[MASOCH-L] Porta bloqueada 25

Durval Menezes durval at tmp.com.br
Sun Nov 11 12:52:34 -03 2012 

Alo Danton,

On Sat, Nov 10, 2012 at 11:53:13PM -0200, Danton Nunes wrote:
> On Sat, 10 Nov 2012, Durval Menezes wrote:
> > Harvesting (que eu prefiro chamar de "brute forcing") via POP e IMAP
> > (e ate' mesmo via SMTP AUTH e tambem diretamente no FORM de login das
> > interfaces de webmail mais populares) e' algo que eu ja' tenho visto a
> > alguns anos, bem como tentativas de phishing do tipo "reconfirme a sua
> > senha de webmail". Mas o yield dessas tecnicas (em termos de credenciais
> > efetivamente furtadas pelo atacante) e' bem baixo.
> 
> é baixo, mas como é completamente automático e executado por zombies, 
> acaba sendo barato e eficienete. em todos os casos de senha quebradas que 
> vi eram senhas triviais, uma delas com usuário 'test' e senha 'test'.

Concordo plenamente: se nao fosse eficiente, os atacantes ja' tinham
parado de faze-lo.

> > O que eu me refiro (e que ainda nao vi acontecer, pelo menos nao de
> > forma conclusiva) e' o furto das credenciais de email *diretamente*
> > da maquina do usuario, por exemplo usando um keylogger instalado via
> > malware.
> 
> nunca vi acontecer tambem, "pero que las hay, las hay". bem, eu não 
> monitoro terminal de usuário final, então estou bem por fora disso.
> 
> >> eu tenho usado o fail2ban para negar acesso a quem
> >> erra a senha ou nome por mais de x vezes.
> >
> > E' o que manda a boa tecnica, entretanto eu acredito que este tipo
> > de "brute forcing" va' se tornar cada vez menos frequente no futuro
> > (entre outras coisas por conta do fail2ban e similares -- vide
> > "corrida armamentista").
> 
> por enquanto as pesquisas de senhas continua e o fail2ban está ganhando a 
> parada.

Eu uso uma estrategia que considero mais eficiente: minhas rotinas de
manutencao dos dados de autenticacao rodam a CrackLib (aka libcrack)
em cima de cada senha proposta pelo usuario, sempre que ele tenta criar
uma conta ou trocar a senha de uma ja' existente: se o cracklib quebrar
a senha, a mesma simplesmente nao e' aceita e o usuario tem de informar
outra.

Assim mata-se o problema na origem e ainda posso dar um "tratamento
especial" ao atacante, como mete-lo em um tar pit, sem medo do pilantra
descobrir senhas vulneraveis, pela simples razao de que nao ha' senhas
vulneraveis para inicio de conversa.

> > O verdadeiro problema (na minha opiniao) e' que falta "vontade politica"
> > dos provedores para tomar qualquer tipo de atitude para "sanitizar"
> > usuarios contaminados: apesar de serem relativamente faceis de detectar
> > (e' so' medir a quantidade de conexoes saintes para porta 25 por unidade
> > de tempo de cada usuario conectado no agregador), nunca vi nenhum provedor
> > tomar qualquer tipo de atitude a respeito, nem mesmo desviar o usuario
> > para um portal cativo e la' informa-lo de que a sua maquina esta' invadida
> > e oferecer links para descontaminacao, o que e' bastante facil com a maioria
> > dos agregadores que andam por ai ja' ha' varios anos.
> 
> mas não é responsabilidade dos provedores cuidar do windows XP sem 
> atualização da vovó.

Concordo em genero e grau. Mas IMHO e' responsabilidade do provedor
bloquear quem esta' obviamente contaminado, o que a maioria deles nao
faz sem bloqueio de porta 25 e na minha opiniao vao continuar sem
faze-lo com bloqueio da porta 25.

> bloqueio da 25/tcp já é um grande avanço. bem, 
> colocar um sistema automatico de aviso 'teu computador tá bichado' não é 
> difícil, mas eu receio que a mensagem resultante vai ficar muito parecida 
> com um spam.

Nao se voce meter o usuario em um portal cativo onde qualquer pagina web
que ele acesse transfira primeiro para uma pagina com este aviso...

> Ad Caesar, caesarea!

Ilegitimii non carborundum! ;-)

Um Grande Abraco,
-- 
   Durval Menezes (durval AT tmp DOT com DOT br, http://www.tmp.com.br/)



> -- Danton
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l

More information about the masoch-l mailing list