES THAME – PSDB – SP” <dep.antoniocarlosmendesthame@camara.leg.br>,
“DEPUTADO(A) ANTONIO IMBASSAHY – PSDB – BA” <dep.antonioimbassahy@camara.leg.br>,
“DEPUTADO(A) ANTONIO ROBERTO – PV – MG” <dep.antonioroberto@camara.leg.br>,
“DEPUTADO(A) ARACELY DE PAULA – PR – MG” <dep.aracelydepaula@camara.leg.br>,
“DEPUTADO(A) ARIOSTO HOLANDA – PSB – CE” <dep.ariostoholanda@camara.leg.br>,
“DEPUTADO(A) ARLINDO CHINAGLIA – PT – SP” <dep.arlindochinaglia@camara.leg.br>,
“DEPUTADO(A) ARMANDO ABILIO – PTB – PB” <dep.armandoabilio@camara.leg.br>,
“DEPUTADO(A) ARMANDO VERGILIO – PSD – GO” <dep.armandovergilio@camara.leg.br>,
“DEPUTADO(A) ARNALDO FARIA DE SA – PTB – SP” <dep.arnaldofariadesa@camara.leg.br>,
“DEPUTADO(A) ARNALDO JARDIM – PPS – SP” <dep.arnaldojardim@camara.leg.br>,
“DEPUTADO(A) ARNALDO JORDY – PPS – PA” <dep.arnaldojordy@camara.leg.br>,
“DEPUTADO(A) ARNON BEZERRA – PTB – CE” <dep.arnonbezerra@camara.leg.br>,
“DEPUTADO(A) AROLDE DE OLIVEIRA – PSD – RJ” <dep.aroldedeoliveira@camara.leg.br>,
“DEPUTADO(A) ARTHUR LIRA – PP – AL” <dep.arthurlira@camara.leg.br>,
“DEPUTADO(A) ARTHUR OLIVEIRA MAIA – PMDB – BA” <dep.arthuroliveiramaia@camara.leg.br>,
“DEPUTADO(A) ARTUR BRUNO – PT – CE” <dep.arturbruno@camara.leg.br>,
“DEPUTADO(A) ASDRUBAL BENTES – PMDB – PA” <dep.asdrubalbentes@camara.leg.br>,
“DEPUTADO(A) ASSIS CARVALHO – PT – PI” <dep.assiscarvalho@camara.leg.br>,
“DEPUTADO(A) ASSIS DO COUTO – PT – PR” <dep.assisdocouto@camara.leg.br>,
“DEPUTADO(A) ASSIS MELO – PCdoB – RS” <dep.assismelo@camara.leg.br>,
“DEPUTADO(A) ATILA LINS – PSD – AM” <dep.atilalins@camara.leg.br>,
“DEPUTADO(A) AUGUSTO CARVALHO – PPS – DF” <dep.augustocarvalho@camara.leg.br>,
“DEPUTADO(A) AUGUSTO COUTINHO – DEM – PE” <dep.augustocoutinho@camara.leg.br>,
“DEPUTADO(A) AUREO – PRTB – RJ” <dep.aureo@camara.leg.br>,
“DEPUTADO(A) BENEDITA DA SILVA – PT – RJ” <dep.beneditadasilva@camara.leg.br>,
“DEPUTADO(A) BERINHO BANTIM – PSDB – RR” <dep.berinhobantim@camara.leg.br>,
“DEPUTADO(A) BERNARDO SANTANA DE VASCONCELLOS – PR – MG” <dep.bernardosantanadevasconcellos@camara.leg.br>,
“DEPUTADO(A) BETO FARO – PT – PA” <dep.betofaro@camara.leg.br>,
“DEPUTADO(A) BETO MANSUR – PP – SP” <dep.betomansur@camara.leg.br>,
“DEPUTADO(A) BIFFI – PT – MS” <dep.biffi@camara.leg.br>,
“DEPUTADO(A) BOHN GASS – PT – RS” <dep.bohngass@camara.leg.br>,
“DEPUTADO(A) BONIFACIO DE ANDRADA – PSDB – MG” <dep.bonifaciodeandrada@camara.leg.br>,
“DEPUTADO(A) BRUNA FURLAN – PSDB – SP” <dep.brunafurlan@camara.leg.br>,
“DEPUTADO(A) BRUNO ARAUJO – PSDB – PE” <dep.brunoaraujo@camara.leg.br>,
“DEPUTADO(A) CAMILO COLA – PMDB – ES” <dep.camilocola@camara.leg.br>,
“DEPUTADO(A) CANDIDO VACCAREZZA – PT – SP” <dep.candidovaccarezza@camara.leg.br>,
“DEPUTADO(A) CARLAILE PEDROSA – PSDB – MG” <dep.carlailepedrosa@camara.leg.br>,
“DEPUTADO(A) CARLINHOS ALMEIDA – PT – SP” <dep.carlinhosalmeida@camara.leg.br>,
“DEPUTADO(A) CARLOS ALBERTO LEREIA – PSDB – GO” <dep.carlosalbertolereia@camara.leg.br>,
“DEPUTADO(A) CARLOS BRANDAO – PSDB – MA” <dep.carlosbrandao@camara.leg.br>,
“DEPUTADO(A) CARLOS EDUARDO CADOCA – PSC – PE” <dep.carloseduardocadoca@camara.leg.br>,
“DEPUTADO(A) CARLOS MAGNO – PP – RO” <dep.carlosmagno@camara.leg.br>,
“DEPUTADO(A) CARLOS SAMPAIO – PSDB – SP” <dep.carlossampaio@camara.leg.br>,
“DEPUTADO(A) CARLOS SOUZA – PSD – AM” <dep.carlossouza@camara.leg.br>,
“DEPUTADO(A) CARLOS ZARATTINI – PT – SP” <dep.carloszarattini@camara.leg.br>,
“DEPUTADO(A) CARMEN ZANOTTO – PPS – SC” <dep.carmenzanotto@camara.leg.br>,
“DEPUTADO(A) CELIA ROCHA – PTB – AL” <dep.celiarocha@camara.leg.br>,
“DEPUTADO(A) CELSO MALDANER – PMDB – SC” <dep.celsomaldaner@camara.leg.br>,
“DEPUTADO(A) CESAR COLNAGO – PSDB – ES” <dep.cesarcolnago@camara.leg.br>,
“DEPUTADO(A) CESAR HALUM – PSD – TO” <dep.cesarhalum@camara.leg.br>,
“DEPUTADO(A) CHICO ALENCAR – PSOL – RJ” <dep.chicoalencar@camara.leg.br>,
“DEPUTADO(A) CHICO D’ANGELO – PT – RJ” <dep.chicodangelo@camara.leg.br>,
“DEPUTADO(A) CHICO LOPES – PCdoB – CE” <dep.chicolopes@camara.leg.br>,
“DEPUTADO(A) CIDA BORGHETTI – PP – PR” <dep.cidaborghetti@camara.leg.br>,
“DEPUTADO(A) CLAUDIO CAJADO – DEM – BA” <dep.claudiocajado@camara.leg.br>,
“DEPUTADO(A) CLAUDIO PUTY – PT – PA” <dep.claudioputy@camara.leg.br>,
“DEPUTADO(A) CLEBER VERDE – PRB – MA” <dep.cleberverde@camara.leg.br>,
“DEPUTADO(A) COSTA FERREIRA – PSC – MA” <dep.costaferreira@camara.leg.br>,
“DEPUTADO(A) DALVA FIGUEIREDO – PT – AP” <dep.dalvafigueiredo@camara.leg.br>,
“DEPUTADO(A) DAMIAO FELICIANO – PDT – PB” <dep.damiaofeliciano@camara.leg.br>,
“DEPUTADO(A) DANIEL ALMEIDA – PCdoB – BA” <dep.danielalmeida@camara.leg.br>,
“DEPUTADO(A) DANILO FORTE – PMDB – CE” <dep.daniloforte@camara.leg.br>,
“DEPUTADO(A) DANRLEI DE DEUS HINTERHOLZ – PSD – RS” <dep.danrleidedeushinterholz@camara.leg.br>,
“DEPUTADO(A) DARCISIO PERONDI – PMDB – RS” <dep.darcisioperondi@camara.leg.br>,
“DEPUTADO(A) DAVI ALCOLUMBRE – DEM – AP” <dep.davialcolumbre@camara.leg.br>,
“DEPUTADO(A) DAVI ALVES SILVA JUNIOR – PR – MA” <dep.davialvessilvajunior@camara.leg.br>,
“DEPUTADO(A) DECIO LIMA – PT – SC” <dep.deciolima@camara.leg.br>,
“DEPUTADO(A) DELEGADO PROTOGENES – PCdoB – SP” <dep.delegadoprotogenes@camara.leg.br>,
“DEPUTADO(A) DEVANIR RIBEIRO – PT – SP” <dep.devanirribeiro@camara.leg.br>,
“DEPUTADO(A) DIEGO ANDRADE – PSD – MG” <dep.diegoandrade@camara.leg.br>,
“DEPUTADO(A) DILCEU SPERAFICO – PP – PR” <dep.dilceusperafico@camara.leg.br>,
“DEPUTADO(A) DIMAS FABIANO – PP – MG” <dep.dimasfabiano@camara.leg.br>,
“DEPUTADO(A) DOMINGOS DUTRA – PT – MA” <dep.domingosdutra@camara.leg.br>,
“DEPUTADO(A) DOMINGOS NETO – PSB – CE” <dep.domingosneto@camara.leg.br>,
“DEPUTADO(A) DOMINGOS SAVIO – PSDB – MG” <dep.domingossavio@camara.leg.br>,
“DEPUTADO(A) DR. ADILSON SOARES – PR – RJ” <dep.dr.adilsonsoares@camara.leg.br>,
“DEPUTADO(A) DR. ALUIZIO – PV – RJ” <dep.dr.aluizio@camara.leg.br>,
“DEPUTADO(A) DR. DILSON DRUMOND – PDT – RJ” <dep.dr.dilsondrumond@camara.leg.br>,
“DEPUTADO(A) DR. GRILO – PSL – MG” <dep.dr.grilo@camara.leg.br>,
“DEPUTADO(A) DR. JORGE SILVA – PDT – ES” <dep.dr.jorgesilva@camara.leg.br>,
“DEPUTADO(A) DR. PAULO CESAR – PSD – RJ” <dep.dr.paulocesar@camara.leg.br>,
“DEPUTADO(A) DR. ROSINHA – PT – PR” <dep.dr.rosinha@camara.leg.br>,
“DEPUTADO(A) DUARTE NOGUEIRA – PSDB – SP” <dep.duartenogueira@camara.leg.br>,
“DEPUTADO(A) DUDIMAR PAXIUBA – PSDB – PA” <dep.dudimarpaxiuba@camara.leg.br>,
“DEPUTADO(A) EDINHO ARAUJO – PMDB – SP” <dep.edinhoaraujo@camara.leg.br>,
“DEPUTADO(A) EDINHO BEZ – PMDB – SC” <dep.edinhobez@camara.leg.br>,
“DEPUTADO(A) EDIO LOPES – PMDB – RR” <dep.ediolopes@camara.leg.br>,
“DEPUTADO(A) EDIVALDO HOLANDA JUNIOR – PTC – MA” <dep.edivaldoholandajunior@camara.leg.br>,
“DEPUTADO(A) EDMAR ARRUDA – PSC – PR” <dep.edmararruda@camara.leg.br>,
“DEPUTADO(A) EDSON APARECIDO – PSDB – SP” <dep.edsonaparecido@camara.leg.br>,
“DEPUTADO(A) EDSON EZEQUIEL – PMDB – RJ” <dep.edsonezequiel@camara.leg.br>,
“DEPUTADO(A) EDSON PIMENTA – PSD – BA” <dep.edsonpimenta@camara.leg.br>,
“DEPUTADO(A) EDSON SANTOS – PT – RJ” <dep.edsonsantos@camara.leg.br>,
“DEPUTADO(A) EDSON SILVA – PSB – CE” <dep.edsonsilva@camara.leg.br>,
