Názory k článku
Jak se ISP vypořádají se šiřiteli virů a spamu?

Je to možná tak 2 roky co se šířil vir, který bral z napadeného PC soubory a posílal je emailem všude možně. Mě z jednoho takového PC chodilo snad 50 emailů za hodinu a to nepřetržitě, pořád. Podle IP jsem zjistil, že uživatel je připojen přes ADSL od IOL.

No a začal marný boj. Napsal jsem na IOL ať ho ustřihnou, že mě otravuje viry. Odpověď byla, že provider neručí za svého uživatele a že nic takového dělat nebudou. Vyměnil jsem si s nimi ještě několik emailů a vždy jsem dostal stejnou odpověď. Přehazovali si mě jak horký brambor, od podpory k správci mailserveru a zpět. Nakonec jsem napsal na všechny emailové adresy z webu IOL v sekci kontakty (včetně tiskového mluvčího, apod.) a pohrozil jsem zveřejněním celého případu. Asi ze zalekli této "reklamy" a radši něco udělali, protože to pak chodit přestalo.

Myslím, že dnes by mě čekalo to samé. Je tu totiž jeden zásadní rozdíl - já jako oběť jim nic neplatím, ale ten mamlas s virem jim platí měsíční paušál a kdyby ho ustřihli tak už by taky příští měsíc mohl být u jiného providera..

obvyklý přístup helpdesku providera by měl být zhruba následující: požádat Vás, abyste poslal alespoň jeden kompletní e-mail včetně hlavičky na speciální adresu providera (abuse@domena.cz apod) a následně to už řeší provider - výstrahou, zablokováním atp.
Postup IOL v tomhle zdá se být poněkud...telekomáckým...:-/

Jen bych doplnil, že kompletní zdroják zprávy jsem samozřejmě poslal ihned, takže IP viníka bylo zcela jasné.

A jen tak pro zajímavost - v těch dokumentech co mi od něj chodily bylo zajímavé počtěníčko, byly to obchodní smlouvy, faktury apod. Podle toho jsem pak dokonce znal i přesné jméno a adresu toho ňoumy.

No měl jste vypálit jednu kopii antiviru a navštívit dotyčného pána s tím at si to nainstaluje :-)

Ja jsem psal asi pred mesicem 2x tesne po sobe na techhelp@iol.cz protoze nekteri jejich uzivatele otravovali na mem SMTP serveru - pokazde mi druhy den rano prislo info o jejich zablokovani a byl klid. Byl jsem spokojen.

Dovoluji si upozornit, ze pred dvema roky bezelo ADSL v testovacim rezimu. Nebyly ani nastroje pro detekce uzivatele, natoz pravidla na ustrizeni. Ta poznamka o tom, ze 'dnes by me cekalo to same' je ponekud od veci. Navic viry vetsinou neposilaji svoje 'produkty' pres smtp server providera, takze se docela hodne tezko hleda ten spravny provoz. Taky muzu tvrdit, ze mi z Vaseho serveru chodi tisice viru - a verte tomu, ze hlavicky si nafalsovat dokazu ;-)

1) Podle tracert toho IP z hlavičky jsem poznal, že jde o ADSL od IOL. (nejen) IOL MUSÍ přece vědět, které IP patří kterému uživateli

2) Emaily samozřejmě viry odesílají přímo z PC, a kupodivu přes port 25. Je opravdu takový problém tento port na daném IP bloknout? Samozřejmě že není! Když to provideři umějí dovnitř (aby lidi neměli otevřené SMTP) musí to jít i ven - aby nerozesílali emaily.

