Hello Szymon,

Thursday, January 1, 2009, 1:28:04 PM, you wrote:

>> Ale dlaczego mam "zadziałać" i kombinować jak koń pod górę? Mam
>> ochotę/potrzebę użycia portu 25 do wysyłania poczty, to tego portu
>> używam. To standardowy port.
> Mam ochotę nie używać pasów bezpieczeństwa, to nie używam?

Absurdalne porównanie - to nie otwarty port jest problemem ale system
operacyjny, który jest tak podatny na zawirusowanie oraz pootwierane
serwery, które rozsyłaniu spamu sprzyjają.

> Ja tam uważam, że blokowanie wyjścia na port 25 z adresów dynamicznych
> byłoby całkiem sensowne (dotyczy to nie tylko TP, ale także innych ISP).
> A model funkcjonowania SMTP (praktycznie bez rozróżnienia komunikacji
> serwer-serwer i klient-serwer) już dawno stał się przestarzały.

FTP i telnet też są przestarzałe - żądasz blokady portów z tego
powodu?

Dopóki oprogramowanie nadal powszechnie tych portów używa - ich
blokada _bez_ _zgody_ użytkownika jest absurdem.


--
Best regards,
RoMan mailto:r...@p...pl

do góry

On Thu, 2009-01-01 at 13:45 +0100, RoMan Mandziejewicz wrote:
> Absurdalne porównanie - to nie otwarty port jest problemem ale system
> operacyjny, który jest tak podatny na zawirusowanie oraz pootwierane
> serwery, które rozsyłaniu spamu sprzyjają.

A możesz rozwinąć o tych otwartch serwerach co sprzyjają? Oczywiście w
kontekście słania spamu przez typowego zombie do docelowych serwerów.

Jacek

do góry

On 2009-01-01 03:05, Paweł Tyll wrote:
> On Wed, 31 Dec 2008 14:33:25 +0100, Lukasz Trabinski
> <l...@t...nospam.net> wrote:
>> W sumie, punkt widzenia, zależy od punktu siedzenia
> Punkt widzenia jest taki, że komunikacja botnetów zostanie
> zmodernizowana o jakiś SSL i wszystko wróci do normy. Może jeszcze
> jakiś protokół P2P zostanie zapożyczony do wyeliminowania centralnego
> punktu.

Ale tak już jest. To że duża część botnetów nadal używa serwerów
IRC na własny użytek wynika tylko z ogólnej dostępności gotowego
do skompilowania kodu.

Te botnety które są tworzone przez typowe organizacje przestępcze
przeszły już jakiś czas temu na sesje szyfrowane bez punktu
centralnego.

Z ciekawostek - kupując 'usługę' skorzystania z botnetu dostaje się
płytkę CD (lub ISO tejże) z zestawem jednorazowych kodów do
aktywowania/zatrzymania ataku. Kody mogą zostać unieważnione przez
sprzedającego. Itd. itp. To nie jest już zabawa w 'zablokujmy IP'.
A źle wpisany kod kończy się ostrzegawczym DDoSem IP z którego
kod próbowano wpisać.

> Niezależnie od powyższych oczywiście takie praktyki spowodują, że
> botów ubędzie...w fantazjach zrodzonych w czyjejś naiwnej głowie.

Uważam że lepiej że coś w ogóle robią niż mieliby nie robić nic - należy
oddać TP (Konradowi?) wielki szacun za to, że w takiej organizacji jak
TP chciało mu się wykłócać z poszczególnymi szczeblami decyzyjnymi o
zgodę, pisać regulaminy/etc.

To że 'chcieliśmy dobrze, wyszło jak zawsze' jest już pewnie
nieodłączną cechą tej organizacji (choć chciałbym się mylić). Miliony
użytkowników, ale call center nie ma pojęcia jak działa i co powoduje
ten nowy mechanizm bezpieczeństwa - sprzedaż masowa.

