D...@g...com napisał(a):

[...]

> Jestem młodym gniewnym, a najbardziej nie lubię jak ktoś mnie
> ogranicza (wprowadza cenzurę) i mówi że to nie ograniczenia, albo
> pluje mi w twarz i mówi że deszcz pada.

Czyli, jeżeli dobrze zrozumiałem, w gruncie rzeczy chodzi Ci o to, że w
chwili obecnej TP nie chroni swoich użytkowników przed infekcją (np typu
zombi) ich komputerów ale pod hasłem takiej ochrony defacto blokuje
takie zasoby, do których te już zainfekowane zombi probują się łączyć.
Tego typu blokowanie uważasz, za wyczerpujące definicję cenzury? Czy
tak?

j.

--
Orle pióra, kaczy chód,
i Cesarza zwalą z nóg.
http://ussburaque.org

do góry

On 2009-01-04 03:40, r...@g...com wrote:

> Dzięki za słowa otuchy, no rzeczywiście nie jest łatwo wyjść między
> wilki ;). Chciałbym tylko podkreślić, że ja przy tym projekcie
> napracowałem się najmniej - ot, nadstawiam za niego głowę -
> natomiast rzeczywistą robotę wykonało paru znakomitych gości.

Ale w czasach 'czepiania' się TP, w szczególności na polipie
podniosłeś głowę i miałeś odwagę napisać merytorycznego posta.
Co, jak ktoś już słusznie napisał - dramatycznie zmienia obraz
TP jako takiej w oczach wielu osób które od dawna piszą tu tylko
na Wasz temat źle.

> Jest to istotne podkreślenie chociażby dlatego, że jeden z głównych
> sprawców zamieszania jest na Wam na tym forum od dawna doskonale
> znany i już nawet bodajże był wymieniany ;)

...ale nie lubi usenetu? :)

>> Jako ten "młody - gniewny" poczułem się wywołany do tablicy. Cieszę
>> się że TP zaczęła działać w kierunku poprawy bezpieczeństwa sieci.
> Akurat nie o tego "młodego gniewnego" mi chodziło, ale widzę, że
> stary numer ze stołem i nożycami wciąż działa ;). I dobrze, bo akurat
> Twoją korespondencję widzialem i na blogu, i na żywo.

Blogów, młodych i gniewnych jest tu pewnie parę i jak rozumiem,
chodziło o kogoś innego. W kontekście braku odpowiedzi na maila
wprost, rozumiem już wszystko :)

> Było kilka powodów, dla których zdecydowalismy się uruchomić to jak
> najszybciej. O części nie mogę mówić, bo są to wewnętrzne sprawy TP,
> ale ważną rolę grała też potrzeba uruchomienia jak najwcześniej
> przed Świętami.

Tak, ale o takich rzeczach mówi się już od lat. Zresztą, inni
operatorzy powdrażali takie rozwiązania na wewnętrzne potrzeby -
choć akurat nie jestem pewien czy nie mieliście tego też do tej
pory w ten sposób zrealizowanego. Na pewno w CBRze było to przy paru
okazjach testowane.

> Nie mamy teraz możliwości blokowania poszczególnych
> protokołów/portów, to już chyba wcześniej w tym wątku było poruszane.
> Precyzja BGP jest, jaka jest - jeżeli pod blokowanym IP śmiga sobie
> wiele usług, lecą wszystkie.

Macie trochę pudełek Junipera, a JunOS od 7.3 wspiera BGP flowspec,
więc praktyczne możliwości jednak są. Konrad mówił na PLNOGu o
'prawdziwych routerach' więc sam najlepiej wie :)

--
"Don't expect me to cry for all the | Łukasz Bromirski
reasons you had to die" -- Kurt Cobain | http://lukasz.bromirski.net

do góry

Podpisałem umowę na Orange Freedom jakoś przed świętami, więc o ile
sprawa mnie jeszcze nie dotyczy to niebawem zacznie. Nie jestem
sieciowcem w żadnym calu, ale rozwiązanie wydaje mi się banalne,
wystarczyłoby, aby wszystkie zablokowane hosty były dostępne, ale z
portem potraktowanym jakąś operacją logiczną (typu not, albo xor z
numeryczną częścią loginu) itp. Ruch WWW mógłby być od razu
przekierowany na odpowiedni adres po dodaniu przyrostka powiedzmy
gimp.org.nie-mam-syfu. Malware raczej będzie na to zbyt głupie, a
świadomy użytkownik sobie poradzi (chociaż będzie to irytujące). Nie
jestem za tym, aby cokolwiek wycinać czy ograniczać, ale was rozumiem
i mam nadzieję, że pan zbawiciel świata od bonetów również zrozumie
mnie. Za częściowe nie wywiązanie się z umowy również przysługuje
odszkodowanie (przynajmniej w Orange) więc o ile teraz macie taryfę
ulgową (bo jeszcze nie mam u was Internetu) to potem nie omieszkam
skorzystać z możliwości obniżenia sobie abonamentu, bo jest to nie w
porządku w stosunku do mnie jako do użytkownika korzystającego z
zablokowanych usług.

do góry

Bry.

