Lukasz Trabinski nabazgrał:
> OK, wytniesz port 25 na kompueterze usera, ale będzie on robił jeszcze
> wiele innych mało ciekawych rzeczy, bo nadal będzie kontrolowany przez
> kogoś z zewnątrz.

Jejku, jakich rzeczy? Bo spamu już wysyłał nie będzie, a to właśnie spadek
ilości spamu ponoć miał być wyznacznikiem skuteczności tej całej akcji
blokowania.

> OK, można wycinać dalej, kolejne porty, ale nadal ta
> maszyna rozmawia z kontrolerem. Słabo widzę wycinanie end-userowi
> możliwości wykonywania zapytań tcp-fin+ack na losowe porty i losowe
> adresy w internecie. Chyba rozumiesz, że uwalenie komunikacji z
> kontrolerem botnetu, jest wysoce lepszym pomysłem.

Do rozsyłania spamu nie trza mieć żadnej komunikacji z żadnym kontrolerem
żadnego botnetu. Wystarczy otworzyć nieodpowiedni program z załącznika lub
ściągnięty pornostrony, a czasem wystarczy tylko wejść na stronę ze
złośliwymi skryptami.
No i nadal też wierzyć się nikomu nie chce, że wszystkim botnetami w TP
sterują serwerey gimpa i polnetu.

do góry

On 06.01.2009, Krzysztof Halasa <k...@p...waw.pl> wroted:

>> OK, wytniesz port 25 na kompueterze usera, ale będzie on robił jeszcze
>> wiele innych mało ciekawych rzeczy, bo nadal będzie kontrolowany przez kogoś z
>> zewnątrz.
>
> Ale blackholing jakichs serwerow np. IRC niczego tu nie zmieni.
> Rozumiesz to?

Ja nie rozumiem. Dlaczego miałby nie zmienić, skoro te "jakieś serwery"
to te, do których idą połączenia kontrolne botnetów? Ktoś nie wyśle spamu,
ktoś nie podkradnie loginu mbanku, ktoś nie poszpieguje, ktoś nie zrobi
DDoSa itp.

[...]
> Natomiast tu mamy do czynienia z dzialaniem _z_zalozenia_
> a) nieskutecznym (na dluzsza mete), b) wycinajacym normalna
> komunikacje normalnego (niezarazonego) usera z normalnymi
> (niezarazonymi itp) serwerami.

Z serwerami kontrolującymi botnety, jeśli pominąć zwykłe pomyłki.

> Rozumiesz? TPSA wprowadza takie rozwiazanie _wiedzac_, ze ono nie moze
> byc skuteczne.

Ale jaki jest zasadniczo argument za tą nieskutecznością? Nieskuteczne,
bo nie i koniec?

GS
--
Grzegorz Staniak <gstaniak _at_ wp [dot] pl>
Nocturnal Infiltration and Accurate Killing

do góry

Lukasz Trabinski <l...@t...nospam.net> wrote:
> No i tutaj się różnimy. To nie ma znacznia, czy to jest IRC serwer czy
> inna maszyna. Jest kontrolerem botnetu, a jej administrator prawdopodobnie
> nie panuje nad nią, czemy więc ma nie być wycięta?

Ekhm. Co znaczy "nie panuje"? Usługa działa? Działa. Klienci korzystają?
Korzystają. Wygląda, że jednak panuje.

Aaa, że niby chodzi o to, że według jakichś kryteriów niektórych klientów
nie powinniśmy obsługiwać? Nie ma sprawy, daj kryteria nadające się do
automatycznego usuwania i jeśli są sensowne, to je wdrożę.

To nie jest tak, że nie prowadzimy takich działań ochronnych. Prowadzimy.
Byliśmy pionierami wręcz. Ileż to było zgłoszeń "serwer IRC mnie atakuje",
bo skanował na okoliczność open proxy. Wszystko ewoluuje w kierunku coraz
trudniejszego automatycznego rozpoznawania.

Nie ma sprawy, wdrożyliśmy tego samego RBL-a, co efnet. Nic to, że oni
wpuszczają cały świat, więc muszą być dużo bardziej restrykcyjni, a my
tylko Polskę, więc nie musimy, a nawet nie chcemy. Nic to, że TPSA
korzysta z zupełnie innej listy adresów IP do blokowania, która nie jest
dostępna publicznie, więc ten RBL i tak by nam nie pomógł. Nic to, że nikt
nie zgłosił nam kontrolerów botów do zablokowania.

Znaczy proszę mnie źle nie zrozumieć, jestem jak najbardziej za ubijaniem
robactwa. Ale też proszę nie rzucać sobie na wiatr, że nie panujemy nad
usługą, bo nie usuwamy klientów, którzy spełniają nieznane name kryteria.

I jeszcze jedno: doskonale wiem, jak działa blackhole bgp, sam korzystam.
Ale, choć rozumiem, dlaczego tak zostało to przeprowadzone, to uważam, że
powinno się blokować adresy zarażonych własnych klientów zamiast blokowania
adresów publicznie znanych i dostępnych usług, zwłaszcza bez informowania
o tym administratorów usług, którzy w większości przypadków przecież by
chętnie powspółpracowali w usunięciu problemu po ich stronie, jeśli to
w ogóle możliwe.

p.

--
Beware of he who would deny you access to information, for in his
heart he dreams himself your master. -- Commissioner Pravin Lal

do góry

Grzegorz Staniak <g...@w...pl> writes:

> Ja nie rozumiem. Dlaczego miałby nie zmienić, skoro te "jakieś serwery"
> to te, do których idą połączenia kontrolne botnetów? Ktoś nie wyśle spamu,
> ktoś nie podkradnie loginu mbanku, ktoś nie poszpieguje, ktoś nie zrobi
> DDoSa itp.

W poboznych zyczeniach, moze tak. Te wlasnie "jakies serwery" moga byc
wykorzystywane, ale w zadnym przypadku nie sa niezbedne, ani nawet
jakos bardzo potrzebne do tego calego procederu.

>> Natomiast tu mamy do czynienia z dzialaniem _z_zalozenia_
>> a) nieskutecznym (na dluzsza mete), b) wycinajacym normalna
>> komunikacje normalnego (niezarazonego) usera z normalnymi
>> (niezarazonymi itp) serwerami.
>
> Z serwerami kontrolującymi botnety, jeśli pominąć zwykłe pomyłki.

Co to znaczy "kontrolujacymi botnety"? Pozwalajacymi na polaczenie sie
w charakterze uzytkownika IRC i pozwalajacymi na wymiane komunikatow
z innymi uzytkownikami IRC?

Moze siec np. TPSA albo ich serwery DNS tez sa kontrolerami botnetow?
A komunikatory i usenet? Skad wiemy czy boty nie wykorzystuja np. gg
albo innego np. skype? Zreszta, pewnie jesli jeszcze nie wykorzystuja,
to za chwile zaczna wykorzystywac - tyle, ze tego nie da sie tak latwo
podsluchac i m.in., choc to slaby argument, dojsc po nitce do klebka,
czyli do prawdziwego "kontrolera".

> Ale jaki jest zasadniczo argument za tą nieskutecznością? Nieskuteczne,
> bo nie i koniec?

Czyzbym pominal jakis szczegol?
Poza tym, zostal tu podany link do dowodu, nie jakiegos argumentu
z ktorym mozna sie zgadzac lub nie.
--
Krzysztof Halasa

do góry

On 07.01.2009, Krzysztof Halasa <k...@p...waw.pl> wroted:

>> Ja nie rozumiem. Dlaczego miałby nie zmienić, skoro te "jakieś serwery"
>> to te, do których idą połączenia kontrolne botnetów? Ktoś nie wyśle spamu,
>> ktoś nie podkradnie loginu mbanku, ktoś nie poszpieguje, ktoś nie zrobi
>> DDoSa itp.
>
> W poboznych zyczeniach, moze tak. Te wlasnie "jakies serwery" moga byc
> wykorzystywane, ale w zadnym przypadku nie sa niezbedne, ani nawet
> jakos bardzo potrzebne do tego calego procederu.

Wiesz, to mi przypomina takie bardzo autorytatywne i stuprocentowo logiczne
dowody na to, że greylisting SMTP nie ma prawa działać, bo co za problem
zaimplemenetować obsługę 450 w maszynkach do spamu. Trudno się nie zgodzić
z argumentami, że jest to karanie własnych userów, że nieskuteczne, że na
krótką metę itp. Przeciwnicy mają oczywiście rację, a ja mam rząd wielkości
mniej spamu w poczcie. Nie ma prawa działać, a jakoś działa od już chyba
dwóch lat. To co Rafał pisał o fast-fluksie i rzekomym wymarciu kontroli
botnetów przez IRC ładnie do tego pasuje.

>>> Natomiast tu mamy do czynienia z dzialaniem _z_zalozenia_
>>> a) nieskutecznym (na dluzsza mete), b) wycinajacym normalna
>>> komunikacje normalnego (niezarazonego) usera z normalnymi
>>> (niezarazonymi itp) serwerami.
>>
>> Z serwerami kontrolującymi botnety, jeśli pominąć zwykłe pomyłki.
>
> Co to znaczy "kontrolujacymi botnety"? Pozwalajacymi na polaczenie sie
> w charakterze uzytkownika IRC i pozwalajacymi na wymiane komunikatow
> z innymi uzytkownikami IRC?

Nie wiem, miałem wysłać do Karpia informację, że jestem zainteresowany
szczegółami o których pisał, ale jestem za głupi żeby znaleźć jego adres
email. O ile przeczytałem wszystko w wątku co jest istotne, scoring się
zaczyna nie wtedy, kiedy pozwalasz na te połączenia, ale kiedy łączą się
do Ciebie większe ilości zombies.

> Moze siec np. TPSA albo ich serwery DNS tez sa kontrolerami botnetow?
> A komunikatory i usenet? Skad wiemy czy boty nie wykorzystuja np. gg
> albo innego np. skype? Zreszta, pewnie jesli jeszcze nie wykorzystuja,
> to za chwile zaczna wykorzystywac - tyle, ze tego nie da sie tak latwo
> podsluchac i m.in., choc to slaby argument, dojsc po nitce do klebka,
> czyli do prawdziwego "kontrolera".

Jw. Nie wiemy na razie jak dokładnie działa algorytm, ale nie uważasz,
że - odkładając na moment na bok p2p itd. - pierwsze sito już daje
sygnał do sprawdzenia danego IP? Jeśli nagle tysiąc hostów z różnych
dynamicznych pul, o których wiadomo, że rozsyłają spam, zaczyna się
łączyć skypem do jednego adresu IP, to naprawdę pomyślałbyś, że ot,
grupka znajomych chce sobie pogadać?

>> Ale jaki jest zasadniczo argument za tą nieskutecznością? Nieskuteczne,
>> bo nie i koniec?
>
> Czyzbym pominal jakis szczegol?

Jak dla mnie, to pominąłeś ogół. Owszem, ja się zgadzam, że filtrowanie
portu 25 jest lepszym rozwiązaniem. Ale nie rozumiem dlaczego z tej okazji
ucinanie kontroli botnetów miałoby być nieskuteczne - zwłaszcza, że
ograniczenie się do portu 25 pomija wszystkie inne poza spamem nadużycia
jakie powodują zombies. Non sequitur, po prostu.

> Poza tym, zostal tu podany link do dowodu, nie jakiegos argumentu
> z ktorym mozna sie zgadzac lub nie.

Wątek ma prawie 300 listów, zlituj się i zacytuj.

GS
--
Grzegorz Staniak <gstaniak _at_ wp [dot] pl>
Nocturnal Infiltration and Accurate Killing

do góry

Grzegorz Staniak <g...@w...pl> writes:

> Wiesz, to mi przypomina takie bardzo autorytatywne i stuprocentowo logiczne
> dowody na to, że greylisting SMTP nie ma prawa działać, bo co za problem
> zaimplemenetować obsługę 450 w maszynkach do spamu. Trudno się nie zgodzić
> z argumentami, że jest to karanie własnych userów, że nieskuteczne, że na
> krótką metę itp. Przeciwnicy mają oczywiście rację, a ja mam rząd wielkości
> mniej spamu w poczcie.

a) greylisting wcale nikogo nie karze (jesli jest dobrze zrobiony),
email to nie komunikator i jesli za pierwszym razem przyjdzie
minimalnie pozniej, to nie jest to raczej problem.
b) jesli sam greylisting zmniejsza Ci spam o rzad wielkosci, to chyba
jestes wyjatkiem. Robiles jakies porownania moze? Wiesz, takie
obiektywne.

