On 4 Sty, 22:05, Szymon Sokół <s...@b...operator.from.hell.pl>
wrote:
> On Sun, 4 Jan 2009 12:52:31 -0800 (PST), D...@g...com wrote:
> > On 4 Sty, 21:29, Szymon Sokół <s...@b...operator.from.hell.pl>
> > wrote:
> >> On Sun, 4 Jan 2009 09:43:13 -0800 (PST), D...@g...com wrote:
> >>> Zacznę o wyjaśnienia. TP teraz chroni przed atakami z zablokowanych IP
> >>> ale, co ciekawe można mając dostęp do innego operatora tak
> >>> przekierować pakiety że mimo iż atak idzie z zablokowanego IP, lub ale
> >>> tutaj raczej już nie przejdzie że poprzez przekierowanie dalej atak
> >>> będzie uważany jako z zablokowanego IP (tutaj tylko teoria i dobrze
> >>> skonfigurowany firewall powinien nie pozwolić).
>
> >> Jakbyś to napisał po polsku, to może udałoby się zrozumieć, co właściwie
> >> chciałeś wyjaśnić.
>
> > Przykładowo masz ciocie w Warszawie a ty mieszkasz w Olsztynie, a
> > chcesz wysłać list do Krakowa.
> > Poczta w Krakowie nie przyjmuje listów z Olsztyna, więc wysyłasz list
> > do Warszawy ciocia przeadresowywuję i wysyła do Krakowa. Kraków w
> > odpowiedzi wysyła do warszawy a Ciocia Do Ciebie do Olsztyna i jest
> > komunikacja.
> > Lagenda:
> > Kraków - TP
> > Olsztyn - sieć zablokowana
> > Warszawa - inny operator
>
> > Jak można przejąc komputer i zrobić z niego zombi, to można i zrobić
> > aby robił takie cuda.
>
> Zasadniczo to prosiłem o napisanie po polsku, a nie o wersję dla opornych,
> ale niech już będzie. A teraz pytanie: jak chciałbyś, żeby firewall (czyj?)
> zabezpieczał przed takim scenariuszem? Oraz pytanie dodatkowe: jaka niby
> jest różnica między takim scenariuszem, a scenariuszem, w którym "ciocia z
> Warszawy" zamiast proxy utrzymuje drugi C&C bezpośrednio u siebie? Z punktu
> widzenia RBL, z którego korzysta TP, nie ma przecież różnicy między
> rzeczywistym C&C a takim proxy.
>
> --
> Szymon Sokół (SS316-RIPE) -- Network Manager                                 B
> Computer Center, AGH - University of Science and Technology, Cracow, Poland
 Ohttp://home.agh.edu.pl/szymon/PGP key id: RSA: 0x2ABE016B, DSS: 0xF9289982  F
> Free speech includes the right not to listen, if not interested -- Heinlein  H

Sorki ale dzisiaj jestem nie swój jakoś źle mi się myśli.
Możesz mi napisać dokładnie co chcesz wiedzieć?

do góry

In pl.internet.polip Krzysztof Halasa <k...@p...waw.pl> wrote:
> Stary, tu nie chodzi o poglady jakiejs grupy osob. Starasz sie
> dyskutowac z prostymi, latwo weryfikowalnymi faktami. Zamiast probowac
> nie wiem co dokladnie udowodnic, po prostu sie z nimi zapoznaj.
>
> Specjalnie dla Twojej edukacji sieciowej znalazlem:
> http://www.tp.pl/prt/pl/klienci_ind/internet/now_pro
m/bezpiecznydostep/

No i super. Dużo bełkotu marketingowego, a mało konkretów.
Po za tym pisałem o _dynamicznym_ blokowaniu IPków lub ew. portów per
IP, a nie czymś globalnie, stałym. To drugie, rzeczywiście nie jest
spacjelnie trudne, ani kosztowne.

> To nas w tej chwili zupelnie nie interesuje. Chwilowo mowimy
> (przynajmniej) o maszynach, ktore nie potrzebuja wychodzacych tcp/25.
>
>> Popracuj w dużym telekomie, to będziesz wiedział.
>
> Nie kompromituj sie.
> BTW: filtrowanie wychodzacego tcp/25 to akurat dosc powszechna
> sprawa na Zachodzie od dluzszego czasu. No ale tam nie maja elektrowni
> Kozienice.

W sumie, jak Ci ten dostawca nie pasuje, zawsze możesz zmienić na innego.

eot z mojej strony.

--
ŁT

do góry

On 4 Sty, 22:38, Lukasz Trabinski <l...@t...nospam.net> wrote:
> > Nie kompromituj sie.
> > BTW: filtrowanie wychodzacego tcp/25 to akurat dosc powszechna
> > sprawa na Zachodzie od dluzszego czasu. No ale tam nie maja elektrowni
> > Kozienice.
>
> W sumie, jak Ci ten dostawca nie pasuje, zawsze możesz zmienić na innego.
>
> eot z mojej strony.
>
> --
> ŁT

Nie wiem jak neostrada ale DSL w regulaminie nie ma nic o blokowaniu.
Zatem jak nie ma to nie może być czegoś takiego
To jest tak jak byś poszedł do sklepu po cukier a dostał byś mąkę,
zapłacił za cukier i byś musiał się z tego cieszyć. Przypominają mi
się czasy 86-89 poprzedniego wieku.
Usługa powinna być dla klienta a nie klient dla usługi. I nie podoba
mi się wolna amerykanka jaką zrobiła TP w tej sprawie.

do góry

> To jest tak jak byś poszedł do sklepu po cukier a dostał byś mąkę,

> zapłacił za cukier i byś musiał się z tego cieszyć. Przypominają mi
> się czasy 86-89 poprzedniego wieku.



Cos slabo pamietasz, bo w 86 to nie bylo ani maki ani cukru ;-)

byś byś byś,
k.

do góry

On 4 Sty, 21:00, Michal Jankowski <m...@f...edu.pl> wrote:

> 1. Jakoś tak w kółko tylko o tym irc i irc. Liczba 6000 wskazuje na
>    to, że blokujecie daleko nie tylko serwery irc, z innych źródeł też
>    widać, że także mnóstwo adresów, na których serwera irc nigdy nie
>    było. Zatem dobrze byłoby wiedzieć, prowadzenie jakiej usługi może
>    kogoś narazić, że stanie się ofiarą... Samo HTTP wystarczy?

Coż ja mam powiedzieć...nie ja zacząłem o tym IRC ;). Ale jakoś tak
poza gimp i IRC (w sensie ircnetu tak naprawdę) ludziom inne
problematyczne kwestie nie rzucają się w oczy, więc co mam robić -
grzecznie odpowiadam...

Rozumiem, że chodzi o stanie się "ofiarą" blackholingu? Nie ma takiej
usługi, która z definicji sama z siebie mogłaby narazić, bo adresy do
blackholingu nie trafiają dlatego, że od nimi jest wystawiona
konkretna usługa, tylko dlatego, że "wykazały się" konkretnymi
działaniami. Może sobie stać gdzieś serwer IRC i nie zostać
zablokowany? - jak najbardziej. Może sobie stać serwer http (skądinąd
protokół również często stosowany do centralnego sterowania botnetami)
i nie zostać zablokowany? Zdecydowana większość nie zostanie, bo nie
ma powodu. Nic nie trafia do blackholingu tylko dlatego, że gada
ircem, http...nie tędy droga. Rzekłem. Nie po raz pierwszy zresztą.

>
> 2. Nie widzę ani cienia, najmniejszego, wątpliwości, ani słóweczka, że
>    może jednak w tych 6000 jest (jeden? dwa? 1000?) adresów wpisany
>    przez pomyłkę. Nikt nie jest nieomylny i wasze czarne listy prawie
>    na pewno też nie.

W sumie nie lubię pisać o rzeczach oczywistych, ale parę razy w tym
wątku już musiałem, więc w sumie raz więcej nie robi różnicy.
OCZYWIŚCIE, że błędy mogą się zdarzać, dlatego w przypadku reklamacji
bądź pytania analizujemy konkretne logi wskazujące aktywność. Po
analizie dotychczas zgłoszonych problematycznych przypadków nie
potwierdzam, że były one błędnie zablokowane. Koncentrowanie się na
adresach, które nasi klienci zgłaszają nam jako ważne wydaje się o
tyle dobrą strategią, że błędne zablokowanie rzekomego kontrolera bota
z filipińskiej puli adresów spowoduje raczej mniejsze zastrzeżenia.

> Umiecie w ogóle określić, jaka część z tych 6000
>    odpiowiedzialna była za sterowanie jaką częścią botnetów? Bo nie
>    sądzę, by się rozkładało po równo. Może np. za 99% ruchu jest
>    odpowiedzialny 1% z tych zablokowanych adresów?

Może jest. O tym już pisałem, nie po to zarywając kawałek nocy, żeby
się powtarzać ;). Wdrożenie testowe dlatego tak się nazywa, żeby
pomogło pewne rzeczy ustalić - najskuteczniejszą i jednocześnie
najmniej dotkliwą dla klientów politykę na przykład. Dodatkowo,
jeszcze raz - teraz pracujemy z polityką najbardziej restrykcyjną,
teoretycznie powodującą największą ilość błędów. Zastrzeżenia
dotyczyły natomiast serwerów, którym poluzowanie polityki nic by nie
pomogło.

>
> 3. W liczbę kilkunastu pretensji całkiem zwyczajnie i po prostu NIE
>    WIERZĘ. Obawiam się, że po prostu znakomita większość reklamacji
>    (czy to na błękitną linię, czy na abuse@, czy jeszcze gdzieś)
>    została załatwiona przez odesłanie na /dev/drzewo - przykłady mamy
>    zarówno na grupie, jak i na różnych blogach czy portalach - i do
>    Departamentu Zarządzania Bezpieczeństwem etc. w ogóle nie dotarła.
>    Sposób reakcji na te reklamacje trudno określić inaczej niż
>    skandaliczny. Sam na dwa maile na abuse@ w sprawie gimp.org (jeden
>    przeforwardowany przez Konrada P., drugi już mój bezpośrednio) nie
>    dostałem odpowiedzi W OGÓLE.

