On Jan 5, 4:49 pm, r...@g...com wrote:
> Witam wszystkich po urlopie bezpośrednio z siedliska wszelakiego zła.
(ciach)

Prawdę mówiąc - mam tylko nadzieję, iż nie jest to odpowiedź również
na moje pytania, gdyż oznaczałoby to że kolejny raz nic się nie
dowiedziałem (a propo mojego przypadku, nie mówię o "ogólnie").

Pozdrawiam,
--
ru

do góry

On Jan 5, 4:49 pm, r...@g...com wrote:

> Mam już pewien przegląd pola. Łącznie przez ostatnie trzy tygodnie
> maili na abuse jest około 100, wliczając w to wiele maili, które
> służyły komuś do okazania emocji, a których autorzy mają ewidentny
> problem z kulturą i ortografią. Reklamacji - o rząd wielkości mniej.

Oczywiście, niezwykle łatwo jest to trywializować. Sto maili w
odpowiedzi na, bądź co bądź, nowatorski w Polskim Internecie projekt
obejmujący z dnia na dzień miliony klientów tworzy całkiem zabawną
perspektywę.

Jednak przynajmniej część z tych stu osób patrzy nieco bardziej
perspektywicznie. Osobiście, mało mnie obchodzi blokada gimpa (którego
mogę pobrać np z Sourceforge'a) czy polskiego ircnetu (z którego nie
korzystam). Co mnie jednak obchodzi, to zmiana relacji dostawca -
klient. Nagle to TPSA wie co jest dla mnie dobre, nie ja - klient. Co
więcej, nie mam żadnej kontroli nad tym, w jaki sposób ta
samostanowiona moc zostanie wykorzystana w przyszłości. Czy jeśli ktoś
w "The Management" zobaczy, że ilość "złych komputerów" w sieci spadła
o ileśtam procent, to czy nie uzna że tą samą technologię można
wykorzystać do innych celów, np ograniczenia wymiany w sieciach typu
torrent? Przecież wystarczy wyciąć trackery. A w p2p i tak wymienia
się tylko nielegalne pliki.
I znów będzie sto (może tysiąc) maili, że przecież po p2p można
pobierać obrazy .iso dystrybucji czy muzykę na licencji CC. I nikt
nawet nie mrugnie okiem.

Sytuacja przerysowana i uproszczona, owszem. Jednak mechanizm jest
prosty, a możliwości niemal nieograniczone (serwery sieci TOR? klasy
adresowe w chińskim internecie? Serwisy typu rapidshare?).

W mniejszej skali - nie mam żadnej gwarancji, że jakiś serwer X, z
którym będę miał do czynienia za tydzień czy też za pół roku (czy to
testowy, czy jakiś zagraniczny developerski, czy kliencki, który ma np
zostać poddany audytowi) będzie dla mnie dostępny. Płacę za dostęp do
Internetu, nie do Bezpiecznego Intranetu TPSA.

Niską liczbę reklamacji można chyba tłumaczyć stosunkowo małym
zrozumieniem zastosowanego mechanizmu. Łatwo znaleźć posty na blogach
zdezorientowanych, nie wiedzących co się dzieje administratorów jakiś
hobbystycznych serwerów. Jeśli (lub raczej: kiedy) sprawa otrze się np
o UOKiK i zyska nagłośnienie w mediach można się pewnie będzie
spodziewać większego "odzewu". A kiedy prawnicy zaczną miedzy sobą
dyskutować, co jest ograniczaniem dostępu a co nie - zrobi się
naprawdę ciekawie.

Tymczasem, kiedy tylko moja umowa dobiegnie końca poszukam innego
dostawcy. Nie żeby to kogoś obchodziło, jestem przecież jednym z tych
stu.

Pozdrawiam,
JM

do góry

Użytkownik r...@g...com napisał:

>
> Wszyscy chyba rozumieją, że do odblokowania adresu nie powinien
> wystarczać telefon lub mail, w takim przypadku cały pomysł nie miałby
> sensu. Nie ma również znaczenia popularność serwisu i ilość powtórzeń
> tego samego przykładu w mediach.

Tu pozwole sobie nie uwierzyc. Zalozmy, ze kontrolerem botnetu jest taka
nasza-klasa.pl czy serwery gg. Moge sie zalozyc, ze ewentualna ich
blokada spowodowalaby tak duze "cisnienie", ze nawet najbardziej
asertywny dyrektor maksymalnie po kilku godzinach musialby podjac
decyzje o odblokowaniu. Jesli nie ze swojej woli to z woli "sily
wyzszej" ;) Wiec jak najbardziej "cisnienie" gra role, to naturalne w
kazdym biznesie, nie oszukujmy sie, idee sa daleko z tylu w hierarchii.


pozdrawiam
DK

do góry

>> Dobra, zaryzykuję - jest pewnie parę programów graficznych lepszych
>> od Gimpa,
>
> Darmowych?


