[BPF] Podemos e devemos notificar os participantes do IX vulneráveis apresentados pelo Elizandro e Vagner hoje?

Uesley Correa uesleycorrea em gmail.com
Quarta Dezembro 12 16:46:28 -02 2018 

Ayub,

Gostei do teor do e-mail, creio que deva ser realmente nessa linha. E acho
sim que pode ser assinado pelo BPF.

Att,

On Wed, Dec 12, 2018, 16:28 Aluizio Augusto <aluizioaugusto em terra.com.br
wrote:

> Olá,
>
> Ayub, eu particularmente concordo com a tua ideia e acho de suma
> importância, já que como mencionado pelo próprio Elizandro, isto é um
> problema que pode impactar todos os outros participantes do IX.br. Quanto a
> identificação de routers com a vulnerabilidade conhecida, eu posso
> contribuir caso precise e assim termos uma lista mais atualizada.
> E sobre o texto sugerido eu achei que ficou muito bom e não mudaria nada
> ok.
>
>
>
> Abraços,
>
> Em Qua 12/12/18 15:44, T. Ayub listas em ayub.net.br escreveu:
>
> Olá,
>
>
> Na tarde de hoje no IX Fórum 12 o Elizandro Pacheco e o Vagner Zanoni
> apresentaram um estudo de centenas de roteadores Mikrotik vulneráveis em
> diversos IX.br do país. Não só a gerência (Winbox) destes participantes
> está acessível para os demais participantes do IX como em alguns casos
> encontraram login admin com senha em branco. Os locais de coleta foram os
> IX.br de São Paulo, Rio, Porto Alegre e Fortaleza.
>
> Conversando aqui com o Elizandro presencialmente perguntei a ele se ele
> tinha notificado os AS vulneráveis e ele disse que ainda não, que a ideia
> era de fazê-lo em nome do BPF. Então pergunto aos colegas: podemos e
> devemos? Se a resposta for sim e sim, peço vossa ajuda e aconselhamento
> aqui.
>
> Já redigi um template desse e-mail e desejo enviá-lo individualmente para
> cada AS com o cert em cert.br em cópia. Segue a URL do template:
> https://docs.google.com/document/d/1qSOuFSXSkZBqFKq3R94_PxmZELWlLEoOESBUhKOAIIU/edit?usp=sharing -
> gostaria de obter um feedback de vocês a respeito do texto. É necessário
> logar com uma conta Google para ler o texto.
>
>  Se o cidadão já foi relapso ou negligente ao ponto de ter um roteador
> ligado no IX com gerência aberta, login admin e senha em branco, pedir
> encarecidamente que ele colabore corrigindo o problema não será suficiente.
> O texto tem que deliberadamente ter um tom duro e é esse tom que eu dei a
> ele.
>
> O Elizandro está atualizando a lista dos IPs vulneráveis e me passando. A
> partir delas estou criando uma planilha com estes IPs e o ASN responsável
> por eles. A etapa seguinte será incluir nesta planilha os endereços de
> e-mail dos responsáveis de cada AS para fazer o envio destes e-mails.
>
> Faço pontualmente à comunidade BPF as seguintes perguntas:
>
> *1)* Podemos assinar em nome do BPF nestes e-mails?
>
> *2)* Se for em nome do BPF, o endereço de origem poderá ser o meu
> endereço pessoal? Ou sugerem algum outro endereço de e-mail de origem?
>
> *3)* Poderiam me ajudar na parte do texto em que faço as prescrições do
> que o cidadão tem que fazer? URLs de tutoriais que passo a passo o cara
> mesmo sendo leigo consiga proteger o roteador dele. Isso será importante
> para que tenhamos o resultado desejado.
>
> Vejo que nesta iniciativa teremos duas consequências diretas: primeiro,
> corrigindo as vulnerabilidades e problemas identificados pelo Elizandro e
> Vagner e por tabela estaremos divulgando ainda mais o BPF para operadores
> de rede que visivelmente carecem muito de nosso conteúdo, aconselhamento e
> nossas boas práticas.
>
> Abraços,
>
> Ayub
> --
> *Twitter*: https://twitter.com/Ayubio
> Canal no *YouTube* "Eu faço a internet funcionar":
> https://www.youtube.com/c/Ayubio
> *Blog*: https://medium.com/@ayubio
> _______________________________________________
> bpf mailing list
> bpf em listas.brasilpeeringforum.org
> https://listas.brasilpeeringforum.org/mailman/listinfo/bpf
>
> _______________________________________________
> bpf mailing list
> bpf em listas.brasilpeeringforum.org
> https://listas.brasilpeeringforum.org/mailman/listinfo/bpf
>
-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: <http://listas.brasilpeeringforum.org/pipermail/bpf/attachments/20181212/65c185a1/attachment-0001.html>

More information about the bpf mailing list