Re: [certbund@bsi.bund.de: AW: Warnung vor moeglichem Angriff auf195.244.233.50]

[Florian Weimer <fw@deneb.enyo.de>]

Kristian Koehntopp <kris@koehntopp.de> writes:

> Moep. Also Spam.

Ach Gott, sei doch nicht so negativ. Ich finde es immer gut, wenn
CERTs im Bedarfsfall flexibel sind und über den Rand ihrer
Constituency hinausschauen und -handeln (solange sie nicht absichtlich
anderen CERTs dabei auf die Füße dappen, natürlich ;-). Die Bösewichte
besitzen diese Flexibilität in jedem Fall.

Da debate bei FITUG offenbar die einzige deutsche Ressource mit
nennenswerter Reichweite ist, solche Dinge zu besprechen (ich erinnere
nur an die HUK-Coburg-Geschichte), hier ein paar unausgegorene
Gedanken, wie so etwas zu handhaben ist.

* Wenn einem eine konkrete Angriffsdrohung zugespielt wird, muß man
  handeln und weiterleiten, zur Not eben kommentiert. Sollte wirklich
  etwas passieren, sitzt man sonst in der Tinte (unabhängig von der
  rechtlichen Lage).

* Wenn man eine lange Liste (zumindest so lang, daß man die Leute
  nicht einzeln anschreiben kann, sondern irgendwelche Automatismen
  heranziehen müßte) von IP-Adressen bekommt mit irgendwelchen vagen
  Andeutungen bekommt, dann sollte man tunlichst *nicht* die Leute
  anschreiben, da man ja keine harten Fakten vorzuweisen hat. Dies
  gilt insbesondere, wenn man irgendwelche magischen drei Buchstaben
  im Namen hat, die die Leute in Konfusion stürzen. (Wenn diese nicht
  wären, würden sie's nämlich einfach ignorieren, aber so könnte es ja
  wichtig sein...)

  Was also tun? Ich würde die Liste auf nsp-security posten,
  vorausgesetzt ich bekomme die Erlaubnis von dem, der mir die Liste
  schickt. Dadurch spart man sich einerseits das herumärgern mit
  defekten RIR-Daten (und defekten Skripten, wie Marc mutmaßt),
  andererseits muß man sich nicht mit nervigen Telefonanrufen
  herumschlagen und tonnenweise E-Mail beantworten, und die Leute auf
  nsp-security können die ganze Liste mit ihren Datenbanken
  verknüpfen, was eventuell zu neuen Erkenntnissen führt. Das Risiko,
  daß die Liste in falsche Hände fällt, ist im Vergleich dazu
  akzeptabel.

Die von mir mit betreute Infrastruktur wird allein aus dem
T-Online-Netzbereich in zehn Tagen schätzungsweise mit 1 GB Traffic,
der durch Portscans, Wurmaktivitäten usw. verursacht wird,
zugeschüttet. Mit der Information "Wir haben mitgeteilt bekommen, daß
ein Angriff auf Ihren Host A.B.C.D durchgeführt werden wird" kann ich
genau *gar* *nichts* anfangen.

BTW, ich rate jedem, sich eine Policy zurechtzulegen, wie auf Hinweise
von CERTs zu reagieren ist. Alles zu ignorieren oder automatisch den
Kunden abzumahnen ist beides keine so gute Idee ("wir fragen im IRC"
oder "wir fragen auf debate" auch nicht wirklich ;-).

--
To unsubscribe, e-mail: debate-unsubscribe@lists.fitug.de
For additional commands, e-mail: debate-help@lists.fitug.de