[MASOCH-L] Consulta WHOIS web - registro.br é antispam?
Bruno Cabral
bruno at openline.com.br
Wed May 31 08:04:46 -03 2017
Nao é só usar a data do CREATED pra calcular o grace?
Quanto a validação do CPF online, já que se exige CPF e CNPJ, não checar parece estranho.
!3runo
________________________________
De: masoch-l <masoch-l-bounces at eng.registro.br> em nome de Leandro Carlos Rodrigues <leandro at allchemistry.com.br>
Enviado: quarta-feira, 31 de maio de 2017 07:59:54
Para: Mail Aid and Succor, On-line Comfort and Help
Assunto: [MASOCH-L] Consulta WHOIS web - registro.br é antispam?
Rubens. Acho que o principal problema não seria exatamente o fato do CPF
não existir, ou ser de outra pessoa.
Claro que isso é importante do ponto de vista jurídico mas, caso
pudermos saber se o domínio está em grace time, resolve praticamente
todos os pontos levantados nessa thread.
Houve um momento que eu sugeri que o registro.br restringisse o NS de
domínios em grace time, retornando sempre "v=spf1 -all" em qualquer
consulta TXT. Mas para que complicar se é possível facilitar criando um
novo campo no WHOIS, algo deste tipo:
nsstat: 20170531 AA
nslastaa: 20170531
saci: yes
_grace: no_
created: 20170508 #16959167
changed: 20170512
expires: 20180508
status: published
Deixe o próprio mercado regular esse problema de CPF falso permitindo
que restrinjam recebimento de domínios em grace time a gosto. Quem achar
que deve restringir, que restrinjam e deixem os demais continuando a
receber normalmente.
Leandro Carlos Rodrigues
TI All Chemistry do Brasil
(11) 3014-7100
Em 31/05/2017 03:00, Rubens Kuhl escreveu:
> 2017-05-31 1:13 GMT-03:00 Ricardo Vendramini <lista at amplus.com.br>:
>
>> On 05/30/2017 09:31 PM, Rubens Kuhl wrote:
>>
>>> Consultando feeds como OpenPhish, PhishTank, Google SafeBrowsing e
>>> SpamHaus, talvez ?
>>>
>> Aqui em nosso país, Brasil, temos (tinhamos) o registro.br que
>> antes consultavamos a lista de domínios de um CPF (falso). Era muito útil.
>> Escondendo essa informação, beneficia os spammers.
>>
> Ser muito útil só se fosse um modo de ação muito prevalente... na minha
> experiência de acompanhar os feeds que citei, há tanto CPFs usados com um
> único domínio por um único ID, quanto vários CPFs com um ID, quanto cada
> CPF separado com ID separado. E se apesar dos vários domínios terem sido
> comuns no passado, não são mais... o que sugere uma adaptação a esse tipo
> de estratégia.
>
>
>> Existem dezenas de milhares de domínios registrados com CPF
>>>> falsos, antes podiamos consultar a lista para bloquear esses malditos
>>>> spammers.
>>>>
>> Eu não imagino que sejam tantos assim, mas se forem, que tal denunciar os
>>> que você sabe que tenham usado identidade falsa ou criado
>>> phishing/malware/etc. para hostmaster at registro.br ?
>>>
>> Já fiz isso algumas vezes no passado, mas como o registro.br é um
>> excelente facilitador para os spammers, e infelizmente "dificultador" para
>> os que querem denunciar, fica difícil.
>>
>> Para cadastrar um novo ID e depois domínios, basta usar um CPF
>> qualquer, escolhido aleatóriamente. Tem banco de dados pela internet com
>> listas de nomes e CPFs, só caçar no Google. O registro.br aceita qualquer
>> cadastro de CPF, sem nenhuma conferência sólida, e qualquer domínio novo
>> para enviar SPAM em massa antes mesmo de pagar a anuidade.
>>
> Até onde eu saiba servidores de e-mail (e/ou open proxies) enviam spam,
> domínios não enviam spam... sistemas de reputação usam trincas com IP,
> domínio e conteúdo, e mesmo que um desses fatores não estivesse sendo
> facilmente identificável, os outros estão.
>
>
>> Quando o spammer percebe que esse ID (e domínios) já estão
>> bloqueados, os descarta e vai para o próximo cadastro falso. Ciclo sem fim.
>>
>> Do outro lado, para denunciar, precisamos ter a data de nascimento
>> do CPF para conferir se o nome está ok. [1]
>
> Essa é uma mudança que a RFB fez em Junho de 2015.
