Re: [FRnOG] Re: [MISC] DSAV Project: sérieux ou scam ?
Le mercredi 14 octobre 2020 à 09:49 +0200, Stephane Bortzmeyer a écrit : > C'est un problème classique de l'Internet, toucher les gens qu'il > faut, et tout le monde ici sait bien qu'il n'y a pas de méthode > parfaite (à part arroser tout ce qui contient un @ dans la sortie de > RDAP). > > Ici, les chercheurs allaient publier leurs conclusions. Pas mal de > gens auraient râlé « ils auraient dû prévenir » s'ils n'avaient pas > écrit à assez d'adresses. Leurs conclusions, ca aurait pu être: "Sur ASNs testés, seul 0.5% pratiquent du filtrage ACL a l'entrée, et au bout de X jours après envoi du mail d'information seul 0.9% ont pris les mesures nécessaires" Les gens auraient râlé de quoi ? Un truc du genre ca ? - "On a nous a écrit a x...@domaine.zzz, mais c'est plus à jour !" - "T'avais qu'à maintenir ta base de donnée RIPE a jour, tocard" Bref, c'est de l'enculage de mouches. L'étude est certes, utile, mais je ne vois pas pourquoi, en tant de gestionnaire de réseau, on ralerait sur l'obtention d'un résultat qu'on n'a jamais sollicité. -- Clément Cavadore --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [MISC] DSAV Project: sérieux ou scam ?
Hello, Le mercredi 14 octobre 2020 à 08:41 +0200, Stephane Bortzmeyer a écrit : > On Tue, Oct 13, 2020 at 06:50:34PM +0200, > Clement Cavadore wrote > a message of 56 lines which said: > > > Your email contains no technical information, > > C'est faux. Tu as parfaitement raison. > > 1- Give more technical information, such as: > > - Spoofed IP(v4/v6) address > > Tu es de mauvaise foi : c'était le cas. > > > - Resolver addresses used > > Idem. Tu as tort sur un point: Je ne suis pas de mauvaise foi. Les infos sont effectivement là, dans un lien, bien planqué a la fin du mail (j'aurais préféré dans le corps), mais je ne l'avais vraiment pas vu, pour cause: Quand tu reçois 40x le même e-mail pavé sur plein d'alias différent (hostmaster@, noc@, monmail@, etc), dans lequel, à la fin, tu as un petit lien cliquable, t'as plutot tendance à le survoler et à ne pas cliquer sur les liens de ce que tu peux considérer comme un spam, dans la forme. J'ai lu une fois un des mails reçus, j'ai même expliqué à mes clients, paniqués pour certains, de quoi il s'agissait et ce qu'on pouvait faire, mais c'est tout. Donc, même si effectivement ma réponse contient des trucs erronés, je reste dans l'idée que leur méthode de communication est mauvaise. -- Clément Cavadore --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [MISC] DSAV Project: sérieux ou scam ?
On Wed 14 Oct 2020 08:41:57 GMT, Stephane Bortzmeyer wrote: > On Tue, Oct 13, 2020 at 06:50:34PM +0200, > Clement Cavadore wrote > a message of 56 lines which said: > > > Your email contains no technical information, > > C'est faux. > > > 1- Give more technical information, such as: > > - Spoofed IP(v4/v6) address > > Tu es de mauvaise foi : c'était le cas. > > > - Resolver addresses used > > Idem. Planqué au fin fond d’un paragraphe tout à la fin du mail qui commence par « regardez à quelle conf on a été accepté », donc que j’avais pour ma part entièrement zappé, j’en ai rien à fiche de leurs confs. -- Alarig --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [MISC] DSAV Project: sérieux ou scam ?
On Wed 14 Oct 2020 08:40:58 GMT, Stephane Bortzmeyer wrote: > On Tue, Oct 13, 2020 at 06:36:27PM +0200, > Alarig Le Lay wrote > a message of 17 lines which said: > > > Je pense qu’il reste un créneau à prendre : faire un mail clair, > > Le message des Mormons (qu'il ne faut pas confondre avec les Amish) > était très clair. J'ai plutôt l'impression que beaucoup de gens se > sont contentés de le survoler avant de râler sur FRnog (liste > d'habitude de haute tenue, et où on ne râle jamais). Ah non, il était pas clair *du tout* leur mail. C’était un gros pavé imbittable que j’ai classé dans « on verra plus tard, ça a l’air intéressant, mais là j’ai beaucoup trop d’autres mails à dépiler » Puis en ayant reçu 29 mails identiques, ils ont été classé en « ils m’emmerdent, je vais les envoyer se faire foutre et bisous bonsoir ». Le lien envoyé par Baptise lui était clair, par contre. -- Alarig --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [MISC] DSAV Project: sérieux ou scam ?
