[BPF] RES: Podemos e devemos notificar os participantes do IX vulneráveis apresentados pelo Elizandro e Vagner hoje?

[Gustavo Santos - GS]

Não deve ser um problema,
Inclusive o Google já enviou uma vez para um cliente, informando que o
roteador que o GGC está conectado, continha uma vulnerabilidade com link
para o mesmo.
Ps: Era um roteador ASR1004.

Em qua, 12 de dez de 2018 às 15:48, JD6 <juniorsilva em jd6.com.br> escreveu:

> Ayub, achei muito válido a ideia e também estou a disposição para ajudar.
>
>
>
> Abs,
>
>
>
> Junior Silva
>
>
>
> *De:* bpf <bpf-bounces em listas.brasilpeeringforum.org> *Em nome de *T. Ayub
> *Enviada em:* quarta-feira, 12 de dezembro de 2018 15:44
> *Para:* bpf em listas.brasilpeeringforum.org
> *Assunto:* [BPF] Podemos e devemos notificar os participantes do IX
> vulneráveis apresentados pelo Elizandro e Vagner hoje?
>
>
>
> Olá,
>
>
>
>
>
> Na tarde de hoje no IX Fórum 12 o Elizandro Pacheco e o Vagner Zanoni
> apresentaram um estudo de centenas de roteadores Mikrotik vulneráveis em
> diversos IX.br do país. Não só a gerência (Winbox) destes participantes
> está acessível para os demais participantes do IX como em alguns casos
> encontraram login admin com senha em branco. Os locais de coleta foram os
> IX.br de São Paulo, Rio, Porto Alegre e Fortaleza.
>
>
>
> Conversando aqui com o Elizandro presencialmente perguntei a ele se ele
> tinha notificado os AS vulneráveis e ele disse que ainda não, que a ideia
> era de fazê-lo em nome do BPF. Então pergunto aos colegas: podemos e
> devemos? Se a resposta for sim e sim, peço vossa ajuda e aconselhamento
> aqui.
>
>
>
> Já redigi um template desse e-mail e desejo enviá-lo individualmente para
> cada AS com o cert em cert.br em cópia. Segue a URL do template:
> https://docs.google.com/document/d/1qSOuFSXSkZBqFKq3R94_PxmZELWlLEoOESBUhKOAIIU/edit?usp=sharing -
> gostaria de obter um feedback de vocês a respeito do texto. É necessário
> logar com uma conta Google para ler o texto.
>
>
>
>  Se o cidadão já foi relapso ou negligente ao ponto de ter um roteador
> ligado no IX com gerência aberta, login admin e senha em branco, pedir
> encarecidamente que ele colabore corrigindo o problema não será suficiente.
> O texto tem que deliberadamente ter um tom duro e é esse tom que eu dei a
> ele.
>
>
>
> O Elizandro está atualizando a lista dos IPs vulneráveis e me passando. A
> partir delas estou criando uma planilha com estes IPs e o ASN responsável
> por eles. A etapa seguinte será incluir nesta planilha os endereços de
> e-mail dos responsáveis de cada AS para fazer o envio destes e-mails.
>
>
>
> Faço pontualmente à comunidade BPF as seguintes perguntas:
>
>
>
> *1)* Podemos assinar em nome do BPF nestes e-mails?
>
>
>
> *2)* Se for em nome do BPF, o endereço de origem poderá ser o meu
> endereço pessoal? Ou sugerem algum outro endereço de e-mail de origem?
>
>
>
> *3)* Poderiam me ajudar na parte do texto em que faço as prescrições do
> que o cidadão tem que fazer? URLs de tutoriais que passo a passo o cara
> mesmo sendo leigo consiga proteger o roteador dele. Isso será importante
> para que tenhamos o resultado desejado.
>
>
>
> Vejo que nesta iniciativa teremos duas consequências diretas: primeiro,
> corrigindo as vulnerabilidades e problemas identificados pelo Elizandro e
> Vagner e por tabela estaremos divulgando ainda mais o BPF para operadores
> de rede que visivelmente carecem muito de nosso conteúdo, aconselhamento e
> nossas boas práticas.
>
>
>
> Abraços,
>
>
>
> Ayub
> --
> *Twitter*: https://twitter.com/Ayubio
> Canal no *YouTube* "Eu faço a internet funcionar":
> https://www.youtube.com/c/Ayubio
>
> *Blog*: https://medium.com/@ayubio
> _______________________________________________
> bpf mailing list
> bpf em listas.brasilpeeringforum.org
> https://listas.brasilpeeringforum.org/mailman/listinfo/bpf
>


-- 

Atenciosamente,

Gustavo Santos
-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: <http://listas.brasilpeeringforum.org/pipermail/bpf/attachments/20181212/addd0d60/attachment.html>