Jen dve slova: dynamicke IP

Jenze i dynamicke IP se muze pridelovat na zaklade neceho :-)

To urcite. Jenze nemusi a tenkrat se to take nedelo. A i kdyby, jedina rozumna moznost je potom dotycnemu uzivateli zrusit pristup. Filtrovani provozu per user na ADSL poolech opravdu mozne neni, leda na konkretnich sererech (treba SMTP)

Ach jo:

1) I u dynamického IP má provider zcela jistě logy kdo kdy které IP měl
2) Tenkrát mi chodily ty šmejdy z JEDINÉHO IP několik dní, byl to jeden a ten samý člověk, to PC mu jelo 24h, bohužel..

ad 1: ano. Ja mluvim o vlastni akci. Jak chcete udelat IP filtr na dynamickou adresu?
ad2: ano. jakmile by se odhlasil, dostal by adresu jinou. Zbytek viz 1

Pokud jsem provider, který přiděluje dynamické IP tak samozřejmě znám MAC adresy modemů. Pokud mi někdo vadí tak ho samozřejmě ustřihnu, protože ho najdu podle toho MACa.

To neni boj se SPAMem, ani s viry/wormy/trojany. Je to BOJ S LAMERY, kteri vsechnu tu havet ochotne rozsiruji. Resp. staci, aby se trojan dostal k jedne lamce a pak se uz automaticky dostane i k ostatnim, pokud nebudou mit zalatanu konkretni chybu ve Win, nebo korektne nastaveny FW, ktery neni od MS = FW, ktery skutecne funguje a hlida i RAW packety... Napr. Outpost firewall

Verim, ze clanek bude mit pokracovani. Treba takove, ze se autor stane zakaznikem dotycnych spolecnosti, posle par SPAMu, pak si na nej jeho kolega (ISPcku se predstavujici jako nastvany zakaznik) bude stezovat.

Doufam, ze autor necekal, ze mu nektera ze spolecnosti odpovi jinak.

Tuhle jsem zaznamenal utok ze site velkeho britskeho operatora . Poslal jsem mu vyrozumeni na abuse@ a reagoval za (sic!) tri dny. Podotykam, ze jeste ted mi ta jeho adrea plni log firewallu. To je relita zivota.

Konečně někdo napsal o tom jak to chodí na straně ABUSE centra. I když méně popisně než jsem očekával.

Ještě by to chtělo doplnit:

Bojujte proti SPAMu - zapojte se do bonzování na SPAMCOP.NET!
Nebo na abuse kontakty z whois databází:

RIPE http://ripe.net/whois
ARIN http://www.arin.net/whois/
APNIC http://apnic.net/whois
AFRINIC http://www.afrinic.net/whois
LACNIC http://lacnic.net/cgi-bin/lacnic/whois?lg=EN


Několik procent (2-10%)lidí kupuje zboží nabízene SPAMmery, když podobný poměr začne hlásit spam hned jak jim dorazí a SMTP servery budou nahlášené zdroje spamu blokovat tak se míra spamu na internetu IMHO výrazně sníží.

Ale predtim si radsi prectete muj clanek "Nepouzivejte blacklisty!" ;-)

Váš článek platí pro ISP a freeemaily.
Jsem-li koncový SMTP a mám whitelist, mohu používat blacklisty bez obav.

A jak ten whitelist plnite? Ano, pokud jste sam a dostavate postu stale od stejne mnoziny lidi, tak je to OK. Pro vice lidi (cca od 10 vyse) je to cim dal mene udrzitelne a od 100 uctu IMHO zcela neudrzitelne (zvlast proto, ze uzivatele vetsinou oni ten whitelist plnit nezvladnou). A na takovych serverech je vetsina uctu.

Ono totiz u blacklistu je zasadni nevyhoda, ze nevite,jake maily vam blokuji. Vy si myslite, ze to jsou spamy. Ale pak se treba chcete zaregistrovat do nejake bugzilly a mail s heslem porad ne a ne prijit, protoze ho blacklist zablokuje...

Pokud jste koncovy SMTP sam pro sebe pak ano. Ale pokud jste napriklad mestsky urad (zdravim timto MU Znojmo) nebo nemocnice (a ted si nevzpomenu ktera) tak je podle me pouziti spamcopu natvrdo docela nestastne reseni. V obou pripadech doslo bohuzel k tomu, ze kvuli spamcopu byl zablokovan dopis z meho mailserveru a ja dodnes nevim, proc se na spamcopu objevil. Po 24 hodinach byl zaznam automaticky odstranen bez zasahu kohokoliv z administratoru.

Honza

Auu... neeee! Jak uz je napsano nize, prectete si clanky Nepouzivejte blacklisty. Konkretne SpamCOP mj. dela to, ze zaradi IP na blacklist na zaklade toho, ze od nej udajne prijme email na nejaky svuj SPAM trap. Coz je zrejme mailova adresa, ktera neni nikde zverejnena a jen se na ni chytaji spamy. Potiz je v tom, ze pokud se to stane vam, tak se na Spamcopu doctete jen, ze vas stroj udajne poslal nejakou postu na spamcopi spamtrap a ze ty spamtrapy jsou tajne a Spamcop neposkytuje _ZADNE_ informace, podrobnosti ani logy. Pokud jste spravcem blacknuteho mailserveru, muzete jen skripat zubama a pripadne se snazit v logach najit nejaky podezrely zaznam, coz u vytizeneho mailserveru muze byt pomerne zdlouhave a pritom vpodstate nevite, jestli jste na blacklistu opravnene.

No a pak se uz jen divite, kolik magoru pouziva blacklist (jeden jediny) natvrdo. Grrrr...

Honza

Aaaaa, jen proboba nepouzivejte spamcop...

Spamcop? To opravdu ne! Nejsou schopni zaregistrovat změnu vlastníka bloku adres, která proběhla před 2-3 lety.. Po pár upozorněních to naštěstí opravili..

Můj subjektivní dojem je, že (na veřejné e-mailové adrese provozované od r. 2000) nastal v posledních měsících výrazný úbytek jak zavirovaných mailů, tak i obyčejného spamu.

Zřejmě na tom má zásadní podíl bezplatné využívání filtrace pošty u ISP, kde si poučený uživatel může filtry nastavit podle svých potřeb či blokovat poštu z konkrétních adres/domén.

Filtry a další opatření, o nichž se ještě před dvěma roky psalo jako o utopii (v českých poměrech), jsou dnes již běžně využívány a zřejmě výrazně omezují množství šířených virů i spamu.

Když jsem nedávno posílal ISP vzorek - zdrojový kód virového mailu imitujícího technické a bezpečnostní zprávy odesílané ISP (v angličtině :) z neexistujících adres, mail byl doručen až po odstranění zdrojového kódu přílohy, kvůli níž byl "někde po cestě" blokován (bez upozornění odesílateli)...

Teď mám spíše obavy, abychom to s filtrací pošty nepřehnali :))

Spise nabyvam dojmu, ze je na case opustit SMTP a zacit pouzivat jiny postovni protokol - a to takovy, kdy prvni postovni server na ceste bude znat vas, dalsi postovni server bude znat ten vas postovni server atd. az k adresatovi. A vse samozrejme s autentifikaci a kryptovane (+ pristup do stromove databaze verejnych klicu vsech uzivatelu toho systemu a take nejaky system stiznosti na odesilatele primo v protokolu, tedy moznost zablokovat si maily od nekoho, od koho je nechcete asi nejlepe primo na serveru, ktery je odesilateli toho mailu nejblize).

Tak specialne snimi zkusenost mam, 3 tydny jsem jim vysvetloval proc chci u domeny zrusit zaznam o zaloznich serverch.

Respektive nejdrive jsem je pozadal o sestreleni jedne konkretni IP, z niz mi trvale chodil jeden mail za druhym. Samo ze jsem to zakazal na primarnim severu, ale to je jak znamo knicemu, pokud existuje zalozni. Nejdriv me odkazali na majitele domeny, ktery samo nekomunikuje (.net), na coz jsem je tedy pozadal o odstraneni zaznamu z DNS, coz trvalo 14 dnu (a mam pocit ze reakce byla az nasledkem REJECT na odkazovane zalozni servery).

Spamerský parazity bych kopal s rozběhem do krychlí... Ach jo, český Internet byl ještě tak v roce 1997 krásný místo s přátelskou atmosférou a duchem spolupráce, pak do toho bez pozvání přišly vychytralý obchodní typy s reklamou a spamem a "portálama" a kouzlo bylo pryč...

Mozna kdybychom meli do sveta jednu 28kbit linku do Lince jako v tom roce 97 (i kdyz to bylo asi jeste driv :-) tak by to zas bylo krasny misto s pratelskou atmosferou. Akorat byste si asi moc nezagooglil ;-)

V roce 1997 byl cesky Internet pripojen k tomu svetovemu kapacitami, ktere v souctu prevysovaly 10 Mb/s.

Nojo, tak 28 do Lince bylo nejak 94, ne? Ale i kdybychom meli tech 10Mbit/s tak to bude skoro stejne jako ta 128ka :-)

V roce 1994 jsme tu meli INET. U prilezitosti INETu byly zrizen okruh o fantasticke kapacite 512 Kb/s do Amstru (Evropa-Net) a byl upgradovan okruh do EBONE (tusim taky na 512 Kb/s).

Myslim, ze do linde nikdy 28.8 nebylo. Byla tam 19.2, ktera pak byla povysena na 64 (nejsem si jist, zda do Vidne). Urcite bude mit Jirka Peterka neco v earchivu :-)

28kbps do Lince byl EARN, jestli si dobre vzpominam na prednasky jjkastla... a to bylo nekdy mnohem drive, tak 91-92.

Nevim, zda jjkastl mel presne informace. Do EARN/Bitnet byl odkruh 9.6 Kb/s. Nasledne byl na stejnem spoji udelan jeste druhy kanal (poku vim, tak to ty modemy zvladly) a po tom kanale bezel Internet.

Jenže on na českém internetu připadá jeden spamer na asi tak milión ignorantů, kteří šíří spam nevědomky, protože si svůj stroj neumí zabezpečit. Když jim pak zavoláte, hrozně se diví, kdo že je ten spajwure a proč že teď kvůli tomu pánovi nemůžou posílat maily.. :o(

a kdyz dotycneho kontaktujete, ze rozesila viry a spamy, tak vam odpovi, ze se mu zatim Counter Strike netrha a az ze mu windows klekne uplne, tak ho cely preinstaluje......moje jedna udesna zkusenosti :o) - ano, na jednoho spamera pripada milion ignorantu.

tak tech max 10 spameru zabte jako v rusku a bude pokoj

Jednak si vsichni vymysli... - o tom, jak reaguji (a ze se situaci nijak zvlasta nezmenila) cesti ISP na hlaseni o obtezovani (i ceskym spamem) jsem psal asi tak pul roku zpet.. - nic se na tom nesmenilo... Reagovat na nejaky problemy v okamziku, kdy je adresa v RBL systemech,... to uz snad toho konkretniho cloveka propustit a za usetrene naklady na toto pracovni misto vyvinout neco opravdu smysluplnejsiho....

Mne spise zarazi, ze cesti ISP (a nejen oni) nejsou schopni podobne aktivity - ktere kupodivu jdou pomerne jednoduse detekovat i bez zasahu do soukromi, omezovanim sluzeb apod. - ani monitorovat natoz automaticky blokovat... nu coz, treba jim ubudou zakaznici az si nepromluvi s okolim, velikosti ISP se dneska uz jen tak neda valcovat vsechny okolo...

No jo, proaktivita se dela dobre, pokud mate 50 zakazniku. Dela se hure pri 1000 a je skoro nemozna pri 10 000 uzivatelich. Cela proaktivita je pro kocku, kdyz seberychlejsi mailserver travi hodiny hledanim "jehly ve stohu sena" a fronta roste a roste. Enormne s tim i nastvanost dalsich uzivatelu. S tim stoupa take cena administratora, ktery musi veskere hlaseni vyhodnocovat. Proste a jasne, temer zadny ISP na tohle nema volne prostredky (lidske+technicke) a investici do zabezpeceni, ktere neprinese financni uzitek a stejne zitra bude k nicemu, nikdo neschvali. Chapu, ze vetsinu uzivatelu tohle dost stve, ale od urciteho objemu to ISP nemuze proaktive hlidat.

