Reagindo a brute forces denunciando para blacklists

[kurtkraut]

O problema de bloquear um IP é que o atacante de hoje é o visitante legitimo de amanhã. É basicamente um tiro no pé, geralmente no desavisado pé alheio dos usuários que, por ignorância, deixaram o sysadmin usar irresponsavelmente o sistema como playground, laboratório, canal de vazão de caprichos ou delirios autoritários. Ao usar uma lista elaborada por terceiros para bloquear IPs, o tiroteiro no pé dos usuários é incontrolável, indesculpável, tem imenso potencial para causar grandes prejuizos e, na minha opinião, motivo para demissão por justa causa e/ou mover um processo.

Lamento discordar. Existem 160 IPs bloqueados em nosso servidores, todos reportados. Destas 160 ocorrências, somente uma é de um IP brasileiro. Além dessa houve uma única outra ocorrência em que legitimamente identificamos ser de um cliente tentando lembrar a senha por tentativa e erro, o que o log acabou evidenciando e confirmamos depois por chamado pró-ativo. Todo o conteúdo hospedado por nós é em língua portuguesa. Mais de 90% dos IPs bloqueados são de leste europeu e ásia e consultando por amostragem, todos os consultados são de datacenters, não de ISPs.

É ainda a única forma que tenho de divulgar de forma automática a um sistema autônomo ou administrador de sistemas que a máquina/IP dele está comprometido e sendo utilizado por atividades maliciosas. Todos os bloqueios em meus servidores expirarão e as adesões em blacklist são todas datadas e a remoção é automática por formulário web.

[5ms]

Você está assumindo que todos os participantes serão tão criteriosos como você, que não serão incluidos IPs com intenção de prejudicar concorrentes, etc. Por que uma empresa deveria aceitar o risco de usar uma lista elaborada por terceiros para bloquear os seus visitantes? Afinal, qual o problema do ataque força bruta se a porta não é default e a senha é virtualmente impossivel de ser descoberta através de tentativas? A proposta é ruim e irresponsável.

[kurtkraut]

Você está assumindo que todos os participantes serão tão criteriosos como você, que não serão incluidos IPs com intenção de prejudicar concorrentes, etc. Por que uma empresa deveria aceitar o risco de usar uma lista elaborada por terceiros para bloquear os seus visitantes? Afinal, qual o problema do ataque força bruta se a porta não é default e a senha é virtualmente impossivel de ser descoberta através de tentativas? A proposta é ruim e irresponsável.

5ms, você tem muito empenho em adjetivar pejorativamente e pouco empenho em ler com atenção. A aprovação para obter uma key para poder adicionar IPs no DroneBL.org é criteriosa. Exige responder perguntas, questionamentos, motivações, que uso se pretende fazer. E um participante da blacklist com muitas queixas ou muitos pedidos de removal das adições que ele faz ou reclamações, a key é revogada. Logo, esse tipo de abuso se ocorresse, seria tolido.

Se fosse impossível descobrir senhas por brute force, eles não aconteceriam todos os dias Há grande investimento em esforço de crackers em ownar máquinas e utilizá-las para essa finalidade. Certamente alguma senha fraca será descoberta, basta continuarem insistindo. Mas até agora você não entendeu o intuito do meu relato automático na blacklist: permitir que os times de abuse do sistema autônomo e/ou os sysadmins do servidores sejam notificados que uma máquina de responsabilidade deles foi invadida e está sendo utilizada para ataques.