> To co Rafał pisał o fast-fluksie i rzekomym wymarciu kontroli
> botnetów przez IRC ładnie do tego pasuje.

Jesli pisal o wymarciu polaczen, ktore zostaly zablokowane, to nie
watpie ze ta blokada dziala.

>> Co to znaczy "kontrolujacymi botnety"? Pozwalajacymi na polaczenie sie
>> w charakterze uzytkownika IRC i pozwalajacymi na wymiane komunikatow
>> z innymi uzytkownikami IRC?
>
> O ile przeczytałem wszystko w wątku co jest istotne, scoring się
> zaczyna nie wtedy, kiedy pozwalasz na te połączenia, ale kiedy łączą się
> do Ciebie większe ilości zombies.

A co to sa wieksze ilosci? Pisano tu o max tysiacu klientow na jednym
z serwerow, to nie sa wielkie ilosci nawet normalnych uzytkownikow.

> Jw. Nie wiemy na razie jak dokładnie działa algorytm, ale nie uważasz,
> że - odkładając na moment na bok p2p itd. - pierwsze sito już daje
> sygnał do sprawdzenia danego IP?

A jak chcesz takie IP sprawdzac, jesli to nie jest serwer IRC tylko
maszynka, ktora szyfruje caly ruch?

> Jeśli nagle tysiąc hostów z różnych
> dynamicznych pul, o których wiadomo, że rozsyłają spam, zaczyna się
> łączyć skypem do jednego adresu IP, to naprawdę pomyślałbyś, że ot,
> grupka znajomych chce sobie pogadać?

Nie. Pomyslalbym, ze tysiac niekoniecznie znajomych wlaczylo skype.
Zwlaszcza jesli ten IP nalezalby do skype, tak jak blokowane IP naleza
do serwerow IRC. Dokladnie tak samo 1000 userow moze "wlaczyc" IRC.

> Jak dla mnie, to pominąłeś ogół. Owszem, ja się zgadzam, że filtrowanie
> portu 25 jest lepszym rozwiązaniem. Ale nie rozumiem dlaczego z tej okazji
> ucinanie kontroli botnetów miałoby być nieskuteczne - zwłaszcza, że
> ograniczenie się do portu 25 pomija wszystkie inne poza spamem nadużycia
> jakie powodują zombies. Non sequitur, po prostu.

Trzeba od czegos zaczac, blokowanie wychodzacych SMTP blokuje
przynajmniej jedna rzecz - spam, ale za to skutecznie i bez efektow
ubocznych (a takze kazdy moze sobie latwo skonfigurowac filtrowanie,
bez potrzeby inwestowania przez TPSA w cokolwiek itd).

>> Poza tym, zostal tu podany link do dowodu, nie jakiegos argumentu
>> z ktorym mozna sie zgadzac lub nie.
>
> Wątek ma prawie 300 listów, zlituj się i zacytuj.

U mnie tez ma 300 listow, mam na mysli wykres (chyba) od Michala,
ktory pokazuje, ze po wlaczeniu filtrow spam z neostrad wciaz jest
wysylany (choc byc moze jest go chwilowo troche mniej - jesli dobrze
interpretuje to, co bylo logowane).
--
Krzysztof Halasa

do góry

Grzegorz Staniak nabazgrał:
> O ile przeczytałem wszystko w wątku co jest istotne, scoring się
> zaczyna nie wtedy, kiedy pozwalasz na te połączenia, ale kiedy łączą się
> do Ciebie większe ilości zombies.

A bo to akurat od niego zależy kto i kiedy się z nim łączy?

> Jeśli nagle tysiąc hostów z różnych
> dynamicznych pul, o których wiadomo, że rozsyłają spam, zaczyna się
> łączyć skypem do jednego adresu IP, to naprawdę pomyślałbyś, że ot,
> grupka znajomych chce sobie pogadać?

