TP SA – wstępne efekty blokady portu 25

TP S.A. dzięki usługom Neostrada oraz InternetDSL trafiła do domów zwykłych polaków. Większość klientów nie ma nawet podstawowej wiedzy w kwestii bezpieczeństwa komputera co zaowocowało rozprzestrzenieniem się wirusów. TP od 2006 znajdowała się na podium wszelkich list tworzonych na podstawie źródła połączeń rozsyłających spam i wirusy.

(Niechciany) lider na świecie… dawno temu

W 2007 roku Trend Micro opublikował raport według którego dziennie z sieci TP było wysyłanych 1.59 miliarda niechcianych wiadomości – dało to pierwsze miejsce w rankingu. Na drugim miejscu był włoski Itialia Telecom z wynikiem o 40 mln mniejszym, na trzecim France Telecom z wynikie 821 mln niechcianych wiadomości dziennie.

Symantec również opublikował swój raport (Symantec: cyberprzestępcy to profesjonaliści) w którym podał następujące fakty:

Polska na czele krajów w rankingach cyberprzestępstw w regionie EMEA
Najnowsze wydanie „Raportu o zagrożeniach bezpieczeństwa pochodzących z Internetu” wskazuje również na trendy zagrożeń w regionie EMEA (Europa, Bliski Wschód i Afryka). Polska występuję w 11 spośród 16 rankingów dotyczących regionu EMEA. W tych rankingach Polska zajęła:

1. 1 miejsce (86%) wśród krajów odbierających największą ilość spamu;
2. 2 miejsce (11%) wśród krajów o największej intensywności destrukcyjnej działalności przypadającej na jednego użytkownika Internetu. Pierwsze miejsce przypadło Izraelowi (19%).
3. 2 miejsce (11%) wśród krajów o największej ilości komputerów-zombie. Pierwsze miejsce przypadło dla Niemiec (17%).
4. 3 miejsce (8%) wśród krajów, z których pochodzi największa ilość wysyłanego spamu. Na pierwszym miejscu znalazły się wszystkie niezidentyfikowane kraje z regionu EMEA (21%).
5. 6 miejsce (5%) wśród krajów o największej intensywności destrukcyjnej działalności. Pierwsze miejsce zajęły Niemcy (19%).
6. 6 miejsce (4%) wśród krajów przechowujących na serwerach strony służące do ataków typu „phishing”. Pierwsze miejsce dla Niemiec (22%).
7. 7 miejsce (6%) wśród krajów zainfekowanych sieciami bot. Na pierwszym miejscu znalazły się Niemcy (23%).
8. 8, 9 i 10 miejsce odpowiednio dla Warszawy, Katowic oraz Poznania jako miast z największą ilością komputerów-zombie. Pierwsze miejsce przypadło Madrytowi (Hiszpania).
9. 9 miejsce dla Warszawy jako miasta z największą ilością komputerów zainfekowanych sieciami bot. Pierwsze miejsce przypadło Madrytowi (Hiszpania).
10. 10 miejsce (1%) wśród krajów, z którego pochodzi największa ilość ataków skierowanych na region EMEA. Pierwsze miejsce zajęły Stany Zjednoczone (35%).
11. 10 miejsce (2%) wśród krajów, w które wymierzano ataki typu „odmowa usługi” (Denial of Service). Pierwsze miejsce przypadło Wielkiej Brytanii (46%).

– Pojawienie się Polski w tych rankingach, a szczególnie 2 miejsce wśród krajów o największej intensywności działań cyber przestępców przypadającej na jednego użytkownika Internetu, świadczy najdobitniej o niewystarczającym stopniu zabezpieczeń wśród użytkowników komputerów. Niestety dynamicznemu rozwojowi szerokopasmowego Internetu w Polsce nie towarzyszy wdrażanie odpowiednich rozwiązań ochronnych – powiedział Andrzej Kontkiewicz, Technical Presales Manager Eastern Europe, Symantec Poland. – Nowi użytkownicy często nie znają niezbędnych zasad bezpieczeństwa, które mogłyby im zapewnić odpowiednią ochronę.