> Zamiast odcinać /32 do których łączą się boty, lepiej odcinać /32
> z których łączą się boty

Po pierwsze, skąd wiesz że to bot? Skoro sesja jest na 80/tcp lub
587/tcp szyfrowana SSLem, albo na 22/tcp w tunelu SSH, albo na
4662/tcp? Albo na paruset innych portach "powszechnie używanych"?
Trzeba mieć jakąś metodę identyfikacji ruchu od klientów - czego,
według mojej najlepszej wiedzy TP nie ma.

Po drugie, w skali operatora utrzymanie w FIBach wszystkich routerów
paruset tysięcy /32'ek jest miłe jeśli jesteś akademickim badaczem,
być może jest też smutną przyszłością - ale na razie się po prostu
nie dzieje. Prościej zatem blokować teoretycznie łatwo identyfikowalne
źródła botnetów, czyli ich punkty kontaktowe (serwery IRC, cokolwiek),
niż klientów.

Żeby zrobić to dobrze - nie odcinając portu 25/tcp i nie robiąc innych
fatalnych głupot - trzeba to zrobić porządnie. Mówiłem o tym na swojej
sesji na Cisco Expo, opierając się w głównej mierze na praktycznych
doświadczeniach ludzi walczących z takimi rzeczami codziennie w
sieciach AT&T, Sprintu itp. Ale taka 'praca u podstaw' jak widać
po pierwsze musi trwać latami, a po drugie - często traktowana jest
jako marketing vendora ('bo my przecież i tak wiemy lepiej jak to się
robi'). No i skutki widać.

--
"Don't expect me to cry for all the | Łukasz Bromirski
reasons you had to die" -- Kurt Cobain | http://lukasz.bromirski.net

do góry

>>> Ale dlaczego mam "zadziałać" i kombinować jak koń pod górę? Mam
>>> ochotę/potrzebę użycia portu 25 do wysyłania poczty, to tego portu
>>> używam. To standardowy port.
>> Mam ochotę nie używać pasów bezpieczeństwa, to nie używam?
>
> Absurdalne porównanie

Absurdalnie niski jest poziom Twojej wiedzy.
Port 25 od lat nie jest "standartowy".
Tylko tpsa i Ty w to wierzycie.


--
Michał

do góry

On Thu, 01 Jan 2009 14:46:55 +0100, Łukasz Bromirski <t...@1...0.0.1>
wrote:
> Ale tak już jest. To że duża część botnetów nadal używa serwerów
> IRC na własny użytek wynika tylko z ogólnej dostępności gotowego
> do skompilowania kodu.
No to po takich zabiegach proporcje się obrócą, a szansa relatywnie
prostego pojmania mniej zdolnych przestępców odpłynie razem z serwerami
IRC. Dobry plan.

> Uważam że lepiej że coś w ogóle robią niż mieliby nie robić nic - należy
> oddać TP (Konradowi?) wielki szacun za to, że w takiej organizacji jak
> TP chciało mu się wykłócać z poszczególnymi szczeblami decyzyjnymi o
> zgodę, pisać regulaminy/etc.
Bez jaj; to nie jest robienie czegokolwiek, tylko tracenie czasu i zasobów
na tradycyjne leczenie skutków bez nawet muśnięcia przyczyn. Pomijam już
mierzenie tego "czegokolwiek" centralnie w użytkowników, którzy nadal mają
nieświadomie syfa na komputerze. Polskie serwery IRC? No come on... Toż to
siedlisko botów... Wyleciało w jednej chwili 9 czy 10 "botów" z kanału, na
którym rozmawia sobie 70 osób. To jest jedyny długofalowy skutek tej
akcji. (I tak miło, że tylko 9-10, kiedyś drzewiej byłoby to 40-50 sesji
zapewne). Przy okazji jeszcze paru niewinnym się dostało i obroty
wynikające z ich www spadły o neostradę.

> Po pierwsze, skąd wiesz że to bot? Skoro sesja jest na 80/tcp lub
> 587/tcp szyfrowana SSLem, albo na 22/tcp w tunelu SSH, albo na
> 4662/tcp? Albo na paruset innych portach "powszechnie używanych"?
> Trzeba mieć jakąś metodę identyfikacji ruchu od klientów - czego,
> według mojej najlepszej wiedzy TP nie ma.
Za to ma metodę identyfikacji, gdzie łączą się boty, żeby to wyciąć? To
chyba powinno działać w obu kierunkach. No chyba że ktoś inny ma metodę
(wielce niedoskonałą, jak widać na załączonym obrazku), a TP się pod nią
podpięła. Cóż, prasówka mówiła co innego ;>

> Po drugie, w skali operatora utrzymanie w FIBach wszystkich routerów
> paruset tysięcy /32'ek jest miłe jeśli jesteś akademickim badaczem,
> być może jest też smutną przyszłością - ale na razie się po prostu
> nie dzieje. Prościej zatem blokować teoretycznie łatwo identyfikowalne
> źródła botnetów, czyli ich punkty kontaktowe (serwery IRC, cokolwiek),
> niż klientów.
Ależ ja mam świadomość tego, że to jest prostsze. I do tego właśnie piję,
że robi się proste, zamiast dobre. Po co to robić, żeby ładnie w
biuletynie wyglądało? Wycięliśmy dostęp do IRC, bo IRC to usługa do abuse
i nikt z niej normalny nie korzysta? OK... Boli tylko to, że osoby
odpowiedzialne za egzekucję tegoż miały pewnie świadomość tego co robią.

> Żeby zrobić to dobrze - nie odcinając portu 25/tcp i nie robiąc innych
> fatalnych głupot - trzeba to zrobić porządnie. Mówiłem o tym na swojej
> sesji na Cisco Expo, opierając się w głównej mierze na praktycznych
> doświadczeniach ludzi walczących z takimi rzeczami codziennie w
> sieciach AT&T, Sprintu itp. Ale taka 'praca u podstaw' jak widać
> po pierwsze musi trwać latami, a po drugie - często traktowana jest
> jako marketing vendora ('bo my przecież i tak wiemy lepiej jak to się
> robi'). No i skutki widać.
Niestety, w skali /11 trudno jest się bawić w śledzenie połączeń do
serwerów SMTP per IP; jedyne uniwersalnie dobre miejsce które przychodzi
mi do głowy, to w przypadku TP DLSAMy, które zapewne takich czarów nie
potrafią. Filtrowanie jakichkolwiek większych usług w ten sposób i tak
prowadzi do 0700-TPSA i tradycyjnego "naprawcie albo wypowiadam umowę".

do góry

On Thu, 1 Jan 2009 15:26:12 +0100, Michał Kurowski wrote:

>>>> Ale dlaczego mam "zadziałać" i kombinować jak koń pod górę? Mam
>>>> ochotę/potrzebę użycia portu 25 do wysyłania poczty, to tego portu
>>>> używam. To standardowy port.
>>> Mam ochotę nie używać pasów bezpieczeństwa, to nie używam?
>>
>> Absurdalne porównanie
>
> Absurdalnie niski jest poziom Twojej wiedzy.
> Port 25 od lat nie jest "standartowy".
> Tylko tpsa i Ty w to wierzycie.

BTW, od lat polska ortografia twierdzi, że pisze się "standard" i
"standardowy", tak jak to zrobił Roman. A niektórzy i tak piszą po
przedwojennemu...

Natomiast co do meritum: nie jest specjalnie sensowne utrzymywanie serwera
SMTP na dynamicznym adresie IP. Klient zaś może do swojego serwera łączyć
się z użyciem portu 587, jak opisano w RFC 2476. I oczywiście uwierzytelniać
się, jak opisano w RFC 4954. I najwyższa pora, żeby ten model zacząć wdrażać
na masową skalę.
--
Szymon Sokół (SS316-RIPE) -- Network Manager B
Computer Center, AGH - University of Science and Technology, Cracow, Poland O
http://home.agh.edu.pl/szymon/ PGP key id: RSA: 0x2ABE016B, DSS: 0xF9289982 F
Free speech includes the right not to listen, if not interested -- Heinlein H

do góry

On Thu, 01 Jan 2009 13:28:04 +0100, Szymon Sokół
<s...@b...operator.from.hell.pl> wrote:
> Mam ochotę nie używać pasów bezpieczeństwa, to nie używam?
Słabe.

