Mirek Maj zaprosił mnie dzisiaj do podcastu fundacji bezpieczna cyberprzestrzeń aby skomentować ostatni “komunikat pełnomocnika rządu ds. cyberbezpieczeństwa”.
pozwolę sobie to oświadczenie przytoczyć w całości bo nie jest długie:
W związku z rosnącym zagrożeniem atakami typu DDoS (niedostępność usługi) CSIRT GOV przekazał na przełomie lutego i marca bieżącego roku wytyczne dotyczące działań wyprzedzających mających na celu minimalizację skutków ewentualnego cyberataku.
W związku z kolejnymi informacjami, które wpłynęły do instytucji odpowiedzialnych za cyberbezpieczeństwo, w dniu 23 marca do instytucji administracji państwowej i operatorów infrastruktury krytycznej została przekazana rekomendacja dotycząca wdrożenia ww. wytycznych, tj. zablokowania ruchu z wybranych krajów. Blokada powinna obowiązywać do 27 marca, przy czym, jeżeli zaistnieją ku temu przesłanki, może zostać wydłużona.
W przypadku, gdyby zastosowane środki okazały się niewystarczające, możliwe jest wydanie kolejnych rekomendacji dotyczących działań obronnych, w tym zablokowania całego ruchu pochodzącego spoza terytorium Rzeczypospolitej Polskiej.
inicjatywa zapewne przemyślana. niestety, wbrew pozorom ataki inicjowane przez złych aktorów np. Federacji Rosyjskiej (bo zapewne m.in. o nich chodzi) nie przychodzą z sieci przydzielonych wg. RIPE do Federacji Rosyjskiej, tylko praktycznie z całego świata. w czołówce krajów z których ataki DDoS są inicjowane niezmiennie od lat są Chiny, Stany Zjednoczone, Brazylia i Indie, a z bliższych nam - Niemcy i (tak!) Polska. mam zatem nieodparte wrażenie, że albo idea tak naprawdę nie była do końca przemyślana, albo CSIRT GOV ocenił stopień bezpieczeństwa instytucji administracji państwowej i operatorów infrastruktury krytycznej tak źle, że postanowił dodać tą “warstwę bezpieczeństwa” jako rekomendację ostatniej szansy. może to jednak dać poczucie fałszywego bezpieczeństwa.
w trakcie podcastu rozmawialiśmy też o tym, jak coś takiego “powinno się” zrobić - wspomnieliśmy między innymi o zaletach i wadach realizacji technicznej tego typu blokad w warstwie routingu (BGP Blackholing! ;) choć nie został wymieniony z nazwy) oraz na wszelkiego rodzaju systemach klasy proxy czy NGFW. robiąc takie rzeczy, pamiętajcie jednak proszę, że dostawców informacji o geolokalizacji jest zaledwie paru liczących się i każdy z nich ma jakieś luki. faktycznie zatem, “odfiltrowanie” danego kraju może być tylko zgrubne i zbudować w Was złudne poczucie bezpieczeństwa.
oczywiście, temat ten ma dużo szersze tło.
w wyniku wojny w Ukrainie wywołanej przez Federację Rosyjską, która najpierw rozpętała kampanię bezprecedensowych kłamstw, następnie przejęła Krym (przez chwilę udając, że to nie jej żołnierze), aby w końcu rozpocząć okupację Donbasu, w trakcie której żołnierze Federacji Rosyjskiej zestrzelili cywilny samolot pasażerski mordując 298 osób, codziennie giną ludzie - cywile i żołnierze. pojawiły się w społeczności internetowej koncepcje, żeby zatem Federację Rosyjską i Białoruś (która stała się pionkiem w rękach Kremla, w całości mu podporządkowanym) odciąć w całości od internetu, skasować główne domeny .by i .ru i w końcu - odebrać przydzielone dotychczas przez RIPE prefiksy podmiotom na terenie tych dwóch krajów. i mimo, że Cogent jak i Lumen, dwaj operatorzy dostarczający usługi na terenie Federacji Rosyjskiej wycofali się z ich świadczenia, większość osób uważa, że takie odcinanie będzie fundamentalnym błędem. zgadzam się absolutnie z tą opinią i wystąpiłem nawet z takim komentarzem w dyskusji na forum Internet Society:
We (likely) all feel the same way.
I believe however benefits of free exchange of information - to keep information flowing - is more important than trying to achieve something that will only support Putins plans - isolation from free, verifiable sources of information. Remember, office employees at such “official” organizations are also humans. Some of them will produce propaganda, some of them will try to connect with the external world and look for services and other sources of information. How would you separate “official use” of DNS from “home use” if in Russia everything is anyway controlled and aggregated by number of ISPs under full Duma/Putin control?
Russia already tried separating itself from internet completely, and in the spirit of ISOC, I’d be against trying to make the decision for them now. If you’re asking because of notion of wave of ongoing attacks - they’re spreading from outside of Russian IP address space, active for over 10+ years, and “disabling DNS”, whatever that would actually mean, won’t change that. It will only lead to fragmentation and reinforcement “us vs them” mentality.
The “block” action should be taken (if at all), by IP transit providers. And they’re not yet ready to do that. Pretty universally they believe it would be bad idea exactly because of the fragmentation and isolation it would mean for Russia society.
We’re against madman at the helm, not against Russian Federations society.
wracając jednak do głównego wątku - rozumiem, że część z Was stosuje takie geo filtrowanie “i ilość alarmów spadła”. jestem przekonany, że lepiej jest jednak zabezpieczać swoje rozwiązania, utrzymywać aktualne i w pełni załatane (tak, wiem) aplikacje i usługi, niż liczyć na tak słabe środki (bo trudno to nazwać “zabezpieczeniem”) jakim jest odfiltrowanie na podstawie domniemanego pochodzenia adresu źródłowego.
oczywiście - chętnie poznam Wasze zdanie.