A gdyby się nagle wszyscy zaczęli łączyć z windowsupdate.com, to znaczy że
tam jest "kontroler botnetu"?

do góry

On 07.01.2009, Krzysztof Halasa <k...@p...waw.pl> wroted:

>> Wiesz, to mi przypomina takie bardzo autorytatywne i stuprocentowo logiczne
>> dowody na to, że greylisting SMTP nie ma prawa działać, bo co za problem
>> zaimplemenetować obsługę 450 w maszynkach do spamu. Trudno się nie zgodzić
>> z argumentami, że jest to karanie własnych userów, że nieskuteczne, że na
>> krótką metę itp. Przeciwnicy mają oczywiście rację, a ja mam rząd wielkości
>> mniej spamu w poczcie.
>
> a) greylisting wcale nikogo nie karze (jesli jest dobrze zrobiony),
> email to nie komunikator i jesli za pierwszym razem przyjdzie
> minimalnie pozniej, to nie jest to raczej problem.

Cieszę się że to mówisz, ale argumenty o szykanowaniu własnych userów
również padają.

> b) jesli sam greylisting zmniejsza Ci spam o rzad wielkosci, to chyba
> jestes wyjatkiem. Robiles jakies porownania moze? Wiesz, takie
> obiektywne.

Porównania z czym? Mam jeszcze na dysku wykresy ruchu pocztowego z okresu
włączenia greylistngu - to _był_ rząd wielkości. Nawet jeśli w ciągu tych
dwóch lat skuteczność spadła, ta logicznie udowadniana nieskuteczność
greylistingu nie ma związku z rzeczywistością.

[...]
>>> Co to znaczy "kontrolujacymi botnety"? Pozwalajacymi na polaczenie sie
>>> w charakterze uzytkownika IRC i pozwalajacymi na wymiane komunikatow
>>> z innymi uzytkownikami IRC?
>>
>> O ile przeczytałem wszystko w wątku co jest istotne, scoring się
>> zaczyna nie wtedy, kiedy pozwalasz na te połączenia, ale kiedy łączą się
>> do Ciebie większe ilości zombies.
>
> A co to sa wieksze ilosci? Pisano tu o max tysiacu klientow na jednym
> z serwerow, to nie sa wielkie ilosci nawet normalnych uzytkownikow.

Wszystkie skorelowane z wysyłaniem spamu z danych adresów IP?

>> Jw. Nie wiemy na razie jak dokładnie działa algorytm, ale nie uważasz,
>> że - odkładając na moment na bok p2p itd. - pierwsze sito już daje
>> sygnał do sprawdzenia danego IP?
>
> A jak chcesz takie IP sprawdzac, jesli to nie jest serwer IRC tylko
> maszynka, ktora szyfruje caly ruch?

Nie mam pojęcia. Dopóki nie poznamy szczegółów działania systemu
używanego przez TP trudno w ogóle cokolwiek powiedzieć.

>> Jeśli nagle tysiąc hostów z różnych
>> dynamicznych pul, o których wiadomo, że rozsyłają spam, zaczyna się
>> łączyć skypem do jednego adresu IP, to naprawdę pomyślałbyś, że ot,
>> grupka znajomych chce sobie pogadać?
>
> Nie. Pomyslalbym, ze tysiac niekoniecznie znajomych wlaczylo skype.
> Zwlaszcza jesli ten IP nalezalby do skype, tak jak blokowane IP naleza
> do serwerow IRC. Dokladnie tak samo 1000 userow moze "wlaczyc" IRC.

Tysiąc potwierdzonych źródeł spamu, nie po prostu użytkowników.

>> Jak dla mnie, to pominąłeś ogół. Owszem, ja się zgadzam, że filtrowanie
>> portu 25 jest lepszym rozwiązaniem. Ale nie rozumiem dlaczego z tej okazji
>> ucinanie kontroli botnetów miałoby być nieskuteczne - zwłaszcza, że
>> ograniczenie się do portu 25 pomija wszystkie inne poza spamem nadużycia
>> jakie powodują zombies. Non sequitur, po prostu.
>
> Trzeba od czegos zaczac, blokowanie wychodzacych SMTP blokuje
> przynajmniej jedna rzecz - spam, ale za to skutecznie i bez efektow
> ubocznych (a takze kazdy moze sobie latwo skonfigurowac filtrowanie,
> bez potrzeby inwestowania przez TPSA w cokolwiek itd).

