Hlavní navigace

Přispívají ISP šíření poštovních virů?

Michal Krsek 8. 7. 2004

Již několikrát jsme se na Lupě zabývali problémem šíření virů v Internetu a prstem bylo ukázáno na výrobce software (konkrétně na společnost Microsoft) a uživatele (zvláště ty méně zdatné). Není ale viníků více? Co třeba poskytovatelé internetových služeb, kteří prostě odmítají řešit problémy svých platících zákazníků?

Poskytovatele internetových služeb pro náš účel rozdělíme na dvě skupiny. Jednak jsou to poskytovatelé služeb a jednak poskytovatelé přístupu. S poskytovateli služeb (především se Seznamem) válčí Medvídek Pú, my se podíváme na poskytovatele přístupu. Takový poskytovatel přístupu má plně v rukou připojení klienta, může tedy provést jakoukoliv akci, počínaje zavoláním zákazníkovi a požadavkem, aby zákazník ukončil šíření virů, až po odstřižení zákazníka od Internetu.

Poskytovatel přístupu by měl také v databázi RIPE registrovat IP adresy, které přidělil klientům. Pokud jsou tato data v pořádku, mohou se oběti zbytečné komunikace spojit s jejím průvodcem a zajistit nápravu – to samozřejmě funguje v případě, že je původcem někdo s přiděleným adresním prostorem (takže můžeme vynechat uživatele broadbandu). Použití dalších databází (například rejstříku domén) bylo možné do doby, než viry začaly používat podvržené adresy odesílatele.

Jakožto člověk, který vybírá schránku účtu, ze kterého odešly za posledních pár let emaily cca 300.000 uživatelům, jsem (přesněji ta schránka) poměrně častou obětí útoku, kdy virus podvrhne tuto adresu jako adresu odesílatele. Musím konstatovat, že spolupráce s ISP je rok od roku horší. Existují výjimky (a čest jim), nicméně v honbě za klienty a výnosy (někde i ziskem) ISP jako by zapomněli, že mají také nějaké závazky.

Jako odstrašující příklad zvolím jednoho celorepublikového operátora. Před cca měsícem začal virus Zafi.B rozesílat na různé adresy (denně až dva tisíce) emaily s „elektronickou pohlednicí“. Samozřejmě s podvrženou adresou. Po asi dvou dnech mě přestalo bavit přizpůsobovat procmail filtr tomu, odkud a v jaké formě se mi vracely nedoručitelné emaily. RIPE whois databáze poskytla záznam, který se jevil jako validní (šlo o úřad veřejné správy). I nelenil jsem a zavolal jsem. Bohužel jsem zjistil, že dotyčný záznam je špatný (jméno člověka i adresa organizace byla správná, ale adresní prostor té organizaci nepatřil).

Nu nezbývalo mi než se obrátit na jeden z kontaktů uvedených u dotyčného ISP (shodou okolností ho znám). Odpověděl mi, že mu mám poslat hlavičku dotyčného emailu se žádostí o přijetí opatření. Proto jsem mu poslal email následujícího zně­ní:

Vážený pane,
z adresy XXX.XXX.XX.X již dva dny odesílá nějaký virus své kopie (bohužel emailovou adresou z našeho serveru). Uvedená situace značně zatěžuje naše systémy a není v našich silách ji napravit (to musí učinit provozovatel toho systému). V příloze posílám hlavičku jednoho exempláře emailu s virem.

Předpokládám, že se podaří tomuto posílání zamezit v nejbližším možném termínu.

S pozdravem
Michal Krsek

Jak jistě tušíte, nic se nestalo. Vyčkal jsem týden – vím, že je to velká společnost, která dbá na procesy. Po týdnu pořád nic. Kontaktoval jsem druhého člověka dotyčné společnosti, který je uveden u zmiňovaného záznamu. Dozvěděl jsem se, že mám kontaktovat klientské centrum, kam jsem zavolal. Klientské centrum mě odkázalo na adresu abuse@xxxxxxxxx­xx.cz (o které jsem věděl, ale chtěl jsem promptní zásah). Poslal jsem email na abuse@ a čekal. Za pár minut mi přišla odpověď ve smyslu, že do tří dnů zpracují můj požadavek.

