[MASOCH-L] Porta bloqueada 25

Danton Nunes danton.nunes at inexo.com.br
Sat Nov 10 23:53:13 -03 2012


On Sat, 10 Nov 2012, Durval Menezes wrote:

> Harvesting (que eu prefiro chamar de "brute forcing") via POP e IMAP
> (e ate' mesmo via SMTP AUTH e tambem diretamente no FORM de login das
> interfaces de webmail mais populares) e' algo que eu ja' tenho visto a
> alguns anos, bem como tentativas de phishing do tipo "reconfirme a sua
> senha de webmail". Mas o yield dessas tecnicas (em termos de credenciais
> efetivamente furtadas pelo atacante) e' bem baixo.

é baixo, mas como é completamente automático e executado por zombies, 
acaba sendo barato e eficienete. em todos os casos de senha quebradas que 
vi eram senhas triviais, uma delas com usuário 'test' e senha 'test'.

> O que eu me refiro (e que ainda nao vi acontecer, pelo menos nao de
> forma conclusiva) e' o furto das credenciais de email *diretamente*
> da maquina do usuario, por exemplo usando um keylogger instalado via
> malware.

nunca vi acontecer tambem, "pero que las hay, las hay". bem, eu não 
monitoro terminal de usuário final, então estou bem por fora disso.

>> eu tenho usado o fail2ban para negar acesso a quem
>> erra a senha ou nome por mais de x vezes.
>
> E' o que manda a boa tecnica, entretanto eu acredito que este tipo
> de "brute forcing" va' se tornar cada vez menos frequente no futuro
> (entre outras coisas por conta do fail2ban e similares -- vide
> "corrida armamentista").

por enquanto as pesquisas de senhas continua e o fail2ban está ganhando a 
parada.

> O verdadeiro problema (na minha opiniao) e' que falta "vontade politica"
> dos provedores para tomar qualquer tipo de atitude para "sanitizar"
> usuarios contaminados: apesar de serem relativamente faceis de detectar
> (e' so' medir a quantidade de conexoes saintes para porta 25 por unidade
> de tempo de cada usuario conectado no agregador), nunca vi nenhum provedor
> tomar qualquer tipo de atitude a respeito, nem mesmo desviar o usuario
> para um portal cativo e la' informa-lo de que a sua maquina esta' invadida
> e oferecer links para descontaminacao, o que e' bastante facil com a maioria
> dos agregadores que andam por ai ja' ha' varios anos.

mas não é responsabilidade dos provedores cuidar do windows XP sem 
atualização da vovó. bloqueio da 25/tcp já é um grande avanço. bem, 
colocar um sistema automatico de aviso 'teu computador tá bichado' não é 
difícil, mas eu receio que a mensagem resultante vai ficar muito parecida 
com um spam.

Ad Caesar, caesarea!

-- Danton



More information about the masoch-l mailing list