On 3 Sty, 14:18, "l...@g...com"
<l...@g...com> wrote:
> 1. Na jakich _dokładnie_ zasadach wybierane są IP do zablokowania? Nie
> chodzi mi o score czy algorytm jego obliczania, ale żeby dało się
> sprawdzić, na podstawie której listy - jakich przesłanek, dany adres
> IP "nie działa". Obecnie nie ma żadnych informacji na ten temat poza
> "W przypadku zaistnienia wątpliwości prosimy o kontakt z zespołem TP
> CERT". Sprzyja to pojawianiu się teorii spiskowych oraz zakładów, co
> następne zablokują?

Dziękuję ślicznie za to pytanie, mam nadzieję, że odpowiedź nieco
wyjaśni, nawet pomimo tego, że nie może być aktualnie pełna :(

Na początek co do samego "blackholingu". W pierwszych oficjalnych
komunikatach celowo nie używalismy tego terminu - dlatego, że jest
jest ono z jednej strony technicznie precyzyjne i wyjaśnia jaki
mechanizm sieciowy wykorzystujemy, z drugiej strony niestety może
wprowadzić w błąd jeżeli chodzi o odpowiedź na pytanie co i po co
blokujemy. BGP-blackholingu inaczej nieco można użyć do reakcji na
ddos w toku, inaczej używamy tego w naszym przypadku...Jeżeli DNS
będzie określone domeny resolvował do 127.0.0.1 to też to będzie w
sumie "blackholing"...;)

My używamy aktualnie BGP blackholingu do blokowania adresów, pod
którymi znajdują się wedle najlepszej wiedzy naszej i współpracujących
dostawców serwery C&C botnetów pewnych klas. Aktualnie nie korzystamy
bezpośrednio z publicznie dostępnych BL, a z definicji nie z BL
zawierających "źródła spamu". Nazw firm z którymi współpracujemy nie
chcę teraz podawać między innymi dlatego, że rozwiązanie jest wciąż
testowe i źródła mogą się zmienić. W przypadku, kiedy pomysł
pozostanie z nami na dłużej (czyli okaże się skuteczny) na pewno nie
będę miał problemu ze wskazaniem ludzi i firm, z którymi dzielimy ten
sukces. Przy czym wciąż może to oznaczać, że nie będzie możliwości
wskazania na jakąkolwiek publicznie dostępną czarną listę - z tego
prostego powodu, że wykorzystywane przez nas nie będą publiczne. Nie
mam silnych obaw z tym związanych - w biznesie jest tak, że silny
związek o charakterze komercyjnym pomiędzy firmami, które dbają o
swoją markę (i przyszłe relacje ;), jest często wystarczającą
gwarancją jakości danych.

Prośba o kontakt z CERTem wynika z tego, że otrzymując prośbę jesteśmy
w stanie (jeżeli nie są to nasze dane na podstawie umowy z dostawcą)
zweryfikować bezpośrednie przesłanki (logi) uzasadniające blokowanie
adresu, i taki, a nie inny "scoring". Proszę jednocześnie o
wyrozumiałość - nie zawsze te logi będziemy w stanie automatycznie
dostarczyć bezpośrednio zainteresowanym (chociażby dlatego, że mogą
zawierać adresy honeypotów etc), czasem musimy ograniczyć się do
potwierdzenia, że tego a tego dnia o tej i o tej godzinie ruch
kontrolny z danego adresu został zarejestrowany i zweryfikowany. Może
to wyglądać na "sąd kapturowy", ale nie taka jest nasza intencja, i
nie ma to nic wspólnego z arogancją. Jedyne, o co mogę prosić to
odrobina zaufania - jeżeli nie do TP, to do mojego zespołu, który
tworzyłem cztery lata temu w opozycji do tego, czego jako klient i
pracownik w TP nie lubię, i o zmianę czego bezustannie obiecuję
walczyć ;).

> 2. Jaka jest procedura reweryfikacji hosta? To się chyba samo wyjaśni
> po ujawnieniu z jakich BL korzysta TPSA.

W dużym stopniu automatyczna + "białkowe" wspomaganie na wypadek
błędów, które mogą zdarzyć się w najlepszej rodzinie. Zagrożenia są
automatycznie weryfikowane co mniej więcej siedem minut - więc daje to
dosyć dobry pogląd na temat rzeczywistej aktywności danego hosta.
Istnieje poziom graniczny, poniżej którego host zostaje automatycznie
odblokowany, i nie ulegnie powtórnej blokadzie, jeżeli nie powróci do
złych nawyków. Pamiętliwi nie jesteśmy ;)

> 3. Dlaczego błękitna linia jak zwykle niczego nie wie? Czyli odwieczna
> bolączka zarówno klientów TP jak i dostawców usług, którzy muszą
> namawiać klientów do dzwonienia na błękitną linię, tylko po to aby TP
> odbiła piłeczkę "my nie mamy żadnych serwerów DNS, nic nam o tym nie
> wiadomo".

Pracuję w tej samej firmie, więc mogę tylko przeprosić i obiecać, że
zrobię awanturę :(. Dostarczyliśmy do contact centre wszystkie
niezbędne informacje i procedury - niestety prawdopodobnie ze względu
na okres świąteczny (duża rotacja personelu?) informacje nie
rozpropagowały się wystarczająco szybko.

>
> Co do "działania" ircnetu, to irc ping na poziomie 2-3 sekund nie
> pomaga w rozmowie. Całe szczęście, że mam normalne połączenie do
> internetu.

Wiem, że jest to utrudnienie - odpowiadałem powyżej w pewnej
konwencji, którą nawiasem mówiąc, potrafię u rozmówców docenić ;)...

Co do IRCa - wiele wskazuje na to, że to będą przejściowe trudności.
Między innymi również dlatego cieszę się, że najbardziej intensywna
dyskusja toczy się na polipie, bo wpada tu sporo osób, które mogą nam
pomóc. My już swój ruch wykonaliśmy - mam nadzieję, że coraz większej
liczbie osób wydaje się on rozsądny - sygnalizując, że TP nie planuje
pozostawać bierna w obliczu zagrożeń w Internecie. Myślę, że już
niedługo w wyniku całej akcji obudzimy się w nieco (na początek
odrobinę) lepszym świecie ;).

Pozdrawiam serdecznie,

Rafał Jaczyński, TP