Re: TP nie lubi GIMPa czy co?

On 4 Sty, 09:32, DanielJani...@gmail.com wrote:
> Jak widać w pierwszym punkcie cenzura to kontrola dopuszczenia lub
> nie.

Nie widać, bo w tym zdaniu brakuje dopełnienia ;). A jest to ważne, bo
mówi o tym, co sie kontroluje i co dopuszcza. Czyli publikacje, filmy,
książki - ogólniej słowa, myśli, obrazy tworzone przez i kierowane do
ludzi. Bardziej generalnie - treść. TP nie zajmuje się kontrolą i
dopuszczaniem treści, żadna decyzja podejmowana chociażby w projekcie
blackholingu nie ma związku z treścią. Jest to klasyczna reakcja na
zagrożenie dla bezpieczeństwa sieci i naszych klientów, i to akurat
mamy prawo robić. Więcej, tego się od nas oczekuje.

Podam przykład - wyobraźmy sobie, że otrzymjemy informację o szybko
propagującym się robaku, będącym zagrożeniem dla sieci i klientów, lub
też skierowanym na naszych klientów dużym ddosie. Podejmujemy
działania zmierzające do ochrony. Gdzie drwa rąbią tam wióry lecą -
niektóre hosty zostają odcięte, gdzieniegdzie zmniejsza się pasmo,
zrywane są sesje, komuś nie ściagnął się najnowszy Bond etc. Wrażenie
mam takie, że w tak spektakularnej sytuacji nikt by nie mówił o
cenzurze, raczej pojawiłyby sie pretensje, gdybysmy czekali z
założonymi rękami.

Z blackholingiem tak naprawdę nie robimy nic innego. Przerywamy atak w
trakcie lub działamy prewencyjnie. Tyle, że zagrożenia są dużo
bardziej subtelne, niewidoczne - no bo co to kogoś obchodzi, że jego
komputer np. grzeje mailami, ile mu fabryka mocy dała. A że dla
większości osób związek pomiędzy tym, a problemem z dochodzeniem
wysylanych legalnych maili jest nieoczywista, że nie obchodzi ich, że
pewien sympatyczny gość w CERT dokonuje cudów negocjując z RBLami
metodą "na Rumuna"...stąd inne postrzeganie sytuacji. Tyle, że
sympatycznego gościa już żaden RBL nie chce słuchać, bo rezultatów
jakby brak.

> Jak dalej Pan uważa że to że nie mogę wejść przez Państwa
> internet na dwa serwisy to nie cenzura to chyba się Państwo mylicie.

Za całym szacunkiem - gdybym chciał zachować proporcje, to byłbym
zmuszony powiedzież, że nie. Mam wrażenie, że ludzie, którzy
rzeczywiście w tym kraju walczyli o zniesienie cenzury mieli na myśli
coś innego, niż dwa serwisy. Ja wtedy co najwyżej mogłem narzekać, że
nie było teleranka, ale prze szacunek do nich proponuję nie strzelać
jednak z armaty do muchy ;).

> Metoda HonetPot nie wiem czy Pan nawet wie co to jest, ja tak i
> postaram się przedstawić Państwu co i jak
> Zatem metoda HoneyPot jest serwerem który jest dobrze zabezpieczony a
> "udostępnia" usługę która udaje że jest tą usługa i to co
> najważniejsze posiada lukę dzięki której łatwo jest przejąć komputer
> do własnych potrzeb. HoneyPot ma za zadanie:
> 1) Zebrać wszystkie możliwe informacje o napastniku (loginy, hasła,
> serwery z którymi się łączy ...)
> 2) Logowanie każdego nawet mylnego kliknięcia klawiaturze - w zdalnych
> połączeniach to nic innego tylko wysłanego kodu klawisza.
> 3) Informację przechowywać w bezpiecznym miejscu
> 4) Informować administratora o zaistniałych sytuacjach

A ta definicja, to też z Wiki? Fajna. Nie miałem do tej pory pojęcia o
honeypotach, dobrze się w końcu dowiedzieć ;)

> Pięknie Pan pisał o szczepionkach i chyba antybiotykach jednak dopóki
> nie wszyscy operatorzy wprowadzą tego typu zabezpieczenia to dalej
> będą chorzy, i wasze działania to tylko utrudnienia dla nas.