Sice si představuji, že by požadavky posílané na abuse@ měly být řešeny dříve (dokonce bych se nebál tvrzení, že by měly být řešeny okamžitě), ale budiž. Nebudu zdržovat. Když mi za další týden nic nepřišlo a 2000 nedoruči­telných emailů končilo i nadále v mojí schránce (velká část z nich ovšem po zpracování procmailem v /dev/null), přestalo mě to bavit. I spáchal jsem email následujícího znění, který jsem poslal jednomu z členů vedení dotyčné společnosti, tiskovému mluvčímu, na adresu abuse@ a info@:

Dobrý den,
před nějakou dobou jsem posílal na adresu abuse@xxxxxxxx.cz níže uvedenou žádost. Do dnešního dne se nic nestalo, což považuji za strany držitele adresního prostoru za skutečně velký šlendrián. XXXXXXX, který má dotyčný adresní prostor přidělený od RIPE NCC, není schopen v RIPE DB udržovat validní kontakt (ten, který je tam uveden, popírá, že by měl s tou adresou cokoliv společného), proto je za tento stav spoluodpovědný.

Protože to není poprvé, co k takové věci dochází, rozhodl jsem se na toto téma napsat článek. Zda v něm bude jmenován XXXXXXX, závisí především na tom, jestli mi během středy odpoledne přijde ještě jeden podobný email z dotyčné adresy. Přestože je XXXXXXX velká společnost, je cca 48 hodin dost na to, aby ve svém CRM systému našla toho zákazníka a dokázala takovému chování zamezit.

Zároveň ve čtvrtek budu aktivovat filtr, který veškerou poštu z dotyčné adresy (jde o více než 1000 emailů denně) bude posílat jednak zpět tomu zákazníkovi a jednak na příslušné generické adresy v XXXXXX (například abuse@, info@, postmaster@).

Zdraví
Michal Krsek

Za méně než hodinu dorazila odpověď dotyčného manažera (podotýkám, že nemá tuto věc v popisu práce), že to nechá prošetřit a pošle vyrozumění. Za dalších 30 minut přišla odpověď od abuse@, kde mi pracovník sděluje, že odesílatele dohledali, problém řeší a prozatím tomu rozesílání technickými prostředky zamezili (blokování portu 25 na přístupovém směrovači).

Z kontextu jistě vyplývá, proč dotyčnou společnost nemohu jmenovat. Přestože se nakonec vše v dobré obrátilo, nechápu, jak může existovat společnost, která, ač upozorněna, nechá měsíc volně plynout svojí sítí obtěžující provoz. Představa, že podobným způsobem budou reagovat na nějaké skutečně závažné požadavky, mě docela děsí.

Že nemám podobné zkušenosti sám, prokázal příspěvek uživatele Pajasofta v diskusi ke glose o spamu na Lupě. Dovolím si citovat:


Jak patrno, každý ISP k tomu přistupuje svérázně po svém, naopak jsou světlé výjimky, u kterých by to člověk nečekal (…), na druhou stranu slušně se tvářící a orientovaní na podnikovou klientelu (…) na to zvysoka pečou, hlavně že jim tečou prachy…

Trochu mi to připadá jako podvodná volání, potápějící se (…), a jeho příjmy, které se aspoň trošku hojí těmito hovory, co mu musí ostatní (…) platit…

Nejsem si jist, zda stav, kdy až intervence v nejvyšším patře managementu vybudí společnost z letargie – přičemž může jít o bezpečnostní problém – svědčí o dobrém řízení společnosti. Jak by vypadalo řešení situace, kdy by někdo z této sítě napadl některý z mých serverů, si skutečně nedokážu představit. Vy ano?

