Dnia Wed, 15 Nov 2006 16:02:15 +0100, wer napisał(a):

> Sławomir Kawała wrote:
>>
>> Dzieki czemu nawet trojany na koncowkach klienckich nie moglyby sie
>> laczyc bezposrednio na dst port 25 jakiegos MTA i slac maili z fake
>> domen. Jesli o to chodzilo, to rzeczywiscie ma to sens, ino wymagaloby
>> globalnej wspolpracy ISP - troche utopia.
>>
>
> Ogólnie wdrożenie tego będzie kosztowne i nic nie da. Po prostu trojany
> w tej chwili mało popularne rozpowszechnią się. Miałem już spotkanie z
> takim. Pobiera z outlooka dane klienta i się autoryzuje na serwerze i
> śle spam przez serwer. Więc wycięcie wszystkich neostrad i innych nic
> nie da. Po prostu zmieni się soft wysyłający, będzie kradł login, hasło
> ustawienia serwera i wyśle maila.

Tak, takie trojany już są, ale:
1. W jednym zainfekowanym kompie jest conajwyżej kilka kont pocztowych.

2. Bardzo łatwo jest zidentyfikować i zablokować takiego klienta (czy też te
jego konta pocztowe) na poziomie operatora email. W przeciwieństwie do sieci
spambotów.

3. Bardzo łatwo jest zaimplementować politykę limitów maili wysyłanych w
ciągu dnia, godziny, czy dowolnego innego czasu. W przeciwieństwie do
implementowania polityki sieci spambotów.

4. Operatorów email, którzy nie implementują takiej polityki, nie reagują na
abuse i mają to generalnie gdzieś, łatwo jest zidentyfikować i
punktować/blokować. Ich userzy sami doprowadzą swojego operatora do porządku
;-).

> Jesli lista top spamerów, jakby policja się do nich dobrała i były
> rozsądne kary typu 10 lat ciężkiego więzienia i grzywny rzędu 10 mln
> dolarów, to szybko ubyłoby chętnych.

Problem w tym, że nawet jak "zlikwidujesz" jedno źródło spamu odcinając
ciało kontrolujące sieć spambotów, to na jego miejsce jest już dziesięciu
chętnych usługodawców dla spamerów. A o kontrolę nad sieciami spambotów
toczą się podobno regularne wojny i to nie tylko w świecie Internetu.

--
Piotr Gackiewicz
Intertele S.A. - operator systemów ITL.PL i DOMENY.ITL.PL
al. T. Rejtana 1, 35-326 Rzeszów
TEL: +48 17 8507580, FAX: +48 17 8520275, INFOLINIA: 0 801 335523

do góry

Piotr Gackiewicz wrote:
>>
>>Ogólnie wdrożenie tego będzie kosztowne i nic nie da. Po prostu trojany
>>w tej chwili mało popularne rozpowszechnią się. Miałem już spotkanie z
>>takim. Pobiera z outlooka dane klienta i się autoryzuje na serwerze i
>>śle spam przez serwer. Więc wycięcie wszystkich neostrad i innych nic
>>nie da. Po prostu zmieni się soft wysyłający, będzie kradł login, hasło
>>ustawienia serwera i wyśle maila.
>
>
> Tak, takie trojany już są, ale:
> 1. W jednym zainfekowanym kompie jest conajwyżej kilka kont pocztowych.

No to co?

>
> 2. Bardzo łatwo jest zidentyfikować i zablokować takiego klienta (czy też te
> jego konta pocztowe) na poziomie operatora email. W przeciwieństwie do sieci
> spambotów.

Szczególnie jak w tej chwili niektórzy dostawcy darmowych kont sobie z
tym nie radzą. Jest jeden polski serwer siedzący w RBL-ach za olewanie
spamu z ich serwera.

>
> 3. Bardzo łatwo jest zaimplementować politykę limitów maili wysyłanych w
> ciągu dnia, godziny, czy dowolnego innego czasu. W przeciwieństwie do
> implementowania polityki sieci spambotów.

Powiedz to klientowi, który płaci za konto, że ma limit maili, życzę
powodzenia i miłej wizyty u laryngologa z bolącym uchem.

>
> 4. Operatorów email, którzy nie implementują takiej polityki, nie reagują na
> abuse i mają to generalnie gdzieś, łatwo jest zidentyfikować i
> punktować/blokować. Ich userzy sami doprowadzą swojego operatora do porządku
> ;-).

Największe problemy mają z tym najwięksi dostawcy darmowych skrzynek,
którzy są często na białych listach.

>>Jesli lista top spamerów, jakby policja się do nich dobrała i były
>>rozsądne kary typu 10 lat ciężkiego więzienia i grzywny rzędu 10 mln
>>dolarów, to szybko ubyłoby chętnych.
>
>
> Problem w tym, że nawet jak "zlikwidujesz" jedno źródło spamu odcinając
> ciało kontrolujące sieć spambotów, to na jego miejsce jest już dziesięciu
> chętnych usługodawców dla spamerów. A o kontrolę nad sieciami spambotów
> toczą się podobno regularne wojny i to nie tylko w świecie Internetu.
>


Bezkarność tych gości przyciąga do biznesu następnych. Praktycznie są
bezkarni, co zachęca następnych, jest kasa do zbicia, a nic nie grozi.
Jeśli policja się nimi zajmie na poważnie to sporo spamerów wycofa się z
biznesu, jako nieopłacalnego.


