Tomasz Piłat <p...@i...pl> writes:

> A klienci &tp powinni się cieszyć, że ich dostawca stara się ich chronić,
> zamiast obruszać się na wszystko co &tp zrobi. Naprawdę. :~) Blokada
> możliwości połączenia się z kontrolerem umożliwia komputerowi zombie
> normalne "surfowanie" po internecie bez popełniania abuse i bez narażania
> się na dopisanie jego adresu IP do wielu różnych RBLI czy innych list...

I bez zadnej motywacji do naprawienia sobie peceta. Gdyby adresy
zombie wlasnie trafialy na czarna liste (no i gdyby nie byly
dynamiczne), to moze by zmotywowalo ludzi do odpluskwiania...

No i jak juz blokowac, to czemu TP nie zablokuje wyjscia na 25 z neo?

MJ

do góry

Tomasz Piłat pisze:
>
> Ja powiem szczerze jestem bardzo zadowolony, że &tp jako trzeci
> operator w Polsce (po NASK i Vectra) wdrożył filtorwanie kontrolerów
> botnetów. Jest to w naszym wspólnym interesie. I chwała im za to.
>

skad mozna wziac wiarygodna liste/zakres botnetow ?

do góry

On Tue, 28 Oct 2008 09:55:33 +0000 (UTC), Tomasz Piłat
<p...@i...pl> wrote:

> A klienci &tp powinni się cieszyć, że ich dostawca stara się ich chronić,
> zamiast obruszać się na wszystko co &tp zrobi.

Gdyby jeszcze &tp choć trochę postarała się chronić świat przed
swoimi klientami...

> Blokada
> możliwości połączenia się z kontrolerem umożliwia komputerowi zombie
> normalne "surfowanie" po internecie bez popełniania abuse i bez narażania
> się na dopisanie jego adresu IP do wielu różnych RBLI czy innych list...

Dzięki czemu problem zostaje zamieciony pod dywan, a nie
usunięty. Gdyby zaczęli blokować klientów, których komputery
wykazują objawy zarażenia, sprawa wyglądałaby zupełnie inaczej.

r.
--
____________________________________________________
_____________
robert rędziak mailto:giekao-at-gmail-dot-com
zmien kreseczkę na kropeczkę: http://forum-subaru.pl
I hope they don't fart at Greenpeace. That's bad for Gaia.

do góry

On Tue, 28 Oct 2008 11:07:37 +0100, Michal Jankowski
<m...@f...edu.pl> wrote:

> I bez zadnej motywacji do naprawienia sobie peceta. Gdyby adresy
> zombie wlasnie trafialy na czarna liste (no i gdyby nie byly
> dynamiczne), to moze by zmotywowalo ludzi do odpluskwiania...

Nie musi to być czarna lista. Wystarczy maszynom zarażonym
odcinać dostęp do sieci i przekierowywać ruch www na stronę z
instrukcją. Nawet jeśli jest odsetek takich, którzy tracą dostęp
do sieci regularnie co dwa dni i winę widzą wszędzie, tylko nie
po swojej stronie, to cały mechanizm działa całkiem nieźle.

r.
--
____________________________________________________
_____________
robert rędziak mailto:giekao-at-gmail-dot-com
zmien kreseczkę na kropeczkę: http://forum-subaru.pl
I hope they don't fart at Greenpeace. That's bad for Gaia.

do góry

Robert Rędziak <r...@g...wkurw.org> wrote:
>> A klienci &tp powinni się cieszyć, że ich dostawca stara się ich chronić,
>> zamiast obruszać się na wszystko co &tp zrobi.
>
> Gdyby jeszcze &tp choć trochę postarała się chronić świat przed
> swoimi klientami...

No ale właśnie to jest krok w tym kierunku. Taki blackholing ma przecież
zasięg globalny - zombie nie spamują/DDoSują/skanują NIKOGO.

>> Blokada
>> możliwości połączenia się z kontrolerem umożliwia komputerowi zombie
>> normalne "surfowanie" po internecie bez popełniania abuse i bez narażania
>> się na dopisanie jego adresu IP do wielu różnych RBLI czy innych list...
>
> Dzięki czemu problem zostaje zamieciony pod dywan, a nie usunięty.

Przepraszam, ale jak &tp ma usnąć Twoim zdaniem ten problem?

> Gdyby zaczęli blokować klientów, których komputery
> wykazują objawy zarażenia, sprawa wyglądałaby zupełnie inaczej.

A jak sobie to technicznie wyobrażasz (spam pomijamy, bo to proste)?

Ponc
--
Kto misiowi urwał ucho?

do góry

Tomasz Piłat <p...@i...pl> writes:

> No ale właśnie to jest krok w tym kierunku. Taki blackholing ma przecież
> zasięg globalny - zombie nie spamują/DDoSują/skanują NIKOGO.

Pod warunkiem, ze ich odciecie od serwerow kontrolujacych jest
stuprocentowe. A jest?

>> Gdyby zaczęli blokować klientów, których komputery
>> wykazują objawy zarażenia, sprawa wyglądałaby zupełnie inaczej.
>
> A jak sobie to technicznie wyobrażasz (spam pomijamy, bo to proste)?

Ale co? Wykrywanie? Blokowanie?

MJ

do góry

Robert Rędziak <r...@g...wkurw.org> wrote:
> On Tue, 28 Oct 2008 11:07:37 +0100, Michal Jankowski
> <m...@f...edu.pl> wrote:
>
>> I bez zadnej motywacji do naprawienia sobie peceta. Gdyby adresy
>> zombie wlasnie trafialy na czarna liste (no i gdyby nie byly
>> dynamiczne), to moze by zmotywowalo ludzi do odpluskwiania...
>
> Nie musi to być czarna lista. Wystarczy maszynom zarażonym
> odcinać dostęp do sieci i przekierowywać ruch www na stronę z
> instrukcją. Nawet jeśli jest odsetek takich, którzy tracą dostęp
> do sieci regularnie co dwa dni i winę widzą wszędzie, tylko nie
> po swojej stronie, to cały mechanizm działa całkiem nieźle.

Robert, jesteś pewien, że przy wielkości sieci &tp (a właściwie stosunkowi
liczby klientów do liczby personelu, który byłby w stanie to obsłużyć, nakładu
zasobów do tego potrzebnych i zachowując przy tym racjonalność ekonomiczną)
taki mechanizm działałby sprawnie?

Aczkolwiek problem jest bardziej techniczny: bo na przykład zombie DDoSujące
nie robi tego cały czas. Jak ktoś wyłącza komputer, to phishing serwowany
przez malware na nim zainstalowane chwilowo "znika". Więc jak _na odległość_
stwierdzić, czy w danej chwili konkretny komputer jest zarażony? Jak
stwierdzić, że już nie jest? Nie sądzisz, że automatyczne sterowanie
tym pociągałoby za sobą koszmarną liczbę pomyłek?

A tak swoją drogą &tp blokuje dobrze udokumentowane przypadki, szczególnie
w wypadku opornych na współpracę klientów, lub takich z którymi nie można
się przez dłuższy czas skontaktować. Warto pamiętać, że &tp ma prawny obowiązek
poinformowania (pisemnie/telefonicznie) abonenta o zawieszeniu wykonania
umowy jaką z nim zawarła, oraz o powodach tego... CERT &tp ma wypracowane
procedury, które działają. To, że nie wszyscy mają techniczną możlwość
zauważenia skutków tych blokad... to już inna sprawa...