Chwilę mi zajęło odkopanie się spod wszystkich tych postów (31.12
miałem okazję zniknąć i pojawić się dopiero wczoraj - 03.01. Tak,
impreza była niezła. ;-))

Na wstępie chciałbym zaznaczyć, iż podejście do całej sprawy dość
mocno warunkowane jest tym, czy uderza ono w nas osobiście
(*niesłusznie*, bo "klikacze botnetów" oczywiście głosu w dyskusji nie
posiadają, a co więcej - niech gryzą piach :-/), czy też nie. Nie
muszę mówić, jak skrajne nastawienia do sprawy mogą przyjmować ludzie
z obu tych kategorii (oj, jak to paskudnie brzmi).

Niestety, mi akurat zdarzyło się być w tej pierwszej grupie, o czym
kilkadziesiąt (set?) postów wyżej miałem okazję napomknąć.

Z tego względu, poniższy fragment:
r...@g...com wrote:
> Weźmy warunek c - wieść gminna niesie, że chcieli dobrze, wyszło jak
> zwykle. No to popatrzmy - blokujemy aktualnie ponad 6000 IP. W
> przeciągu dwóch tygodni funcjonowania zostaliśmy dosłownie zawaleni
> mailami z pretensjami, w liczbie łącznie bodajże kilkunastu sztuk.
> Zdecydowana większość zgłasza problem z irc i nieszczęsnym gimpem. Z
> ircem sytuacja rozwiąże się prawdopodobnie w przeciągu tygodnia, bo z
> opami jak mi się wydaje jesteśmy wbrew pozorom po tej samej stronie i
> to zwykle rozsądni ludzie są. Pozostaje gimp i jeszcze ze dwa jak
> widziałem adresy, które kogoś zabolały. Ułamki promila w odniesieniu
> do bazy abonentów i blokowanych adresów. Po prostu klęska.
... jest dość przykry, gdyż wskazuje mi, gdzie moje miejsce. No cóż,
jestem tylko nic nie znaczącym promilem. :->

Dalej:
r...@g...com wrote:
> My używamy aktualnie BGP blackholingu do blokowania adresów, pod
> którymi znajdują się wedle najlepszej wiedzy naszej i współpracujących
> dostawców serwery C&C botnetów pewnych klas. Aktualnie nie korzystamy
> bezpośrednio z publicznie dostępnych BL, a z definicji nie z BL
> zawierających "źródła spamu". Nazw firm z którymi współpracujemy nie
> chcę teraz podawać między innymi dlatego, że rozwiązanie jest wciąż
> testowe i źródła mogą się zmienić. W przypadku, kiedy pomysł
> pozostanie z nami na dłużej (czyli okaże się skuteczny) na pewno nie
> będę miał problemu ze wskazaniem ludzi i firm, z którymi dzielimy ten
> sukces. Przy czym wciąż może to oznaczać, że nie będzie możliwości
> wskazania na jakąkolwiek publicznie dostępną czarną listę - z tego
> prostego powodu, że wykorzystywane przez nas nie będą publiczne. Nie
> mam silnych obaw z tym związanych - w biznesie jest tak, że silny
> związek o charakterze komercyjnym pomiędzy firmami, które dbają o
> swoją markę (i przyszłe relacje ;), jest często wystarczającą
> gwarancją jakości danych.
Skoro informacji o BL brak i brak też perspektyw na jakiekolwiek dane
o nich, skąd więc mam wiedzieć, z jakiego powodu jestem blokowany?

