<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
</head>
<body dir="auto">
Rich,
<div><br>
</div>
<div>It’s interesting that you mention “the lesson of the 75-cent accounting error” from Cliff Stoll’s The Cuckoos Egg. Because the lesson from that account is precisely that exerting a massive human-labor-intensive effort to trace every tiny abuse signal is
 not worth the heavy cost — in this case, the derailing of an astronomer’s career and the infliction upon humanity of irrelevant chocolate chip cookie recipes.
<div><br>
</div>
<div>An even better lesson is the comparison equation of ubiquitous low-level Internet scanning activity with astronomical Cosmic Background Radiation: a fact of life and an untraceable phenomenon of the Internet universe. Imagine if astronomers emailed the
 IAU every time they got a tick on their QUBIC sensors. </div>
<div><br>
</div>
<div>We live in an inflationary Internet. Exhaustively policing its CBR is a waste of time. Time better spent hardening interfaces — or eliminating them using established technologies such as VPN and TLS everywhere. Any network operator getting fail2ban reports
 from <i>public</i> IPs needs to overhaul his network, not spam the rest of us with automated abuse reports.</div>
<div><br>
</div>
<div>I mean, what lazy, cheap, incompetent, unprofessional sysadmin leaves SSH ports open to the pubic Internet?  :)<br>
<br>
<div dir="ltr"> -mel beckman</div>
<div dir="ltr"><br>
<blockquote type="cite">On Apr 29, 2020, at 4:56 AM, Rich Kulawiec <rsk@gsp.org> wrote:<br>
<br>
</blockquote>
</div>
<blockquote type="cite">
<div dir="ltr"><span>On Tue, Apr 28, 2020 at 12:40:12PM -0400, Matt Corallo via NANOG wrote:</span><br>
<blockquote type="cite"><span>Please don't use this kind of crap to send automated "we received 3 login attempts on our SSH box..waaaaaaaaa" emails.</span><br>
</blockquote>
<blockquote type="cite"><span>This is why folks don't have abuse contacts that are responsive to real issues anymore.</span><br>
</blockquote>
<span></span><br>
<span>[ "you" = rhetorical "you", throughout ]</span><br>
<span></span><br>
<span>No, the reason that folks don't have responsive abuse contacts is that</span><br>
<span>they're some combination of:</span><br>
<span></span><br>
<span>   - lazy</span><br>
<span>   - cheap [1]</span><br>
<span>   - incompetent</span><br>
<span>   - unprofessional</span><br>
<span>   - actively supporting the abusers</span><br>
<span></span><br>
<span>A "we received 3 login attempts on our SSH box" complaint should be read,</span><br>
<span>investigated, and acted on.  It means that something is going on that</span><br>
<span>shouldn't, and so for your own sake, as well as for the well-being of</span><br>
<span>your Internet neighbors, you should find out what that is.</span><br>
<span></span><br>
<span>That "for your own sake" clause is often overlooked.  An incoming abuse</span><br>
<span>complaint is sometimes the canary in the coal mine.  Ignoring it because</span><br>
<span>it appears to be trivial at first glance is extremely foolish.</span><br>
<span></span><br>
<span>The lesson of the 75-cent accounting error is now 34 years old.  This would</span><br>
<span>be a really good time to learn from it.</span><br>
<span></span><br>
<span>You should also consider that -- thanks to the negligence and incompetence of</span><br>
<span>many abuse desks -- a lot of people simply don't bother reporting incidents</span><br>
<span>any more.  Thus what presents to you, on the surface, as "we received 3</span><br>
<span>login attempts on our SSH box" may in fact be one isolated report of</span><br>
<span>a much larger incident.  It thus requires your immediate attention, if you</span><br>
<span>want to even pretend to be a responsible, competent professional.</span><br>
<span></span><br>
<span>Incidentally, an excellent way to reduce the number of "we received 3</span><br>
<span>login attempts on our SSH box" complaints is to deal with all of them,</span><br>
<span>thus decreasing incident occurence, which will of course result in a</span><br>
<span>corresponding decrease in complaints.  An even better way is to run</span><br>
<span>your operation in such a way that you detect and deal with as many</span><br>
<span>such things as possible before anybody needs to file a complaint.</span><br>
<span>After all, if they can see the traffic arriving on their side, you can</span><br>
<span>see it leaving on yours.</span><br>
<span></span><br>
<span>---rsk</span><br>
<span></span><br>
<span>[1] I note, for example, that Charter -- which is mentioned in the</span><br>
<span>original message in this thread -- currently has a market capitalization</span><br>
<span>of 116.63 billion dollars.  Surely they could spare a tiny fraction of</span><br>
<span>that to appropriately staff a 24x7 multi-lingual abuse desk with senior</span><br>
<span>engineers and empower/equip them to do what needs to done.  That's</span><br>
<span>what a professional operation would do.</span><br>
</div>
</blockquote>
</div>
</div>
</body>
</html>