“DEPUTADO(A) EDUARDO AZEREDO – PSDB – MG” <dep.eduardoazeredo@camara.leg.br>,
“DEPUTADO(A) EDUARDO BARBOSA – PSDB – MG” <dep.eduardobarbosa@camara.leg.br>,
“DEPUTADO(A) EDUARDO CUNHA – PMDB – RJ” <dep.eduardocunha@camara.leg.br>,
“DEPUTADO(A) EDUARDO DA FONTE – PP – PE” <dep.eduardodafonte@camara.leg.br>,
“DEPUTADO(A) EDUARDO GOMES – PSDB – TO” <dep.eduardogomes@camara.leg.br>,
“DEPUTADO(A) EDUARDO SCIARRA – PSD – PR” <dep.eduardosciarra@camara.leg.br>,
“DEPUTADO(A) EFRAIM FILHO – DEM – PB” <dep.efraimfilho@camara.leg.br>,
“DEPUTADO(A) ELCIONE BARBALHO – PMDB – PA” <dep.elcionebarbalho@camara.leg.br>,
“DEPUTADO(A) ELEUSES PAIVA – PSD – SP” <dep.eleusespaiva@camara.leg.br>,
“DEPUTADO(A) ELI CORREA FILHO – DEM – SP” <dep.elicorreafilho@camara.leg.br>,
“DEPUTADO(A) ELIENE LIMA – PSD – MT” <dep.elienelima@camara.leg.br>,
“DEPUTADO(A) ELISEU PADILHA – PMDB – RS” <dep.eliseupadilha@camara.leg.br>,
“DEPUTADO(A) EMANUEL FERNANDES – PSDB – SP” <dep.emanuelfernandes@camara.leg.br>,
“DEPUTADO(A) EMILIANO JOSE – PT – BA” <dep.emilianojose@camara.leg.br>,
“DEPUTADO(A) ENIO BACCI – PDT – RS” <dep.eniobacci@camara.leg.br>,
“DEPUTADO(A) ERIKA KOKAY – PT – DF” <dep.erikakokay@camara.leg.br>,
“DEPUTADO(A) ERIVELTON SANTANA – PSC – BA” <dep.eriveltonsantana@camara.leg.br>,
“DEPUTADO(A) ESPERIDIAO AMIN – PP – SC” <dep.esperidiaoamin@camara.leg.br>,
“DEPUTADO(A) EUDES XAVIER – PT – CE” <dep.eudesxavier@camara.leg.br>,
“DEPUTADO(A) EVANDRO MILHOMEN – PCdoB – AP” <dep.evandromilhomen@camara.leg.br>,
“DEPUTADO(A) FABIO FARIA – PSD – RN” <dep.fabiofaria@camara.leg.br>,
“DEPUTADO(A) FABIO RAMALHO – PV – MG” <dep.fabioramalho@camara.leg.br>,
“DEPUTADO(A) FABIO SOUTO – DEM – BA” <dep.fabiosouto@camara.leg.br>,
“DEPUTADO(A) FABIO TRAD – PMDB – MS” <dep.fabiotrad@camara.leg.br>,
“DEPUTADO(A) FATIMA BEZERRA – PT – RN” <dep.fatimabezerra@camara.leg.br>,
“DEPUTADO(A) FATIMA PELAES – PMDB – AP” <dep.fatimapelaes@camara.leg.br>,
“DEPUTADO(A) FELIPE BORNIER – PSD – RJ” <dep.felipebornier@camara.leg.br>,
“DEPUTADO(A) FELIPE MAIA – DEM – RN” <dep.felipemaia@camara.leg.br>,
“DEPUTADO(A) FELIX MENDONCA JUNIOR – PDT – BA” <dep.felixmendoncajunior@camara.leg.br>,
“DEPUTADO(A) FERNANDO COELHO FILHO – PSB – PE” <dep.fernandocoelhofilho@camara.leg.br>,
“DEPUTADO(A) FERNANDO FERRO – PT – PE” <dep.fernandoferro@camara.leg.br>,
“DEPUTADO(A) FERNANDO FRANCISCHINI – PEN – PR” <dep.fernandofrancischini@camara.leg.br>,
“DEPUTADO(A) FERNANDO MARRONI – PT – RS” <dep.fernandomarroni@camara.leg.br>,
“DEPUTADO(A) FERNANDO TORRES – PSD – BA” <dep.fernandotorres@camara.leg.br>,
“DEPUTADO(A) FILIPE PEREIRA – PSC – RJ” <dep.filipepereira@camara.leg.br>,
“DEPUTADO(A) FLAVIA MORAIS – PDT – GO” <dep.flaviamorais@camara.leg.br>,
“DEPUTADO(A) FLAVIANO MELO – PMDB – AC” <dep.flavianomelo@camara.leg.br>,
“DEPUTADO(A) FRANCISCO ARAUJO – PSD – RR” <dep.franciscoaraujo@camara.leg.br>,
“DEPUTADO(A) FRANCISCO ESCORCIO – PMDB – MA” <dep.franciscoescorcio@camara.leg.br>,
“DEPUTADO(A) FRANCISCO FLORIANO – PR – RJ” <dep.franciscofloriano@camara.leg.br>,
“DEPUTADO(A) FRANCISCO PRACIANO – PT – AM” <dep.franciscopraciano@camara.leg.br>,
“DEPUTADO(A) GABRIEL CHALITA – PMDB – SP” <dep.gabrielchalita@camara.leg.br>,
“DEPUTADO(A) GABRIEL GUIMARAES – PT – MG” <dep.gabrielguimaraes@camara.leg.br>,
“DEPUTADO(A) GENECIAS NORONHA – PMDB – CE” <dep.geneciasnoronha@camara.leg.br>,
“DEPUTADO(A) GEORGE HILTON – PRB – MG” <dep.georgehilton@camara.leg.br>,
“DEPUTADO(A) GERALDO RESENDE – PMDB – MS” <dep.geraldoresende@camara.leg.br>,
“DEPUTADO(A) GERALDO SIMOES – PT – BA” <dep.geraldosimoes@camara.leg.br>,
“DEPUTADO(A) GERALDO THADEU – PSD – MG” <dep.geraldothadeu@camara.leg.br>,
“DEPUTADO(A) GIACOBO – PR – PR” <dep.giacobo@camara.leg.br>,
“DEPUTADO(A) GILMAR MACHADO – PT – MG” <dep.gilmarmachado@camara.leg.br>,
“DEPUTADO(A) GIOVANI CHERINI – PDT – RS” <dep.giovanicherini@camara.leg.br>,
“DEPUTADO(A) GIOVANNI QUEIROZ – PDT – PA” <dep.giovanniqueiroz@camara.leg.br>,
“DEPUTADO(A) GIROTO – PMDB – MS” <dep.giroto@camara.leg.br>,
“DEPUTADO(A) GIVALDO CARIMBAO – PSB – AL” <dep.givaldocarimbao@camara.leg.br>,
“DEPUTADO(A) GLADSON CAMELI – PP – AC” <dep.gladsoncameli@camara.leg.br>,
“DEPUTADO(A) GLAUBER BRAGA – PSB – RJ” <dep.glauberbraga@camara.leg.br>,
“DEPUTADO(A) GONZAGA PATRIOTA – PSB – PE” <dep.gonzagapatriota@camara.leg.br>,
“DEPUTADO(A) GORETE PEREIRA – PR – CE” <dep.goretepereira@camara.leg.br>,
“DEPUTADO(A) GUILHERME CAMPOS – PSD – SP” <dep.guilhermecampos@camara.leg.br>,
“DEPUTADO(A) GUILHERME MUSSI – PSD – SP” <dep.guilhermemussi@camara.leg.br>,
“DEPUTADO(A) HELENO SILVA – PRB – SE” <dep.helenosilva@camara.leg.br>,
“DEPUTADO(A) HELIO SANTOS – PSD – MA” <dep.heliosantos@camara.leg.br>,
“DEPUTADO(A) HENRIQUE AFONSO – PV – AC” <dep.henriqueafonso@camara.leg.br>,
“DEPUTADO(A) HENRIQUE EDUARDO ALVES – PMDB – RN” <dep.henriqueeduardoalves@camara.leg.br>,
“DEPUTADO(A) HENRIQUE FONTANA – PT – RS” <dep.henriquefontana@camara.leg.br>,
“DEPUTADO(A) HENRIQUE OLIVEIRA – PR – AM” <dep.henriqueoliveira@camara.leg.br>,
“DEPUTADO(A) HERMES PARCIANELLO – PMDB – PR” <dep.hermesparcianello@camara.leg.br>,
“DEPUTADO(A) HEULER CRUVINEL – PSD – GO” <dep.heulercruvinel@camara.leg.br>,
“DEPUTADO(A) HOMERO PEREIRA – PSD – MT” <dep.homeropereira@camara.leg.br>,
“DEPUTADO(A) HUGO LEAL – PSC – RJ” <dep.hugoleal@camara.leg.br>,
“DEPUTADO(A) HUGO MOTTA – PMDB – PB” <dep.hugomotta@camara.leg.br>,
“DEPUTADO(A) HUGO NAPOLEAO – PSD – PI” <dep.hugonapoleao@camara.leg.br>,
“DEPUTADO(A) INOCENCIO OLIVEIRA – PR – PE” <dep.inocenciooliveira@camara.leg.br>,
“DEPUTADO(A) IRACEMA PORTELLA – PP – PI” <dep.iracemaportella@camara.leg.br>,
“DEPUTADO(A) IRAJA ABREU – PSD – TO” <dep.irajaabreu@camara.leg.br>,
“DEPUTADO(A) IRINY LOPES – PT – ES” <dep.irinylopes@camara.leg.br>,
“DEPUTADO(A) IRIS DE ARAUJO – PMDB – GO” <dep.irisdearaujo@camara.leg.br>,
“DEPUTADO(A) ISAIAS SILVESTRE – PSB – MG” <dep.isaiassilvestre@camara.leg.br>,
“DEPUTADO(A) IVAN VALENTE – PSOL – SP” <dep.ivanvalente@camara.leg.br>,
“DEPUTADO(A) IZALCI – PSDB – DF” <dep.izalci@camara.leg.br>,
“DEPUTADO(A) JAIME MARTINS – PR – MG” <dep.jaimemartins@camara.leg.br>,
“DEPUTADO(A) JAIR BOLSONARO – PP – RJ” <dep.jairbolsonaro@camara.leg.br>,
“DEPUTADO(A) JAIRO ATAIDE – DEM – MG” <dep.jairoataide@camara.leg.br>,
“DEPUTADO(A) JANDIRA FEGHALI – PCdoB – RJ” <dep.jandirafeghali@camara.leg.br>,
“DEPUTADO(A) JANETE CAPIBERIBE – PSB – AP” <dep.janetecapiberibe@camara.leg.br>,
“DEPUTADO(A) JANETE ROCHA PIETA – PT – SP” <dep.janeterochapieta@camara.leg.br>,
“DEPUTADO(A) JANIO NATAL – PRP – BA” <dep.janionatal@camara.leg.br>,
“DEPUTADO(A) JAQUELINE RORIZ – PMN – DF” <dep.jaquelineroriz@camara.leg.br>,
“DEPUTADO(A) JEAN WYLLYS – PSOL – RJ” <dep.jeanwyllys@camara.leg.br>,
“DEPUTADO(A) JEFFERSON CAMPOS – PSD – SP” <dep.jeffersoncampos@camara.leg.br>,
“DEPUTADO(A) JERONIMO GOERGEN – PP – RS” <dep.jeronimogoergen@camara.leg.br>,
“DEPUTADO(A) JESUS RODRIGUES – PT – PI” <dep.jesusrodrigues@camara.leg.br>,
“DEPUTADO(A) JHONATAN DE JESUS – PRB – RR” <dep.jhonatandejesus@camara.leg.br>,
“DEPUTADO(A) JILMAR TATTO – PT – SP” <dep.jilmartatto@camara.leg.br>,
“DEPUTADO(A) JO MORAES – PCdoB – MG” <dep.jomoraes@camara.leg.br>,
“DEPUTADO(A) JOAO ANANIAS – PCdoB – CE” <dep.joaoananias@camara.leg.br>,
“DEPUTADO(A) JOAO ARRUDA – PMDB – PR” <dep.joaoarruda@camara.leg.br>,
“DEPUTADO(A) JOAO BITTAR – DEM – MG” <dep.joaobittar@camara.leg.br>,
“DEPUTADO(A) JOAO CAMPOS – PSDB – GO” <dep.joaocampos@camara.leg.br>,
“DEPUTADO(A) JOAO CARLOS BACELAR – PR – BA” <dep.joaocarlosbacelar@camara.leg.br>,
“DEPUTADO(A) JOAO DADO – PDT – SP” <dep.joaodado@camara.leg.br>,
“DEPUTADO(A) JOAO LEAO – PP – BA” <dep.joaoleao@camara.leg.br>,
“DEPUTADO(A) JOAO LYRA – PSD – AL” <dep.joaolyra@camara.leg.br>,
“DEPUTADO(A) JOAO MAGALHAES – PMDB – MG” <dep.joaomagalhaes@camara.leg.br>,
“DEPUTADO(A) JOAO MAIA – PR – RN” <dep.joaomaia@camara.leg.br>,
“DEPUTADO(A) JOAO PAULO CUNHA – PT – SP” <dep.joaopaulocunha@camara.leg.br>,
“DEPUTADO(A) JOAO PAULO LIMA – PT – PE” <dep.joaopaulolima@camara.leg.br>,
“DEPUTADO(A) JOAO PIZZOLATTI – PP – SC” <dep.joaopizzolatti@camara.leg.br>,
“DEPUTADO(A) JOAQUIM BELTRAO – PMDB – AL” <dep.joaquimbeltrao@camara.leg.br>,
“DEPUTADO(A) JONAS DONIZETTE – PSB – SP” <dep.jonasdonizette@camara.leg.br>,
“DEPUTADO(A) JORGE BOEIRA – PSD – SC” <dep.jorgeboeira@camara.leg.br>,
“DEPUTADO(A) JORGE CORTE REAL – PTB – PE” <dep.jorgecortereal@camara.leg.br>,
“DEPUTADO(A) JORGE TADEU MUDALEN – DEM – SP” <dep.jorgetadeumudalen@camara.leg.br>,
“DEPUTADO(A) JORGINHO MELLO – PSDB – SC” <dep.jorginhomello@camara.leg.br>,
“DEPUTADO(A) JOSE AIRTON – PT – CE” <dep.joseairton@camara.leg.br>,
“DEPUTADO(A) JOSE AUGUSTO MAIA – PTB – PE” <dep.joseaugustomaia@camara.leg.br>,
“DEPUTADO(A) JOSE CARLOS ARAUJO – PSD – BA” <dep.josecarlosaraujo@camara.leg.br>,
“DEPUTADO(A) JOSE CHAVES – PTB – PE” <dep.josechaves@camara.leg.br>,
“DEPUTADO(A) JOSE DE FILIPPI – PT – SP” <dep.josedefilippi@camara.leg.br>,
“DEPUTADO(A) JOSE GUIMARAES – PT – CE” <dep.joseguimaraes@camara.leg.br>,
“DEPUTADO(A) JOSE HUMBERTO – PHS – MG” <dep.josehumberto@camara.leg.br>,
“DEPUTADO(A) JOSE LINHARES – PP – CE” <dep.joselinhares@camara.leg.br>,
“DEPUTADO(A) JOSE MENTOR – PT – SP” <dep.josementor@camara.leg.br>,
“DEPUTADO(A) JOSE NUNES – PSD – BA” <dep.josenunes@camara.leg.br>,
“DEPUTADO(A) JOSE OTAVIO GERMANO – PP – RS” <dep.joseotaviogermano@camara.leg.br>,
“DEPUTADO(A) JOSE PRIANTE – PMDB – PA” <dep.josepriante@camara.leg.br>,
“DEPUTADO(A) JOSE ROCHA – PR – BA” <dep.joserocha@camara.leg.br>,
“DEPUTADO(A) JOSE STEDILE – PSB – RS” <dep.josestedile@camara.leg.br>,
“DEPUTADO(A) JOSIAS GOMES – PT – BA” <dep.josiasgomes@camara.leg.br>,
“DEPUTADO(A) JOSUE BENGTSON – PTB – PA” <dep.josuebengtson@camara.leg.br>,
“DEPUTADO(A) JOVAIR ARANTES – PTB – GO” <dep.jovairarantes@camara.leg.br>,
“DEPUTADO(A) JULIO CAMPOS – DEM – MT” <dep.juliocampos@camara.leg.br>,
“DEPUTADO(A) JULIO CESAR – PSD – PI” <dep.juliocesar@camara.leg.br>,
“DEPUTADO(A) JULIO DELGADO – PSB – MG” <dep.juliodelgado@camara.leg.br>,
“DEPUTADO(A) JUNIOR COIMBRA – PMDB – TO” <dep.juniorcoimbra@camara.leg.br>,
“DEPUTADO(A) JUNJI ABE – PSD – SP” <dep.junjiabe@camara.leg.br>,
“DEPUTADO(A) JUTAHY JUNIOR – PSDB – BA” <dep.jutahyjunior@camara.leg.br>,
“DEPUTADO(A) KEIKO OTA – PSB – SP” <dep.keikoota@camara.leg.br>,
“DEPUTADO(A) LAEL VARELLA – DEM – MG” <dep.laelvarella@camara.leg.br>,
“DEPUTADO(A) LAERCIO OLIVEIRA – PR – SE” <dep.laerciooliveira@camara.leg.br>,
“DEPUTADO(A) LAUREZ MOREIRA – PSB – TO” <dep.laurezmoreira@camara.leg.br>,
“DEPUTADO(A) LAURIETE – PSC – ES” <dep.lauriete@camara.leg.br>,
“DEPUTADO(A) LAZARO BOTELHO – PP – TO” <dep.lazarobotelho@camara.leg.br>,
“DEPUTADO(A) LEANDRO VILELA – PMDB – GO” <dep.leandrovilela@camara.leg.br>,
“DEPUTADO(A) LELO COIMBRA – PMDB – ES” <dep.lelocoimbra@camara.leg.br>,
“DEPUTADO(A) LEONARDO GADELHA – PSC – PB” <dep.leonardogadelha@camara.leg.br>,
“DEPUTADO(A) LEONARDO MONTEIRO – PT – MG” <dep.leonardomonteiro@camara.leg.br>,
“DEPUTADO(A) LEONARDO PICCIANI – PMDB – RJ” <dep.leonardopicciani@camara.leg.br>,
“DEPUTADO(A) LEONARDO QUINTAO – PMDB – MG” <dep.leonardoquintao@camara.leg.br>,
“DEPUTADO(A) LEOPOLDO MEYER – PSB – PR” <dep.leopoldomeyer@camara.leg.br>,
“DEPUTADO(A) LILIAM SA – PSD – RJ” <dep.liliamsa@camara.leg.br>,
“DEPUTADO(A) LINCOLN PORTELA – PR – MG” <dep.lincolnportela@camara.leg.br>,
“DEPUTADO(A) LIRA MAIA – DEM – PA” <dep.liramaia@camara.leg.br>,
“DEPUTADO(A) LOURIVAL MENDES – PTdoB – MA” <dep.lourivalmendes@camara.leg.br>,
“DEPUTADO(A) LUCI CHOINACKI – PT – SC” <dep.lucichoinacki@camara.leg.br>,
“DEPUTADO(A) LUCIANA SANTOS – PCdoB – PE” <dep.lucianasantos@camara.leg.br>,
“DEPUTADO(A) LUCIANO CASTRO – PR – RR” <dep.lucianocastro@camara.leg.br>,
“DEPUTADO(A) LUCIO VALE – PR – PA” <dep.luciovale@camara.leg.br>,
“DEPUTADO(A) LUCIO VIEIRA LIMA – PMDB – BA” <dep.luciovieiralima@camara.leg.br>,
“DEPUTADO(A) LUIS CARLOS HEINZE – PP – RS” <dep.luiscarlosheinze@camara.leg.br>,
“DEPUTADO(A) LUIS TIBE – PTdoB – MG” <dep.luistibe@camara.leg.br>,
“DEPUTADO(A) LUIZ ALBERTO – PT – BA” <dep.luizalberto@camara.leg.br>,
“DEPUTADO(A) LUIZ ARGOLO – PP – BA” <dep.luizargolo@camara.leg.br>,
“DEPUTADO(A) LUIZ CARLOS – PSDB – AP” <dep.luizcarlos@camara.leg.br>,
“DEPUTADO(A) LUIZ CARLOS SETIM – DEM – PR” <dep.luizcarlossetim@camara.leg.br>,
“DEPUTADO(A) LUIZ COUTO – PT – PB” <dep.luizcouto@camara.leg.br>,
“DEPUTADO(A) LUIZ FERNANDO FARIA – PP – MG” <dep.luizfernandofaria@camara.leg.br>,
“DEPUTADO(A) LUIZ FERNANDO MACHADO – PSDB – SP” <dep.luizfernandomachado@camara.leg.br>,
“DEPUTADO(A) LUIZ NISHIMORI – PSDB – PR” <dep.luiznishimori@camara.leg.br>,
“DEPUTADO(A) LUIZ NOE – PSB – RS” <dep.luiznoe@camara.leg.br>,
“DEPUTADO(A) LUIZ PITIMAN – PMDB – DF” <dep.luizpitiman@camara.leg.br>,
“DEPUTADO(A) LUIZ SERGIO – PT – RJ” <dep.luizsergio@camara.leg.br>,
“DEPUTADO(A) LUIZA ERUNDINA – PSB – SP” <dep.luizaerundina@camara.leg.br>,
“DEPUTADO(A) MAGDA MOFATTO – PTB – GO” <dep.magdamofatto@camara.leg.br>,
“DEPUTADO(A) MANATO – PDT – ES” <dep.manato@camara.leg.br>,
“DEPUTADO(A) MANDETTA – DEM – MS” <dep.mandetta@camara.leg.br>,
“DEPUTADO(A) MANOEL JUNIOR – PMDB – PB” <dep.manoeljunior@camara.leg.br>,
“DEPUTADO(A) MANOEL SALVIANO – PSD – CE” <dep.manoelsalviano@camara.leg.br>,
“DEPUTADO(A) MARA GABRILLI – PSDB – SP” <dep.maragabrilli@camara.leg.br>,
“DEPUTADO(A) MARCAL FILHO – PMDB – MS” <dep.marcalfilho@camara.leg.br>,
“DEPUTADO(A) MARCELO AGUIAR – PSD – SP” <dep.marceloaguiar@camara.leg.br>,
“DEPUTADO(A) MARCELO CASTRO – PMDB – PI” <dep.marcelocastro@camara.leg.br>,
“DEPUTADO(A) MARCELO MATOS – PDT – RJ” <dep.marcelomatos@camara.leg.br>,
“DEPUTADO(A) MARCIO BITTAR – PSDB – AC” <dep.marciobittar@camara.leg.br>,
“DEPUTADO(A) MARCIO FRANCA – PSB – SP” <dep.marciofranca@camara.leg.br>,
“DEPUTADO(A) MARCIO MACEDO – PT – SE” <dep.marciomacedo@camara.leg.br>,
“DEPUTADO(A) MARCIO MARINHO – PRB – BA” <dep.marciomarinho@camara.leg.br>,
“DEPUTADO(A) MARCIO REINALDO MOREIRA – PP – MG” <dep.marcioreinaldomoreira@camara.leg.br>,
“DEPUTADO(A) MARCO MAIA – PT – RS” <dep.marcomaia@camara.leg.br>,
“DEPUTADO(A) MARCO TEBALDI – PSDB – SC” <dep.marcotebaldi@camara.leg.br>,
“DEPUTADO(A) MARCON – PT – RS” <dep.marcon@camara.leg.br>,
“DEPUTADO(A) MARCOS MONTES – PSD – MG” <dep.marcosmontes@camara.leg.br>,