> Ja tam uważam, że blokowanie wyjścia na port 25 z adresów dynamicznych
> byłoby całkiem sensowne (dotyczy to nie tylko TP, ale także innych ISP).
> A model funkcjonowania SMTP (praktycznie bez rozróżnienia komunikacji
> serwer-serwer i klient-serwer) już dawno stał się przestarzały.
Zapominasz, że to nie uczelnia, tylko biznes i działania tego typu ruszają
churn rate. Tańsze jest nie dotykać. Dobre jest nieosiągalne w tej skali.
Radiówki sobie radzą bo chcą/muszą (ze względu na ograniczoną pojemność
samego medium, jak i wyjścia na świat) i jest dużo dobrych metod
czarowania przy tysiącu czy dziesiątkach tysięcy użytkowników. Gorzej, gdy
tychże robią się miliony i trzeba nimi zarządzać per milion a nie per Pan
Zdzisio.

do góry

On 01.01.2009, Szymon Sokół <s...@b...operator.from.hell.pl> wroted:

>> Ale dlaczego mam "zadziałać" i kombinować jak koń pod górę? Mam
>> ochotę/p[otrzebę użycia portu 25 do wysyłania poczty, to tego portu
>> używam. To standardowy port.
>
> Mam ochotę nie używać pasów bezpieczeństwa, to nie używam?
> Ja tam uważam, że blokowanie wyjścia na port 25 z adresów dynamicznych
> byłoby całkiem sensowne (dotyczy to nie tylko TP, ale także innych ISP).

Byle to robił sam operator, który wie co komu dynamicznie nadaje i jakiego
ruchu z takich adresów się nie powinien spodziewać. Swego czasu różnym
ludkom się zdawało, że można sprawę załatwić listami RBL, na podstawie...
wzorca nazwy domenowej. W sensie, "jeśli ma adres IP zakodowany w nazwie,
to jest dynamicznym adresem".

GS
--
Grzegorz Staniak <gstaniak _at_ wp [dot] pl>
Nocturnal Infiltration and Accurate Killing

do góry

Paweł Tyll <...@w...75.pl> writes:

> Porty windowsowe nie mają praktycznie żadnego sensownego zastosowania.
> Port 25 jak najbardziej. W makroskali trudno jest rozsądnie wyciąć
> port 25 (czyli ograniczyć do 5 różnych IP w skali 24 godzin).

Przeciwnie, mozna to zrobic i TPSA moze to zrobic w sposob sensowny
(bo wyciecie np. serwerow IRC sensowne nie jest).

Jesli ktos potrzebuje wyjscia SMTP (do Internetu, nie do kilku
wybranych przez TPSA maszyn) to moglby jest sobie wlaczyc - dokladnie
tak samo jak z portami windowsowymi.

Technika nie jest problemem, polityka - owszem.
--
Krzysztof Halasa

do góry

On Thu, 01 Jan 2009 15:52:48 +0100, Krzysztof Halasa <k...@p...waw.pl> wrote:
> Przeciwnie, mozna to zrobic i TPSA moze to zrobic w sposob sensowny
> (bo wyciecie np. serwerow IRC sensowne nie jest).
To, o czym piszesz, nie jest sensownym sposobem, i na dłuższą metę zmieni
tyle co wycięcie serwerów IRC.

> Jesli ktos potrzebuje wyjscia SMTP (do Internetu, nie do kilku
> wybranych przez TPSA maszyn) to moglby jest sobie wlaczyc - dokladnie
> tak samo jak z portami windowsowymi.
Owszem, tylko wtedy włączyliby sobie je ludzie, bo im ótlók nie działa, a
kolega powiedział, że tak się robi i już działa. Pozostałe wycięte porty
nie niosą za sobą tego ryzyka i blokadę wyłączą ludzie mający pojęcie
i/lub potrzebę.

> Technika nie jest problemem, polityka - owszem.
Problemem są ludzie, którzy nie mają pojęcia o komputerach i internetach.
Nie traćmy może tego z oczu?

do góry