eGospodarka.pl
eGospodarka.pl poleca

eGospodarka.plGrupypl.internet.polipTP nie lubi GIMPa czy co?Re: TP nie lubi GIMPa czy co?
  • Data: 2009-01-04 16:28:55
    Temat: Re: TP nie lubi GIMPa czy co?
    Od: ru <t...@g...com> szukaj wiadomości tego autora
    [ pokaż wszystkie nagłówki ]

    Bry.

    Chwilę mi zajęło odkopanie się spod wszystkich tych postów (31.12
    miałem okazję zniknąć i pojawić się dopiero wczoraj - 03.01. Tak,
    impreza była niezła. ;-))

    Na wstępie chciałbym zaznaczyć, iż podejście do całej sprawy dość
    mocno warunkowane jest tym, czy uderza ono w nas osobiście
    (*niesłusznie*, bo "klikacze botnetów" oczywiście głosu w dyskusji nie
    posiadają, a co więcej - niech gryzą piach :-/), czy też nie. Nie
    muszę mówić, jak skrajne nastawienia do sprawy mogą przyjmować ludzie
    z obu tych kategorii (oj, jak to paskudnie brzmi).

    Niestety, mi akurat zdarzyło się być w tej pierwszej grupie, o czym
    kilkadziesiąt (set?) postów wyżej miałem okazję napomknąć.

    Z tego względu, poniższy fragment:
    r...@g...com wrote:
    > Weźmy warunek c - wieść gminna niesie, że chcieli dobrze, wyszło jak
    > zwykle. No to popatrzmy - blokujemy aktualnie ponad 6000 IP. W
    > przeciągu dwóch tygodni funcjonowania zostaliśmy dosłownie zawaleni
    > mailami z pretensjami, w liczbie łącznie bodajże kilkunastu sztuk.
    > Zdecydowana większość zgłasza problem z irc i nieszczęsnym gimpem. Z
    > ircem sytuacja rozwiąże się prawdopodobnie w przeciągu tygodnia, bo z
    > opami jak mi się wydaje jesteśmy wbrew pozorom po tej samej stronie i
    > to zwykle rozsądni ludzie są. Pozostaje gimp i jeszcze ze dwa jak
    > widziałem adresy, które kogoś zabolały. Ułamki promila w odniesieniu
    > do bazy abonentów i blokowanych adresów. Po prostu klęska.
    ... jest dość przykry, gdyż wskazuje mi, gdzie moje miejsce. No cóż,
    jestem tylko nic nie znaczącym promilem. :->

    Dalej:
    r...@g...com wrote:
    > My używamy aktualnie BGP blackholingu do blokowania adresów, pod
    > którymi znajdują się wedle najlepszej wiedzy naszej i współpracujących
    > dostawców serwery C&C botnetów pewnych klas. Aktualnie nie korzystamy
    > bezpośrednio z publicznie dostępnych BL, a z definicji nie z BL
    > zawierających "źródła spamu". Nazw firm z którymi współpracujemy nie
    > chcę teraz podawać między innymi dlatego, że rozwiązanie jest wciąż
    > testowe i źródła mogą się zmienić. W przypadku, kiedy pomysł
    > pozostanie z nami na dłużej (czyli okaże się skuteczny) na pewno nie
    > będę miał problemu ze wskazaniem ludzi i firm, z którymi dzielimy ten
    > sukces. Przy czym wciąż może to oznaczać, że nie będzie możliwości
    > wskazania na jakąkolwiek publicznie dostępną czarną listę - z tego
    > prostego powodu, że wykorzystywane przez nas nie będą publiczne. Nie
    > mam silnych obaw z tym związanych - w biznesie jest tak, że silny
    > związek o charakterze komercyjnym pomiędzy firmami, które dbają o
    > swoją markę (i przyszłe relacje ;), jest często wystarczającą
    > gwarancją jakości danych.
    Skoro informacji o BL brak i brak też perspektyw na jakiekolwiek dane
    o nich, skąd więc mam wiedzieć, z jakiego powodu jestem blokowany?

