Bry.

Chwilę mi zajęło odkopanie się spod wszystkich tych postów (31.12
miałem okazję zniknąć i pojawić się dopiero wczoraj - 03.01. Tak,
impreza była niezła. ;-))

Na wstępie chciałbym zaznaczyć, iż podejście do całej sprawy dość
mocno warunkowane jest tym, czy uderza ono w nas osobiście
(*niesłusznie*, bo "klikacze botnetów" oczywiście głosu w dyskusji nie
posiadają, a co więcej - niech gryzą piach :-/), czy też nie. Nie
muszę mówić, jak skrajne nastawienia do sprawy mogą przyjmować ludzie
z obu tych kategorii (oj, jak to paskudnie brzmi).

Niestety, mi akurat zdarzyło się być w tej pierwszej grupie, o czym
kilkadziesiąt (set?) postów wyżej miałem okazję napomknąć.

Z tego względu, poniższy fragment:
r...@g...com wrote:
> Weźmy warunek c - wieść gminna niesie, że chcieli dobrze, wyszło jak
> zwykle. No to popatrzmy - blokujemy aktualnie ponad 6000 IP. W
> przeciągu dwóch tygodni funcjonowania zostaliśmy dosłownie zawaleni
> mailami z pretensjami, w liczbie łącznie bodajże kilkunastu sztuk.
> Zdecydowana większość zgłasza problem z irc i nieszczęsnym gimpem. Z
> ircem sytuacja rozwiąże się prawdopodobnie w przeciągu tygodnia, bo z
> opami jak mi się wydaje jesteśmy wbrew pozorom po tej samej stronie i
> to zwykle rozsądni ludzie są. Pozostaje gimp i jeszcze ze dwa jak
> widziałem adresy, które kogoś zabolały. Ułamki promila w odniesieniu
> do bazy abonentów i blokowanych adresów. Po prostu klęska.
... jest dość przykry, gdyż wskazuje mi, gdzie moje miejsce. No cóż,
jestem tylko nic nie znaczącym promilem. :->

Dalej:
r...@g...com wrote:
> My używamy aktualnie BGP blackholingu do blokowania adresów, pod
> którymi znajdują się wedle najlepszej wiedzy naszej i współpracujących
> dostawców serwery C&C botnetów pewnych klas. Aktualnie nie korzystamy
> bezpośrednio z publicznie dostępnych BL, a z definicji nie z BL
> zawierających "źródła spamu". Nazw firm z którymi współpracujemy nie
> chcę teraz podawać między innymi dlatego, że rozwiązanie jest wciąż
> testowe i źródła mogą się zmienić. W przypadku, kiedy pomysł
> pozostanie z nami na dłużej (czyli okaże się skuteczny) na pewno nie
> będę miał problemu ze wskazaniem ludzi i firm, z którymi dzielimy ten
> sukces. Przy czym wciąż może to oznaczać, że nie będzie możliwości
> wskazania na jakąkolwiek publicznie dostępną czarną listę - z tego
> prostego powodu, że wykorzystywane przez nas nie będą publiczne. Nie
> mam silnych obaw z tym związanych - w biznesie jest tak, że silny
> związek o charakterze komercyjnym pomiędzy firmami, które dbają o
> swoją markę (i przyszłe relacje ;), jest często wystarczającą
> gwarancją jakości danych.
Skoro informacji o BL brak i brak też perspektyw na jakiekolwiek dane
o nich, skąd więc mam wiedzieć, z jakiego powodu jestem blokowany?

