[BPF] Podemos e devemos notificar os participantes do IX vulneráveis apresentados pelo Elizandro e Vagner hoje?

T. Ayub listas em ayub.net.br
Quarta Dezembro 12 18:07:32 -02 2018 

Aloha Damito,


Se você com sua consultoria se oferece a gratuitamente corrigir
pontualmente essa vulnerabilidade, mais que uma persuasão para resolver o
problema, estaríamos concretamente resolvendo o problema.

Se ninguém aqui se opor, irei incluir um parágrafo no texto sinalizando que
o AS notificado pode solicitar esse apoio gratuito do Damito.


Abraços,

Ayub
--
*Twitter*: https://twitter.com/Ayubio
Canal no *YouTube* "Eu faço a internet funcionar":
https://www.youtube.com/c/Ayubio
*Blog*: https://medium.com/@ayubio


Em qua, 12 de dez de 2018 às 16:05, Daniel Damito <
contato em danieldamito.com.br> escreveu:

> Concordo.
>
> Acho que seria interessante exemplificar que um roteador vulnerável no IX
> pode ser usado para fazer sequestro de um prefixo, como ocorrido com o
> Santander:
> http://made4it.com.br/falha-generalizada-internet-banking-santander-brasil/
> .
> Além disso, queria ajudar a preencher as ações recomendadas. Pode me dar
> permissão para eu adicionar comentários, @Thiago Ayub
> <contato em ayub.net.br> ?
>
> Me disponho, pela minha empresa, à ajudar gratuitamente esses provedores
> com vulnerabilidades. Acham válido citar isto também?
>
>
> Em qua, 12 de dez de 2018 às 15:44, T. Ayub <listas em ayub.net.br> escreveu:
>
>> Olá,
>>
>>
>> Na tarde de hoje no IX Fórum 12 o Elizandro Pacheco e o Vagner Zanoni
>> apresentaram um estudo de centenas de roteadores Mikrotik vulneráveis em
>> diversos IX.br do país. Não só a gerência (Winbox) destes participantes
>> está acessível para os demais participantes do IX como em alguns casos
>> encontraram login admin com senha em branco. Os locais de coleta foram os
>> IX.br de São Paulo, Rio, Porto Alegre e Fortaleza.
>>
>> Conversando aqui com o Elizandro presencialmente perguntei a ele se ele
>> tinha notificado os AS vulneráveis e ele disse que ainda não, que a ideia
>> era de fazê-lo em nome do BPF. Então pergunto aos colegas: podemos e
>> devemos? Se a resposta for sim e sim, peço vossa ajuda e aconselhamento
>> aqui.
>>
>> Já redigi um template desse e-mail e desejo enviá-lo individualmente para
>> cada AS com o cert em cert.br em cópia. Segue a URL do template:
>> https://docs.google.com/document/d/1qSOuFSXSkZBqFKq3R94_PxmZELWlLEoOESBUhKOAIIU/edit?usp=sharing -
>> gostaria de obter um feedback de vocês a respeito do texto. É necessário
>> logar com uma conta Google para ler o texto.
>>
>>  Se o cidadão já foi relapso ou negligente ao ponto de ter um roteador
>> ligado no IX com gerência aberta, login admin e senha em branco, pedir
>> encarecidamente que ele colabore corrigindo o problema não será suficiente.
>> O texto tem que deliberadamente ter um tom duro e é esse tom que eu dei a
>> ele.
>>
>> O Elizandro está atualizando a lista dos IPs vulneráveis e me passando. A
>> partir delas estou criando uma planilha com estes IPs e o ASN responsável
>> por eles. A etapa seguinte será incluir nesta planilha os endereços de
>> e-mail dos responsáveis de cada AS para fazer o envio destes e-mails.
>>
>> Faço pontualmente à comunidade BPF as seguintes perguntas:
>>
>> *1)* Podemos assinar em nome do BPF nestes e-mails?
>>
>> *2)* Se for em nome do BPF, o endereço de origem poderá ser o meu
>> endereço pessoal? Ou sugerem algum outro endereço de e-mail de origem?
>>
>> *3)* Poderiam me ajudar na parte do texto em que faço as prescrições do
>> que o cidadão tem que fazer? URLs de tutoriais que passo a passo o cara
>> mesmo sendo leigo consiga proteger o roteador dele. Isso será importante
>> para que tenhamos o resultado desejado.
>>
>> Vejo que nesta iniciativa teremos duas consequências diretas: primeiro,
>> corrigindo as vulnerabilidades e problemas identificados pelo Elizandro e
>> Vagner e por tabela estaremos divulgando ainda mais o BPF para operadores
>> de rede que visivelmente carecem muito de nosso conteúdo, aconselhamento e
>> nossas boas práticas.
>>
>> Abraços,
>>
>> Ayub
>> --
>> *Twitter*: https://twitter.com/Ayubio
>> Canal no *YouTube* "Eu faço a internet funcionar":
>> https://www.youtube.com/c/Ayubio
>> *Blog*: https://medium.com/@ayubio
>> _______________________________________________
>> bpf mailing list
>> bpf em listas.brasilpeeringforum.org
>> https://listas.brasilpeeringforum.org/mailman/listinfo/bpf
>>
>
>
> --
>
> *Atenciosamente,Daniel Damito*
>
-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: <http://listas.brasilpeeringforum.org/pipermail/bpf/attachments/20181212/d5d08d5e/attachment-0001.html>

More information about the bpf mailing list