Historia z początku roku 2010, gdy TPSA nagle zablokowała swoim użytkownikom dostęp do serwerów NPIRCS. Po rozpoznaniu sytuacji, na podstronie Serwery zamieściłem poniższe ogłoszenie, systematycznie je aktualizując.
Dnia 16 lutego około godziny 12 stwierdziliśmy, że serwery nagle stały się ponownie dostępne. Chwilę później przyszedł e-mail od TPSA, jeszcze chwilę później od UKE. Trochę pokrętne tłumaczenie, w dodatku listy spóźnione. Nie będę tutaj analizować treści tych wiadomości, tylko je zamieszczę.
> Komputery o podanych adresach IP zostaly zaklasyfikowane jako zrodlo powaznegoProszę o wskazanie charakteru botnetu, adresów źródłowych botów i osób kontrolujących botnet - jako administrator serwerów, i części usług na tych serwerach, nie zauważyłem żadnych podobnych działań.
> zagrozenia dla bezpieczeństwa uzytkownikow Internetu, w szczegolności klientów
> Telekomunikacji Polskiej. W zwiazku z tym, ruch do tych hostow zostal
> ograniczony czasowo (blokada obejmuje cala siec TP z danym hostem, bez
> mozliwosci nie blokowania ruchu dla poszczegolnych lacz/abonentow). Ze
> wskazanych IP (hosta o tym adresie) realizowana jest kontrola sieci typu
> BotNet. Sieci te wykorzystywane sa do nielegalnych dzialan, takich jak
> rozsyłanie spamu, ataki DoS czy kradziez poufnych danych (numerów kart
> kredytowych, hasel). Gdy adres IP trafia do naszego systemu oznacza to tyle,
> ze z danego adresu zostalo wydane polecenie kontrolne oraz ze dane IP zostalo
> przypisane do zidentyfikowanych botnetow.
> Przywrocenie komunikacji z komputerem nastepuje automatycznie po ustaniu
> zagrozenia (brak aktywnosci botnetu). Weryfikacja nastepuje nie rzadziej, niz
> raz dziennie.
>
> - ---Dwa z wymienionych serwerów IRC (forever.npircs.pl, wembley.npircs.pl) znajdują się na maszynach o wymienionych przeze mnie adresach ip (78.47.112.37, 84.16.230.249). Serwer selenet.npircs.pl (91.210.129.15) także był zablokowany, ale dnia 10 lutego stał się ponownie dostępny.
> Rozwiazanie nie polega na blokowaniu danych serwisow (np. ze wzgledu na tresc)
>
> czy uslug internetowych (np. IRC) a komputerow, ktore stanowia powazne
> zagrozenie. Przykładem sa inne polskie serwery IRC, ktore nie funkcjonuja jako
>
> kontrolery botnetów - np. irc.efnet.pl, forever.npircs.pl, selenet.npircs.pl,
> wembley.npircs.pl, core.ircx.net.pl, krakow.ircx.net.pl,
> wroclaw.ircx.net.pl/.
>
Mogę z tego wnioskować, że dane podane w mojej wiadomości nie zostały dokładnie sprawdzone. Proszę o bardziej staranną pracę.
> Wiecej informacji o stosowanym rozwiazaniu:Blokowanie adresów z list RBL (sześć list) jest stosowane w sieci.
> www.tp.pl/prt/pl/tpcert/obsluga/ograniczenia/?_a=680499
>
> - ---
> W zakresie ochrony serwera IRC należy zwrocic szczegolną uwage na:
> - -ochrone przed znanymi IP znajdujacymi sie na RBL, przyklady dla IRC
> http://www.efnet.nl/kline/compromised.php http://www.efnet.nl/security.php
> http://rbl.efnetrbl.org/
>
> - -dopuszczanie do sieci adresow zgodnych z lokalizacja serwisu w rozumieniu ichCelem sieci NPIRCS jest umożliwianie komunikacji na polskich kanałach ludziom zamieszkałym na całym świecie. Jednak nawet pomimo to zagraniczne adresy klientów poddawane są rygorystycznym testom
> odbiorcow (np. adresy tylko z Polski)
>
dotyczącym szkodliwych i niebezpiecznych usług.>Jest stosowana ochrona przed wszystkimi z wymienionych trzech możliwości.