Ach, oczywiście:
> Prośba o kontakt z CERTem wynika z tego, że otrzymując prośbę jesteśmy
> w stanie (jeżeli nie są to nasze dane na podstawie umowy z dostawcą)
> zweryfikować bezpośrednie przesłanki (logi) uzasadniające blokowanie
> adresu, i taki, a nie inny "scoring". Proszę jednocześnie o
> wyrozumiałość - nie zawsze te logi będziemy w stanie automatycznie
> dostarczyć bezpośrednio zainteresowanym (chociażby dlatego, że mogą
> zawierać adresy honeypotów etc), czasem musimy ograniczyć się do
> potwierdzenia, że tego a tego dnia o tej i o tej godzinie ruch
> kontrolny z danego adresu został zarejestrowany i zweryfikowany. Może
> to wyglądać na "sąd kapturowy", ale nie taka jest nasza intencja, i
> nie ma to nic wspólnego z arogancją. Jedyne, o co mogę prosić to
> odrobina zaufania - jeżeli nie do TP, to do mojego zespołu, który
> tworzyłem cztery lata temu w opozycji do tego, czego jako klient i
> pracownik w TP nie lubię, i o zmianę czego bezustannie obiecuję
> walczyć ;).
No i tu mój główny zarzut, niestety. Pierwszego dnia po włączeniu
"usługi" miałem okazję napisać na wiadomy adres. Na odpowiedź czekałem
jedną dobę, choć składała się ona jedynie z informacji iż faktycznie
jestem wycinany i po jakimś czasie automat sprawdzi i odblokuje. Nie
muszę wspominać, iż informacji o powodzie (o który pytałem - chociaż o
możliwość online'owego sprawdzenia w jakichś BLach, czy czymś
podobnym) i *czymkolwiek* innym zabrakło. Nie muszę chyba informować,
jak bardzo radosny byłem, skoro zostałem potraktowany przez
profesjonalny zespół w sposób, którego nie powstydziłaby się
przysłowiowa "pani na blulajnie" (*kaszl* *kaszl*, przepraszam). W
efekcie odsmarowałem kolejną odpowiedź - tym razem nieco mniej
grzeczną (choć wciąż bez żadnych osobistych ataków, etc. - proszę mnie
nie podejrzewać nawet o podobne pomysły), na którą odpowiedź... nigdy
nie wróciła.
Aha, zostałem więc profesjonalnie olany. Nadal nic nie wiem. Jest
świetnie.

Dodam tylko, że wspomniany serwer aktualnie korzysta ze wspaniałej
opcji w OVH - możliwości dokupienia (niby niedrogo, ale zawsze)
dodatkowego IP. Tym IPkiem teraz odbywa się komunikacja ze światem i
wszystko działa należycie. Zabawne, nie został on jeszcze wyblokowany.
Czyżby jednak zagrożenia nie było?

Byłbym naprawdę wdzięczny za jakieś informacje, co począć dalej (czy
też sprawę olać i korzystać już dożywotnio z dodatkowego IPka za
(bodajże) 4zł miesięcznie).


A teraz z troszeczkę innej beczki, gdyż od właściwie początku
informowania o wszelkich honeypotach (i podobnych) zbierających dane o
potencjalnych adresach do wycięcia chodzi mi to po głowie - czy nie
istnieje niebezpieczeństwo, iż powstanie nowy rodzaj ataku, tj.
spoofowanie "komunikatów kontrolnych botnetów" w taki sposób, by w
efekcie ofiara samego ataku została wycięta (bo uznana za kontroler)?
Szczerze mówiąc - nie wiem, po jakim gruncie stąpam (brak info o
BLach, firmach, więc mogę tylko sobie wyobrażać różne czarne
scenariusze), ale skoro odpowiednie dane gromadzone są przez automaty,
a automaty da się często oszukać, w efekcie tworzymy podstawy dla
paskudnego ataku, dzięki któremu łatwo (lub nieco trudniej - od
automatów zależy) możemy wysłać w routerowy kosmos "niewygodne" hosty.

Z góry przepraszam jeśli post jest piekielnie chaotyczny - jak
wspomniałem, wróciłem wczoraj i mam teraz kilka spraw na głowie (a
fakt, iż blackhole'ują mi jabbera też mi nie pomaga :-P), które
jednocześnie z pisaniem powyższego staram się załatwiać.

Pozdrawiam,
--
ru