Hlavní navigace

Přispívají ISP šíření poštovních virů?

8. 7. 2004
Doba čtení: 5 minut

Sdílet

Již několikrát jsme se na Lupě zabývali problémem šíření virů v Internetu a prstem bylo ukázáno na výrobce software (konkrétně na společnost Microsoft) a uživatele (zvláště ty méně zdatné). Není ale viníků více? Co třeba poskytovatelé internetových služeb, kteří prostě odmítají řešit problémy svých platících zákazníků?

Poskytovatele internetových služeb pro náš účel rozdělíme na dvě skupiny. Jednak jsou to poskytovatelé služeb a jednak poskytovatelé přístupu. S poskytovateli služeb (především se Seznamem) válčí Medvídek Pú, my se podíváme na poskytovatele přístupu. Takový poskytovatel přístupu má plně v rukou připojení klienta, může tedy provést jakoukoliv akci, počínaje zavoláním zákazníkovi a požadavkem, aby zákazník ukončil šíření virů, až po odstřižení zákazníka od Internetu.

Poskytovatel přístupu by měl také v databázi RIPE registrovat IP adresy, které přidělil klientům. Pokud jsou tato data v pořádku, mohou se oběti zbytečné komunikace spojit s jejím průvodcem a zajistit nápravu – to samozřejmě funguje v případě, že je původcem někdo s přiděleným adresním prostorem (takže můžeme vynechat uživatele broadbandu). Použití dalších databází (například rejstříku domén) bylo možné do doby, než viry začaly používat podvržené adresy odesílatele.

Jakožto člověk, který vybírá schránku účtu, ze kterého odešly za posledních pár let emaily cca 300.000 uživatelům, jsem (přesněji ta schránka) poměrně častou obětí útoku, kdy virus podvrhne tuto adresu jako adresu odesílatele. Musím konstatovat, že spolupráce s ISP je rok od roku horší. Existují výjimky (a čest jim), nicméně v honbě za klienty a výnosy (někde i ziskem) ISP jako by zapomněli, že mají také nějaké závazky.

Jako odstrašující příklad zvolím jednoho celorepublikového operátora. Před cca měsícem začal virus Zafi.B rozesílat na různé adresy (denně až dva tisíce) emaily s „elektronickou pohlednicí“. Samozřejmě s podvrženou adresou. Po asi dvou dnech mě přestalo bavit přizpůsobovat procmail filtr tomu, odkud a v jaké formě se mi vracely nedoručitelné emaily. RIPE whois databáze poskytla záznam, který se jevil jako validní (šlo o úřad veřejné správy). I nelenil jsem a zavolal jsem. Bohužel jsem zjistil, že dotyčný záznam je špatný (jméno člověka i adresa organizace byla správná, ale adresní prostor té organizaci nepatřil).

Nu nezbývalo mi než se obrátit na jeden z kontaktů uvedených u dotyčného ISP (shodou okolností ho znám). Odpověděl mi, že mu mám poslat hlavičku dotyčného emailu se žádostí o přijetí opatření. Proto jsem mu poslal email následujícího zně­ní:

Vážený pane,
z adresy XXX.XXX.XX.X již dva dny odesílá nějaký virus své kopie (bohužel emailovou adresou z našeho serveru). Uvedená situace značně zatěžuje naše systémy a není v našich silách ji napravit (to musí učinit provozovatel toho systému). V příloze posílám hlavičku jednoho exempláře emailu s virem.

Předpokládám, že se podaří tomuto posílání zamezit v nejbližším možném termínu.

S pozdravem
Michal Krsek

Jak jistě tušíte, nic se nestalo. Vyčkal jsem týden – vím, že je to velká společnost, která dbá na procesy. Po týdnu pořád nic. Kontaktoval jsem druhého člověka dotyčné společnosti, který je uveden u zmiňovaného záznamu. Dozvěděl jsem se, že mám kontaktovat klientské centrum, kam jsem zavolal. Klientské centrum mě odkázalo na adresu abuse@xxxxxxxxx­xx.cz (o které jsem věděl, ale chtěl jsem promptní zásah). Poslal jsem email na abuse@ a čekal. Za pár minut mi přišla odpověď ve smyslu, že do tří dnů zpracují můj požadavek.

Sice si představuji, že by požadavky posílané na abuse@ měly být řešeny dříve (dokonce bych se nebál tvrzení, že by měly být řešeny okamžitě), ale budiž. Nebudu zdržovat. Když mi za další týden nic nepřišlo a 2000 nedoruči­telných emailů končilo i nadále v mojí schránce (velká část z nich ovšem po zpracování procmailem v /dev/null), přestalo mě to bavit. I spáchal jsem email následujícího znění, který jsem poslal jednomu z členů vedení dotyčné společnosti, tiskovému mluvčímu, na adresu abuse@ a info@:

Dobrý den,
před nějakou dobou jsem posílal na adresu abuse@xxxxxxxx.cz níže uvedenou žádost. Do dnešního dne se nic nestalo, což považuji za strany držitele adresního prostoru za skutečně velký šlendrián. XXXXXXX, který má dotyčný adresní prostor přidělený od RIPE NCC, není schopen v RIPE DB udržovat validní kontakt (ten, který je tam uveden, popírá, že by měl s tou adresou cokoliv společného), proto je za tento stav spoluodpovědný.

Protože to není poprvé, co k takové věci dochází, rozhodl jsem se na toto téma napsat článek. Zda v něm bude jmenován XXXXXXX, závisí především na tom, jestli mi během středy odpoledne přijde ještě jeden podobný email z dotyčné adresy. Přestože je XXXXXXX velká společnost, je cca 48 hodin dost na to, aby ve svém CRM systému našla toho zákazníka a dokázala takovému chování zamezit.

Zároveň ve čtvrtek budu aktivovat filtr, který veškerou poštu z dotyčné adresy (jde o více než 1000 emailů denně) bude posílat jednak zpět tomu zákazníkovi a jednak na příslušné generické adresy v XXXXXX (například abuse@, info@, postmaster@).

Zdraví
Michal Krsek

Za méně než hodinu dorazila odpověď dotyčného manažera (podotýkám, že nemá tuto věc v popisu práce), že to nechá prošetřit a pošle vyrozumění. Za dalších 30 minut přišla odpověď od abuse@, kde mi pracovník sděluje, že odesílatele dohledali, problém řeší a prozatím tomu rozesílání technickými prostředky zamezili (blokování portu 25 na přístupovém směrovači).

Z kontextu jistě vyplývá, proč dotyčnou společnost nemohu jmenovat. Přestože se nakonec vše v dobré obrátilo, nechápu, jak může existovat společnost, která, ač upozorněna, nechá měsíc volně plynout svojí sítí obtěžující provoz. Představa, že podobným způsobem budou reagovat na nějaké skutečně závažné požadavky, mě docela děsí.

Že nemám podobné zkušenosti sám, prokázal příspěvek uživatele Pajasofta v diskusi ke glose o spamu na Lupě. Dovolím si citovat:


Jak patrno, každý ISP k tomu přistupuje svérázně po svém, naopak jsou světlé výjimky, u kterých by to člověk nečekal (…), na druhou stranu slušně se tvářící a orientovaní na podnikovou klientelu (…) na to zvysoka pečou, hlavně že jim tečou prachy…

BRAND24

Trochu mi to připadá jako podvodná volání, potápějící se (…), a jeho příjmy, které se aspoň trošku hojí těmito hovory, co mu musí ostatní (…) platit…

Nejsem si jist, zda stav, kdy až intervence v nejvyšším patře managementu vybudí společnost z letargie – přičemž může jít o bezpečnostní problém – svědčí o dobrém řízení společnosti. Jak by vypadalo řešení situace, kdy by někdo z této sítě napadl některý z mých serverů, si skutečně nedokážu představit. Vy ano?

Reaguje váš ISP promptně na bezpečnostní problémy?

  • Samozřejmě.
    20 %
  • Jak kdy.
    18 %
  • Je to jako v článku.
    19 %
  • Nemám bezpečnostní problémy.
    20 %
  • Huh?
    22 %

Byl pro vás článek přínosný?

Autor článku

Autor je nezávislý konzultant v oblasti Internetu, telekomunikací, videa a komercionalizace technologických výsledků výzkumu a vývoje. Pohybuje se na rozhraní akademické vs. komerční sféry a internetové infrastruktury vs. přenosů videoobsahu.

Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).