“DEPUTADO(A) MARCOS ROGERIO – PDT – RO” <dep.marcosrogerio@camara.leg.br>,
“DEPUTADO(A) MARCUS PESTANA – PSDB – MG” <dep.marcuspestana@camara.leg.br>,
“DEPUTADO(A) MARINA SANTANNA – PT – GO” <dep.marinasantanna@camara.leg.br>,
“DEPUTADO(A) MARINHA RAUPP – PMDB – RO” <dep.marinharaupp@camara.leg.br>,
“DEPUTADO(A) MARIO DE OLIVEIRA – PSC – MG” <dep.mariodeoliveira@camara.leg.br>,
“DEPUTADO(A) MARIO NEGROMONTE – PP – BA” <dep.marionegromonte@camara.leg.br>,
“DEPUTADO(A) MARLLOS SAMPAIO – PMDB – PI” <dep.marllossampaio@camara.leg.br>,
“DEPUTADO(A) MAURICIO QUINTELLA LESSA – PR – AL” <dep.mauricioquintellalessa@camara.leg.br>,
“DEPUTADO(A) MAURICIO TRINDADE – PR – BA” <dep.mauriciotrindade@camara.leg.br>,
“DEPUTADO(A) MAURO BENEVIDES – PMDB – CE” <dep.maurobenevides@camara.leg.br>,
“DEPUTADO(A) MAURO LOPES – PMDB – MG” <dep.maurolopes@camara.leg.br>,
“DEPUTADO(A) MAURO MARIANI – PMDB – SC” <dep.mauromariani@camara.leg.br>,
“DEPUTADO(A) MAURO NAZIF – PSB – RO” <dep.mauronazif@camara.leg.br>,
“DEPUTADO(A) MENDONCA FILHO – DEM – PE” <dep.mendoncafilho@camara.leg.br>,
“DEPUTADO(A) MENDONCA PRADO – DEM – SE” <dep.mendoncaprado@camara.leg.br>,
“DEPUTADO(A) MIGUEL CORREA – PT – MG” <dep.miguelcorrea@camara.leg.br>,
“DEPUTADO(A) MILTON MONTI – PR – SP” <dep.miltonmonti@camara.leg.br>,
“DEPUTADO(A) MIRIQUINHO BATISTA – PT – PA” <dep.miriquinhobatista@camara.leg.br>,
“DEPUTADO(A) MIRO TEIXEIRA – PDT – RJ” <dep.miroteixeira@camara.leg.br>,
“DEPUTADO(A) MISSIONARIO JOSE OLIMPIO – PP – SP” <dep.missionariojoseolimpio@camara.leg.br>,
“DEPUTADO(A) MOREIRA MENDES – PSD – RO” <dep.moreiramendes@camara.leg.br>,
“DEPUTADO(A) NATAN DONADON – PMDB – RO” <dep.natandonadon@camara.leg.br>,
“DEPUTADO(A) NAZARENO FONTELES – PT – PI” <dep.nazarenofonteles@camara.leg.br>,
“DEPUTADO(A) NEILTON MULIM – PR – RJ” <dep.neiltonmulim@camara.leg.br>,
“DEPUTADO(A) NELSON BORNIER – PMDB – RJ” <dep.nelsonbornier@camara.leg.br>,
“DEPUTADO(A) NELSON MARCHEZAN JUNIOR – PSDB – RS” <dep.nelsonmarchezanjunior@camara.leg.br>,
“DEPUTADO(A) NELSON MARQUEZELLI – PTB – SP” <dep.nelsonmarquezelli@camara.leg.br>,
“DEPUTADO(A) NELSON MEURER – PP – PR” <dep.nelsonmeurer@camara.leg.br>,
“DEPUTADO(A) NELSON PADOVANI – PSC – PR” <dep.nelsonpadovani@camara.leg.br>,
“DEPUTADO(A) NEWTON CARDOSO – PMDB – MG” <dep.newtoncardoso@camara.leg.br>,
“DEPUTADO(A) NEWTON LIMA – PT – SP” <dep.newtonlima@camara.leg.br>,
“DEPUTADO(A) NICE LOBAO – PSD – MA” <dep.nicelobao@camara.leg.br>,
“DEPUTADO(A) NILDA GONDIM – PMDB – PB” <dep.nildagondim@camara.leg.br>,
“DEPUTADO(A) NILSON LEITAO – PSDB – MT” <dep.nilsonleitao@camara.leg.br>,
“DEPUTADO(A) NILTON CAPIXABA – PTB – RO” <dep.niltoncapixaba@camara.leg.br>,
“DEPUTADO(A) ODAIR CUNHA – PT – MG” <dep.odaircunha@camara.leg.br>,
“DEPUTADO(A) ODILIO BALBINOTTI – PMDB – PR” <dep.odiliobalbinotti@camara.leg.br>,
“DEPUTADO(A) ONOFRE SANTO AGOSTINI – PSD – SC” <dep.onofresantoagostini@camara.leg.br>,
“DEPUTADO(A) ONYX LORENZONI – DEM – RS” <dep.onyxlorenzoni@camara.leg.br>,
“DEPUTADO(A) OSMAR JUNIOR – PCdoB – PI” <dep.osmarjunior@camara.leg.br>,
“DEPUTADO(A) OSMAR SERRAGLIO – PMDB – PR” <dep.osmarserraglio@camara.leg.br>,
“DEPUTADO(A) OSMAR TERRA – PMDB – RS” <dep.osmarterra@camara.leg.br>,
“DEPUTADO(A) OTAVIO LEITE – PSDB – RJ” <dep.otavioleite@camara.leg.br>,
“DEPUTADO(A) OTONIEL LIMA – PRB – SP” <dep.otoniellima@camara.leg.br>,
“DEPUTADO(A) OZIEL OLIVEIRA – PDT – BA” <dep.ozieloliveira@camara.leg.br>,
“DEPUTADO(A) PADRE JOAO – PT – MG” <dep.padrejoao@camara.leg.br>,
“DEPUTADO(A) PADRE TON – PT – RO” <dep.padreton@camara.leg.br>,
“DEPUTADO(A) PAES LANDIM – PTB – PI” <dep.paeslandim@camara.leg.br>,
“DEPUTADO(A) PASTOR EURICO – PSB – PE” <dep.pastoreurico@camara.leg.br>,
“DEPUTADO(A) PASTOR MARCO FELICIANO – PSC – SP” <dep.pastormarcofeliciano@camara.leg.br>,
“DEPUTADO(A) PAUDERNEY AVELINO – DEM – AM” <dep.pauderneyavelino@camara.leg.br>,
“DEPUTADO(A) PAULO ABI-ACKEL – PSDB – MG” <dep.pauloabiackel@camara.leg.br>,
“DEPUTADO(A) PAULO CESAR QUARTIERO – DEM – RR” <dep.paulocesarquartiero@camara.leg.br>,
“DEPUTADO(A) PAULO FEIJO – PR – RJ” <dep.paulofeijo@camara.leg.br>,
“DEPUTADO(A) PAULO FERREIRA – PT – RS” <dep.pauloferreira@camara.leg.br>,
“DEPUTADO(A) PAULO FOLETTO – PSB – ES” <dep.paulofoletto@camara.leg.br>,
“DEPUTADO(A) PAULO FREIRE – PR – SP” <dep.paulofreire@camara.leg.br>,
“DEPUTADO(A) PAULO MAGALHAES – PSD – BA” <dep.paulomagalhaes@camara.leg.br>,
“DEPUTADO(A) PAULO MALUF – PP – SP” <dep.paulomaluf@camara.leg.br>,
“DEPUTADO(A) PAULO PEREIRA DA SILVA – PDT – SP” <dep.paulopereiradasilva@camara.leg.br>,
“DEPUTADO(A) PAULO PIAU – PMDB – MG” <dep.paulopiau@camara.leg.br>,
“DEPUTADO(A) PAULO PIMENTA – PT – RS” <dep.paulopimenta@camara.leg.br>,
“DEPUTADO(A) PAULO RUBEM SANTIAGO – PDT – PE” <dep.paulorubemsantiago@camara.leg.br>,
“DEPUTADO(A) PAULO TEIXEIRA – PT – SP” <dep.pauloteixeira@camara.leg.br>,
“DEPUTADO(A) PAULO WAGNER – PV – RN” <dep.paulowagner@camara.leg.br>,
“DEPUTADO(A) PEDRO CHAVES – PMDB – GO” <dep.pedrochaves@camara.leg.br>,
“DEPUTADO(A) PEDRO EUGENIO – PT – PE” <dep.pedroeugenio@camara.leg.br>,
“DEPUTADO(A) PEDRO HENRY – PP – MT” <dep.pedrohenry@camara.leg.br>,
“DEPUTADO(A) PEDRO NOVAIS – PMDB – MA” <dep.pedronovais@camara.leg.br>,
“DEPUTADO(A) PEDRO PAULO – PMDB – RJ” <dep.pedropaulo@camara.leg.br>,
“DEPUTADO(A) PEDRO UCZAI – PT – SC” <dep.pedrouczai@camara.leg.br>,
“DEPUTADO(A) PENNA – PV – SP” <dep.penna@camara.leg.br>,
“DEPUTADO(A) PERPETUA ALMEIDA – PCdoB – AC” <dep.perpetuaalmeida@camara.leg.br>,
“DEPUTADO(A) PINTO ITAMARATY – PSDB – MA” <dep.pintoitamaraty@camara.leg.br>,
“DEPUTADO(A) POLICARPO – PT – DF” <dep.policarpo@camara.leg.br>,
“DEPUTADO(A) PROFESSOR SERGIO DE OLIVEIRA – PSC – PR” <dep.professorsergiodeoliveira@camara.leg.br>,
“DEPUTADO(A) PROFESSOR SETIMO – PMDB – MA” <dep.professorsetimo@camara.leg.br>,
“DEPUTADO(A) PROFESSOR VICTORIO GALLI – PMDB – MT” <dep.professorvictoriogalli@camara.leg.br>,
“DEPUTADO(A) PROFESSORA DORINHA SEABRA REZENDE – DEM – TO” <dep.professoradorinhaseabrarezende@camara.leg.br>,
“DEPUTADO(A) RAIMUNDAO – PMDB – CE” <dep.raimundao@camara.leg.br>,
“DEPUTADO(A) RAIMUNDO GOMES DE MATOS – PSDB – CE” <dep.raimundogomesdematos@camara.leg.br>,
“DEPUTADO(A) RAUL HENRY – PMDB – PE” <dep.raulhenry@camara.leg.br>,
“DEPUTADO(A) RAUL LIMA – PSD – RR” <dep.raullima@camara.leg.br>,
“DEPUTADO(A) REBECCA GARCIA – PP – AM” <dep.rebeccagarcia@camara.leg.br>,
“DEPUTADO(A) REGINALDO LOPES – PT – MG” <dep.reginaldolopes@camara.leg.br>,
“DEPUTADO(A) REGUFFE – PDT – DF” <dep.reguffe@camara.leg.br>,
“DEPUTADO(A) REINALDO AZAMBUJA – PSDB – MS” <dep.reinaldoazambuja@camara.leg.br>,
“DEPUTADO(A) REINHOLD STEPHANES – PSD – PR” <dep.reinholdstephanes@camara.leg.br>,
“DEPUTADO(A) RENAN FILHO – PMDB – AL” <dep.renanfilho@camara.leg.br>,
“DEPUTADO(A) RENATO MOLLING – PP – RS” <dep.renatomolling@camara.leg.br>,
“DEPUTADO(A) RENZO BRAZ – PP – MG” <dep.renzobraz@camara.leg.br>,
“DEPUTADO(A) RIBAMAR ALVES – PSB – MA” <dep.ribamaralves@camara.leg.br>,
“DEPUTADO(A) RICARDO BERZOINI – PT – SP” <dep.ricardoberzoini@camara.leg.br>,
