On 2009-01-01 03:05, Paweł Tyll wrote:
> On Wed, 31 Dec 2008 14:33:25 +0100, Lukasz Trabinski
> <l...@t...nospam.net> wrote:
>> W sumie, punkt widzenia, zależy od punktu siedzenia
> Punkt widzenia jest taki, że komunikacja botnetów zostanie
> zmodernizowana o jakiś SSL i wszystko wróci do normy. Może jeszcze
> jakiś protokół P2P zostanie zapożyczony do wyeliminowania centralnego
> punktu.

Ale tak już jest. To że duża część botnetów nadal używa serwerów
IRC na własny użytek wynika tylko z ogólnej dostępności gotowego
do skompilowania kodu.

Te botnety które są tworzone przez typowe organizacje przestępcze
przeszły już jakiś czas temu na sesje szyfrowane bez punktu
centralnego.

Z ciekawostek - kupując 'usługę' skorzystania z botnetu dostaje się
płytkę CD (lub ISO tejże) z zestawem jednorazowych kodów do
aktywowania/zatrzymania ataku. Kody mogą zostać unieważnione przez
sprzedającego. Itd. itp. To nie jest już zabawa w 'zablokujmy IP'.
A źle wpisany kod kończy się ostrzegawczym DDoSem IP z którego
kod próbowano wpisać.

> Niezależnie od powyższych oczywiście takie praktyki spowodują, że
> botów ubędzie...w fantazjach zrodzonych w czyjejś naiwnej głowie.

Uważam że lepiej że coś w ogóle robią niż mieliby nie robić nic - należy
oddać TP (Konradowi?) wielki szacun za to, że w takiej organizacji jak
TP chciało mu się wykłócać z poszczególnymi szczeblami decyzyjnymi o
zgodę, pisać regulaminy/etc.

To że 'chcieliśmy dobrze, wyszło jak zawsze' jest już pewnie
nieodłączną cechą tej organizacji (choć chciałbym się mylić). Miliony
użytkowników, ale call center nie ma pojęcia jak działa i co powoduje
ten nowy mechanizm bezpieczeństwa - sprzedaż masowa.

> Zamiast odcinać /32 do których łączą się boty, lepiej odcinać /32
> z których łączą się boty

Po pierwsze, skąd wiesz że to bot? Skoro sesja jest na 80/tcp lub
587/tcp szyfrowana SSLem, albo na 22/tcp w tunelu SSH, albo na
4662/tcp? Albo na paruset innych portach "powszechnie używanych"?
Trzeba mieć jakąś metodę identyfikacji ruchu od klientów - czego,
według mojej najlepszej wiedzy TP nie ma.

Po drugie, w skali operatora utrzymanie w FIBach wszystkich routerów
paruset tysięcy /32'ek jest miłe jeśli jesteś akademickim badaczem,
być może jest też smutną przyszłością - ale na razie się po prostu
nie dzieje. Prościej zatem blokować teoretycznie łatwo identyfikowalne
źródła botnetów, czyli ich punkty kontaktowe (serwery IRC, cokolwiek),
niż klientów.

Żeby zrobić to dobrze - nie odcinając portu 25/tcp i nie robiąc innych
fatalnych głupot - trzeba to zrobić porządnie. Mówiłem o tym na swojej
sesji na Cisco Expo, opierając się w głównej mierze na praktycznych
doświadczeniach ludzi walczących z takimi rzeczami codziennie w
sieciach AT&T, Sprintu itp. Ale taka 'praca u podstaw' jak widać
po pierwsze musi trwać latami, a po drugie - często traktowana jest
jako marketing vendora ('bo my przecież i tak wiemy lepiej jak to się
robi'). No i skutki widać.

--
"Don't expect me to cry for all the | Łukasz Bromirski
reasons you had to die" -- Kurt Cobain | http://lukasz.bromirski.net