Pierwsza walka z problemem

30 grudnia 2008 TP zablokowała dostęp do usługi irc zasłaniając się faktem, że botnety korzystają z irca w celu kontrolowania komputerów-zombie. Poniżej komunikat TP CERT:

Telekomunikacja Polska wprowadziła testowo nowe rozwiązanie zwiększające bezpieczeństwo użytkowników sieci TP. Zabezpiecza ono komputery i systemy klientów przed wykorzystaniem ich bez wiedzy właścicieli do cyberprzestępstw m.in. do rozsyłania spamu i wirusów.

Od dziś blokowana jest możliwość komunikacji z adresami IP, z których kontrolowane są komputery wykorzystywane w sieciach botnet (tak zwane komputery zombie).

Ze względu na to, że sieci botnet są bardzo często kontrowane za pośrednictwem serwerów IRC, wprowadzenie nowych zabezpieczeń może spowodować zablokowanie niektórych usług i serwerów tego typu.

Korzyścią dla internautów będzie znaczne zmniejszenie zagrożenia, że ich komputer zostanie wykorzystany do działań przestępczych, a także zmniejszenie ilości spamu i podniesienie bezpieczeństwa danych przesyłanych przez internet.

Obecnie na świecie zidentyfikowano ponad 4,5 tysiąca komputerów kontrolujących sieci Botnet. Pod ich kontrolą może pozostawać nawet kilkadziesiąt milionów komputerów, z których wysyłany jest spam i wirusy, dokonywane są ataki na inne komputery lub zbierane są dane, np. o numerach kart kredytowych. Właściciele przejętych komputerów najczęściej nie są świadomi, że ich sprzęt jest wykorzystywany przez cyberprzestępców.

Większość osób odebrało to jako próbę inwigilacji, cenzury i próbowała z tym walczyć np. poprzez zgłoszenia do TP CERT. Jak widać w załączonej korespondencji w okolicach marca TP po cichu przywróciła dostęp do port 6667 (standardowy port usługi IRC).
Pierwsza bitwa i TP poddała się.

Polska jako lider nie tak dawno temu

W tym roku Symantec opublikował raport (Raport firmy Symantec: cyberprzestępcy przeprowadzają setki milionów ataków miesięcznie) w którym Polska jest liderem 5 kategoriach (w rejonie Eurowa, Bliski Wschód oraz Afryka):

1. 1 miejsce (18%) wśród krajów przechowujących największą ilość stron wykorzystywanych do ataków typu „phishing”.
2. 1 miejsce z największą ilością zainfekowanych komputerów złośliwym oprogramowaniem o nazwie „Brisv” – koniem trojańskim infekującym pliki multimedialne.
3. 4 miejsce (10%) wśród krajów o największej ilości komputerów-zombie. Pierwsze miejsce przypadło Hiszpanii (15%).
4. 6 miejsce (6%) wśród krajów, z których pochodzi największa ilość wysyłanego spamu. Na pierwszym miejscu znalazła się Rosja (13%).
5. 6 miejsce (6%) wśród krajów o największej intensywności destrukcyjnej działalności. Pierwsze miejsce zajęły Niemcy (14%).

Aktualnie

1 grudnia TP SA zablokowała dostęp do portu 25 (również ponownie do 6667 ale to już po cichu) w celu zminimalizowaniu ilości SPAMów które wychodziły z sieci TP (głównie z sieci neostrad i dsl).
Efektem tego jest spadek na liście SenderBase na 17 miejsce w rankingu w ciągu paru dni – co wskazuje na efektywne (ale krótkotrwałe) rozwiązanie problemu.

Przeniesienie usługi SMTP z portu 25 na 587 i 465 nie jest idealnym rozwiązaniem – wystarczy że prawdziwi nadawcy niechcianych treści w swoich oprogramowaniach zmienią konfigurację aby programy łączyły się po nowych portach i problem powróci.

W tym roku, według moich obserwacji przy akcji blokady port 25, nastąpił powrót do bgp-bh dla sieci ircowych. Sieć z której korzystam (knet7), nagle użytkownicy z sieci TP spadli z timeoutem (2009/12/01 10:56), prawdopodobnie w wyniku badania sieci przez MAPS.

Aktualizacja:
wer podesłał link do wykresów spamcopu.

Według wykresów SpamCop w tej chwili jest tendencja spadkowa w ilości spamów.

Na pełne raporty i efekty tego rozwiązania trzeba będzie poczekać jeszcze kilka miesięcy.