A janë ISP-të kompetentë?

Ky artikull është gjithashtu në dsipozicion në Anglisht

⚠️ Përgjegjësia: I gjithë ky artikull është mendimi im si ekspert në IT, i bazuar në mirëbesim që këto ISP do të rregullojnë realisht problemet që kam përmendur këtu.

Në ditët e sotme, ne varemi nga interneti për gjithçka. Nga argëtimi në telefonat tanë, te puna në kompjuterë, ndezja e dritave, rregullimi i kondicionerëve, dhe tani edhe përditësimi i makinave tona përmes internetit, duket se një lidhje me rrjetin është thuajse e domosdoshme.

Pra, a i beson njerëzve që ta ofrojnë këtë nevojë? Unë për vete, kurrsesi (por kjo sepse kam probleme me besimin – ti je krejt në rregull). Në Kosovë, shumica e inxhinierëve të rrjetit janë më të vjetër se babai im, ndërsa të rinjtë që realisht dinë çfarë bëjnë në këtë kohë moderne janë në pozita të ulëta ku nuk kanë aspak autoritet.

Sot do të flas për disa "keqkonfigurime" në infrastrukturën e ofruesve kryesorë të internetit në Kosovë, të cilat janë të ndjeshme ndaj sulmeve shumë primitive të tipit DOS/DDOS.

Megjithatë, fillimisht dua t’i jap meritat aty ku duhen. Kam kontaktuar secilin ISP, dhe vetëm Telkos është përgjigjur. Administratori i tyre, që identifikohej si “YK”, më është përgjigjur për më pak se 30 minuta – dhe duhet ta them, mbeta i impresionuar.

"YK" fillimisht më tha se tani që u zbulova, do ta dinë kush ka prekur serverët e tyre – një shaka që nuk e prisja aspak, dhe që më bëri të qesh shumë, ishte e papritur dhe miqësore.

Pasi u prezantova, ai menjëherë i përcolli shqetësimet e mia tek ekipi i inxhinierëve, gjë që ishte veprimi i duhur në këtë rast.

Por duhet ta them: duket se ekipi i inxhinierëve ka qenë në gjumë, sepse tani pas 3 ditësh nuk kam parë asnjë ndryshim. I shkretë administratori, ishte aq i zoti – vetëm që inxhinierët t’ia injorojnë krejt përpjekjen.

Me këtë, le të fillojmë. Po shpresoj vetëm të mos më telefonojnë apo trokasë policia lokale, duke menduar se jam ndonjë haker i frikshëm dhe i rrezikshëm.

Shpjegime

Para se të fillojmë me çfarëdo gjëje tjetër, duhet të shpjegoj disa terma:

ISP – ISP qëndron për “internet service provider” apo ofrues i shërbimit të internetit. Është kompania që të jep lidhjen tënde me internetin.

DoS – DoS qëndron për “denial of service” (mohim shërbimi). Është një sulm shumë primitiv që ekziston që nga fillimi i internetit. Konsiston në atë që një kompjuter spam-on ("përmbytë") një kompjuter tjetër (zakonisht një server) me kërkesa të rrjetit, gjë që bën që serveri të mos ketë burime për të përgjigjur ndaj trafikut të rregullt dhe legjitim. Mendoje si një bisedë telefonike – mund të flasësh shumë mirë me një mik një për një, apo jo? Tani shto pak muzikë me zë të lartë, ndoshta edhe pak erë... nuk e dëgjon më mirë mikun, apo jo? Kështu funksionon DoS.

DDoS – DDoS është njësoj si DoS, por “Distributed” – prandaj ka një D shtesë në fillim. Inxhinierët shumë shpejt e shpikën “rate-limiting”, që në thelb do të thotë të kufizosh sasinë e trafikut që një kompjuter mund të dërgojë në serverin tënd. Kështu lindi DDoS. DDoS përdor shumë kompjuterë, zakonisht të shpërndarë nëpër botë apo një rajon, për të sulmuar një server të vetëm. (Tani mund të mendosh “Po prit, a nuk do të ishte shumë e shtrenjtë kjo?”, po, do të ishte, mirëpo këta kompjuterë që kryejnë sulmin zakonisht janë të njerëzve të zakonshëm që thjesht kanë shkarkuar dhe hapur një virus në PC-në e tyre.)

