[BPF] Podemos e devemos notificar os participantes do IX vulneráveis apresentados pelo Elizandro e Vagner hoje?

T. Ayub listas em ayub.net.br
Quarta Dezembro 12 15:44:27 -02 2018 

Olá,


Na tarde de hoje no IX Fórum 12 o Elizandro Pacheco e o Vagner Zanoni
apresentaram um estudo de centenas de roteadores Mikrotik vulneráveis em
diversos IX.br do país. Não só a gerência (Winbox) destes participantes
está acessível para os demais participantes do IX como em alguns casos
encontraram login admin com senha em branco. Os locais de coleta foram os
IX.br de São Paulo, Rio, Porto Alegre e Fortaleza.

Conversando aqui com o Elizandro presencialmente perguntei a ele se ele
tinha notificado os AS vulneráveis e ele disse que ainda não, que a ideia
era de fazê-lo em nome do BPF. Então pergunto aos colegas: podemos e
devemos? Se a resposta for sim e sim, peço vossa ajuda e aconselhamento
aqui.

Já redigi um template desse e-mail e desejo enviá-lo individualmente para
cada AS com o cert em cert.br em cópia. Segue a URL do template:
https://docs.google.com/document/d/1qSOuFSXSkZBqFKq3R94_PxmZELWlLEoOESBUhKOAIIU/edit?usp=sharing
-
gostaria de obter um feedback de vocês a respeito do texto. É necessário
logar com uma conta Google para ler o texto.

 Se o cidadão já foi relapso ou negligente ao ponto de ter um roteador
ligado no IX com gerência aberta, login admin e senha em branco, pedir
encarecidamente que ele colabore corrigindo o problema não será suficiente.
O texto tem que deliberadamente ter um tom duro e é esse tom que eu dei a
ele.

O Elizandro está atualizando a lista dos IPs vulneráveis e me passando. A
partir delas estou criando uma planilha com estes IPs e o ASN responsável
por eles. A etapa seguinte será incluir nesta planilha os endereços de
e-mail dos responsáveis de cada AS para fazer o envio destes e-mails.

Faço pontualmente à comunidade BPF as seguintes perguntas:

*1)* Podemos assinar em nome do BPF nestes e-mails?

*2)* Se for em nome do BPF, o endereço de origem poderá ser o meu endereço
pessoal? Ou sugerem algum outro endereço de e-mail de origem?

*3)* Poderiam me ajudar na parte do texto em que faço as prescrições do que
o cidadão tem que fazer? URLs de tutoriais que passo a passo o cara mesmo
sendo leigo consiga proteger o roteador dele. Isso será importante para que
tenhamos o resultado desejado.

Vejo que nesta iniciativa teremos duas consequências diretas: primeiro,
corrigindo as vulnerabilidades e problemas identificados pelo Elizandro e
Vagner e por tabela estaremos divulgando ainda mais o BPF para operadores
de rede que visivelmente carecem muito de nosso conteúdo, aconselhamento e
nossas boas práticas.

Abraços,

Ayub
--
*Twitter*: https://twitter.com/Ayubio
Canal no *YouTube* "Eu faço a internet funcionar":
https://www.youtube.com/c/Ayubio
*Blog*: https://medium.com/@ayubio
-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: <http://listas.brasilpeeringforum.org/pipermail/bpf/attachments/20181212/21b81d26/attachment.html>

More information about the bpf mailing list