No dobra. Widzę, że emocje opadły...dobry moment, żebym coś
powiedział.

To ja odpowiadam za uruchomienie blackholingu w TP oraz to, czy i w
jakim zakresie okaże się adekwatny do celów, które chcemy za jego
pomocą osiągnąć. Tam gdzie wchodzi w grę bezpieczeństwo IT i sieci, to
ja wspieram tych rewelacyjnych gości, którym nieustannie chce się
zmieniać coś więcej, niż własne biurko. Nie podnoszę osobiście sesji
BGP - na to jestem za leniwy i za głupi - ale jeżeli chcecie pytać o
decyzje, ja jestem tym, do którego możecie sobie postrzelać.
Pozwólcie, że nie odpiszę indywidualnie każdemu - sporo jest tych
postów, ale postaram się wyjaśnić najważniejsze kwestie, o jakie
pytaliście. Na ile oczywiście moje lenistwo pozwoli ;).

Sprawa pierwsza - po co. Motywację mamy prostą - ja osobiście uważam,
że TP powinna więcej w zakresie bezpieczeństwa swoim klientom
oferować, ten punkt widzenia podziela już Zarząd i coraz więcej
rozsądnych ludzi w TP. Pomysł ogólny jest taki, żeby poddać siebie i
pacjenta (segmencik sieci, na który mamy wpływ) kuracji
antybiotykowej, po to, żeby pogonić trochę złe bakterie (botnety na
przykład), co jednocześnie powinno pomóc zdecydowanie na objawy
choroby (spam, ddosy, phishing etc). Ktoś, kiedyś, spóźnił się ze
szczepionką, dlatego leczyć trzeba - i to różnymi lekami, bo nie ma
uniwersalnego antybiotyku na wszystko. Owszem, na pilne objawy (spam),
możemy zaaplikować coś dedykowanego, ale zła to praktyka, zeby
zajmować się tylko objawami, nie przyczynami. Pacjent na razie trochę
marudzi, mówi, że nie za to płaci, żeby dostawać gorzkie pigułki, że
nie możemy mu kazać zostać w łóżku, bo to ogranicza wolność i lekarz
za rogiem mówi, że dobrze pomasować wystarczy - cóż, postaramy się
przekonać go, że współpracując może pomóc, również sobie. Nie
wszystkie rozwiązania będą miały charakter tak radykalny (z punktu
widzenia abonentów), jak blackholing, ale też z powodów, które
postaram się wyjaśnić poniżej nie wszystkie zostana wprowadzone od
razu. No i nad szczepionkami też pracujemy.

Teraz o blackholingu i innych pomysłach, które padały (dalsze losy
portu 25 chociażby). W dużym telekomie zwykle jest tak, że pomysł,
żeby mógł się wydarzyć musi spełniać łącznie przynajmniej następujące
warunki: a) być wykonalny b) realizować przynajmniej częściowo ważne
cele c) nie powodować irytacji klientów skutkującej znacznym churnem
d) nie dawać klientom formalnych podstaw do zerwania umowy e) być
opłacalny (czyli bardzo tani lub przychodowy) lub konieczny np.
regulacyjnie. f) nie irytować regulatora (ponad miarę ;)

Czy nasz blackholing spełnia np. warunek b)? Miał na celu odcięcie
albo przynajmniej znaczące utrudnienie życia pewnej klasie botnetów,
centralnie sterowanych, np. z IRCa. Dużo ludzie mówią o tym, że
botnety oparte na ircu to zabytek, że pomijalna ilość etc. - my
powiedzieliśmy "sprawdzam". Na razie przez czas trwania blackholingu
smtp wychodzący spadł o ok. 40% i póki co trend jest spadkowy, na
senderbase tpnet oscyluje wokół pozycji 4-5 zamiast 1-2. W przyszłym
tygodniu powinno się ustabilizować, będą wnioski. Na razie wychodzi to
trochę tak, jak z fast fluxem - ogólnie się przyjęło, że fajnie jest
się tak maskować i kto tak się z C&C i contentem nie kryje ten łoś i
lamer. Ergo, na pewno większość botnetów tego używa. Dżentelmeni z
Arbora ostatnio się napięli i spróbowali w polu oszacować, jak jest -
i pomylili się in minus tak dwa i pół raza w stosunku do własnych
założeń. Na palcach dwóch rąk mogli botnety aktywne w danej chwili
policzyć - mało coś, jak na wiodącą technologię.