Krakersa?

k.

do góry

Hello Andrzej,

Monday, January 5, 2009, 8:20:47 PM, you wrote:

>>> Dobra, zaryzykuję - jest pewnie parę programów graficznych lepszych
>>> od Gimpa,
>> Darmowych?
> Krakersa?

Nie będę Cię objadał - musiałbym Cię potem dokarmiać. Ale [OT] w
temacie wypadałoby zauważyć.

Kanapeczkę?

--
Best regards,
RoMan mailto:r...@p...pl

do góry

On 2009-01-05 18:53, f...@g...com wrote:

> W mniejszej skali - nie mam żadnej gwarancji, że jakiś serwer X, z
> którym będę miał do czynienia za tydzień czy też za pół roku (czy to
> testowy, czy jakiś zagraniczny developerski, czy kliencki, który ma
> np zostać poddany audytowi) będzie dla mnie dostępny. Płacę za dostęp
> do Internetu, nie do Bezpiecznego Intranetu TPSA.

Przepraszam, że pobawię się w "adwokata diabła"(tm) (Rafał & zespół -
sorry :) ), ale trochę chyba przesadzasz. Nie chce być źle zrozumiany,
ale wydaje mi się że perspektywa klienta TP z której patrzycie jest
nadal nieco bardziej nastawiona na 'nie'. Nie, nie jestem za
ustawową kontrolą wszystkiego a w szczególności Internetu i nie
(choć to może dziwnie zabrzmi) nie lubie dużych korporacji. I
przepraszam za długi post :)

Żaden mechanizm bezpieczeństwa nie jest pozbawiony wad - skoro się
czegoś zabrania - to czegoś się zabrania. Koledzy postanowili
wprowadzić w życie jeden z pomysłów na ograniczenie zagrożeń w
internecie w życie - i zwróć uwagę, że o ile te 100 osób
(trywializując, ale tylko na moment) z wielomilionowej populacji
klientów TP faktycznie wie co się stało - pozostali raczej nie.
Nie wierzę, że przysłowiowa gospodyni Anna K. skorzysta z przepisu
na stronie TP CERTu żeby 'sprawdzić IP' - ale przynajmniej jej
zarażona stacja, dysponując wielomegowym łączem nie załatwi w
ciągu paru sekund Twojego serwera WWW, serwera IRC, serwera SMTP,
serwera Call of Duty, Quake - czegokolwiek (i problemem nie jest
ta jedna stacja - jak wiesz, botnety składają się z setek
tysięcy, z których równie dobrze większość może pewnego dnia
siedzieć w sieci TP, więc nie jest to problem 'odetnijcie mi to
jedno IP').

Andrzej Karpiński wytłumaczył na liście + zaoferował unicastowe
opowiadanie każdemu, kto zainteresowany jest jak mechanizm
selekcjonowania co blokować a co nie działa - nie opiera się
(najwyraźniej) na 'a Bromirskiego to wytniemy' tylko
konkretnym zestawie ściąganych i korelowanych informacji. Myślę,
że gdyby otwartość Rafała i zespołu w tym względzie była równie
duża jak w przypadku tłumaczenia co zrobili i dlaczego - pewnie
większość z Was przekonałaby się że 'no dobra, nie działa to
idealnie ale coś w tym jest'. I to myślę jest jakiś call do
TP żeby coś więcej opowiedzieć, upublicznić metodologię itp. itd.
Niestety, w wielu przypadkach widać, że chowanie się za
'wiem, ale nie powiem' nie daje dobrego rezultatu i buduje
bardzo szybko bagaż nieufności.

Niestety przed 'bezpieczeństwem w domu i zagrodzie' raczej nie
ma ucieczki i będzie ono sięgać coraz głębiej - klienci
indywidualni już dzisiaj wiedzą że 'antywirus to dobra rzecz'
(być może nie rozumiejąc w ogóle dlaczego i po co) i jeśli jeszcze
nie myślicie jako operatorzy swoich własnych sieci takimi
kategoriami, to może warto - jak to się ładnie mówi
'rozpocząć debatę'? Krytykowanie jest proste, ale bez ciągłego
próbowania i popełniania błędów niestety nie tworzy się wartości -
choć nakrytykować można się do upadłego i za darmo.

