Bonjour,
On re-parle de sécurité sur FRnOG... J'en profite donc pour
troller^H^H^H^H^H^H^H apporter ma brique de bois à la discussion.
> AMHA ce devrait être le genre de choses inscrites dans la loi, cette
> réactivité.
Ouais c'est cool, moi aussi j'aimerais ça. D'ailleurs ça m'aurait bien
simplifié la vie quand, au début de ma carrière, je bossais pour
$infogerance, que mon boulot c'était le monitoring de sécurité de
réseaux, et que j'envoyais à abuse@{$isp} des mails disant : "une IP
$IP à vous est en train de scanner|attaquer|[faire des trucs pas
jolis] à mon client dont l'IP est $IPclient, merci de bien vouloir me
contacter pour plus de ...".
A ces mails j'avais souvent comme réponse /null/ et un peu moins souvent :
>Bonjour, vous êtes qui?
Je suis un employé du SOC de la société $bla, je représente les
intérêts du client $blabla, et j'ai constaté qu'un de *vos* clients
[fait de la merde]...
>Ha bon, [qui me le prouve|c'est pas possible|j'ai regardé et je vois rien|mon
>réseau est sécurisé]
[Rien si ce n'est les admin@$domainclient qui sont en cc|sisi c'est
possible|évidemment pauvre naze, tu me réponds deux jours après, y'a
plus rien|ah ouais, tu veux le dump réseau de mon côté?]
Tout ça pour souligner le problème que, si on veut inscrire dans la
loi ce genre de réactivité, il faudra à un moment (pour que ce soit
/timely/) lister des sources dignes de confiance pour envoyer ce genre
d'alertes, et que les agents possiblement capables de faire ça sont
nombreux et hétéroclites. Et que dans ces agents il y aura des CERTS
(privés, donc susceptibles d'avoir un agenda qu'on ne peut pas
vraiment contrôler) et l'ANSSI en france (publique, donc à agenda,
mais on pourra aller creuser) et d'autres acteurs tout à fait
légitimes qui n'auront pas pris la peine de devenir CERT (et les seuls
qui pourront leur reprocher ça c'est les boites qui ont pris la peine
d'être ISO27, imho)
En l'absence de cette liste de sources de confiance pour des reports à
abuse@ inscrits dans la loi, les reports seront pourris de faux
positifs malveillants (point négatif de la contre-mesure, les abus de
la contre-mesure, voir DMCA).
Et l'engagement en question supposera bien d'enquêter sur tous les
reports, déterminer lesquels sont de vrais positifs, ce qui suppose du
fric pour la sécurité (sur ma liste pour papa noel cette année, on
verra bien) et des gens compétents chez les FAI qui répondent à abuse
(j'ose même pas mettre ça sur ma liste). Que ce soit un accès à
internet livré à domicile ou hébergé dans un datacenter.
Et faute de ce truc centralisé, on verra chaque hébergeur dérouler sa
solution de blacklist plus ou moins aboutie, on reverra les problèmes
des premiers temps du SPAM, et surtout chacun pourra, au nom de la
sécurité, faire ce qu'il veut en étant moyennement responsable.
L'obligation que j'aimerais voir, c'est celle de "balayer devant sa
porte", comme dit plus haut, soit de scanner ses plages IP en
cherchant des Bad Things, et de fournir une information "adaptée" aux
clients. Éventuellement, prendre des mesures conservatives genre
bloquer le port 25 sortant pour tous les clients à moins que ceux-ci
en fassent la demande expresse, mesure justifiée par le fait qu'une
minorité de clients se sert du mail, au pire imposer un serveur mail
sortant avec un filtre anti spam (et s'amuser en passant que tout le
monde accepte l'anti spam sur les relays sans crier au DPI)
Le consensus ici semble être qu'il faut le faire, mais sans non plus
que ça soit imposé passque sinon on va devoir augmenter nos prix et
tous nos clients ils partiront à l'étranger (facilement délocalisable,
l'hébergement).
Le problème semble donc la marketabilité de la sécurité (qui serait
ici aussi plus de la qualité, en fait) vis à vis des clients. Comment
justifier d'un prix plus élevé pour un service incluant un
accompagnement sécurité? D'après ce que je vois du marché, ça se fera,
dans une dizaine d'années (le temps que les jeunes qui ont grandi avec
facebook aient envie de se faire un site web). Bref, comment en pas
être un hébergeur du dimanche, si je vous suis bien. D'ici là, ceux
qui auront pris la pointe auront la compétence et les outils pour
faire bien.
2011/12/28 Rémi Bouhl <remibo...@gmail.com>:
> Bonjour,
>
[snip]
>
>
> Il y a un autre paramètre qui est, à mes yeux, plus utiles que l'IP fixe:
> c'est la réactivité du FAI.
>
> Par rapport à ton suisse, il m'est arrivé d'envoyer à un hébergeur suisse
> une plainte sur son abuse: un de ses clients envoyait du spam. Pas du spam
> tout laid avec du v14gR4, mais du spam "pro", qui voulait me vendre je sais
> plus quelle fourniture de bureau, sur mon adresse @grunt.fdn.fr
> (certainement confondue avec une adresse pro).
>
> Hé bien, l'hébergeur suisse a pris mon mail au sérieux: il a répondu
> immédiatemment, a acquiescé du fait que ce n'était pas normal, a dit qu'il
> allait voir avec son client. Je n'ai plus reçu de spam venant de cette @IP.
>
> Quand je compare à des FAI comme Free ou Bouygues qui font totalement la
> sourde oreille quand on leur signale qu'un de leurs clients spam sur
> abuse@..
>
> AMHA ce devrait être le genre de choses inscrites dans la loi, cette
> réactivité. Avec un engagement d'effectivement contacter le spammeur, le
> faire cesser, voire le sanctionner. Même si c'est "seulement" Claude Michu
> qui sème la vérole parce qu'il/elle a téléchargé sur la mule un crack pour
> un soft à 1000€ (autrement dit, qu'il/elle est complice d'une mafia qui l'a
> payé 1000€ pour spammer. La case prison est pas loin.)
>
> Faut pas rêver, les FAI commerciaux font le calcul d'un point de vue
> financier/commercial.
>
> Côté réputation, abriter et protéger des spammeurs n'a aucune influence.
> Pire: ils risquent de se faire taper dessus plus sévèremment, par des
> noobies mécontents qui vont hurler sur Commentcamarche: "mon méchant FAI il
> m'a déconnecté soi-disant parce que je spammais, j'ai réinstallé mon Windows
> et tous mes jeux crackés et il dit que je spamme encore, méchant FAI changer
> FAI n'y allez pas"
>
> En comparaison, dire sur FRnOG qu'ils hébergent des spammeurs c'est
> totalement négligeable en termes d'image publique.
>
> Du coup, il faudrait que le spam leur coûte quelque chose. Si ça coûte plus
> cher de répondre à chaque mail sur abuse@, que de virer à coups de pied au
> cul les abonnés ADSL qui spamment et respamment et spamment encore après
> avoir été notifiés une demi-douzaine de fois, alors le spam commencera à
> reculer.
>
> Rémi.
>
>
>
> ---------------------------
> Liste de diffusion du FRnOG
> http://www.frnog.org/
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