No cóż...sytuacja rzeczywiście jest niebywała. Tepsa vel telekomuna
vel telepies wykazała się większą odwagą i szybkością od innych,
prężnych operatorów, którzy decyzję o uruchomieniu blackholingu też
już podjęli, ale nieco się spóźnią ;) Nie byliśmy pierwsi - co to, to
nie, ale nie będziemy też raczej ostatni...

> 2) W piśmie jest napisane "jedna owieczka jest ważniejsza niż całe
> stado"

Święte słowa. Na razie jeszcze TP nie jest na etapie kierowania się
słowami Pisma, ale kto wie, co nam przyniesie przyszłość. Póki co,
ktokolwiek z szanownej konkurencji stosuje powyższą zasadę, niech
pierwszy rzuci kamieniem ;)

> Jestem młodym gniewnym, a najbardziej nie lubię jak ktoś mnie
> ogranicza (wprowadza cenzurę) i mówi że to nie ograniczenia, albo
> pluje mi w twarz i mówi że deszcz pada.

No to rzeczywiście jest nieprzyjemna sytuacja. Sytuacja odwrotna,
kiedy pada deszcz, a człowiek sobie tłumaczy, że plują, też mi się
wydaje zbytecznie przerysowana. To co, może uda się jakoś środeczkiem
pojechać?

On 4 Sty, 11:59, Łukasz Bromirski <t...@127.0.0.1> wrote:
> > Jest to istotne podkreślenie chociażby dlatego, że jeden z głównych
> > sprawców zamieszania jest na Wam na tym forum od dawna doskonale
> > znany i już nawet bodajże był wymieniany ;)
>
> ...ale nie lubi usenetu? :)

Bożesz, bardzo lubi, ale chyba myśli, że bez wzajemności ;)). Zresztą
nie musi przecież dzielnie stawać sam naprzeciw loży szyderców, jak w
dobrym botnecie u nas dynamicznie wyskakujemy spod jednej domeny, żeby
pokazać, że siła nas :). BTW, mail poszedł, na urlopie mam po prostu
większe "latency".

> > Nie mamy teraz możliwości blokowania poszczególnych
> > protokołów/portów, to już chyba wcześniej w tym wątku było poruszane.
> > Precyzja BGP jest, jaka jest - jeżeli pod blokowanym IP śmiga sobie
> > wiele usług, lecą wszystkie.
>
> Macie trochę pudełek Junipera, a JunOS od 7.3 wspiera BGP flowspec,
> więc praktyczne możliwości jednak są. Konrad mówił na PLNOGu o
> 'prawdziwych routerach' więc sam najlepiej wie :)

To niech się produkuje, mądrala ;). Spokojnie, coś na przyszłość sobie
trzeba zostawiać...

On 4 Sty, 17:28, ru <toruv...@gmail.com> wrote:

>Tak,
> impreza była niezła. ;-))
> (...)
> ... jest dość przykry, gdyż wskazuje mi, gdzie moje miejsce. No cóż,
> jestem tylko nic nie znaczącym promilem. :->

To ja się pytam, te promile to w końcu coś dobrego, czy nie? :) Witam
rootnode.

> No i tu mój główny zarzut, niestety. Pierwszego dnia po włączeniu
> "usługi" miałem okazję napisać na wiadomy adres. Na odpowiedź czekałem
> jedną dobę, choć składała się ona jedynie z informacji iż faktycznie
> jestem wycinany i po jakimś czasie automat sprawdzi i odblokuje. Nie
> muszę wspominać, iż informacji o powodzie (o który pytałem - chociaż o
> możliwość online'owego sprawdzenia w jakichś BLach, czy czymś
> podobnym) i *czymkolwiek* innym zabrakło. Nie muszę chyba informować,
> jak bardzo radosny byłem, skoro zostałem potraktowany przez
> profesjonalny zespół w sposób, którego nie powstydziłaby się
> przysłowiowa "pani na blulajnie" (*kaszl* *kaszl*, przepraszam).