Nie wiem czy blackholing jako koncepcja z wycinaniem spamu to
najlepszy pomysł, ale w ofercie TP są już usługi 'bezpieczeństwa
zarządzalnego' (brrrr, przepraszam, taki marketingowy bełkot),
w którym klient dostaje firewalla na którym może sobie wyłączyć
i włączyć to co mu się podoba (IPSa AFAIR chyba też). Wiem, bo
Cisco maczało w tym palce.

Blackholing dużą packą na muchy jest - ale taka w przypadku skali
zagrożenia jakim są botnety potrafiące rozłożyć dowolnej wielkości
sieć - również operatorską - jest po prostu potrzebna (packa).

> Niską liczbę reklamacji można chyba tłumaczyć stosunkowo małym
> zrozumieniem zastosowanego mechanizmu. Łatwo znaleźć posty na
> blogach zdezorientowanych, nie wiedzących co się dzieje
> administratorów jakiś hobbystycznych serwerów.

Rafał mówił o działaniu Blue Line - znowu trochę w ramach zabawy
w adwokata diabła zapytam - jak myślisz, gdybyś to Ty miał coś
takiego zrobić w korporacji (to ważne), kontrolowałbyś wszystkie
aspekty tego projektu? I tak cud (naprawdę - cud), że taka duża
firma wprowadza usługę stworzoną i przepchniętą przez grupkę
zapaleńców - w większości innych korporacji takie pomysły są z
góry skazane na porażkę (wiem, bo rozmawiałem w 2005 i 2006 o
blackholingu z wieloma i tylko tam gdzie trafiałem na dyrektorów
technicznych którzy jeszcze wiedzieli jaka jest różnica między
adresem IP a międzykontynentalną rakietą balistyczną temat w ogóle
był dyskutowany dłużej niż 5 minut - a ilość takich spotkań
można policzyć na palcach jednej ręki ślepego drwala dzień po
Sylwestrze).

Zatem blue line, strony WWW, numer zgłaszania awarii itp - to pewnie
przyjdzie, świadomość ludzi też przyjdzie - ale potrzeba na to czasu -
nie lat, ale dni, tygodni pewnie. Tak jak było z graylistingiem,
otwartymi serwerami SMTP (popatrzcie w archiwa tej listy - ONET blokuje
mi poczte! etc) - ale ktoś w końcu wprowadził, może z błędami,
ale inni ucząc się na błędach i doskonaląc metodologię doszli dzisiaj
do jakiejś łaty na ogólnoświatowy system poczty elektronicznej.
Że 'łaty' są złe? A od kiedy w Internecie zwyciężają rozwiązania
najlepsze technologicznie?

Dzisiaj coraz więcej użytkowników komputerów wie że istnieje coś
takiego jak 'bot', że nie każdy antywirus jest dobry, a bardziej
'zaawansowani' zaczynają rozmawiać o host IPSach itd. itp. - czy
to dobrze, nie wiem, ale takie są realia. Zatem gdy za rok ktoś
zadzwoni na Blue Line z tekstem 'nie działa mi xxx.pl!' a pani odpowie
'ach, bo rozsyłają paskudy trojany przez jedną z podmienionych stron
i mają serwer C&C botnetu który właśnie atakuje jeden z większych
banków w Polsce, chronimy Pana' - to pewnie uznacie to już za
sytuację absolutnie normalną. Co więcej, podobne mechanizmy wprowadzą
inni operatorzy - broniąc własnej sieci przed zagrożeniami z
zewnątrz i wewnątrz. To że istnieją jeszcze niedociągnięcia po
stronie zarówno operacyjnej jak i technicznej - jest naturalne gdy
dopiero zaczyna się coś wprowadzać dla szerokiego odbiorcy.

Ktoś jednak ten trudny krok i masę g* musi na siebie zebrać - chyba
znowu jest tak, że trafiło na dobrego do bicia - no bo przecież TP jest
tak popularnym celem jak dowolna inna duża korporacja.

> Jeśli (lub raczej: kiedy) sprawa otrze się np o UOKiK i zyska
> nagłośnienie w mediach można się pewnie będzie spodziewać większego
> "odzewu". A kiedy prawnicy zaczną miedzy sobą dyskutować, co jest
> ograniczaniem dostępu a co nie - zrobi się naprawdę ciekawie.

