eGospodarka.pl
eGospodarka.pl poleca

eGospodarka.plGrupypl.internet.polipTP nie lubi GIMPa czy co?Re: TP nie lubi GIMPa czy co?
  • Path: news-archive.icm.edu.pl!news.gazeta.pl!not-for-mail
    From: Łukasz Bromirski <t...@1...0.0.1>
    Newsgroups: pl.internet.polip
    Subject: Re: TP nie lubi GIMPa czy co?
    Date: Thu, 01 Jan 2009 14:46:55 +0100
    Organization: "Portal Gazeta.pl -> http://www.gazeta.pl"
    Lines: 65
    Message-ID: <gjihgd$r8q$1@inews.gazeta.pl>
    References: <2...@c...fuw.edu.pl> <2...@c...fuw.edu.pl>
    <nphlz8jnbhgb$.dlg@falcon.sloth.hell.pl>
    <2...@c...fuw.edu.pl>
    <1...@f...sloth.hell.pl>
    <2...@c...fuw.edu.pl> <gjds3q$gci$2@portraits.wsisiz.edu.pl>
    <2...@c...fuw.edu.pl> <gjdtiv$h6b$1@portraits.wsisiz.edu.pl>
    <2...@c...fuw.edu.pl> <gjdua9$hel$1@portraits.wsisiz.edu.pl>
    <9...@e...googlegroups.com>
    <gjfsb5$djq$1@portraits.wsisiz.edu.pl> <op.um12qvnhdpn5qi@ofca>
    NNTP-Posting-Host: dtb233.neoplus.adsl.tpnet.pl
    Mime-Version: 1.0
    Content-Type: text/plain; charset=ISO-8859-2; format=flowed
    Content-Transfer-Encoding: 8bit
    X-Trace: inews.gazeta.pl 1230817614 27930 83.24.239.233 (1 Jan 2009 13:46:54 GMT)
    X-Complaints-To: u...@a...pl
    NNTP-Posting-Date: Thu, 1 Jan 2009 13:46:54 +0000 (UTC)
    X-User: y0d4
    In-Reply-To: <op.um12qvnhdpn5qi@ofca>
    User-Agent: Mozilla/5.0 (Windows; U; Windows NT 6.0; en-US; rv:1.9.1b3pre)
    Gecko/20081204 Thunderbird/3.0b1
    Xref: news-archive.icm.edu.pl pl.internet.polip:88004
    [ ukryj nagłówki ]

    On 2009-01-01 03:05, Paweł Tyll wrote:
    > On Wed, 31 Dec 2008 14:33:25 +0100, Lukasz Trabinski
    > <l...@t...nospam.net> wrote:
    >> W sumie, punkt widzenia, zależy od punktu siedzenia
    > Punkt widzenia jest taki, że komunikacja botnetów zostanie
    > zmodernizowana o jakiś SSL i wszystko wróci do normy. Może jeszcze
    > jakiś protokół P2P zostanie zapożyczony do wyeliminowania centralnego
    > punktu.

    Ale tak już jest. To że duża część botnetów nadal używa serwerów
    IRC na własny użytek wynika tylko z ogólnej dostępności gotowego
    do skompilowania kodu.

    Te botnety które są tworzone przez typowe organizacje przestępcze
    przeszły już jakiś czas temu na sesje szyfrowane bez punktu
    centralnego.

    Z ciekawostek - kupując 'usługę' skorzystania z botnetu dostaje się
    płytkę CD (lub ISO tejże) z zestawem jednorazowych kodów do
    aktywowania/zatrzymania ataku. Kody mogą zostać unieważnione przez
    sprzedającego. Itd. itp. To nie jest już zabawa w 'zablokujmy IP'.
    A źle wpisany kod kończy się ostrzegawczym DDoSem IP z którego
    kod próbowano wpisać.

    > Niezależnie od powyższych oczywiście takie praktyki spowodują, że
    > botów ubędzie...w fantazjach zrodzonych w czyjejś naiwnej głowie.

    Uważam że lepiej że coś w ogóle robią niż mieliby nie robić nic - należy
    oddać TP (Konradowi?) wielki szacun za to, że w takiej organizacji jak
    TP chciało mu się wykłócać z poszczególnymi szczeblami decyzyjnymi o
    zgodę, pisać regulaminy/etc.

    To że 'chcieliśmy dobrze, wyszło jak zawsze' jest już pewnie
    nieodłączną cechą tej organizacji (choć chciałbym się mylić). Miliony
    użytkowników, ale call center nie ma pojęcia jak działa i co powoduje
    ten nowy mechanizm bezpieczeństwa - sprzedaż masowa.

    > Zamiast odcinać /32 do których łączą się boty, lepiej odcinać /32
    > z których łączą się boty

    Po pierwsze, skąd wiesz że to bot? Skoro sesja jest na 80/tcp lub
    587/tcp szyfrowana SSLem, albo na 22/tcp w tunelu SSH, albo na
    4662/tcp? Albo na paruset innych portach "powszechnie używanych"?
    Trzeba mieć jakąś metodę identyfikacji ruchu od klientów - czego,
    według mojej najlepszej wiedzy TP nie ma.

    Po drugie, w skali operatora utrzymanie w FIBach wszystkich routerów
    paruset tysięcy /32'ek jest miłe jeśli jesteś akademickim badaczem,
    być może jest też smutną przyszłością - ale na razie się po prostu
    nie dzieje. Prościej zatem blokować teoretycznie łatwo identyfikowalne
    źródła botnetów, czyli ich punkty kontaktowe (serwery IRC, cokolwiek),
    niż klientów.

    Żeby zrobić to dobrze - nie odcinając portu 25/tcp i nie robiąc innych
    fatalnych głupot - trzeba to zrobić porządnie. Mówiłem o tym na swojej
    sesji na Cisco Expo, opierając się w głównej mierze na praktycznych
    doświadczeniach ludzi walczących z takimi rzeczami codziennie w
    sieciach AT&T, Sprintu itp. Ale taka 'praca u podstaw' jak widać
    po pierwsze musi trwać latami, a po drugie - często traktowana jest
    jako marketing vendora ('bo my przecież i tak wiemy lepiej jak to się
    robi'). No i skutki widać.

    --
    "Don't expect me to cry for all the | Łukasz Bromirski
    reasons you had to die" -- Kurt Cobain | http://lukasz.bromirski.net

Podziel się

Poleć ten post znajomemu poleć

Wydrukuj ten post drukuj


Następne wpisy z tego wątku

Najnowsze wątki z tej grupy


Najnowsze wątki

Szukaj w grupach

Eksperci egospodarka.pl

1 1 1

Wpisz nazwę miasta, dla którego chcesz znaleźć jednostkę ZUS.

Wzory dokumentów

Bezpłatne wzory dokumentów i formularzy.
Wyszukaj i pobierz za darmo: