TP nie lubi GIMPa czy co?

78 wyświetleń
Przejdź do pierwszej nieodczytanej wiadomości

Michal Jankowski

nieprzeczytany,
28 gru 2008, 17:11:3628.12.2008
do
Sledzenie trasy do dupe.XCF.Berkeley.EDU [128.32.112.245]
1 2 ms 1 ms 3 ms XXXX.internetdsl.tpnet.pl [83.14.xxx.xxx]
2 3 ms 2 ms 2 ms YYYY.internetdsl.tpnet.pl [83.14.xxx.xxx]
3 50 ms 16 ms 12 ms war-ru5.idsl.tpnet.pl [213.25.2.6]
4 * * *

I to juz jest koniec.

A zaraz obok:

Sledzenie trasy do bilk.XCF.Berkeley.EDU [128.32.112.244]
1 2 ms 1 ms 3 ms XXXX.internetdsl.tpnet.pl [83.14.xxx.xxx]
2 3 ms 2 ms 2 ms YYYY.internetdsl.tpnet.pl [83.14.xxx.xxx]
3 14 ms 16 ms 13 ms war-ru5.idsl.tpnet.pl [213.25.2.6]
4 12 ms 17 ms 11 ms ge-2-2-0.war-r4.tpnet.pl [213.25.5.117]
5 120 ms 119 ms 119 ms po8-0.nykcr2.NewYork.opentransit.net [193.251.251.69]
6 123 ms 137 ms 124 ms xe-3-1-0-0.ashtr1.Ashburn.opentransit.net [193.251.243.1]
7 145 ms 137 ms 138 ms ge-0-1-0-0.atlcr3.Atlanta.opentransit.net [193.251.243.178]
8 161 ms 161 ms 157 ms pos0-1-0-0.daltr1.Dallas.opentransit.net [193.251.241.34]

Itd przez 20 kilka hopow bez problemu.

Widac, ze ciecie jest w Warszawie, dalej pakiety w ogole nie wychodza.

Ten pierwszy adres to jest www.gimp.org, z sieci TP strona jest niedostepna.

WTF?

MJ

Krzysztof Oledzki

nieprzeczytany,
28 gru 2008, 18:36:1828.12.2008
do
Michal Jankowski <mic...@fuw.edu.pl> wrote:
> Sledzenie trasy do dupe.XCF.Berkeley.EDU [128.32.112.245]
> 1 2 ms 1 ms 3 ms XXXX.internetdsl.tpnet.pl [83.14.xxx.xxx]
> 2 3 ms 2 ms 2 ms YYYY.internetdsl.tpnet.pl [83.14.xxx.xxx]
> 3 50 ms 16 ms 12 ms war-ru5.idsl.tpnet.pl [213.25.2.6]
> 4 * * *

http://lg.tpnet.pl/ prawdę powie

> WTF?

BGP routing table entry for 128.32.112.245/32, version 381084613
Paths: (1 available, best #1, not advertised to EBGP peer)
Not advertised to any peer
3402
80.50.231.205 from 80.50.231.205 (213.25.2.10)
Origin IGP, localpref 100, valid, internal, best
Community: 5617:997 5617:3322 no-export
Originator: 213.25.2.238, Cluster list: 91.0.2.1, 22.0.0.3, 22.0.3.1


Dobrze znane 5617:997 ;)

Pozdrawiam,

Krzysztof Oledzki

--
Krzysztof Olędzki
e-mail address: ole(a-t)ans(d-o-t)pl
Registered User: Linux - 189200, BSD - 51140
Nick Handles: KO60-RIPE, KO581 (Network Solutions)

Michal Jankowski

nieprzeczytany,
29 gru 2008, 17:50:2229.12.2008
do
Krzysztof Oledzki <o...@a.ns.pl> writes:

> Dobrze znane 5617:997 ;)

I to już wszystko tłumaczy?

Noż kurde, jakoś nie posądzam strony gimpa o pornografię dziecięcą czy
inne przestępstwa.

I nic się już nie daje nawet nie załatwić, ale choćby dowiedzieć
prywatnymi, czy półprywatnymi kanałami, Konrad P. mnie odesłał do
standardowego abuse, a ono chyba do /dev/null...

MJ

Szymon Sokół

nieprzeczytany,
29 gru 2008, 18:21:4429.12.2008
do
On Mon, 29 Dec 2008 23:50:22 +0100, Michal Jankowski wrote:

> Krzysztof Oledzki <o...@a.ns.pl> writes:
>
>> Dobrze znane 5617:997 ;)
>
> I to już wszystko tłumaczy?
>
> Noż kurde, jakoś nie posądzam strony gimpa o pornografię dziecięcą czy
> inne przestępstwa.

irc.us.gimp.org has address 128.32.112.245
^^^
Teraz jasne? Jeśli nie, to przeczytaj jeszcze
http://bezpieczenstwo.idg.pl/news/329678/TP.nowe.zabezpieczenia.przed.botnetami.html

--
Szymon Sokół (SS316-RIPE) -- Network Manager B
Computer Center, AGH - University of Science and Technology, Cracow, Poland O
http://home.agh.edu.pl/szymon/ PGP key id: RSA: 0x2ABE016B, DSS: 0xF9289982 F
Free speech includes the right not to listen, if not interested -- Heinlein H

Krzysztof Oledzki

nieprzeczytany,
29 gru 2008, 18:29:4329.12.2008
do
Michal Jankowski <mic...@fuw.edu.pl> wrote:
> Krzysztof Oledzki <o...@a.ns.pl> writes:
>
> > Dobrze znane 5617:997 ;)
>
> I to już wszystko tłumaczy?

Wszystkiego nie, AS PATH (3402) sugeruje jednak, że przyszło to z MAPS-a.
Niestety, http://www.mail-abuse.com/cgi-bin/lookup?ip_address=128.32.112.245
twierdzi iż:

The IP address entered was not found on any database managed by Trend Micro's Network Reputation Services.

Może dla tej usługi jest jakiś inny adres do robienia lookupów?

> Noż kurde, jakoś nie posądzam strony gimpa o pornografię dziecięcą czy
> inne przestępstwa.

;)

Michal Jankowski

nieprzeczytany,
30 gru 2008, 03:17:5230.12.2008
do
Szymon Sokół <szy...@bastard.operator.from.hell.pl> writes:

>> Noż kurde, jakoś nie posądzam strony gimpa o pornografię dziecięcą czy
>> inne przestępstwa.
>
> irc.us.gimp.org has address 128.32.112.245
> ^^^
> Teraz jasne? Jeśli nie, to przeczytaj jeszcze
> http://bezpieczenstwo.idg.pl/news/329678/TP.nowe.zabezpieczenia.przed.botnetami.html

I TEN KONKRETNY serwer jest kontrolerem jakiegoś botneta?

Czy po prostu TP blokuje wszystko z literami IRC w nazwie, bo tak im
wygodniej?

To czemu, psiakrew, portu 25 nie zablokują?

MJ

Lukasz Trabinski

nieprzeczytany,
30 gru 2008, 06:12:2330.12.2008
do
In pl.internet.polip Michal Jankowski <mic...@fuw.edu.pl> wrote:

> I TEN KONKRETNY serwer jest kontrolerem jakiegoś botneta?

Widzisz jakieś powody, że miałoby tak nie być?

> Czy po prostu TP blokuje wszystko z literami IRC w nazwie, bo tak im
> wygodniej?

Nie sądzę aby tak było. IRC jest ulubionym medium, choć oczywiście nie jedynym,
do sterowania botnetami.


> To czemu, psiakrew, portu 25 nie zablokują?

No i? Oprócz spamu, są jeszcze inne zagrożenia w sieci. udp/icmp/tcp-fin flood
i wiele innych.

--
ŁT

Jaroslaw Berezowski

nieprzeczytany,
30 gru 2008, 11:57:1230.12.2008
do
Dnia Sun, 28 Dec 2008 23:11:36 +0100, Michal Jankowski napisał(a):

> Sledzenie trasy do dupe.XCF.Berkeley.EDU [128.32.112.245]
> 1 2 ms 1 ms 3 ms XXXX.internetdsl.tpnet.pl [83.14.xxx.xxx]
> 2 3 ms 2 ms 2 ms YYYY.internetdsl.tpnet.pl [83.14.xxx.xxx]
> 3 50 ms 16 ms 12 ms war-ru5.idsl.tpnet.pl [213.25.2.6]
> 4 * * *
>
> I to juz jest koniec.

