<div dir="ltr">Não deve ser um problema,<div>Inclusive o Google já enviou uma vez para um cliente, informando que o roteador que o GGC está conectado, continha uma vulnerabilidade com link para o mesmo.</div><div>Ps: Era um roteador ASR1004.</div></div><br><div class="gmail_quote"><div dir="ltr">Em qua, 12 de dez de 2018 às 15:48, JD6 <<a href="mailto:juniorsilva@jd6.com.br">juniorsilva@jd6.com.br</a>> escreveu:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div lang="PT-BR"><div class="gmail-m_-3696676030754206287WordSection1"><p class="MsoNormal"><span>Ayub, achei muito válido a ideia e também estou a disposição para ajudar.<u></u><u></u></span></p><p class="MsoNormal"><span><u></u> <u></u></span></p><p class="MsoNormal"><span>Abs,<u></u><u></u></span></p><p class="MsoNormal"><span><u></u> <u></u></span></p><p class="MsoNormal"><span>Junior Silva<u></u><u></u></span></p><p class="MsoNormal"><span><u></u> <u></u></span></p><p class="MsoNormal"><b>De:</b> bpf <<a href="mailto:bpf-bounces@listas.brasilpeeringforum.org" target="_blank">bpf-bounces@listas.brasilpeeringforum.org</a>> <b>Em nome de </b>T. Ayub<br><b>Enviada em:</b> quarta-feira, 12 de dezembro de 2018 15:44<br><b>Para:</b> <a href="mailto:bpf@listas.brasilpeeringforum.org" target="_blank">bpf@listas.brasilpeeringforum.org</a><br><b>Assunto:</b> [BPF] Podemos e devemos notificar os participantes do IX vulneráveis apresentados pelo Elizandro e Vagner hoje?<u></u><u></u></p><p class="MsoNormal"><u></u> <u></u></p><div><div><div><div><div><div><div><div><div><div><div><div><div><p class="MsoNormal">Olá,<u></u><u></u></p></div></div></div></div></div></div></div></div></div><div><div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal">Na tarde de hoje no IX Fórum 12 o Elizandro Pacheco e o Vagner Zanoni apresentaram um estudo de centenas de roteadores Mikrotik vulneráveis em diversos IX.br do país. Não só a gerência (Winbox) destes participantes está acessível para os demais participantes do IX como em alguns casos encontraram login admin com senha em branco. Os locais de coleta foram os IX.br de São Paulo, Rio, Porto Alegre e Fortaleza.<u></u><u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal">Conversando aqui com o Elizandro presencialmente perguntei a ele se ele tinha notificado os AS vulneráveis e ele disse que ainda não, que a ideia era de fazê-lo em nome do BPF. Então pergunto aos colegas: podemos e devemos? Se a resposta for sim e sim, peço vossa ajuda e aconselhamento aqui.<u></u><u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal">Já redigi um template desse e-mail e desejo enviá-lo individualmente para cada AS com o <a href="mailto:cert@cert.br" target="_blank">cert@cert.br</a> em cópia. Segue a URL do template: <a href="https://docs.google.com/document/d/1qSOuFSXSkZBqFKq3R94_PxmZELWlLEoOESBUhKOAIIU/edit?usp=sharing" target="_blank">https://docs.google.com/document/d/1qSOuFSXSkZBqFKq3R94_PxmZELWlLEoOESBUhKOAIIU/edit?usp=sharing</a> - gostaria de obter um feedback de vocês a respeito do texto. É necessário logar com uma conta Google para ler o texto.<u></u><u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal"> Se o cidadão já foi relapso ou negligente ao ponto de ter um roteador ligado no IX com gerência aberta, login admin e senha em branco, pedir encarecidamente que ele colabore corrigindo o problema não será suficiente. O texto tem que deliberadamente ter um tom duro e é esse tom que eu dei a ele.<u></u><u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal">O Elizandro está atualizando a lista dos IPs vulneráveis e me passando. A partir delas estou criando uma planilha com estes IPs e o ASN responsável por eles. A etapa seguinte será incluir nesta planilha os endereços de e-mail dos responsáveis de cada AS para fazer o envio destes e-mails.<u></u><u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal">Faço pontualmente à comunidade BPF as seguintes perguntas:<u></u><u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal"><b>1)</b> Podemos assinar em nome do BPF nestes e-mails?<u></u><u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal"><b>2)</b> Se for em nome do BPF, o endereço de origem poderá ser o meu endereço pessoal? Ou sugerem algum outro endereço de e-mail de origem?<u></u><u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal"><b>3)</b> Poderiam me ajudar na parte do texto em que faço as prescrições do que o cidadão tem que fazer? URLs de tutoriais que passo a passo o cara mesmo sendo leigo consiga proteger o roteador dele. Isso será importante para que tenhamos o resultado desejado.<u></u><u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal">Vejo que nesta iniciativa teremos duas consequências diretas: primeiro, corrigindo as vulnerabilidades e problemas identificados pelo Elizandro e Vagner e por tabela estaremos divulgando ainda mais o BPF para operadores de rede que visivelmente carecem muito de nosso conteúdo, aconselhamento e nossas boas práticas.<u></u><u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal">Abraços,<u></u><u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><div><div><p class="MsoNormal">Ayub<br>--<br><b>Twitter</b>: <a href="https://twitter.com/Ayubio" target="_blank">https://twitter.com/Ayubio</a><br>Canal no <b>YouTube</b> "Eu faço a internet funcionar": <a href="https://www.youtube.com/c/Ayubio" target="_blank">https://www.youtube.com/c/Ayubio</a><u></u><u></u></p></div></div><div><p class="MsoNormal"><b>Blog</b>: <a href="https://medium.com/@ayubio" target="_blank">https://medium.com/@ayubio</a><u></u><u></u></p></div></div></div></div></div></div></div></div></div></div>_______________________________________________<br>
bpf mailing list<br>
<a href="mailto:bpf@listas.brasilpeeringforum.org" target="_blank">bpf@listas.brasilpeeringforum.org</a><br>
<a href="https://listas.brasilpeeringforum.org/mailman/listinfo/bpf" rel="noreferrer" target="_blank">https://listas.brasilpeeringforum.org/mailman/listinfo/bpf</a><br>
</blockquote></div><br clear="all"><div><br></div>-- <br><div dir="ltr" class="gmail_signature"><div dir="ltr"><div><br></div><div><span style="font-size:12.8px">Atenciosamente,</span><br></div><div><br></div>Gustavo Santos<div><img src="http://www.rc9.com.br/gustavo/logo.jpg" width="200" height="56" style="font-size: 12.8px;"><br></div></div></div>