Ο Vincent Canfield, διαχειριστής του μεταπωλητή ηλεκτρονικού ταχυδρομείου και φιλοξενίας cock.li, ανακάλυψε ότι ολόκληρο το δίκτυο IP του προστέθηκε αυτόματα στη λίστα UCEPROTECT DNSBL για σάρωση θυρών από γειτονικές εικονικές μηχανές. Το υποδίκτυο του Vincent συμπεριλήφθηκε στη λίστα Επιπέδου 3, στην οποία ο αποκλεισμός πραγματοποιείται από αυτόνομους αριθμούς συστήματος και καλύπτει ολόκληρα υποδίκτυα από τα οποία ενεργοποιήθηκαν επανειλημμένα ανιχνευτές ανεπιθύμητης αλληλογραφίας και για διαφορετικές διευθύνσεις. Ως αποτέλεσμα, ο πάροχος M247 απενεργοποίησε τη διαφήμιση ενός από τα δίκτυά του στο BGP, αναστέλλοντας ουσιαστικά την υπηρεσία.
Το πρόβλημα είναι ότι οι ψεύτικοι διακομιστές UCEPROTECT, οι οποίοι προσποιούνται ότι είναι ανοιχτοί αναμεταδότες και καταγράφουν προσπάθειες αποστολής αλληλογραφίας μέσω των εαυτών τους, συμπεριλαμβάνουν αυτόματα διευθύνσεις στη λίστα μπλοκ βάσει οποιασδήποτε δραστηριότητας δικτύου, χωρίς να ελέγχουν τη δημιουργία σύνδεσης δικτύου. Μια παρόμοια μέθοδος αποκλειστικής λίστας χρησιμοποιείται επίσης από το έργο Spamhaus.
Για να μπείτε στη λίστα αποκλεισμού, αρκεί να στείλετε ένα πακέτο TCP SYN, το οποίο μπορεί να εκμεταλλευτεί οι εισβολείς. Συγκεκριμένα, δεδομένου ότι δεν απαιτείται αμφίδρομη επιβεβαίωση μιας σύνδεσης TCP, είναι δυνατό να χρησιμοποιηθεί η πλαστογράφηση για την αποστολή ενός πακέτου που υποδεικνύει μια ψεύτικη διεύθυνση IP και να ξεκινήσει η είσοδος στη λίστα μπλοκ οποιουδήποτε κεντρικού υπολογιστή. Κατά την προσομοίωση δραστηριότητας από πολλές διευθύνσεις, είναι δυνατή η κλιμάκωση του αποκλεισμού στο Επίπεδο 2 και στο Επίπεδο 3, τα οποία εκτελούν αποκλεισμό από υποδίκτυο και αριθμούς αυτόνομων συστημάτων.
Η λίστα Επιπέδου 3 δημιουργήθηκε αρχικά για την καταπολέμηση των παρόχων που ενθαρρύνουν την κακόβουλη δραστηριότητα πελατών και δεν ανταποκρίνονται σε παράπονα (για παράδειγμα, φιλοξενία τοποθεσιών που έχουν δημιουργηθεί ειδικά για να φιλοξενούν παράνομο περιεχόμενο ή να εξυπηρετούν ανεπιθύμητα μηνύματα). Πριν από λίγες ημέρες, η UCEPROTECT άλλαξε τους κανόνες για την είσοδο στις λίστες Επιπέδων 2 και Επιπέδου 3, γεγονός που οδήγησε σε πιο επιθετικό φιλτράρισμα και αύξηση του μεγέθους των λιστών. Για παράδειγμα, ο αριθμός των εγγραφών στη λίστα Επιπέδου 3 αυξήθηκε από 28 σε 843 αυτόνομα συστήματα.
Για την αντιμετώπιση του UCEPROTECT, προτάθηκε η ιδέα να χρησιμοποιηθούν πλαστές διευθύνσεις κατά τη σάρωση που υποδεικνύουν IP από το φάσμα των χορηγών της UCEPROTECT. Ως αποτέλεσμα, η UCEPROTECT εισήγαγε τις διευθύνσεις των χορηγών της και πολλών άλλων αθώων στις βάσεις δεδομένων της, γεγονός που δημιούργησε προβλήματα με την παράδοση email. Το δίκτυο CDN της Sucuri συμπεριλήφθηκε επίσης στη λίστα αποκλεισμού.
Πηγή: opennet.ru