rafal.jaczynski@gmail.com writes:
No proszę, TP mówi ludzkim głosem. 8-) Naprawdę się nie spodziewałem,
dziękuję.
> Weźmy warunek c - wieść gminna niesie, że chcieli dobrze, wyszło jak
> zwykle. No to popatrzmy - blokujemy aktualnie ponad 6000 IP. W
> przeciągu dwóch tygodni funcjonowania zostaliśmy dosłownie zawaleni
> mailami z pretensjami, w liczbie łącznie bodajże kilkunastu sztuk.
> Zdecydowana większość zgłasza problem z irc i nieszczęsnym gimpem. Z
> ircem sytuacja rozwiąże się prawdopodobnie w przeciągu tygodnia, bo z
> opami jak mi się wydaje jesteśmy wbrew pozorom po tej samej stronie i
> to zwykle rozsądni ludzie są. Pozostaje gimp i jeszcze ze dwa jak
> widziałem adresy, które kogoś zabolały. Ułamki promila w odniesieniu
> do bazy abonentów i blokowanych adresów. Po prostu klęska.
No to po kolei.
1. Jakoś tak w kółko tylko o tym irc i irc. Liczba 6000 wskazuje na
to, że blokujecie daleko nie tylko serwery irc, z innych źródeł też
widać, że także mnóstwo adresów, na których serwera irc nigdy nie
było. Zatem dobrze byłoby wiedzieć, prowadzenie jakiej usługi może
kogoś narazić, że stanie się ofiarą... Samo HTTP wystarczy?
2. Nie widzę ani cienia, najmniejszego, wątpliwości, ani słóweczka, że
może jednak w tych 6000 jest (jeden? dwa? 1000?) adresów wpisany
przez pomyłkę. Nikt nie jest nieomylny i wasze czarne listy prawie
na pewno też nie. Umiecie w ogóle określić, jaka część z tych 6000
odpiowiedzialna była za sterowanie jaką częścią botnetów? Bo nie
sądzę, by się rozkładało po równo. Może np. za 99% ruchu jest
odpowiedzialny 1% z tych zablokowanych adresów?
3. W liczbę kilkunastu pretensji całkiem zwyczajnie i po prostu NIE
WIERZĘ. Obawiam się, że po prostu znakomita większość reklamacji
(czy to na błękitną linię, czy na abuse@, czy jeszcze gdzieś)
została załatwiona przez odesłanie na /dev/drzewo - przykłady mamy
zarówno na grupie, jak i na różnych blogach czy portalach - i do
Departamentu Zarządzania Bezpieczeństwem etc. w ogóle nie dotarła.
Sposób reakcji na te reklamacje trudno określić inaczej niż
skandaliczny. Sam na dwa maile na abuse@ w sprawie gimp.org (jeden
przeforwardowany przez Konrada P., drugi już mój bezpośrednio) nie
dostałem odpowiedzi W OGÓLE.
Ja się zgadzam, że jakieś czynności trzeba było podjąć. Czy blokowanie
adresów zostało przeprowadzone poprawnie od strony technicznej - z
braku danych nie wiem, załóżmy, że tak, choć wątpliwości są.
Natomiast od strony "obsługi klienta" zostało przeprowadzone
absolutnie najgorzej jak można.
Najmniejsze minimum obsługi powinno wyglądać tak, że reklamujący
klient powinien dostawać informację, że zablokowano ze względów
bezpieczeństwa, oraz że "zwróciliśmy się do posiadacza tego adresu IP
z prośbą o zabezpieczenie tego systemu i jak tylko on to zrobi, to
odblokujemy". Natomiast posiadacz adresu powinien dostać informację ZA
CO został zablokowany, co umożliwi mu jakąś reakcję.
Nie może być tak, że klient dostaje odpowiedź "nie nasz problem", a
admin "blokujemy was, ale nie powiemy za co".
> Rafał Jaczyński
> Dyrektor Departamentu Zarządzania Bezpieczeństwem Systemów
> Teleinformatycznych, TP S.A.
A swoją drogą ciekawe, że osoba występujaca w swojej oficjalnej
postaci dyrektora pisze z adresu @gmail.com 8-)
Pozdrawiam ponoworocznie
MJ
PS.
> tygodniu powinno się ustabilizować, będą wnioski. Na razie wychodzi to
> trochę tak, jak z fast fluxem - ogólnie się przyjęło, że fajnie jest
> się tak maskować i kto tak się z C&C i contentem nie kryje ten łoś i
> lamer. Ergo, na pewno większość botnetów tego używa. Dżentelmeni z
Można prosić o wytłumaczenie? Na przykład co to jest C&C? I reszta?
Nic nie rozumiem...
Received on Sun Jan 4 21:05:13 2009
To archiwum zostało wygenerowane przez hypermail 2.1.8 : Sun 04 Jan 2009 - 21:40:01 MET