- -ochrona przed klientami IRC nie bedacymi oprogramowaniem klienckim IRC w
> rozumieniu klienta bedacego czlowiekiem\
> - -ochrona przed juped channel - nie udostepnianie kanalow standardowo
> wykorzystywanych przez botnety np. use4dos, TIBiCP2P, dexa?ownz?j00,
> OwnZ?Me?And, DaMasta
> - -ochrona przed staniem sie reflektorem botnetu
>
> Wszystkie z mechanizmow powinny dzialac automatycznie.Pragnę dodać, że problem blokad nie dotyczy tylko serwerów IRC - blokada jest uciążliwa także dla użytkowników innych usług, m. in. ssh, jabber, http, ftp.
>
> - ----
> W przypadku szczegolowych wyjasnien odnosnie zabezpieczenia serwera IRC
> proponujemy bezposredni kontakt z panem Andrzejem Karpińskim
> (adres@usuniety.pl).
>
- --
> Pozdrawiamy
> Zespol TP CERT
>
>
>
> Krzysztof Beresztant <adres@usuniety.pl> napisał:
>
> > Sieć TP blokuje dostęp do następujących adresów IP:
> > 78.47.112.37
> > 78.47.112.38
> > 94.23.98.173
> > 84.16.230.249
> > Na wszystkich serwerach o podanych adresach posiadam konta użytkownika i
> > uruchomione usługi, a ponieważ korzystam z Neostrady, z powodu tej
> > blokady nie mam do nich dostępu. Usługi te są także niedostępne dla
> > pozostałych użytkowników sieci TP.
> > Proszę o wyjaśnienie powodów blokady i możliwie szybkie odblokowanie.
> > Gwarantuję, że na żadnym z podanych serwerów nie znajdują się dane i
> > usługi niezgodne z prawem, ani zagrażające bezpieczeństwu innych
> > użytkowników sieci.
> >
>
Szanowny Panie,
Przedstawiony przez Pana problem przekazaliśmy do Telekomunikacji Polskiej od której otrzymaliśmy wyjaśnienia przyczyny blokowania podanych adresów IP. Powodem jest brak zastosowania zabezpieczeń przed ich niepowołanym wykorzystaniem innym niż komunikacja przewidziana przez administratora serwisów. Operator przeprowadził analizę, która wykazała brak automatów umożliwiających ograniczenie niepoprawnego wykorzystania tej sieci. TP poinformowało, że przekazało Panu kontakt do osoby administrującą siecią IRC, (w celu udzielenia pomocy przy konfiguracji zabezpieczeń), działającej w sieci TP, która nie była listowana ze względu na zastosowanie tzw. właściwych filtrów ochronnych.
Stosowane, przez TP rozwiązanie działa automatycznie, a analiza zagrożenia jest realizowana przez niezależny renomowany podmiot w zakresie rozwiązań bezpieczeństwa.
Zgodnie z zapewnieniami TP po ustaniu wyżej wymienionych zagrożeń związanych z konfiguracją, Pańskie adresy zostaną odblokowane po około 2 dniach.
Pozdrawiam
Irena Bylicka
Ale, jak napisałem, sieć jest już odblokowana – i mam nadzieję, że to, co zostało opisane wcześniej, było tylko krótkim, nieprzyjemnym epizodem w życiu sieci i już się nie powtórzy.
Jeśli pojawią się jakieś kolejne e-maile, natychmiast je tutaj dodam. k4be, 16 lutego 2010, godz. 14:06.