No i dostaliśmy informację, że pracują nad tym. Ponownie: zgadzam się,
że to jest rozwiązanie problemu spamu z dynamicznych adresów. Nie zgadzam
się natomiast z wnioskowaniem typu "ponieważ problem spamu najlepiej jest
rozwiązać filtrowaniem portu 25, to blokowanie kontrolnego ruchu botnetów
jest niepotrzebne i nieskuteczne". Logika mi na to nie pozwala.

>>> Poza tym, zostal tu podany link do dowodu, nie jakiegos argumentu
>>> z ktorym mozna sie zgadzac lub nie.
>>
>> Wątek ma prawie 300 listów, zlituj się i zacytuj.
>
> U mnie tez ma 300 listow, mam na mysli wykres (chyba) od Michala,
> ktory pokazuje, ze po wlaczeniu filtrow spam z neostrad wciaz jest
> wysylany (choc byc moze jest go chwilowo troche mniej - jesli dobrze
> interpretuje to, co bylo logowane).

OK, dlaczego wykres Michała jest dowodem nieksuteczności, a spadek TP
w rankingu senderbase nie jest dowodem skuteczności?

GS
--
Grzegorz Staniak <gstaniak _at_ wp [dot] pl>
Nocturnal Infiltration and Accurate Killing

do góry

Hello Krzysztof,

Tuesday, January 6, 2009, 11:38:13 PM, you wrote:

[...]

>> To jest wiariant idealny, wzorcowy, jednakże podejrzewam, że mało
>> możliwy do zaimplementowania adhoc.
> Jak to "adhoc"? Przeciez to nie jest awaria, ktora trzeba zalatwic
> w ciagu godziny. Dlaczego zamiast spedzac czas na planowaniu
> nieskutecznych z zalozenia "rozwiazan" nie poswieca go troche by
> zaplanowac jakies rozwiazanie sensowne?

Ale to se ne da, Krzysiu. Jako żywo przypomina to aferę z www.1rtv.pl
- też się "nie da nic zrobić" pomimo wszelkich objawów przekrętu na
wielką skalę.

Ale kończę już ten off-top, bo znowu mnie będą suchymi krakersami
częstować.

--
Best regards,
RoMan mailto:r...@p...pl

do góry

> A co to znaczy "panowac nad maszyna"? Pamietasz jeszcze jak dziala
> IRC? To tak jak z DNSem. Botnet uzywa takze zapewne DNSu (chociaz nie
> musi, podobnie jak tym bardziej nie musi uzywac IRC), czy
> administrator dns*.tpnet.pl panuje nad swymi maszynami?

Analogicznie moglbym powiedziec, ze normalnie dzialajacy serwer pocztowy
to open relay, normalnie dzialajacy komputer ma wystawione wszystkie
uslugi (w tym echo itd), normalnie dzialajaca siec nie ma firewalla,
normalnie dzialajaca stacja robocza pod windows nie ma antywirusa.
Przeciez to wszystko ogranicza pelna funkcjonalnosc!

> Widziales kiedys takiego bota (prawdziwego)? On korzysta z normalnego
> serwera (serwerow) IRC, nie uzywa niczego "podstawionego" ani
> zarazonego. Rownie dobrze moglby uzywac np. NNTP.

Moglyby i pewnie zaczna kiedys. Dlatego bedzie trzeba wprowadzic jakies
mechanizmy wczesniej czy pozniej pewnie i na newsach ;)

> Mam wrazenie ze MichalJ pokazal tu jakis wykres niedawno? To dowod, ze
> "rozwiazanie" nie bylo skuteczne juz nawet w chwili jego wprowadzenia.

Mi z wykresu wynika, ze peeki spadly o rzad wielkosci. Ale oczywiscie to
kwestia tego jak sobie chcemy zinterpretowac dane ktore mamy ;)

k.

do góry