Marcin Kulas wrote:

> Jest to jakiś argument, ale wtedy Ty masz więcej roboty, jak ktoś
> z Twojej sieci narozrabia (a w dużych sieciach dzieje się to co chwilę)
> i to do Ciebie należy potem szukanie kto danego dnia o danej godzinie
> miał podany IP, by urwać łeb abuserowi i nasikać do szyi, a potem jeszcze
> dyskutować z poszkodowanymi.
> Jeśli tego nie będziesz robił, to trachną Ci całą pulę i wtedy możesz
> mieć problem z utrzymaniem klientów, którym poczta/cokolwiek przestanie
> do świata docierać.
> W przypadku stałego IP dajesz strzelbę w ręce poszkodowanego. Jeśli chce,
> może wyciąć w pień jeden IP i obie strony mają mniej roboty.
>

Dzierżawę tj, dokładny czas, adres ip, mac CPE oraz modemu kablowego ładnie
zrzucam sobie do Postgres-a. I od tego momentu identyfikacja szkodnika to
mniej niż minuta. Przed spoofingiem zabezpieczają jeszcze inne techniki.
Jak ktoś korzysta z radius-a i pppoe to są nawet dostępne gotowe
rozwiązania. Jeżeli chodzi o strzelbę to ma ona niestety duży rozrzut:
ostatnio mam problemy z firmą trend micro, która umieściła mi 1 adres na
rbl (jeszcze w 2006, bo był tam nat dla userów, teraz jest firmowa poczta,
od lat adres jest czysty) a niektóre osoby muszą wysyłać maile do
instytucji, które z oprogramowania tej, niepoważnej, firmy korzystają.

> Gdybm chciał zgłaszać każdy spam do abuse/CERT-u, musiałbym to robić
> automatycznie. Najprawdopodobniej po kilku dniach zostałbym sam wycięty
> za spamowanie ich skrzynek. Dużo prościej i szybciej jest wycinać
> od ręki u siebie. Abuse/CERT bym zostawił na grubsze incydenty.
>
> Kiedyś z automatu karmiłem SpamCopa. Sprawność takiego mechanizmu
> była średnia w porównaniu z tym czego używam teraz.
> Bardziej mi się opłaca utrzymywać własnego RBL-a, którego karmię
> tym czym chcę, a potem zasilam nim wszystkie swoje maszyny. Mniej
> roboty i false positives, a więcej pożytku dla klientów.
>

Co do zgłoszeń CERT to narazie można powiedzieć że się bardzo nudzę.
Ostatnie miałem podczas akcji "Simone". Pewnie to zasługa tego że ze
spambotami w swojej sieci walcze sam. Oczywiście za pomocą automatów jak
najbardziej. Różnica jest taka że ja zawsze wiem kogo zbanuje, a dla ciebie
to będzie tylko adres IP za którym po 2h, albo nawet w tej chwili jeżeli to
NAT, może się kryć niewinna osoba. W ipv6 będzie to można pewnie o 180
stopni odwrócić, ale do tego długa droga.

Myślę że powinno powstać ujednolicone prawo i procedury postępowania ze
zgłoszeniami.