Ach, oczywiście:
> Prośba o kontakt z CERTem wynika z tego, że otrzymując prośbę jesteśmy
> w stanie (jeżeli nie są to nasze dane na podstawie umowy z dostawcą)
> zweryfikować bezpośrednie przesłanki (logi) uzasadniające blokowanie
> adresu, i taki, a nie inny "scoring". Proszę jednocześnie o
> wyrozumiałość - nie zawsze te logi będziemy w stanie automatycznie
> dostarczyć bezpośrednio zainteresowanym (chociażby dlatego, że mogą
> zawierać adresy honeypotów etc), czasem musimy ograniczyć się do
> potwierdzenia, że tego a tego dnia o tej i o tej godzinie ruch
> kontrolny z danego adresu został zarejestrowany i zweryfikowany. Może
> to wyglądać na "sąd kapturowy", ale nie taka jest nasza intencja, i
> nie ma to nic wspólnego z arogancją. Jedyne, o co mogę prosić to
> odrobina zaufania - jeżeli nie do TP, to do mojego zespołu, który
> tworzyłem cztery lata temu w opozycji do tego, czego jako klient i
> pracownik w TP nie lubię, i o zmianę czego bezustannie obiecuję
> walczyć ;).
No i tu mój główny zarzut, niestety. Pierwszego dnia po włączeniu
"usługi" miałem okazję napisać na wiadomy adres. Na odpowiedź czekałem
jedną dobę, choć składała się ona jedynie z informacji iż faktycznie
jestem wycinany i po jakimś czasie automat sprawdzi i odblokuje. Nie
muszę wspominać, iż informacji o powodzie (o który pytałem - chociaż o
możliwość online'owego sprawdzenia w jakichś BLach, czy czymś
podobnym) i *czymkolwiek* innym zabrakło. Nie muszę chyba informować,
jak bardzo radosny byłem, skoro zostałem potraktowany przez
profesjonalny zespół w sposób, którego nie powstydziłaby się
przysłowiowa "pani na blulajnie" (*kaszl* *kaszl*, przepraszam). W
efekcie odsmarowałem kolejną odpowiedź - tym razem nieco mniej
grzeczną (choć wciąż bez żadnych osobistych ataków, etc. - proszę mnie
nie podejrzewać nawet o podobne pomysły), na którą odpowiedź... nigdy
nie wróciła.
Aha, zostałem więc profesjonalnie olany. Nadal nic nie wiem. Jest
świetnie.

Dodam tylko, że wspomniany serwer aktualnie korzysta ze wspaniałej
opcji w OVH - możliwości dokupienia (niby niedrogo, ale zawsze)
dodatkowego IP. Tym IPkiem teraz odbywa się komunikacja ze światem i
wszystko działa należycie. Zabawne, nie został on jeszcze wyblokowany.
Czyżby jednak zagrożenia nie było?

Byłbym naprawdę wdzięczny za jakieś informacje, co począć dalej (czy
też sprawę olać i korzystać już dożywotnio z dodatkowego IPka za
(bodajże) 4zł miesięcznie).


A teraz z troszeczkę innej beczki, gdyż od właściwie początku
informowania o wszelkich honeypotach (i podobnych) zbierających dane o
potencjalnych adresach do wycięcia chodzi mi to po głowie - czy nie
istnieje niebezpieczeństwo, iż powstanie nowy rodzaj ataku, tj.
spoofowanie "komunikatów kontrolnych botnetów" w taki sposób, by w
efekcie ofiara samego ataku została wycięta (bo uznana za kontroler)?
Szczerze mówiąc - nie wiem, po jakim gruncie stąpam (brak info o
BLach, firmach, więc mogę tylko sobie wyobrażać różne czarne
scenariusze), ale skoro odpowiednie dane gromadzone są przez automaty,
a automaty da się często oszukać, w efekcie tworzymy podstawy dla
paskudnego ataku, dzięki któremu łatwo (lub nieco trudniej - od
automatów zależy) możemy wysłać w routerowy kosmos "niewygodne" hosty.

Z góry przepraszam jeśli post jest piekielnie chaotyczny - jak
wspomniałem, wróciłem wczoraj i mam teraz kilka spraw na głowie (a
fakt, iż blackhole'ują mi jabbera też mi nie pomaga :-P), które
jednocześnie z pisaniem powyższego staram się załatwiać.

Pozdrawiam,
--
ru

do góry

On 4 Sty, 11:16, januszek <j...@p...irc.pl> wrote:
> D...@g...com napisał(a):
>
> [...]
>
> > Jestem młodym gniewnym, a najbardziej nie lubię jak ktoś mnie
> > ogranicza (wprowadza cenzurę) i mówi że to nie ograniczenia, albo
> > pluje mi w twarz i mówi że deszcz pada.
>
> Czyli, jeżeli dobrze zrozumiałem, w gruncie rzeczy chodzi Ci o to, że w
> chwili obecnej TP nie chroni swoich użytkowników przed infekcją (np typu
> zombi) ich komputerów ale pod hasłem takiej ochrony defacto blokuje
> takie zasoby, do których te już zainfekowane zombi probują się łączyć.
> Tego typu blokowanie uważasz, za wyczerpujące definicję cenzury? Czy
> tak?
>
> j.
>
> --
> Orle pióra, kaczy chód,
> i Cesarza zwalą z nóg.http://ussburaque.org