Anketa

Reaguje váš ISP promptně na bezpečnostní problémy?

Našli jste v článku chybu?

9. 7. 2004 13:17

Dan Lukes (neregistrovaný)
Mozna pokrytci a schizofrenici jsou zvykli soucasne pouzivat vetsi mnozstvi zcela ruznych emailovych adres. U me veskera odesilana posta ma jedinou emailovou adresu a prichozi posta konci v jednom mailboxu. A jeho obsah nikomu preposilat nehodlam ...

Jiste - ti, co se nepodepisuji, nemaji na sebe rozsirene pevne kontakty (mozna proto, ze neni nikdo, kdo by s nimi chtel sam mluvit) si mohou dovolit svoje adresy menit jak ponozky - pro nektere jine jsou ale takova trivialni reseni uzavrena ...

9. 7. 2004 13:09

Michal Krsek (neregistrovaný)
Myslel jsem, ze podobny prispevek prijde o neco driv a nikoliv az ve dvanact :-)

Predstavte si, co by se v takovem pripade stalo. Jednak si zaplnite svoji internetovou pripojku i ve smeru od Vas a jednak se Internet stane nepouzitelnym, protoze druha strana muze udelat totez. Take bych nepodcenoval moznou velikost postovynich schranek dotycneho ISP.

Pokud se tyce reseni, myslim, ze pouziti psychologie ten problem vyresilo. Je pravda, ze kdybych se vykaslal na nepsana pravidla komunikace, a pouzi…

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Vitalia.cz: Pravda o přibírání na zimu

Pravda o přibírání na zimu

Vitalia.cz: Vláknina: Rozpustná, nebo nerozpustná?

Vláknina: Rozpustná, nebo nerozpustná?

Vitalia.cz: To není kašel! Správná diagnóza zachrání život

To není kašel! Správná diagnóza zachrání život

DigiZone.cz: Mňam TV splnila slib a odešla z DVB-T

Mňam TV splnila slib a odešla z DVB-T

Podnikatel.cz: 3, 2, 1..EET startuje. Na co nezapomenout?

3, 2, 1..EET startuje. Na co nezapomenout?

Lupa.cz: Google měl výpadek, nejel Gmail ani YouTube

Google měl výpadek, nejel Gmail ani YouTube

Vitalia.cz: Tesco: Chudá rodina si koupí levné polské kuře

Tesco: Chudá rodina si koupí levné polské kuře

Měšec.cz: Vklad na cizí účet je draze zpoplatněn (přehled)

Vklad na cizí účet je draze zpoplatněn (přehled)

DigiZone.cz: Milan Kruml: procházka TV historií

Milan Kruml: procházka TV historií

DigiZone.cz: Digi CZ výrazně zlevnila balíček HBO

Digi CZ výrazně zlevnila balíček HBO

120na80.cz: Rakovina oka. Jak ji poznáte?

Rakovina oka. Jak ji poznáte?

120na80.cz: Rovnátka, která nejsou vidět

Rovnátka, která nejsou vidět

Vitalia.cz: Znáte „černý detox“? Ani to nezkoušejte

Znáte „černý detox“? Ani to nezkoušejte

Měšec.cz: U levneELEKTRO.cz už reklamaci nevyřídíte

U levneELEKTRO.cz už reklamaci nevyřídíte

Podnikatel.cz: Zavře krám u #EET Malá pokladna a Teeta?

Zavře krám u #EET Malá pokladna a Teeta?

Měšec.cz: Air Bank zruší TOP3 garanci a zdražuje kurzy

Air Bank zruší TOP3 garanci a zdražuje kurzy

Lupa.cz: UX přestává pro firmy být magie

UX přestává pro firmy být magie

Lupa.cz: Avast po spojení s AVG propustí 700 lidí

Avast po spojení s AVG propustí 700 lidí

Podnikatel.cz: Pozor, pojišťovny mění čísla účtů

Pozor, pojišťovny mění čísla účtů