eGospodarka.pl
eGospodarka.pl poleca

eGospodarka.plGrupypl.internet.polipRe: TP nie lubi GIMPa czy co?Re: TP nie lubi GIMPa czy co?
  • Data: 2009-01-05 15:49:36
    Temat: Re: TP nie lubi GIMPa czy co?
    Od: r...@g...com szukaj wiadomości tego autora
    [ pokaż wszystkie nagłówki ]

    Witam wszystkich po urlopie bezpośrednio z siedliska wszelakiego zła.

    Odpiszę ogólnie na kwestie, które mi się rzuciły w oczy - odpisywanie
    na poszczególne wypowiedzi nie jest w google najbardziej ergonomiczną
    czynnością.

    1. Reklamacje, maile etc.

    Mam już pewien przegląd pola. Łącznie przez ostatnie trzy tygodnie
    maili na abuse jest około 100, wliczając w to wiele maili, które
    służyły komuś do okazania emocji, a których autorzy mają ewidentny
    problem z kulturą i ortografią. Reklamacji - o rząd wielkości mniej.
    Na temat procesu reklamacyjnego nie będę się teraz wypowiadał - jest
    tam parę innych kwestii (prawne etc.), na których inne osoby biorące w
    nim udział znają się lepiej. Gdyby w korporacji wszystkim zajmowała
    się jedna osoba...no wtedy korporacja nie byłaby korporacją ;).

    Wszystkie maile - oprócz jednego bodajże - dotyczą gimp'a, IRCa i
    esr.rootnode.net (pojedyncze przypadki). Oprócz interesującego
    wniosku, że popularność własnoręcznie tworzonej grafiki rastrowej i
    jej znaczenie dla sprawy polskiej jest swoistym odkryciem, podtrzymuję
    to o czym pisałem wcześniej: jak widać nie za bardzo istnieją inne
    przykłady istotne dla klientów TP. Próbkę mam już większą, proszę mi
    tu kłamstwa nie zarzucać :>

    Aktywność gimpa i rootnode wyrażona scoringiem spada (oznacza to, że
    odstęp czasowy od ostatniego wysłanego za ich pośrednictwem rozkazu
    się zwiększa), więc pewnie lada dzień nagłówki portali będą z
    satysfakcją donosić, że TP odblokowała gimpa. Przy IRCu wpółpracujemy
    z operatorami, otrzymali oni od nas informacje pomocne w poradzeniu
    sobie z kontrolerami na ich serwerach. Ten problem też powinien
    przestać Was niepokoić już niedługo. Chciałbym jednocześnie
    podkreślić, że o ile pomiędzy słabiej kontrolowanymi pod względem
    bezpieczeństwa serwerami zauważamy próby "przesunięcia" się
    kontrolerów z jednego na drugi, istnieją polskie serwery IRC, które
    nie były kontrolerami botnetów w momencie uruchomienia blackholingu i
    aktualnie dalej nimi nie są. Ja znam 9 takich serwerów - tam
    ewidentnie jakość administracji w zakresie bezpieczeństwa utrzymuje
    się na stałym wysokim poziomie. Co popłaca.

    2. O asertywności

    Asertywność to jak wiadomo umiejętność mówienia "nie". Asertywność
    jest wpisana w każdy projekt mający na celu ograniczenie działalności
    botnetów, blackholing nie jest wyjątkiem. Dlatego odblokowanie serwera/
    wpisanie go na whitelistę z definicji nie jest łatwe - nie ma tu
    szczególnego znaczenia wytwarzane na TP "ciśnienie", bo spodziewaliśmy
    się go uruchamiając projekt. Mamy ograniczone możliwości odróżnienia
    "ciśnienia" wywieranego przez klientów z ich własnej inicjatywy od
    "czarnego PR" generowanego lub inspirowanego przez osoby
    zainteresowane kontrolą nad botnetami. Myślę, że uczciwym podejściem
    jest założenie, że wszyscy są uczciwi - natomiast podejmowanie decyzji
    na podstawie twardych faktów.

    Wszyscy chyba rozumieją, że do odblokowania adresu nie powinien
    wystarczać telefon lub mail, w takim przypadku cały pomysł nie miałby
    sensu. Nie ma również znaczenia popularność serwisu i ilość powtórzeń
    tego samego przykładu w mediach. Nie ma również znaczenia złożenie
    deklaracji, że "problem po naszej stronie został rozwiązany". Ma
    znaczenie to, czy został rozwiązany rzeczywiście - czy host wysyła
    rozkazy jeszcze w trakcie rozmowy, czy nie jest aktywny np. od
    tygodnia. Mamy przypadek hosta, który został zablokowany, bo parę
    tygodni temu był kontrolerem, a ze względu na przyjętą w pierwszej
    fazie restrykcyjną politykę jeszcze nie zdążył "wypaść" z listy - i w
    takich przypadkach możemy to jak najbardziej uznać to za naszą
    nadgorliwość i odblokować ruch. Ale patrząc na scoring, w porównaniu
    do tego akurat hosta aktywność zablokowanych serwerów IRC, gimpa lub
    rootnode była wyjściowo prawie stukrotnie większa. Teraz wynik jest
    tylko 25 razy większy (proszę nie mylić scoringu z aktywnością w danej
    chwili, on uwzględnia też zachowanie w czasie, czyli mówi o tym, ile
    czasu upłynęło od ostatniego rozkazu).