Zacznę o wyjaśnienia. TP teraz chroni przed atakami z zablokowanych IP
ale, co ciekawe można mając dostęp do innego operatora tak
przekierować pakiety że mimo iż atak idzie z zablokowanego IP, lub ale
tutaj raczej już nie przejdzie że poprzez przekierowanie dalej atak
będzie uważany jako z zablokowanego IP (tutaj tylko teoria i dobrze
skonfigurowany firewall powinien nie pozwolić). Zatem jak widać
wystarczy jeden dostawca intranetu na Świecie aby teoria TP padła a z
tego co wiem w Australii wszyscy się wycofali a tylko 2 próbowało tej
metody.
Co do cenzury mam nadzieję że teraz mnie zrozumiecie:
Pewnego dnia idziesz do TP podpisujesz umowę i według umowy dostajesz
dostęp do każdego IP 24h/dobę przez cały rok (z wyjątkiem awarii).
Cieszysz się serfujesz i pewnego dnia zamiast się połączyć poprzez ssh
czy www czy inny sposób z serwerem (żeby dodać pikanterii to za dostęp
do tego serwera zapłaciłeś kasę) nie możesz się dostać. Najpierw osoba
na pomocy technicznej informuje Ciebie że wszystko jest ok i nie ma
żadnej awarii. Nie dajesz za wygraną i pytasz administratora serwera
co się dzieje bo nie masz dostępu. Odpowiedź że wszystko ok.
Zastanawiasz się co się dzieje. Dzwonisz na pomoc operatora internetu
i dalej twierdzi że wszystko jest ok bo działa strona onet.pl. Masz
drugiego operatora i sprawdzasz że u niego działa i wtedy wiesz że to
u operatora i przeszukując wiadomości widzisz że jest blokada od pół
miesiąca. Dzwonisz pytasz się czy rzeczywiście jest taka blokada po
wielkiej naradzie osoby po drugiej stronie telefonu dowiadujesz się że
jest. - Cenzura to tutaj zabroniony dostęp do serwisów. Nieważne czy
się patrzy na treść czy nie jak napisałem wcześniej cenzura to
"danym kraju istnieje specjalna instytucja, która zajmuje się kontrolą
i dopuszczaniem (lub nie) do przekazu wszelkich publikacji, filmów,
itp. "
instytucja - TP
przekaz wszelkich publikacji , filmów itp. - IP blokowane

Teraz troszkę o przesyłaniu rozkazów. Czy jeśli wysyłam rozkazy do
serwerów którymi mam administrować to ja jestem tym złym? NIE ta
technologia jest i dobra. Teraz ktoś kto ma pojecie o HoneyPot zaraz
się na mnie zdenerwuje i napisze że okłamuję, ale zaraz wytłumaczę o
co chodzi. HoneyPot rejestrują nieautoryzowane zatem nie mam prawa na
wysyłanie żadnych poleceń. OK zgodzę się tylko ja miałem na myśli
technologię jaka jest wykorzystywana że jest używana przez
administratorów do czegoś dobrego. Zatem blokowanie (wycinanie) portów
jest dobre i złe.

Ale czy można całkowicie zablokować tylko za pomocą portów? Tutaj
uchylam czoła administratorom TP bo zrobili kawał dobrej roboty bo to
jedyna możliwość dobrego zablokowania tych złych. Tylko czy jeśli ja
nie chcę ma swoja ochronę to ktoś musi mi na siłę wciskać inną
ochronę? NIE Następny argument przeciwko TP to nie dbanie o klienta
tylko o własny tyłek.
Nie tędy droga bo w pewnym momencie znajdziemy się na rozdrożach gdzie
tylko sami na własny serwer wejdziemy.
Sposób zwalczania to skazywanie winnych a nie na siłę uszczęśliwianie
abonentów. A czy TP bardzo dobrze teraz z ta blokada chroni swoich
abonentów? NIE Sorki za dużo siedzę w sieciach i wiem jedno jak bronię
systemu to mam znaleźć wszystkie (nieraz to tysiące luk), a ten co
chce się włamać szuka tylko jednej małej luki. Człowiek tworzy
zabezpieczenia i człowiek je łamie.
Przez pewien czas ochrona TP będzie jakoś chroniła ale niedługo
zmutują sposoby komunikacji, włamań ... i tylko ktoś się napracuje a
jak będziemy szukać winnych i to im uprzykrzać życie to z pewnością
osiągniemy większy sukces.

Wracając na sam koniec do wypowiedzi na temat samego blokowania portów
jedynie, i centralnej autoryzacji IRC jest to też dobry sposób na
ograniczenie, ale port ustala programista, cracker (z całą
świadomością nie używam tutaj słowa haker bo uważam że haker to osoba
która stara sforsować zabezpieczenia dla sprawdzenia siebie i często
pomaga w tworzeniu zabezpieczeń niż w tworzeniu botnetu) wiec mała
zmiana w kodzie i już po zabezpieczaniu.

Nawołuje jeszcze raz do odniesienia się do regulaminu usług internetu
TP i wskazanie jeśli się mylę gdzie jest powiedziane że będę miał brak
dostępu do internetu (do kilku serwisów)?

do góry

On 4 Sty, 09:32, D...@g...com wrote:
> Jak widać w pierwszym punkcie cenzura to kontrola dopuszczenia lub
> nie.