Odnoszę wrażenie, że dyskusja o tym, że w umowach nie ma nic o tym
co to jest 'dostęp do Internetu' już się w paru miejscach toczy
(bo trudno zdefiniować co to właściwie jest dostęp do Internetu i jak
to mierzyć). Weźcie również pod uwagę, że operator (TP czy dowolny
inny) może zawsze po prostu powiedzieć, że stanowicie zagrożenie dla
jego sieci - i stąd zostaliście odstawieni do kwarantanny. I może to
powiedzieć o dowolnym innym zasobie w sieci. Co prowadzi do:

> Tymczasem, kiedy tylko moja umowa dobiegnie końca poszukam innego
> dostawcy. Nie żeby to kogoś obchodziło, jestem przecież jednym z
> tych stu.

...więc zabiorę swoje zabawki i pójdę do innej piaskownicy. Ale te
piaskownice są ze sobą połączone i prędzej czy później chyba lepiej
mieć piaskownice z często wymienianym piaskiem niż taką, w której
panuje 'wolność'. Oczywiście dobrze, że jest wolność i swoboda wyboru,
bo póki co operatorów (piaskownic) mamy >1, ale niestety
jeśli dzisiaj nie usiądziemy nad problemami podstawowymi - jutro
nikt nie będzie potrafił zapewnić działającego styku z Internetem - bo
przy dowolnej próbie budowy mechanizmów zabezpieczających od razu
będzie podnosił się krzyk 'o wolność'.

Jon Postel powiedział kiedyś, żeby być liberalnym w tym co otrzymujecie
z sieci, ale bardzo konserwatywnym w tym co się do niej wysyła. Ale
takie słowa bezlitośnie wykorzystują ludzie, którzy chcą zarabiać
pieniądze - stąd protokoły i mechanizmy, w zasadzie zawsze na początku
niedoskonałe, później trzeba obudowywać różnego rodzaju
zabezpieczeniami. Dzisiaj od jakości tych zabezpieczeń zaczyna zależeć
życie każdego z nas - wypłaty z bankomatów (stojących pod publicznymi,
niefiltrowanymi IP), za chwilę - marketingowa nadal - telemedycyna.
Gdzieś w tle bardzo wiele systemów wojskowych działających w
Internecie. To wszystko bardzo realne przykłady tego, jak bardzo jakość
tego co robimy jako ludzie wiąże się z tym, że Internet działa.

Nie ma co się obrażać na rzeczywistość - tylko spróbować znaleźć jakieś
sensowne rozwiązanie dla jej niedoskonałości. Skoro niedoskonałości
jest dużo, lepiej już teraz zakasać rękawy, a nie zmieniać piaskownicę.

(z całym szacunkiem dla wszystkich dyskutantów)
--
"Don't expect me to cry for all the | Łukasz Bromirski
reasons you had to die" -- Kurt Cobain | http://lukasz.bromirski.net

do góry

r...@g...com napisał(a):

> można pogdybać w przypadku
> rootnode - nie znam szczegółowo zasad hostowania w Ecatelu, poziomu
> wirtualizacji środowisk, praw dostępu, jakie mają osoby z rootnode
> etc.

Stowarzyszenie trzyma w tej serwerowni własne maszyny.


--
skx.

do góry

Witam.

Wprowadzonym rozwiązaniem jestem po prostu ZBULWERSOWANY. Już wiem,
dlaczego przy dostępie do niektórych witryn zamiast ich zawartości
pojawiała się informacja "strona zbyt długo nie odpowiada".

Tak jak ktoś już tutaj wspomniał, płacę (i to nie mało) - za dostęp do
internetu. Nie do przefiltrowanego intranetu TPSA "dla idiotów". Co
następne? Strach myśleć, patrząc przez pryzmat przywołanego chińskiego
honeypotu. Czy to właśnie jest modelowy przykład sieci dla TPSA? Chiny
Ludowe? Będziemy mieli "great firewall of Poland"?

Pan Rafał tutaj takie ładne bajeczki opowiada o walce z botnetami i
bezpieczeństwie. Tylko dlaczego strony internetowe i IRC są
niedostępne. Jedynym wynikiem tej pożal się Boże "walki" będzie
cenzura części witryn internetowych i wycinanie kolejnych usług. Z
resztą... już jest! Bo jak ktoś mówi o walce z botnetami a część WWW
leży to chyba coś tu jest nie tak, czy może takie pojęcie jak logika w
TPSA nie istnieje?

Piszę to jako klient TPSA. W Cieszynie, w województwie śląskim od pół
roku nie można się doprosić o podłączenie neostrady, bo nie ma
możliwości technicznych. Ogólnie z prefixem 033 i możliwościami
technicznymi jest ostatnio dość kiepsko. Szczególnie w weekendy i
między godzinami 16-22 transfer oscyluje w granicach 5-7 kb na 512 kb
łączu. Pingi do WP - 300-500ms, 5-15% strat. Za granicę o 100ms
gorzej. Oprogramowanie modemu sypie błędami. Wszystko zaczyna działać
dobrze... gdzieś po północy.

Człowiek dzwoni na infolinię.
Październik - modernizacja. "Do miesiąca będzie działać."
Listopad - modernizacja. "Do miesiąca będzie działać."
Grudzień - modernizacja. "Do nowego roku będzie działać."
No to dzwonię w styczniu. "Będzie działać w pierwszym kwartale 2009."

Jeden plus - że miło usłyszeć ludzki w dodatku kompetentny głos ze
strony TPSA. Więc i ja powiem ludzkim głosem bez zbytniego owijania.
Po prostu [przepraszam za wyrażenia] lecicie sobie w huja! Już prawie
KWARTAŁ nie mogę normalnie korzystać z internetu, no to teraz się
dowiedziałem że zamiast kiepsko działającego internetu będę miał tak
samo kiepski internet który w dodatku działa sobie tak jak chce.
Ostatnim razem, kiedy się wam zachciało bawić w "blokowanie"
przycięliście sieci osiedlowe, o2.pl i prawie padł kurnik.pl. Może
jestem pesymistą. Pewnie ktoś chciał dobrze ... a wyjdzie wam to jak
zwykle.

Co do maili do abuse to jest ich mało bo ludzie widzą "strona
niedostępna" i nie wiedzą o co chodzi. Może zamiast tego spróbujcie
wyświetlać przez tydzień komunikat o blokowaniu dostępu, coś w stylu
"Twój ulubiony dostawca usług stwierdził, że jesteś idiotą i nie
możesz obejrzeć witryny". Zobaczymy jak pomysł się "spodoba".

do góry

Art from [ t...@1...0.0.1 ] ...

: Nie wiem czy blackholing jako koncepcja z wycinaniem spamu to
: najlepszy pomysł, ale w ofercie TP są już usługi 'bezpieczeństwa
: zarządzalnego' (brrrr, przepraszam, taki marketingowy bełkot),
: w którym klient dostaje firewalla na którym może sobie wyłączyć
: i włączyć to co mu się podoba (IPSa AFAIR chyba też). Wiem, bo
: Cisco maczało w tym palce.
:
: Blackholing dużą packą na muchy jest - ale taka w przypadku skali
: zagrożenia jakim są botnety potrafiące rozłożyć dowolnej wielkości
: sieć - również operatorską - jest po prostu potrzebna (packa).

pięknie powiedziane.

blackholing jako reakcja na incydent i ochrona core - OK.

blackholing prewencyjny - bullshit, prewencja to niedopuszczenie do
podłączenia zarażonych stacji do sieci (skoro jest AFAYR IPS) a nie
kombinowanie jak nie dopuścić do eskalacji konkretnego (jednego - kto
powiedział że botnet musi mieć C&C?) typu zagrożenia. mam na myśli -
c'mon - zagrożenia nie pojawiły się z dnia na dzień!

trzeba było napisać od razu - botnety wśród klientów &TP są
zagrożeniem dla ich sieci core, a nie opowiadać bajki o szczepionkach,
antybiotykach. czopkach chyba :)

: 'ach, bo rozsyłają paskudy trojany przez jedną z podmienionych stron
: i mają serwer C&C botnetu który właśnie atakuje jeden z większych
: banków w Polsce, chronimy Pana'

ależ niech sobie blackhole'ują /32 ze swojej sieci, jeśli wykryją tam
C&C. nawet pewnie mają prawo aktywnie skanować należące do siebie klasy
w ich poszukiwaniu.

--
:|[ kondi.net ]|:::::::::::::::::::::::::::::::::::|[ 2:480/1...@f...org ]|:

do góry

To jeszcze - jako ciekawostka, i bardzo proszę nie wyciągać z tego
obrazka zbyt daleko idących wniosków - wykres prób wysłania przez nasz
serwer maili, dokonanych z adresów *.adsl.tpnet.pl i *.ppp.tpnet.pl
bez poprawnego uwierzytelnienia. Oczywiście w tym są też przypadki
(ale nieliczne), że naszemu użytkownikowi "się omsknęło".

Od końca września do dziś.

http://www.fuw.edu.pl/~michalj/temp/tpnet.pdf

MJ
PS. 11 Nov to jest data zamknięcia mccolo...

do góry