Брей! И аз не знаех, че си имаме CERT. Пропуснал съм в предния пост да попитам на кого по-точно ще трябва да се известява при инциденти, но явно наистина е там.
Някой наистина си е оставил ръцете при разработката на сайта, още не намирам логична причина дори защо
формата за подаване на инциденти е в отделен от сайта текстов документ, за който трябваше да превключвам кодировката браузъра, за да го прочета, но не ми се рови из обществените поръчки, за да видя кой я е свършил тази работа, а и не е толкова важно - по-важна е работата на самия CERT.
Примерно в случая с DDoS атаката, въпросните национални CERT-ове могат да си взаимодействат за да се установи къде е хостнат C&C сървъра и евентуално да се вземат мерки за неговото сваляне. Това в повечето случаи е непосилна задача за ИТ отдела на повечето компании, както и много вероятно на полицията, поне не в някакви разумни срокове.
Ако това е идеята, няма лошо. Въпреки че считам, че причините за тези атаки са отвъд самата кибернетика и борбата с тях е лекуване на симптомите, вместо на болестта, но това е съвсем отделна тема.
Всъщност, проверката на достоверността на предоставената от потърпевшата страна информация може да се окаже комплексна задача. податлива на доста грешки. Пресен пример - наскоро ме караха да преинсталирам един сървър на едни клиенти, понеже бил компрометиран и участвал в DDoS атака над някакви други сървъри. Преинсталирах го, въпреки че не открих никакви следи такова нещо да се е случвало, но няколко дни по-късно отново получаваме оплакване за същото, като този път имаше и изпратени логове от потърпевшата страна. И разглеждайки ги забелязвам не само, че при текущата си конфигурация (включително и на firewall-а пред него) този сървър не би могъл да участва в такава атака (то и отново нямаше никакви следи в него от подобно нещо), но и по времето на едната от атаките той всъщност беше изключен за преинсталация. Върнахме съобщение, че явно става дума за атака със spoof-нати адреси и поддържаната от нас машина е замесена в атаката дотолкова, доколкото IP адресът ѝ по случайност е бил мушнат в пакетите, и уж сме приключили с този въпрос (от няколко седмици няма ново оплакване), макар че в мен си остана въпросът, ако е станало така, къде са се дянали отговорите на заявките, които сървърът уж е изпращал, защото няма индикации и за такива. Съжалявам за общото обяснение, но нямам позволението да съм по-конкретен.
При подобни казуси предполагам първата стъпка на CERT ще е да разгледа логовете на съответните Интернет доставчици. Някой има ли прясна информация доколко и какви логове се пазят при някои Интернет доставчици и как се решава въпросът, ако има разминавания в логовете?
Мисля тия дни да пиша на CERT, да ги питам какво сътрудничество очакват, че още ме гложди въпросът за нуждата от известявания за всеки счупен Wordpress (Joomla, Drupal и т.н. CMS-и с публично известни дупки в сигурността, (не)закърпвани от потребителите), каквито случаи май имаме по няколко в месеца
П.П.: Молбата ми в началото на темата е молба за тези, които са решили да я уважат. За тези, които са решили да не я уважат, автоматично се превръща в задължение и постовете ще бъдат изтривани. Темата не търси популярност, а конкретика, така че е безсмислено да се чака разводняването ѝ.