>
>
>> Mesmo conferindo nas listas de nomes pela internet seria paliativo, pois
>> não temos como entrar em contato com cada ID para saber se a pessoa está
>> viva e foi ela mesma que se cadastrou, confirmando que teve seus dados
>> cadastrados indevidamente por um spammer. Ou seja, denunciar é difícil.
>>
> Não é bem assim. Eu mesmo já pedi o congelamento de domínios onde os dados
> eram bem reais, mas que por usar nomes non-sense(ex:addjaskd) obviamente
> tinham algum objetivo ilegítimo. No caso era ser DNS reverso (PTR) para
> envio de spam.
>
>
> Denunciar domínios que imitem nome de bancos e operadoras é menos
>> difícil, e não é muito usado pelos spammers.
>>
>> [1]
>> https://www.receita.fazenda.gov.br/Aplicacoes/SSL/ATCTA/CPF/
>> ConsultaSituacao/ConsultaPublica.asp
>>
>> Eu mesmo, na próxima hora, poderia cadastrar dezenas de novos IDs
>> e domínios. Só acessar via vários proxys para não ser o mesmo IP, criar
>> contas temporarias de email gratuito para cadastrar no registro.br (e
>> confirmar o email) e pronto. Fácil e prático.
>>
>> Não existe nenhuma solicitação de documento fisicamente,
>> confirmação de um telefone celular (com SMS), nem campos como RG, data de
>> nascimento ou outras informações para confirmar com os sistemas do governo
>> federal, etc. Uma simples confirmação de email e se o nome bate com o CPF
>> coletado. Só isso. No fim, onde está a "segurança" desse sistema contra
>> perfis falsos?
>>
> E onde está a alegação de que o sistema contém apenas perfis verdadeiros ?
> É um sistema declaratório, onde a informação que entra, sai.
>
>
>
>>
>> Bastava receber um SPAM ou email falso fazendo de conta que é
>>>> "alerta" de um banco, dar whois do dominio, coletar o CPF falso, dar um
>>>> whois do CPF e já ter a lista dos demais dominios cadastrados. Eu
>>>> conferia
>>>> os demais dominios se eram falsos mesmo (para não bloquear uma eventual
>>>> conta invadida), em seguida bloqueava.
>>>>
>>>>
>>> O WHOIS porta 43 já não deva essa lista há bastante tempo, a resposta já
>>> era algo assim:
>>>
>>> domaincount: 25
>>> inetcount: 55
>>> asncount: 14
>>>
>>> O que mudou recentemente é que o WHOIS Web, com Captcha, passou a dar a
>>> mesma resposta.
>>>
>> Sim, antes usavamos nosso próprio sistema automático para bloquear
>> os spammers, depois por decisão do registro.br não pudemos mais fazer
>> automaticamente. Telefonei duas vezes ao registro.br para reclamar disso
>> e fui informado que essa decisão interna não iria mudar e ponto final, sem
>> excessões.
>>
>> A partir disso bloquear spammers passou a ser feito manualmente,
>> por causa do captcha.
>>
>> Mesmo assim foi decidido agora remover a única opção que tinhamos,
>> fazer manualmente usando o whois web.
>>
>> Os spammers devem estar muito felizes e dando muita risada ao ler
>> esse email. Aposto.
>>
>> Você pode fazer como o pessoal da SPFBL: o CPF/CNPJ vai para uma lista de
>>> abusos, e na primeira mensagem recebida por um novo domínio desse mesmo
>>> CPF/CNPJ, a primeira é aceita mas a próxima já é bloqueada, usando a
>>> consulta de domínio.
>>>
>> Aliás, se você usar algo como o SPFBL ou outro mecanismo cooperativo,
>>> apenas um sistema precisará receber um spam para isso já ser bloqueado em
>>> todos os sistemas.
>>>
>> Sim, concordo, infelizmente o registro.br protege os spammers, e
>> a iniciativa do Leandro em montar um próprio sistema de bloqueio merece
>> aplausos, eu estou torcendo que o SPFBL cresça e seja adotado em todos os
>> provedores de internet e empresas o mais rápido possível
>
>
>> A maior controvérsia é os interesses e pontos de visão diferentes,
>> entre os spammers e as empresas e pessoas que são contra spam. E o
>> registro.br entre bem no meio da questão.
>
>
>> O site antispam.br é muito bacana, sempre admirei e recomendo as pessoas
>> conhecerem. Só lamento que mesmo com a "propaganda antispam" o nic.br tem
>> FACILITADO para os spammers e DIFICULTANDO para as empresas sérias que são
>> antispam.