Cóż, błogosławieni, którzy nie widzieli, a uwierzyli. Posta pisałem
3.01, wtedy liczba maili, które otrzymałem ja osobiście, mój cert i
rzecznik tp nie przekraczała kilkunastu, licząc unikatowych nadawców
(zresztą w dużym stopniu pokrywających się z osobami wypowiadającymi
się na przykład tutaj). Ile osób dzwoniło na infolinię, bądź wpadło do
telepunktu - nie wiem. Na 3.01 nie słyszałem o żadnej _reklamacji_
złożonej zgodnie z zasadami.

Co do braku odpowiedzi - ja od kiedy zacząłem pisać tutaj przestałem
odpowiadać tym samym ludziom na indywidualne maile. Uprzedzałem, że
jestem leniwy, szczególnie na urlopie ;). Mój zespół CERT w okresie
miedzyświątecznym był mocno zredukowany, niestety ludzie muszą też
czasem odpocząć. Za ewentualne opóźnienia w tej linii komunikacji
przepraszam - nie powinno ich być dużo, a wszystkie zostaną
wyprostowane na początku przyszłego tygodnia.

> Ja się zgadzam, że jakieś czynności trzeba było podjąć. Czy blokowanie
> adresów zostało przeprowadzone poprawnie od strony technicznej - z
> braku danych nie wiem, załóżmy, że tak, choć wątpliwości są.
>
> Natomiast od strony "obsługi klienta" zostało przeprowadzone
> absolutnie najgorzej jak można.

UPRASZA SIĘ o nie kopanie leżącego. Ja wiem, że to a) miłe b) lepiej
kopać, jak leży, niż jak wstanie...ale już wystarczy, proszę. Błękitna
Linia jest odrębną kwestią, zabierzemy się za to jak najszybciej. Na
swoim podwórku będę pewnie szybszy i bardziej skuteczny, więc CERT
stanie się pewnie bardziej responsywny (aczkolwiek pozwolę sobie
oczywiście sprawdzić, czy można im cokolwiek zarzucić). Parę osób
zgłosiło tutaj fajne pomysły (informacja na looking glass chociażby),
jeżeli nie roszczą sobie praw autorskich będę z nich korzystał.

> A swoją drogą ciekawe, że osoba występujaca w swojej oficjalnej
> postaci dyrektora pisze z adresu @gmail.com 8-)

Śpieszę wyjaśnić kolejną tajemnicę. Jestem na urlopie, nie chce mi się
VPNa zestawiać, żeby maila sprawdzać. Pisałem już, że leniwy jestem?

> Ja płacę rzeczonemu operatorowi >200 zł miesięcznie i liczę, że mu
> wystarczy aż nadto. Może gdyby nie leciały milioniki do żabojadów za
> ampersanda...

Oj, gdyby byle szeregowy dyrektor spekulował sobie na usenecie na
temat relacji z SZANOWNYM największym udziałowcem to by dopiero świat
na głowie stanął ;).

Pozdrawiam,

RJ

do góry

Hello Andrzej,

Sunday, January 4, 2009, 11:10:35 PM, you wrote:

>> To jest tak jak byś poszedł do sklepu po cukier a dostał byś mąkę,
>> zapłacił za cukier i byś musiał się z tego cieszyć. Przypominają mi
>> się czasy 86-89 poprzedniego wieku.
> Cos slabo pamietasz, bo w 86 to nie bylo ani maki ani cukru ;-)

Pieprzysz bez sensu i nie na temat.

--
Best regards,
RoMan mailto:r...@p...pl

do góry

> Pieprzysz bez sensu i nie na temat.


Krakersa?

k.

do góry

Andrzej Karpinski <k...@j...zechcesz.to.znajdziesz> wrote:
> > Pieprzysz bez sensu i nie na temat.
>
> Krakersa?

Nie karm trolla. ;)

Pozdrawiam,

Krzysztof Oledzki

--
Krzysztof Olędzki
e-mail address: ole(a-t)ans(d-o-t)pl
Registered User: Linux - 189200, BSD - 51140
Nick Handles: KO60-RIPE, KO581 (Network Solutions)

do góry

r...@g...com wrote:

> telepunktu - nie wiem. Na 3.01 nie słyszałem o żadnej _reklamacji_
> złożonej zgodnie z zasadami.

Chyba nie dotarła gdzie powinna. Reklamację dotyczącą gimp.org złożyłem
pod 9330 31.12.2008 o 11:46. Przyjęto w formie _reklamacji_ pod numerem
zgłoszenia 43017104.

a.

do góry

Skoro posiadacie (lub wasi dostawcy posiadają) narzędzia będące w
stanie zidentyfikować polecenia kontrolne C&C to dlaczego nie blokować
adresów te połączenia nawiązujących zamiast odcinać miliony szarych
użytkowników od ulubionego internetowego radia lub niemal
anegdotycznego już programu do grafiki rastrowej, których serwery
przypadkiem wykazują lub też wykazywały podejrzaną działalność wg
tajnych informatorów?

do góry