[BPF] Podemos e devemos notificar os participantes do IX vulneráveis apresentados pelo Elizandro e Vagner hoje?
Daniel Damito
bpf em danieldamito.com.br
Quarta Dezembro 12 18:00:51 -02 2018
Concordo.
Acho que seria interessante exemplificar que um roteador vulnerável no IX
pode ser usado para fazer sequestro de um prefixo, como ocorrido com o
Santander:
http://made4it.com.br/falha-generalizada-internet-banking-santander-brasil/
.
Além disso, queria ajudar a preencher as ações recomendadas. Pode me dar
permissão para eu adicionar comentários, @Thiago Ayub <contato em ayub.net.br>
?
Me disponho, pela minha empresa, à ajudar gratuitamente esses provedores
com vulnerabilidades. Acham válido citar isto também?
Em qua, 12 de dez de 2018 às 15:44, T. Ayub <listas em ayub.net.br> escreveu:
> Olá,
>
>
> Na tarde de hoje no IX Fórum 12 o Elizandro Pacheco e o Vagner Zanoni
> apresentaram um estudo de centenas de roteadores Mikrotik vulneráveis em
> diversos IX.br do país. Não só a gerência (Winbox) destes participantes
> está acessível para os demais participantes do IX como em alguns casos
> encontraram login admin com senha em branco. Os locais de coleta foram os
> IX.br de São Paulo, Rio, Porto Alegre e Fortaleza.
>
> Conversando aqui com o Elizandro presencialmente perguntei a ele se ele
> tinha notificado os AS vulneráveis e ele disse que ainda não, que a ideia
> era de fazê-lo em nome do BPF. Então pergunto aos colegas: podemos e
> devemos? Se a resposta for sim e sim, peço vossa ajuda e aconselhamento
> aqui.
>
> Já redigi um template desse e-mail e desejo enviá-lo individualmente para
> cada AS com o cert em cert.br em cópia. Segue a URL do template:
> https://docs.google.com/document/d/1qSOuFSXSkZBqFKq3R94_PxmZELWlLEoOESBUhKOAIIU/edit?usp=sharing -
> gostaria de obter um feedback de vocês a respeito do texto. É necessário
> logar com uma conta Google para ler o texto.
>
> Se o cidadão já foi relapso ou negligente ao ponto de ter um roteador
> ligado no IX com gerência aberta, login admin e senha em branco, pedir
> encarecidamente que ele colabore corrigindo o problema não será suficiente.
> O texto tem que deliberadamente ter um tom duro e é esse tom que eu dei a
> ele.
>
> O Elizandro está atualizando a lista dos IPs vulneráveis e me passando. A
> partir delas estou criando uma planilha com estes IPs e o ASN responsável
> por eles. A etapa seguinte será incluir nesta planilha os endereços de
> e-mail dos responsáveis de cada AS para fazer o envio destes e-mails.
>
> Faço pontualmente à comunidade BPF as seguintes perguntas:
>
> *1)* Podemos assinar em nome do BPF nestes e-mails?
>
> *2)* Se for em nome do BPF, o endereço de origem poderá ser o meu
> endereço pessoal? Ou sugerem algum outro endereço de e-mail de origem?
>
> *3)* Poderiam me ajudar na parte do texto em que faço as prescrições do
> que o cidadão tem que fazer? URLs de tutoriais que passo a passo o cara
> mesmo sendo leigo consiga proteger o roteador dele. Isso será importante
> para que tenhamos o resultado desejado.
>
> Vejo que nesta iniciativa teremos duas consequências diretas: primeiro,
> corrigindo as vulnerabilidades e problemas identificados pelo Elizandro e
> Vagner e por tabela estaremos divulgando ainda mais o BPF para operadores
> de rede que visivelmente carecem muito de nosso conteúdo, aconselhamento e
> nossas boas práticas.
>
> Abraços,
>
> Ayub
> --
> *Twitter*: https://twitter.com/Ayubio
> Canal no *YouTube* "Eu faço a internet funcionar":
> https://www.youtube.com/c/Ayubio
> *Blog*: https://medium.com/@ayubio
> _______________________________________________
> bpf mailing list
> bpf em listas.brasilpeeringforum.org
> https://listas.brasilpeeringforum.org/mailman/listinfo/bpf
>
-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: <http://listas.brasilpeeringforum.org/pipermail/bpf/attachments/20181212/b876e39c/attachment.html>
More information about the bpf
mailing list