Protoze mam urcite zkusenosti s praci v oblasti technicke podpory, tak muzu s cistym svedomim rict, ze proaktivne se resi spam pres 2MB linku, kdy to mailserver pekne schyta. Nejaky spam pres 64kbps odchoziho toku ADSL linkou je vec, kterou na mailserveru s 10000 maily za hodinu proste nepoznate ani kdyby jste chtel sebevic.

Argument, ze takovy ISP prijde o svoje zakazniky moc neobstoji v situaci, kdy zakladnim rozhodovacim cinitelem je "cena" ihned nasledovana "dostupnosti sluzby v dane lokalite". Neco tak "malicherneho" jako je spam se proste do tehle kriterii uz nevejde. Kriteriem vyberu ISP je hodnota uvedena na fakture. A ISP to dobre vedi.

Objem spamu take uz presahl moznosti RBL systemu, zejmena diky deravosti zkusene parodie na operacni system. Namatkou jsem si projel IP rozsah jednoho ISP na zaklade hlasenych spamu. Vetsina reverznich domen je dialup.provider.cz, nasledovana adsl.provider.cz . Takze co chcete proaktive resit?

Proaktivita se dá dělat technickými prostředky... neříkejte, že není v silách IDS sondy zjistit, že XYZ posílá mail na milion adres (To, CC, BCC), případně že posílá jeden mail furt dokola...

Další věc, kterou jsem nepochopil je, že nelze zahltit (resp. poznat zahlcení) Inet přes 64kbps linku... vzhledem k velikosti spamu (řádove jednotky kB) a délce e-mail adres (max. desítky znaků) si myslím, že na to stačí dalko podstatně slabší kapacita....

V okamžiku, kdy s takovým ISP přestane komunikovat zbytek světa (a je jedno jak je veliký či globální, žádný tu nemá takovou moc!) zákazníkům ani nic jiného než migrace nezbyde, pokud teda nebudou chtít komunikovat autonomně pouze unitř toho ISP...(takto to bylo v dřevních dobách a mám pocit, že se k tomtu principu pomalu (byť velmi zvolna) vracíme)

Smutne ovsem jest, ze velka cast (nejen nasich) ISP o IDS sonde pouze slysela a AFAIK ji nikdo nema nasazenou v produkcni siti, pres kterou tecou data zakazniku.

Ono neni jednoduche mit "sondu" na gigabitove taky a jeji ladeni tak, aby nepotrebovala deset lidi, kteri resi problemy, na ktere sonda ukaze. Internet prece jenom neni korporatni LAN :-)

S tim nemohu nez souhlasit, ale Tvuj predrecnik si stezoval na spam z ADSL a dial-upu... jake ze jsou rychlosti upload u techto technologii?!

Rychlost jednotliveho ucastnika je jedna vec, celkovy agregovany tok, je vec jina :-)

Pocet resenych incidentu bude spis nejakou funkci poctu zakazniku nez kapacity.

Ale at se klidne prihlasi nekdo, kdo ma IDS sondu v siti, kam ma pripojenych nejmene par tisic zakazniku (=cizich subjektu).

To je ten problem. Neni v silach IDS sondy zjistit zda nekdo posila stale jeden a tentyz email nebo na miliony adres. Malokdo mimo obor a Michala Krska :c)) chape, ze je diametralni rozdil neco delat na siti o 100 uzivatelich na LANce a siti o desitkach tisic pripojenych LAN. Analyza toku pul mega je jednoducha, analyza pul giga zpusobuje boleni hlavy.

K tomu o tom zahlceni. Myslel jsem to tak, ze ve fronte na mailserveru nepoznam, zda mi chodi o 100 emailu/minuta vic nebo mene. Proste fronta kolisa dle denni doby a dne v tydnu. Nelze s jistotou urcit, zda nekdo v nedeli ve dve odpoledne rozchodil tri dny zasekly Exchange nebo se jedna o spam. Osobne mam zkusenosti se spamem pres ADSL, to na mailserveru neslo poznat. Vyjimkou byl spam pres 2MB linku. To uz bylo zajimave "sledovat" a stejne problem na serveru byl pozorovatelny az po nekolika hodinach. Do te doby proste jen tosku rostla fronta.

