Bič na providerov

Niečo horšie ako blacklisty – host.deny – oranžových tu nechceme – s obrázkami a ukážkami to pochopí aj debil v manažmente – najlepšiu antivirovú ochranu na mailoch majú iba väčšie firmy s IT zázemím – najhoršia situácia u providerov pripájajúcich k internetu malých odberateľov – provideri sú najväčší ohrozovatelia bezpečnosti kohokoľvek pripojeného k internetu – hackeri, internetoví zločinci a autori vírusov zneužívajú neschopnosť providerov – provideri musia prevziať zodpovednosť za nimi routované e-mailové vírusy.
Nerozumieš počítačom? Tento príspevok je práve pre teba!

Rozumieš počítačom? Pokiaľ nesúhlasíš s obmedzovaním providerov a blokovaním zavírených strojov štýlom host.deny, je to práve pre teba!

Otázku zodpovednosti providerov pripájajúcich domácnosti a malé firmy, ktoré nemajú dostatočné technické zázemie pre zabezpečenie pripájaných počítačov voči hrozbám internetu som preberal veľakrát a takmer vždy som používal veľmi agresívne a militantné postoje práve voči týmto providerom a nie voči neznalým používateľom, ktorí si v netušených možnostiach internetu okamžite zavíria počítač jedným kliknutím.
Rozhodol som sa zlepšiť názornosť problému tromi obrázkami a obhájiť si tak môj postoj k mnou zaujímaným odvetným riešeniam nakoľko postoj providerov je mlčiaci až arogantne ignorantský.
Dnešné vírusy sa už takmer výhradne (kvantitou čo do počtu vírusov ako aj počtu kópií jednotlivých vírusov ale aj počtu aktuálne napadnutých počítačov) sústredili do pozície „albánskych“ vírusov šírených mailov.
Albánsky vírus je istý vtip šírený pred rokmi medzi počítačovou verejnosťou a znel približne takto:
Používateľovi dorazil e-mail tohto znenia:
„Dobrý deň, sme mladá skupina autorov vírusov z Albánska a keďže nedisponujeme silnými technickými prostriedkami, prosíme Vás, aby ste si vymazali dáta na svojom disku a odoslali tento e-mail svojim známym, za čo Vám vopred ďakujeme.“
Podstatou dnešných vírusov je totiž to isté: vírusy sa nesnažia skrývať, nemajú žiadny vyfintený programátorský nápad. Proste prídu používateľovi do schránky a čakajú kým si ho všimne. Prakticky prosia o spustenie používateľom. Ani moc nezakrývajú, že sa začínajú šíriť, pretože okamžite zahltia počítač používateľa a v hrozných číslach odosielajú e-maily z počítača von. Pritom sa už ani nesnažia o načítavanie adresárov, jednoducho hrubou silou vytvárajú e-mailové adresy náhodnými sledmi znakov a takto to posúvajú cieľovým SMTP serverom.
Prečo však spomínam providerov? Súvislosť je jednoduchá. Prvý obrázok schématicky naznačuje vzájomnú komunikáciu SMTP serverov, ktoré sú zodpovedné za presun elektronickej pošty medzi servermi a sprostredkovane teda medzi používateľmi.

Obrázok ukazuje pár SMTP serverov, ktoré medzi sebou ako jediné môžu regulérne komunikovať. Avšak z princípu musí SMTP server byť pripravený prijať spojenie od akéhokoľvek počítača na svete ale samozrejme s prijatými dátami môže robiť čo sa mu uráči – najmä ak sa mu ten niekto snaží poslať maily, ktoré mu vyslovene nepatria alebo ich odhalí ako spam, zavírené prípadne sú v nepatričnom formáte či neexistujúcim príjemcom, v nedovolenej veľkosti atď. atď. Komunikácia SMTP serverov je vyznačená červenými čiarami.
Počítače používateľov sú okrúhle značky a zvyčajne komunikuju výhradne s jediným SMTP serverom a to svojim „najbližším“. Forma akou sa so svojim SMTP serverom zhovárajú je absolútne totožná ako komunikácia po červených líniach medzi SMTP servermi – je to ten istý protokol.
SMTP je protokol, ktorým sa správy po internete „odosielajú“. Odoslanie e-mailu vždy vyvoláva ten, kto ho chce odoslať. Používateľ stlačí Odoslať a jeho počítač sa spojí s jeho SMTP servrom a prenesie mu e-mail.
SMTP server má však pridanú inteligenciu, že dokáže z hlavičky mailu čítať informácie o príjemcovi, odosielateľovi a podľa pravidiel v ňom nastavených si dokáže z adresy príjemcu dohľadať meno jeho SMTP servra, ktorý by mal tento mail prijať. Platí totiž dohoda, že nemôže SMTP server maily, ktoré chce posunúť ďalej odoslať ktorémukoľvek SMTP serveru. Vždy je k danej adresy jasný presný zoznam SMTP serverov, ktorým to musí poslať.
Prijímací SMTP server keď zistí, že niekto mu chce čosi poslať spustí overovaciu časť komunikácie a požiada príchodzieho o prvé základné údaje. Ten čo mu posiela musí najprv uviesť od koho a komu je ten mail. Ak s tým prijímací server súhlasí, dovolí prijať zvyšok e-mailu.
Takže ideálnu situáciu máme za sebou a odteraz je už iba peklo pekelné horúce a žeravé. Sodoma a gomora e-mailovej komunikácie, ktorá samotná spôsobuje tie náreky používateľov, ktorými častujú svojho chudáka administrátora. Sú to takisto manažerské vyhrážky administrátorom, čo to vyvádzajú, keď „nič nejde“ a „inde to ide“.
Prikladám totiž malú ilustráciu vírusovej nákazy a jej dôsledkov v malej simulácií (všetky počty si totiž vynásobte konštantou jeden milión).

Druhý obrázok demonštruje jeden z oranžových počítačov po zavírení. Vidíme, že sa nám tam rozplazili cestičky, po ktorých sa počítač toho chudáka, čo to ešte ani netuší, bleskovo odosielajú e-maily.
Čierne linky sú cestami smrti. Okamžite sa počítač používateľa stal akýmsi vraždiacim nástrojom prezlečeným za SMTP server s jednou jedinou úlohou. Rozosievať zabijácke kópie vírusu všade, kde ich prijmú.
Bohužiaľ ich prijať musia všetci. Bohužiaľ dnes až adresát je tým, kto si v záujme seba samého musí každý príchodzí bajt dvakrát otočiť, kým ho so stisnutou prdelou prehlási za bezpečný. Musí ho najprv prijať, skontrolovať a potom pustiť alebo vymazať. Opakujem: vymazať. Nie vrátiť. Nie upozorniť odosielateľa uvedeného v e-maile, v ktorom našiel vírus. Nie poslať vírus naspať. Proste vymazať. Ale o riešeniach kontroly prichádzajúcej pošty sa baviť nemusíme – proste stačí kompetentný administrátor bez červíka agility pri konfigurovaní antivíru a hlavne kvalitný antivirový systém. Mimochodom otázka: ktorý antivirus máme použiť je nesprávna. Odpoveď je totiž: aktualizovaný.
Pokochajte sa prosím obrázkom ešte raz a predstavte si, že takýchto zavírených počítačov je na svete miliónkrát viac. V tomto okamihu. A to aj napriek tomu, že v ideálnom prípade na zavírenie príde majiteľ počítača po pár minútach. To nehrá takmer rolu. Svoju úlohu totiž vírus vykonal.
Čo teda spustený vírus na počítači urobí? Spraví zo seba SMTP server, ktorý ale postráda isté znaky (nedokáže prijať e-mail) ale dokáže e-mail poslať kamkoľvek. Kontaktuje všetky počítače a servery, ktoré môže. Posiela svoje kópie všade a vytvára svoje kópie ako e-maily s vymyslenými hlavičkami. Dosadí si tam prefíkane odosielateľa aj príjemcu tak, aby prijímacia strana nemohla odmietnuť e-mail z dôvodu, že mu „nepatrí“.
Posiela svoje kópie vo veľkom svojmu oranžovému SMTP serveru. Svojmu providerovi. Posiela svoje kópie zelenému serveru, svojim najbližším oranžovým počítačom, modrému SMTP. Všetky cesty okamžite zamorí a vytvorí aj nové čierne cesty.
Všetko s cieľom zopakovať to, čo sa stalo majiteľovi oranžového počítača. Doručiť e-mail so svojou kópiou.
Veľakrát narážam na protesty, že nemožno blokovať takéto zavírené počítače. Že je to nemysliteľné.
Našťaste už teraz však z obrázkov vidíte, čo môže administrátor zeleného počítača urobiť.
Zablokuje príjem čohokoľvek z oranžového počítača. Tomu zostane cesta cez svoj oranžový server voľná až k zelenému príjemcovi. Žiadny problém.
No čierna linka priamo k zelenému servru sa zakáže. Je to totiž iba pašerácky chodník na vírusy.
Samozrejme je to odvetné riešenie: za normálnych okolností sa čierne linky nezakazujú, pretože pokiaľ by sa oranžový majiteľ počítača rozhodol, že si vybuduje svoj SMTP server, tak sa z čiernej pomyselnej linky stáva regulérna červená trasa. Ale nie je to tak, a preto proste čiernu linku zablokujeme.
Zatiaľ ste nepostrehli, ako s tým súvisí oranžový provider s jeho SMTP serverom?
Vec sa má takto. Oranžové krúžky sú jeho klienti. Tým prenáša dáta z/do internetu nech sú akékoľvek. Je to také milé prekonané pravidlo, ktoré vlastne nikdy neplatilo. Platí totiž, že sa prenášajú korektné dáta a nezmysly sa čo najskôr eliminujú. Nebudem menovať, odborníci na siete svoje vedia.
Venujme sa ale úzkemu okruhu SMTP komunikácie.
Predstavme si, že drvivá väčšina klientov typu: domácnosť, maličká firmička, túži mať hlavne pripojenie na „ten internet“, čím rozumie prehliadanie webových stránok. A nič viac. V 99 percentách naozaj nič viac.
Nie je preto pochopiteľné z akého dôvodu provider venuje svoj čas nastavovaniu routovacích pravidiel, proxy servrom, NAT, iptables, vnútornej adresácií a iných sprostostí a nedokážu urobiť jednu logickú a veľmi dobre bezpečnostne zdôvodniteľnú a nenáročnú vec:
Každý pokus komunikovať vo vnútornej sieti po portoch prislúchajúcich SMTP spojeniam smerujúci mimo vlastnú vnútornú sieť, nútene (pravidlami firewallu) smerovať na svoj „oranžový“ SMTP server.
Vybaviť tento svoj oranžový server príslušným antivírom je už prakticky banálna záležitosť, pretože samotná firma poskytovateľa je ním už dávno vybavená.
Provider teda „zakryje“ možnosť vytvoriť si čiernu linku komukoľvek vo svojej sieti.
Samozrejme tu existuje ešte situácia, keď je niekto z oranžového krúžku trošičku schopnejší a chce si vybudovať svoj vlastný poštový server. Holt v tom prípade má provider v rámci zmluvných podmienok povinnosť preradiť svojho klienta z množiny „trtkovia bez zabezpečenia“ do množiny „vie, čo robí“.
Sĺúbil som Vám tretí obrázok a ten je iba mojou voodoo bábikou, ktorú ako administrátor šalejúci nad lavínou vírusov maľujem do konfigurácie zeleného SMTP servera.