Nie widać, bo w tym zdaniu brakuje dopełnienia ;). A jest to ważne, bo
mówi o tym, co sie kontroluje i co dopuszcza. Czyli publikacje, filmy,
książki - ogólniej słowa, myśli, obrazy tworzone przez i kierowane do
ludzi. Bardziej generalnie - treść. TP nie zajmuje się kontrolą i
dopuszczaniem treści, żadna decyzja podejmowana chociażby w projekcie
blackholingu nie ma związku z treścią. Jest to klasyczna reakcja na
zagrożenie dla bezpieczeństwa sieci i naszych klientów, i to akurat
mamy prawo robić. Więcej, tego się od nas oczekuje.

Podam przykład - wyobraźmy sobie, że otrzymjemy informację o szybko
propagującym się robaku, będącym zagrożeniem dla sieci i klientów, lub
też skierowanym na naszych klientów dużym ddosie. Podejmujemy
działania zmierzające do ochrony. Gdzie drwa rąbią tam wióry lecą -
niektóre hosty zostają odcięte, gdzieniegdzie zmniejsza się pasmo,
zrywane są sesje, komuś nie ściagnął się najnowszy Bond etc. Wrażenie
mam takie, że w tak spektakularnej sytuacji nikt by nie mówił o
cenzurze, raczej pojawiłyby sie pretensje, gdybysmy czekali z
założonymi rękami.

Z blackholingiem tak naprawdę nie robimy nic innego. Przerywamy atak w
trakcie lub działamy prewencyjnie. Tyle, że zagrożenia są dużo
bardziej subtelne, niewidoczne - no bo co to kogoś obchodzi, że jego
komputer np. grzeje mailami, ile mu fabryka mocy dała. A że dla
większości osób związek pomiędzy tym, a problemem z dochodzeniem
wysylanych legalnych maili jest nieoczywista, że nie obchodzi ich, że
pewien sympatyczny gość w CERT dokonuje cudów negocjując z RBLami
metodą "na Rumuna"...stąd inne postrzeganie sytuacji. Tyle, że
sympatycznego gościa już żaden RBL nie chce słuchać, bo rezultatów
jakby brak.

> Jak dalej Pan uważa że to że nie mogę wejść przez Państwa
> internet na dwa serwisy to nie cenzura to chyba się Państwo mylicie.

Za całym szacunkiem - gdybym chciał zachować proporcje, to byłbym
zmuszony powiedzież, że nie. Mam wrażenie, że ludzie, którzy
rzeczywiście w tym kraju walczyli o zniesienie cenzury mieli na myśli
coś innego, niż dwa serwisy. Ja wtedy co najwyżej mogłem narzekać, że
nie było teleranka, ale prze szacunek do nich proponuję nie strzelać
jednak z armaty do muchy ;).

> Metoda HonetPot nie wiem czy Pan nawet wie co to jest, ja tak i
> postaram się przedstawić Państwu co i jak
> Zatem metoda HoneyPot jest serwerem który jest dobrze zabezpieczony a
> "udostępnia" usługę która udaje że jest tą usługa i to co
> najważniejsze posiada lukę dzięki której łatwo jest przejąć komputer
> do własnych potrzeb. HoneyPot ma za zadanie:
> 1) Zebrać wszystkie możliwe informacje o napastniku (loginy, hasła,
> serwery z którymi się łączy ...)
> 2) Logowanie każdego nawet mylnego kliknięcia klawiaturze - w zdalnych
> połączeniach to nic innego tylko wysłanego kodu klawisza.
> 3) Informację przechowywać w bezpiecznym miejscu
> 4) Informować administratora o zaistniałych sytuacjach

A ta definicja, to też z Wiki? Fajna. Nie miałem do tej pory pojęcia o
honeypotach, dobrze się w końcu dowiedzieć ;)

> Pięknie Pan pisał o szczepionkach i chyba antybiotykach jednak dopóki
> nie wszyscy operatorzy wprowadzą tego typu zabezpieczenia to dalej
> będą chorzy, i wasze działania to tylko utrudnienia dla nas.

No cóż...sytuacja rzeczywiście jest niebywała. Tepsa vel telekomuna
vel telepies wykazała się większą odwagą i szybkością od innych,
prężnych operatorów, którzy decyzję o uruchomieniu blackholingu też
już podjęli, ale nieco się spóźnią ;) Nie byliśmy pierwsi - co to, to
nie, ale nie będziemy też raczej ostatni...

> 2) W piśmie jest napisane "jedna owieczka jest ważniejsza niż całe
> stado"

Święte słowa. Na razie jeszcze TP nie jest na etapie kierowania się
słowami Pisma, ale kto wie, co nam przyniesie przyszłość. Póki co,
ktokolwiek z szanownej konkurencji stosuje powyższą zasadę, niech
pierwszy rzuci kamieniem ;)

> Jestem młodym gniewnym, a najbardziej nie lubię jak ktoś mnie
> ogranicza (wprowadza cenzurę) i mówi że to nie ograniczenia, albo
> pluje mi w twarz i mówi że deszcz pada.

No to rzeczywiście jest nieprzyjemna sytuacja. Sytuacja odwrotna,
kiedy pada deszcz, a człowiek sobie tłumaczy, że plują, też mi się
wydaje zbytecznie przerysowana. To co, może uda się jakoś środeczkiem
pojechać?

On 4 Sty, 11:59, Łukasz Bromirski <t...@1...0.0.1> wrote:
> > Jest to istotne podkreślenie chociażby dlatego, że jeden z głównych
> > sprawców zamieszania jest na Wam na tym forum od dawna doskonale
> > znany i już nawet bodajże był wymieniany ;)
>
> ...ale nie lubi usenetu? :)

Bożesz, bardzo lubi, ale chyba myśli, że bez wzajemności ;)). Zresztą
nie musi przecież dzielnie stawać sam naprzeciw loży szyderców, jak w
dobrym botnecie u nas dynamicznie wyskakujemy spod jednej domeny, żeby
pokazać, że siła nas :). BTW, mail poszedł, na urlopie mam po prostu
większe "latency".

> > Nie mamy teraz możliwości blokowania poszczególnych
> > protokołów/portów, to już chyba wcześniej w tym wątku było poruszane.
> > Precyzja BGP jest, jaka jest - jeżeli pod blokowanym IP śmiga sobie
> > wiele usług, lecą wszystkie.
>
> Macie trochę pudełek Junipera, a JunOS od 7.3 wspiera BGP flowspec,
> więc praktyczne możliwości jednak są. Konrad mówił na PLNOGu o
> 'prawdziwych routerach' więc sam najlepiej wie :)

To niech się produkuje, mądrala ;). Spokojnie, coś na przyszłość sobie
trzeba zostawiać...

On 4 Sty, 17:28, ru <t...@g...com> wrote:

>Tak,
> impreza była niezła. ;-))
> (...)
> ... jest dość przykry, gdyż wskazuje mi, gdzie moje miejsce. No cóż,
> jestem tylko nic nie znaczącym promilem. :->

To ja się pytam, te promile to w końcu coś dobrego, czy nie? :) Witam
rootnode.

> No i tu mój główny zarzut, niestety. Pierwszego dnia po włączeniu
> "usługi" miałem okazję napisać na wiadomy adres. Na odpowiedź czekałem
> jedną dobę, choć składała się ona jedynie z informacji iż faktycznie
> jestem wycinany i po jakimś czasie automat sprawdzi i odblokuje. Nie
> muszę wspominać, iż informacji o powodzie (o który pytałem - chociaż o
> możliwość online'owego sprawdzenia w jakichś BLach, czy czymś
> podobnym) i *czymkolwiek* innym zabrakło. Nie muszę chyba informować,
> jak bardzo radosny byłem, skoro zostałem potraktowany przez
> profesjonalny zespół w sposób, którego nie powstydziłaby się
> przysłowiowa "pani na blulajnie" (*kaszl* *kaszl*, przepraszam).

To ja pojadę klasyką: bardzo mnie zraniłeś Shrek :(. No chyba, że
więcej was te maile pisało, ale szczerze mówiąc nie podejrzewam.

> W efekcie odsmarowałem kolejną odpowiedź - tym razem nieco mniej
> grzeczną (choć wciąż bez żadnych osobistych ataków, etc. - proszę mnie
> nie podejrzewać nawet o podobne pomysły), na którą odpowiedź... nigdy
> nie wróciła.
> Aha, zostałem więc profesjonalnie olany. Nadal nic nie wiem. Jest
> świetnie.

Hmmm, ja rzeczywiście dostałem takiego jednego maila, na którego
jeszcze nie odpowiedziałem. Przyczyna jest taka, że tak nie do końca
miejscami rozumiem, co autor miał na myśli, a miejscami też nawet przy
najwyższym poświęceniu za dużo musiałbym tłumaczyć. Nie mam aż tak
altruistycznej natury.

>
> Dodam tylko, że wspomniany serwer aktualnie korzysta ze wspaniałej
> opcji w OVH - możliwości dokupienia (niby niedrogo, ale zawsze)
> dodatkowego IP. Tym IPkiem teraz odbywa się komunikacja ze światem i
> wszystko działa należycie. Zabawne, nie został on jeszcze wyblokowany.
> Czyżby jednak zagrożenia nie było?
>
> Byłbym naprawdę wdzięczny za jakieś informacje, co począć dalej (czy
> też sprawę olać i korzystać już dożywotnio z dodatkowego IPka za
> (bodajże) 4zł miesięcznie).

Proste to jest jak konstrukcja cepa - jeżeli pod nowym adresem
pozostalo ZŁO, zostanie on zablokowany. I nawet po zaprzestaniu zabawy
będzie musiał odczekać pewien czas, aż według zastosowanej polityki
zostanie automatycznie uznany za zagrożenie historyczne. Oryginalnie
zablokowany adres podlega dokładnie tej samej procedurze - w tym
tygodniu bodajże sprawdzałem, scoring obniżył mu się w porównaniu z
poprzednim tygodniem, więc wygląda na to, że niedługo będzie
dostępny.

> A teraz z troszeczkę innej beczki, gdyż od właściwie początku
> informowania o wszelkich honeypotach (i podobnych) zbierających dane o
> potencjalnych adresach do wycięcia chodzi mi to po głowie - czy nie
> istnieje niebezpieczeństwo, iż powstanie nowy rodzaj ataku, tj.
> spoofowanie "komunikatów kontrolnych botnetów" w taki sposób, by w
> efekcie ofiara samego ataku została wycięta (bo uznana za kontroler)?
> Szczerze mówiąc - nie wiem, po jakim gruncie stąpam (brak info o
> BLach, firmach, więc mogę tylko sobie wyobrażać różne czarne
> scenariusze), ale skoro odpowiednie dane gromadzone są przez automaty,
> a automaty da się często oszukać, w efekcie tworzymy podstawy dla
> paskudnego ataku, dzięki któremu łatwo (lub nieco trudniej - od
> automatów zależy) możemy wysłać w routerowy kosmos "niewygodne" hosty.

Ktoś już o tym pisał. No więc tak - hostom niewygodnym i dobrze
zabezpieczonym zasadniczo nic nie grozi. Hostom niewygodnym i cienko
zabezpieczonym grozi już teraz parę rzeczy skutkujących na przykład
ich, jakby to powiedzieć, mniejszą dostępnością. Można w dodatku
postawić tezę, że przejęty host jest sam w sobie zagrożeniem dla
Internetu...więc skoro atakujący sam stara się za nas zrobić "incident
containment" to nie jest to może wcale taki głupi pomysł ;). Jako DoS
taki atak mógłby mieć sens o tyle, że mógłby być teoretycznie mniej
zauważalny dla ofiary (nie jest dostępna i nawet o tym nie wie), ale
jak widać na przykładzie naszej skromnej inicjatywy - jakoś, skubani,
dowiadują się raczej wcześniej, niż później ;).

Pozdrawiam,
RJ

do góry

Jeszcze jedno mi się przypomniało - my tu gadu gadu, a ja przecież
potrafię zrobić tak, żeby neostrada była bezpieczna, zabezpieczenie
było zdejmowalne per klient, proste w obsłudze i bardzo skuteczne,
nieporównywalnie bardziej "user friendly" do czegokolwiek aktualnie
dostępnego na rynku, bajka po prostu. Takie moje skromne marzenie, o
którym już wspomniałem.

No to może Szanowni Klienci wykorzystają swoją aktywność, zdolność
zrzeszania się i organizowania akcji mailingowych i zadeklarują
naszemu rzecznikowi, że są skłonni płacić za takie cudo drobną
miesięczną opłatę (piweczko, 5 złociszy powiedzmy) i przekonają go, że
może nawet nie wszyscy, ale co drugi to na bank...?

I had a dream...;)

Pzdr,
RJ

do góry

Art from [ r...@g...com ] ...

: No to może Szanowni Klienci wykorzystają swoją aktywność, zdolność
: zrzeszania się i organizowania akcji mailingowych i zadeklarują
: naszemu rzecznikowi, że są skłonni płacić za takie cudo drobną
: miesięczną opłatę (piweczko, 5 złociszy powiedzmy) i przekonają go, że
: może nawet nie wszyscy, ale co drugi to na bank...?
:
: I had a dream...;)

jeśli tak wygląda proces budżetowania nowych projektów w &TP to ja
chętnie dorzucę parę groszy na rzecz otwartych peeringów. wasi klienci
na tym zyskają lepszy dostęp do contentu za którego dostarczanie muszę
teraz płacić 15kzł.

PPNMSP, za dużo w tym mydlenia oczu.

--
:|[ kondi.net ]|:::::::::::::::::::::::::::::::::::|[ 2:480/1...@f...org ]|:

do góry

r...@g...com writes:

No proszę, TP mówi ludzkim głosem. 8-) Naprawdę się nie spodziewałem,
dziękuję.

