On Thu, 01 Jan 2009 14:46:55 +0100, Łukasz Bromirski <t...@1...0.0.1>
wrote:
> Ale tak już jest. To że duża część botnetów nadal używa serwerów
> IRC na własny użytek wynika tylko z ogólnej dostępności gotowego
> do skompilowania kodu.
No to po takich zabiegach proporcje się obrócą, a szansa relatywnie
prostego pojmania mniej zdolnych przestępców odpłynie razem z serwerami
IRC. Dobry plan.

> Uważam że lepiej że coś w ogóle robią niż mieliby nie robić nic - należy
> oddać TP (Konradowi?) wielki szacun za to, że w takiej organizacji jak
> TP chciało mu się wykłócać z poszczególnymi szczeblami decyzyjnymi o
> zgodę, pisać regulaminy/etc.
Bez jaj; to nie jest robienie czegokolwiek, tylko tracenie czasu i zasobów
na tradycyjne leczenie skutków bez nawet muśnięcia przyczyn. Pomijam już
mierzenie tego "czegokolwiek" centralnie w użytkowników, którzy nadal mają
nieświadomie syfa na komputerze. Polskie serwery IRC? No come on... Toż to
siedlisko botów... Wyleciało w jednej chwili 9 czy 10 "botów" z kanału, na
którym rozmawia sobie 70 osób. To jest jedyny długofalowy skutek tej
akcji. (I tak miło, że tylko 9-10, kiedyś drzewiej byłoby to 40-50 sesji
zapewne). Przy okazji jeszcze paru niewinnym się dostało i obroty
wynikające z ich www spadły o neostradę.

> Po pierwsze, skąd wiesz że to bot? Skoro sesja jest na 80/tcp lub
> 587/tcp szyfrowana SSLem, albo na 22/tcp w tunelu SSH, albo na
> 4662/tcp? Albo na paruset innych portach "powszechnie używanych"?
> Trzeba mieć jakąś metodę identyfikacji ruchu od klientów - czego,
> według mojej najlepszej wiedzy TP nie ma.
Za to ma metodę identyfikacji, gdzie łączą się boty, żeby to wyciąć? To
chyba powinno działać w obu kierunkach. No chyba że ktoś inny ma metodę
(wielce niedoskonałą, jak widać na załączonym obrazku), a TP się pod nią
podpięła. Cóż, prasówka mówiła co innego ;>

> Po drugie, w skali operatora utrzymanie w FIBach wszystkich routerów
> paruset tysięcy /32'ek jest miłe jeśli jesteś akademickim badaczem,
> być może jest też smutną przyszłością - ale na razie się po prostu
> nie dzieje. Prościej zatem blokować teoretycznie łatwo identyfikowalne
> źródła botnetów, czyli ich punkty kontaktowe (serwery IRC, cokolwiek),
> niż klientów.
Ależ ja mam świadomość tego, że to jest prostsze. I do tego właśnie piję,
że robi się proste, zamiast dobre. Po co to robić, żeby ładnie w
biuletynie wyglądało? Wycięliśmy dostęp do IRC, bo IRC to usługa do abuse
i nikt z niej normalny nie korzysta? OK... Boli tylko to, że osoby
odpowiedzialne za egzekucję tegoż miały pewnie świadomość tego co robią.

> Żeby zrobić to dobrze - nie odcinając portu 25/tcp i nie robiąc innych
> fatalnych głupot - trzeba to zrobić porządnie. Mówiłem o tym na swojej
> sesji na Cisco Expo, opierając się w głównej mierze na praktycznych
> doświadczeniach ludzi walczących z takimi rzeczami codziennie w
> sieciach AT&T, Sprintu itp. Ale taka 'praca u podstaw' jak widać
> po pierwsze musi trwać latami, a po drugie - często traktowana jest
> jako marketing vendora ('bo my przecież i tak wiemy lepiej jak to się
> robi'). No i skutki widać.
Niestety, w skali /11 trudno jest się bawić w śledzenie połączeń do
serwerów SMTP per IP; jedyne uniwersalnie dobre miejsce które przychodzi
mi do głowy, to w przypadku TP DLSAMy, które zapewne takich czarów nie
potrafią. Filtrowanie jakichkolwiek większych usług w ten sposób i tak
prowadzi do 0700-TPSA i tradycyjnego "naprawcie albo wypowiadam umowę".