Duke u kthyer te shembulli ynë me thirrjen telefonike, imagjinoje që tani është një telefonatë grupore, një takim në Zoom! Dhe në vend të një personi që flet pa kuptim, tani ke 1000 veta që bërtasin, lëshojnë muzikë etj. Mendon se mund të flasësh normalisht me ndonjërin prej tyre, edhe nëse dikush përpiqet të ketë një bisedë normale me ty?

Pra, kush është i prekur?

Më poshtë është një listë e ISP-ve të prekur, të renditur nga më i rëndi tek më i lehti:

• Telkos
• Ipko
• ArtMotion
• Vala
• Kujtesa (*)

Tani, mund të vëreni që Kujtesa ka një yll pranë emrit të saj – kjo sepse gjatë kërkimit tim, pothuajse nuk gjeta asgjë. Do ta shpjegoj më vonë në detaje.

Ndoshta më e rëndësishmja nga të gjitha: ju si përdorues NUK jeni të prekur fare nga këto probleme (të paktën jo ende).

Detaje, aq shumë detaje

Tani ndoshta je kurioz për detajet reale – dhe jam këtu për t’i treguar të gjitha.

Ajo që bëra ishte të gjej adresat PUBLIKE të ekspozuara përmes një skanimi të thjeshtë (dhe kur them të thjeshtë, e kam fjalën për të thjeshtë) të nënrrjeteve IP të tyre.

Pse ka rëndësi kjo?

Një adresë IP është në thelb adresa ku “jeton” serveri yt – është vendi ku mund të dërgosh kërkesa, dhe mënyra se si ruteri yt (“kutia e Wi-Fi-it”) e di se ku të gjejë për shembull YouTube apo Facebook.

Ti nuk duhet ta kesh adresën tënde reale, statike, publike të ekspozuar – sepse kjo fton sulme DDoS nga njerëz që:

• Nuk të pëlqejnë
• Përfitojnë kur shërbimet e tua janë jashtë funksionit
• Thjesht duan të shohin botën të digjet

Përjashtimi i vetëm është kur ke masa mbrojtëse ndaj DDoS, si Cloudflare.

Cloudflare është një shërbim FALAS që në thelb i merr të gjitha kërkesat për serverin tënd dhe i trajton vetë në shtresën e mbrojtjes nga DDoS, që do të thotë ti kurrë nuk ke nevojë të shpallësh publikisht adresën tënde reale dhe të pambrojtur. Thjesht u jep njerëzve adresën e Cloudflare-it, ndërsa Cloudflare-it i jep adresën tënde – dhe rrjedha bëhet diçka e tillë:

Klienti -> Cloudflare -> Telkos.net

Pse? Sepse Cloudflare thjesht nuk do t’i përcjellë kërkesat keqdashëse në serverin tënd, dhe në fakt do të kujdeset edhe për kufizimin e trafikut (rate-limiting), dhe krejt kjo është falas.

Për më tepër, serveri yt duhet të ketë të konfiguruar firewall-in në atë mënyrë që të mos pranojë aspak trafik nga ndonjë adresë IP që nuk është në listën e IP-ve të Cloudflare-it (IPv4 ose IPv6), apo në listën e IP-ve të besueshme (si ato të zhvilluesve të faqes).

Problemi këtu është që këta ISP nuk kanë të vendosur fare mbrojtje ndaj DDoS. Madje shumë prej tyre nuk kishin as kufizim trafiku (rate-limiting) në faqet që gjeta.

