Re: [FRnOG] Re: [MISC] DSAV Project: sérieux ou scam ?
Le mercredi 14 octobre 2020 à 09:49 +0200, Stephane Bortzmeyer a écrit : > C'est un problème classique de l'Internet, toucher les gens qu'il > faut, et tout le monde ici sait bien qu'il n'y a pas de méthode > parfaite (à part arroser tout ce qui contient un @ dans la sortie de > RDAP). > > Ici, les chercheurs allaient publier leurs conclusions. Pas mal de > gens auraient râlé « ils auraient dû prévenir » s'ils n'avaient pas > écrit à assez d'adresses. Leurs conclusions, ca aurait pu être: "Sur ASNs testés, seul 0.5% pratiquent du filtrage ACL a l'entrée, et au bout de X jours après envoi du mail d'information seul 0.9% ont pris les mesures nécessaires" Les gens auraient râlé de quoi ? Un truc du genre ca ? - "On a nous a écrit a x...@domaine.zzz, mais c'est plus à jour !" - "T'avais qu'à maintenir ta base de donnée RIPE a jour, tocard" Bref, c'est de l'enculage de mouches. L'étude est certes, utile, mais je ne vois pas pourquoi, en tant de gestionnaire de réseau, on ralerait sur l'obtention d'un résultat qu'on n'a jamais sollicité. -- Clément Cavadore --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [MISC] DSAV Project: sérieux ou scam ?
Hello, Le mercredi 14 octobre 2020 à 08:41 +0200, Stephane Bortzmeyer a écrit : > On Tue, Oct 13, 2020 at 06:50:34PM +0200, > Clement Cavadore wrote > a message of 56 lines which said: > > > Your email contains no technical information, > > C'est faux. Tu as parfaitement raison. > > 1- Give more technical information, such as: > > - Spoofed IP(v4/v6) address > > Tu es de mauvaise foi : c'était le cas. > > > - Resolver addresses used > > Idem. Tu as tort sur un point: Je ne suis pas de mauvaise foi. Les infos sont effectivement là, dans un lien, bien planqué a la fin du mail (j'aurais préféré dans le corps), mais je ne l'avais vraiment pas vu, pour cause: Quand tu reçois 40x le même e-mail pavé sur plein d'alias différent (hostmaster@, noc@, monmail@, etc), dans lequel, à la fin, tu as un petit lien cliquable, t'as plutot tendance à le survoler et à ne pas cliquer sur les liens de ce que tu peux considérer comme un spam, dans la forme. J'ai lu une fois un des mails reçus, j'ai même expliqué à mes clients, paniqués pour certains, de quoi il s'agissait et ce qu'on pouvait faire, mais c'est tout. Donc, même si effectivement ma réponse contient des trucs erronés, je reste dans l'idée que leur méthode de communication est mauvaise. -- Clément Cavadore --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [MISC] DSAV Project: sérieux ou scam ?
Hello, J'ai recu de leur part plus de 40 emails, et forward d'emails, de la part de mes clients. Du coup, je viens de me fendre d'une réponse: --- Dear DSAV Project, Will you stop spamming us ? Over the last 24 hrs, I have received more than 40 emails from you regarding the ASNs I manage, and many others forwarded from panicking customers who have received your spammy-communication. Your email contains no technical information, except "you are vulnerable to spoofing". You are only cultivating fearness, although I am sure your intentions were good. Now, please, in the future: 1- Give more technical information, such as: - Spoofed IP(v4/v6) address - Traceroute towards the resolver you sent queries - Resolver addresses used 2- Stop spamming. One email for each ASN is enough (and not one for each contact, each address family, etc). Thanks, --- A un moment, c'est bien gentil de chercher à lancer des warning, mais faudrait arrêter d'être spammeur ! Clément Le mardi 13 octobre 2020 à 18:36 +0200, Alarig Le Lay a écrit : > On Tue 13 Oct 2020 15:05:38 GMT, Baptiste Jonglez wrote: > > On avait prévu envoyer des notifications aux réseaux affectés, mais > > ils > > ont été plus rapides que nous ! > > Je pense qu’il reste un créneau à prendre : faire un mail clair, et > ne > pas envoyer trente fois le même > > Déjà ça se branquera moins en face, donc ça sera forcément plus > efficace. > --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [MISC] DSAV Project: sérieux ou scam ?
