On 2009-01-05 18:53, f...@g...com wrote:

> W mniejszej skali - nie mam żadnej gwarancji, że jakiś serwer X, z
> którym będę miał do czynienia za tydzień czy też za pół roku (czy to
> testowy, czy jakiś zagraniczny developerski, czy kliencki, który ma
> np zostać poddany audytowi) będzie dla mnie dostępny. Płacę za dostęp
> do Internetu, nie do Bezpiecznego Intranetu TPSA.

Przepraszam, że pobawię się w "adwokata diabła"(tm) (Rafał & zespół -
sorry :) ), ale trochę chyba przesadzasz. Nie chce być źle zrozumiany,
ale wydaje mi się że perspektywa klienta TP z której patrzycie jest
nadal nieco bardziej nastawiona na 'nie'. Nie, nie jestem za
ustawową kontrolą wszystkiego a w szczególności Internetu i nie
(choć to może dziwnie zabrzmi) nie lubie dużych korporacji. I
przepraszam za długi post :)

Żaden mechanizm bezpieczeństwa nie jest pozbawiony wad - skoro się
czegoś zabrania - to czegoś się zabrania. Koledzy postanowili
wprowadzić w życie jeden z pomysłów na ograniczenie zagrożeń w
internecie w życie - i zwróć uwagę, że o ile te 100 osób
(trywializując, ale tylko na moment) z wielomilionowej populacji
klientów TP faktycznie wie co się stało - pozostali raczej nie.
Nie wierzę, że przysłowiowa gospodyni Anna K. skorzysta z przepisu
na stronie TP CERTu żeby 'sprawdzić IP' - ale przynajmniej jej
zarażona stacja, dysponując wielomegowym łączem nie załatwi w
ciągu paru sekund Twojego serwera WWW, serwera IRC, serwera SMTP,
serwera Call of Duty, Quake - czegokolwiek (i problemem nie jest
ta jedna stacja - jak wiesz, botnety składają się z setek
tysięcy, z których równie dobrze większość może pewnego dnia
siedzieć w sieci TP, więc nie jest to problem 'odetnijcie mi to
jedno IP').

Andrzej Karpiński wytłumaczył na liście + zaoferował unicastowe
opowiadanie każdemu, kto zainteresowany jest jak mechanizm
selekcjonowania co blokować a co nie działa - nie opiera się
(najwyraźniej) na 'a Bromirskiego to wytniemy' tylko
konkretnym zestawie ściąganych i korelowanych informacji. Myślę,
że gdyby otwartość Rafała i zespołu w tym względzie była równie
duża jak w przypadku tłumaczenia co zrobili i dlaczego - pewnie
większość z Was przekonałaby się że 'no dobra, nie działa to
idealnie ale coś w tym jest'. I to myślę jest jakiś call do
TP żeby coś więcej opowiedzieć, upublicznić metodologię itp. itd.
Niestety, w wielu przypadkach widać, że chowanie się za
'wiem, ale nie powiem' nie daje dobrego rezultatu i buduje
bardzo szybko bagaż nieufności.

Niestety przed 'bezpieczeństwem w domu i zagrodzie' raczej nie
ma ucieczki i będzie ono sięgać coraz głębiej - klienci
indywidualni już dzisiaj wiedzą że 'antywirus to dobra rzecz'
(być może nie rozumiejąc w ogóle dlaczego i po co) i jeśli jeszcze
nie myślicie jako operatorzy swoich własnych sieci takimi
kategoriami, to może warto - jak to się ładnie mówi
'rozpocząć debatę'? Krytykowanie jest proste, ale bez ciągłego
próbowania i popełniania błędów niestety nie tworzy się wartości -
choć nakrytykować można się do upadłego i za darmo.

Nie wiem czy blackholing jako koncepcja z wycinaniem spamu to
najlepszy pomysł, ale w ofercie TP są już usługi 'bezpieczeństwa
zarządzalnego' (brrrr, przepraszam, taki marketingowy bełkot),
w którym klient dostaje firewalla na którym może sobie wyłączyć
i włączyć to co mu się podoba (IPSa AFAIR chyba też). Wiem, bo
Cisco maczało w tym palce.

Blackholing dużą packą na muchy jest - ale taka w przypadku skali
zagrożenia jakim są botnety potrafiące rozłożyć dowolnej wielkości
sieć - również operatorską - jest po prostu potrzebna (packa).

> Niską liczbę reklamacji można chyba tłumaczyć stosunkowo małym
> zrozumieniem zastosowanego mechanizmu. Łatwo znaleźć posty na
> blogach zdezorientowanych, nie wiedzących co się dzieje
> administratorów jakiś hobbystycznych serwerów.

Rafał mówił o działaniu Blue Line - znowu trochę w ramach zabawy
w adwokata diabła zapytam - jak myślisz, gdybyś to Ty miał coś
takiego zrobić w korporacji (to ważne), kontrolowałbyś wszystkie
aspekty tego projektu? I tak cud (naprawdę - cud), że taka duża
firma wprowadza usługę stworzoną i przepchniętą przez grupkę
zapaleńców - w większości innych korporacji takie pomysły są z
góry skazane na porażkę (wiem, bo rozmawiałem w 2005 i 2006 o
blackholingu z wieloma i tylko tam gdzie trafiałem na dyrektorów
technicznych którzy jeszcze wiedzieli jaka jest różnica między
adresem IP a międzykontynentalną rakietą balistyczną temat w ogóle
był dyskutowany dłużej niż 5 minut - a ilość takich spotkań
można policzyć na palcach jednej ręki ślepego drwala dzień po
Sylwestrze).

Zatem blue line, strony WWW, numer zgłaszania awarii itp - to pewnie
przyjdzie, świadomość ludzi też przyjdzie - ale potrzeba na to czasu -
nie lat, ale dni, tygodni pewnie. Tak jak było z graylistingiem,
otwartymi serwerami SMTP (popatrzcie w archiwa tej listy - ONET blokuje
mi poczte! etc) - ale ktoś w końcu wprowadził, może z błędami,
ale inni ucząc się na błędach i doskonaląc metodologię doszli dzisiaj
do jakiejś łaty na ogólnoświatowy system poczty elektronicznej.
Że 'łaty' są złe? A od kiedy w Internecie zwyciężają rozwiązania
najlepsze technologicznie?

Dzisiaj coraz więcej użytkowników komputerów wie że istnieje coś
takiego jak 'bot', że nie każdy antywirus jest dobry, a bardziej
'zaawansowani' zaczynają rozmawiać o host IPSach itd. itp. - czy
to dobrze, nie wiem, ale takie są realia. Zatem gdy za rok ktoś
zadzwoni na Blue Line z tekstem 'nie działa mi xxx.pl!' a pani odpowie
'ach, bo rozsyłają paskudy trojany przez jedną z podmienionych stron
i mają serwer C&C botnetu który właśnie atakuje jeden z większych
banków w Polsce, chronimy Pana' - to pewnie uznacie to już za
sytuację absolutnie normalną. Co więcej, podobne mechanizmy wprowadzą
inni operatorzy - broniąc własnej sieci przed zagrożeniami z
zewnątrz i wewnątrz. To że istnieją jeszcze niedociągnięcia po
stronie zarówno operacyjnej jak i technicznej - jest naturalne gdy
dopiero zaczyna się coś wprowadzać dla szerokiego odbiorcy.

Ktoś jednak ten trudny krok i masę g* musi na siebie zebrać - chyba
znowu jest tak, że trafiło na dobrego do bicia - no bo przecież TP jest
tak popularnym celem jak dowolna inna duża korporacja.

> Jeśli (lub raczej: kiedy) sprawa otrze się np o UOKiK i zyska
> nagłośnienie w mediach można się pewnie będzie spodziewać większego
> "odzewu". A kiedy prawnicy zaczną miedzy sobą dyskutować, co jest
> ograniczaniem dostępu a co nie - zrobi się naprawdę ciekawie.

Odnoszę wrażenie, że dyskusja o tym, że w umowach nie ma nic o tym
co to jest 'dostęp do Internetu' już się w paru miejscach toczy
(bo trudno zdefiniować co to właściwie jest dostęp do Internetu i jak
to mierzyć). Weźcie również pod uwagę, że operator (TP czy dowolny
inny) może zawsze po prostu powiedzieć, że stanowicie zagrożenie dla
jego sieci - i stąd zostaliście odstawieni do kwarantanny. I może to
powiedzieć o dowolnym innym zasobie w sieci. Co prowadzi do:

> Tymczasem, kiedy tylko moja umowa dobiegnie końca poszukam innego
> dostawcy. Nie żeby to kogoś obchodziło, jestem przecież jednym z
> tych stu.

...więc zabiorę swoje zabawki i pójdę do innej piaskownicy. Ale te
piaskownice są ze sobą połączone i prędzej czy później chyba lepiej
mieć piaskownice z często wymienianym piaskiem niż taką, w której
panuje 'wolność'. Oczywiście dobrze, że jest wolność i swoboda wyboru,
bo póki co operatorów (piaskownic) mamy >1, ale niestety
jeśli dzisiaj nie usiądziemy nad problemami podstawowymi - jutro
nikt nie będzie potrafił zapewnić działającego styku z Internetem - bo
przy dowolnej próbie budowy mechanizmów zabezpieczających od razu
będzie podnosił się krzyk 'o wolność'.

Jon Postel powiedział kiedyś, żeby być liberalnym w tym co otrzymujecie
z sieci, ale bardzo konserwatywnym w tym co się do niej wysyła. Ale
takie słowa bezlitośnie wykorzystują ludzie, którzy chcą zarabiać
pieniądze - stąd protokoły i mechanizmy, w zasadzie zawsze na początku
niedoskonałe, później trzeba obudowywać różnego rodzaju
zabezpieczeniami. Dzisiaj od jakości tych zabezpieczeń zaczyna zależeć
życie każdego z nas - wypłaty z bankomatów (stojących pod publicznymi,
niefiltrowanymi IP), za chwilę - marketingowa nadal - telemedycyna.
Gdzieś w tle bardzo wiele systemów wojskowych działających w
Internecie. To wszystko bardzo realne przykłady tego, jak bardzo jakość
tego co robimy jako ludzie wiąże się z tym, że Internet działa.

Nie ma co się obrażać na rzeczywistość - tylko spróbować znaleźć jakieś
sensowne rozwiązanie dla jej niedoskonałości. Skoro niedoskonałości
jest dużo, lepiej już teraz zakasać rękawy, a nie zmieniać piaskownicę.

(z całym szacunkiem dla wszystkich dyskutantów)
--
"Don't expect me to cry for all the | Łukasz Bromirski
reasons you had to die" -- Kurt Cobain | http://lukasz.bromirski.net