Mittwoch, 15. März 2017, 07:58
Das CERT-Bund ihre ständig wechselnden Reports
Jetzt ist mein Kragen definitiv zu eng und er ist geplatzt. Ich hatte mich ja bereits etwas unterschwellig über das CERT-Bund ausgelassen.
Nach einigen Diskussionen mit dem CERT-Bund, dass wir es als Anbieter für unangebracht halten, uns blockweise Meldungen für mehrere unserer Kunden zu schicken, die wir aufdröseln und einzeln weiterleiten müssen, hat man uns als offizielles Format für die Erkennung des Bereichs, den wir auswerten und zensieren müssen,
Wir haben bei der Unterscheidung, ob Abuse-Meldungen von "irgendwem" oder eben von CERT-Bund (und weiteren, bekannten Absendern) sind, einen Header-Check auf den Betreff eingefügt. Bis vor kurzem war der Betreff in der Form
Reguläre Abuse-Meldungen werden an den oder die betroffenen Kunden weitergeleitet, wir zensieren dabei sicherheitshalber alle IP-Adressen außer denen des jeweiligen Kunden - das hilft zumindest grob, wenn eine Meldung mehrere Kunden betrifft, um den Datenschutz zu gewährleisten.
Das CERT-Bund fügt aber Domains ein. Durch die Betreff-Änderung wurde abermals ein Mailing als "reguläre" Abuse-Meldung weitergeleitet, die Domains wurden dabei nicht zensiert. Und abermals sehe ich keine Schuld bei uns.
Und das sind unsere Steuergelder auf 2 Beinen.
Um es vorweg zu nehmen: Wir müssen die eingehenden Abuse-Meldungen vorfiltern. Rein auf die E-Mail-Adresse abzustellen, war uns zu heiß, immerhin ist die gut fälschbar. Wir hatten daher einfach als weitere Prüfung den Betreff (dessen Format) mit drin. Die Signatur zur prüfen, wäre eine Möglichkeit, ist aber technisch aufgrund der internen Prozesse schwierig.
Eine Möglichkeit wäre, auch Domain-Namen - analog zu den IP-Adressen - herauszufiltern und zu zensieren. Aber da sehe ich zu großes Potential, dass die Meldung damit irgendwann unbrauchbar wird.
Dass das CERT-Bund uns einzelne Reports je IP-Adresse oder Domain schickt, wurde von dort übrigens abgelehnt. Die Erzeugung der GnuPG-basierten Signatur dauere dann zu lange, außerdem wären die großen Anbieter angeblich mit dem Maß an Abuse-Meldungen überfordert. Dazu kann ich nur sagen: Von mir aus sollen sie die Signatur weglassen. Oder mehr E-Mail-Signatur-erzeugende Systeme aufstellen. Wir hosten diese gerne
Ein letzter Punkt, den uns das CERT-Bund beim letzten Vorfall vorgehalten hat: Angeblich würden viele Anbieter die Abuse-Meldungen von Hand bearbeiten, indem sie "die Daten auch zunächst in ihr Support-System importieren, um diese anschließend über einen eigenen Workflow an die Kunden zu versenden". Das widerspricht unserer Philosophie, dass das zeitnah passieren soll. Egal, wie schnell ein Support-Team ist, aber es verzögert den Vorgang. Im Jahr 2017 sowas händisch zu bearbeiten, halte ich für rückschrittlich. Und ehrlich gesagt auch zu teuer. Immerhin betrifft das nicht mehr (nur) Server- sondern auch Webhosting-Kunden.
Eine weitere und letzte Lösungs-Möglichkeit wäre, die Reports des CERT-Bund einfach in die virtuelle Rundablage zu befördern.
Nach einigen Diskussionen mit dem CERT-Bund, dass wir es als Anbieter für unangebracht halten, uns blockweise Meldungen für mehrere unserer Kunden zu schicken, die wir aufdröseln und einzeln weiterleiten müssen, hat man uns als offizielles Format für die Erkennung des Bereichs, den wir auswerten und zensieren müssen,
Die Daten zu den betroffenen Systemen stehen immer zwischen "^Format: " und "^Mit freundlichen".genannt. Na gut, wenn das eben offiziell ist, sei es so.
Wir haben bei der Unterscheidung, ob Abuse-Meldungen von "irgendwem" oder eben von CERT-Bund (und weiteren, bekannten Absendern) sind, einen Header-Check auf den Betreff eingefügt. Bis vor kurzem war der Betreff in der Form
[CERT-Bund#...]Seit kurzem ist es
[CB-Report#...]Soweit ich das sehe, ohne, dass man irgendwen informiert hat.
