Dnia Sat, 5 Dec 2009 22:35:41 +0000 (UTC), Jacek Osiecki napisał(a):
> Dnia Fri, 4 Dec 2009 19:19:09 +0100, Sylwester Zarębski napisał(a):
>> Dnia Fri, 4 Dec 2009 10:04:59 +0000 (UTC), Lukasz Trabinski napisał(a):
>>> Wojciech Puchar <wojtek@wojtek.tensor.gdynia.pl> wrote:
>>>> Nowe techniki botnetowe będą 20 razy lepsze niż dzisiejsze, bo potrzeba jest
>>>> matką wynalazków.
>>>> JEDYNĄ metodą walki ze spamem jest zwalczanie właścicieli komputerów które
>>>> ten spam wysyłają. nieważne czy świadomie czy nie.
>>> Chyba Bóg cię opóścił, jak zamierzasz to robić?
>> Przede wszystkim 'opUścił'.
>> Na pytanie jak, odpowiedź jest prosta, reagować na zgłoszenia o SPAMie.
> I co da to reagowanie? Zgłoszenie wysłane kilkanaście godzin po otrzymaniu
> spamu, reakcja przy wdrożeniu absurdalnie wysokich środków - minimum
> kilkanaście godzin (weryfikacja autentyczności zgłoszenia, uruchomienie
> monitorowania klienta pod kątem wysyłanych pakietów, telefon do klienta itd.)
> a tymczasem zombie już zrobiło co miało zrobić czyli wysłało kilkaset
> tysięcy spamów. Jedyne co operator zrobi, to pogrozi paluszkiem klientowi
> któremu ew. odetnie port 25 i każde wyczyścić komputer.
Inni operatorzy potrafią zrobić to 'ew.' i czynią to nader skutecznie.
To, że TP nie potrafi sobie poradzić z problemem nie jest argumentem, że
nie można inaczej. Można, czego dowodzą skuteczne działania innych
operatorów.
> Podsumowując - spamerzy nadal mają się świetnie, zombie znikają dopiero po tym jak wykonają
> swoją robotę, klienci są wkurzeni bo co chwila ich maile są odrzucane przez
> serwery filtrujące po Received:
Mylisz się, usunięcie w ten sposób 10% całej sieci zombie Neo, to 10%
mniejsza ilość spamu z Neo w skali całego globu. Nie tylko do twoich
klientów czy moich. Do tego klient otrzymuje dawkę niezbędnej wiedzy do
utrzymania swojego komputera w czystości, a definitywnie utracony zombie
boli bardziej niż możliwość reakcji na powstały problem.
Odcięcie portu 25 dzisiaj daje mi 100% mniej z sieci Neo, jutro daje mi
z powrotem całą sieci Neo, której nie mam jak odciąć inaczej niż
skomplikowanym (i powolnym) oprogramowaniem antyspamowym, który daje mi
mnóstwo false positives (1-2% to dużo, bardzo dużo).
Właściciel botnetu nadal ma nad nim kontrolę i może wprowadzić zmiany
lub pozbawić się zysku. Nie trzeba być prorokiem, by wiedzieć co
wybierze.
Do tego jak już napisałem, kwestia odpowiedzialności za spam zostaje
przerzucona na administratora, co mi się wcale nie podoba.
A po Received to już chyba nikt nie filtruje (jedynie), po tym jak boty
zaczęły fałszować Received?
>> Sam wysyłałem wiele zgłoszeń na abuse@tpnet.pl. Żadne nie poskutkowało.
>> W chwili obecnej TP zrzuciło odpowiedzialność za ruch wychodzący na
>> administratorów serwerów, którzy będą świecić oczami przed klientami,
>> jak za chwilę będą do kupienia bazy z email/user+hasełko+smtp/port.
> Weź pod uwagę, że dużo łatwiej jest filtrować spam tego typu. Po pierwsze
> system pocztowy namierzy takiego spamera nie tylko na podstawie ilości
> wysłanych pakietów ale też na podstawie treści tak samo jak teraz się robi
> scoring wiadomości przychodzących. A po drugie - i najważniejsze - takie
> spamowanie się najnormalniej w świecie nie opłaca spamerom, po prostu pójdą
> tam gdzie łatwiej jest wysłać spam zamiast bawić się w kradzież haseł z
> wszystkich możliwych programów pocztowych.
Jeśli będzie tak jak piszesz, będę bić pokłony, ale wybacz, nie wierzę w
taki ciąg wydarzeń. TP jest zbyt dużą siecią i zbyt dużo kasy generują
spamerom, tym bardziej, że botnety *nadal działają* i są gotowe na
zmiany.
>> Już niektóre dobijające się boty są dziś bardziej inteligentne, np.
>> próbują połączeń po różnych portach, a nuż będą inne polisy, też
>> widziałem takie dobijające się na submission.
> Wyobraź sobie, że głupi greylisting odsiewa bardzo znaczący procent spamu -
> mimo że przecież taki zombie mógłby teoretycznie przeczytać odpowiedź
> serwera SMTP, odczekać kilkanaście minut i wysłać ponownie... Dlaczego?
> Bo po prostu się nie opłaca zabawa w takie sprawdzanie! A Wy tu zapowiadacie
> wysyp botów bawiących się w kradzieź haseł i ustawień do kont...
Mylisz się, z oględnych statystyk już ok. 20% połączeń z botnetów
obchodzi mi greylisting. Potrzeba matką wynalazków.
>> Co oznacza powyższe? Że zanim administrator serwera się dowie, że ktoś
>> wysyła przez niego spam (wystarczy jedno konto i jeden sobotni wieczór),
>> już będzie na kilku RBLach. Cofnięcie potrwa tydzień/dwa, paru klientów
>> pójdzie sobie do kogoś innego, w sumie nie ma problemu, prawda?
> Oznacza, że spamer zamiast beztrosko rozsyłać spam to tysięcy serwerów z
> których każdy dostanie jeden/kilka strzałów nad którymi nawet nie warto się
> zastanawiać, teraz spamer by musiał wysyłać wszystko przez jedno konto
> jednego/kilku providerów poczty, którzy dysponują dużo lepszymi środkami do
> zwalczania spamu niż providerzy internetu.
Przecież o tym piszę, zrzuciła odpowiedzialność na administratorów
serwerów poczty. To oni jakby co będą teraz winni problemu.
Uważasz, że prościej będzie Ci wyciąć swojego klienta, który dobrze
płaci, czy zgłosić to do abuse providera sieci? I to nie będzie
jeden/kilka strzałów, ale tyle ilu zarażonych użytkowników mających
konta u Ciebie. Z tym, że ci użytkownicy być może wirusa mieli rok temu,
a spam zacznie się teraz, więc problem będziesz mieć Ty i Twój klient.
W międzyczasie Twój serwer zawiśnie w RBLach ku Twej uciesze.
Czy to trzeba tłumaczyć administratorowi, który jak sądzę, powinien mieć
spore doświadczenia z obsługą swoich klientów?
>> A TP nadal będzie wzruszać ramionami i wykonywać ruchy pozorowane...
> Oby jak najwięcej takich "ruchów pozorowanych". Zrozum - TPSA zamiast
> pierniczyć się w gonienie w piętkę za spamerami po prostu wywaliło ich
> jednym prostym i niegroźnym dla klientów ciosem na zbity pysk. Zabolało
> wyłącznie spamerów, leni którym nie chce się czytać maili i listów oraz
> kilku nawiedzonych którzy gardłują od paru dni w obronie spamerów :)
Nie, nie wywaliła. Okrutna pomyłka! Ukryła ich na chwilę! Dała czas na
zmiany, przy czym teraz może umyć ręce i powiedzieć 'no, ale
zablokowaliśmy spamerów, czego chcecie jeszcze?'.
-- pozdrawiam Sylwester Zarębski Aby wysłać email zmień zbieracz w adresie na sylwekReceived on Sun Dec 6 11:55:03 2009
To archiwum zostało wygenerowane przez hypermail 2.1.8 : Sun 06 Dec 2009 - 12:40:02 MET