Jak informuje Niebezpiecznik, Hubert, który jest freelancerem i sprzedaje różne rzeczy w internecie, w ostatni piątek kupił sobie trzy domeny, w tym „gmail-poczta.pl” (o którą poszło). Skonfigurował też dla nich DNS w Cloudflare i postawił znanego webmaila Roundcube na swoim serwerze w Contabo.

I jak się okazało w niedzielę, to był błąd – Hubert dostał bowiem takiego maila od Contabo (które z kolei dostało maila od CERT Polska):

We would appreciate your immediate attention to this matter.

Original complaint from “operator43 via RT” cert@cert.pl
Subject: [CERT.PL #1873617] [phishing] hosted on 62.171.140.36: targeting webmail
> Dear Sir/Madam,
> we are the Computer Security Incident Response Team CERT Polska. You have received this message, because you are the WHOIS contact for the network mentioned below. This message is intended for the person responsible for computer security at your site. If this is not the correct address, please forward this message to the appropriate one.
> We have detected phishing content hosted on 62.171.140.36, accessible with following URLs:
> http://gmail-poczta.pl
> This is a fake website with the intent of committing fraud against the organization webmail and/or its users.
> We kindly ask you to verify this problem in secure environment and block the phishing website.
> We would also appreciate a reply that the problem has been resolved.
> Best regards,
> CERT Polska
> www.cert.pl/en/

Tak, dobrze widzicie. CERT Polska pozwolił sobie na odgórne stwierdzenie „We have detected phishing content” i „This is a fake website with the intent of committing fraud” wobec czyichś domen i serwerów wirtualnych tylko na podstawie własnych domniemań, wysnutych na podstawie tego, że Hubert zarejestrował domenę na nie swoje dane, bez jakiejkolwiek próby kontaktu i wysłuchania jego wersji.

Dodajmy w tym miejscu, że całkowicie normalną praktyką biznesową jest, działając w czyimś imieniu jako obsługa IT, rejestrowanie domen nie bezpośrednio na siebie, a na dane np.:

• projektu (w tym takiego, gdzie formalna rejestracja podmiotu może być dopiero w toku, co jest jak najbardziej legalne i często praktykowane dla nowych domen)
• klienta (których przecież może obsługiwać wielu różnych – autor tych słów przez ostatnie 19 lat osobiście zarejestrował tak setki różnych domen dla bardzo różnych klientów, obsługiwanych na podstawie bardzo różnie skonstruowanych umów, albo po prostu w ramach współpracy „na gębę”, dawniej zwanej też zaufaniem)
• dowolne inne, w różnych specyficznych sytuacjach (projekty satyryczne, honeypoty, kampanie społeczne, wywiad gospodarczy poza polską jurysdykcją, SEO, albo chociażby takie coś – gdzie dane mogą wyglądać dziwnie na pierwszy rzut oka, ale nadal mieści się to w granicach polskiego prawa)

„Customer Is King” – serio?

Co zrobiło Contabo po tak sformułowanym oskarżeniu? Dobrze się domyślacie. Też nie podjęło ani próby kontaktu z klientem, ani nawet samodzielnej próby weryfikacji, czy np. na koncie leżą jakiekolwiek pliki związane z (możliwym) phishingiem czy inną przestępczością, tylko od razu zablokowało mu konto.

Niekompetencja CERTu i Contabo sprawiła, że w chwili obecnej kilkanaście moich stron leży. Teraz nie mam do nich dostępu ([ani] kodów źródłowych nawet jakbym chciał przenieść pliki). Siedzę i czekam na jakąś reakcję ale jak wiadomo, zepsuć coś łatwo ale naprawić już nie. Oczywiście wraz z moimi żalami wysłałem również wezwanie do zapłaty na kwotę 1000pln, do tego momentu cisza.

I tak dochodzimy do pytania z początku artykułu. Otóż schwytany przez mundurowych morderca, gwałciciel, lub inny przestępca, zgodnie z art. 313 § 1. Kodeksu postępowania karnego, niezależnie od tego, czego się dopuścił, ma prawo do przesłuchania i przedstawienia swojej wersji, zanim zostanie zamknięty.

Natomiast polski przedsiębiorca, który nie jest dużą i znaną firmą, a po prostu nieznanym szerzej freelancerem, w starciu z CERT Polska, albo większą firmą hostingową, nie ma żadnych praw i nie jest o nic pytany. Po prostu dowiaduje się post factum, że jego usługi (które przecież mogą obsługiwać dziesiątki lub setki klientów!) nagle przestały działać.

Bez wcześniejszego ostrzeżenia i bez głębszej weryfikacji. Ot po prostu wybrana przez niego nazwa jakiejś domeny pechowo „wpada” na czyjeś wyrażenie regularne, służące do walki z przestępczością, a cała reszta dzieje się już niemal automatycznie – a nawet jeśli częściowo ręcznie, to bez niczyjej głębszej refleksji.

Czy naprawdę tak to powinno wyglądać?

CERT Polska następująca uzasadnia swoje podejście:

Według naszych danych, liczba tego typu sytuacji jest jednak bardzo niewielka (poniżej 0,1%).

Czy jednak niski odsetek fałszywych podejrzeń uzasadnia potencjalne zniszczenie komuś biznesu?

Przecież całkowicie normalną i częstą praktyką w drobnym biznesie jest obsługa wielu klientów z poziomu pojedynczego konta hostingowego – i nie musi to być popularne w USA konto typu Reseller, a wręcz w Polsce większość dużych dostawców hostingu w ogóle takich kont nie udostępnia.

Co za tym idzie, blokada „jednego konta” oznacza tak naprawdę:

• blokadę kilkunastu, kilkudziesięciu lub nawet kilkuset różnych domen, rejestrowanych w imieniu różnych klientów
• blokadę dostępu do danych zgromadzonych na koncie – kodów źródłowych stron, baz danych, backupów
• zniszczenie reputacji przedsiębiorcy w oczach jego klientów

A jak to może wyglądać, gdy komuś się chce?

Jak pewnie zauważyliście, kręcą nas w PAYLOAD różne kontrowersyjne tematy, jak i kontrowersyjne projekty. Legalne (i tego się trzymamy!), ale kontrowersyjne. W związku z tym:

• zdarzało nam się otrzymywać zapytania „abuse” (polskie i zagraniczne)
• zdarzało nam się zeznawać na policji ws. różnych klientów, czy nawet własnych projektów (ot np. Funkcjonariusz, gdzie policja musiała wyjaśniać sprawę po czyimś złośliwym doniesieniu)
• zdarzało nam się nawet wyłapywać blokady różnych domen i kont hostingowych, prowadzonych w czyimś imieniu
• a nawet zdarzało nam się celowo kupować domeny „z historią” (w większości używane wcześniej przez służby w atakach Pegasusem) i potem robić na nich marketing oparty właśnie na tej historii

Jednak zawsze mieliśmy to szczęście być „obsługiwanymi” przez kompetentne osoby, którym się chciało. I zawsze miał miejsce etap wcześniejszej rozmowy (luźnej lub bardziej formalnej), podczas której wszystko dokładnie wyjaśnialiśmy, czasem nawet rozrysowując szczegóły (np. zależności między wieloma kontami i klientami) dla lepszego zrozumienia.

Dzięki czemu albo „dalszego ciągu” danej sprawy w ogóle nie było, albo jeśli był, to dotyczył wyłącznie konkretnego klienta i punktowo związanych z nim usług – nigdy całego konta, całego serwera itp.

I tak właśnie powinny postąpić zarówno CERT Polska jak i Contabo:

• ręczna ocena pilności bezpośredniego zagrożenia dla użytkowników (inaczej należy reagować, jeśli „już” widać np. konkretny, mający właśnie miejsce phishing, a inaczej jeśli go „jeszcze” nie widać, albo wręcz są tylko jakieś ogólne podejrzenia, jak w przypadku Huberta)
• próba kontaktu z klientem
• próba wyjaśnienia, o co chodzi w danej sprawie, oraz czy to jego własne przedsięwzięcie, czy w ramach obsługi jakiegoś klienta
• próba dogadania najlepszego sposobu rozwiązania problemu (o ile po wyjaśnieniu nadal jest problem do rozwiązania) – np. że klient w ciągu godziny sam zablokuje wybraną domenę
• dopiero jeśli to nie pomoże, ustalenie możliwie najmniej dolegliwego dla klienta sposobu odgórnego rozwiązania problemu (np. zablokowanie domeny, a w przypadku firmy hostingowej zablokowanie tylko wybranego katalogu albo przekierowania, zamiast całej usługi hostingowej)

Standardy!

Wyżej wielokrotnie odwołaliśmy się do tego, że komuś się „chce” albo „nie chce”. My zawsze mieliśmy szczęście, ale to nie powinno tak funkcjonować. To nie powinna być kwestia ani szczęścia, aby czyjegoś chciejstwa.

Jeśli ktoś (np. CERT Polska) chce walczyć z przestępczością w Internecie, może powinien zacząć wzorować swoje zasady działania na sprawdzonych od wielu lat mechanizmach prawa karnego, w szczególności na Kodeksie postępowania karnego. Ta fascynująca i inspirująca lektura opisuje zasady postępowania wobec podejrzewanych osób na różnych etapach postępowania, w zależności od:

• wagi czynu (skali oddziaływania, szkodliwości społecznej itp.)
• pilności rozwiązania trwającego w danej chwili problemu
• możliwości pilnego skontaktowania się z daną osobą
• szacowanego ryzyka, że (pomimo jakichś wstępnych dowodów) możemy mieć do czynienia z fałszywym alarmem, pomyłką, albo wręcz celowym matactwem osoby zgłaszającej i podającej się za ofiarę

W szczególności warto kilka razy przeczytać sobie art. 5 KPK, a (dla chętnych) również materiały podlinkowane na tej stronie…

Ciąg dalszy nastąpił

Już po publikacji artykułu na Niebezpieczniku, Contabo odblokowało Hubertowi jego serwer – nadal jednak idąc po linii najmniejszego oporu:

Dear Hubert, Thank you for your reply. We have unsuspended your VPS. Please immediately start the investigation and take adequate action to stop the server misuse. It is required that you solve the problem within the next 12 hours, and that we receive your reply within this period, too. Your reply must contain all information which enable us to understand exactly which measures you took to stop the abuse and prevent such or similar incidents in the future. We will suspend VPS access once again if there is no solution and response from you within the given time frame. If so, we will have to charge another reactivation fee.

Oczywiście żądanie, aby to klient przeprowadził dochodzenie na własnym serwerze hostingowym, ma sens. Słabe natomiast jest grożenie ponownym zablokowaniem całego serwera w sytuacji, gdy dostawca usług ma narzędzia (choćby na poziomie sieci) do tego, aby wprowadzić blokadę bardziej punktową, która będzie dotyczyć tylko konkretnego projektu lub klienta.

Tak właśnie wygląda „Customer Is King” w wykonaniu Contabo…

Na koniec, Hubertowi życzymy szybkiego rozwiązania sprawy i jak najmniejszych szkód wizerunkowych wobec jego klientów. A na przyszłość także znalezienia bardziej przyjaznego swoim klientom dostawcy usług hostingowych…