    3. Jak się uchronić przed kontrolerem botnetu

    W przypadku centralnie sterowanych botnetów (a o takich mówimy w
    przypadku blackholingu) występują z punktu widzenia kontrolującego
    ogólnie trzy możliwości: wykorzystanie do kontroli botnetu legalnie
    działającej i dostępnej również dla normalnych użytkowników usługi
    (dotyczy zasadniczo IRC) na serwerze dedykowanym do tego celu lub
    dostarczającym też inne usługi, uruchomienie usługi dedykowanej do
    kontroli nad botnetem na własnym serwerze, na którym działa też inna,
    "oficjalna" usługa (wtedy do kontroli można użyć czegokolwiek - irc,
    http w szczególności) lub uruchomienie dedykowanej usługi na czyimś
    serwerze, który został specjalnie w tym celu przejęty (wtedy też
    niekoniecznie może to byc ircd).

    Dla ilustracji i przy zachowaniu prawa do błędu: wydaje mi się, że
    polskie IRC, rootnode i gimp należą do pierwszej kategorii. Wszędzie
    tam jest uruchomiony serwer irc, czego administratorzy się nie
    wypierają (no w przypadku ircnetu byłoby trudno ;), nie są to więc
    raczej dwie pozostałe możliwości. No można pogdybać w przypadku
    rootnode - nie znam szczegółowo zasad hostowania w Ecatelu, poziomu
    wirtualizacji środowisk, praw dostępu, jakie mają osoby z rootnode
    etc. - teoretycznie w przypadku korzystania z hostingowni o historii
    wskazującej na "elastyczną politykę" mogło dojść do sytuacji, w której
    rootnode np. nie miało pełnej kontroli nad tym co się dzieje. Ale to
    gdybanie. W każdym razie zauważcie, że na przykład w drugim i trzecim
    przypadku możliwa jest sytuacja, że blokujemy adres, i jeden zaczyna
    narzekać, że nie może sobie do www sięgnąć, inny narzeka, że mu padło
    radio...a na brak dostępu do irca nie narzeka nikt.

    Jak się więc zabezpieczyć? Będąc operatorem IRCa trzeba robić ni mniej
    ni więcej tylko to, o czym już pisał na przykład Karpio. Nie jest to
    rocket science, są osoby, którym się udaje tematu dopilnować. Będąc
    właścicielem jakiegokolwiek serwera trzeba po prostu nim
    administrować, rozumiejąc administrację tak, jak była ona rozumiana
    drzewiej - nie jako "kręcenie korbą" po krótkim przyuczeniu, ale
    odpowiedzialność za serwer ze szczególnym uwzględnieniem jego
    bezpieczeństwa. Wtedy powinno być dobrze.

    A ponieważ nie żyjemy w idealnym świecie, i tak ja w każdym zawodzie,
    tak wśród ogólnie pojętych informatyków podaż osób, które mają duży
    talent i wiedzę jest znacząco mniejsza, niż popyt na nich - czasem
    taki ISP musi zaadresować problem wymykający się spod kontroli. Z
    reguły znacząco lepiej to wychodzi, kiedy ISP sam z siebie wykaże się
    inicjatywą...bo kiedy zostanie do tego zmuszony przez regulatorów,
    prawo, rządy lub właścicieli rozwiązania mają tendencję być o wiele
    bardziej dyskusyjne.

    4. Skuteczność BGP blackholingu - czyli o populacji botnetów
    centralnie sterowanych vs. peer-to-peer

    Każdy, kto czyta tę listę i jest w stanie podać z mocą twierdzenia
    właściwą odpowiedź na powyższe pytanie traci tu czas i pieniądze, bo
    jest (po "jasnej" stronie mocy) jednym z nielicznych ludzi na świecie,
    którzy taką wiedzę posiadają. "Mądrość ludowa", głosząca, że skoro p2p
    jest teoretycznie lepsze, to na pewno jest bardziej popularne, na
    szczęście nie działa. O wynikach badań nad fast fluxem już
    wspominałem, dodam jeszcze, że patrzę sobie na wyniki projektu
    honeypotowego w chińskiej sieci (z 2007 roku), i widzę, że średnia
    długość "życia" serwera C&C wynosiła 54 dni...straasznie wolny ten
    fast flux ;). Z tego samego projektu - liczba zaobserwowanych botnetów
    IRC przez rok czasu wyniosła ni mniej, ni więcej, tylko 3290...z kolei
    trochę przydużo, jak na wymierającą technologię.

    Prawda jest taka, że trzeba odróżnić botnety tworzone na dedykowanym
    malware stworzonym przez ich twórców, ze względu na wiedzę tychże
    stosujące najskuteczniejsze techniki, od botnetów tworzonych z
    wykorzystaniem gotowych, dosyć powszechnie dostępnych narzędzi. Jest
    parę marek samochodów lepszych od np. forda, ale to fordów jeździ
    więcej. Są takie diesle, co wygrywają Le Mans, ale większość tych, co
    jeździ nie ma w sobie tej "winning technology" ;). Dobra, zaryzykuję -
    jest pewnie parę programów graficznych lepszych od Gimpa, ale to Gimp
    jak widzę bije je popularnością na głowę :D

    Pozdrawiam,
    RJ

Podziel się

Poleć ten post znajomemu poleć

Wydrukuj ten post drukuj


Następne wpisy z tego wątku

Najnowsze wątki z tej grupy


Najnowsze wątki

Szukaj w grupach

Eksperci egospodarka.pl

1 1 1

Wpisz nazwę miasta, dla którego chcesz znaleźć jednostkę ZUS.

Wzory dokumentów

Bezpłatne wzory dokumentów i formularzy.
Wyszukaj i pobierz za darmo: