Re: [FRnOG] Services Abuse/Tests d'intrusions.....
On Wed, 25 Nov 2009 10:01:10 +0100 (CET), "Julien Reveret" said: > Un petit paragraphe sur la partie "destination" : > Donc tu n'as pas pris toutes les précautions cette fois ci. J'ai eu > l'occasion de faire des pentests et la règle c'est de faire un whois sur > les IP qu'on te demande d'auditer pour savoir si elles appartiennent bien > au client. Si ce n'est pas le cas, contacter le propriétaire pour > s'assurer qu'il n'y aura pas de problème juridique en lui faisant signer > une décharge à lui aussi. Il ne faut pas s'imaginer que les choses sont toutes roses chez les hebergeurs. Je prend par exemple un de nos anciens hebergeurs, grande societe avec points de presence et datacenters partout en Europe, blabla. Dans un des cas, il prennent une montee soudaine en charge (+200%) comme un attaque. Autre cas : la de-activation des "alarmes" avait pris environ 18 mois et 3 tickets. Une alarme, c'est un service down, avec notification du cplient par e-mail et par telephone. Un peu genant quand on est en train de deplacer plein de serveices "monitores" dans un autre DC. Autre exemple, ailleurs: domaine zz.xx qui a plusieurs nameservers definis. On avait recu sur l'addresse d'abuse une plainte concernant des IP de chez nous (les IP de nos NS) qui attaquent un de ces NS pour zz.xx avec des paquets UDP dst port 53 .. Pareil pour un autre domain, avec un MX, qui est "attaque" avec quelques SYN sur le port 25 (c'etait il y a 12 ans, pas dans ma boite actuelle !). Cans ces deux derniers cas, c'etait par des gens qui "prennent la securite au serieux", en bloquand le UDP port 53 sur un nameserver ou le TCP port 25 sur un serveur mail Donc les "precautions", ce n'est jamais assez. Meme si juridiquement tu est 100% couvert, ca n'emepche pas les mauvaises surprises a cause d'une mauvaise circulation de l'information, voir meme de l'incompetence des certains. -- Radu-Adrian Feurdean raf (a) ftml ! net --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Services Abuse/Tests d'intrusions.....
sebastien gioria a écrit : Se pose donc une réelle question; comment "avertir" les services abuses des FAI que les connexions peuvent être utilisées pour ce type d'accès..sans pour autant avoir un client qui se dévoile totalement (respect de la confidentialité toussa...) Bonjour, Le plus simple serait peut-être de se mettre d'accord avec le client attaqué pour qu'il ne remonte pas de plainte au FAI ? Quand à identifier ton exception dans le système d'information d'un grand FAI public, je n'y crois pas trop. -- Antoine MUSSO Architecte Réseau DISIT/ETU/ARC/ART tél. 02 44 76 77 27 Post-scriptum La Poste Ce message est confidentiel. Sous réserve de tout accord conclu par écrit entre vous et La Poste, son contenu ne représente en aucun cas un engagement de la part de La Poste. Toute publication, utilisation ou diffusion, même partielle, doit être autorisée préalablement. Si vous n'êtes pas destinataire de ce message, merci d'en avertir immédiatement l'expéditeur.
Re: [FRnOG] Services Abuse/Tests d'intrusions.....
On Nov 25, 2009, at 9:40 AM, Antoine Musso wrote: sebastien gioria a écrit : Se pose donc une réelle question; comment "avertir" les services abuses des FAI que les connexions peuvent être utilisées pour ce type d'accès..sans pour autant avoir un client qui se dévoile totalement (respect de la confidentialité toussa...) Bonjour, Le plus simple serait peut-être de se mettre d'accord avec le client attaqué pour qu'il ne remonte pas de plainte au FAI ? ca a été fait...mais le client (un gros groupe) ne savait pas que le site était chez un tiers bref Quand à identifier ton exception dans le système d'information d'un grand FAI public, je n'y crois pas trop.
Re: [FRnOG] Services Abuse/Tests d'intrusions.....
On Nov 25, 2009, at 10:01 AM, Spyou wrote: sebastien gioria a écrit : Sur le principe je suis bien d'accord. Néanmoins parfois il est souhaitable que les services (NOC/supervision) des hébergeurs ne soient pas au courant pour tester la chaine opérationnelle. Tester la chaine opérationnelle, ça va jusqu'au résultat d'une attaque (-> Abuse), c'est bon pour le client aussi. La vrai solution, c'est que l'hébergeur reprenne contact avec l'abuse du FAI pour annuler la demande a posteriori. (encore faut-il que ce soit géré par le FAI) Oui clairement :) En cela je suis assez content de la réaction de Free sur celui la...et de l'hébergeur A ce moment la, le service abuse est peut etre 'trop' léger pour gérer.Ne devrait-il pas y avoir une procédure plus "encadrée" avec le FAI pour que l'on puisse correctement gérer. FAI grand public .. tu ne peux pas demander du temps et de l'argent a un FAI parce que ton utilisation a toi sort de leur cadre contractuel. J'aurais tendance a dire qu'un client qui paie pour des tests d'intrusion a probablement une plateforme assez conséquente pour financer a perte un accès ADSL qui sera susceptible d'être coupé par le FAI pour non respect des CGV :) Si c'etait le cas, le problème serait super simplemais il n'a pas forcément la capacité a le faire --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Services Abuse/Tests d'intrusions.....
On Nov 25, 2009, at 10:01 AM, Julien Reveret wrote: Bonjour, Tout d'abord je pense que ce mail (quoi que vous en disiez sur la qualité technique) a son grand mot a dire ici. Je pense que je ne suis pas le seul à avoir ce type de réaction du FAI.Depuis a peu pres de 10 ans de Tests d'intrusions c'est le premier mail reçu de mon FAI. Se pose donc une réelle question; comment "avertir" les services abuses des FAI que les connexions peuvent être utilisées pour ce type d'accès..sans pour autant avoir un client qui se dévoile totalement (respect de la confidentialité toussa...) J'aurais tendance à dire que si les choses ont été bien faites, alors tu ne devrais pas avoir à les contacter. Un petit paragraphe sur la partie "source" : Je ne vais pas t'apprendre ton métier, tu le fais sûrement beaucoup mieux que moi, mais normalement il faut s'assurer que le client et l'hébergeur - s'il en utilise un - sont au courant du test. Donc dans tous les cas tu demandes au client un papier ou il te décharge, puis tu lui demande d'avertir les - hébergeurs - FAI et a t'en fournir la preuve a ta première demande. Maintenant quand cela est avec un gros groupe ca peut prendre des plombes et bloquer les choses et puis les relations entre 1/ services MKT 2/ services Tech 3/ services Sécu sont parfois houleuse/compiqués et dur a gérer donc soit tu attends 2 ans pour avoir ton papier, soit tu démarres donner les adresses IP qui vont être potentiellement détectées par les IDS/IPS ou par l'équipe d'admin dans les logs. Hors de question, car cela ne te met pas en condition réelles...si tu es "whitelister" du ne test pas tous les systèmes Extrait d'un mail recu ce matin de bonne heure (un peu plus loin) Il est vrai que j'utilise une connexion dite "personnelle" pour effectuer les tests, je prends toutes les précautions contractuelles (décharge client etc) mais la a priori le client n'a pas "prévenu" son "hebergeur" Un petit paragraphe sur la partie "destination" : Donc tu n'as pas pris toutes les précautions cette fois ci. J'ai eu l'occasion de faire des pentests et la règle c'est de faire un whois sur les IP qu'on te demande d'auditer pour savoir si elles appartiennent bien au client. Si ce n'est pas le cas, contacter le propriétaire pour Non, tu dois t'assurer que le client est bien propriétaire des sites visés et qu'il a pris les choses conformément a ce que tu lui a demandé dans la décharge
Re: [FRnOG] Services Abuse/Tests d'intrusions.....
sebastien gioria wrote: Néanmoins parfois il est souhaitable que les services (NOC/supervision) des hébergeurs ne soient pas au courant pour tester la chaine opérationnelle. A ce moment la, le service abuse est peut etre 'trop' léger pour gérer.Ne devrait-il pas y avoir une procédure plus "encadrée" avec le FAI pour que l'on puisse correctement gérer. Dans ce cas, ce n'est pas un compte "particulier" qu'il faut utiliser. Si tu sais que ton activité est susceptible de générer des plaintes au service abuse, plaintes qui vont avoir un coût de gestion et qui doivent être gérées au cas par cas, il faut utiliser un accès professionnel. François --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Services Abuse/Tests d'intrusions.....
sebastien gioria a écrit : > Sur le principe je suis bien d'accord. > > Néanmoins parfois il est souhaitable que les services > (NOC/supervision) des hébergeurs ne soient pas au courant pour tester > la chaine opérationnelle. Tester la chaine opérationnelle, ça va jusqu'au résultat d'une attaque (-> Abuse), c'est bon pour le client aussi. La vrai solution, c'est que l'hébergeur reprenne contact avec l'abuse du FAI pour annuler la demande a posteriori. (encore faut-il que ce soit géré par le FAI) > > A ce moment la, le service abuse est peut etre 'trop' léger pour > gérer.Ne devrait-il pas y avoir une procédure plus "encadrée" avec > le FAI pour que l'on puisse correctement gérer. FAI grand public .. tu ne peux pas demander du temps et de l'argent a un FAI parce que ton utilisation a toi sort de leur cadre contractuel. J'aurais tendance a dire qu'un client qui paie pour des tests d'intrusion a probablement une plateforme assez conséquente pour financer a perte un accès ADSL qui sera susceptible d'être coupé par le FAI pour non respect des CGV :) --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Services Abuse/Tests d'intrusions.....
> Bonjour, > > Tout d'abord je pense que ce mail (quoi que vous en disiez sur la > qualité technique) a son grand mot a dire ici. Je pense que je ne suis > pas le seul à avoir ce type de réaction du FAI.Depuis a peu pres > de 10 ans de Tests d'intrusions c'est le premier mail reçu de mon > FAI. > > Se pose donc une réelle question; comment "avertir" les services > abuses des FAI que les connexions peuvent être utilisées pour ce type > d'accès..sans pour autant avoir un client qui se dévoile totalement > (respect de la confidentialité toussa...) J'aurais tendance à dire que si les choses ont été bien faites, alors tu ne devrais pas avoir à les contacter. Un petit paragraphe sur la partie "source" : Je ne vais pas t'apprendre ton métier, tu le fais sûrement beaucoup mieux que moi, mais normalement il faut s'assurer que le client et l'hébergeur - s'il en utilise un - sont au courant du test. Donc dans tous les cas donner les adresses IP qui vont être potentiellement détectées par les IDS/IPS ou par l'équipe d'admin dans les logs. > Extrait d'un mail recu ce matin de bonne heure (un peu plus loin) > > Il est vrai que j'utilise une connexion dite "personnelle" pour > effectuer les tests, je prends toutes les précautions contractuelles > (décharge client etc) mais la a priori le client n'a pas "prévenu" > son "hebergeur" Un petit paragraphe sur la partie "destination" : Donc tu n'as pas pris toutes les précautions cette fois ci. J'ai eu l'occasion de faire des pentests et la règle c'est de faire un whois sur les IP qu'on te demande d'auditer pour savoir si elles appartiennent bien au client. Si ce n'est pas le cas, contacter le propriétaire pour s'assurer qu'il n'y aura pas de problème juridique en lui faisant signer une décharge à lui aussi. > Comment "facilement" dialoguer avec le FAI sans lui donner les > informations du client (sachant que je ne vais pas contacter X.Niel, > R.Assaf ou F.Gander) mais le service (abuse). Car de plus le délai > de réaction free.fr/hébergeur est de plus de 15j.Et entre temps il > y a eu d'autres essais bien sur :) ) Là je laisse les gens qui gèrent des abuse@ te répondre :) --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Services Abuse/Tests d'intrusions.....
Bonjour, Tout d'abord je pense que ce mail (quoi que vous en disiez sur la qualité technique) a son grand mot a dire ici. Je pense que je ne suis pas le seul à avoir ce type de réaction du FAI.Depuis a peu pres de 10 ans de Tests d'intrusions c'est le premier mail reçu de mon FAI. Se pose donc une réelle question; comment "avertir" les services abuses des FAI que les connexions peuvent être utilisées pour ce type d'accès..sans pour autant avoir un client qui se dévoile totalement (respect de la confidentialité toussa...) Extrait d'un mail recu ce matin de bonne heure (un peu plus loin) Il est vrai que j'utilise une connexion dite "personnelle" pour effectuer les tests, je prends toutes les précautions contractuelles (décharge client etc) mais la a priori le client n'a pas "prévenu" son "hebergeur" Comment "facilement" dialoguer avec le FAI sans lui donner les informations du client (sachant que je ne vais pas contacter X.Niel, R.Assaf ou F.Gander) mais le service (abuse). Car de plus le délai de réaction free.fr/hébergeur est de plus de 15j.Et entre temps il y a eu d'autres essais bien sur :) ) Et sinon, ca vous rassure ou pas ? - From: Service Abuse Date: November 25, 2009 8:15:05 AM CEST To: m...@moi.com Subject: 0142424242 # Avertissement: Tentatives d'intrusion depuis votre accès adsl Compte: 0142424242 Abonnement: Free Haut Débit Titulaire: Johnny Long Monsieur, Nous avons été saisis d'une plainte pour tentatives d'intrusion sur plusieurs systèmes distants depuis votre accès haut débit. Extrait du fichier LOG: L'attaque a commencé a 04h42 sur le site xx avec massive tentative d'acces sur des fichiers compromis --Extrait Deleted-- Il est possible que ces intrusions découlent d'un défaut de sécurisation de votre configuration informatique ayant permis l'installation à distance de programmes permettant le contrôle de votre système. Nous vous invitons par conséquent à procéder rapidement à une vérification minutieuse de votre configuration au moyen d'utilitaires appropriés afin d'éradiquer ces sources de nuisance de nature à engager votre responsabilité. En outre, pour vous permettre de faire face efficacement à l'avenir à de telles intrusions, nous vous recommandons fortement de veiller à ce que votre configuration informatique soit correctement sécurisée au moyen de l'utilisation de pare-feu et systèmes anti-virus à jour : dans cette optique, nous vous invitons à consulter la documentation accompagnant votre configuration informatique ou solliciter votre revendeur informatique pour de plus amples conseils. Sans agissement en ce sens de votre part, et dans l'hypothèse où nous serions notifiés à nouveau de plaintes vous concernant, nous nous verrions alors contraints de prendre, conformément à la législation en vigueur, toutes les mesures qui s'imposent pour mettre fin aux troubles évoqués et à ce titre nous nous réservons le droit de suspendre votre accès, sans préjudice de toute action contentieuse pouvant être engagée à ce sujet. Nous restons à votre entière disposition pour toute autre information complémentaire et vous demandons pour cela de simplement répondre à ce message. En vous remerciant pour votre prompte réaction, Cordialement, -- Free - Service Abuse IMPORTANT: Ce message est exclusivement destiné à la personne à laquelle il est adressé et il est impératif d'en respecter l'intégrité. Les informations qu'il contient peuvent être confidentielles et spécifiques au cas qui nous a été signalé. Nous vous demandons donc de ne pas le divulguer, totalement ou partiellement. Si vous l'avez reçu par erreur, nous vous serions reconnaissants de le supprimer de votre système informatique, sans le lire, en prendre copie ou l'envoyer à quiconque. -