<...>
Na razie znowu tez wyciela irc.pl :)

Jaroslaw "Jaros" Berezowski

Jaroslaw Berezowski

nieprzeczytany,
30 gru 2008, 11:57:4730.12.2008
do
Dnia Tue, 30 Dec 2008 11:12:23 +0000, Lukasz Trabinski napisał(a):

>> To czemu, psiakrew, portu 25 nie zablokują?
>
> No i? Oprócz spamu, są jeszcze inne zagrożenia w sieci. udp/icmp/tcp-fin flood
> i wiele innych.

No i czy to oznacza, ze nie mozna zaczac od 25/tcp?
--
Jaroslaw "Jaros" Berezowski

Szymon Sokół

nieprzeczytany,
30 gru 2008, 12:21:2530.12.2008
do
On Tue, 30 Dec 2008 09:17:52 +0100, Michal Jankowski wrote:

> I TEN KONKRETNY serwer jest kontrolerem jakiegoś botneta?
>
> Czy po prostu TP blokuje wszystko z literami IRC w nazwie, bo tak im
> wygodniej?

Mam wrażenie, że tak (a ściślej to pewnie nie z literami, tylko słuchające
na porcie 6667 - możesz zrobić eksperyment, wystaw gdzieś ircserver i
zobacz, czy Cię wytną ;->).

Marcin Kulas

nieprzeczytany,
30 gru 2008, 12:28:5830.12.2008
do
Szymon Sokół wrote:
> On Tue, 30 Dec 2008 09:17:52 +0100, Michal Jankowski wrote:
>
>> I TEN KONKRETNY serwer jest kontrolerem jakiegoś botneta?
>>
>> Czy po prostu TP blokuje wszystko z literami IRC w nazwie, bo tak im
>> wygodniej?
>
> Mam wrażenie, że tak (a ściślej to pewnie nie z literami, tylko słuchające
> na porcie 6667 - możesz zrobić eksperyment, wystaw gdzieś ircserver i
> zobacz, czy Cię wytną ;->).

Na moje oko znowu spięli MAPS (as3402) z blackholingiem.

--
[ Marcin Kulas jid: h...@jabbed.org ]
[ "Bądź uczynny, pomagaj innym - a wtedy wszyscy wokół pomyślą, ]
[ że to co dla nich robisz, jest twoim zasranym obowiązkiem." ]

Michal Jankowski

nieprzeczytany,
30 gru 2008, 13:44:1230.12.2008
do
Szymon Sokół <szy...@bastard.operator.from.hell.pl> writes:

> Mam wrażenie, że tak (a ściślej to pewnie nie z literami, tylko słuchające
> na porcie 6667 - możesz zrobić eksperyment, wystaw gdzieś ircserver i
> zobacz, czy Cię wytną ;->).

Prawdziwy ircserver czy cokolwiek na tym porcie? Jak blokuja /32 to
wlasciwie moge jakis jeden adres poswiecic...

MJ

Lukasz Trabinski

nieprzeczytany,
30 gru 2008, 14:11:5230.12.2008
do
In pl.internet.polip Jaroslaw Berezowski <prez...@gov.pl> wrote:
> Dnia Tue, 30 Dec 2008 11:12:23 +0000, Lukasz Trabinski napisał(a):
>
>>> To czemu, psiakrew, portu 25 nie zablokują?
>>
>> No i? Oprócz spamu, są jeszcze inne zagrożenia w sieci. udp/icmp/tcp-fin flood
>> i wiele innych.
> No i czy to oznacza, ze nie mozna zaczac od 25/tcp?

Można, ale niewiele ma to wspólnego z tematem.

--
ŁT

Verox

nieprzeczytany,
30 gru 2008, 12:21:5630.12.2008
do
On Tue, 30 Dec 2008 09:17:52 +0100, Michal Jankowski napisał:
> Szymon Sokół <szy...@bastard.operator.from.hell.pl> writes:
>
>>> Noż kurde, jakoś nie posądzam strony gimpa o pornografię dziecięcą czy
>>> inne przestępstwa.
>>
>> irc.us.gimp.org has address 128.32.112.245
>> ^^^
>> Teraz jasne? Jeśli nie, to przeczytaj jeszcze
>> http://bezpieczenstwo.idg.pl/news/329678/TP.nowe.zabezpieczenia.przed.botnetami.html
>
> I TEN KONKRETNY serwer jest kontrolerem jakiegoś botneta?

U mnie również na łączu ATM z &FTP dostęp do gimpa jest zablokowany. Już piszę
reklamacje.


--
begin 755 signature.exe
[tomek <at> kalety <dot> net] vy 73! de SP9UOB
Proud to be 100 percent microsoft free. op. Tomek

Lukasz Trabinski

nieprzeczytany,
30 gru 2008, 14:17:1430.12.2008
do
In pl.internet.polip Michal Jankowski <mic...@fuw.edu.pl> wrote:

No bez jaj. Raczej jest dosyć łatwo namierzalne to, jak ci wszystkie maszyny
(zarażone) z klasy /11 nagle usiłują się komunikowac z jednym /32 i
portem 6667 tegoż. Bardzo dobrze, że coś takiego jest uwalane. Inni, duzi
też powinni. Niektórzy może nawet będą. ;)


--
ŁT

Michal Jankowski

nieprzeczytany,
30 gru 2008, 14:25:2730.12.2008
do
Lukasz Trabinski <luk...@trabinski.nospam.net> writes:

> No bez jaj. Raczej jest dosyć łatwo namierzalne to, jak ci wszystkie maszyny
> (zarażone) z klasy /11 nagle usiłują się komunikowac z jednym /32 i
> portem 6667 tegoż. Bardzo dobrze, że coś takiego jest uwalane. Inni, duzi

Znaczy - pracujesz w abuse TPSA i wiesz na pewno, ze taki fakt mial
miejsce, czy odpowiadasz na zasadzie "widocznie musialo, skoro
doszlo"?

MJ

Lukasz Trabinski

nieprzeczytany,
30 gru 2008, 14:42:2330.12.2008
do
In pl.internet.polip Michal Jankowski <mic...@fuw.edu.pl> wrote:

> Znaczy - pracujesz w abuse TPSA i wiesz na pewno, ze taki fakt mial
> miejsce, czy odpowiadasz na zasadzie "widocznie musialo, skoro
> doszlo"?

Nie pracuję w tpsa, ale zdziwiłbym się, gdyby było inaczej, niż napisałem.

--
ŁT

Michal Jankowski

nieprzeczytany,
30 gru 2008, 14:50:1030.12.2008
do
Lukasz Trabinski <luk...@trabinski.nospam.net> writes:

> Nie pracuję w tpsa, ale zdziwiłbym się, gdyby było inaczej, niż napisałem.

Znaczy nic nie wiesz.

Przypadki blokowania nie tych co trzeba oczywiscie nie sa ci znane.

MJ

Lukasz Trabinski

nieprzeczytany,
30 gru 2008, 14:54:4930.12.2008
do
In pl.internet.polip Michal Jankowski <mic...@fuw.edu.pl> wrote:

Pomyłki się zdarzają wszędzie...

--
ŁT

Maciej Bebenek

nieprzeczytany,
30 gru 2008, 18:28:0130.12.2008
do
Lukasz Trabinski wrote:

>>> Nie pracuję w tpsa, ale zdziwiłbym się, gdyby było inaczej, niż napisałem.
>> Znaczy nic nie wiesz.
>>
>> Przypadki blokowania nie tych co trzeba oczywiscie nie sa ci znane.
>
> Pomyłki się zdarzają wszędzie...
>


Są takie firmy,ktore mają wpisane słowo "POMYłKA" w kulturę korporacyjną.
Niektóre z nich maja jeszcze motto: "Chcieliśmy dobrze, a wyszło jak
zwykle".

