[MASOCH-L] Consulta WHOIS web - registro.br é antispam?

Rubens Kuhl rubensk at gmail.com
Wed May 31 03:00:33 -03 2017


2017-05-31 1:13 GMT-03:00 Ricardo Vendramini <lista at amplus.com.br>:

> On 05/30/2017 09:31 PM, Rubens Kuhl wrote:
>
>>
>> Consultando feeds como OpenPhish, PhishTank, Google SafeBrowsing e
>> SpamHaus, talvez ?
>>
>
>         Aqui em nosso país, Brasil, temos (tinhamos) o registro.br que
> antes consultavamos a lista de domínios de um CPF (falso). Era muito útil.
> Escondendo essa informação, beneficia os spammers.
>

Ser muito útil só se fosse um modo de ação muito prevalente... na minha
experiência de acompanhar os feeds que citei, há tanto CPFs usados com um
único domínio por um único ID, quanto vários CPFs com um ID, quanto cada
CPF separado com ID separado. E se apesar dos vários domínios terem sido
comuns no passado, não são mais... o que sugere uma adaptação a esse tipo
de estratégia.


>
>          Existem dezenas de milhares de domínios registrados com CPF
>>> falsos, antes podiamos consultar a lista para bloquear esses malditos
>>> spammers.
>>>
>>
> Eu não imagino que sejam tantos assim, mas se forem, que tal denunciar os
>> que você sabe que tenham usado identidade falsa ou criado
>> phishing/malware/etc. para hostmaster at registro.br ?
>>
>
>         Já fiz isso algumas vezes no passado, mas como o registro.br é um
> excelente facilitador para os spammers, e infelizmente "dificultador" para
> os que querem denunciar, fica difícil.
>
>         Para cadastrar um novo ID e depois domínios, basta usar um CPF
> qualquer, escolhido aleatóriamente. Tem banco de dados pela internet com
> listas de nomes e CPFs, só caçar no Google. O registro.br aceita qualquer
> cadastro de CPF, sem nenhuma conferência sólida, e qualquer domínio novo
> para enviar SPAM em massa antes mesmo de pagar a anuidade.
>

Até onde eu saiba servidores de e-mail (e/ou open proxies) enviam spam,
domínios não enviam spam... sistemas de reputação usam trincas com IP,
domínio e conteúdo, e mesmo que um desses fatores não estivesse sendo
facilmente identificável, os outros estão.


>
>         Quando o spammer percebe que esse ID (e domínios) já estão
> bloqueados, os descarta e vai para o próximo cadastro falso. Ciclo sem fim.
>
>         Do outro lado, para denunciar, precisamos ter a data de nascimento
> do CPF para conferir se o nome está ok. [1]


Essa é uma mudança que a RFB fez em Junho de 2015.


> Mesmo conferindo nas listas de nomes pela internet seria paliativo, pois
> não temos como entrar em contato com cada ID para saber se a pessoa está
> viva e foi ela mesma que se cadastrou, confirmando que teve seus dados
> cadastrados indevidamente por um spammer. Ou seja, denunciar é difícil.
>

Não é bem assim. Eu mesmo já pedi o congelamento de domínios onde os dados
eram bem reais, mas que por usar nomes non-sense(ex:addjaskd) obviamente
tinham algum objetivo ilegítimo. No caso era ser DNS reverso (PTR) para
envio de spam.


        Denunciar domínios que imitem nome de bancos e operadoras é menos
> difícil, e não é muito usado pelos spammers.
>
> [1]
> https://www.receita.fazenda.gov.br/Aplicacoes/SSL/ATCTA/CPF/
> ConsultaSituacao/ConsultaPublica.asp
>
>         Eu mesmo, na próxima hora, poderia cadastrar dezenas de novos IDs
> e domínios. Só acessar via vários proxys para não ser o mesmo IP, criar
> contas temporarias de email gratuito para cadastrar no registro.br (e
> confirmar o email) e pronto. Fácil e prático.
>
>         Não existe nenhuma solicitação de documento fisicamente,
> confirmação de um telefone celular (com SMS), nem campos como RG, data de
> nascimento ou outras informações para confirmar com os sistemas do governo
> federal, etc. Uma simples confirmação de email e se o nome bate com o CPF
> coletado. Só isso. No fim, onde está a "segurança" desse sistema contra
> perfis falsos?
>

E onde está a alegação de que o sistema contém apenas perfis verdadeiros ?
É um sistema declaratório, onde a informação que entra, sai.



>
>
>          Bastava receber um SPAM ou email falso fazendo de conta que é
>>
>>> "alerta" de um banco, dar whois do dominio, coletar o CPF falso, dar um
>>> whois do CPF e já ter a lista dos demais dominios cadastrados. Eu
>>> conferia
>>> os demais dominios se eram falsos mesmo (para não bloquear uma eventual
>>> conta invadida), em seguida bloqueava.
>>>
>>>
>> O WHOIS porta 43 já não deva essa lista há bastante tempo, a resposta já
>> era algo assim:
>>
>> domaincount: 25
>> inetcount:   55
>> asncount:    14
>>
>> O que mudou recentemente é que o WHOIS Web, com Captcha, passou a dar a
>> mesma resposta.
>>
>
>         Sim, antes usavamos nosso próprio sistema automático para bloquear
> os spammers, depois por decisão do registro.br não pudemos mais fazer
> automaticamente. Telefonei duas vezes ao registro.br para reclamar disso
> e fui informado que essa decisão interna não iria mudar e ponto final, sem
> excessões.
>
>         A partir disso bloquear spammers passou a ser feito manualmente,
> por causa do captcha.
>
>         Mesmo assim foi decidido agora remover a única opção que tinhamos,
> fazer manualmente usando o whois web.
>
>         Os spammers devem estar muito felizes e dando muita risada ao ler
> esse email. Aposto.
>
> Você pode fazer como o pessoal da SPFBL: o CPF/CNPJ vai para uma lista de
>> abusos, e na primeira mensagem recebida por um novo domínio desse mesmo
>> CPF/CNPJ, a primeira é aceita mas a próxima já é bloqueada, usando a
>> consulta de domínio.
>>
>
> Aliás, se você usar algo como o SPFBL ou outro mecanismo cooperativo,
>> apenas um sistema precisará receber um spam para isso já ser bloqueado em
>> todos os sistemas.
>>
>
>         Sim, concordo, infelizmente o registro.br protege os spammers, e
> a iniciativa do Leandro em montar um próprio sistema de bloqueio merece
> aplausos, eu estou torcendo que o SPFBL cresça e seja adotado em todos os
> provedores de internet e empresas o mais rápido possível