On Tue, Oct 13, 2020 at 06:50:34PM +0200, Clement Cavadore wrote a message of 56 lines which said: > Your email contains no technical information, C'est faux. > 1- Give more technical information, such as: > - Spoofed IP(v4/v6) address Tu es de mauvaise foi : c'était le cas. > - Resolver addresses used Idem. --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [MISC] DSAV Project: sérieux ou scam ?
On Tue, Oct 13, 2020 at 06:36:27PM +0200, Alarig Le Lay wrote a message of 17 lines which said: > Je pense qu’il reste un créneau à prendre : faire un mail clair, Le message des Mormons (qu'il ne faut pas confondre avec les Amish) était très clair. J'ai plutôt l'impression que beaucoup de gens se sont contentés de le survoler avant de râler sur FRnog (liste d'habitude de haute tenue, et où on ne râle jamais). --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [MISC] DSAV Project: sérieux ou scam ?
Hello, J'ai recu de leur part plus de 40 emails, et forward d'emails, de la part de mes clients. Du coup, je viens de me fendre d'une réponse: --- Dear DSAV Project, Will you stop spamming us ? Over the last 24 hrs, I have received more than 40 emails from you regarding the ASNs I manage, and many others forwarded from panicking customers who have received your spammy-communication. Your email contains no technical information, except "you are vulnerable to spoofing". You are only cultivating fearness, although I am sure your intentions were good. Now, please, in the future: 1- Give more technical information, such as: - Spoofed IP(v4/v6) address - Traceroute towards the resolver you sent queries - Resolver addresses used 2- Stop spamming. One email for each ASN is enough (and not one for each contact, each address family, etc). Thanks, --- A un moment, c'est bien gentil de chercher à lancer des warning, mais faudrait arrêter d'être spammeur ! Clément Le mardi 13 octobre 2020 à 18:36 +0200, Alarig Le Lay a écrit : > On Tue 13 Oct 2020 15:05:38 GMT, Baptiste Jonglez wrote: > > On avait prévu envoyer des notifications aux réseaux affectés, mais > > ils > > ont été plus rapides que nous ! > > Je pense qu’il reste un créneau à prendre : faire un mail clair, et > ne > pas envoyer trente fois le même > > Déjà ça se branquera moins en face, donc ça sera forcément plus > efficace. > --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [MISC] DSAV Project: sérieux ou scam ?
On Tue 13 Oct 2020 15:05:38 GMT, Baptiste Jonglez wrote: > On avait prévu envoyer des notifications aux réseaux affectés, mais ils > ont été plus rapides que nous ! Je pense qu’il reste un créneau à prendre : faire un mail clair, et ne pas envoyer trente fois le même Déjà ça se branquera moins en face, donc ça sera forcément plus efficace. -- Alarig --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [MISC] DSAV Project: sérieux ou scam ?
Bonjour, Pour information, on a déjà publié plusieurs papiers cette année sur cette problématique, avec exactement la même méthodologie (envoi de requête DNS avec spoof d'adresse source). Le site du projet est là : http://www.closedresolver.com/ L'article de blog : https://blog.apnic.net/2020/10/05/are-you-filtering-for-inbound-spoofed-packets-chances-are-youre-not/ Et les papiers pour les plus motivés : http://www.closedresolver.com/#papers On avait prévu envoyer des notifications aux réseaux affectés, mais ils ont été plus rapides que nous ! On 13-10-20, Stephane Bortzmeyer wrote: > > D’ailleurs, on devrait leur demander qui est leur ISP à cette > > université :) > > Il est logique que les chercheurs en sécurité aient un accès spécial, > permettant des tests rigolos. En réalité, faire ce genre de manip sur les réseaux d'université, c'est trop compliqué, il a fallu trouver autre chose... Baptiste signature.asc Description: PGP signature
[FRnOG] RE: [MISC] DSAV Project: sérieux ou scam ?
