[BPF] RES: Podemos e devemos notificar os participantes do IX vulneráveis apresentados pelo Elizandro e Vagner hoje?

Quarta Dezembro 12 16:48:11 -02 2018

Ayub, achei muito válido a ideia e também estou a disposição para ajudar.

Abs,

Junior Silva

De: bpf <bpf-bounces em listas.brasilpeeringforum.org> Em nome de T. Ayub
Enviada em: quarta-feira, 12 de dezembro de 2018 15:44
Para: bpf em listas.brasilpeeringforum.org
Assunto: [BPF] Podemos e devemos notificar os participantes do IX vulneráveis apresentados pelo Elizandro e Vagner hoje?

Olá,

Na tarde de hoje no IX Fórum 12 o Elizandro Pacheco e o Vagner Zanoni apresentaram um estudo de centenas de roteadores Mikrotik vulneráveis em diversos IX.br do país. Não só a gerência (Winbox) destes participantes está acessível para os demais participantes do IX como em alguns casos encontraram login admin com senha em branco. Os locais de coleta foram os IX.br de São Paulo, Rio, Porto Alegre e Fortaleza.

Conversando aqui com o Elizandro presencialmente perguntei a ele se ele tinha notificado os AS vulneráveis e ele disse que ainda não, que a ideia era de fazê-lo em nome do BPF. Então pergunto aos colegas: podemos e devemos? Se a resposta for sim e sim, peço vossa ajuda e aconselhamento aqui.

Já redigi um template desse e-mail e desejo enviá-lo individualmente para cada AS com o cert em cert.br <mailto:cert em cert.br>  em cópia. Segue a URL do template: https://docs.google.com/document/d/1qSOuFSXSkZBqFKq3R94_PxmZELWlLEoOESBUhKOAIIU/edit?usp=sharing - gostaria de obter um feedback de vocês a respeito do texto. É necessário logar com uma conta Google para ler o texto.

 Se o cidadão já foi relapso ou negligente ao ponto de ter um roteador ligado no IX com gerência aberta, login admin e senha em branco, pedir encarecidamente que ele colabore corrigindo o problema não será suficiente. O texto tem que deliberadamente ter um tom duro e é esse tom que eu dei a ele.

O Elizandro está atualizando a lista dos IPs vulneráveis e me passando. A partir delas estou criando uma planilha com estes IPs e o ASN responsável por eles. A etapa seguinte será incluir nesta planilha os endereços de e-mail dos responsáveis de cada AS para fazer o envio destes e-mails.

Faço pontualmente à comunidade BPF as seguintes perguntas:

1) Podemos assinar em nome do BPF nestes e-mails?

2) Se for em nome do BPF, o endereço de origem poderá ser o meu endereço pessoal? Ou sugerem algum outro endereço de e-mail de origem?

3) Poderiam me ajudar na parte do texto em que faço as prescrições do que o cidadão tem que fazer? URLs de tutoriais que passo a passo o cara mesmo sendo leigo consiga proteger o roteador dele. Isso será importante para que tenhamos o resultado desejado.

Vejo que nesta iniciativa teremos duas consequências diretas: primeiro, corrigindo as vulnerabilidades e problemas identificados pelo Elizandro e Vagner e por tabela estaremos divulgando ainda mais o BPF para operadores de rede que visivelmente carecem muito de nosso conteúdo, aconselhamento e nossas boas práticas.

Abraços,

Ayub
--
Twitter: https://twitter.com/Ayubio
Canal no YouTube "Eu faço a internet funcionar": https://www.youtube.com/c/Ayubio

Blog: https://medium.com/@ayubio

-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: <http://listas.brasilpeeringforum.org/pipermail/bpf/attachments/20181212/2a7c9aae/attachment.html>