>        A maior controvérsia é os interesses e pontos de visão diferentes,
> entre os spammers e as empresas e pessoas que são contra spam. E o
> registro.br entre bem no meio da questão.



> O site antispam.br é muito bacana, sempre admirei e recomendo as pessoas
> conhecerem. Só lamento que mesmo com a "propaganda antispam" o nic.br tem
> FACILITADO para os spammers e DIFICULTANDO para as empresas sérias que são
> antispam.



Essa visão maniqueísta de que ou se combate ou se protege spammers esquece
completamente que há uma outra dimensão: a dos titulares de domínios, que
além de spam são vítimas de golpes mais graves de roubo de credenciais,
cobranças falsas etc.

E além do antispam.br, vale lembrar de outras iniciativas anti-spam como o
bloqueio de porta 25, iniciativas de incremento de reputação de sistemas de
e-mail como DANE (ftp://ftp.registro.br/pub/gter/gter39/11-SmtpReforcado.pdf,
de projetos como o SpamPots (https://www.cert.br/docs/whitepapers/spampots/),
do financiamento de eventos que incluem palestras sobre combate a spam...



>       Perguntas interessantes:
>>
>
>         1) O que impede o registro.br melhorar o sistema de cadastro de
> IDs novos e ter uma checagem/validação/conferência de dados mais eficiente
> do CPF?
>

A falta de uma identidade eletrônica com validade legal tão difundida
quanto o documento de papel.  Quantos serviços online fazem o tipo de
checagem que você sugere para milhões de usuários ? Na área de domínios eu
te garanto que nenhum.


        2) O que impede de o registro.br permitir o site ir ao ar e enviar
> emails apenas depois de pagar a 1ª anuidade?
>

Isso em parte já é feito para quem usa o DNS incluso do Registro.br. Para
quem usa DNS próprio, essa tradição de outrora ainda se mantém.

Notar que o fraudador tem acesso também a cartões de crédito no mercado
ilícito, então isso não afeta spammers dispostos a usar identidades de
terceiros... isso só importa mais no caso do spammer que dá a cara para
bater registrando em seu nome real, que também existe.


>         3) O que impede o registro.br permitir que empresas possam se
> proteger dos spammers com a lista dos dominios registrados, como era
> antigamente? (não é porque o ICANN está em dúvida a 15 anos que vamos
> aproveitar essa desculpa e ficarmos passivos protegendo os spammers ne?)


A ICANN está em dúvida por que o balanço entre titulares e usuários não é
uma escolha simples. Não é uma desculpa, é um indicativo de o quanto essa é
uma questão delicada.


> Pior que passivos protegendo spammers, foi retirar uma das ferramentas que
> eram ótimas para antispam.
>

A sua sensação de efetividade disso não bate com a minha experiência na
linha de frente. Talvez algumas análises baseadas em dados sobre quanto de
spam vem de domínios dessa forma fossem interessantes para ancorar isso na
realidade.


>
>         Em outro email seu:
>
> > Exato. Como essa mudança ocorreu de forma reativa, ainda está sendo
> > avaliado se essa lista poderá voltar a ser publicada com outro tipo de
> > controle/deterrence, ou se essa mudança se tornará permanente.
>
>         Eu torço muito que o registro.br reconsidere essa questão e volte
> como era antes, ou que permita as empresas de internet e as que tem seu
> próprio TI se protegerem.
>
>         Ou melhor ainda: que o registro.br deixe então apenas o SPFBL
> consultar, que tal? Seria muito admirável isso! :)
>

Aqui entra um outro problema, o de comportamento isonômico. Se o SPFBL
pode, pq não a Postini e a Comodo ? Ok, esses 3 tem boa reputação, mas e
como saber da boa índole de um serviço para nós desconhecido ? Ou por
exemplo como o SPFBL teria conseguido se inserir no mercado se os outros
tinham acesso e ele não, pois ainda não era conhecido ?

Você fala de se proteger como se identificação de domínio usado em spam
fosse o único modo, quando a trinca IP/domínio/conteúdo continua a forma
predominante de análise... e mesmo em domínio, já há muitos anos se diz que
passar a construir índices de boa reputação ao invés de índices de má
reputação seja o caminho. Em 2005 o autor do Sendmail fez uma apresentação
no FISL (descrita em https://www.dwheeler.com/essays/fisl2005.html) dizendo
isso e 12 anos depois isso ainda é válido...


Se você continuar insistindo em um comportamento do tipo "Quem Mexeu No Meu
Queijo ?", estará ignorando a dor dos outros elementos afetados, e acaba
não tendo como colaborar com idéias ponderadas para evolução dessas
escolhas.


Rubens



More information about the masoch-l mailing list