eGospodarka.pl
eGospodarka.pl poleca

eGospodarka.plGrupypl.internet.polipTP nie lubi GIMPa czy co?Re: TP nie lubi GIMPa czy co?
  • Path: news-archive.icm.edu.pl!newsfeed.gazeta.pl!wsisiz.edu.pl!plix.pl!newsfeed1.plix
    .pl!newsfeed00.sul.t-online.de!t-online.de!border2.nntp.dca.giganews.com!nntp.g
    iganews.com!postnews.google.com!b41g2000pra.googlegroups.com!not-for-mail
    From: ru <t...@g...com>
    Newsgroups: pl.internet.polip
    Subject: Re: TP nie lubi GIMPa czy co?
    Date: Sun, 4 Jan 2009 08:28:55 -0800 (PST)
    Organization: http://groups.google.com
    Lines: 150
    Message-ID: <f...@b...googlegroups.com>
    References: <2...@c...fuw.edu.pl> <gj92hi$l57$1@cougar.axelspringer.pl>
    <2...@c...fuw.edu.pl>
    <nphlz8jnbhgb$.dlg@falcon.sloth.hell.pl>
    <2...@c...fuw.edu.pl>
    <1...@f...sloth.hell.pl>
    <2...@c...fuw.edu.pl> <gjds3q$gci$2@portraits.wsisiz.edu.pl>
    <m...@m...localdomain>
    <gjjlg7$rii$1@portraits.wsisiz.edu.pl>
    <m...@m...localdomain>
    <gjl9j8$fmp$2@portraits.wsisiz.edu.pl> <2...@c...fuw.edu.pl>
    <gjm8cd$7tr$1@atlantis.news.neostrada.pl>
    <b...@w...googlegroups.com>
    NNTP-Posting-Host: 79.139.2.195
    Mime-Version: 1.0
    Content-Type: text/plain; charset=ISO-8859-2
    Content-Transfer-Encoding: quoted-printable
    X-Trace: posting.google.com 1231086536 19923 127.0.0.1 (4 Jan 2009 16:28:56 GMT)
    X-Complaints-To: g...@g...com
    NNTP-Posting-Date: Sun, 4 Jan 2009 16:28:56 +0000 (UTC)
    Complaints-To: g...@g...com
    Injection-Info: b41g2000pra.googlegroups.com; posting-host=79.139.2.195;
    posting-account=cg5LEwoAAAB-H2-6qhLriU9FfS09iiHY
    User-Agent: G2/1.0
    X-HTTP-UserAgent: Opera/10.00 (X11; Linux x86_64 ; U; en)
    Presto/2.2.0,gzip(gfe),gzip(gfe)
    Xref: news-archive.icm.edu.pl pl.internet.polip:88155
    [ ukryj nagłówki ]

    Bry.

    Chwilę mi zajęło odkopanie się spod wszystkich tych postów (31.12
    miałem okazję zniknąć i pojawić się dopiero wczoraj - 03.01. Tak,
    impreza była niezła. ;-))

    Na wstępie chciałbym zaznaczyć, iż podejście do całej sprawy dość
    mocno warunkowane jest tym, czy uderza ono w nas osobiście
    (*niesłusznie*, bo "klikacze botnetów" oczywiście głosu w dyskusji nie
    posiadają, a co więcej - niech gryzą piach :-/), czy też nie. Nie
    muszę mówić, jak skrajne nastawienia do sprawy mogą przyjmować ludzie
    z obu tych kategorii (oj, jak to paskudnie brzmi).

    Niestety, mi akurat zdarzyło się być w tej pierwszej grupie, o czym
    kilkadziesiąt (set?) postów wyżej miałem okazję napomknąć.

    Z tego względu, poniższy fragment:
    r...@g...com wrote:
    > Weźmy warunek c - wieść gminna niesie, że chcieli dobrze, wyszło jak
    > zwykle. No to popatrzmy - blokujemy aktualnie ponad 6000 IP. W
    > przeciągu dwóch tygodni funcjonowania zostaliśmy dosłownie zawaleni
    > mailami z pretensjami, w liczbie łącznie bodajże kilkunastu sztuk.
    > Zdecydowana większość zgłasza problem z irc i nieszczęsnym gimpem. Z
    > ircem sytuacja rozwiąże się prawdopodobnie w przeciągu tygodnia, bo z
    > opami jak mi się wydaje jesteśmy wbrew pozorom po tej samej stronie i
    > to zwykle rozsądni ludzie są. Pozostaje gimp i jeszcze ze dwa jak
    > widziałem adresy, które kogoś zabolały. Ułamki promila w odniesieniu
    > do bazy abonentów i blokowanych adresów. Po prostu klęska.
    ... jest dość przykry, gdyż wskazuje mi, gdzie moje miejsce. No cóż,
    jestem tylko nic nie znaczącym promilem. :->

    Dalej:
    r...@g...com wrote:
    > My używamy aktualnie BGP blackholingu do blokowania adresów, pod
    > którymi znajdują się wedle najlepszej wiedzy naszej i współpracujących
    > dostawców serwery C&C botnetów pewnych klas. Aktualnie nie korzystamy
    > bezpośrednio z publicznie dostępnych BL, a z definicji nie z BL
    > zawierających "źródła spamu". Nazw firm z którymi współpracujemy nie
    > chcę teraz podawać między innymi dlatego, że rozwiązanie jest wciąż
    > testowe i źródła mogą się zmienić. W przypadku, kiedy pomysł
    > pozostanie z nami na dłużej (czyli okaże się skuteczny) na pewno nie
    > będę miał problemu ze wskazaniem ludzi i firm, z którymi dzielimy ten
    > sukces. Przy czym wciąż może to oznaczać, że nie będzie możliwości
    > wskazania na jakąkolwiek publicznie dostępną czarną listę - z tego
    > prostego powodu, że wykorzystywane przez nas nie będą publiczne. Nie
    > mam silnych obaw z tym związanych - w biznesie jest tak, że silny
    > związek o charakterze komercyjnym pomiędzy firmami, które dbają o
    > swoją markę (i przyszłe relacje ;), jest często wystarczającą
    > gwarancją jakości danych.
    Skoro informacji o BL brak i brak też perspektyw na jakiekolwiek dane
    o nich, skąd więc mam wiedzieć, z jakiego powodu jestem blokowany?

    Ach, oczywiście:
    > Prośba o kontakt z CERTem wynika z tego, że otrzymując prośbę jesteśmy
    > w stanie (jeżeli nie są to nasze dane na podstawie umowy z dostawcą)
    > zweryfikować bezpośrednie przesłanki (logi) uzasadniające blokowanie
    > adresu, i taki, a nie inny "scoring". Proszę jednocześnie o
    > wyrozumiałość - nie zawsze te logi będziemy w stanie automatycznie
    > dostarczyć bezpośrednio zainteresowanym (chociażby dlatego, że mogą
    > zawierać adresy honeypotów etc), czasem musimy ograniczyć się do
    > potwierdzenia, że tego a tego dnia o tej i o tej godzinie ruch
    > kontrolny z danego adresu został zarejestrowany i zweryfikowany. Może
    > to wyglądać na "sąd kapturowy", ale nie taka jest nasza intencja, i
    > nie ma to nic wspólnego z arogancją. Jedyne, o co mogę prosić to
    > odrobina zaufania - jeżeli nie do TP, to do mojego zespołu, który
    > tworzyłem cztery lata temu w opozycji do tego, czego jako klient i
    > pracownik w TP nie lubię, i o zmianę czego bezustannie obiecuję
    > walczyć ;).
    No i tu mój główny zarzut, niestety. Pierwszego dnia po włączeniu
    "usługi" miałem okazję napisać na wiadomy adres. Na odpowiedź czekałem
    jedną dobę, choć składała się ona jedynie z informacji iż faktycznie
    jestem wycinany i po jakimś czasie automat sprawdzi i odblokuje. Nie
    muszę wspominać, iż informacji o powodzie (o który pytałem - chociaż o
    możliwość online'owego sprawdzenia w jakichś BLach, czy czymś
    podobnym) i *czymkolwiek* innym zabrakło. Nie muszę chyba informować,
    jak bardzo radosny byłem, skoro zostałem potraktowany przez
    profesjonalny zespół w sposób, którego nie powstydziłaby się
    przysłowiowa "pani na blulajnie" (*kaszl* *kaszl*, przepraszam). W
    efekcie odsmarowałem kolejną odpowiedź - tym razem nieco mniej
    grzeczną (choć wciąż bez żadnych osobistych ataków, etc. - proszę mnie
    nie podejrzewać nawet o podobne pomysły), na którą odpowiedź... nigdy
    nie wróciła.
    Aha, zostałem więc profesjonalnie olany. Nadal nic nie wiem. Jest
    świetnie.

    Dodam tylko, że wspomniany serwer aktualnie korzysta ze wspaniałej
    opcji w OVH - możliwości dokupienia (niby niedrogo, ale zawsze)
    dodatkowego IP. Tym IPkiem teraz odbywa się komunikacja ze światem i
    wszystko działa należycie. Zabawne, nie został on jeszcze wyblokowany.
    Czyżby jednak zagrożenia nie było?

    Byłbym naprawdę wdzięczny za jakieś informacje, co począć dalej (czy
    też sprawę olać i korzystać już dożywotnio z dodatkowego IPka za
    (bodajże) 4zł miesięcznie).


    A teraz z troszeczkę innej beczki, gdyż od właściwie początku
    informowania o wszelkich honeypotach (i podobnych) zbierających dane o
    potencjalnych adresach do wycięcia chodzi mi to po głowie - czy nie
    istnieje niebezpieczeństwo, iż powstanie nowy rodzaj ataku, tj.
    spoofowanie "komunikatów kontrolnych botnetów" w taki sposób, by w
    efekcie ofiara samego ataku została wycięta (bo uznana za kontroler)?
    Szczerze mówiąc - nie wiem, po jakim gruncie stąpam (brak info o
    BLach, firmach, więc mogę tylko sobie wyobrażać różne czarne
    scenariusze), ale skoro odpowiednie dane gromadzone są przez automaty,
    a automaty da się często oszukać, w efekcie tworzymy podstawy dla
    paskudnego ataku, dzięki któremu łatwo (lub nieco trudniej - od
    automatów zależy) możemy wysłać w routerowy kosmos "niewygodne" hosty.

    Z góry przepraszam jeśli post jest piekielnie chaotyczny - jak
    wspomniałem, wróciłem wczoraj i mam teraz kilka spraw na głowie (a
    fakt, iż blackhole'ują mi jabbera też mi nie pomaga :-P), które
    jednocześnie z pisaniem powyższego staram się załatwiać.

    Pozdrawiam,
    --
    ru

Podziel się

Poleć ten post znajomemu poleć

Wydrukuj ten post drukuj


Następne wpisy z tego wątku

Najnowsze wątki z tej grupy


Najnowsze wątki

Szukaj w grupach

Eksperci egospodarka.pl

1 1 1

Wpisz nazwę miasta, dla którego chcesz znaleźć jednostkę ZUS.

Wzory dokumentów

Bezpłatne wzory dokumentów i formularzy.
Wyszukaj i pobierz za darmo: