On 4 Sty, 21:00, Michal Jankowski <m...@f...edu.pl> wrote:

> 1. Jakoś tak w kółko tylko o tym irc i irc. Liczba 6000 wskazuje na
>    to, że blokujecie daleko nie tylko serwery irc, z innych źródeł też
>    widać, że także mnóstwo adresów, na których serwera irc nigdy nie
>    było. Zatem dobrze byłoby wiedzieć, prowadzenie jakiej usługi może
>    kogoś narazić, że stanie się ofiarą... Samo HTTP wystarczy?

Coż ja mam powiedzieć...nie ja zacząłem o tym IRC ;). Ale jakoś tak
poza gimp i IRC (w sensie ircnetu tak naprawdę) ludziom inne
problematyczne kwestie nie rzucają się w oczy, więc co mam robić -
grzecznie odpowiadam...

Rozumiem, że chodzi o stanie się "ofiarą" blackholingu? Nie ma takiej
usługi, która z definicji sama z siebie mogłaby narazić, bo adresy do
blackholingu nie trafiają dlatego, że od nimi jest wystawiona
konkretna usługa, tylko dlatego, że "wykazały się" konkretnymi
działaniami. Może sobie stać gdzieś serwer IRC i nie zostać
zablokowany? - jak najbardziej. Może sobie stać serwer http (skądinąd
protokół również często stosowany do centralnego sterowania botnetami)
i nie zostać zablokowany? Zdecydowana większość nie zostanie, bo nie
ma powodu. Nic nie trafia do blackholingu tylko dlatego, że gada
ircem, http...nie tędy droga. Rzekłem. Nie po raz pierwszy zresztą.

>
> 2. Nie widzę ani cienia, najmniejszego, wątpliwości, ani słóweczka, że
>    może jednak w tych 6000 jest (jeden? dwa? 1000?) adresów wpisany
>    przez pomyłkę. Nikt nie jest nieomylny i wasze czarne listy prawie
>    na pewno też nie.

W sumie nie lubię pisać o rzeczach oczywistych, ale parę razy w tym
wątku już musiałem, więc w sumie raz więcej nie robi różnicy.
OCZYWIŚCIE, że błędy mogą się zdarzać, dlatego w przypadku reklamacji
bądź pytania analizujemy konkretne logi wskazujące aktywność. Po
analizie dotychczas zgłoszonych problematycznych przypadków nie
potwierdzam, że były one błędnie zablokowane. Koncentrowanie się na
adresach, które nasi klienci zgłaszają nam jako ważne wydaje się o
tyle dobrą strategią, że błędne zablokowanie rzekomego kontrolera bota
z filipińskiej puli adresów spowoduje raczej mniejsze zastrzeżenia.

> Umiecie w ogóle określić, jaka część z tych 6000
>    odpiowiedzialna była za sterowanie jaką częścią botnetów? Bo nie
>    sądzę, by się rozkładało po równo. Może np. za 99% ruchu jest
>    odpowiedzialny 1% z tych zablokowanych adresów?

Może jest. O tym już pisałem, nie po to zarywając kawałek nocy, żeby
się powtarzać ;). Wdrożenie testowe dlatego tak się nazywa, żeby
pomogło pewne rzeczy ustalić - najskuteczniejszą i jednocześnie
najmniej dotkliwą dla klientów politykę na przykład. Dodatkowo,
jeszcze raz - teraz pracujemy z polityką najbardziej restrykcyjną,
teoretycznie powodującą największą ilość błędów. Zastrzeżenia
dotyczyły natomiast serwerów, którym poluzowanie polityki nic by nie
pomogło.

>
> 3. W liczbę kilkunastu pretensji całkiem zwyczajnie i po prostu NIE
>    WIERZĘ. Obawiam się, że po prostu znakomita większość reklamacji
>    (czy to na błękitną linię, czy na abuse@, czy jeszcze gdzieś)
>    została załatwiona przez odesłanie na /dev/drzewo - przykłady mamy
>    zarówno na grupie, jak i na różnych blogach czy portalach - i do
>    Departamentu Zarządzania Bezpieczeństwem etc. w ogóle nie dotarła.
>    Sposób reakcji na te reklamacje trudno określić inaczej niż
>    skandaliczny. Sam na dwa maile na abuse@ w sprawie gimp.org (jeden
>    przeforwardowany przez Konrada P., drugi już mój bezpośrednio) nie
>    dostałem odpowiedzi W OGÓLE.

Cóż, błogosławieni, którzy nie widzieli, a uwierzyli. Posta pisałem
3.01, wtedy liczba maili, które otrzymałem ja osobiście, mój cert i
rzecznik tp nie przekraczała kilkunastu, licząc unikatowych nadawców
(zresztą w dużym stopniu pokrywających się z osobami wypowiadającymi
się na przykład tutaj). Ile osób dzwoniło na infolinię, bądź wpadło do
telepunktu - nie wiem. Na 3.01 nie słyszałem o żadnej _reklamacji_
złożonej zgodnie z zasadami.

Co do braku odpowiedzi - ja od kiedy zacząłem pisać tutaj przestałem
odpowiadać tym samym ludziom na indywidualne maile. Uprzedzałem, że
jestem leniwy, szczególnie na urlopie ;). Mój zespół CERT w okresie
miedzyświątecznym był mocno zredukowany, niestety ludzie muszą też
czasem odpocząć. Za ewentualne opóźnienia w tej linii komunikacji
przepraszam - nie powinno ich być dużo, a wszystkie zostaną
wyprostowane na początku przyszłego tygodnia.

> Ja się zgadzam, że jakieś czynności trzeba było podjąć. Czy blokowanie
> adresów zostało przeprowadzone poprawnie od strony technicznej - z
> braku danych nie wiem, załóżmy, że tak, choć wątpliwości są.
>
> Natomiast od strony "obsługi klienta" zostało przeprowadzone
> absolutnie najgorzej jak można.

UPRASZA SIĘ o nie kopanie leżącego. Ja wiem, że to a) miłe b) lepiej
kopać, jak leży, niż jak wstanie...ale już wystarczy, proszę. Błękitna
Linia jest odrębną kwestią, zabierzemy się za to jak najszybciej. Na
swoim podwórku będę pewnie szybszy i bardziej skuteczny, więc CERT
stanie się pewnie bardziej responsywny (aczkolwiek pozwolę sobie
oczywiście sprawdzić, czy można im cokolwiek zarzucić). Parę osób
zgłosiło tutaj fajne pomysły (informacja na looking glass chociażby),
jeżeli nie roszczą sobie praw autorskich będę z nich korzystał.

> A swoją drogą ciekawe, że osoba występujaca w swojej oficjalnej
> postaci dyrektora pisze z adresu @gmail.com 8-)

Śpieszę wyjaśnić kolejną tajemnicę. Jestem na urlopie, nie chce mi się
VPNa zestawiać, żeby maila sprawdzać. Pisałem już, że leniwy jestem?

> Ja płacę rzeczonemu operatorowi >200 zł miesięcznie i liczę, że mu
> wystarczy aż nadto. Może gdyby nie leciały milioniki do żabojadów za
> ampersanda...

Oj, gdyby byle szeregowy dyrektor spekulował sobie na usenecie na
temat relacji z SZANOWNYM największym udziałowcem to by dopiero świat
na głowie stanął ;).

Pozdrawiam,

RJ