Ponc
--
Kto misiowi urwał ucho?

do góry

On Tue, 28 Oct 2008 12:31:03 +0000 (UTC), Tomasz Piłat
<p...@i...pl> wrote:

> Robert, jesteś pewien, że przy wielkości sieci &tp (a właściwie stosunkowi
> liczby klientów do liczby personelu, który byłby w stanie to obsłużyć, nakładu
> zasobów do tego potrzebnych i zachowując przy tym racjonalność ekonomiczną)
> taki mechanizm działałby sprawnie?

Śmiem twierdzić, że gdyby zaczęli od razu tworzyć takie
mechanizmy, to do dziś byłyby całkiem sprawne i nie wymagałyby
wielkich nakładów. Teraz posprzątanie tego syfu na pewno będzie
wymagało dużych wysiłków.

> Aczkolwiek problem jest bardziej techniczny: bo na przykład zombie DDoSujące
> nie robi tego cały czas. Jak ktoś wyłącza komputer, to phishing serwowany
> przez malware na nim zainstalowane chwilowo "znika". Więc jak _na odległość_
> stwierdzić, czy w danej chwili konkretny komputer jest zarażony?

Ale kiedyś jest włączony i wtedy generuje bardzo
charakterystyczne objawy. Jeśli takowe objawy nie pasują do
wypracowanego wzorca, to sprawa jest jasna.

> Jak
> stwierdzić, że już nie jest? Nie sądzisz, że automatyczne sterowanie
> tym pociągałoby za sobą koszmarną liczbę pomyłek?

Odcięcie następuje w momencie występowania nietypowych objawów.
Odblokowanie na prośbę klienta (nawet przez klik na stronie, na
której jest przekierowany). Tam też informacja, że
nieodwirusowana maszyna zostanie zablokowana ponownie, z
zablokowaną możliwością odblokowania przez jakiś czas.

Wiele osób sugerowało też prostsze rozwiązania:

- stałą adresację, aby kupa zrobiona przez jednego klienta nie
spadała drugiemu na barki,
- blokowanie portu tcp/25.

> A tak swoją drogą &tp blokuje dobrze udokumentowane przypadki, szczególnie
> w wypadku opornych na współpracę klientów, lub takich z którymi nie można
> się przez dłuższy czas skontaktować. Warto pamiętać, że &tp ma prawny obowiązek
> poinformowania (pisemnie/telefonicznie) abonenta o zawieszeniu wykonania
> umowy jaką z nim zawarła, oraz o powodach tego...

To jest kwestia odpowiednich zapisów w umowie.

r.
--
____________________________________________________
_____________
robert rędziak mailto:giekao-at-gmail-dot-com
zmien kreseczkę na kropeczkę: http://forum-subaru.pl
I hope they don't fart at Greenpeace. That's bad for Gaia.

do góry

Witam,

> - blokowanie portu tcp/25.
Domyślnie blokowana, ale z możliwością odblokowania na życzenie klienta.
Przynajmniej ja bym to tak widział.



--
Konrad Bechler
konrad (at) konsol (dot) eu

do góry

Michal Jankowski <m...@f...edu.pl> wrote:
> Tomasz Piłat <p...@i...pl> writes:
>
>> No ale właśnie to jest krok w tym kierunku. Taki blackholing ma przecież
>> zasięg globalny - zombie nie spamują/DDoSują/skanują NIKOGO.
>
> Pod warunkiem, ze ich odciecie od serwerow kontrolujacych jest
> stuprocentowe. A jest?

Null-route jest 100%... Może na D-Linkach czasem puszcza jakiś pakiet... ;~)

>>> Gdyby zaczęli blokować klientów, których komputery
>>> wykazują objawy zarażenia, sprawa wyglądałaby zupełnie inaczej.
>>
>> A jak sobie to technicznie wyobrażasz (spam pomijamy, bo to proste)?
>
> Ale co? Wykrywanie? Blokowanie?

Wykrywanie objawów zarażenia. Podpowiem: zaglądanie do wnętrza pakietów jest
z definicji nielegalne bez zgody sądu.

Ponc
--
Kto misiowi urwał ucho?

do góry