On Tue 13 Oct 2020 15:05:38 GMT, Baptiste Jonglez wrote: > On avait prévu envoyer des notifications aux réseaux affectés, mais ils > ont été plus rapides que nous ! Je pense qu’il reste un créneau à prendre : faire un mail clair, et ne pas envoyer trente fois le même Déjà ça se branquera moins en face, donc ça sera forcément plus efficace. -- Alarig --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [MISC] DSAV Project: sérieux ou scam ?
Bonjour, Pour information, on a déjà publié plusieurs papiers cette année sur cette problématique, avec exactement la même méthodologie (envoi de requête DNS avec spoof d'adresse source). Le site du projet est là : http://www.closedresolver.com/ L'article de blog : https://blog.apnic.net/2020/10/05/are-you-filtering-for-inbound-spoofed-packets-chances-are-youre-not/ Et les papiers pour les plus motivés : http://www.closedresolver.com/#papers On avait prévu envoyer des notifications aux réseaux affectés, mais ils ont été plus rapides que nous ! On 13-10-20, Stephane Bortzmeyer wrote: > > D’ailleurs, on devrait leur demander qui est leur ISP à cette > > université :) > > Il est logique que les chercheurs en sécurité aient un accès spécial, > permettant des tests rigolos. En réalité, faire ce genre de manip sur les réseaux d'université, c'est trop compliqué, il a fallu trouver autre chose... Baptiste signature.asc Description: PGP signature
Re: [FRnOG] Re: [MISC] DSAV Project: sérieux ou scam ?
En fait ils envoient une requête DNS concernant un domaine dont ils détiennent le NS. Ils regardent pour voir si la requête DNS arrive bien jusqu'au NS du domaine. Le mar. 13 oct. 2020 à 11:49, Paul Rolland (ポール・ロラン) a écrit : > Bonjour, > > On Tue, 13 Oct 2020 10:40:22 +0200 > Stephane Bortzmeyer wrote: > > > On Tue, Oct 13, 2020 at 10:34:44AM +0200, > > David Ponzone wrote > > a message of 10 lines which said: > > > > > J’ai reçu un mail de DSAV Project (venant d'un labo d’une université > > > US dans l’Utah), qui me semble surprenant. > > > D’autres ont reçu un mail de leur part affirmant avoir détecté une > > > faille n’existant à priori pas ? > > > > Ici aussi. Je me bats avec Scapy pour essayer de vérifier leurs > > affirmations. > > C'est quelle partie de l'affirmation que tu cherches a verifier ? > Moi, je lis : "... indicating that our spoofed queries successfully > penetrated the network", et c'est cette partie-la qui m'intrigue... > > Sachant que la source a ete spoofee, peu de chance qu'ils puissent utiliser > les reponses pour verifier que la query a bien penetree... et donc, c'est > quoi la methode de detection ? L'absence d'ICMP "admin filtered" ? > > Paul > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [MISC] DSAV Project: sérieux ou scam ?
Bonjour, On Tue, 13 Oct 2020 10:40:22 +0200 Stephane Bortzmeyer wrote: > On Tue, Oct 13, 2020 at 10:34:44AM +0200, > David Ponzone wrote > a message of 10 lines which said: > > > J’ai reçu un mail de DSAV Project (venant d'un labo d’une université > > US dans l’Utah), qui me semble surprenant. > > D’autres ont reçu un mail de leur part affirmant avoir détecté une > > faille n’existant à priori pas ? > > Ici aussi. Je me bats avec Scapy pour essayer de vérifier leurs > affirmations. C'est quelle partie de l'affirmation que tu cherches a verifier ? Moi, je lis : "... indicating that our spoofed queries successfully penetrated the network", et c'est cette partie-la qui m'intrigue... Sachant que la source a ete spoofee, peu de chance qu'ils puissent utiliser les reponses pour verifier que la query a bien penetree... et donc, c'est quoi la methode de detection ? L'absence d'ICMP "admin filtered" ? Paul --- Liste de diffusion du FRnOG http://www.frnog.org/