[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re: [certbund@bsi.bund.de: AW: Warnung vor moeglichem Angriff auf195.244.233.50]
Kristian Koehntopp <kris@koehntopp.de> writes:
> Moep. Also Spam.
Ach Gott, sei doch nicht so negativ. Ich finde es immer gut, wenn
CERTs im Bedarfsfall flexibel sind und über den Rand ihrer
Constituency hinausschauen und -handeln (solange sie nicht absichtlich
anderen CERTs dabei auf die Füße dappen, natürlich ;-). Die Bösewichte
besitzen diese Flexibilität in jedem Fall.
Da debate bei FITUG offenbar die einzige deutsche Ressource mit
nennenswerter Reichweite ist, solche Dinge zu besprechen (ich erinnere
nur an die HUK-Coburg-Geschichte), hier ein paar unausgegorene
Gedanken, wie so etwas zu handhaben ist.
* Wenn einem eine konkrete Angriffsdrohung zugespielt wird, muß man
handeln und weiterleiten, zur Not eben kommentiert. Sollte wirklich
etwas passieren, sitzt man sonst in der Tinte (unabhängig von der
rechtlichen Lage).
* Wenn man eine lange Liste (zumindest so lang, daß man die Leute
nicht einzeln anschreiben kann, sondern irgendwelche Automatismen
heranziehen müßte) von IP-Adressen bekommt mit irgendwelchen vagen
Andeutungen bekommt, dann sollte man tunlichst *nicht* die Leute
anschreiben, da man ja keine harten Fakten vorzuweisen hat. Dies
gilt insbesondere, wenn man irgendwelche magischen drei Buchstaben
im Namen hat, die die Leute in Konfusion stürzen. (Wenn diese nicht
wären, würden sie's nämlich einfach ignorieren, aber so könnte es ja
wichtig sein...)
Was also tun? Ich würde die Liste auf nsp-security posten,
vorausgesetzt ich bekomme die Erlaubnis von dem, der mir die Liste
schickt. Dadurch spart man sich einerseits das herumärgern mit
defekten RIR-Daten (und defekten Skripten, wie Marc mutmaßt),
andererseits muß man sich nicht mit nervigen Telefonanrufen
herumschlagen und tonnenweise E-Mail beantworten, und die Leute auf
nsp-security können die ganze Liste mit ihren Datenbanken
verknüpfen, was eventuell zu neuen Erkenntnissen führt. Das Risiko,
daß die Liste in falsche Hände fällt, ist im Vergleich dazu
akzeptabel.
Die von mir mit betreute Infrastruktur wird allein aus dem
T-Online-Netzbereich in zehn Tagen schätzungsweise mit 1 GB Traffic,
der durch Portscans, Wurmaktivitäten usw. verursacht wird,
zugeschüttet. Mit der Information "Wir haben mitgeteilt bekommen, daß
ein Angriff auf Ihren Host A.B.C.D durchgeführt werden wird" kann ich
genau *gar* *nichts* anfangen.
BTW, ich rate jedem, sich eine Policy zurechtzulegen, wie auf Hinweise
von CERTs zu reagieren ist. Alles zu ignorieren oder automatisch den
Kunden abzumahnen ist beides keine so gute Idee ("wir fragen im IRC"
oder "wir fragen auf debate" auch nicht wirklich ;-).
--
To unsubscribe, e-mail: debate-unsubscribe@lists.fitug.de
For additional commands, e-mail: debate-help@lists.fitug.de