M.

ru

nieprzeczytany,
30 gru 2008, 21:17:1130.12.2008
do
On Dec 30, 8:54 pm, Lukasz Trabinski <luk...@trabinski.nospam.net>
wrote:
> Pomyłki się zdarzają wszędzie...
Z całym szacunkiem, ale jeśli przez pomyłkę może ucierpieć jakaś
firma... W moim przypadku portal ma wycięty jeden serwer z nieznanej
mi przyczyny - Agnieszka Buse odesłała mnie na drzewo pisząc tylko, że
"rzeczywiście jest blackhole'owany, jeśli zagrożenie ustanie automat
sam usunie", choć serwer stoi w OVH i co na nim było wcześniej - nie
mam pojęcia. Aktualnie netstat pokazuje tylko połączenia z :80 (to
serwer www), ssh i... to wszystko. Proponuję również zapoznać się z
komentarzem ~r3k63e pod artykułem w di.com.pl (dotyczącym zresztą
samego blackholingu) - http://di.com.pl/komentarze,25017,0,s,2.html -
jak widać jest więcej przypadków dowodzących, iż wprowadzanie czegoś
takiego na siłę jest złym rozwiązaniem. Kolejny przykład to wycięcie
IRCNetu (choć potencjalnie może tam sporo botów być, fakt) - takie
siłowe zmuszanie IRCOpów (bo to chyba o to chodzi?) nic nie da. Jakoś
nie wydaje mi się, by IRCOpi w magiczny sposób za pomocą jednego
pociągnięcia klawiatury nagle mogli rozwiązać cały problem abuse.
Pomijam też drobnostkę, że są zagraniczne hosty, dzięki którym z tą
IRCsiecią można się bezproblemowo połączyć (tak, nawet będąc w
TPNecie), więc jakież to rozwiązanie problemu?
Odcięli dwójkę dzieciaków z botnetami, ale to, że przy okazji
poleciały tysiące (dziesiątki tysięcy) ludzi chcących sobie spokojnie
porozmawiać ze znajomymi... Eeeetam.
A jutro odetniemy polip, bo brzydko na nas piszą. (choć to już temat
na zupełnie inną rozmowę)

Proponowałbym, by dane (IPki) w bazach były solidnie weryfikowane oraz
by była możliwość odwołania się od decyzji. Jak wspomniałem wyżej,
mnie Agnieszka Buse oraz registry@ kompletnie zignorowali.

Szczęśliwego Nowego.

Pozdrawiam,
--
ru

Verox

nieprzeczytany,
31 gru 2008, 00:49:4431.12.2008
do
On Tue, 30 Dec 2008 17:21:56 +0000 (UTC), Verox napisał:
> On Tue, 30 Dec 2008 09:17:52 +0100, Michal Jankowski napisał:
>> Szymon Sokół <szy...@bastard.operator.from.hell.pl> writes:
>>
>>>> Noż kurde, jakoś nie posądzam strony gimpa o pornografię dziecięcą czy
>>>> inne przestępstwa.
>>>
>>> irc.us.gimp.org has address 128.32.112.245
>>> ^^^
>>> Teraz jasne? Jeśli nie, to przeczytaj jeszcze
>>> http://bezpieczenstwo.idg.pl/news/329678/TP.nowe.zabezpieczenia.przed.botnetami.html
>>
>> I TEN KONKRETNY serwer jest kontrolerem jakiegoś botneta?
>
> U mnie również na łączu ATM z &FTP dostęp do gimpa jest zablokowany. Już piszę
> reklamacje.

Właśnie oddzwoniła pani z 0800 120 811 i powiedziała że problem nie leży w
tpsa, to ją wyśmiałem i powiedziałem że nie przyjmuje tego wytłumaczenia.

--

Marcin Kocur

nieprzeczytany,
31 gru 2008, 04:15:4831.12.2008
do
Osoba ru napisała na pl.internet.polip:

> Odcięli dwójkę dzieciaków z botnetami, ale to, że przy okazji
> poleciały tysiące (dziesiątki tysięcy) ludzi chcących sobie spokojnie
> porozmawiać ze znajomymi... Eeeetam.
> A jutro odetniemy polip, bo brzydko na nas piszą. (choć to już temat
> na zupełnie inną rozmowę)

Mam rozumieć, że na neostradzie IRC nie działa? ;)

--
Pozdrawiam
Marcin Kocur
http://linux-porady.info - Linux od A do B :]

Michał Górny

nieprzeczytany,
31 gru 2008, 06:00:1631.12.2008
do
On Tue, 30 Dec 2008 09:17:52 +0100, Michal Jankowski <mic...@fuw.edu.pl> wrote:
>
> To czemu, psiakrew, portu 25 nie zablokują?
>

Może po prostu jeszcze nie wpadli, jak pojedyncze porty blokuje się? < ;. Wszystko kwestia czasu.

Nie zdziw się, jak pewnego dnia pozostanie Gadu-Gadu & HTTP (oczywiście filtrowane).

--
Z poważaniem,
Michał Górny

<http://mailnull.com/w?au=f6744c6f5e097cc9816a562802f331c2>
<xmpp:mgo...@jabster.pl>

Wojtek /aquaz/ Dziubiński

nieprzeczytany,
31 gru 2008, 06:25:5731.12.2008
do
Dnia Tue, 30 Dec 2008 17:57:12 +0100, Jaroslaw Berezowski napisał(a):

> <...>
> Na razie znowu tez wyciela irc.pl :)

Wiadomo może kiedy te wygłupy się skończą?
Odnoszę wrażenie, że firma której jestem klientem ma mnie za debila. Sam
wyblokuję co uważam za stosowne - nie potrzebuję do tego pomocy ze strony
tp.

Nie uważam się za eksperta w dziedzinach bezpieczeństwa, ale nie życzę
sobie takich odgórnych regulacji - sam o to zadbam.

Czy można to w jakiś sposób reklamować? Obawiam się, że jako użytkownik
iDSL mam niewiele do powiedzenia, ale może użytkownicy czegoś grubszego już
tak.

Jaka szkoda, że wszyscy ISP dookoła odsyłają mnie z BMT... (wieś głęboka)

--
Wojciech \aquaz\ Dziubiński

Dylon

nieprzeczytany,
31 gru 2008, 06:40:0431.12.2008
do
Dnia Wed, 31 Dec 2008 12:25:57 +0100, Wojtek /aquaz/ Dziubiński
napisał(a):

> Czy można to w jakiś sposób reklamować? Obawiam się, że jako użytkownik

Moze sproboj z tytulu niedotrzymania warunkow umowy?
Smiem podejrzewac, ze w umowie nie masz zapisu o Twojej zgodzie na
blokady ze strony tp...

--
Maciej Dylski
adres: szukaj w naglowku
"[...] I kto wie... moze kiedys znajdziemy zastosowania dla komputera z
taktowanym zegarem 50 MHz procesorem centralnym? [...]"

robert

nieprzeczytany,
31 gru 2008, 06:42:0731.12.2008
do
On Wed, 31 Dec 2008 11:40:04 +0000 (UTC), Dylon wrote:

>> Czy można to w jakiś sposób reklamować? Obawiam się, że jako użytkownik
>
> Moze sproboj z tytulu niedotrzymania warunkow umowy?
> Smiem podejrzewac, ze w umowie nie masz zapisu o Twojej zgodzie na
> blokady ze strony tp...

a gdzies w umowie jest zapis, ze daja dostep do wszystkich zasobow ?

-j.

Wojtek /aquaz/ Dziubiński

nieprzeczytany,
31 gru 2008, 07:34:1331.12.2008
do
Dnia Wed, 31 Dec 2008 11:42:07 +0000 (UTC), robert napisał(a):
>>> Czy można to w jakiś sposób reklamować? Obawiam się, że jako użytkownik
>> Moze sproboj z tytulu niedotrzymania warunkow umowy?
> a gdzies w umowie jest zapis, ze daja dostep do wszystkich zasobow ?

No właśnie obawiam się, że mogą się zasłonić jakimś regulaminem (jak to
zresztą jest objaśnione na ich stronie w związku z tą blokadą).
Tylko nie wiem czy równie dobrze mogliby zablokować w ogóle dostęp do
wszystkich zasobów stwierdzając, że przecież cały internet jest
potencjalnym zagrożeniem (co swoją drogą zupełnie bezpodstawne nie jest ;)
)
Dostęp do routera brzegowego jest? Jest. Dowidzenia.

--
Wojciech \aquaz\ Dziubiński

Lukasz Trabinski

nieprzeczytany,
31 gru 2008, 08:33:2531.12.2008
do
In pl.internet.polip ru <toru...@gmail.com> wrote:

> Odcięli dwójkę dzieciaków z botnetami, ale to, że przy okazji
> poleciały tysiące (dziesiątki tysięcy) ludzi chcących sobie spokojnie
> porozmawiać ze znajomymi... Eeeetam.

Widzisz, z tym, że zapewne, że nie jest to dwójka dzieciaków z botnetem,
tylko tysiące, jeśli nie miliony zarażonych maszyn, które dzięki jednemu
lub kilku irc serwerów, nad którymi nie ma specjalnej opieki, są wstanie
wykonać zmasowany atak, przed którym raczej nie ma możliwości obrony.
Jak taki atak wygląda i jak niespecjalnie można się przed tym bronic,
to już zupełnie inna bajka. W sumie, punkt widzenia, zależy od punktu
siedzenia, a w tym wypadku i doświadczenia.

Wszystkiego dobrego w Nowym Roku.

--
ŁT

ru

nieprzeczytany,
31 gru 2008, 08:47:5931.12.2008
do
On Dec 31, 2:33 pm, Lukasz Trabinski <luk...@trabinski.nospam.net>
wrote:

> Widzisz, z tym, że zapewne, że nie jest to dwójka dzieciaków z botnetem,
> tylko tysiące, jeśli nie miliony zarażonych maszyn,
(...)
Tak, ale właścicielami jest dwójka dzieciaków z botnetem. ;-)
... ale nie o tym chciałem pisać. Czy więc uważasz, że liczba osób
odciętych niesłusznie jest znacząco mniejsza od liczby osób odciętych,
no, słusznie? (Bo tylko w tym przypadku zabezpieczenie to miałoby
jakikolwiek sens, prawda?)
Póki co, spotkałem się raczej z tymi pierwszymi, czyli ci drudzy albo
siedzą cicho i liżą rany, albo po prostu jest ich mniej. Tego
stwierdzić nie potrafię.

Nieistotne - w dalszym ciągu uważam, że IPki powinny być szczegółowo
weryfikowane (a nie zabawa w statki - pudło, pudło, trafiony
zatopiony...), tudzież powinna być możliwość odwołania się (jeśli ktoś
ma takie szczęście, że go abuse/registry nie ignorują - zazdroszczę).

Pozdrawiam,
--
ru

bo...@nano.pl

nieprzeczytany,
31 gru 2008, 08:54:3831.12.2008
do
ru napisał(a):

Wiesz, TP od dawna dąży do tego, żeby być intranetem. To tylko kolejny krok w tym kierunku.

wer

Szymon Sokół

nieprzeczytany,
31 gru 2008, 09:07:0931.12.2008
do

I Ty naprawdę wierzysz, że to np. wspomniany irc.us.gimp.org albo serwery w
irc.pl są właśnie tymi serwerami, które służą za kontrolery botnetów, czy
tylko tak po prostu napisałeś to powyżej, bo to akurat Cię osobiście boli, a
związek z tematem wątku nie jest istotny?

Bo jeśli to pierwsze to mylisz się bardzo grubo - np. krakow.irc.pl, który
nb. stoi u mnie w serwerowni, ma przeciętnie trochę ponad tysiąc
użytkowników, i na jakieś wielotysięczne botnety (o milionowych nie mówiąc)
nie ma tu po prostu miejsca - próba podłączenia się drugiego tysiąca
klientów (zombie) zostałaby natychmiast zauważona. Kontrolery botnetów to
nie są "legalne" serwery IRC wykorzystywane ubocznie przez black hats, to są
dedykowane serwery IRC przez nich samych postawione i prowadzone specjalnie
w celu zarządzania botnetami.

Dodam, że ja osobiście nie mam nic przeciwko temu, że TP wycięła własnym
klientom dostęp do IRC ;-> ale czasem jednak się wykazuję empatią, ot tak z
okazji okresu świątecznego, i muszę się zgodzić z cytatem, który został tam
u samej góry.

Lukasz Trabinski

nieprzeczytany,
31 gru 2008, 09:11:1031.12.2008
do
In pl.internet.polip ru <toru...@gmail.com> wrote:

> ... ale nie o tym chciałem pisać. Czy więc uważasz, że liczba osób
> odciętych niesłusznie jest znacząco mniejsza od liczby osób odciętych,
> no, słusznie? (Bo tylko w tym przypadku zabezpieczenie to miałoby
> jakikolwiek sens, prawda?)

Myślę, że potencjalne straty mogą być mniejsze.

> Nieistotne - w dalszym ciągu uważam, że IPki powinny być szczegółowo
> weryfikowane (a nie zabawa w statki - pudło, pudło, trafiony
> zatopiony...), tudzież powinna być możliwość odwołania się (jeśli ktoś
> ma takie szczęście, że go abuse/registry nie ignorują - zazdroszczę).

Zgadzam się. Weryfikacja powinna być dokonywana i tak jak napisałem wcześniej,
technicznie jest raczej dosyć łatwo to weryfikowalne. Proceduralnie - to
każdy kto pracował w korporacji - wie jak to wygląda. ;)

--
ŁT

Lukasz Trabinski

nieprzeczytany,
31 gru 2008, 09:20:4631.12.2008
do
In pl.internet.polip Szymon Sokół <szy...@bastard.operator.from.hell.pl> wrote:

> I Ty naprawdę wierzysz, że to np. wspomniany irc.us.gimp.org albo serwery w
> irc.pl są właśnie tymi serwerami, które służą za kontrolery botnetów, czy
> tylko tak po prostu napisałeś to powyżej, bo to akurat Cię osobiście boli, a
> związek z tematem wątku nie jest istotny?

Czy są w tej chwili, tego akurat nie wiem, bo nie mam dostępu, do tego
typu danych. Wiem natomiast ze 100% pewnością, że były, gdyż byłem bezpośrednio
swego czasu zaangażowany w likiwidowanie skutków, jak również namierzanie
tego typu tworów. Niekoniecznie chodziło o PL-IRCNET, bo ten akurat mam
prawo wierzyć, że jest "dopieszczany". ;)

--
ŁT

ru

nieprzeczytany,
31 gru 2008, 09:23:1731.12.2008
do
On Dec 31, 3:11 pm, Lukasz Trabinski <luk...@trabinski.nospam.net>
wrote:

> Myślę, że potencjalne straty mogą być mniejsze.
Powiedz to mojemu klientowi, który został odcięty od źródła
dochodów. ;-)
Najlepiej IRL, choć z odpowiedniej odległości i najlepiej przez
pancerną szybę, by móc spokojnie obserwować jego reakcję i minę bez
gróźb uszczerbku na zdrowiu własnym, ;-)
A wiem, że takich przypadków jest więcej.

> Zgadzam się. Weryfikacja powinna być dokonywana i tak jak napisałem wcześniej,
> technicznie jest raczej dosyć łatwo to weryfikowalne. Proceduralnie - to
> każdy kto pracował w korporacji - wie jak to wygląda. ;)

No i tu jest pies pogrzebany - nie należy się brać za coś, czego nie
potrafimy zrobić porządnie i porządnie tym zarządzać. Czyli -
wprowadzać to rozwiązanie, i owszem (osobiście nie mogę się
powstrzymać od uśmiechu na myśl o wcześniej wspomnianych
dzieciaczkach, którym odebrano zabawkę - sam byłem celem DDoSu kilka
tygodni temu) - ale dopiero wtedy, gdy mamy pewność, że będzie
skuteczne *przeciwko abuserom*, nie całej reszcie. ;-) Jeszcze tylko
warto wspomnieć o tym, *w jaki sposób* "usługa" została wprowadzona -
cichaczem. Dlaczego?

Dochodzi 16, jeszcze nie pijecie?! :->

Raz jeszcze szczęśliwego i przewidywalnego/spokojnego, a dla TPSA -
rozsądku.

Pozdrawiam,
--
ru

ru

nieprzeczytany,
31 gru 2008, 09:25:3331.12.2008
do
On Dec 31, 3:20 pm, Lukasz Trabinski <luk...@trabinski.nospam.net>
wrote:

> Czy są w tej chwili, tego akurat nie wiem, bo nie mam dostępu
NIEMOŻLIWE!

Wybacz, nie mogłem się powstrzymać. ;-)
--
ru

Lukasz Trabinski

nieprzeczytany,
31 gru 2008, 09:29:0931.12.2008
do
In pl.internet.polip ru <toru...@gmail.com> wrote:
> tygodni temu) - ale dopiero wtedy, gdy mamy pewność, że będzie
> skuteczne *przeciwko abuserom*, nie całej reszcie. ;-) Jeszcze tylko
> warto wspomnieć o tym, *w jaki sposób* "usługa" została wprowadzona -
> cichaczem. Dlaczego?

Mogę się zgodzić, że można inaczej technicznie pewne kwestie rozwiązywać,
mnie natomiast chodziło o próbę odpowiedzi, czemu tak się w ogóle stało.

>
> Dochodzi 16, jeszcze nie pijecie?! :->

Kawówka o powlającej mocy i ciechan miodowy już czeka w gotowości. ;)

--
ŁT

Michal Jankowski

nieprzeczytany,
31 gru 2008, 10:09:5831.12.2008
do
Lukasz Trabinski <luk...@trabinski.nospam.net> writes:

> lub kilku irc serwerów, nad którymi nie ma specjalnej opieki, są wstanie

A jak usiądzie? 8-)

MJ

Michal Jankowski

nieprzeczytany,
31 gru 2008, 10:12:5831.12.2008
do
Lukasz Trabinski <luk...@trabinski.nospam.net> writes:

>> I Ty naprawdę wierzysz, że to np. wspomniany irc.us.gimp.org albo serwery w
>> irc.pl są właśnie tymi serwerami, które służą za kontrolery botnetów, czy
>> tylko tak po prostu napisałeś to powyżej, bo to akurat Cię osobiście boli, a
>> związek z tematem wątku nie jest istotny?
>
> Czy są w tej chwili, tego akurat nie wiem, bo nie mam dostępu, do tego
> typu danych. Wiem natomiast ze 100% pewnością, że były, gdyż byłem bezpośrednio
> swego czasu zaangażowany w likiwidowanie skutków, jak również namierzanie
> tego typu tworów. Niekoniecznie chodziło o PL-IRCNET, bo ten akurat mam
> prawo wierzyć, że jest "dopieszczany". ;)

Niebezpiecznie zblizasz sie do splonkowania.

Ze 100% pewnoscia wiesz, ze byly, ale niekoniecznie chodzilo o te
same.

Zastanow sie chwile, co mowisz.

MJ

xbartx

nieprzeczytany,
31 gru 2008, 13:28:1631.12.2008
do
Dnia Wed, 31 Dec 2008 06:23:17 -0800, ru napisał(a):

> No i tu jest pies pogrzebany - nie należy się brać za coś, czego nie
> potrafimy zrobić porządnie i porządnie tym zarządzać.

Zobacz na chociażby to:
http://preview.tinyurl.com/76lzue

Jak widzisz sieć TP jest 4 w rankingu a były czasy, że dzierżyła,
zupełnie niezagrożona, pierwszą pozycję. I teraz pomyśl ile musi być tych
MTA w sieci &tp, że tyle maili dziennie generują - toż to prawdziwa
fabryka ;)
Cóż nasuwa się tutaj powiedzenie "Gdzie drwa rąbią tam wióry lecą". IMO
&tp ma taki wolumen klientów, że czego by nie zrobili, to zawsze znajdzie
się masa niezadowolonych. Musimy mieć tylko nadzieję, że dopracują
procedury i będzie w miarę znośnie.

PS Może spróbuj coś powalczyć w ichnim CERTcie

--
xbartx - Xperimental Biomechanical Android Responsible for Thorough
Xenocide

Krzysztof Halasa

nieprzeczytany,
31 gru 2008, 14:34:0231.12.2008
do
Lukasz Trabinski <luk...@trabinski.nospam.net> writes:

> No bez jaj. Raczej jest dosyć łatwo namierzalne to, jak ci wszystkie maszyny
> (zarażone) z klasy /11 nagle usiłują się komunikowac z jednym /32 i
> portem 6667 tegoż.

Moment, problem jest z zarazonymi maszynami czy z tym /32? Jesli /32
jest niewinny to moze nalezaloby wyciac tych zarazonych?

Tyle ze zarazeni sa klientami, no jasne, klientow nie wypada.
--
Krzysztof Halasa

Paweł Tyll

nieprzeczytany,
31 gru 2008, 21:05:0931.12.2008
do
On Wed, 31 Dec 2008 14:33:25 +0100, Lukasz Trabinski
<luk...@trabinski.nospam.net> wrote:
> W sumie, punkt widzenia, zależy od punktu siedzenia
Punkt widzenia jest taki, że komunikacja botnetów zostanie zmodernizowana
o jakiś SSL i wszystko wróci do normy. Może jeszcze jakiś protokół P2P
zostanie zapożyczony do wyeliminowania centralnego punktu. Niezależnie od
powyższych oczywiście takie praktyki spowodują, że botów ubędzie...w
fantazjach zrodzonych w czyjejś naiwnej głowie. Będzie łatwiej tcpdumpować
szyfrowane połączenia między dwoma botami, niż nieszyfrowane połączenia
między botem a serwerem IRC. Zamiast wykorzystać czyjąś głupotę, że
zdecydował się botnety opierać o IRC i usunąć tę osobę ze społeczeństwa,
daje jej się jasny sygnał, że to nie był dobry pomysł i trzeba to zmienić.
Fajne.

> a w tym wypadku i doświadczenia.

Tak, wyraźnie ktoś nie ma doświadczenia. Nie potrafi też się uczyć na
cudzych błędach. Oprogramowanie P2P ma imponującą ilość funkcji
zabezpieczających tylko i wyłącznie przed ograniczaniem/filtrowaniem
połączeń przez różnych ISP - wszelkie próby ograniczania tego co można
robić z łączem z Internetem (które nie jest łączem do tego co akurat
operatorowi pasuje, jak niektórym się tutaj wydaje, tylko łączem z
Internetem) prowadzą tylko do obejścia tych pomysłów, i zabezpieczenia się
przed takimi próbami w przyszłości. Ciekawe komu najbardziej przypasuje
stan rzeczy, gdy każdy pakiet wychodzący z komputera będzie routowany
przez 2 inne losowe komputery, a wcześniej szyfrowany end-to-end. Będzie
się wtedy fajnie wycinać różne /32 oraz wychwytywać w takiej sieczce
pakiety odpowiedzialne akurat za komendy dla bota. Ale może to i lepiej...

Zamiast odcinać /32 do których łączą się boty, lepiej odcinać /32 z
których łączą się boty i interweniować u właściciela komputera, skoro już
za trudne jest podejście indywidualne do wspomnianych dwóch dzieciaków i
namierzenie skąd się łączą ci komendodawcy. Wątpię, żeby to były więcej
niż dwie-trzy zahackowane maszyny po drodze. Ale spoko, sami do tego dojdą
mędrcy od filtrów, bo tylko to im zostanie po takich akcjach - w końcu
nikt nie porzuci łatwo zajęcia, które przynosi im pieniądze; zaczną je
zwyczajnie wykonywać lepiej, skoro prościej przestało już wystarczać.

(Jeszcze proponuję tak samo zacząć walczyć ze spamem - odcinać adresatów)

Paweł Tyll

nieprzeczytany,
31 gru 2008, 21:08:3831.12.2008
do
On Wed, 31 Dec 2008 14:47:59 +0100, ru <toru...@gmail.com> wrote:
> Póki co, spotkałem się raczej z tymi pierwszymi, czyli ci drudzy albo
> siedzą cicho i liżą rany, albo po prostu jest ich mniej.
Jest ich zdecydowanie mniej, bo IRC jest już raczej niszowym protokołem.
Nie jest to w żadnym wypadku uzasadnienie, by wycinać serwery IRC, bo ktoś
ich używa do wydawania komend botom. Zresztą jest to na dłuższą metę
bezcelowe i skończy się tylko przedwczesną eutanazją IRC oraz ewolucją
botnetów.