Reguläre Abuse-Meldungen werden an den oder die betroffenen Kunden weitergeleitet, wir zensieren dabei sicherheitshalber alle IP-Adressen außer denen des jeweiligen Kunden - das hilft zumindest grob, wenn eine Meldung mehrere Kunden betrifft, um den Datenschutz zu gewährleisten.
Das CERT-Bund fügt aber Domains ein. Durch die Betreff-Änderung wurde abermals ein Mailing als "reguläre" Abuse-Meldung weitergeleitet, die Domains wurden dabei nicht zensiert. Und abermals sehe ich keine Schuld bei uns.
Und das sind unsere Steuergelder auf 2 Beinen.
Um es vorweg zu nehmen: Wir müssen die eingehenden Abuse-Meldungen vorfiltern. Rein auf die E-Mail-Adresse abzustellen, war uns zu heiß, immerhin ist die gut fälschbar. Wir hatten daher einfach als weitere Prüfung den Betreff (dessen Format) mit drin. Die Signatur zur prüfen, wäre eine Möglichkeit, ist aber technisch aufgrund der internen Prozesse schwierig.
Eine Möglichkeit wäre, auch Domain-Namen - analog zu den IP-Adressen - herauszufiltern und zu zensieren. Aber da sehe ich zu großes Potential, dass die Meldung damit irgendwann unbrauchbar wird.
Dass das CERT-Bund uns einzelne Reports je IP-Adresse oder Domain schickt, wurde von dort übrigens abgelehnt. Die Erzeugung der GnuPG-basierten Signatur dauere dann zu lange, außerdem wären die großen Anbieter angeblich mit dem Maß an Abuse-Meldungen überfordert. Dazu kann ich nur sagen: Von mir aus sollen sie die Signatur weglassen. Oder mehr E-Mail-Signatur-erzeugende Systeme aufstellen. Wir hosten diese gerne
Ein letzter Punkt, den uns das CERT-Bund beim letzten Vorfall vorgehalten hat: Angeblich würden viele Anbieter die Abuse-Meldungen von Hand bearbeiten, indem sie "die Daten auch zunächst in ihr Support-System importieren, um diese anschließend über einen eigenen Workflow an die Kunden zu versenden". Das widerspricht unserer Philosophie, dass das zeitnah passieren soll. Egal, wie schnell ein Support-Team ist, aber es verzögert den Vorgang. Im Jahr 2017 sowas händisch zu bearbeiten, halte ich für rückschrittlich. Und ehrlich gesagt auch zu teuer. Immerhin betrifft das nicht mehr (nur) Server- sondern auch Webhosting-Kunden.
Eine weitere und letzte Lösungs-Möglichkeit wäre, die Reports des CERT-Bund einfach in die virtuelle Rundablage zu befördern.
Kommentare
Ansicht der Kommentare: Linear | Verschachtelt
Gast
Pottbewohner
Halodri
Oder wenn es nicht um E-Mail-Spam geht X-ARF.
Wer das per Hand bearbeiten soll, kommt ja gar nicht mehr dazu die eigentliche Arbeit zu erledigen.
Ich selbst schicke täglich eine vier- bis fünfstellige Anzahl an ARFs raus. Per Hand unmöglich.
Blex
Vielleicht sollte man einen anderen Ansatz wählen. Mail dropen mit dem Hinweis auf ein online Formular welches die Herren bitschön ausfüllen sollen. Und je nach Tageszeit wechseln die Felder die Reihenfolge.
Wie Manuel geschrieben hat, willkommen im 21 Jahrhundert.
MOW
Übersehe ich da das Offensichtliche, oder ist es Manuel?
(Oder ändern die ihren PGP-Key auch alle paar Wochen?)
Manuel Schmitt (manitu)
Das ginge, allerdings nicht, wenn man sich noch im Rahmen von "SMTP" befindet. Aus internen Gründen filtern wir schon viel früher vor.
Ein Grund: Wenn wir die Mail annehmen, sie aber evtl. gefälscht ist: Was machen wir damit? Wegwerfen, anrufen, dennoch weiterleiten? Den Schuh ziehen wir uns nicht an.
Uns wäre eine IP-Adresse als Quelle am liebsten. Der Betreff ist natürlich genauso leicht fälschbar. Aber mal Hand aufs Herz: Den Absender fälschen viele sehr leicht, um den Betreff machen sich wenige Gedanken!
MOW
Die Signatur ist also in demselben Block wie der Betreff. Wenn man diesen hat, dann hat man also auch den Rest der Nachricht inklusive Signatur und kann diese durch pgpverify o.ä. prüfen.
Manuel Schmitt (manitu)