[BPF] Podemos e devemos notificar os participantes do IX vulneráveis apresentados pelo Elizandro e Vagner hoje?
Daniel Damito
bpf em danieldamito.com.br
Quarta Dezembro 12 18:10:26 -02 2018
Ayub, com certeza.
Conte conosco.
Preenchi as ações do documento (itens a, b e c). Veja se está de acordo.
Eu acharia também válido citar como fazer as ACLs em Mikrotik (IP >
Services), mas não vi como encaixar isto bem no documento.
Em qua, 12 de dez de 2018 às 18:07, T. Ayub <listas em ayub.net.br> escreveu:
>
> Aloha Damito,
>
>
> Se você com sua consultoria se oferece a gratuitamente corrigir
> pontualmente essa vulnerabilidade, mais que uma persuasão para resolver o
> problema, estaríamos concretamente resolvendo o problema.
>
> Se ninguém aqui se opor, irei incluir um parágrafo no texto sinalizando
> que o AS notificado pode solicitar esse apoio gratuito do Damito.
>
>
> Abraços,
>
> Ayub
> --
> *Twitter*: https://twitter.com/Ayubio
> Canal no *YouTube* "Eu faço a internet funcionar":
> https://www.youtube.com/c/Ayubio
> *Blog*: https://medium.com/@ayubio
>
>
> Em qua, 12 de dez de 2018 às 16:05, Daniel Damito <
> contato em danieldamito.com.br> escreveu:
>
>> Concordo.
>>
>> Acho que seria interessante exemplificar que um roteador vulnerável no IX
>> pode ser usado para fazer sequestro de um prefixo, como ocorrido com o
>> Santander:
>> http://made4it.com.br/falha-generalizada-internet-banking-santander-brasil/
>> .
>> Além disso, queria ajudar a preencher as ações recomendadas. Pode me dar
>> permissão para eu adicionar comentários, @Thiago Ayub
>> <contato em ayub.net.br> ?
>>
>> Me disponho, pela minha empresa, à ajudar gratuitamente esses provedores
>> com vulnerabilidades. Acham válido citar isto também?
>>
>>
>> Em qua, 12 de dez de 2018 às 15:44, T. Ayub <listas em ayub.net.br>
>> escreveu:
>>
>>> Olá,
>>>
>>>
>>> Na tarde de hoje no IX Fórum 12 o Elizandro Pacheco e o Vagner Zanoni
>>> apresentaram um estudo de centenas de roteadores Mikrotik vulneráveis em
>>> diversos IX.br do país. Não só a gerência (Winbox) destes participantes
>>> está acessível para os demais participantes do IX como em alguns casos
>>> encontraram login admin com senha em branco. Os locais de coleta foram os
>>> IX.br de São Paulo, Rio, Porto Alegre e Fortaleza.
>>>
>>> Conversando aqui com o Elizandro presencialmente perguntei a ele se ele
>>> tinha notificado os AS vulneráveis e ele disse que ainda não, que a ideia
>>> era de fazê-lo em nome do BPF. Então pergunto aos colegas: podemos e
>>> devemos? Se a resposta for sim e sim, peço vossa ajuda e aconselhamento
>>> aqui.
>>>
>>> Já redigi um template desse e-mail e desejo enviá-lo individualmente
>>> para cada AS com o cert em cert.br em cópia. Segue a URL do template:
>>> https://docs.google.com/document/d/1qSOuFSXSkZBqFKq3R94_PxmZELWlLEoOESBUhKOAIIU/edit?usp=sharing -
>>> gostaria de obter um feedback de vocês a respeito do texto. É necessário
>>> logar com uma conta Google para ler o texto.
>>>
>>> Se o cidadão já foi relapso ou negligente ao ponto de ter um roteador
>>> ligado no IX com gerência aberta, login admin e senha em branco, pedir
>>> encarecidamente que ele colabore corrigindo o problema não será suficiente.
>>> O texto tem que deliberadamente ter um tom duro e é esse tom que eu dei a
>>> ele.
>>>
>>> O Elizandro está atualizando a lista dos IPs vulneráveis e me passando.
>>> A partir delas estou criando uma planilha com estes IPs e o ASN responsável
>>> por eles. A etapa seguinte será incluir nesta planilha os endereços de
>>> e-mail dos responsáveis de cada AS para fazer o envio destes e-mails.
>>>
>>> Faço pontualmente à comunidade BPF as seguintes perguntas:
>>>
>>> *1)* Podemos assinar em nome do BPF nestes e-mails?
>>>
>>> *2)* Se for em nome do BPF, o endereço de origem poderá ser o meu
>>> endereço pessoal? Ou sugerem algum outro endereço de e-mail de origem?
>>>
>>> *3)* Poderiam me ajudar na parte do texto em que faço as prescrições do
>>> que o cidadão tem que fazer? URLs de tutoriais que passo a passo o cara
>>> mesmo sendo leigo consiga proteger o roteador dele. Isso será importante
>>> para que tenhamos o resultado desejado.
>>>
>>> Vejo que nesta iniciativa teremos duas consequências diretas: primeiro,
>>> corrigindo as vulnerabilidades e problemas identificados pelo Elizandro e
>>> Vagner e por tabela estaremos divulgando ainda mais o BPF para operadores
>>> de rede que visivelmente carecem muito de nosso conteúdo, aconselhamento e
>>> nossas boas práticas.
>>>
>>> Abraços,
>>>
>>> Ayub
>>> --
>>> *Twitter*: https://twitter.com/Ayubio
>>> Canal no *YouTube* "Eu faço a internet funcionar":
>>> https://www.youtube.com/c/Ayubio
>>> *Blog*: https://medium.com/@ayubio
>>> _______________________________________________
>>> bpf mailing list
>>> bpf em listas.brasilpeeringforum.org
>>> https://listas.brasilpeeringforum.org/mailman/listinfo/bpf
>>>
>>
>>
>> --
>>
>> *Atenciosamente,Daniel Damito*
>>
>
-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: <http://listas.brasilpeeringforum.org/pipermail/bpf/attachments/20181212/20723b11/attachment.html>
More information about the bpf
mailing list