Krzysztof Halasa

nieprzeczytany,
31 gru 2008, 21:31:5331.12.2008
do
Paweł Tyll <p...@wytnij.75.pl> writes:

> Zamiast odcinać /32 do których łączą się boty, lepiej odcinać /32 z
> których łączą się boty i interweniować u właściciela komputera, skoro
> już za trudne jest podejście indywidualne do wspomnianych dwóch
> dzieciaków i namierzenie skąd się łączą ci komendodawcy. Wątpię, żeby
> to były więcej niż dwie-trzy zahackowane maszyny po drodze. Ale
> spoko, sami do tego dojdą mędrcy od filtrów, bo tylko to im zostanie
> po takich akcjach - w końcu nikt nie porzuci łatwo zajęcia, które
> przynosi im pieniądze; zaczną je zwyczajnie wykonywać lepiej, skoro
> prościej przestało już wystarczać.
>
> (Jeszcze proponuję tak samo zacząć walczyć ze spamem - odcinać adresatów)

Przeciez wiadomo ze kwestie spamu z neostrad TPSA moze zalatwic
w mgnieniu oka - wystarczy odfiltrowac wychodzace tcp/25 (dokladnie
tak samo jak robia to z portami "windowsowymi").

Widocznie to nie o to chodzi. Watpie czy dla TPSA spam lub walka z nim
ma jakiekolwiek znaczenie.
--
Krzysztof Halasa

Paweł Tyll

nieprzeczytany,
31 gru 2008, 21:38:5031.12.2008
do
On Thu, 01 Jan 2009 03:31:53 +0100, Krzysztof Halasa <k...@pm.waw.pl> wrote:
> Przeciez wiadomo ze kwestie spamu z neostrad TPSA moze zalatwic
> w mgnieniu oka - wystarczy odfiltrowac wychodzace tcp/25 (dokladnie
> tak samo jak robia to z portami "windowsowymi").
Porty windowsowe nie mają praktycznie żadnego sensownego zastosowania.
Port 25 jak najbardziej. W makroskali trudno jest rozsądnie wyciąć port 25
(czyli ograniczyć do 5 różnych IP w skali 24 godzin).

> Widocznie to nie o to chodzi. Watpie czy dla TPSA spam lub walka z nim
> ma jakiekolwiek znaczenie.

Na pewno ma, ale nieobsługiwanie tysięcy zgłoszeń o treści 'port 25 mi nie
działa' ma widać większe ;)

RoMan Mandziejewicz

nieprzeczytany,
1 sty 2009, 05:09:371.01.2009
do
Hello Krzysztof,

Thursday, January 1, 2009, 3:31:53 AM, you wrote:

[...]

> Przeciez wiadomo ze kwestie spamu z neostrad TPSA moze zalatwic
> w mgnieniu oka - wystarczy odfiltrowac wychodzace tcp/25 (dokladnie
> tak samo jak robia to z portami "windowsowymi").

Bym chyba jaja urwał operatorowi za odcięcie mi portu 25 bez mojej
zgody. Poza dziećmi neostrady z tej usługi korzystają normalni
użytkownicy, korzystający z normalnych programów pocztowych.

[...]

--
Best regards,
RoMan mailto:ro...@pik-net.pl

Jacek Zapala

nieprzeczytany,
1 sty 2009, 05:27:211.01.2009
do
On Thu, 2009-01-01 at 11:09 +0100, RoMan Mandziejewicz wrote:
> Hello Krzysztof,
>
> Thursday, January 1, 2009, 3:31:53 AM, you wrote:
>
> [...]
>
> > Przeciez wiadomo ze kwestie spamu z neostrad TPSA moze zalatwic
> > w mgnieniu oka - wystarczy odfiltrowac wychodzace tcp/25 (dokladnie
> > tak samo jak robia to z portami "windowsowymi").
>
> Bym chyba jaja urwał operatorowi za odcięcie mi portu 25 bez mojej
> zgody. Poza dziećmi neostrady z tej usługi korzystają normalni
> użytkownicy, korzystający z normalnych programów pocztowych.

Ale robisz to świadomie, więc możesz zadziałać i użyć portu 587 do
nadawania poczty (dostęp wyłącznie po uwierzytelnieniu) lub powiedzieć
operatorowi "wiem co robię i możecie mi urywać jaja jeśli zacznę
rozsyłać spam, a teraz zdejmijcie mi filtr" - oczywiście wszystko
automatycznie (po dodaniu czegoś do loginu ppp, kliknięciu w jakiś panel
itp).
I problemu nie ma - Tobie działa, dzieci neostrady spamu nie rozsyłają.

Jacek


Marcin Kocur

nieprzeczytany,
1 sty 2009, 05:50:251.01.2009
do
Osoba Jacek Zapala napisała na pl.internet.polip:

> powiedzieć
> operatorowi "wiem co robię i możecie mi urywać jaja jeśli zacznę
> rozsyłać spam, a teraz zdejmijcie mi filtr" - oczywiście wszystko
> automatycznie (po dodaniu czegoś do loginu ppp, kliknięciu w jakiś
> panel itp).
> I problemu nie ma - Tobie działa, dzieci neostrady spamu nie
> rozsyłają.

To wszystko staje na głowie. Dostęp do Internetu ma być domyślnie
dostępem do Internetu, a nie do HTTP i gg jak ktoś już powiedział. Jak
ktoś sobie chce zablokować w panelu "niebezpieczne" porty to sobie tak
może zrobić, ale to ma być opcja.

Ciekawe że w multimo dzwonią do klientów rozsyłających spam i nie ma
żadnych kretyńskich blokad.

Na radiówce za to był natychmiastowy automatyczny ban na Internet i
informacja w przeglądarce.

Tylko tepsa ma użytkowników za idiotów.

RoMan Mandziejewicz

nieprzeczytany,
1 sty 2009, 07:11:311.01.2009
do
Hello Jacek,

Thursday, January 1, 2009, 11:27:21 AM, you wrote:

>>> Przeciez wiadomo ze kwestie spamu z neostrad TPSA moze zalatwic
>>> w mgnieniu oka - wystarczy odfiltrowac wychodzace tcp/25 (dokladnie
>>> tak samo jak robia to z portami "windowsowymi").
>> Bym chyba jaja urwał operatorowi za odcięcie mi portu 25 bez mojej
>> zgody. Poza dziećmi neostrady z tej usługi korzystają normalni
>> użytkownicy, korzystający z normalnych programów pocztowych.
> Ale robisz to świadomie, więc możesz zadziałać i użyć portu 587 do

Ale dlaczego mam "zadziałać" i kombinować jak koń pod górę? Mam
ochotę/p[otrzebę użycia portu 25 do wysyłania poczty, to tego portu
używam. To standardowy port.

> nadawania poczty (dostęp wyłącznie po uwierzytelnieniu) lub powiedzieć
> operatorowi "wiem co robię i możecie mi urywać jaja jeśli zacznę
> rozsyłać spam, a teraz zdejmijcie mi filtr"

Nie - to operator ma obowiązek się mnie grzecznie zapytać, czy sobie
życzę blokady portu. To on jest dla mnie a nie ja dla niego.

Szymon Sokół

nieprzeczytany,
1 sty 2009, 07:28:041.01.2009
do
On Thu, 1 Jan 2009 13:11:31 +0100, RoMan Mandziejewicz wrote:

> Ale dlaczego mam "zadziałać" i kombinować jak koń pod górę? Mam
> ochotę/p[otrzebę użycia portu 25 do wysyłania poczty, to tego portu
> używam. To standardowy port.

Mam ochotę nie używać pasów bezpieczeństwa, to nie używam?
Ja tam uważam, że blokowanie wyjścia na port 25 z adresów dynamicznych
byłoby całkiem sensowne (dotyczy to nie tylko TP, ale także innych ISP).
A model funkcjonowania SMTP (praktycznie bez rozróżnienia komunikacji
serwer-serwer i klient-serwer) już dawno stał się przestarzały.

RoMan Mandziejewicz

nieprzeczytany,
1 sty 2009, 07:45:141.01.2009
do
Hello Szymon,

Thursday, January 1, 2009, 1:28:04 PM, you wrote:

>> Ale dlaczego mam "zadziałać" i kombinować jak koń pod górę? Mam

>> ochotę/potrzebę użycia portu 25 do wysyłania poczty, to tego portu


>> używam. To standardowy port.
> Mam ochotę nie używać pasów bezpieczeństwa, to nie używam?

Absurdalne porównanie - to nie otwarty port jest problemem ale system
operacyjny, który jest tak podatny na zawirusowanie oraz pootwierane
serwery, które rozsyłaniu spamu sprzyjają.

> Ja tam uważam, że blokowanie wyjścia na port 25 z adresów dynamicznych
> byłoby całkiem sensowne (dotyczy to nie tylko TP, ale także innych ISP).
> A model funkcjonowania SMTP (praktycznie bez rozróżnienia komunikacji
> serwer-serwer i klient-serwer) już dawno stał się przestarzały.

FTP i telnet też są przestarzałe - żądasz blokady portów z tego
powodu?

Dopóki oprogramowanie nadal powszechnie tych portów używa - ich
blokada _bez_ _zgody_ użytkownika jest absurdem.

Jacek Zapala

nieprzeczytany,
1 sty 2009, 07:59:061.01.2009
do
On Thu, 2009-01-01 at 13:45 +0100, RoMan Mandziejewicz wrote:
> Absurdalne porównanie - to nie otwarty port jest problemem ale system
> operacyjny, który jest tak podatny na zawirusowanie oraz pootwierane
> serwery, które rozsyłaniu spamu sprzyjają.

A możesz rozwinąć o tych otwartch serwerach co sprzyjają? Oczywiście w
kontekście słania spamu przez typowego zombie do docelowych serwerów.

Jacek


Łukasz Bromirski

nieprzeczytany,
1 sty 2009, 08:46:551.01.2009
do
On 2009-01-01 03:05, Paweł Tyll wrote:
> On Wed, 31 Dec 2008 14:33:25 +0100, Lukasz Trabinski
> <luk...@trabinski.nospam.net> wrote:
>> W sumie, punkt widzenia, zależy od punktu siedzenia
> Punkt widzenia jest taki, że komunikacja botnetów zostanie
> zmodernizowana o jakiś SSL i wszystko wróci do normy. Może jeszcze
> jakiś protokół P2P zostanie zapożyczony do wyeliminowania centralnego
> punktu.

Ale tak już jest. To że duża część botnetów nadal używa serwerów
IRC na własny użytek wynika tylko z ogólnej dostępności gotowego
do skompilowania kodu.

Te botnety które są tworzone przez typowe organizacje przestępcze
przeszły już jakiś czas temu na sesje szyfrowane bez punktu
centralnego.

Z ciekawostek - kupując 'usługę' skorzystania z botnetu dostaje się
płytkę CD (lub ISO tejże) z zestawem jednorazowych kodów do
aktywowania/zatrzymania ataku. Kody mogą zostać unieważnione przez
sprzedającego. Itd. itp. To nie jest już zabawa w 'zablokujmy IP'.
A źle wpisany kod kończy się ostrzegawczym DDoSem IP z którego
kod próbowano wpisać.

> Niezależnie od powyższych oczywiście takie praktyki spowodują, że
> botów ubędzie...w fantazjach zrodzonych w czyjejś naiwnej głowie.

Uważam że lepiej że coś w ogóle robią niż mieliby nie robić nic - należy
oddać TP (Konradowi?) wielki szacun za to, że w takiej organizacji jak
TP chciało mu się wykłócać z poszczególnymi szczeblami decyzyjnymi o
zgodę, pisać regulaminy/etc.

To że 'chcieliśmy dobrze, wyszło jak zawsze' jest już pewnie
nieodłączną cechą tej organizacji (choć chciałbym się mylić). Miliony
użytkowników, ale call center nie ma pojęcia jak działa i co powoduje
ten nowy mechanizm bezpieczeństwa - sprzedaż masowa.

> Zamiast odcinać /32 do których łączą się boty, lepiej odcinać /32
> z których łączą się boty

Po pierwsze, skąd wiesz że to bot? Skoro sesja jest na 80/tcp lub
587/tcp szyfrowana SSLem, albo na 22/tcp w tunelu SSH, albo na
4662/tcp? Albo na paruset innych portach "powszechnie używanych"?
Trzeba mieć jakąś metodę identyfikacji ruchu od klientów - czego,
według mojej najlepszej wiedzy TP nie ma.

Po drugie, w skali operatora utrzymanie w FIBach wszystkich routerów
paruset tysięcy /32'ek jest miłe jeśli jesteś akademickim badaczem,
być może jest też smutną przyszłością - ale na razie się po prostu
nie dzieje. Prościej zatem blokować teoretycznie łatwo identyfikowalne
źródła botnetów, czyli ich punkty kontaktowe (serwery IRC, cokolwiek),
niż klientów.

Żeby zrobić to dobrze - nie odcinając portu 25/tcp i nie robiąc innych
fatalnych głupot - trzeba to zrobić porządnie. Mówiłem o tym na swojej
sesji na Cisco Expo, opierając się w głównej mierze na praktycznych
doświadczeniach ludzi walczących z takimi rzeczami codziennie w
sieciach AT&T, Sprintu itp. Ale taka 'praca u podstaw' jak widać
po pierwsze musi trwać latami, a po drugie - często traktowana jest
jako marketing vendora ('bo my przecież i tak wiemy lepiej jak to się
robi'). No i skutki widać.

--
"Don't expect me to cry for all the | Łukasz Bromirski
reasons you had to die" -- Kurt Cobain | http://lukasz.bromirski.net

Michał Kurowski

nieprzeczytany,
1 sty 2009, 09:26:121.01.2009
do

>>> Ale dlaczego mam "zadziałać" i kombinować jak koń pod górę? Mam
>>> ochotę/potrzebę użycia portu 25 do wysyłania poczty, to tego portu
>>> używam. To standardowy port.
>> Mam ochotę nie używać pasów bezpieczeństwa, to nie używam?
>
> Absurdalne porównanie

Absurdalnie niski jest poziom Twojej wiedzy.
Port 25 od lat nie jest "standartowy".
Tylko tpsa i Ty w to wierzycie.


--
Michał


Paweł Tyll

nieprzeczytany,
1 sty 2009, 09:32:021.01.2009
do
On Thu, 01 Jan 2009 14:46:55 +0100, Łukasz Bromirski <to...@127.0.0.1>
wrote:

> Ale tak już jest. To że duża część botnetów nadal używa serwerów
> IRC na własny użytek wynika tylko z ogólnej dostępności gotowego
> do skompilowania kodu.
No to po takich zabiegach proporcje się obrócą, a szansa relatywnie
prostego pojmania mniej zdolnych przestępców odpłynie razem z serwerami
IRC. Dobry plan.

> Uważam że lepiej że coś w ogóle robią niż mieliby nie robić nic - należy
> oddać TP (Konradowi?) wielki szacun za to, że w takiej organizacji jak
> TP chciało mu się wykłócać z poszczególnymi szczeblami decyzyjnymi o
> zgodę, pisać regulaminy/etc.

Bez jaj; to nie jest robienie czegokolwiek, tylko tracenie czasu i zasobów
na tradycyjne leczenie skutków bez nawet muśnięcia przyczyn. Pomijam już
mierzenie tego "czegokolwiek" centralnie w użytkowników, którzy nadal mają
nieświadomie syfa na komputerze. Polskie serwery IRC? No come on... Toż to
siedlisko botów... Wyleciało w jednej chwili 9 czy 10 "botów" z kanału, na
którym rozmawia sobie 70 osób. To jest jedyny długofalowy skutek tej
akcji. (I tak miło, że tylko 9-10, kiedyś drzewiej byłoby to 40-50 sesji
zapewne). Przy okazji jeszcze paru niewinnym się dostało i obroty
wynikające z ich www spadły o neostradę.