Gjetjet

Gjeta mjaft shumë shërbime të ekspozuara dhe të pambrojtura. Më poshtë i keni të gjitha të listuara sipas çdo ISP-je:

Telkos

• Faqja kryesore
• Paneli i hyrjes për stafin
• Databaza MySQL e stafit
• Ndërfaqja e menaxhimit të 3CX (Sistemi i telefonisë)
• Login i ekspozuar për NextCloud (me shumë gjasë për backup-e ose përdorim nga punonjësit)
• Server për webmail (faqja për dërgimin e e-mail-eve, jo vetë serveri i postës)
• Një instancë LDAP e dreqit, me opsion për anonymous bind
  (që do të thotë se KUSHDO, pa fjalëkalim, mund të shfletojë të dhënat – që me shumë gjasë janë të dhëna të stafit ose materiale konfidenciale)
• Shërbime për menaxhimin dhe autentikimin e klientëve
  (Potencial që të gjithë të humbasin qasjen në internet/TV nëse sulmohen)
• PROCESUES I PAGESAVE

Ipko

• Faqja kryesore
• Sistemi i bisedës online / suporti (disa serverë)
• Portali “self-care”
• Cisco router (nuk është aq keq sa tingëllon, por prapë)
• Shërbime për menaxhimin dhe autentikimin e klientëve
  (Potencial që të gjithë të humbasin qasjen në internet/TV nëse sulmohen)
• PROCESUES I PAGESAVE

Artmotion

• Faqja kryesore
• Webmail
• Portali për menaxhimin e postës (mailcow)
• Portali “self-care”
• Shërbime për menaxhimin dhe autentikimin e klientëve
  (Potencial që të gjithë të humbasin qasjen në internet/TV nëse sulmohen)
• Shërbime të brendshme të menaxhimit
• Ndërfaqja UNIFI (me shumë gjasë për përdoruesit)
• Disa API të ndryshme
• Shërbime për menaxhimin e VOD/Streaming
• Serverë për VOD/Streaming
• Sisteme të brendshme të ndryshme

Vala/PTK

• Faqja kryesore
• Shërbime për menaxhimin e TV-së
• Login për TV/VOD?
• Redirect i thjeshtë për aplikacionin Android

Kujtesa

• Faqja kryesore
• Një instancë e rastësishme RDP në Windows Server (seriozisht, Windows Server?)

Dëshmi

Pse do të më besonit thjesht kështu?

Shënime

Lejimi i IPKO-s për transmetimin e të dhënave të pagesave përmes një adrese të pambrojtur, të pasigurt (pra përmes HTTP), është gati-gati kriminal dhe me shumë gjasë shkel ligjet e mëposhtme të Kosovës (NË OPINIONIN TIM):

• Ligji Nr. 06/L-082 – Ligji për Mbrojtjen e të Dhënave Personale në Kosovë
• Ligji Nr. 03/L-209 (i ndryshuar nga Ligji Nr. 04/L-155) – Ligji për Shërbimet e Pagesave
  Shënim: Nuk jam i sigurt nëse ky ligj vlen direkt për ISP-të, por me siguri për procesorët e pagesave po.

Pse?
Ligji Nr. 06/L-082 përcakton se të dhënat personale (si informacioni për pagesa) duhet të transmetohen dhe ruhen në mënyrë të sigurt.
Ndërsa Ligji Nr. 03/L-209 thotë:

Qëllimi kryesor i Bankës Qendrore është të promovojë dhe të ruajë një sistem financiar stabil, përfshirë një sistem pagesash të sigurt, të shëndoshë dhe efikas. (përkthyer nga anglishtja)

Transmetimi i të dhënave të pagesës përmes HTTP është diçka jashtëzakonisht e rrezikshme, sepse sulmet MITM (man-in-the-middle) janë tepër të lehta për t’u realizuar. Nëse dikush paguan internetin në një rrjet publik (si Wi-Fi në kafene), rrezikon që të gjitha të dhënat e pagesës t’i vidhen.