>
>
> Essa visão maniqueísta de que ou se combate ou se protege spammers esquece
> completamente que há uma outra dimensão: a dos titulares de domínios, que
> além de spam são vítimas de golpes mais graves de roubo de credenciais,
> cobranças falsas etc.
>
> E além do antispam.br, vale lembrar de outras iniciativas anti-spam como o
> bloqueio de porta 25, iniciativas de incremento de reputação de sistemas de
> e-mail como DANE (ftp://ftp.registro.br/pub/gter/gter39/11-SmtpReforcado.pdf,
> de projetos como o SpamPots (https://www.cert.br/docs/whitepapers/spampots/),
> do financiamento de eventos que incluem palestras sobre combate a spam...
>
>
>
>> Perguntas interessantes:
>> 1) O que impede o registro.br melhorar o sistema de cadastro de
>> IDs novos e ter uma checagem/validação/conferência de dados mais eficiente
>> do CPF?
>>
> A falta de uma identidade eletrônica com validade legal tão difundida
> quanto o documento de papel. Quantos serviços online fazem o tipo de
> checagem que você sugere para milhões de usuários ? Na área de domínios eu
> te garanto que nenhum.
>
>
> 2) O que impede de o registro.br permitir o site ir ao ar e enviar
>> emails apenas depois de pagar a 1ª anuidade?
>>
> Isso em parte já é feito para quem usa o DNS incluso do Registro.br. Para
> quem usa DNS próprio, essa tradição de outrora ainda se mantém.
>
> Notar que o fraudador tem acesso também a cartões de crédito no mercado
> ilícito, então isso não afeta spammers dispostos a usar identidades de
> terceiros... isso só importa mais no caso do spammer que dá a cara para
> bater registrando em seu nome real, que também existe.
>
>
>> 3) O que impede o registro.br permitir que empresas possam se
>> proteger dos spammers com a lista dos dominios registrados, como era
>> antigamente? (não é porque o ICANN está em dúvida a 15 anos que vamos
>> aproveitar essa desculpa e ficarmos passivos protegendo os spammers ne?)
>
> A ICANN está em dúvida por que o balanço entre titulares e usuários não é
> uma escolha simples. Não é uma desculpa, é um indicativo de o quanto essa é
> uma questão delicada.
>
>
>> Pior que passivos protegendo spammers, foi retirar uma das ferramentas que
>> eram ótimas para antispam.
>>
> A sua sensação de efetividade disso não bate com a minha experiência na
> linha de frente. Talvez algumas análises baseadas em dados sobre quanto de
> spam vem de domínios dessa forma fossem interessantes para ancorar isso na
> realidade.
>
>
>> Em outro email seu:
>>
>>> Exato. Como essa mudança ocorreu de forma reativa, ainda está sendo
>>> avaliado se essa lista poderá voltar a ser publicada com outro tipo de
>>> controle/deterrence, ou se essa mudança se tornará permanente.
>> Eu torço muito que o registro.br reconsidere essa questão e volte
>> como era antes, ou que permita as empresas de internet e as que tem seu
>> próprio TI se protegerem.
>>
>> Ou melhor ainda: que o registro.br deixe então apenas o SPFBL
>> consultar, que tal? Seria muito admirável isso! :)
>>
> Aqui entra um outro problema, o de comportamento isonômico. Se o SPFBL
> pode, pq não a Postini e a Comodo ? Ok, esses 3 tem boa reputação, mas e
> como saber da boa índole de um serviço para nós desconhecido ? Ou por
> exemplo como o SPFBL teria conseguido se inserir no mercado se os outros
> tinham acesso e ele não, pois ainda não era conhecido ?
>
> Você fala de se proteger como se identificação de domínio usado em spam
> fosse o único modo, quando a trinca IP/domínio/conteúdo continua a forma
> predominante de análise... e mesmo em domínio, já há muitos anos se diz que
> passar a construir índices de boa reputação ao invés de índices de má
> reputação seja o caminho. Em 2005 o autor do Sendmail fez uma apresentação
> no FISL (descrita em https://www.dwheeler.com/essays/fisl2005.html) dizendo
> isso e 12 anos depois isso ainda é válido...
>
>
> Se você continuar insistindo em um comportamento do tipo "Quem Mexeu No Meu
> Queijo ?", estará ignorando a dor dos outros elementos afetados, e acaba
> não tendo como colaborar com idéias ponderadas para evolução dessas
> escolhas.
>
>
> Rubens
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l
__
masoch-l list
https://eng.registro.br/mailman/listinfo/masoch-l
More information about the masoch-l
mailing list