Skip to content

Das CERT-Bund ihre ständig wechselnden Reports

Jetzt ist mein Kragen definitiv zu eng und er ist geplatzt. Ich hatte mich ja bereits etwas unterschwellig über das CERT-Bund ausgelassen.

Nach einigen Diskussionen mit dem CERT-Bund, dass wir es als Anbieter für unangebracht halten, uns blockweise Meldungen für mehrere unserer Kunden zu schicken, die wir aufdröseln und einzeln weiterleiten müssen, hat man uns als offizielles Format für die Erkennung des Bereichs, den wir auswerten und zensieren müssen,

Die Daten zu den betroffenen Systemen stehen immer zwischen "^Format: " und "^Mit freundlichen".
genannt. Na gut, wenn das eben offiziell ist, sei es so.

Wir haben bei der Unterscheidung, ob Abuse-Meldungen von "irgendwem" oder eben von CERT-Bund (und weiteren, bekannten Absendern) sind, einen Header-Check auf den Betreff eingefügt. Bis vor kurzem war der Betreff in der Form

[CERT-Bund#...]
Seit kurzem ist es

[CB-Report#...]
Soweit ich das sehe, ohne, dass man irgendwen informiert hat.

Reguläre Abuse-Meldungen werden an den oder die betroffenen Kunden weitergeleitet, wir zensieren dabei sicherheitshalber alle IP-Adressen außer denen des jeweiligen Kunden - das hilft zumindest grob, wenn eine Meldung mehrere Kunden betrifft, um den Datenschutz zu gewährleisten.

Das CERT-Bund fügt aber Domains ein. Durch die Betreff-Änderung wurde abermals ein Mailing als "reguläre" Abuse-Meldung weitergeleitet, die Domains wurden dabei nicht zensiert. Und abermals sehe ich keine Schuld bei uns.

Und das sind unsere Steuergelder auf 2 Beinen. :grrr:

Um es vorweg zu nehmen: Wir müssen die eingehenden Abuse-Meldungen vorfiltern. Rein auf die E-Mail-Adresse abzustellen, war uns zu heiß, immerhin ist die gut fälschbar. Wir hatten daher einfach als weitere Prüfung den Betreff (dessen Format) mit drin. Die Signatur zur prüfen, wäre eine Möglichkeit, ist aber technisch aufgrund der internen Prozesse schwierig.

Eine Möglichkeit wäre, auch Domain-Namen - analog zu den IP-Adressen - herauszufiltern und zu zensieren. Aber da sehe ich zu großes Potential, dass die Meldung damit irgendwann unbrauchbar wird.

Dass das CERT-Bund uns einzelne Reports je IP-Adresse oder Domain schickt, wurde von dort übrigens abgelehnt. Die Erzeugung der GnuPG-basierten Signatur dauere dann zu lange, außerdem wären die großen Anbieter angeblich mit dem Maß an Abuse-Meldungen überfordert. Dazu kann ich nur sagen: Von mir aus sollen sie die Signatur weglassen. Oder mehr E-Mail-Signatur-erzeugende Systeme aufstellen. Wir hosten diese gerne ;-)

Ein letzter Punkt, den uns das CERT-Bund beim letzten Vorfall vorgehalten hat: Angeblich würden viele Anbieter die Abuse-Meldungen von Hand bearbeiten, indem sie "die Daten auch zunächst in ihr Support-System importieren, um diese anschließend über einen eigenen Workflow an die Kunden zu versenden". Das widerspricht unserer Philosophie, dass das zeitnah passieren soll. Egal, wie schnell ein Support-Team ist, aber es verzögert den Vorgang. Im Jahr 2017 sowas händisch zu bearbeiten, halte ich für rückschrittlich. Und ehrlich gesagt auch zu teuer. Immerhin betrifft das nicht mehr (nur) Server- sondern auch Webhosting-Kunden.

Eine weitere und letzte Lösungs-Möglichkeit wäre, die Reports des CERT-Bund einfach in die virtuelle Rundablage zu befördern.

Kommentare

Ansicht der Kommentare: Linear | Verschachtelt

Gast

Die Überschrift "Das CERT Bund ihre ständig wechlsenden Reports" versteh ich nicht... wechlsende auch nicht... Sorry!

Pottbewohner

Das müsste ja auch richtig heißen "Dat CERT-Bund seine ständig wechselnden Reports" ;-)

Halodri

Das verstehe ich auch nicht. Wozu gibt es denn ARFs (RFC 5965)?
Oder wenn es nicht um E-Mail-Spam geht X-ARF.

Wer das per Hand bearbeiten soll, kommt ja gar nicht mehr dazu die eigentliche Arbeit zu erledigen.

Ich selbst schicke täglich eine vier- bis fünfstellige Anzahl an ARFs raus. Per Hand unmöglich.

Blex

Tja wie hier im Artikel geschrieben, Behörden halten nix von usability. Und das daraus die Konsequenz erwächst bei zu viel Arbeit einfach das weiterleiten einzustellen ist dann nur eine logische können Sequenz.

Vielleicht sollte man einen anderen Ansatz wählen. Mail dropen mit dem Hinweis auf ein online Formular welches die Herren bitschön ausfüllen sollen. Und je nach Tageszeit wechseln die Felder die Reihenfolge. ;)

Wie Manuel geschrieben hat, willkommen im 21 Jahrhundert.

MOW

Also ich verstehe jetzt da was nicht. Rein auf die eMail-Adresse zu filtern wäre schlecht weil zu leicht fälschbar, deshalb zieht man(itu) den Betreff hinzu - aber die Nachrichten sind alle PGP-signiert?

Übersehe ich da das Offensichtliche, oder ist es Manuel?
(Oder ändern die ihren PGP-Key auch alle paar Wochen?)

Manuel Schmitt (manitu)

Das Offensichtliche = Signatur prüfen?

Das ginge, allerdings nicht, wenn man sich noch im Rahmen von "SMTP" befindet. Aus internen Gründen filtern wir schon viel früher vor.

Ein Grund: Wenn wir die Mail annehmen, sie aber evtl. gefälscht ist: Was machen wir damit? Wegwerfen, anrufen, dennoch weiterleiten? Den Schuh ziehen wir uns nicht an.

Uns wäre eine IP-Adresse als Quelle am liebsten. Der Betreff ist natürlich genauso leicht fälschbar. Aber mal Hand aufs Herz: Den Absender fälschen viele sehr leicht, um den Betreff machen sich wenige Gedanken!

MOW

Wie "viel früher"? SMTP ist HELO, MAIL FROM:, RCPT TO:, DATA, .
Die Signatur ist also in demselben Block wie der Betreff. Wenn man diesen hat, dann hat man also auch den Rest der Nachricht inklusive Signatur und kann diese durch pgpverify o.ä. prüfen.

Manuel Schmitt (manitu)

So viel früher, dass wir nicht über eine Umgebung reden, in der ein Kommandozeilen-Befehl zur Verfügung steht.

Kommentar schreiben

Umschließende Sterne heben ein Wort hervor (*wort*), per _wort_ kann ein Wort unterstrichen werden.
Standard-Text Smilies wie :-) und ;-) werden zu Bildern konvertiert.
Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet.
BBCode-Formatierung erlaubt
Formular-Optionen