Tak sie sklada, ze era irc'a powoli odchodzi w zapomnienie. Na
szczescie zadko ktore dziecko neostrady wie co to jest irc i moze
lepiej ze tak sie stalo.

Z wlasnych analiz ruchu w naszej firmie (AS8883) jak i rozmow ze
znajomym ktory robi w firmie zajmujacej sie tematyka AV moge
powiedziec, ze 80% znanych przypadkow botnetow do komunikacji uzywa
irc'a.


Polityka TP odnosnie blokowania pewnych zasobow wymaga zdecydowanej
korekty. Cirka 2 m-c temu grasowal wirus wykorzystujacy dziure we
flash playerze, wykradajacy hasla do kont ftp/sftp i doklejajacy swoj
kod do plikow html, php. Wystarczylo przyblokowac pare IP aby
ograniczyc ekspansje zombie. Kod js wstrzykniety przez zombie
moznabylo znalezc nawet na kilku stronach rzadowych w tym
cop14.gov.pl. Mimo licznych prosb o ustosunkowanie sie do problemu -
zero reakcji.

--
Matt Rutkowski

do góry

Piotr KUCHARSKI <c...@s...waw.pl> wrote:

> FWIW, nie znalazłem żadnego kontrolera botnetu, nawet po dostarczeniu
> jakichś logów (żaden z podanych ip nie wchodził na nasze serwery).
> Mimo to i tak wdrożyłem to, co tepsa sobie życzyła (dodatkowe rble i różne
> sprawdzanie). Dalej mało. Dalej nie jestem przekonany, że to nasz problem,
> ale chętnie wdrożę kolejne sprawdzania, jeśli ktoś powie, co na pewno nas
> uchroni przed :997 (imo nic, bo nie wiadomo, na jakich zasadach się tam
> trafia).

No i tutaj trafiamy do meritum. Zgadzam się, że zasady powinny być
jasne i czytelne wraz z informacjami czemu dany IP trafił na :997,
podobnie jak to jest w przypadku spamcopów, czy innych podobnych.
Tego oczywiście brakuje i to imho błąd. Nie ma takiej informacji
prawodpobnie dlatego, że listę zlbackholowanych IPków kupuje się
od firmy X i nie wiadomo, czy taka informacja w ogóle gdziekolwiek
jest udostępniana - nawet samej TPSA.

> Ba, nawet proponowałem, że możemy automatycznie ściągać skądś tę listę
> adresów IP rzekomych kontrolerów botnetów i po prostu im automatycznie
> stawiać K-line. Ale nie spotkało się to z pozytywnym odzewem. Lista jest
> tajna. Rzecz jasna.

Rzeczywiście dziwne, obydwie strony powinny ściśle współpracować,
tym bardziej, że ścieżka kontaktowa jest oczywista, czego powiedzmy
nie można powiedzieć o kontrolerach umiejciowionych np. w Gabonie - tam
kontakt niekoniecznie musi być łatwy.


>> Co jest lepsze, znaczna redukcja spamu,
>> czu nie działający serwis, którego mirrorów jest kilkanaście?
>
> Serwery ircnetu nie do końca mają mirrory.

No nie mów, że macie jeden serwer ircnetu.

--
ŁT

do góry

Krzysztof Halasa <k...@p...waw.pl> wrote:

>> Podejrzewam, że słyszą, polipa przecież wszyscy czytają. ;P
>> Jaka jest pewnoeść, że adminsitratorzy gimpa czy icnetu uporali się
>> już konrtolerami botnetów?
>
> A byly tam jakies w ogole? Jakies dane zrodlowe moze?

Takie dane są, z tym że niekoniecznie publiczne.

>> Co jest lepsze, znaczna redukcja spamu,
>> czu nie działający serwis, którego mirrorów jest kilkanaście?
>
> Ta redukcja spamu to byloby pewnie cos, problem w tym, ze tylko
> "byloby". Jakies dane nt. tej redukcji?

Przyjmij do wiadomości, że jest, a nie byłoby.

> Ergo: TP ma w "glebokim powazaniu" zawarte przez siebie umowy itd.
> natomiast 997 sluzy chyba komus tylko do "wykazania sie".

Jakie dokładnie umowy?

--
ŁT

do góry

Michal Jankowski <m...@f...edu.pl> wrote:

> Zagraniczni operatorzy nie mają oporów przed blokadą portu 25. Simple
> as that.

To jest najlepsze rozwiązanie, z tym że pewnie w określonych warunkach
nie łatwe do szybkiego wdrożenia i zapewne nie chodzi o aspekty techniczne,
bo to akurat nie problem.

--
ŁT

do góry

Matt Rutkowski <m...@g...com> wrote:
> kolejny odcinek sporu kretyni kontra kretyni ...

Nie masz nic do powiedzenia, to siedź cicho lub idź do innej piaskownicy.

--
ŁT

do góry

On 2009-04-19 02:38, Matt Rutkowski wrote:
> Tak sie sklada, ze era irc'a powoli odchodzi w zapomnienie. Na
> szczescie zadko ktore dziecko neostrady wie co to jest irc i moze
> lepiej ze tak sie stalo.
>
> Z wlasnych analiz ruchu w naszej firmie (AS8883) jak i rozmow ze
> znajomym ktory robi w firmie zajmujacej sie tematyka AV moge
> powiedziec, ze 80% znanych przypadkow botnetow do komunikacji uzywa
> irc'a.

Nie do końca rozumiem, co chcesz powiedzieć. Zakładasz, że jak
"IRC się skończy" to botnety przestaną istnieć?

Co do znajomych i ich opinii - duże boty przestają powoli używać
irca i przenoszą się na swoje rozwiązania a'la P2P. I szyfrowane,
i otwartym tekstem - różnie to bywa. A to, że czegoś nie widzisz,
nie znaczy, że tego tam nie ma. O czym przekonała się niedawno
pewna duża sieć w Warszawie ;P

> Polityka TP odnosnie blokowania pewnych zasobow wymaga zdecydowanej
> korekty.

To szukaj kontaktu do osób z TP i jeśli będziesz miał coś merytorycznego
do powiedzenia to może postanowią z Tobą porozmawiać?

--
"Don't expect me to cry for all the | Łukasz Bromirski
reasons you had to die" -- Kurt Cobain | http://lukasz.bromirski.net

do góry

On 2009-04-19 01:59, Marcin Kuczera wrote:

> napisałem raczej w tonie, ze to jest dobry interes i gdybym ja się tym
> zajmował to naturalne by było ze szedł bym w zaparte.

Myślę sobie, że insynuowanie (jak słusznie Szymon napisał) co do
konkretnych osób, że mają w utrzymywaniu botnetów schowanych za
serwerami IRC interes i niekoniecznie na grupie publicznej muszą się
do niego przyznawać, było po prostu trochę niegrzeczne - bo za daleko
idące. My 0.02 boliwijskich czegoś-tam.

TP ma skądś dane że tam jest 'coś', ludzie od serwerów mówią że nie
mają - no i teraz pytanie czy publiczna dyskusja moja, Twoja i paru
innych osób z polipa, które ani tych serwerów nie obsługują, ani nie
pracują w TP w dziale bezpieczeństwa sieci coś da. Bicie piany jest
może i fajne, ale mało produktywne ;P

--
"Don't expect me to cry for all the | Łukasz Bromirski
reasons you had to die" -- Kurt Cobain | http://lukasz.bromirski.net

do góry

Lukasz Trabinski <l...@t...nospam.net> writes:

>> Ta redukcja spamu to byloby pewnie cos, problem w tym, ze tylko
>> "byloby". Jakies dane nt. tej redukcji?
>
> Przyjmij do wiadomości, że jest, a nie byłoby.

Sorry, jeżeli masz rozmawiać takim językiem, to lepiej zamilknij na
wieki.

MJ

do góry

Lukasz Trabinski <l...@t...nospam.net> writes:

> To jest najlepsze rozwiązanie, z tym że pewnie w określonych warunkach
> nie łatwe do szybkiego wdrożenia

No jakbym Gierka słyszał.

MJ

do góry

Michal Jankowski <m...@f...edu.pl> wrote:
> Lukasz Trabinski <l...@t...nospam.net> writes:
>
>>> Ta redukcja spamu to byloby pewnie cos, problem w tym, ze tylko
>>> "byloby". Jakies dane nt. tej redukcji?
>>
>> Przyjmij do wiadomości, że jest, a nie byłoby.
>
> Sorry, jeżeli masz rozmawiać takim językiem, to lepiej zamilknij na
> wieki.

Zastosowałem identyczny język jak przedmówca. Temat jest kontrowersyjny,
Doczekał się już paru paneli dyskusyjnych, w tym dwóch na PLNOGu oraz
spotkaniu w NASKu z udziałem prezdstawicieli grup Abuse, CERT Polska,
UKE, Policji oraz przedstawicieli największych ISP w PL. Prezentowane
były tam statystyki reudkcji spamów, poprzez blokade botnetów.
Poruszane aspekty techniczno i prawne itp. Te drugie wydają się być
najbardziej interesujące, bo technicznie wykonać się da prawie wszystko.
Szkoda, że nie uczestniczycie w takich spotkaniach, skoro jesteście
zainteresowani tematem, tylko płaczecie jak dzieci na polipie.
Eot z mojej strony, bo chyba rzeczywiście nie warto...

--
ŁT

do góry