Gå til innhold

Slik skal Telenor beskytte de fleste av kundene mot phishing og andre farer på nettet

Harald Brombach (digi.no)

Anbefalte innlegg

Videoannonse

Videoannonse
Annonse
bmork

bmork

Skrevet
Skrevet

Sensur? Mangel av hvitelisting dersom man finner behov for det?

Som det fremgår av artikkelen, så er det helt frivillig om man vil slå av tjenesten. Men jeg håper du prøver en stund før du gjør det, for å sjekke om du faktisk har noe ønske om å whiteliste noe. Jeg tror du vil bli positivt overrasket.

 

De tingene som stanses av dette filteret skal være utelukkende ondsinnede. Det er absolutt ingen "sensur"-type blokkering. Derfor stanser heller ikke filteret alt, siden ondsinnet kode i mange tilfeller hostes sammen med helt uskyldige ting. Med unntak av dem trenger å prøve phishing og infisering, f.eks. fordi de utvikler beskyttelse mot den slags, så tror jeg ikke noen vil ha behov for å slå av dette filteret.

 

Fordi filteret er laget med mål om å unngå falske positive så er det også bare et ekstra sikkerhetsnett. De vanlige gode rådene om håndtering av usikre linker gjelder selvsagt fremdeles. Men dette kan være sikkerhetsnettet som redder deg fra en kryptert disk en dag du ikke har fått nok kaffe før du åpner mailboksen....

 

Hvis du mot formodning finner et blokkert domene du mener ikke skulle vært filtrert, så send meg gjerne en melding om det. Er svært interessert i eventuelle falske positive her.

 

 

Std disclaimer: Jeg jobber i Telenor, og har hatt en finger eller to med i denne tjenesten.

  • Liker 2
Lenke til kommentar
tommyb

tommyb

Skrevet
Skrevet

Så lenge det ikke brukes politisk (ref: sensurfilteret i Australia) så ser jeg på en sånn tjeneste som fornuftig og naturlig. Men så er jeg kanskje ikke den mest kritiske da jeg også har lurt på hvorfor man ikke for lenge siden har laget et internasjonalt system for å brennmerke ondsinnede domener/uri'er siden man nå engang har et relativt sentralisert nettverk for disse.

  • Liker 2
Lenke til kommentar
bmork

bmork

Skrevet
Skrevet (endret)

Hadde vært veldig hyggelig med det som kalles en «teknisk gjennomgang» av tjenesten. Den artikkelen her hadde passer utmerket på Nettavisen (kanskje med unntak av dns kommentaren på bunnen).

Tjenesten bruker Response Policy Zones (RPZ) i DNS for å blokkere/redirigere ondsinnede domenenavn til en webserver hostet hos Telenor. RPZ fungerer slik at listene over blokkerte domenenavn leveres til DNS-cachene som vanlige sonefiler. Videre detaljer her blir nok litt for interne, men jeg håper du ser sånn ca hvordan det ser ut.

 

DNS-cachene er ellers de samme som leverer DNS-tjenesten uten dette filteret. Det skal dermed ikke være noen målbar forskjell i ytelsen med og uten filter, selv om det naturlig nok koster litt ekstra CPU å tygge gjennom blokkeringslistene. Det er likevel forsvinnende lite i forhold til den overkapasiteten vi har på disse serverne. Noen nanosekunder ekstra er ikke merkbart, og de fleste svar leveres uansett fra cache der dette ikke gjør noen forskjell i det hele tatt.

Endret av bmork
  • Liker 1
Lenke til kommentar
digimator

digimator

Skrevet
Skrevet

 

Hadde vært veldig hyggelig med det som kalles en «teknisk gjennomgang» av tjenesten. Den artikkelen her hadde passer utmerket på Nettavisen (kanskje med unntak av dns kommentaren på bunnen).

Tjenesten bruker Response Policy Zones (RPZ) i DNS for å blokkere/redirigere ondsinnede domenenavn til en webserver hostet hos Telenor. RPZ fungerer slik at listene over blokkerte domenenavn leveres til DNS-cachene som vanlige sonefiler. Videre detaljer her blir nok litt for interne, men jeg håper du ser sånn ca hvordan det ser ut.

 

DNS-cachene er ellers de samme som leverer DNS-tjenesten uten dette filteret. Det skal dermed ikke være noen målbar forskjell i ytelsen med og uten filter, selv om det naturlig nok koster litt ekstra CPU å tygge gjennom blokkeringslistene. Det er likevel forsvinnende lite i forhold til den overkapasiteten vi har på disse serverne. Noen nanosekunder ekstra er ikke merkbart, og de fleste svar leveres uansett fra cache der dette ikke gjør noen forskjell i det hele tatt.

Er dette noe Telenor vil vedlikeholda sjølv, eller er det basert på kommersielt tilgjengelige tenester (Spamhaus el. l)?

Lenke til kommentar
tommyb

tommyb

Skrevet
Skrevet

Tjenesten bruker Response Policy Zones (RPZ) i DNS for å blokkere/redirigere ondsinnede domenenavn til en webserver hostet hos Telenor. RPZ fungerer slik at listene over blokkerte domenenavn leveres til DNS-cachene som vanlige sonefiler. Videre detaljer her blir nok litt for interne, men jeg håper du ser sånn ca hvordan det ser ut.

 

DNS-cachene er ellers de samme som leverer DNS-tjenesten uten dette filteret. Det skal dermed ikke være noen målbar forskjell i ytelsen med og uten filter, selv om det naturlig nok koster litt ekstra CPU å tygge gjennom blokkeringslistene. Det er likevel forsvinnende lite i forhold til den overkapasiteten vi har på disse serverne. Noen nanosekunder ekstra er ikke merkbart, og de fleste svar leveres uansett fra cache der dette ikke gjør noen forskjell i det hele tatt.

 

Fra et prosjekt-ståsted, vil du si at erfaringene/løsningene med sensurfiltrene er relevante for måten man her filtrerer ondsinnede nettsteder? I.e., har man f.eks. tatt utgangspunkt i kripos- og piratebay-filtrene? 

 

:-B 

Lenke til kommentar
bmork

bmork

Skrevet
Skrevet

Er dette noe Telenor vil vedlikeholda sjølv, eller er det basert på kommersielt tilgjengelige tenester (Spamhaus el. l)?

Telenor kjøper det meste av dataene fra store leverandører internasjonalt. Som @tommyb er inne på, så er dette et område hvor det er åpenbare globale stordriftsfordeler. Nøyaktig hvor mange og hvem dette kjøpes fra vet jeg ikke om jeg har anledning til å si, så det gjør jeg ikke.

 

 

Fra et prosjekt-ståsted, vil du si at erfaringene/løsningene med sensurfiltrene er relevante for måten man her filtrerer ondsinnede nettsteder? I.e., har man f.eks. tatt utgangspunkt i kripos- og piratebay-filtrene?

Vet ikke helt hva jeg skal si. Teknologien er jo nødvendigvis mye den samme, men det er ikke eksakt den samme løsningen.

 

Bare så det ikke er noen misforståelser angående "sensur": Blokkeringer som Telenor er pålagt ved dommer er selvsagt en del av alle Telenors rekursive DNS-tjenester. Det får vi ikke gjort noe med. Dette er helt uavhengig av Nettvern-filteret. Og barnepornofilteret som Telenor i sin tid utviklet i samarbeid med KRIPOS, er også til stede i alle rekursive DNS-tjenester vi tilbyr. Jeg har forresten ennå til gode å se noen klage på dette.

  • Liker 2
Lenke til kommentar
G

G

Skrevet
Skrevet (endret)

Kan man omgå filteret ved bruk av VPN, eller vil VPN-tjener også kategoriseres som ondsinnede (risikere å havne i listen over styggonde sider) ?

 

Mulig at VPN ikke er på DNS, så kanskje ikke samme ting?

Endret av G
Lenke til kommentar
bmork

bmork

Skrevet
Skrevet

Står at det er skrudd på for private mobil kunder. Hva med firma kunder?