Weźmy warunek c - wieść gminna niesie, że chcieli dobrze, wyszło jak
zwykle. No to popatrzmy - blokujemy aktualnie ponad 6000 IP. W
przeciągu dwóch tygodni funcjonowania zostaliśmy dosłownie zawaleni
mailami z pretensjami, w liczbie łącznie bodajże kilkunastu sztuk.
Zdecydowana większość zgłasza problem z irc i nieszczęsnym gimpem. Z
ircem sytuacja rozwiąże się prawdopodobnie w przeciągu tygodnia, bo z
opami jak mi się wydaje jesteśmy wbrew pozorom po tej samej stronie i
to zwykle rozsądni ludzie są. Pozostaje gimp i jeszcze ze dwa jak
widziałem adresy, które kogoś zabolały. Ułamki promila w odniesieniu
do bazy abonentów i blokowanych adresów. Po prostu klęska.

Blokowanie portu 25 - super pomysł i na liście "to do", problem ma
tylko szczególnie z warunkiem d, nieszczególnie w porównaniu do
blackholingu może wyglądać c i f, no i jest lekiem z gatunku
zwalczających objawy, nie antybiotykiem. Myślę, że w jakiejś wersji ma
szansę pojawić się w tym roku - ale ze względu na literki parę rzeczy
musi być zgrane ze sobą. Są jeszcze inne pomysły w tym jeden mój
ulubiony - większość literek znakomicie, oprócz e niestety. No i
drobny problem z a) - prosto z laba producentów jadą do nas pudła
duże, szumiące, żywe, z migającymi diodami...i niestety wracają w
workach. Pożyjemy, zobaczymy.

Co do zasad działania naszego blackholingu - Karpio to dosyć dobrze
opisał. Ja dodam, że adresy nie pochodzą z poszukiwania ircd lub
podsłuchiwania komunikacji, jak się niektórym młodym gniewnym wydaje.
Tak się nie wykrywa i nie analizuje botnetów, większości chyba nie
muszę tego tłumaczyć. Współpracujemy z więcej niż jednym partnerem,
nie opieramy się tylko na polskich źródłach - na ten temat więcej
teraz nie będę mówił. System scoringu służy do tego, żeby obserwować
zachowanie IP przez dłuższy okres czasu i wybierać, czy chcemy
blokować wyłącznie najbardziej aktywne C&C, czy również mniej
agresywne. Jest możliwość odblokowania każdego IP indywidualnie, w
celu umożliwienia administratorowi dostępu i poprawy bezpieczeństwa.
Rozwiązanie działa testowo - a testy mają na celu między innymi
określenie kompromisu pomiędzy skutecznością i poziomem irytacji
klientów, mam nadzieję, że uda nam się znaleźć złoty środek. Dobra
wiadomość jest taka, że aktualnie pracujemy z najostrzejszejszą
polityką, zła jest taka - że zablokowanym polskim ircom i gimpowi nie
pomogła by nawet polityka najłagodniejsza z rozsądnych.

To na razie tyle. Jeżeli kogoś dręczą jeszcze jakieś pytania - niech
pyta. Tylko please - _zanim_ pobiegnie przeklejać na jakiegos bloga,
jak niektórzy...młodzi gniewni...;)

Pozdrawiam,

Rafał Jaczyński
Dyrektor Departamentu Zarządzania Bezpieczeństwem Systemów
Teleinformatycznych, TP S.A.