“DEPUTADO(A) RICARDO IZAR – PSD – SP” <dep.ricardoizar@camara.leg.br>,
“DEPUTADO(A) RICARDO TRIPOLI – PSDB – SP” <dep.ricardotripoli@camara.leg.br>,
“DEPUTADO(A) ROBERTO BALESTRA – PP – GO” <dep.robertobalestra@camara.leg.br>,
“DEPUTADO(A) ROBERTO BRITTO – PP – BA” <dep.robertobritto@camara.leg.br>,
“DEPUTADO(A) ROBERTO DE LUCENA – PV – SP” <dep.robertodelucena@camara.leg.br>,
“DEPUTADO(A) ROBERTO FREIRE – PPS – SP” <dep.robertofreire@camara.leg.br>,
“DEPUTADO(A) ROBERTO SANTIAGO – PSD – SP” <dep.robertosantiago@camara.leg.br>,
“DEPUTADO(A) ROBERTO TEIXEIRA – PP – PE” <dep.robertoteixeira@camara.leg.br>,
“DEPUTADO(A) RODRIGO BETHLEM – PMDB – RJ” <dep.rodrigobethlem@camara.leg.br>,
“DEPUTADO(A) RODRIGO DE CASTRO – PSDB – MG” <dep.rodrigodecastro@camara.leg.br>,
“DEPUTADO(A) RODRIGO MAIA – DEM – RJ” <dep.rodrigomaia@camara.leg.br>,
“DEPUTADO(A) ROGERIO CARVALHO – PT – SE” <dep.rogeriocarvalho@camara.leg.br>,
“DEPUTADO(A) ROGERIO MARINHO – PSDB – RN” <dep.rogeriomarinho@camara.leg.br>,
“DEPUTADO(A) ROGERIO PENINHA MENDONCA – PMDB – SC” <dep.rogeriopeninhamendonca@camara.leg.br>,
“DEPUTADO(A) ROMARIO – PSB – RJ” <dep.romario@camara.leg.br>,
“DEPUTADO(A) ROMERO RODRIGUES – PSDB – PB” <dep.romerorodrigues@camara.leg.br>,
“DEPUTADO(A) RONALDO BENEDET – PMDB – SC” <dep.ronaldobenedet@camara.leg.br>,
“DEPUTADO(A) RONALDO CAIADO – DEM – GO” <dep.ronaldocaiado@camara.leg.br>,
“DEPUTADO(A) RONALDO FONSECA – PR – DF” <dep.ronaldofonseca@camara.leg.br>,
“DEPUTADO(A) RONALDO NOGUEIRA – PTB – RS” <dep.ronaldonogueira@camara.leg.br>,
“DEPUTADO(A) RONALDO ZULKE – PT – RS” <dep.ronaldozulke@camara.leg.br>,
“DEPUTADO(A) ROSANE FERREIRA – PV – PR” <dep.rosaneferreira@camara.leg.br>,
“DEPUTADO(A) ROSE DE FREITAS – PMDB – ES” <dep.rosedefreitas@camara.leg.br>,
“DEPUTADO(A) ROSINHA DA ADEFAL – PTdoB – AL” <dep.rosinhadaadefal@camara.leg.br>,
“DEPUTADO(A) RUBENS BUENO – PPS – PR” <dep.rubensbueno@camara.leg.br>,
“DEPUTADO(A) RUBENS OTONI – PT – GO” <dep.rubensotoni@camara.leg.br>,
“DEPUTADO(A) RUI PALMEIRA – PSDB – AL” <dep.ruipalmeira@camara.leg.br>,
“DEPUTADO(A) RUY CARNEIRO – PSDB – PB” <dep.ruycarneiro@camara.leg.br>,
“DEPUTADO(A) SABINO CASTELO BRANCO – PTB – AM” <dep.sabinocastelobranco@camara.leg.br>,
“DEPUTADO(A) SALVADOR ZIMBALDI – PDT – SP” <dep.salvadorzimbaldi@camara.leg.br>,
“DEPUTADO(A) SANDES JUNIOR – PP – GO” <dep.sandesjunior@camara.leg.br>,
“DEPUTADO(A) SANDRA ROSADO – PSB – RN” <dep.sandrarosado@camara.leg.br>,
“DEPUTADO(A) SANDRO ALEX – PPS – PR” <dep.sandroalex@camara.leg.br>,
“DEPUTADO(A) SANDRO MABEL – PMDB – GO” <dep.sandromabel@camara.leg.br>,
“DEPUTADO(A) SARAIVA FELIPE – PMDB – MG” <dep.saraivafelipe@camara.leg.br>,
“DEPUTADO(A) SARNEY FILHO – PV – MA” <dep.sarneyfilho@camara.leg.br>,
“DEPUTADO(A) SEBASTIAO BALA ROCHA – PDT – AP” <dep.sebastiaobalarocha@camara.leg.br>,
“DEPUTADO(A) SERGIO BARRADAS CARNEIRO – PT – BA” <dep.sergiobarradascarneiro@camara.leg.br>,
“DEPUTADO(A) SERGIO BRITO – PSD – BA” <dep.sergiobrito@camara.leg.br>,
“DEPUTADO(A) SERGIO GUERRA – PSDB – PE” <dep.sergioguerra@camara.leg.br>,
“DEPUTADO(A) SERGIO MORAES – PTB – RS” <dep.sergiomoraes@camara.leg.br>,
“DEPUTADO(A) SEVERINO NINHO – PSB – PE” <dep.severinoninho@camara.leg.br>,
“DEPUTADO(A) SIBA MACHADO – PT – AC” <dep.sibamachado@camara.leg.br>,
“DEPUTADO(A) SILAS CAMARA – PSD – AM” <dep.silascamara@camara.leg.br>,
“DEPUTADO(A) SILVIO COSTA – PTB – PE” <dep.silviocosta@camara.leg.br>,
“DEPUTADO(A) SIMAO SESSIM – PP – RJ” <dep.simaosessim@camara.leg.br>,
“DEPUTADO(A) STEPAN NERCESSIAN – PPS – RJ” <dep.stepannercessian@camara.leg.br>,
“DEPUTADO(A) SUELI VIDIGAL – PDT – ES” <dep.suelividigal@camara.leg.br>,
“DEPUTADO(A) TAKAYAMA – PSC – PR” <dep.takayama@camara.leg.br>,
“DEPUTADO(A) TAUMATURGO LIMA – PT – AC” <dep.taumaturgolima@camara.leg.br>,
“DEPUTADO(A) TERESA SURITA – PMDB – RR” <dep.teresasurita@camara.leg.br>,
“DEPUTADO(A) TIRIRICA – PR – SP” <dep.tiririca@camara.leg.br>,
“DEPUTADO(A) TONINHO PINHEIRO – PP – MG” <dep.toninhopinheiro@camara.leg.br>,
“DEPUTADO(A) VALADARES FILHO – PSB – SE” <dep.valadaresfilho@camara.leg.br>,
“DEPUTADO(A) VALDEMAR COSTA NETO – PR – SP” <dep.valdemarcostaneto@camara.leg.br>,
“DEPUTADO(A) VALDIR COLATTO – PMDB – SC” <dep.valdircolatto@camara.leg.br>,
“DEPUTADO(A) VALDIVINO DE OLIVEIRA – PSDB – GO” <dep.valdivinodeoliveira@camara.leg.br>,
“DEPUTADO(A) VALMIR ASSUNCAO – PT – BA” <dep.valmirassuncao@camara.leg.br>,
“DEPUTADO(A) VALTENIR PEREIRA – PSB – MT” <dep.valtenirpereira@camara.leg.br>,
“DEPUTADO(A) VANDER LOUBET – PT – MS” <dep.vanderloubet@camara.leg.br>,
“DEPUTADO(A) VANDERLEI MACRIS – PSDB – SP” <dep.vanderleimacris@camara.leg.br>,
“DEPUTADO(A) VANDERLEI SIRAQUE – PT – SP” <dep.vanderleisiraque@camara.leg.br>,
“DEPUTADO(A) VAZ DE LIMA – PSDB – SP” <dep.vazdelima@camara.leg.br>,
“DEPUTADO(A) VICENTE ARRUDA – PR – CE” <dep.vicentearruda@camara.leg.br>,
“DEPUTADO(A) VICENTE CANDIDO – PT – SP” <dep.vicentecandido@camara.leg.br>,
“DEPUTADO(A) VICENTE SELISTRE – PSB – RS” <dep.vicenteselistre@camara.leg.br>,
“DEPUTADO(A) VICENTINHO – PT – SP” <dep.vicentinho@camara.leg.br>,
“DEPUTADO(A) VIEIRA DA CUNHA – PDT – RS” <dep.vieiradacunha@camara.leg.br>,
“DEPUTADO(A) VILALBA – PRB – PE” <dep.vilalba@camara.leg.br>,
“DEPUTADO(A) VILSON COVATTI – PP – RS” <dep.vilsoncovatti@camara.leg.br>,
“DEPUTADO(A) VINICIUS GURGEL – PR – AP” <dep.viniciusgurgel@camara.leg.br>,
“DEPUTADO(A) VITOR PAULO – PRB – RJ” <dep.vitorpaulo@camara.leg.br>,
“DEPUTADO(A) VITOR PENIDO – DEM – MG” <dep.vitorpenido@camara.leg.br>,
“DEPUTADO(A) WALDENOR PEREIRA – PT – BA” <dep.waldenorpereira@camara.leg.br>,
“DEPUTADO(A) WALDIR MARANHAO – PP – MA” <dep.waldirmaranhao@camara.leg.br>,
“DEPUTADO(A) WALNEY ROCHA – PTB – RJ” <dep.walneyrocha@camara.leg.br>,
“DEPUTADO(A) WALTER FELDMAN – PSDB – SP” <dep.walterfeldman@camara.leg.br>,
“DEPUTADO(A) WALTER TOSTA – PSD – MG” <dep.waltertosta@camara.leg.br>,
“DEPUTADO(A) WANDENKOLK GONCALVES – PSDB – PA” <dep.wandenkolkgoncalves@camara.leg.br>,
“DEPUTADO(A) WASHINGTON REIS – PMDB – RJ” <dep.washingtonreis@camara.leg.br>,
“DEPUTADO(A) WELITON PRADO – PT – MG” <dep.welitonprado@camara.leg.br>,
“DEPUTADO(A) WELLINGTON FAGUNDES – PR – MT” <dep.wellingtonfagundes@camara.leg.br>,
“DEPUTADO(A) WELLINGTON ROBERTO – PR – PB” <dep.wellingtonroberto@camara.leg.br>,
“DEPUTADO(A) WILLIAM DIB – PSDB – SP” <dep.williamdib@camara.leg.br>,
“DEPUTADO(A) WILSON FILHO – PMDB – PB” <dep.wilsonfilho@camara.leg.br>,
“DEPUTADO(A) WLADIMIR COSTA – PMDB – PA” <dep.wladimircosta@camara.leg.br>,
“DEPUTADO(A) WOLNEY QUEIROZ – PDT – PE” <dep.wolneyqueiroz@camara.leg.br>,
“DEPUTADO(A) ZE GERALDO – PT – PA” <dep.zegeraldo@camara.leg.br>,
“DEPUTADO(A) ZE SILVA – PDT – MG” <dep.zesilva@camara.leg.br>,
“DEPUTADO(A) ZE VIEIRA – PR – MA” <dep.zevieira@camara.leg.br>,
“DEPUTADO(A) ZECA DIRCEU – PT – PR” <dep.zecadirceu@camara.leg.br>,
“DEPUTADO(A) ZENALDO COUTINHO – PSDB – PA” <dep.zenaldocoutinho@camara.leg.br>,
“DEPUTADO(A) ZEQUINHA MARINHO – PSC – PA” <dep.zequinhamarinho@camara.leg.br>,
“DEPUTADO(A) ZEZEU RIBEIRO – PT – BA” <dep.zezeuribeiro@camara.leg.br>,
“DEPUTADO(A) ZOINHO – PR – RJ” <dep.zoinho@camara.leg.br>,

