-
Data: 2009-01-01 13:46:55
Temat: Re: TP nie lubi GIMPa czy co?
Od: Łukasz Bromirski <t...@1...0.0.1> szukaj wiadomości tego autora
[ pokaż wszystkie nagłówki ]On 2009-01-01 03:05, Paweł Tyll wrote:
> On Wed, 31 Dec 2008 14:33:25 +0100, Lukasz Trabinski
> <l...@t...nospam.net> wrote:
>> W sumie, punkt widzenia, zależy od punktu siedzenia
> Punkt widzenia jest taki, że komunikacja botnetów zostanie
> zmodernizowana o jakiś SSL i wszystko wróci do normy. Może jeszcze
> jakiś protokół P2P zostanie zapożyczony do wyeliminowania centralnego
> punktu.
Ale tak już jest. To że duża część botnetów nadal używa serwerów
IRC na własny użytek wynika tylko z ogólnej dostępności gotowego
do skompilowania kodu.
Te botnety które są tworzone przez typowe organizacje przestępcze
przeszły już jakiś czas temu na sesje szyfrowane bez punktu
centralnego.
Z ciekawostek - kupując 'usługę' skorzystania z botnetu dostaje się
płytkę CD (lub ISO tejże) z zestawem jednorazowych kodów do
aktywowania/zatrzymania ataku. Kody mogą zostać unieważnione przez
sprzedającego. Itd. itp. To nie jest już zabawa w 'zablokujmy IP'.
A źle wpisany kod kończy się ostrzegawczym DDoSem IP z którego
kod próbowano wpisać.
> Niezależnie od powyższych oczywiście takie praktyki spowodują, że
> botów ubędzie...w fantazjach zrodzonych w czyjejś naiwnej głowie.
Uważam że lepiej że coś w ogóle robią niż mieliby nie robić nic - należy
oddać TP (Konradowi?) wielki szacun za to, że w takiej organizacji jak
TP chciało mu się wykłócać z poszczególnymi szczeblami decyzyjnymi o
zgodę, pisać regulaminy/etc.
To że 'chcieliśmy dobrze, wyszło jak zawsze' jest już pewnie
nieodłączną cechą tej organizacji (choć chciałbym się mylić). Miliony
użytkowników, ale call center nie ma pojęcia jak działa i co powoduje
ten nowy mechanizm bezpieczeństwa - sprzedaż masowa.
> Zamiast odcinać /32 do których łączą się boty, lepiej odcinać /32
> z których łączą się boty
Po pierwsze, skąd wiesz że to bot? Skoro sesja jest na 80/tcp lub
587/tcp szyfrowana SSLem, albo na 22/tcp w tunelu SSH, albo na
4662/tcp? Albo na paruset innych portach "powszechnie używanych"?
Trzeba mieć jakąś metodę identyfikacji ruchu od klientów - czego,
według mojej najlepszej wiedzy TP nie ma.
Po drugie, w skali operatora utrzymanie w FIBach wszystkich routerów
paruset tysięcy /32'ek jest miłe jeśli jesteś akademickim badaczem,
być może jest też smutną przyszłością - ale na razie się po prostu
nie dzieje. Prościej zatem blokować teoretycznie łatwo identyfikowalne
źródła botnetów, czyli ich punkty kontaktowe (serwery IRC, cokolwiek),
niż klientów.
Żeby zrobić to dobrze - nie odcinając portu 25/tcp i nie robiąc innych
fatalnych głupot - trzeba to zrobić porządnie. Mówiłem o tym na swojej
sesji na Cisco Expo, opierając się w głównej mierze na praktycznych
doświadczeniach ludzi walczących z takimi rzeczami codziennie w
sieciach AT&T, Sprintu itp. Ale taka 'praca u podstaw' jak widać
po pierwsze musi trwać latami, a po drugie - często traktowana jest
jako marketing vendora ('bo my przecież i tak wiemy lepiej jak to się
robi'). No i skutki widać.
--
"Don't expect me to cry for all the | Łukasz Bromirski
reasons you had to die" -- Kurt Cobain | http://lukasz.bromirski.net
Następne wpisy z tego wątku
- 01.01.09 14:26 Michał Kurowski
- 01.01.09 14:32 Paweł Tyll
- 01.01.09 14:43 Grzegorz Staniak
- 01.01.09 14:34 Szymon Sokół
- 01.01.09 14:38 Paweł Tyll
- 01.01.09 14:52 Krzysztof Halasa
- 01.01.09 14:58 Paweł Tyll
- 01.01.09 15:09 Krzysztof Halasa
- 01.01.09 15:33 Grzegorz Staniak
- 01.01.09 15:25 Krzysztof Halasa
- 01.01.09 15:29 Robert Rędziak
- 01.01.09 15:30 Mariusz Kruk
- 01.01.09 15:35 Mariusz Kruk
- 01.01.09 15:47 Grzegorz Staniak
- 01.01.09 15:44 Paweł Tyll
Najnowsze wątki z tej grupy
- Jest tutaj kto? Halo, Darius Expert?
- Czy to konieczne? ATMAN - 30.06.2019 - Wyłączenie news.atman.pl
- pl.internet.polip - is DEAD?
- ovh
- INEA
- Prośba o traceroute z Vectry
- BGP - wszyscy wkładają głowę w piasek.
- http://pl
- Re: Czemu jest wylaczany serwer w3cache.icm.edu.pl ?
- Taaaka integracaj na rynku, a tu nikt, nic..
- Alternatywna sieć dla internetu kiedyś w Polsce
- ooerator gsm + stały ip z revdns
- Dostęp do ip nostrady
- narzędzia do weryfikacji poprawności bazy WHOIS
- T-mobile bawi się w MITM....
Najnowsze wątki
- 2024-12-28 Antyradar
- 2024-12-28 Deweloper przegral w sadzie musi zwrócic pieniądze Posypia sie kolejne pozwy?
- 2024-12-28 Warszawa => Full Stack .Net Engineer <=
- 2024-12-28 Warszawa => Sales Assistant <=
- 2024-12-28 Warszawa => Programista Full Stack .Net <=
- 2024-12-28 Warszawa => Full Stack web developer (obszar .Net Core, Angular6+) <=
- 2024-12-28 Katowice => Head of Virtualization Platform Management and Operating S
- 2024-12-28 Błonie => Analityk Systemów Informatycznych (TMS SPEED) <=
- 2024-12-28 Warszawa => Senior Frontend Developer (React + React Native) <=
- 2024-12-28 Żerniki => Employer Branding Specialist <=
- 2024-12-28 ale zawziętość i cierpliwość
- 2024-12-27 most kilometrowy
- 2024-12-27 Dyplomaci a alkomaty
- 2024-12-27 Zmiana kary
- 2024-12-27 Chiński elektrolizer tester wody