> Po pierwsze, skąd wiesz że to bot? Skoro sesja jest na 80/tcp lub
> 587/tcp szyfrowana SSLem, albo na 22/tcp w tunelu SSH, albo na
> 4662/tcp? Albo na paruset innych portach "powszechnie używanych"?
> Trzeba mieć jakąś metodę identyfikacji ruchu od klientów - czego,
> według mojej najlepszej wiedzy TP nie ma.

Za to ma metodę identyfikacji, gdzie łączą się boty, żeby to wyciąć? To
chyba powinno działać w obu kierunkach. No chyba że ktoś inny ma metodę
(wielce niedoskonałą, jak widać na załączonym obrazku), a TP się pod nią
podpięła. Cóż, prasówka mówiła co innego ;>

> Po drugie, w skali operatora utrzymanie w FIBach wszystkich routerów
> paruset tysięcy /32'ek jest miłe jeśli jesteś akademickim badaczem,
> być może jest też smutną przyszłością - ale na razie się po prostu
> nie dzieje. Prościej zatem blokować teoretycznie łatwo identyfikowalne
> źródła botnetów, czyli ich punkty kontaktowe (serwery IRC, cokolwiek),
> niż klientów.

Ależ ja mam świadomość tego, że to jest prostsze. I do tego właśnie piję,
że robi się proste, zamiast dobre. Po co to robić, żeby ładnie w
biuletynie wyglądało? Wycięliśmy dostęp do IRC, bo IRC to usługa do abuse
i nikt z niej normalny nie korzysta? OK... Boli tylko to, że osoby
odpowiedzialne za egzekucję tegoż miały pewnie świadomość tego co robią.

> Żeby zrobić to dobrze - nie odcinając portu 25/tcp i nie robiąc innych
> fatalnych głupot - trzeba to zrobić porządnie. Mówiłem o tym na swojej
> sesji na Cisco Expo, opierając się w głównej mierze na praktycznych
> doświadczeniach ludzi walczących z takimi rzeczami codziennie w
> sieciach AT&T, Sprintu itp. Ale taka 'praca u podstaw' jak widać
> po pierwsze musi trwać latami, a po drugie - często traktowana jest
> jako marketing vendora ('bo my przecież i tak wiemy lepiej jak to się
> robi'). No i skutki widać.

Niestety, w skali /11 trudno jest się bawić w śledzenie połączeń do
serwerów SMTP per IP; jedyne uniwersalnie dobre miejsce które przychodzi
mi do głowy, to w przypadku TP DLSAMy, które zapewne takich czarów nie
potrafią. Filtrowanie jakichkolwiek większych usług w ten sposób i tak
prowadzi do 0700-TPSA i tradycyjnego "naprawcie albo wypowiadam umowę".

Grzegorz Staniak

nieprzeczytany,
1 sty 2009, 09:43:291.01.2009
do
On 01.01.2009, Szymon Sokół <szy...@bastard.operator.from.hell.pl> wroted:

>> Ale dlaczego mam "zadziałać" i kombinować jak koń pod górę? Mam
>> ochotę/p[otrzebę użycia portu 25 do wysyłania poczty, to tego portu
>> używam. To standardowy port.
>
> Mam ochotę nie używać pasów bezpieczeństwa, to nie używam?
> Ja tam uważam, że blokowanie wyjścia na port 25 z adresów dynamicznych
> byłoby całkiem sensowne (dotyczy to nie tylko TP, ale także innych ISP).

Byle to robił sam operator, który wie co komu dynamicznie nadaje i jakiego
ruchu z takich adresów się nie powinien spodziewać. Swego czasu różnym
ludkom się zdawało, że można sprawę załatwić listami RBL, na podstawie...
wzorca nazwy domenowej. W sensie, "jeśli ma adres IP zakodowany w nazwie,
to jest dynamicznym adresem".

GS
--
Grzegorz Staniak <gstaniak _at_ wp [dot] pl>
Nocturnal Infiltration and Accurate Killing

Szymon Sokół

nieprzeczytany,
1 sty 2009, 09:34:281.01.2009
do

BTW, od lat polska ortografia twierdzi, że pisze się "standard" i
"standardowy", tak jak to zrobił Roman. A niektórzy i tak piszą po
przedwojennemu...

Natomiast co do meritum: nie jest specjalnie sensowne utrzymywanie serwera
SMTP na dynamicznym adresie IP. Klient zaś może do swojego serwera łączyć
się z użyciem portu 587, jak opisano w RFC 2476. I oczywiście uwierzytelniać
się, jak opisano w RFC 4954. I najwyższa pora, żeby ten model zacząć wdrażać
na masową skalę.

Paweł Tyll

nieprzeczytany,
1 sty 2009, 09:38:271.01.2009
do
On Thu, 01 Jan 2009 13:28:04 +0100, Szymon Sokół
<szy...@bastard.operator.from.hell.pl> wrote:
> Mam ochotę nie używać pasów bezpieczeństwa, to nie używam?
Słabe.

> Ja tam uważam, że blokowanie wyjścia na port 25 z adresów dynamicznych
> byłoby całkiem sensowne (dotyczy to nie tylko TP, ale także innych ISP).
> A model funkcjonowania SMTP (praktycznie bez rozróżnienia komunikacji
> serwer-serwer i klient-serwer) już dawno stał się przestarzały.

Zapominasz, że to nie uczelnia, tylko biznes i działania tego typu ruszają
churn rate. Tańsze jest nie dotykać. Dobre jest nieosiągalne w tej skali.
Radiówki sobie radzą bo chcą/muszą (ze względu na ograniczoną pojemność
samego medium, jak i wyjścia na świat) i jest dużo dobrych metod
czarowania przy tysiącu czy dziesiątkach tysięcy użytkowników. Gorzej, gdy
tychże robią się miliony i trzeba nimi zarządzać per milion a nie per Pan
Zdzisio.

Krzysztof Halasa

nieprzeczytany,
1 sty 2009, 09:52:481.01.2009
do
Paweł Tyll <p...@wytnij.75.pl> writes:

> Porty windowsowe nie mają praktycznie żadnego sensownego zastosowania.
> Port 25 jak najbardziej. W makroskali trudno jest rozsądnie wyciąć
> port 25 (czyli ograniczyć do 5 różnych IP w skali 24 godzin).

Przeciwnie, mozna to zrobic i TPSA moze to zrobic w sposob sensowny
(bo wyciecie np. serwerow IRC sensowne nie jest).

Jesli ktos potrzebuje wyjscia SMTP (do Internetu, nie do kilku
wybranych przez TPSA maszyn) to moglby jest sobie wlaczyc - dokladnie
tak samo jak z portami windowsowymi.

Technika nie jest problemem, polityka - owszem.
--
Krzysztof Halasa

Paweł Tyll

nieprzeczytany,
1 sty 2009, 09:58:241.01.2009
do
On Thu, 01 Jan 2009 15:52:48 +0100, Krzysztof Halasa <k...@pm.waw.pl> wrote:
> Przeciwnie, mozna to zrobic i TPSA moze to zrobic w sposob sensowny
> (bo wyciecie np. serwerow IRC sensowne nie jest).
To, o czym piszesz, nie jest sensownym sposobem, i na dłuższą metę zmieni
tyle co wycięcie serwerów IRC.

> Jesli ktos potrzebuje wyjscia SMTP (do Internetu, nie do kilku
> wybranych przez TPSA maszyn) to moglby jest sobie wlaczyc - dokladnie
> tak samo jak z portami windowsowymi.

Owszem, tylko wtedy włączyliby sobie je ludzie, bo im ótlók nie działa, a
kolega powiedział, że tak się robi i już działa. Pozostałe wycięte porty
nie niosą za sobą tego ryzyka i blokadę wyłączą ludzie mający pojęcie
i/lub potrzebę.

> Technika nie jest problemem, polityka - owszem.

Problemem są ludzie, którzy nie mają pojęcia o komputerach i internetach.
Nie traćmy może tego z oczu?

Krzysztof Halasa

nieprzeczytany,
1 sty 2009, 10:09:231.01.2009