RBL та прогресс.. або гори воно все…

Скільки вже списів зламано.. але все одно це питання залишається відкритим..

Почнемо з історії.

З розвитком IT-технологій та мереж почали зростати випадки випадкового та навмисного зловживання ресурсами для спричинення шкоди або отримання неправомірного здобутку… Наприклад розсилкою електронною поштою спаму під виглядом цікавих пропозицій або усілякого непотребу який хтось да купить.

Тому разом з тим почали розвиватися сервіси що вносили в блеклисти адреси, з яких відбувалися зловживання спамом… Потім це поїхало все далі… і за “сканування”, перебор паролів та інші речі почали теж формуватися чорні списки…. і це зростає і зростає до абсурду.

1. тих, хто використовує RBL для безумовного постійного блокування треба саджати в один казан в пеклі з володарями “авторитетних блеклистів”, де щоб видалитись треба відплясувати джигу, зібрати довідки аж до віч-діспансера і пообіцяти зірку з неба.
2. усі блеклисти що не мають автоматизованого інтерфейсу з лімітованою кількістю спроб видалення треба самих вносити в блеклист.
3. інструмент для покращення IT-довкілля вже перетворився на інструмент массового ураження
4. мають бути читкі критерії до “ескалаційного лістингу”, єдині для всіх
5. Має надаватися якась мінімальна технічна інформація щодо лістингу

А тепер поговоримо про абсурд..

Є різні блеклисти, їх тисячі і взаємодія з одними – це “пекельні борошна”, а з іншими – досить зрозумілий і адекватний процес.

Якщо навіть ти бажаєш робити автоматизований моніторинг своїх адрес по різним блеклистам – там або конячі умови лімітів на запити до їх серверів і отримувати актуальну інформацію частіше ніж раз на місяць ти не взмозі, або ще краще – автоматизовано тільки за гроші, і тут як в кого жадібність дозволяє – від 100-150 євро на рік, до 4-значних цифр за річне обслуговування користування їх ресурсами для отримання “статусу” твоїх адрес. Так, я розумію що в цих сервісах працюють люди, створюється програмне забезпечення для автоматизованого керування списками, орендуються сервери, це потребує грошей, але настає парадоксальна ситуація “наша мета зробити світ інтернету кращим та чистішем, але за свівпрацю з нами ви винні нам грошей”.

Є автоматизовані чорні списки, де ти потрапив в список, якщо виправив проблему, почекав – видалило. Та лімітована кількість в одиницю часу спроб видалити майже миттєво шляхом відкриття посилання на вебсайт. То є дружні сервіси, зроблені людиною та для людей. Все зроблено щоб процес видалення та додавання був комфортний для всіх учасників. І то є добре

Є інші…

Основні проблеми – багато “важкоатлетів” у цій сфері мають алгоритм “з вашої адреси в наш sinkhole потрапив запит – все, ви там або довічно, або до тієї миті, коли ми з вами пройдемо довгий попередній цукерково-букетний період побачень у листуванні та задовольнимо ваш запит на видалення.

Де тобі при запиті з декількох адрес вносять в чорні списки всю мережу, і керуються найчастіше принципом “як ліва п’ятка свербить” з вибором префіксу мережі. Можемо втулити /27, а можемо увесь діапазон втулити що в RIR зареєстрований, наприклад /20 і тоді процес видалення перетворюється на казковий пи..ць.

І майже всіх блеклистів стосується одне й те саме… Ми підтримуємо декілька типів чорних списків, і отам вносимо за спам, отам за пошук вразливих CMS, а отам за підбір паролів на якісь сервіси.. Але ми вам не надамо ані дати та часу інциденту, ані порт на який створювались запити, нічого що тобі допоможе виявити зловмисника або заражену робочу станцію.

Я розумію що публікувати у відповідь IP-адреси sinkhole серверів це зробити їх не придатними до виявлення зловмисниками, але не надавати жодної інформації – це теж зло.

На зорі розвитку інтернет-мережі це було так “повільно та вручну” тому що були інші часи, повільні процесори, малі диски та вузькі канали. Та й кількіть учасників глобальної мережі була на декілька порядків нижча.. Змінювались часи.. а алгоритми не змінюються тільки додаються нові причини для додання в чорні списки.

Одиничні сервіси використовують прогресивні алгоритми – інкрементальне продовження “часу життя” запису у чорному списку при повторних інцидентах, автоматичне видалення та зручний процес ідентифікації проблеми задля того щоб була можливість її вирішити, а не щоб мати можливість залучити декілька людей з обох боків до безглуздого втрачання часу на повільну та довгу комунікацію між сторонами.

Ну а є ще такі сервіси, де декілька разів ти здатний вручну видалити записи, але після якоїсь миті – дайте грошей за видалення (і ні, річ не про повторні видалення тієї ж самої адреси без вирішення питання, а про коли під керуванням декілька мереж) і це все кухня хостінг-провайдера.

І десь кожен 10 сервіс страждає тим, що пише як причину “you’ve tried to deliver mail to spamtrap” а раптом виявляється що насправді був перебір облікових записів на pop3s порту з цієї адреси.

А, так.. ще є декілька організацій на кшталт корпорації бобра, досягнень та місця, де одні кажуть що це рай, інші – що це найглибше коло пекла для IT-фахівців a-k-a Google. Вони використовують власні списки, алгоритми праці з зовнішніми “чужими” чорними списками і які ніде не публікують та не надають жодної можливості прямої комунікації зі своїм персоналом або інструментарієм(порталом) для самостійного вирішення проблеми з чіткими критеріями та можливостями знайти джерело проблеми. Потрапив в бан гугла – то можна починати молитися, пошукати в яких блеклистах є адреса, видалити з них, пошукати “100 та 1 пораду” як вирішувати проблему, та чекати – може допоможе а може ні. І гугл не надсилає ані повідомлення про інциденти, ані час та тип інциденту. Дуже іноді, ще й в залежності від гео-мітки мережі може прийти повідомлення про автоматизований парсинг гугло-пошуку з датами та часом, так наприклад для NL, а найчастіше – ніфіга не прийде, та всунуть мовчки або качпу або 403. А на сторінці з поясненнями помилки всунуть якусь маячню з фразою “зверніться до свого провайдера”, при цьому що майже все на гугл бігає з SSL й знайти зловмисника в мережі буде майже не можливо якщо ти не маєш контролю до найостаннішого елемента мережі, тільки орієнтуючись що з однієї адреси на мережі гугла долітає 200 пакетів в хвилину, з іншою – 600 і мабуть другого треба відстрелити без чітких пояснень та чекати “допоможе чи ні”