[Nlnog] Wat doet u in mijn computer?

Steven Bakker steven.bakker at ams-ix.net
Fri May 16 08:53:21 UTC 2003 

On Fri, 2003-05-16 at 09:34, Raymond Dijkxhoorn wrote:

> Er is een nieuwe brakke versie van een of ander Norton product in omloop, 
> sinds en paar dagen krijg ik een stuk meer van dit soort no-no mails van 
> /dumbbass users. De meeste zijn vermoedelijk een jaar of 10 (of hebben in 
> ieder geval het denkniveau wat daaraan equivalent is) want veel meer als 
> 3 scheldwoorden staat er meestal niet in de mails.

Ah eindelijk, dit is het sein om mijn gal ook eens te spuien....

Wij krijgen meestal klachten van mensen die denken dat ICMP unreachable
een _heel_ gevaarlijk pakket is. Het gaat ongeveer zo:

        Brakke Firewall (BF) ziet vreemd pakket

        BF denkt zijn luser te helpen door het netwerk in de RIPE
        database op te zoeken.
        
        Helaas heeft BF blijkbaar hardcoded IP adressen, en 1 of meer
        van deze adressen zijn niet meer geldig.
        
        De RIPE router op het AMS-IX lan stuurt braaf een ICMP Host
        Unreachable terug.
        
        BF ziet dit en, oh jee, paniek! We worden gehackt door de RIPE
        router.
        
        Source adres van de ICMP is die van het AMS-IX interface
        
... waarna ze ons beschuldigen van hack pogingen. Afhankelijk van de
toon van hun mail willen we daar nog wel eens met een zekere mate van
beleefdheid op reageren.

Het mooiste was nog wel een telefoontje wat ik ongeveer een jaar geleden
kreeg. De man was erg boos, wist ook zeker dat WIJ hem aan het hacken
waren en we moesten er maar onmiddellijk mee ophouden. Dat ging ongeveer
zo:

luser: Willen jullie onmiddellijk ophouden met mijn computer te hacken!?
SB: Meneer, wij hacken niemand. Kunt u bewijzen geven dat wij u hacken?
luser: Ik zie het op mijn computer scherm!
SB: Wat ziet u op uw scherm? Wat voor meldingen krijgt u?
    Wat voor adressen ziet u?
luser: Wacht even... Ah, A-m-s-i-x, W-e-s-t-e-i-n-d-e 12, ....

:-D

... Nou ja, vanaf dat moment ging het gesprek alleen maar bergafwaarts.
Hij eindigde met het dreigement dat hij ons dan wel even zou terughacken
en "dan zou er helemaal geen AMS-IX meer zijn." Ik legde hem fijntjes
uit dat dergelijke activiteiten illegaal zijn en wij dan ook genoodzaakt
zouden zijn om justitie in te schakelen. Verder wenste ik hem veel
succes voor ik de verbinding verbrak.

Misschien is het volgende een idee:
        ==> Wat doet u in mijn computer?
        <== Porno verzameling doorsturen aan je moeder.

Maar waar ik echt helemaal niets mee kan zijn lusers die spam ontvangen,
een traceroute doen en vervolgens het AMS-IX peering lan ergens in het
midden van de trace zien verschijnen en ons vervolgens beschuldigen van
het upstream leveren aan spammers. Het concept L2 exchange is niet in
die stugge koppen te rammen (los van het feit dat een traceroute in dit
geval volkomen nutteloos is). En zelfs al zouden we iets kunnen doen:
moeten we AMS-IX lid afsluiten omdat een volslagen vreemde beweert dat
een klant {van een klant}* van een AMS-IX lid spam stuurt...? Please
hold while I put on my special Law Suit :-)

Het schijnt dat 193.148.15.0/24 inmiddels al in een aantal blackhole
lists voorkomt. Dat geeft niks natuurlijk, totdat we het teruggeven aan
RIPE en weer wordt uitgegeven aan een of andere arme donder. :-/

Steven

More information about the NLNOG mailing list