--
wer

nie odpisuj na adres b...@n...pl
wlasciwy adres a...@o...pl

Jestem przeciwnikiem kary smierci, ale dla przykladu powinno sie
powiesic 100 spamerow w miejscach publicznych.

do góry

Dnia Thu, 16 Nov 2006 12:56:45 +0100, wer napisał(a):

> Piotr Gackiewicz wrote:

>> 1. W jednym zainfekowanym kompie jest conajwyżej kilka kont pocztowych.
>
> No to co?

To znaczy, że wg mojej propozycji taki spambot będzie mógł wysłać spam przez
conajwyżej te kilka serwerów. A nie DO całej przestrzeni adresowej polskich
prefiksów.
A to trochę ogranicza wolumen z jednego źródła, nie sądzisz?

>> 2. Bardzo łatwo jest zidentyfikować i zablokować takiego klienta (czy też te
>> jego konta pocztowe) na poziomie operatora email. W przeciwieństwie do sieci
>> spambotów.
>
> Szczególnie jak w tej chwili niektórzy dostawcy darmowych kont sobie z
> tym nie radzą. Jest jeden polski serwer siedzący w RBL-ach za olewanie
> spamu z ich serwera.

Patrz punkt 4.

>> 3. Bardzo łatwo jest zaimplementować politykę limitów maili wysyłanych w
>> ciągu dnia, godziny, czy dowolnego innego czasu. W przeciwieństwie do
>> implementowania polityki sieci spambotów.
>
> Powiedz to klientowi, który płaci za konto, że ma limit maili, życzę
> powodzenia i miłej wizyty u laryngologa z bolącym uchem.

Już to przerabiałem. Klienci zaakceptowali, dostosowują się, choć są często
z tych "płacących i wymagających". Zresztą te limity nie są takie wyżyłowane.

A ty skoro piszesz, że "są takie trojany, co wykradają hasła" ucierpiałeś od
takiego bota, czy tylko wspomniałeś o takiej możliwości? Bo ja właśnie
wprowadziłem te limity po kilku tego typu incydentach. Przynajmniej syf się
wolniej rozprzestrzenia i mniej szkód narobi do czasu zablokowania.

>> 4. Operatorów email, którzy nie implementują takiej polityki, nie reagują na
>> abuse i mają to generalnie gdzieś, łatwo jest zidentyfikować i
>> punktować/blokować. Ich userzy sami doprowadzą swojego operatora do porządku
>> ;-).
>
> Największe problemy mają z tym najwięksi dostawcy darmowych skrzynek,
> którzy są często na białych listach.

A na co to ma być argument? To sprawa pomiędzy tymi dostawcami, a
"umieszczaczami na białych listach". Teraz to samo robimy.

>> Problem w tym, że nawet jak "zlikwidujesz" jedno źródło spamu odcinając
>> ciało kontrolujące sieć spambotów, to na jego miejsce jest już dziesięciu
>> chętnych usługodawców dla spamerów. A o kontrolę nad sieciami spambotów
>> toczą się podobno regularne wojny i to nie tylko w świecie Internetu.
>
> Bezkarność tych gości przyciąga do biznesu następnych. Praktycznie są
> bezkarni, co zachęca następnych, jest kasa do zbicia, a nic nie grozi.
> Jeśli policja się nimi zajmie na poważnie to sporo spamerów wycofa się z
> biznesu, jako nieopłacalnego.

Pobożne życzenie. Przecież to jest normalne przestępstwo. Bardzo opłacalne
ze względu na dostępność do wielkiej ilośi możliwych odbiorców.
Na to się zawsze znajdą chętni. Ich ściganie oczywiście ma sens, ale nam nie
pomoże.

--
Piotr Gackiewicz
Intertele S.A. - operator systemów ITL.PL i DOMENY.ITL.PL
al. T. Rejtana 1, 35-326 Rzeszów
TEL: +48 17 8507580, FAX: +48 17 8520275, INFOLINIA: 0 801 335523

do góry

Witam, dzieki za odp. jakiekolwiek.

Ale zanim przeczytałem wasze odpowiedzi wytepiłem na nastepny dzień robala.
Rzeczywiście dostało sie to przez GG:
http://gg.wiadomosc.info/
GG na szczescie zareagowało w miare szybko i co dzien/dwa wychodziły nowe
buildy klienta.
Wszystko przez link do obrazka w domenie jettechcorp ktory zreszą dostałem
od zaufanych znajomych.. oczywiście bez ich wiedzy.

Sprawa sie rozbiła o załadowaną bibliotekę rpcc.dll, ktorej ładowanie nie
jest widoczne jak w przypadku prostych robali w /run /runonce /autostart itp
czy jakikowliek inny "zwykły" sposób.

do góry

Piotr Gackiewicz napisał(a):
> Dnia Thu, 16 Nov 2006 12:56:45 +0100, wer napisał(a):
>
>> Piotr Gackiewicz wrote:
>
>>> 1. W jednym zainfekowanym kompie jest conajwyżej kilka kont pocztowych.
>> No to co?
>
> To znaczy, że wg mojej propozycji taki spambot będzie mógł wysłać spam przez
> conajwyżej te kilka serwerów. A nie DO całej przestrzeni adresowej polskich
> prefiksów.
> A to trochę ogranicza wolumen z jednego źródła, nie sądzisz?

No mozna mograniczyc liczbe maili wysylanych per user. Wiec nawet wtedy
nic to nie da

do góry