Publicado em Security | 3 comentários

Veja sua colocação no concurso CESPE/Câmara dos Deputados 2012

Caro Concurseiro,

Em homenagem aos milhares de brasileiros e brasileiras que estão esperando ansiosamente pelo resultado do concurso da Câmara dos Deputados, preparei essa pequena calculadora estatística que usa os dados (desvio padrão e média) do ranking SuperConcurseiros.com.br para estimar a colocação geral no concurso com base na pontuação do candidato e nos 26902 inscritos menos as prováveis abstenções.

Lembre que essa amostragem estatística do Super Concurseiros não é muito representativa, pois em geral são os melhores concurseiros que colocam suas notas nesses rankings, sem falar na falta de aleatoriedade. Portanto, não se grile muito se a sua colocação na calculadora não for boa, pois, provavelmente, a média real será mais baixa e o desvio padrão será outro fazendo sua colocação real ser bem melhor.

Se você quiser, também é possível fazer prognósticos com a calculadora, mudando-se a média, desvio padrão e o percentual de abstenção do concurso. Assim, você poderá “chutar” possíveis cenários com mais rigor estatístico,

Divirta-se e veja sua provável colocação abaixo:

Publicado em Outros | 3 comentários

Nova Lei de Crimes Cibernéticos não puniria os transgressores do caso Carolina Dieckmann

Em maio deste ano, discutimos aqui no blog o Projeto de Lei 2793 de 2011 (PL2793/2011), conhecido como Lei de Crimes Cibernéticos. A discussão se pautou na ponderação a respeito de certas proibições trazidas pela lei que teriam impacto negativo na ciência e tecnologia nacionais. O objetivo deste artigo é continuar com  a série de críticas, desta vez questionando a urgência que tem se dado à tramitação deste projeto.

Existe em tramitação no Senado Federal o projeto do Novo Código Penal que, dentre outras inovações, cuida também de crimes cibernéticos de forma que a matéria tratada pelo PL2793 tornar-se-ía obsoleta depois de aprovado o novo código. Contudo, mesmo diante de duras críticas feitas por alguns senadores pela incomum pressa dada a tramitação do PL e por este ter matéria conicidente com a reforma do código penal, a tramitação seguiu adiante. A grande justificativa para tanto é que o novo código penal demoraria muito para ser aprovado e que a sociedade precisa com urgência de uma lei de crimes cibernéticos, tendo como caso exemplar dessa necesidade, a violação da intimidade da atriz Carolina Dieckmann. Vamos entender melhor essa urgência.

Como todos sabem, o legislativo passou mais de uma década discutindo o “Projeto de Lei Azeredo” que versava, dentre outras coisas, sobre os crimes de informátca. Contudo, essa morosidade legislativa foi trocada, como num passe de mágica,  pela pressa descabida, logo depois do início de um clamor midiático causadado pela publicação de fotos íntimas da atriz Carolina Dieckmann. Esse tema ganhou tanto destaque que até foi tratado aqui no blog e em vários outros lugares. A correlação entre o PL e o caso da atriz foi tão contundente que até chegou a ensejar o apelido “Lei Dieckmann”, que foi dado ao PL em tom humorístico. Ora, não me sinto à vontade com o fato de que uma única pessoa tenha tamanha influência sobre o Poder Legislativo de nosso país, mas se pelo menos a lei pudesse proteger as vítimas que, como a atriz, tiveram a sua intimidade violada no âmbito informático, já existiria algum ganho. Contudo, a pressa é realmente inimiga da perfeição, especialmente nesse caso.