Migrace k jinemu ISP take netrva vetsinou 20 minut a pro zakaznika je vetsinou se skripenim zubu preckat blokaci RBL nez prejit k jinemu. Krome toho zde plati to co pisu v predchozim prispevku, vyber ISP ve vetsine firem se ridi cislem na fakture.

Tak zacima mit pocit, ze z oboru taky moc nejste, protoze a) - samozrejme, ze je rozdil sledovat tok na Inet siti a LAN... ale nezlobte se na mne, pokud neni problem sledovat spam na 2Mbit lince (= cca 31 dialupistu na ISDN), tak kolik tech 2Mbitu ma ISP prodano? Rekneme 100 = 3100 dialupistu... Kolik modemu je fyzicky v modemovem rostu? Je ten pocet vyrazne jiny? Takze vysledek je ten, ze datovy tok z agregovanych 2Mbitu sledovat lze a ten samy datovy tok od 3000 uzivatelu nejde? Trochu protimluv... Samozrejme, ze kapacita v radu GB je na trochu jine metodiky, ale lze to...

Jeden priklad z praxe - nebyl to ojedinely pripad, kdy zakaznik byl na SMTP odriznut od ISP IOL proto, ze generoval podezrely provoz... (samozrejme, zpravidla to bylo opravnene, trojan nebo zavirovany komp v lokalni siti), jednalo se vzdy o firemni pripojky s kapacitou 512 nebo 1024kbps, rychlost zasahu IOLu byla do 24 hodin od vzniku incidentu... - jak a cim to delaji je mi ukradene, jen rikam, ze to jde, je to v moznostech ISP velikosti IOLu, ktery at se to nekomu libi nebo ne, ma velmi vyrazny podil na trhu jak ve firemnim, tak rezidencnim sektoru. Rovnez na abuse@ byl a je vzdy schopen velmi reagovat, coz se treba op zminenem COL neda NAPROSTO rici, v zivote se mi neozvali, vzdy mi akorat automat potvrdil prijeti zpravy... Tiscali a jeho statelessy mi uz taky lezou krkem... o Contactel.net ani nemluve....

A k te cene - mozna to plati o zahranici, ale v CR je vyber ISP podminen PREDEVSIM tim, kolik da ISP na zacatku bokem provizi ITkovi nebo podobnemu typku, ktery je za vyber dodavatele internetove (pripadne hlas + data) konektivity ve firme odpovedny (mluvim o kategorii 500+, mozna 100+), cena na fakture je to to posledni, co by resili... (zejmena pri kapacite, co odebiraji a tim padem cene, protoze ostatni subsystemy - treba LL okruhy do zahranici, VPN po republice... - jsou vyrazne cenove drazsi nez nejaka jejich konektivita 10/100Mbitem do ISP a tim padem do NIXu)

Na jeden z mych serveru dochazi z natove brany jednoho nejmenovaneho ISP tak 150-180 zavirovanych e-mailu denne. Bezne na 2 stejne e-mailove adresy. ISP jsem nekolikrat upozornoval na tento problem a pro lepsi lokalizaci problemu jsem posilal i logy (prece jen ISP maji povinnost si pro podobne pripady a potreby policie ukladat nejakou tu dobu po zpatku traffic, ze, takze dohledat by to nemel byt problem)

jake je ale prekvapeni? po nekolika e-mailech -> zadna reakce... ani odpoved, ze to nehodla resit.. dela mrtveho brouka.. telefonaty - nic.. predaji to technickemu oddeleni...

jak toto resit? vazne uz nevim...

Casto pomaha zverejneni jmena toho ISP :-)

karneval.. kdo jiny ;) u nikoho jineho takto bezohledne tech adminy neznam ;) a to uz sem podobne incidenty resil s par ISP.... jediny karneval se k tomu stavi jako mrtvy brouk...

Co takhle forwardovat ony emaly na vsechny jejich mailove adresy ? Trebas je to casme prestane bavit a neco s tim udelaji.

hi,

no.. to me taky napadlo... ale zas - bych byl stejnej jako oni ;))
a ja sem radej hodnej ;)