Duhet theksuar se nuk e kam testuar vetë këtë, pasi nuk kam më një abonim aktiv me IPKO. Por do të ishte jashtëzakonisht e lehtë (edhe pse pak e mundshme) për dikë të përdorë një redirect të rremë që ta dërgon përdoruesin në një adresë IP të zhveshur (pa HTTPS), dhe duke injoruar paralajmërimet e Google (të cilat tashmë janë bërë të zakonshme), një person tjetër në të njëjtin rrjet mund të kapë informacionin e pagesës.

Fundi

Jam thellësisht i zhgënjyer me mungesën e logjikës bazë nga këta ISP. Dua të them, kujt i bie ndër mend nëse, fjala vjen, faqja kryesore e Artmotion bie? Po çfarë pastaj – nuk mundem të shikoj disa oferta të kota për internet+tv. Nuk është ndonjë tragjedi.

Por problemi i vërtetë qëndron tek procesorët e pagesave dhe sistemet për menaxhimin e klientëve – këto DUHET të jenë të mbrojtura me një lloj mbrojtjeje ndaj DDoS, qoftë të ndërtuar vetë nga kompania, qoftë përmes Cloudflare.

Nëse këto sisteme bien, klientët mund të përjetojnë ndërprerje të internetit, ndërprerje të shërbimeve televizive, ose stafi mund të hasë probleme në regjistrimin e klientëve të rinj – sidomos kur teknikët dalin në terren për instalime.

Faleminderit që lexuat këtë postim absurdisht të gjatë në blog. Shpresoj të shoh këto kompani duke rregulluar infrastrukturën e tyre dhe duke e forcuar atë kundër sulmeve më të zakonshme dhe primitive që njihen në internet.

Dëshiroj të i kërkoj falje disa prej kolegëve të mi që punojnë në këto kompani, pasi mund t’u shkaktojë ndonjë dhimbje koke kjo nëse merret vesh nga dikush, veçanërisht nga një prej mentorëve të mi, të cilit ndoshta ia kam dërguar vetë këtë. Më falni, djem (dhe 1 vajzë!)

Përditësime

Disa kolegë më janë drejtuar lidhur me këtë postim. Rezulton se Ipko dhe Telkos në fakt kanë disa masa mbrojtëse kundër DDoS. Ata përdorin FastNetMon, një solucion për mbrojtje ndaj DDoS në shtresat 3 dhe 4 të modelit OSI.

Le ta shpjegojmë pse kjo nuk funksionon mirë.

Faleminderit Shams Hanna nga InformatiQ për ndihmën në këtë pjesë.

FastNetMon është një zgjidhje për monitorim/mrojtje ndaj DDoS që është projektuar për të parandaluar sulme të tipit TCP/UDP flood ose të ngjashme — por nuk është projektuar apo destinuar për t’u përdorur kundër sulmeve në shtresën 7 (HTTP/HTTPS). Ai funksionon duke monitoruar pajisje rrjeti (si router-at), log-et apo statistikat e tyre për të zbuluar rritje të papritura (dhe zakonisht të mëdha) të trafikut.

Nëse FastNetMon zbulon një sulm DDoS, pas një sasi të mjaftueshme të të dhënave të transferuara, ai do të dërgojë një njoftim BGP që do të bëjë "blackhole" adresën e hostit — që do të thotë se u tregon router-ave të tjerë të mos i dërgojnë më kërkesa nga interneti atij hosti, duke e nxjerrë kështu jashtë linje për ta mbrojtur.

Kjo funksionon edhe në rast të një sulmi në shtresën 7 (sepse statistikat në shtresat 3-4 gjithashtu do të rriten nga trafiku), por hosti gjithsesi bie, duke arritur të njëjtin rezultat sikur sulmi të kishte vazhduar dhe ta kishte mbingarkuar atë.

Kjo është njësoj sikur të tërheqësh alarmin e zjarrit dhe të evakuosh ndërtesën sa herë dikush djeg një bukë — e ndalon problemin, por me një kosto të madhe.

Krijuar me ❤️ nga Korab Arifi.