Re: [FRnOG] Re: [FRnOG] Détection des botnets et protection des internautes
On Sat, 30 Oct 2010 04:27:48 +0200, "Rémi Bouhl" said: > La dernière fois que j'ai signalé un spam à abuse, le FAI (français, > hein) n'a pas daigné répondre ni accuser réception (ne serait-ce que > de façon automatique). Il y a vraiment des gens qui signalent à abuse > qu'ils recoivent du spam? Sérieusement? Le fait qu'il n'y a ni reponse ni accuse de reception ne veut pas dire qu'il n'y a rien qui est fait. Je sais pas si tu est membre d'ab...@quelque-chose, je le suis, et je peux te dire qu'il y en a des messages (pas tout a fait des spam, mais pas loin) qui ne donnent pas envie d'y repondre. Je pense surtout des "plaintes" (enfin, quelque-chose relative a un autre message) envoyes a la quasi-totalite des FAI et FSI francais (+ d'autres pas francais) en meme temps, alors qu'au meilleur cas il y en a 1 seul qui est concerne. Les insultes ne manquent pas, non plus les messages relatives a un spam avec fake sender (envelope from = quel...@societe.fr, sender ip = fai.alautre.boutdela.planete, plainte a ab...@societe.fr). Quand aux reponses automatiques, bonjour les boucles.. Resume: - Oui, il y a encore des gens qui envoient a abuse@ (pas forcement le bon abuse@, mais quand-meme) - Oui, il y a en general un minimum de traitement sur ces e-mails. - Non, on envoie aucun espece de reponse si ce n'est pas assez serieux (grave). -- Radu-Adrian Feurdean raf (a) ftml ! net --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [FRnOG] Détection des botnets et protection des internautes
>> >> Je ne sais pas si les impacts suivants sont quantifiables : >> - coût d'opérateurs de call center sollicités parce que les clients >> sont infectés et leur ordinateur a un comportement inadéquat ; > > Déjà, le comportement inadéquat n'est pas forcément visible: un bon > troyen sait rester discret, c'est la clef de la longévité. Il va > envoyer du spam, des attaques, ok, mais l'utilisateur n'en verra rien. > > Et si le problème est visible, les utilisateurs comprennent > généralement que c'est Windows qui est infecté. Quand des pop-ups > s'ouvrent partout, rares sont les gens qui appellent le FAI, quand > même. > Soit, c'est probable, mais une statistique des call centers sur le taux d'appel lié à des dysfonctionnements de l'ordinateur serait intéressante. >> - coût d'une structure abuse qui devra réagir pour des campagnes de >> spams envoyés par des bots sur des clients; > Est-ce qu'abuse est vraiment concernée, de nos jours, par le spam "de > base"? Ça a l'air d'être un problème tellement généralisé qu'on ne > prend plus vraiment la peine d'aller se plaindre, du moins quand le > spam provient d'une ligne résidentielle: en général, ça se gère à > coups de blacklists sur des plages d'IP entières.. > Je rebondis donc sur ces propos. Quel FAI n'a pas eu à s'occuper de déblacklister ses propres plages auprès d'organisation X ou Y parce que plusieurs de ses clients généraient du trafic illégitime. En tous cas, j'ai eu des echos sur des cas de ce genre concernant des FAI français cqfd > La dernière fois que j'ai signalé un spam à abuse, le FAI (français, > hein) n'a pas daigné répondre ni accuser réception (ne serait-ce que > de façon automatique). Il y a vraiment des gens qui signalent à abuse > qu'ils recoivent du spam? Sérieusement? > On est d'accord que le spam unitaire ne relève plus de la notification, mais quid de l'envoi d'une campagne de 10 000 mails ou l'hébergement de pages de phishing ou de contenu pedo pornographique, le tout parce que certains bots permettent de jouer le rôle de serveur web ? >> - coût des réquisitions judiciaires pour causes de machine compromise >> impliquée dans un schéma de fraude; > Ce coût est remboursé par la justice, non? De plus, il ne doit pas y > avoir tant de réquisitions que ça. Le spam se traite de façon > technique. Pour le vol de coordonnées bancaires, les gens sont > assurés. Reste quoi? Ça existe vraiment des virus qui servent à des > choses pour lesquelles on fait une réquisition judiciaire? Des virus > pour traiter du contenu pédophile par exemple? > Oublions le spam, parlons plutôt des trojans bancaires qui génèrent des fraudes, qui génèrent des victimes, qui portent plainte, ce qui génère des réquisitions judiciaires. On peut aussi évoquer le cas de DDoS lancé par des bots localisés essentiellement dans un pays. Je serai étonné que cela ne se termine pas par une plainte. >> - coût d'une mobilisation d'experts techniques pour lutter contre des >> clients à la source de dénis de service; > Ça, c'est dans l'hypothèse où le FAI est victime d'une attaque menée > depuis ses clients contre sa propre infrastructure. Il n'y a pas de > raison que ça lui tombe dessus précisément, le problème est global: > les clients de tout le monde attaquent les infrastructures de tout le > monde. Le FAI qui investira pour résoudre le problème va réduire de > (mettons) 0.1% le coût pour tout le monde. Lui sera perdant, les > autres seront gagnants. Dans une approche purement économique, ce > n'est pas intéressant. > >> - charge induite sur les serveurs SMTP et DNS des FAI à cause des bots; > Question ouverte : des statistiques ont elles été faites sur la surcharge DNS au moment de Storm ou de Conficker... > > >> - coût de frais de transit pour toutes les communications liées aux bots; > Bof.. Les attaques représentent du trafic depuis le réseau du FAI, > vers l'extérieur. Vu que le trafic volontaire des utilisateurs va dans > l'autre sens, et que les accès sont asymétriques (ADSL), ça ne va pas > représenter un gros surcoût pour les FAI. > >> - amélioration de la satisfaction client et développement de la >> confiance dans l'économis numérique en ligne; > Là encore: > - la satisfaction du client par rapport à son propre PC, il ne > l'attribue pas à son FAI. À son antivirus, à son nouveau Windows > (progrès au niveau sécurité entre XP et Vista/Seven), mais il n'a > aucune raison de faire le rapprochement entre "mon PC rame" et "je > suis chez tel FAI". > D'autant plus que, dans un premier temps, l'action du FAI se > résumerait à quelque chose de négatif pour lui: non seulement son PC > rame, mais en plus le FAI veut le déconnecter! > - le problème est global pour tout ce qui ne touche pas au PC infecté. > Autrement dit, lutter contre les botnets dans son propre réseau ne > permettra pas au FAI, directement, d'empêcher ses clients de recevoir > du spam. Il faudrait que le monde entier s'y mette, et il y a des > régions du monde qui s'en foutent plus ou moins ouverteme
[FRnOG] Re: [FRnOG] Détection des botnets et protection des internautes
> Perso. j'ai survolé les trois premiers : > > - l'un l'antibot consumer en allemagne : l'état débloque 2 M€ pour lancer > une plateforme afin d'aider les ISP contre les botnets. > Bien ça me fait penser à la plateforme française antispam (un abuse avec > inscirption obligatoire pour poster) lancé en grande pompe puis fermé par > la suite. C'est une initiative nationale lancée par le BSI et les ISP pour avancer dans le bon sens (comme si le CERTA avait la lattitude de promouvoir des choses au niveau de l'AFA/l'ARCEP). C'est très positif http://www.h-online.com/security/news/item/Germany-to-set-up-centre-to-coordinate-fight-against-botnets-880077.html > > - l'autre concernant l'internet industry association : avec la > participation de l'équivalent de famille de france et les industriels de > l'IIA procurent à qui le veut des pdf consomateurs/acteurs montrant que > les FAI doivent fournir rapide copier/coller un peu la flemme : > > NetNanny for PC v6.5.1.13 2010, Manaccom, Trend Micro PC-Cillin Internet > Security, Trend Micro, Puresight 2009, Symantec Online Family Friendly > Norton Symantec, Netbox Laptop Protector, Netbox Blue, ContentKeeper > Express, ContentKeeper Web. > Et que la personne doit avoir plus de 18 ans pour surfer sur internet. > l'IIA est probablement l'association inter-opérateur qui a le plus fait avancer les choses en matière de lutte contre la cybercriminalité sur leur territoire et leurs actions sont reproduites partout dans le monde. La critique est facile, mais on est loin de faire demain ce que eux ont déjà fait depuis longtemps. > - le dernier pour la route, Virgin media propose pour 6£ une prise en main > à distance de votre pc infecté. > > Bref exactement ce que tout les FAI français fournissent (logiciels et > documentations) depuis le début de l'adsl en france. > > Virgin Media détecte ses clients compromis (via des bases de données fournies par la communauté de la recherche) et notifie ses clients. Je ne fais pas le rapport avec des actions françaises... --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] RFC 6041: ForCES Applicability Statement
http://www.bortzmeyer.org/6041.html Auteur(s) du RFC: A. Crouch, H. Khosravi (Intel), A. Doria (LTU), X. Wang (Huawei), K. Ogawa (NTT Corporation) Le protocole ForCES ("Forwarding and Control Element Separation"), décrit dans le RFC 5810, normalise la communication entre les différents éléments d'un routeur, de façon à permettre la création d'un routeur par l'assemblage de composants venus de constructeurs différents. Ce RFC 6041 se focalise sur l'*applicabilité* de ForCES, à savoir dans quels cas ce protocole est applicable et ce qu'on peut exactement lui demander. Ce RFC peut donc servir d'introduction de haut niveau à ForCES. ForCES considère un routeur comme composé d'un élément de contrôle, qui parle les protocoles de routage comme OSPF, c'est le *CE* ("Control Engine"), et d'un ou plusieurs éléments qui transmettent effectivement les paquets, les *FE* ("Forwarding Engine"). ForCES est le mécanisme par lequel le CE communique avec ses FE. Outre le protocole lui-même, dans le RFC 5810, ForCES a aussi un modèle de données (RFC 5812) et un protocole de transport (RFC 5811). Dans quels cas peut-on les employer