Jasne, v skutočnosti blokujem iba jeden oranžový krúžok ale najradšej by som aj oranžový smtp server ukrižoval. Pretože zodpovedný je jeho prevádzkovateľ a v prvom rade manažment sledujúci iba počty oranžových krúžkov.
Takže zopakujem: blokujte kľudne oranžové krúžky. Nie je to žiadna škoda. A bolo by fajn, pokiaľ by to oranžových providerov nakoplo k jedinému možnému riešeniu.
POZOR! Nie som nasratý, nešťastný ani deprimovaný. Nemám zlosť na niečo konkrétne, ani žiadny server, ani firmu. Farby som vybral v maľovacom programe náhodne z palety a nemajú žiadnu súvislosť – nedomýšľajte si preto žiadne konkrétne súvislosti. Hovorím principiálne, abstrahujem od detailov a snažím sa len o to, aby aj tupá hlava pochopila, že e-mail je momentálne z 90 % ohrozenie a iba ten zvyšok je pre prospech veci. Bohužiaľ drvivá väčšina nákladov na dopravu e-mailu sú bezpečnostné opatrenia a nie zabezpečenie prevádzky. Zvyšujete to každým použítím nebezpečných prostriedkov na internete a hlavne primitívnymi službami arogantných providerov.
Pokiaľ sa tu objaví komentár od tupého hovada, ktoré nepochopilo zmysel príspevku, čo myslíte, čo sa stane? :-) Vymažem ho. :-) Takže, keď ti vymažem komentár, prešiel si testami a si na betón tupý imbecil :-)