Exact, my bad pour l'imprécision. La manière dont ils expliquent qui est vraiment imbitable mine de rien... ! -- Jean-Philippe GUIOT -Message d'origine- De : Stephane Bortzmeyer Envoyé : mardi 13 octobre 2020 11:08 À : GUIOT Jean-Philippe Cc : 'Frnog misc' Objet : Re: [MISC] DSAV Project: sérieux ou scam ? On Tue, Oct 13, 2020 at 10:41:51AM +0200, GUIOT Jean-Philippe wrote a message of 34 lines which said: > Si j'ai bien compris la faille, il ne "faut" pas autoriser les > récursions depuis ses propres IP externes/d'AS. Pas du tout. Évidemment qu'on autorise la récursion pour ses propres adresses. Ce qu'il ne faut pas autoriser, ce sont des paquets *entrants* qui ont une adresse IP source *interne*. --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [MISC] DSAV Project: sérieux ou scam ?
On Tue, Oct 13, 2020 at 12:05:48PM +0200, David Ponzone wrote a message of 8 lines which said: > > Aucun besoin que le nom existe. > > La vache, je n’ai vraiment pas cette tournure d’esprit, je n’aurais > jamais pu être hacker ou anti-hacker :) C'est plutôt l'expérience des réunions OARC et d'avoir lu plein d'articles de chercheurs faisant des scans rigolos. --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [MISC] DSAV Project: sérieux ou scam ?
> Le 13 oct. 2020 à 12:00, Stephane Bortzmeyer a écrit : > > Aucun besoin que le nom existe. La vache, je n’ai vraiment pas cette tournure d’esprit, je n’aurais jamais pu être hacker ou anti-hacker :) --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [MISC] DSAV Project: sérieux ou scam ?
On Tue, Oct 13, 2020 at 11:55:41AM +0200, David Ponzone wrote a message of 35 lines which said: > ton résolveur va aller interroger leur autoritaire (si c’est dans > aucun cache), Pour éviter de taper dans le cache, la requête contient un nombre aléatoire, et un encodage de l'adresse IP du résolveur. > Je suppose qu’ils ont créé de entrées random dans une zone pour être > sûr de pas être en cache. Aucun besoin que le nom existe. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [MISC] DSAV Project: sérieux ou scam ?
En fait ils envoient une requête DNS concernant un domaine dont ils détiennent le NS. Ils regardent pour voir si la requête DNS arrive bien jusqu'au NS du domaine. Le mar. 13 oct. 2020 à 11:49, Paul Rolland (ポール・ロラン) a écrit : > Bonjour, > > On Tue, 13 Oct 2020 10:40:22 +0200 > Stephane Bortzmeyer wrote: > > > On Tue, Oct 13, 2020 at 10:34:44AM +0200, > > David Ponzone wrote > > a message of 10 lines which said: > > > > > J’ai reçu un mail de DSAV Project (venant d'un labo d’une université > > > US dans l’Utah), qui me semble surprenant. > > > D’autres ont reçu un mail de leur part affirmant avoir détecté une > > > faille n’existant à priori pas ? > > > > Ici aussi. Je me bats avec Scapy pour essayer de vérifier leurs > > affirmations. > > C'est quelle partie de l'affirmation que tu cherches a verifier ? > Moi, je lis : "... indicating that our spoofed queries successfully > penetrated the network", et c'est cette partie-la qui m'intrigue... > > Sachant que la source a ete spoofee, peu de chance qu'ils puissent utiliser > les reponses pour verifier que la query a bien penetree... et donc, c'est > quoi la methode de detection ? L'absence d'ICMP "admin filtered" ? > > Paul > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [MISC] DSAV Project: sérieux ou scam ?
Bonjour, On Tue, 13 Oct 2020 10:40:22 +0200 Stephane Bortzmeyer wrote: > On Tue, Oct 13, 2020 at 10:34:44AM +0200, > David Ponzone wrote > a message of 10 lines which said: > > > J’ai reçu un mail de DSAV Project (venant d'un labo d’une université > > US dans l’Utah), qui me semble surprenant. > > D’autres ont reçu un mail de leur part affirmant avoir détecté une > > faille n’existant à priori pas ? > > Ici aussi. Je me bats avec Scapy pour essayer de vérifier leurs > affirmations. C'est quelle partie de l'affirmation que tu cherches a verifier ? Moi, je lis : "... indicating that our spoofed queries successfully penetrated the network", et c'est cette partie-la qui m'intrigue... Sachant que la source a ete spoofee, peu de chance qu'ils puissent utiliser les reponses pour verifier que la query a bien penetree... et donc, c'est quoi la methode de detection ? L'absence d'ICMP "admin filtered" ? Paul --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [MISC] DSAV Project: sérieux ou scam ?