Apesar de todos os esforços do legislativo para contemporizar com o clamor público obtido pela atriz e seu advogado, o PL2793, nova proposta de tipificação de crimes cibernéticos, sequer serviria para por na cadeia os malfeitores no caso de Carolina Dieckmann. É isso mesmo! Apesar de eu não ser jurista,  fica evidente que a conduta realizada por estes indivíduos não se enquadra no novo tipo penal definido pelo PL. Não acredita? Vejamos o trecho do PL, já com as modificações trazidas pelo senado:

Art. 154-A. Invadir dispositivo informático alheio, conectado ou não a rede de computadores, mediante violação indevida de mecanismo de segurança e com o fim de obter, adulterar ou destruir dados ou informações sem autorização expressa ou tácita do titular do dispositivo ou instalar vulnerabilidades:
Pena – detenção, de 3 (três) meses a 1 (um) ano, e multa.

Quem não lembra como se sucedeu o o caso, sugiro uma breve lida em meu artigo ‘A verdade sobre as “Técnicas de Invasão” usadas no caso Carolina Dieckmann’. Lá, descrevo que, na verdade, não houve sequer invasão nenhuma. O que realmente houve foi o envio de uma mensagem de email falsa para a atriz, alegando ser originada do provedor de internet dela. A mesagem pedia vários dados cadastrais de Carolina, inclusive a senha do correio eletrônico, sob o pretexto de melhrorar a segurança. Talvez por ingenuidade, Carolina informou todos os dados solicitados. Como a mensagem era falsa, a resposta de Carolina foi destinada ao malfeitor, que se valeu da senha da atriz para adentrar sua conta de email e copiar as fotos íntimas. Veja bem, Carolina cedeu, por vontade e consciência (ainda que mediante engodo), sua senha de email, que foi usada como deveria ser, para acessar as mensagens. Não houve servidor invadido, criptografia quebrada, tráfego interceptado, infecção por código malicioso ou nada desse tipo. Assim, não houve neste caso nenhuma “violação indevida de mecanismo de segurança” nem sequer “invasão de dispositivo informático alheio”.  O atacante apenas utilizou a senha, dada por Carolina, como de praxe.

Para compreender melhor, o direito penal brasileiro se orienta pelo princípio da estrita legalidade, o que significa que, para definirmos algo como crime, não podemos sequer fazer analogia, sendo a letra da lei definidora da conduta criminosa. Ou seja, se não está expresso claramente na lei, não é crime.  Assim, o que podemos concluir quando analisamos a conduta praticada contra Carolina frente ao tipo penal trazido pelo PL2793 é que, se dependesse apenas dele, não haveria crime nenhum nesse caso. Felizmente, a conduta em questão assemelha-se ao tipo penal de estelionato, o famoso “171″ de nosso código penal, uma lei que já existe e é bem mais rigorosa que o PL de crimes cibernéticos. Veja:

Art. 171 – Obter, para si ou para outrem, vantagem ilícita, em prejuízo alheio, induzindo ou mantendo alguém em erro, mediante artifício, ardil, ou qualquer outro meio fraudulento:

Pena – reclusão, de um a cinco anos, e multa.

No caso Dieckmann, o atacante realizou o que conhecemos em segurança por phishing, que é a fraude eletrônica, geralmente feita por email, onde o fraudador se faz passar por alguma organização de conhecimento da vítima (banco, provedor, etc) com objetivo de obter indevidamente seus dados pessoais. Isso é a própria personificação do que está definido no tipo penal de estelionato já que o atacante: 1) usou de ardil (um email fraudulento) para manter em erro (Carolina pensava tratar-se do provedor) com vantagem ilícita (obtenção de dados pessoais) em prejuízo alheio (intimidade violada). Haveria ainda uma discussão de que a vantagem ilícita deveria ser de cunho patrimonial e a mera violação moral não seria suficiente para configurar o tipo, mas isso já é outra estória. A questão aqui é apenas uma: a nova lei trazida pelo PL de crimes cibernéticos não puniria ninguém no caso da Carolina Dieckmann.

Tudo isso nos leva a questionar se, de fato, o PL2793/11 merece tanta urgência assim. Principalmente porque essa urgência tem sido usada como pretexto para não envolver ativamente nas discussões do projeto, os setores da sociedade interessados, como, por exemplo, os profissionais da segurança da informação, da forma democrática que outros projetos exemplarmente fizeram (vide o Marco Civil da Internet). Qual a desculpa agora?

 

Publicado em Outros | Com a tag , , , , , , , , | 5 comentários

Pesquisa eleitoral e margem de erro: você provavelmente está entendendo errado

Inicialmente, peço que você leitor tenha em mente que o objetivo deste artigo não é ser um compêndio técnico sobre  estatística e sim o de alertar sobre a falsa impressão que certas pesquisas eleitorais passam, em especial com relação à margem de erro. Portanto, leia com moderação! :)

Muitas pessoas discutem uma pesquisa eleitoral com a seguinte lógica: se a margem de erro é de 4 pontos percentuais para mais ou para menos (+/-4), existe a possibilidade de que os candidatos tenham, na verdade, 4% a mais do que apresentado, ou a menos. O raciocínio segue na comparação entre candidatos, onde, por exemplo, candidato  A com 10% e candidato B com 18% poderiam até estar empatados tecnicamente, já que candidato A poderia ter 10% +4 = 14% e candidato B poderia ter 18% -4 = 14%, igualando as percentagens dos dois candidatos. Pera lá! Se é assim, vamos ser justos, candidato A e Candidato B poderiam ter ambos 4 pontos a mais (e não a menos) deixando a disputa em 18% versus 22%. Vamos ver isso em um caso mais concreto que é o da última pesquisa divulgada pelo Ibope para prefeito de Fortaleza (30/08/2012). Nela temos os seguintes resultados com margem de erro +/-4:

Moroni Torgan (DEM) – 24%
Roberto Cláudio (PSB) – 16%
Elmano de Freitas (PT) – 14%
Heitor Férrer (PDT) – 12%
Inácio Arruda (PC do B) – 10%
Renato Roseno (Psol) – 7%
Marcos Cals (PSDB) – 5%
Francisco Gonzaga (PSTU) – 1%
André Ramos (PPL) – 0%
Professor Valdeci (PRTB) – 0%
Brancos/Nulos – 6%
Não sabe/Não respondeu – 5%

Aplicando-se a margem de erro de forma positiva (+4%) a todos os candidatos, teremos o seguinte:

Moroni Torgan (DEM) – 28%
Roberto Cláudio (PSB) – 20%
Elmano de Freitas (PT) – 18%
Heitor Férrer (PDT) – 16%
Inácio Arruda (PC do B) – 14%
Renato Roseno (Psol) – 11%
Marcos Cals (PSDB) – 9%
Francisco Gonzaga (PSTU) – 5%
André Ramos (PPL) – 4%
Professor Valdeci (PRTB) – 4%
Brancos/Nulos – 10%
Não sabe/Não respondeu – 9%

A coisa já começa a ficar estranha, não é mesmo? Em primeiro lugar, candidatos que nem sequer foram lembrados (com 0%) passam a figurar com 4% da intenções de voto e pior: o total geral ultrapassa 100%. Vejam:

Total = 28%+20%+18%+16%+14%+11%+9%+5%+4%+4%+10%+9% = 148%

Então, está claro que não dá pra simplesmente aplicar indiscriminadamente a margem de erro divulgada para fins de comparação. O critérios pra isso, na verdade, são bem mais complicados.  Para ser ainda mais fiel à verdade, a margem de erro que geralmente é divulgada pelas pesquisas eleitorais nem serve muito para fazer comparações entre candidatos, pois para cada candidato existe uma margem de erro diferente e a pesquisa apenas divulga a pior delas (margem de erro máxima). Isso se deve ao fato de todos os candidatos compartilharem a mesma amostra (que são os cidadãos entrevistados) e o mesmo intervalo de confiança. Em estatística, o intervalo de confiança é o critério que realmente mede a qualidade de acerto da previsão. Um intervalo de confiança de 95%, por exemplo, significa que, em uma situação completamente aleatória de amostras, 95% das vezes que eu medir essas amostras eu terei a mesma resposta. E como é essa resposta? Ela é, também,  um intervalo, que no caso do resultado de votos brancos ou nulos da pesquisa do Ibope acima, seria o intervalo de 2% a 10%. Ou seja, 6% +/-4%, que é o que conhecemos por margem de erro. Assim, no caso dos votos brancos ou nulos, se fizéssemos a mesma pesquisa 100 vezes, teríamos, em 95 dessas vezes um resultado dentro do intervalo 2%-10% e em 5 dessas vezes teríamos um resultado fora do intervalo, podendo ser qualquer outra coisa. Isso levando em conta que a amostra é completamente aleatória, o que não é exatamente o caso do Ibope e de outros institutos de pesquisa equivalentes.

Portanto, muito cuidado ao fazer comparações entre candidatos usando apenas a margem de erro divulgada. Você corre o risco de estar aumentando ainda mais os achismos infundados advindos das pesquisas eleitorais.

Publicado em Eleições 2012 | Com a tag , , , , , , , , , , , , , , , | 2 comentários

Security Problem with Google’s 2-Step Authentication

Hi Folks,

A couple of months ago I tried to get one of my findings accepted to Google’s Security Reward program. This is my second try, my first one was accepted, but this time they found the report wasn’t eligible. Since the reward is off the table I am free to discuss my observations publicly and I feel more people should be aware of the issue.  So, let’s go.

Below there’s a copy of the conversation I had with Google regarding the flaw I pointed out. To sum it up, it’s about their 2-step authentication (aka OTP) scheme. They have implemented a design option that yields some security issues, some of with I have pointed out in my communications with Google.
I found out they have a time window of 10 minutes in which any of the 20 OTP passwords are valid. They do this in order to better assist users with out of sync (aka. late) watches. This means that, if you have a very precise watch, it’s likely that you will have 10 minutes before your generated OTP password gets invalidated. Also, whenever you enter a valid OTP password, the time window before it  gets invalidated altogether. This is done to avoid interception, in the sense that if you have been able to login, all past OTP passwords that were generated before the one you have just used are deemed useless in case they are intercepted by an attack. This protects you well unless the attacker can intercept OTP passwords in the future, which is impossible, or is it? As a correction, I have suggested invalidating all the time window (all the 20 OTPs), or at least they could synchronize accounts.google.com’s watch with the user’s at some point, like some banks do.

I’ve prepared a very simple PoC for Firefox to exemplify my point: http://ximen.es/gmail/

Google stated they think they have the right balance between security and usability, which I disagree. So, the PoC should be still working (since they haven’t change anything). In order to understand the PoC better, please refer to the contents of the conversation below.

