[GTER] BOLETO INDEVIDO NOVAMENTE

Thiago Zaninotti thiago at zaninotti.net
Mon Jan 22 21:17:17 -02 2007


Adriano,

Não divulgar e-mails abertos e outras sugestões passadas pelo Renato
não são escopo do polêmico RFC-3912. Penso que não se trata de
violação -- muito pelo contrário, isto é uma recomendação do próprio
RFC:

Na sua seção 5 ("Security Considerations"):

"   The WHOIS protocol has no provisions for strong security.  WHOIS
   lacks mechanisms for access control, integrity, and confidentiality.
   Accordingly, WHOIS-based services should only be used for information
   which is non-sensitive and intended to be accessible to everyone."

Talvez possamos classificar os contatos de cobrança/administrativo
como informações sensitivas(confidenciais) que não possam estar
disponíveis através do WHOIS (e assim poder implementar as sugestões
sem a violação).

Existe ainda dois RFCs (812 e 954) que tratam exclusivamente da
publicação do WHOIS como forma de contato dentro da rede do DoD
(ARPANET), estes sim sugerindo que sejam publicadas informações sobre
cada contato, incluindo telefone e endereço em solo americano (U.S.
Address é o termo).

Pelo próprio conteúdo da seção "Security Considerations" do RFC-3912,
você pode inferir que existe um bom senso em não utilizar ao pé da
letra as especificações destes RFCs (WHOIS) por se referir
exclusivamente a demandas da época da ARPANET:

"The absence of such security mechanisms means this protocol would not
   normally be acceptable to the IETF at the time of this writing."

(nota-se que não existe uma satisfação com relação à falta de
controles de segurança do protocolo).

De qualquer forma, as sugestões do pessoal (Renato et al) não vão
modificar os requisitos do protocolo (RFC-3912) e podem ajudar a
combater esse "information gathering" utilizado pelos spammers em
geral.

Abraços,
-- 
Thiago Zaninotti,Security+,CISSP-ISSAP,CISM
Info Security Professional


On 1/19/07, Adriano Cansian <adriano at acmesecurity.org> wrote:
>
> On 19 Jan, 2007, at 8:51 PM, <colognostrus_3000 at hotmail.com>
> <colognostrus_3000 at hotmail.com> wrote:
>
> > O problema é que o Registro já foi alertado várias vezes para
> > restringir o
> > uso do Whois, não divultar e-mails abertos no whois do site e
> > endereço,
>
> Penso que Isso viola fortemente o RFC-3912.  O problema de acesso ao
> WHOIS não é um problema do registar Brasileiro, mas sim uma falha
> inerente ao protocolo. Violar o RFC para sanar um problema, só irá
> criar outros problemas. Se a cada problema se violar um RFC, dentro
> de algum tempo teremos algo que é qualquer coisa, menos a Internet.
>
> Para quem ainda sofre achando que se trata de um mal que assola
> apenas as terras tupiniquins, recomendo uma olhadinha em:
> http://www.epic.org/privacy/whois/  . Como dizem os matemáticos:
> "isto é um problema ainda em aberto."
>
> > Nada foi feito e agora temos ai uma base de dados sendo negociada no
> > mercado, com dados de centenas de milhares de domínios com
> > respectivos nomes
> > e endereços das empresas, tudo obtido do REGISTRO.BR.
>
> Idem com várias outras grande empresas e instituições. Poderia citar,
> por exemplo, casos recentes envolvendo a Receita Federal, onde a base
> de dados aparentemente vazou por intermédio de um furto de mídias,
> dentre vários e vários outros casos, onde o whois não passa nem perto.
>
> A questão deve ser atacada com legislação severa sobre quem faz o uso
> ilegal de dados. Este é o problema. Não é o whois. Os congressistas
> americanos atacaram isso em 2006. Vide por exemplo U.S. SAFE WEB Act
> of 2006.
>
> Outro ponto a ser atacado é com relação à educação, alertando as
> pessoas sobre as fraudes. E isso está sendo feito aqui na comunidade
> de engenharia. Agora deveria chegar à grande mídia.
>
> Saudações.
>
> Adriano Cansian
>
>
>
>
>
>
>
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>



More information about the gter mailing list