> Le 13 oct. 2020 à 11:33, Stephane Bortzmeyer a écrit : > > > J'ai testé avec OVH, Free et Gandi (ainsi que Linode) et tous filtrent > (à juste titre) les paquets IPv6 dont l'adresse IP source est > usurpée. (C'est une bonne nouvelle.) Amen filtre en v4. Pas testé v6. J’ai fait un petit mail au labo de BYU leur demander un test en live pour m’aider à comprendre par où ça rentre, on va voir si ça répond ou s’ils font les morts. --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [MISC] DSAV Project: sérieux ou scam ?
On Tue, Oct 13, 2020 at 11:33:51AM +0200, Stephane Bortzmeyer wrote a message of 32 lines which said: > J'ai testé avec OVH, Free et Gandi (ainsi que Linode) et tous filtrent > (à juste titre) les paquets IPv6 dont l'adresse IP source est > usurpée. Ah, je n'ai reçu des rapports que pour IPv6 mais apparemment ils en envoient aussi pour IPv4. --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [MISC] DSAV Project: sérieux ou scam ?
On Tue, Oct 13, 2020 at 11:24:30AM +0200, David Ponzone wrote a message of 23 lines which said: > Evidemment, pas facile de vérifier parce qu’il faut avoir accès à > une machine qqpart chez un fournisseur qui fait pas du tout de SAV > en egress. J'ai testé avec OVH, Free et Gandi (ainsi que Linode) et tous filtrent (à juste titre) les paquets IPv6 dont l'adresse IP source est usurpée. (C'est une bonne nouvelle.) J'ai trouvé un hébergeur qui ne filtre pas, mais seuls les paquets ICMP usurpés passent, pas UDP (donc je n'ai pas pu tester en DNS). Bref, pour tester, vous utilisez un compte chez un hébergeur non-filtrant (pas facile à trouver) et vous lancez Scapy avec : i = IPv6() i.src = "Une adresse IPv6 à vous" i.dst = "Une cible chez vous" ic = ICMPv6EchoRequest() sr1(i/ic) Si, sur la cible, tcpdump montre que le paquet est arrivé, c'est que vous avez un problème. > D’ailleurs, on devrait leur demander qui est leur ISP à cette > université :) Il est logique que les chercheurs en sécurité aient un accès spécial, permettant des tests rigolos. --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [MISC] DSAV Project: sérieux ou scam ?
C’est ça mon problème, parce que j’ai bien de la SAV sur tous mes ingress. Evidemment, pas facile de vérifier parce qu’il faut avoir accès à une machine qqpart chez un fournisseur qui fait pas du tout de SAV en egress. D’ailleurs, on devrait leur demander qui est leur ISP à cette université :) > Le 13 oct. 2020 à 10:40, Stephane Bortzmeyer a écrit : > > On Tue, Oct 13, 2020 at 10:34:44AM +0200, > David Ponzone wrote > a message of 10 lines which said: > >> J’ai reçu un mail de DSAV Project (venant d'un labo d’une université >> US dans l’Utah), qui me semble surprenant. >> D’autres ont reçu un mail de leur part affirmant avoir détecté une faille >> n’existant à priori pas ? > > Ici aussi. Je me bats avec Scapy pour essayer de vérifier leurs > affirmations. --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [MISC] DSAV Project: sérieux ou scam ?
On Tue, Oct 13, 2020 at 10:41:51AM +0200, GUIOT Jean-Philippe wrote a message of 34 lines which said: > Si j'ai bien compris la faille, il ne "faut" pas autoriser les > récursions depuis ses propres IP externes/d'AS. Pas du tout. Évidemment qu'on autorise la récursion pour ses propres adresses. Ce qu'il ne faut pas autoriser, ce sont des paquets *entrants* qui ont une adresse IP source *interne*. --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [MISC] DSAV Project: sérieux ou scam ?
On Tue, Oct 13, 2020 at 10:34:44AM +0200, David Ponzone wrote a message of 10 lines which said: > J’ai reçu un mail de DSAV Project (venant d'un labo d’une université > US dans l’Utah), qui me semble surprenant. > D’autres ont reçu un mail de leur part affirmant avoir détecté une faille > n’existant à priori pas ? Ici aussi. Je me bats avec Scapy pour essayer de vérifier leurs affirmations. --- Liste de diffusion du FRnOG http://www.frnog.org/