 

Det er meningen det skal være på for alle Telenor-kunder, uavhengig av aksesstype og kundekategori. Ihvertfall er tjenesten tilgjengelig for alle. Men på utrullingen av nye default DNS-servere tar litt tid på noen platformer. Jeg har forstått det slik at mobil skal være ferdig med alle nå. Ihvertfall fikk jeg tjenesten på min jobb-telefon tidligere i dag. Men jeg har ikke full oversikt over utrullingen.

 

Det jeg vet er at du lett kan sjekke status selv ved å bruke URLen det vises til i artikkelen: http://nettvern.telenor.net/

 

Og enten du ahr fått per default eller ikke, så kan du selv slå på tjenesten ved å endre til DNS-serverne som er oppgitt i artikkelen (og/eller 2001:4600:4:fff::253 og 2001:4600:4:1fff::253 hvis du foretrekker IPv6) .Forutsatt at du har kontroll over DNS-innstillingene. Det er dessverre sjelden tilfelle på mobilterminaler.

Lenke til kommentar
tommyb

tommyb

Skrevet
Skrevet

 

Vet ikke helt hva jeg skal si. Teknologien er jo nødvendigvis mye den samme, men det er ikke eksakt den samme løsningen.

 

Bare så det ikke er noen misforståelser angående "sensur": Blokkeringer som Telenor er pålagt ved dommer er selvsagt en del av alle Telenors rekursive DNS-tjenester. Det får vi ikke gjort noe med. Dette er helt uavhengig av Nettvern-filteret. Og barnepornofilteret som Telenor i sin tid utviklet i samarbeid med KRIPOS, er også til stede i alle rekursive DNS-tjenester vi tilbyr. Jeg har forresten ennå til gode å se noen klage på dette.

 

Det er jo interessant ut fra "slippery slope"-problemstillingen. Mest med tanke på eksternt press.

Lenke til kommentar
bmork

bmork

Skrevet
Skrevet

Kan man omgå filteret ved bruk av VPN, eller vil VPN-tjener også kategoriseres som ondsinnede (risikere å havne i listen over styggonde sider) ?

Det er dokumentert i artikkelen hvordan du slår av filteret. På mobil kan du også styre det gjennom "Mitt Telenor" appen. Dette filteret er et tilbud. Etter min lite nøytrale mening er det et veldig godt tilbud, men det er en frivillig sak om du vil ta imot.

 

VPN-tjenester ligger ikke i dette filteret, og filteret blir uansett ikke påvirket av din bruk.

Lenke til kommentar
0FKNR8HU

0FKNR8HU

Skrevet
Skrevet

 

Står at det er skrudd på for private mobil kunder. Hva med firma kunder?

 

Det er meningen det skal være på for alle Telenor-kunder, uavhengig av aksesstype og kundekategori. Ihvertfall er tjenesten tilgjengelig for alle. Men på utrullingen av nye default DNS-servere tar litt tid på noen platformer. Jeg har forstått det slik at mobil skal være ferdig med alle nå. Ihvertfall fikk jeg tjenesten på min jobb-telefon tidligere i dag. Men jeg har ikke full oversikt over utrullingen.

 

Det jeg vet er at du lett kan sjekke status selv ved å bruke URLen det vises til i artikkelen: http://nettvern.telenor.net/

 

Og enten du ahr fått per default eller ikke, så kan du selv slå på tjenesten ved å endre til DNS-serverne som er oppgitt i artikkelen (og/eller 2001:4600:4:fff::253 og 2001:4600:4:1fff::253 hvis du foretrekker IPv6) .Forutsatt at du har kontroll over DNS-innstillingene. Det er dessverre sjelden tilfelle på mobilterminaler.

Testet, ikke satt på min jobb Telenor telefon

Lenke til kommentar
tipsy

tipsy

Skrevet
Skrevet

Som det fremgår av artikkelen, så er det helt frivillig om man vil slå av tjenesten. Men jeg håper du prøver en stund før du gjør det, for å sjekke om du faktisk har noe ønske om å whiteliste noe. Jeg tror du vil bli positivt overrasket.

 

De tingene som stanses av dette filteret skal være utelukkende ondsinnede. Det er absolutt ingen "sensur"-type blokkering. Derfor stanser heller ikke filteret alt, siden ondsinnet kode i mange tilfeller hostes sammen med helt uskyldige ting. Med unntak av dem trenger å prøve phishing og infisering, f.eks. fordi de utvikler beskyttelse mot den slags, så tror jeg ikke noen vil ha behov for å slå av dette filteret.

 

Fordi filteret er laget med mål om å unngå falske positive så er det også bare et ekstra sikkerhetsnett. De vanlige gode rådene om håndtering av usikre linker gjelder selvsagt fremdeles. Men dette kan være sikkerhetsnettet som redder deg fra en kryptert disk en dag du ikke har fått nok kaffe før du åpner mailboksen....

 

Hvis du mot formodning finner et blokkert domene du mener ikke skulle vært filtrert, så send meg gjerne en melding om det. Er svært interessert i eventuelle falske positive her.

 

 

Std disclaimer: Jeg jobber i Telenor, og har hatt en finger eller to med i denne tjenesten.

 

En av mine nettsider, https://profile-summary-for-github.com, er blokkert av Nettvern. Jeg tok kontakt med support og fikk beskjed om at den var svartelistet av  https://www.spamhaus.org/lookup/ eller http://www.surbl.org/surbl-analysis, og at det var mitt ansvar å rydde opp i det. Nettsiden ser ikke ut til å være svartelistet av noen av tjenestene.

Lenke til kommentar
bmork

bmork

Skrevet
Skrevet

En av mine nettsider, https://profile-summary-for-github.com, er blokkert av Nettvern. Jeg tok kontakt med support og fikk beskjed om at den var svartelistet av  https://www.spamhaus.org/lookup/ eller http://www.surbl.org/surbl-analysis, og at det var mitt ansvar å rydde opp i det. Nettsiden ser ikke ut til å være svartelistet av noen av tjenestene.

Kan bekrefte det du skriver. Det skyldtes en feil hos en av leverandørene våre, som førte til at blokkeringsdatabasen ikke ble oppdatert. Domenet ditt har nok vært innom der på et tidspunkt uten at jeg vet hvorfor.

 

Leverandøren fikset feilen nokså umiddelbart etter at jeg tok kontakt. Selvsagt like etter at jeg la inn en manuell workaround for ditt domene. Jaja, kunne spart meg det da :-)

 

Har verifisert at alt nå er OK igjen, inkludert at blokkeringen av ditt domene er tatt bort. Har ikke fått noen forklaring på hva som skjedde. Men jeg ser at vi har enda en ting vi bør overvåke...

 

Uansett, tusen takk for feilmeldingen!

  • Liker 1
Lenke til kommentar
  • 3 måneder senere...
Thomas Henden

Thomas Henden

Skrevet
Skrevet

En kommer ikke lenger inn på ruteren på 10.0.0.138 og den angitte lenken for å endre på innstillingene, virker heller ikke. Ei heller hjelper det å velge de alternativene DNSene på egen, lokal ruter, Telenor har likevel blokkert deler av trafikken, Telenors "Nettvern"-side viser at filtreringen er slått på. Fildeling virker heller ikke, her blokkeres det uavhengig av om man skulle lastet ned noe som er lovlig eller ikke. For eksempel ligger det mye abandonware og annet, så det er ingen tvil om at det er mye "usynlig" sensur der ute.

 

Hvis man er redd for tvilsomme sites, så skal man huske på at Google legger inn advarsel om man er i ferd med å gå inn på et sted som er tvilsomt, og nettlesere har vel til en viss grad, også en slik funksjon.

 

Når dette er sagt, forstår jeg at sånn som barneporno blokkeres, men utover de mest ekstreme tilfellene av slikt, så virker det mer en suspekt at man ikke uten videre kan velge alternativ DNS, komme inn på Telenors ruter/modem og gjøre noen endringer, lenger.

Lenke til kommentar
  • 2 uker senere...

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
Gå til emneliste
×
×
  • Opprett ny...