et, inversement, quand sont-ils inapplicables ? La section 4 forme le cœur du RFC et c'est surtout elle qui est résumée ici. D'abord, ForCES est prévu pour des routeurs assez gros pour que les fonctions de contrôle et de transmission soient séparées. Sur un engin bas de gamme, où tout tient dans le même circuit, ForCES n'est sans doute pas utile. Par contre, les routeurs du milieu et du haut de gamme ont déjà une séparation physique entre le mécanisme de contrôle et les mécanismes de traitement des interfaces réseaux. Comme ce CE et ces FE doivent communiquer (par exemple, si le CE apprend par OSPF qu'une route pour 192.0.2.192/26 passe par l'interface ge-0-1, il doit communiquer cette information au FE qui gère cette interface, mais aussi à tous les autres pour qu'ils lui transmettent ce trafic). Les routeurs ont donc tous un protocole de communication entre CE et FE mais il est toujours privé (un des rares qui soit documenté est le Netlink de Linux, dans le RFC 3549). Avec ForCES, se profile la possibilité d'un protocole standard pour les remplacer. Quels services, dans cette communication entre FE et CE, peuvent être assurés par ForCES ? Notons bien (section 4.1) que ForCES ne traite pas de la découverte par le CE de ses FE, découverte qui doit être assurée autrement. En revanche, une fois celle-ci effectuée, ForCES pilote l'association entre CE et FE, et la transmission des informations comme, par exemple, le nombre de ports réseaux que gère le FE. Le CE peut ensuite configurer le FE (par exemple en lui indiquant les adresses IP locales, qui doivent être transmises au CE), comme indiqué en section 4.1.3. Mais le principal service assuré par ForCES est évidemment l'envoi d'informations de routage (section 4.1.4). Un CE transmet à ses FE les adresses IP à router, de façon à ce que les paquets soient transmis à la bonne interface réseau. La section 4.1 note de nombreux autres services. Citons-en juste un : l'envoi par le CE de règles de filtrage (quels paquets abandonner, et sur quels critères), en section 4.1.7. De quoi a besoin ForCES pour rendre ces services, et qui n'est pas forcément présent sur tous les routeurs ? De capacité réseau (section 4.2). Entre le CE et le FE, la capacité n'est pas infinie et des opérations comme l'envoi d'une table de routage complète peuvent être non-triviales sur un réseau d'interconnexion lent, d'autant plus que ForCES se veut utilisable pour des futures tables de routage, plus grandes que celle d'aujourd'hui (fin octobre 2010, il y a 340 000 entrées dans la table de routage BGP globale). Cette question de la capacité en amène une autre, celle de la localité. ForCES sépare logiquement le CE et le FE. Peuvent-ils aussi être séparés physiquement, et mis dans des boîtes différentes ? La section 4.3 examine la question. Le principe est que la disponibilité du routeur ne devrait pas être affectée par la séparation du contrôle et de la transmission. La connexion entre le FE et le CE est doit donc être un bus très fiable, ou en tout cas aussi fiable que le CE, de façon à partager son sort. En pratique, cela veut dire que ForCES est utilisable sans problème pour les NE ("Network Element", typiquement un routeur) où tout tient dans une seule boîte, avec des lames différentes pour le CE et les FE, mais un seul châssis et une interconnexion en Ethernet, PCI, etc (le cas de la majorité des routeurs actuels). Une telle configuration simplifiera notamment les problèmes de sécurité (cf. section 5). Mais ForCES peut aussi marcher dans des cas où CE et FE sont situés dans des boîtiers séparés. Pas de protocole réaliste sans possibilité de *gestion*. La section 6 détaille le comportement de ForCES face aux exigences de la gestion du réseau. Le po
Re: [FRnOG] Détection des botnets et protection des internautes
Bonjour, Le 30 oct. 2010 à 04:27, Rémi Bouhl a écrit : [...] (plein de bonnes chose) >> >> Pour ma part, je serai ravi de promouvoir à mon entourage le FAI >> français qui fera les premiers pas sur ce sujet. > > Peut-être que la solution passerait par le niveau réglementaire ou > législatif. Autrement dit, mettre en place un cadre dans lequel, soit > le client, soit le FAI, auraient intérêt direct à lutter contre > l'infection. > En imposant au FAI la déconnection des clients infectés, en rendant > les clients responsables pécunièrement des conséquences.. Bref, > quelque chose qui dise "Vous devez agir même si ce n'est pas par > altruisme." > > Pour l'instant, ça a l'air d'être l'inverse: il est plus confortable > de ne pas prendre de mesures. Sinon, on en prendrait.. Bon on a peut-être le cadre réglementaire qui s'appelle "l'obligation de l'abonné de sécuriser sa connexion internet"... Bref si Hadopi s'ennuie on peux lui refiler le bébé des bots et pc zombies de l'internet français... Au moins on aurais pas l'impression qu'ils ne servent a rien ? (troll, ok ->[ ]) Xavier--- Liste de diffusion du FRnOG http://www.frnog.org/