incidentrapport
Download
Report
Transcript incidentrapport
Rapport om Spamhausincidenten 20140227
Bakgrund:
Resilans AB hanterar stora block av ip-adresser, detta har utförts av samma personer sedan 90-talet i
olika konstellationer som Sunet/KTHNOC och numera Resilans. Vi var ”last resort” för ip-adresser
i Sverige innan RIPE NCC tog över den rollen. Resilans har ansvaret och kontrollen av registraturen
för multipla /16 och /15-block. Vanligtvis är det enbart Internetoperatörer som har liknande block,
där kunden erhåller ip-adresser och operatören routar nätet åt kund, Resilans är inte en sådan
operatör utan motsvarar mer rollen som RIPE NCC har vid adressdelegeringar.
Det stora flertalet av dessa ip-adresser är delegerade som /24-block (255 ip-adresser per delegering)
till olika instanser som kommersiella företag, landsting och kommuner, myndigheter och andra
organisationer, och används via många olika operatörer.
Spam, massutskick av oönskad e-post, är ett stort problem på nätet. Ett av många sätt att försöka
skydda sig mot detta är att filtrera bort kända spammares ip-adresser. Detta är mycket effektivt
förutsatt att ip-listorna håller hög kvalitet. En stor leverantör av sådana ip-listor är Spamhaus.
Vi tycker att tjänsten som koncept är bra, och den gör nytta när den används på rätt sätt. Om ett
prefix används för att skicka spam, avsiktligt eller oavsiktligt beroende på bristande säkerhet eller
andra orsaker, så ska det prefixet listas via Spamhaus och användare bör ej ta emot mail från de
prefixen.
När en sådan blockering inträffar via Spamhaus och det rör ip-adresser som är delegerade via
Resilans så får vi alltid ett mail om händelsen, och vi agerar alltid på dessa rapporter. Vi kontaktar
den berörda kunden och ber dem agera i frågan, om de ej agerar så kan ip-adresserna återtas från
kunden vilket har skett i flera fall. Resilans policy förbjuder uttryckligen att använda ip-adresserna
för att skicka spam.
Vi har tidigare haft en god relation med Spamhaus, och alltid agerat i enlighet med deras riktlinjer
och rekommendationer för åtgärder omedelbart.
Men 20140227 så blev deras service istället en fullskalig attack mot svenska användare. Spamhaus
beslutade att lägga in stora delar av Resilans ip-adresser i sina blocklistor, följande prefix
drabbades:
192.36.0.0/16
192.71.0.0/16
193.183.96.0/19
194.68.0.0/19
194.71.0.0/16
194.103.0.0/19
samt flera mindre prefix, användare inom dessa block var bland andra:
Resilans AB Box 45 094, 104 30 Stockholm Telefon: 08 - 688 11 80 Fax: 08 - 55 00 21 63 [email protected]
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
Riksrevisionen
Swedish Armed Forces
Swedish Nuclear Fuel and Waste Management Co, SKB
Karlstads Kommun
Boverket
Swedish State Power Board (Vattenfall)
Telefonaktiebolaget LM Ericsson
Oskarshamns Kommun
Linkoping University
Luftfartsverket
Lantmateriverket
Göteborgs kommun
Östhammars kommun
Länsstyrelsen i Norrbottens län
Myndigheten for Samhällsskydd och Beredskap MSB
Täby kommun
Akademiska sjukhuset Uppsala
Chalmers University of Technology
Umeå Universitet
SUNET (Swedish University NETwork)
Stockholms Universitet, DSV
D-GIX Service network (NETNOD)
Royal Institute of Technology
DNS root name server i.root-servers.net
Karolinska Institutet
Saab AB
Försäkringskassan
Statskontoret
Posten
Stockholms läns landsting
Vårdguiden
Strålsäkerhetsmyndigheten
Örnsköldsviks Kommun
Naturvårdsverket
AUTONOMICA DNS-services
IKEA IT AB
Statens Livsmedelsverk
Dagens Nyheter
Vägverket
European Space Agency (ESA)
Volvo Information Technology
SAS
NasdaqOMX
Aftonbladet
NORDUnet
Resilans AB Box 45 094, 104 30 Stockholm Telefon: 08 - 688 11 80 Fax: 08 - 55 00 21 63 [email protected]
•
•
•
•
•
•
Spotify Ltd
Resilans AB
ftp-archive on SUNET
Sveriges Riksbank
Stadsledningskontoret
Statens Jordbruksverk
Samt hundratals andra kunder. Nästan alla var oskyldiga till att skicka spam, eller på något sätt
inblandade i detta. En handfull av prefix som användes av en enda kund användes för att skicka
spam, och baserat på detta beslutade Spamhaus att blockera alla ovanstående prefix. Ip-adresserna
som användes för detta är återtagna från kunden nu.
Agerandet från Spamhaus sida var felaktigt, och vi ifrågasätter om de besitter tillräcklig kunskap
som behövs för att ha ansvaret för blocklistorna de managerar. Vi rekommenderar starkt att
operatörer och användare slutar använda sig av Spamhaus tjänster tills deras brister i tjänsten är
hanterade på ett acceptabelt sätt. Det är orimligt att en extern organisation efter eget godtycke kan
stänga ner svenska myndigheter och företag från att skicka eller ta emot mail så som skedde.
Resilans AB Box 45 094, 104 30 Stockholm Telefon: 08 - 688 11 80 Fax: 08 - 55 00 21 63 [email protected]