[caiu] www3.siam.mg.gov.br:8180

Douglas Fischer fischerdouglas em gmail.com
Seg Jan 15 17:35:43 -02 2018 

Nem tenho ideia de qual seja o fabricante Firewall...
Mas sou obrigado a defender.

Não é o Firewall que é Fresco, são o cabras que gerenciam a infra do cara.

Vou contar um estória que já vivi, que tenho certeza que muitos já viveram,
que que talvez seja muito próxima do que está rolando por ali(talvez não).


O começo
--------
- Um ambiente PORCO
- Servidores aplicações todas zoadas
  - Entravam em produção "replicando o ambiente em que estava rodando no
notebook do desenvolvedor"
- Coisas como:
  - Portas  de serviços fora do número padrão e Port Knocking, nos
firewalls de cada server, coo metodologia de "segurança".
  - S.O.s e pacotes completamente desatualizados porque: "Se está
funcionando, não mexe!"
  - CMS com senha padrão rodando assim há mais de 2 anos.
  - Aplicações rodando como Root nos linux ou como administrador nos
windows.
  - ACLs no core entre DMZ e restante toda destruídas com uns PERMITÃO
genérico, porque "um dia a aplicação não tava funcionando e foi isso que
resolveu".

O Gatilho
---------
Alguém achou uma brecha e "ráquiou" algum sistema ou servidor.

A ação desesperada
------------------
O "Gerente" de T.I. foi lá e comprou um firewall, "o melhor que tinha",
para "resolver essa bagaça".

A cereja em cima do bolo(fecal)
-------------------------------
O coitado do Field-Engineer que pegou o rabo de foguete de "resolver essa
bagaça" desesperado com o tamanho da merda, e com a cagada que o comercial
da empresa dele fez prometendo mundos-e-fundos, foi lá ligou todos os
botõezinhos que tinham para tentar evitar alguma possível falha naquele
queijo suíço que é a infra interna.
E com isso gerou billions and billions de falso positivos...


É só uma estória hipotética, qualquer semelhança com a realidade é mera
coincidência.
hahaha




Em 15 de janeiro de 2018 13:43, Adriano Macedo <adrianomacedo em mcinfor.com.br
> escreveu:

> Boa tarde pessoal,
>
> Foi constatado um bloqueio no firewall deles, um firewall muito fresco por
> sinal, bloqueou meu IP pelo fato de fazer um traceroute.
>
> Estou tentando falar com eles mas não atendem.
>
>
>
> -----Mensagem Original----- From: Douglas Fischer
> Sent: Monday, January 15, 2018 10:56 AM
> To: Lista das indisponibilidades da Internet brasileira
> Subject: Re: [caiu] www3.siam.mg.gov.br:8180
>
> Qualquer indivíduo que coloque uma aplicação, site, etc, para rodar
> publicamente em uma porta não padrão não é digno de confiança.
>
>
> P.S.: Eu fico excitado quando o pessoa das software houses falando "nosso
> sistema tem que rodar na 8080 se não não garantimos funcionamento".
>
> Em 12 de janeiro de 2018 11:53, Adriano Macedo <
> adrianomacedo em mcinfor.com.br
>
>> escreveu:
>>
>
> Bom dia pessoal,
>>
>> Não consigo acessar a pagina "http://www3.siam.mg.gov.br:81
>> 80/contFlorestal/public/login.jsf" através do AS de um cliente, mas se
>> faço NAT para o IP da WAN de nosso AS o site abre normalmente. Fiz algumas
>> analises através do Wireshark, com NAT e sem NAT (imagens a baixo). O
>> endereço do computador usado para testes é 192.168.0.100 e o host de
>> destin <https://maps.google.com/?q=destin&entry=gmail&source=g>o
>> 200.198.28.230
>> <https://maps.google.com/?q=28.230&entry=gmail&source=g> (
>> www3.siam.mg.gov.br). Alguem com o mesmo problema? Poderiam ter bloqueado
>> todo o AS? Obrigado.
>>
>> https://photos-4.dropbox.com/t/2/AABQapg363MKrxSXEx8VtyNFs94
>> 4mJeniW0z7qHzKQl-Dw/12/544814745/png/32x32/3/1515780000/0/2/177.png/
>> EKfRmq4EGJAzIAIoAg/dAY8Ys2eIZiE7KvfqVzgGqoXLow3t-GLHlGim2Yfv
>> Oo?dl=0&preserve_transparency=1&size=1280x960&size_mode=3
>>
>> https://photos-4.dropbox.com/t/2/AACNuZC5OdeYzygmI63sDMz7sNE
>> ktagfEo0CopggOSbeMg/12/544814745/png/32x32/3/1515780000/0/2/192.png/
>> EKfRmq4EGJAzIAIoAg/-ZbXs2u5buZstc1U7uUKpKwebpxnqsJUCncu2VpDD
>> iE?dl=0&preserve_transparency=1&size=1280x960&size_mode=3
>>
>>
>>
>> Adriano Macedo
>> Gerente de Tecnologia
>> _______________________________________________
>> caiu mailing list
>> caiu em eng.registro.br
>> https://eng.registro.br/mailman/listinfo/caiu
>>
>>
>> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>>
>> https://eng.registro.br/mailman/options/caiu
>>
>>
>
>
> --
> Douglas Fernando Fischer
> Engº de Controle e Automação
> _______________________________________________
> caiu mailing list
> caiu em eng.registro.br
> https://eng.registro.br/mailman/listinfo/caiu
>
>
> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>
> https://eng.registro.br/mailman/options/caiu
> _______________________________________________
> caiu mailing list
> caiu em eng.registro.br
> https://eng.registro.br/mailman/listinfo/caiu
>
>
> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>
> https://eng.registro.br/mailman/options/caiu
>



-- 
Douglas Fernando Fischer
Engº de Controle e Automação

Mais detalhes sobre a lista de discussão caiu