> Weźmy warunek c - wieść gminna niesie, że chcieli dobrze, wyszło jak
> zwykle. No to popatrzmy - blokujemy aktualnie ponad 6000 IP. W
> przeciągu dwóch tygodni funcjonowania zostaliśmy dosłownie zawaleni
> mailami z pretensjami, w liczbie łącznie bodajże kilkunastu sztuk.
> Zdecydowana większość zgłasza problem z irc i nieszczęsnym gimpem. Z
> ircem sytuacja rozwiąże się prawdopodobnie w przeciągu tygodnia, bo z
> opami jak mi się wydaje jesteśmy wbrew pozorom po tej samej stronie i
> to zwykle rozsądni ludzie są. Pozostaje gimp i jeszcze ze dwa jak
> widziałem adresy, które kogoś zabolały. Ułamki promila w odniesieniu
> do bazy abonentów i blokowanych adresów. Po prostu klęska.

No to po kolei.

1. Jakoś tak w kółko tylko o tym irc i irc. Liczba 6000 wskazuje na
to, że blokujecie daleko nie tylko serwery irc, z innych źródeł też
widać, że także mnóstwo adresów, na których serwera irc nigdy nie
było. Zatem dobrze byłoby wiedzieć, prowadzenie jakiej usługi może
kogoś narazić, że stanie się ofiarą... Samo HTTP wystarczy?

2. Nie widzę ani cienia, najmniejszego, wątpliwości, ani słóweczka, że
może jednak w tych 6000 jest (jeden? dwa? 1000?) adresów wpisany
przez pomyłkę. Nikt nie jest nieomylny i wasze czarne listy prawie
na pewno też nie. Umiecie w ogóle określić, jaka część z tych 6000
odpiowiedzialna była za sterowanie jaką częścią botnetów? Bo nie
sądzę, by się rozkładało po równo. Może np. za 99% ruchu jest
odpowiedzialny 1% z tych zablokowanych adresów?

3. W liczbę kilkunastu pretensji całkiem zwyczajnie i po prostu NIE
WIERZĘ. Obawiam się, że po prostu znakomita większość reklamacji
(czy to na błękitną linię, czy na abuse@, czy jeszcze gdzieś)
została załatwiona przez odesłanie na /dev/drzewo - przykłady mamy
zarówno na grupie, jak i na różnych blogach czy portalach - i do
Departamentu Zarządzania Bezpieczeństwem etc. w ogóle nie dotarła.
Sposób reakcji na te reklamacje trudno określić inaczej niż
skandaliczny. Sam na dwa maile na abuse@ w sprawie gimp.org (jeden
przeforwardowany przez Konrada P., drugi już mój bezpośrednio) nie
dostałem odpowiedzi W OGÓLE.

Ja się zgadzam, że jakieś czynności trzeba było podjąć. Czy blokowanie
adresów zostało przeprowadzone poprawnie od strony technicznej - z
braku danych nie wiem, załóżmy, że tak, choć wątpliwości są.

Natomiast od strony "obsługi klienta" zostało przeprowadzone
absolutnie najgorzej jak można.

Najmniejsze minimum obsługi powinno wyglądać tak, że reklamujący
klient powinien dostawać informację, że zablokowano ze względów
bezpieczeństwa, oraz że "zwróciliśmy się do posiadacza tego adresu IP
z prośbą o zabezpieczenie tego systemu i jak tylko on to zrobi, to
odblokujemy". Natomiast posiadacz adresu powinien dostać informację ZA
CO został zablokowany, co umożliwi mu jakąś reakcję.

Nie może być tak, że klient dostaje odpowiedź "nie nasz problem", a
admin "blokujemy was, ale nie powiemy za co".

> Rafał Jaczyński
> Dyrektor Departamentu Zarządzania Bezpieczeństwem Systemów
> Teleinformatycznych, TP S.A.

A swoją drogą ciekawe, że osoba występujaca w swojej oficjalnej
postaci dyrektora pisze z adresu @gmail.com 8-)

Pozdrawiam ponoworocznie

MJ
PS.
> tygodniu powinno się ustabilizować, będą wnioski. Na razie wychodzi to
> trochę tak, jak z fast fluxem - ogólnie się przyjęło, że fajnie jest
> się tak maskować i kto tak się z C&C i contentem nie kryje ten łoś i
> lamer. Ergo, na pewno większość botnetów tego używa. Dżentelmeni z

Można prosić o wytłumaczenie? Na przykład co to jest C&C? I reszta?
Nic nie rozumiem...

do góry

r...@g...com writes:

> No to może Szanowni Klienci wykorzystają swoją aktywność, zdolność
> zrzeszania się i organizowania akcji mailingowych i zadeklarują
> naszemu rzecznikowi, że są skłonni płacić za takie cudo drobną
> miesięczną opłatę (piweczko, 5 złociszy powiedzmy) i przekonają go, że
> może nawet nie wszyscy, ale co drugi to na bank...?

Ja płacę rzeczonemu operatorowi >200 zł miesięcznie i liczę, że mu
wystarczy aż nadto. Może gdyby nie leciały milioniki do żabojadów za
ampersanda...

MJ

do góry