[Rejestr] pytanie o jawność adresów IP urzędu

[Marek Zibrow]

W dniu 17 maja 2010 12:16 użytkownik Paweł Krawczyk
<pawel.krawczyk w hush.com> napisał:
> On Mon, 17 May 2010 12:53:01 +0200 Robert Partyka
> <bobson w bobson.pl> wrote:
>
>> Zagrożenie jest oczywiste. Absolutnie podanie wszystkich adresów
>> IP łącznie z zapasowymi jest pod katem bezpieczeństwa kompletna
>> głupotą i powiedzeniem "tu strzelaj".
>
> Jeśli bezpieczeństwo organizacji zależy od niejawności jej adresów
> IP - które są i tak albo jawne (RIPE, DNS) albo łatwe do
> znalezienia (skanowanie) - to ma ona znacznie większy powód do
> zmartwień. Innymi słowy, niejawność adresu IP nie jest narzędziem
> kontroli dostępu.

Bezpieczeństwo organizacji nie powinno zależeć w dużym stopniu od
niejawności jej adresów IP. Oczywiście, że niejawność adresu
_nie_jest_ narzędziem kontroli dostępu ale... w dość oczywisty sposób
może wpływać na _dostępność_. Chodzi o oczywisty rozdział pomiędzy
zautoryzowaniem a samą dostępnością medium autoryzacji. Jak wymyślisz
mi na poczekaniu sposób na rozwiązanie problemu ataków DDoS to proszę
bardzo - podawaj wszystkim adresy IP kogokolwiek. Na razie stwierdzam,
i zastrzegam, że szybko zdania nie zmienię: rozsądny ABI nie powinien
listy adresów nikomu podawać i to niezależnie od tego w jakiego
rodzaju organizacji pracuje.
Sam doskonale wiesz, że nie wszystko znajdziesz w RIPE i DNS. W ogóle
nie wiem czemu podajesz te przykłady. Pracuję dla kilku instytucji i
nazwy żadnej z nich nie znajdziesz w RIPE a przecież mają adresy IP.
Zresztą to wcale nie chodzi o te usługi, których adresy IP łatwo
znaleźć. O adres IP serwera web w ogóle nikt nikogo nie powinien
pytać. Takie adresy są przecież de facto i tak opublikowane. Więc
podawać ich nie trzeba (chyba, że po prostu chcesz być "miły" i robisz
listę celów dla botnetów ;-) ).
Skanowanie _nie_jest_ łatwe. Chyba, że w określonym zakresie. I to też
przy przyjęciu wielu założeń, które w przypadku instytucji
dywersyfikującej przepływ danych staną się bezużyteczne. A zresztą
skanowane cele nie odpowiadają (przynajmniej zazwyczaj) w formie:
"Dzień dobry! Tu adres IP organizacji XYZ. Dodaj mnie do listy."
Jeszcze jedna kwestia: nawet jeśli adresy IP można znaleźć w RIPE, DNS
i skanując to możesz podać realne przesłanki do tego czemu chcesz
ułatwiać w sposób drastyczny pracę złośliwym osobnikom? Niech ktoś
skanuje jak musi - wtedy przynajmniej administrator będzie miał pewne
przesłanki do podjęcia pewnych środków ostrożności.

> Nawiasem mówiąc podejście wynikające ze zdania "dla społeczeństwa
> nie ma znaczenia to czy tamto" jest dość typowe dla pewnej klasy
> specjalistów od bezpieczeństwa, roszczących sobie prawo do
> decydowania co jest istotne dla kogoś innego.

Strasznie mnie zabolało. Rzeczywiście masz pod pewnymi względami
rację, że istnieją dość dziwni cenzorzy informacji, tylko, że
uzasadnij jakie znaczenie ma znajomość adresu IP serwera web w MSWiA
(abstrahuję od tego, że to mogę wiedzieć w 3s)? Przecież istotne jest
aby był, działał i podawał informacje publiczne określone w ustawach i
rozporządzeniach. Przecież i tak wpisuję http://mswia.gov.pl/.
Odwrócę zagadnienie: dla mnie (i przypuszczam, że dla sporej części
społeczeństwa) istotne znaczenie miałoby podanie numeru prywatnej
komórki premiera. Tylko czy ktoś mi ją poda jak zapytam? Czym różni
się dla Ciebie dostępność numeru telefonu od dostępności adresu IP?
Zapominasz, że mówimy o konkretnym przykładzie. KONKRETNYM, kiedy ktoś
chce otrzymać listę WSZYSTKICH adresów IP danej instytucji. To nie
jest śmieszne. To jest po prostu dziwne.

> Marek pracując w
> prywatnej firmie może mieć taki pogląd, w przeciwieństwie do
> urzędnika państwowego pracującego za pieniądze podatnika.

Nie oceniaj mnie przez pryzmat tego, że pracuję w prywatnej firmie.
Równie wiele, a może i więcej, udzielam się w działalności społecznej
i jeśli ktoś mnie zna to doskonale wie jak denerwuje mnie np.
zasłanianie się tajemnicą umów przy badaniu dość wątpliwych np.
rozstrzygnięć przetargów publicznych.
Tutaj mamy jednak do czynienia z ewidentnym przypadkiem ochrony
pieniędzy podatnika przed ich marnotrawieniem. Nie wolno rozsądnemu
ABI podać adresów IP instytucji łącznie z zapasowymi bo stwarza to
ewidentne zagrożenie dla sprawnego przepływu informacji w tej
instytucji. Podam po raz kolejny przykład: podanie numerów telefonów
komórkowych premiera i ministrów spowoduje sparaliżowanie (oczywiście
na pewien czas i w pewnym stopniu) pracy rządu przez typowy, społeczny
DDoS. Czy taki paraliż jest w interesie społeczeństwa?

> Ja tego podejścia nie podzielam i widziałem jego negatywne skutki w
> wielu sytuacjach, począwszy od KSI ZUS (taki sam bzdurny argument o
> bezpieczeństwie) a skończywszy na różnych komercyjnych algorytmach
> szyfrujących, które połamano bez publikacji specyfikacji.

Przykład jest po prostu zły bo to nie ta analogia.

Na koniec powiem:
według mnie podanie wszystkich adresów IP instytucji jest niemądre i
zagraża sprawnemu funkcjonowaniu tej instytucji. ABI ma pełne prawo
uznać tą informację za poufną. Co innego podanie do publicznej
wiadomości informacji ilościowo-kosztowych oraz warunków umów np. z
operatorami i providerami (swoją drogą to większość urzędów tego by
nie chciała podać).
Przesłane do urzędu pytanie jest dziwne, wręcz podejrzane. Być może po
prostu ktoś kto je zadał chce w sposób pośredni udowodnić coś zupełnie
innego, ale na tak zadane pytanie w świetle rozsądku nie wolno
odpowiedzieć, a w świetle obowiązujących przepisów - nie trzeba.

-- 
Marek "Jazon" Zibrow
marek w zibrow.pl