To ja pojadę klasyką: bardzo mnie zraniłeś Shrek :(. No chyba, że
więcej was te maile pisało, ale szczerze mówiąc nie podejrzewam.

> W efekcie odsmarowałem kolejną odpowiedź - tym razem nieco mniej
> grzeczną (choć wciąż bez żadnych osobistych ataków, etc. - proszę mnie
> nie podejrzewać nawet o podobne pomysły), na którą odpowiedź... nigdy
> nie wróciła.
> Aha, zostałem więc profesjonalnie olany. Nadal nic nie wiem. Jest
> świetnie.

Hmmm, ja rzeczywiście dostałem takiego jednego maila, na którego
jeszcze nie odpowiedziałem. Przyczyna jest taka, że tak nie do końca
miejscami rozumiem, co autor miał na myśli, a miejscami też nawet przy
najwyższym poświęceniu za dużo musiałbym tłumaczyć. Nie mam aż tak
altruistycznej natury.

>
> Dodam tylko, że wspomniany serwer aktualnie korzysta ze wspaniałej
> opcji w OVH - możliwości dokupienia (niby niedrogo, ale zawsze)
> dodatkowego IP. Tym IPkiem teraz odbywa się komunikacja ze światem i
> wszystko działa należycie. Zabawne, nie został on jeszcze wyblokowany.
> Czyżby jednak zagrożenia nie było?
>
> Byłbym naprawdę wdzięczny za jakieś informacje, co począć dalej (czy
> też sprawę olać i korzystać już dożywotnio z dodatkowego IPka za
> (bodajże) 4zł miesięcznie).

Proste to jest jak konstrukcja cepa - jeżeli pod nowym adresem
pozostalo ZŁO, zostanie on zablokowany. I nawet po zaprzestaniu zabawy
będzie musiał odczekać pewien czas, aż według zastosowanej polityki
zostanie automatycznie uznany za zagrożenie historyczne. Oryginalnie
zablokowany adres podlega dokładnie tej samej procedurze - w tym
tygodniu bodajże sprawdzałem, scoring obniżył mu się w porównaniu z
poprzednim tygodniem, więc wygląda na to, że niedługo będzie
dostępny.

> A teraz z troszeczkę innej beczki, gdyż od właściwie początku
> informowania o wszelkich honeypotach (i podobnych) zbierających dane o
> potencjalnych adresach do wycięcia chodzi mi to po głowie - czy nie
> istnieje niebezpieczeństwo, iż powstanie nowy rodzaj ataku, tj.
> spoofowanie "komunikatów kontrolnych botnetów" w taki sposób, by w
> efekcie ofiara samego ataku została wycięta (bo uznana za kontroler)?
> Szczerze mówiąc - nie wiem, po jakim gruncie stąpam (brak info o
> BLach, firmach, więc mogę tylko sobie wyobrażać różne czarne
> scenariusze), ale skoro odpowiednie dane gromadzone są przez automaty,
> a automaty da się często oszukać, w efekcie tworzymy podstawy dla
> paskudnego ataku, dzięki któremu łatwo (lub nieco trudniej - od
> automatów zależy) możemy wysłać w routerowy kosmos "niewygodne" hosty.

Ktoś już o tym pisał. No więc tak - hostom niewygodnym i dobrze
zabezpieczonym zasadniczo nic nie grozi. Hostom niewygodnym i cienko
zabezpieczonym grozi już teraz parę rzeczy skutkujących na przykład
ich, jakby to powiedzieć, mniejszą dostępnością. Można w dodatku
postawić tezę, że przejęty host jest sam w sobie zagrożeniem dla
Internetu...więc skoro atakujący sam stara się za nas zrobić "incident
containment" to nie jest to może wcale taki głupi pomysł ;). Jako DoS
taki atak mógłby mieć sens o tyle, że mógłby być teoretycznie mniej
zauważalny dla ofiary (nie jest dostępna i nawet o tym nie wie), ale
jak widać na przykładzie naszej skromnej inicjatywy - jakoś, skubani,
dowiadują się raczej wcześniej, niż później ;).

Pozdrawiam,
RJ
Received on Sun Jan 4 20:15:13 2009