    Ach, oczywiście:
    > Prośba o kontakt z CERTem wynika z tego, że otrzymując prośbę jesteśmy
    > w stanie (jeżeli nie są to nasze dane na podstawie umowy z dostawcą)
    > zweryfikować bezpośrednie przesłanki (logi) uzasadniające blokowanie
    > adresu, i taki, a nie inny "scoring". Proszę jednocześnie o
    > wyrozumiałość - nie zawsze te logi będziemy w stanie automatycznie
    > dostarczyć bezpośrednio zainteresowanym (chociażby dlatego, że mogą
    > zawierać adresy honeypotów etc), czasem musimy ograniczyć się do
    > potwierdzenia, że tego a tego dnia o tej i o tej godzinie ruch
    > kontrolny z danego adresu został zarejestrowany i zweryfikowany. Może
    > to wyglądać na "sąd kapturowy", ale nie taka jest nasza intencja, i
    > nie ma to nic wspólnego z arogancją. Jedyne, o co mogę prosić to
    > odrobina zaufania - jeżeli nie do TP, to do mojego zespołu, który
    > tworzyłem cztery lata temu w opozycji do tego, czego jako klient i
    > pracownik w TP nie lubię, i o zmianę czego bezustannie obiecuję
    > walczyć ;).
    No i tu mój główny zarzut, niestety. Pierwszego dnia po włączeniu
    "usługi" miałem okazję napisać na wiadomy adres. Na odpowiedź czekałem
    jedną dobę, choć składała się ona jedynie z informacji iż faktycznie
    jestem wycinany i po jakimś czasie automat sprawdzi i odblokuje. Nie
    muszę wspominać, iż informacji o powodzie (o który pytałem - chociaż o
    możliwość online'owego sprawdzenia w jakichś BLach, czy czymś
    podobnym) i *czymkolwiek* innym zabrakło. Nie muszę chyba informować,
    jak bardzo radosny byłem, skoro zostałem potraktowany przez
    profesjonalny zespół w sposób, którego nie powstydziłaby się
    przysłowiowa "pani na blulajnie" (*kaszl* *kaszl*, przepraszam). W
    efekcie odsmarowałem kolejną odpowiedź - tym razem nieco mniej
    grzeczną (choć wciąż bez żadnych osobistych ataków, etc. - proszę mnie
    nie podejrzewać nawet o podobne pomysły), na którą odpowiedź... nigdy
    nie wróciła.
    Aha, zostałem więc profesjonalnie olany. Nadal nic nie wiem. Jest
    świetnie.

    Dodam tylko, że wspomniany serwer aktualnie korzysta ze wspaniałej
    opcji w OVH - możliwości dokupienia (niby niedrogo, ale zawsze)
    dodatkowego IP. Tym IPkiem teraz odbywa się komunikacja ze światem i
    wszystko działa należycie. Zabawne, nie został on jeszcze wyblokowany.
    Czyżby jednak zagrożenia nie było?

    Byłbym naprawdę wdzięczny za jakieś informacje, co począć dalej (czy
    też sprawę olać i korzystać już dożywotnio z dodatkowego IPka za
    (bodajże) 4zł miesięcznie).


    A teraz z troszeczkę innej beczki, gdyż od właściwie początku
    informowania o wszelkich honeypotach (i podobnych) zbierających dane o
    potencjalnych adresach do wycięcia chodzi mi to po głowie - czy nie
    istnieje niebezpieczeństwo, iż powstanie nowy rodzaj ataku, tj.
    spoofowanie "komunikatów kontrolnych botnetów" w taki sposób, by w
    efekcie ofiara samego ataku została wycięta (bo uznana za kontroler)?
    Szczerze mówiąc - nie wiem, po jakim gruncie stąpam (brak info o
    BLach, firmach, więc mogę tylko sobie wyobrażać różne czarne
    scenariusze), ale skoro odpowiednie dane gromadzone są przez automaty,
    a automaty da się często oszukać, w efekcie tworzymy podstawy dla
    paskudnego ataku, dzięki któremu łatwo (lub nieco trudniej - od
    automatów zależy) możemy wysłać w routerowy kosmos "niewygodne" hosty.

    Z góry przepraszam jeśli post jest piekielnie chaotyczny - jak
    wspomniałem, wróciłem wczoraj i mam teraz kilka spraw na głowie (a
    fakt, iż blackhole'ują mi jabbera też mi nie pomaga :-P), które
    jednocześnie z pisaniem powyższego staram się załatwiać.

    Pozdrawiam,
    --
    ru

Podziel się

Poleć ten post znajomemu poleć

Wydrukuj ten post drukuj


Następne wpisy z tego wątku

Najnowsze wątki z tej grupy


Najnowsze wątki

Szukaj w grupach

Eksperci egospodarka.pl

1 1 1

Wpisz nazwę miasta, dla którego chcesz znaleźć jednostkę ZUS.

Wzory dokumentów

Bezpłatne wzory dokumentów i formularzy.
Wyszukaj i pobierz za darmo: