Sam zdaje się napisałem nieco zbyt skrótowo i czuję się w obowiązku
kilka myśli rozwinąć. Ale to dobrze, jest miejsce do dyskusji.
Zacznę może od dwóch spraw, które zdaje się źle zinterpretowałeś. Po
pierwsze - Blue Line. Zauważ, że nie użyłem tego słowa ani razu w
poprzednim poście. Zdaję sobie sprawę, że BL ma inne główne cele, a
szybkie przeszkolenie personelu odnośnie metod wycinania adresów na
routerach brzegowych przez inny, niekoniecznie się tym zajmujący
departament może przynieść mniej niż spektakularne efekty. Nie to jest
moim zdaniem przyczyną zaskoczenia zaistniałą sytuacją. Jest nią brak
informacji podanej z wyprzedzeniem. Mnie wystarczyłaby notka na CERT,
że "za dwa tygodnie wprowadzamy testowo taką a taką technologię, w
taki a taki sposób, co tak a tak wpłynie na dostępność takich a takich
usług". Kropka. Nawet jeśli sam bym jej nie przeczytał, nie miałbym
nic do zarzucenia.
Jestem też w stanie przyjąć na wiarę, że sytuacja w polskim internecie
była niewesoła i konieczne było zastosowanie doraźnych rozwiązań
(lepsze jest działające rozwiązanie teraz niż doskonałe nigdy). I
absolutnie zgadzam się, że zdecydowana większość klientów &tp tego nie
zauważyła i prawdopodobnie wystarczy im wiedzieć, że "są bezpieczni" a
ewentualne "connection timed out" zwalą na serwer i szybko o tym
zapomną. Ale należy tu dostrzec pewien dualizm - i to jest właśnie ta
druga sprawa - czym innym jest odcięcie zarażonej maszyny Anny K. od
sieci, a czym innym mnie w roli klienta jakiejś usługi - od zarażonego
serwera. Różnica jest taka, że Anna K. nie zdaje sobie sprawy z
zagrożeń, i jest tutaj "ofiarą" - wysyła spam. Ja jestem klientem,
który potrafi zabezpieczyć swoją maszynę, a nie może uzyskać dostępu
(o dostęp w takim kontekście chodziło mi, gdy pisałem o jego
ograniczaniu) do usług, co do których mam pewność. Jakie niesie to
implikacje? Na przykładzie:
Załóżmy, że mam prawa commitu do jakiegoś CVSa na zagranicznym
serwerze z wieloma użytkownikami i usługami. Działa tam, przypuśćmy,
svn, jakiś serwer www, ssh, jabberd, ircd, itp. Jeśli ktoś wykorzystał
jeden z dziesiątków kanałów na owym ircu do próby kontrolowania
botnetu (takie ciche założenie poczyniłem we wszystkich wymienionych
przeze mnie przypadkach w poprzednim poście - przekonująca jest już
sama argumentacja p. Rafała o zagrożeniach dot. wirtualizacji w
różnych serwerowniach), odcina to wszystkich użytkowników wszystkich
usług tej maszyny pochodzących z sieci &tp. Co jeśli byłbym jedynym
użytkownikiem tej maszyny z tej sieci? Spada na mnie konieczność
skontaktowania się z ludźmi zarządzającymi ircdem, poinformowania ich
o problemie i liczenia w duchu na to, że uda im się to załatać w
rozsądnym czasie. Przykłady można mnożyć. Packa więc działa (ubiła
C&C) ale ma dość drobne oczka. Na tyle drobne, że ja nie mogę
korzystać z sieci tak jak to zwykle robię. I pół biedy, jeśli to tylko
hobby.
I podczas gdy "korelowanie informacji", jak zostało to dość ogólnikowo
opisane, na podstawie komend C&C, honeypotów, sond itd nie budzi
żadnych zastrzeżeń - zdaję sobie sprawę że *obecnie* przyjęte kryteria
dotyczą botnetów - to należy zauważyć, że tutaj "sky is the limit".
Nic nie zabrania rozszerzyć tej listy (czy dodać dostawców owych list)
punktując *na przykład* serwery TOR (wg osobnych kryteriów
oczywiście). I nie ma żadnych gwarancji co do tego jakie adresy będą
wycinane a jakie nie za, powiedzmy, pół roku. W dużych korporacjach
nie wszystkie decyzje podejmują najlepsi do tego ludzie.
Więc "zabieram zabawki i zamykam sklepik". Jakkolwiek infantylnie to
brzmi, irracjonalnym z mojej strony byłoby pozostawać przy usłudze,
korzystając z której muszę zestawiać tunele przez inne sieci, by
skorzystać z zasobów, z których do niedawna korzystałem normalnie lub
brać na siebie obowiązek niesienia pochodni poprzez ciemności
internetu (i narażać się na zjedzenie przez grue). Bo traciłbym na to
czas. A czas to pieniądz. Więc będę uciekał, i zapewne masz rację, że
inni dostawcy pójdą w ślady &tp. Lecz wolę dostęp do sieci, nad którym
sam mam kontrolę, niż taki z wymienianym piaskiem. I może, gdy za kilka
(naście?) lat rozmiar oczek w pacce stanie się dla mnie akceptowalny
(poruszono już w tym wątku kilka potencjalnych rozwiązań), to wrócę do
operatora mającego najlepszą ofertę nie zwracając uwagi na to, czy
"oferuje" BGP blackholing.
Jednak podczas gdy packa bije i mnie (pośrednio), to nie to mnie boli.
Boli mnie to, że nie mam możliwości z niej zrezygnować. Gdyby była to
opcja, domyślnie włączona dla wszystkich użytkowników, ale dająca się
wyłączyć przez klienta, któremu na tym zależy, to bym temu tylko
przyklasnął i przytupnął. Bo jak napisałem kilka zdań powyżej, z
czasem problem pewnie rozwiązał by się sam. Ale tak nie jest. W chwili
obecnej jestem więc de facto bez wyjścia. I zapewne nie ja jeden.
Pozdrawiam,
JM
Received on Mon Jan 5 23:05:02 2009
To archiwum zostało wygenerowane przez hypermail 2.1.8 : Mon 05 Jan 2009 - 23:40:01 MET