Thanks,

Pablo Ximenes

 

CONVERSATION:

Vulnerability Report – Applying for Reward – 2-Step Authentication in accounts.google.com

Pablo Ximenes

Jun 5

to Google
Dear Google Security Team,I have stumbled on a vulnerability that can circumvent the Two-Way Authentication scheme used in accounts.google.com.As I am aware of, the mechanism is intended to give users the easy of mind, while authenticating themselves, that:1) If an attacker intercepts my password (using MITM, for instance) he will still be unable to login to my account, because he doesn´t own my 2-step auth token.
2) If the attacker captures my OTP, he will be unable to use it because whenever I use an OTP in asuccessfull login attempt, the OTP automatically invalidates itself (avoiding replay).
3) If an attacker pretends I entered the wrong OTP (again using MITM) and gives me an error message so I enter a second OTP so the first OTP, acquired by attacker, remains unused, I still can rely on the fact that by using the latest issued OTP,  all other issued OTPs will automatically be invalidated. This way the attacker will remain with an invalid OTP.
4) etcWell, though an informal investigation I was able to determine that your policy for timeframing the accepted OTPs is 10 minutes. This means that I issue an OTP, using a accurate watch, I have up to 10 minutes to use it before it becomes invalid. I can only imagine this policy is intended as a solution for late and advanced watches that are out of sync with precise atomic time.The problem with this policy is that by allowing the system to accept OTPs in the “future” (or in the past, depending on the reference point), the system creates an attack vector that can be used by malicious users.  Using any form of MITM, an attacker could intercept the user´s authentication request, capturing both password and OTP and issue an error mesage to the user saying the OTP is wrong. The user will enter a second attempt OTP. Instead of using the second attempt OTYP, the attacker will store the second attempt OTP and continue with user authentication through the firtly entered OTP. This will leave the attacker with an unsed OTP that is good for up to aproximately 9 minutes. This will break the premisse number 3 from the list I cited in the begining of this report and if applyied more than once in a roll, will give the attacker two valid OTPs that could be used to completely deactivate 2-Step verification in the victim´s account. I consider it severe.

I have taken the liberty of assembling a modest PoC in http://ximen.es/gmail that examplifies this problem. (please bear in mind that this example could be vastly improved if it were to be weaponized)

If the PoC isn´t clear enough, I am available for answering any questions.

A solution to this isssue would be changing the current policy for accepting OTPs. Instead of invalidating only OTPs that are timed before the one that was used, it would be a good practice to invalidade all the time frame, meaning all OTPs before + All OTPs in the next X minutes, where X would be 10 minutes for maximum security (as your timeframe is 10 minutes). X could be lower, but a save value is yet to be found. You guys could balance security and usability to find it.
Another simpler solution that would counter only the particular way to use MITM in my PoC (that uses Michal´s approache) is to extend the use of GALX cookie (together with GALX POST form variable) to https://accounts.google.com/SmsAuth as well (the page users enter their OTP).

So, I leave it to the judges to give me feedback on this. I supose this should be considered an authentication bypass vulnerability on accounts.google.com with regards to the Vulnerability Rewards Program, but I will wait for your feedback.

Thanks in advance for your consideration,

Pablo Ximenes

Google Security security@google.com

Jun 5

to me
Thanks for contacting Google’s security team. This is an automatic response to let you know that we’ve received your message. If you’ve identified a security vulnerability within any of Google’s services, systems, or networks, we’ll investigate as soon as possible and follow up with you shortly.If you aren’t reporting an application security vulnerability, you won’t receive a response and we’ll be unable to take action on your message. Here’s a few links that will hopefully help you find a solution to your issue:* For Android security issues, please contact security@android.com or visit http://developer.android.com/resources/faq/security.html#issue
* For Chrome security issues, please visit http://dev.chromium.org/Home/chromium-security/reporting-security-bugs
* For account hijackings, please go here (http://goo.gl/E3Ii3) for Youtube, and here  (http://goo.gl/Jb3at) for Google Accounts (including Gmail).
* Other problems with account security in Gmail (http://goo.gl/Jcac), Youtube (http://goo.gl/iIKAe) or Checkout (http://goo.gl/GPehn).
* Requests to remove content in Search (http://goo.gl/nhm6R), Streetview (http://goo.gl/JWwp), Maps (http://goo.gl/zys9l), Youtube (http://goo.gl/RuuQF), Orkut (http://goo.gl/YVAUU), Blogger (http://goo.gl/bBHrD), or any other product (http://www.google.com/security.html).
* Report malware (http://goo.gl/dR12) or phishing (http://goo.gl/6Q9Y) sites, or inappropriate or malicious advertisements (http://goo.gl/PKpIu).
* Scams, including fake lotteries and job offers (http://goo.gl/OhRr).
* You’ve received someone else’s email (http://goo.gl/GeCe).For anything else, please check the Google Support (http://www.google.com/support/) page.Regards,
The Google Team
Pablo Ximenes

Jun 5

to Google

I forgot to mention, the PoC was designed for firefox.

It might work on other browsers, but almost certain not chrome.

Regards,

Pablo
Em 05/06/2012 13:56, “Pablo Ximenes” <pablo@ximen.es> escreveu:

>
> Dear Google Security Team,
>
>
> I have stumbled on a vulnerability that can circumvent the Two-Way Authentication scheme used in accounts.google.com.
>
> As I am aware of, the mechanism is intended to give users the easy of mind, while authenticating themselves, that:
>
> 1) If an attacker intercepts my password (using MITM, for instance) he will still be unable to login to my account, because he doesn´t own my 2-step auth token.
> 2) If the attacker captures my OTP, he will be unable to use it because whenever I use an OTP in asuccessfull login attempt, the OTP automatically invalidates itself (avoiding replay).
> 3) If an attacker pretends I entered the wrong OTP (again using MITM) and gives me an error message so I enter a second OTP so the first OTP, acquired by attacker, remains unused, I still can rely on the fact that by using the latest issued OTP,  all other issued OTPs will automatically be invalidated. This way the attacker will remain with an invalid OTP.
> 4) etc
>
>

> Well, though an informal investigation I was able to determine that your policy for timeframing the accepted OTPs is 10 minutes. This means that if I issue an OTP, using a accurate watch, I have up to 10 minutes to use it before it becomes invalid. I can only imagine this policy is intended as a solution for late and advanced watches that are out of sync with precise atomic time.

Pablo Ximenes

Jun 6

to adammein, Google

Dear Adam,

Sorry to disturb you with this, but I haven’t heard anything as feedback to my report yet and Its been almost 24 hours (which is kindda long compared to my previois experience). Is there any problem?

I am very sorry If crossed any lines with this email.

Thanks for everything,

Pablo

Em 05/06/2012 18:53, “Pablo Ximenes” <pablo@ximen.es> escreveu:

Google Security Team security@google.com

Jun 6

to me, adammein
Hey Pablo,We got this and are looking into it! Sorry for the delay but we will get
back to you shortly!Regards,
KevinOriginal Message Follows:
————————
From: Pablo Ximenes <pablo@ximen.es>
Subject: Re: Vulnerability Report – Applying for Reward – 2-Step
Authentication in accounts.google.com
Date: Wed, 6 Jun 2012 12:36:12 -0300

Google Security Team security@google.com

Jun 7

to me, adammein
Ok Pablo,I investigated this and you are correct RE: the 10 minute window. I would
however term your attack as phishing rather them MITM as you are not
intercepting requests between the client and the legitimate server. I
would not consider this a security risk although I do appreciate you
bringing it up. It is something that we were aware of already and was a
design decision for reasons I can’t get into.

Regards,
KevinOriginal Message Follows:
————————

From: “Google Security Team” <security@google.com>
Subject: Re: [#1043898468] Vulnerability Report – Applying for Reward -
2-Step  Authentication in accounts.google.com
Date: Wed, 06 Jun 2012 18:31:05 -0000

Pablo Ximenes

Jun 7

to Google, adammein

Thanks for replying.

Phishig was only a way I used to implement some sort of request interception (aka MITM) in order to exemplify the vector. Any form of MITM would do: malware on the victms pc, dns hijacking, etc. I myself used Michals switching example.

Any way, my point of view is that there’s a correctable flaw. Maybe you were aware.of the design, but not of the security problem it causes. Adittionally, I proposed a viable solution which is to invalidate all the 20 (10 minutes times 2) OTPs after a successful login attempt instead of invalidating only the the OTP used to authenticate and the ones timed before it. That would require little effort, Id assume. I read somewhere that if you as little as open a bug request based on anything.from the report, the.reporter is at least credited in the HoF. Since there’s no mention of that from your part I’d assume you.dont.plan to change anything with regards to my report.

Well, since the reward is off the table, can I at least blog about it?

PS: Sorry for the typos, Im using a tablet. Android. :)

Em 07/06/2012 18:42, “Google Security Team” <security@google.com> escreveu:

Pablo Ximenes

Jun 7

to Google, adammein

PS: BTW, The OTP scheme is known as a way to counter exactly these kind of phishing attacks you saw on my example. “Dont worry so much about phishing, cause they can get your passwotd, but they will never get a usable OTP if you were able to login to your account.”

Timing is one big problem for offline token based OTP schemes, and Google’s solution to that causes a serious security problem.

Em 07/06/2012 19:28, “Pablo Ximenes” <pablo@ximen.es> escreveu:

Google Security Team security@google.com

Jun 8

to me, adammein
Pablo,Thank you for your note, I appreciate your concerns however we feel we
have the right balance between security and usability, unfortunately this
issue is not eligible for the VRP.

Regards,
Kevin

Original Message Follows:
————————

From: Pablo Ximenes <pablo@ximen.es>

Subject: Re: [#1043898468] Vulnerability Report – Applying for Reward -
2-Step
Authentication in accounts.google.com

Date: Thu, 7 Jun 2012 19:56:56 -0300

Pablo Ximenes

Jun 8

to Google

Ok, I got that. I wanna know about me.bloging about it. :)

Is that OK?

Em 08/06/2012 14:17, “Google Security Team” <security@google.com> escreveu:

Google Security Team security@google.com

Jun 8

to me

Sure, it’s a free world (ideally anyway) please feel free to publish
whatever you like.

Regards,
Kevin
Original Message Follows:
————————
From: Pablo Ximenes <pablo@ximen.es>
Subject: Re: [#1043898468] Vulnerability Report – Applying for Reward -
2-Step
Authentication in accounts.google.com

Date: Fri, 8 Jun 2012 14:18:54 -0300

 

Publicado em Security | 4 comentários