hromadny utok podruhe (dlouhe)

peak na kerberos.troja.mff.cuni.cz peak na kerberos.troja.mff.cuni.cz
Neděle Leden 17 19:48:23 CET 1999 

Vzhledem k tomu, ze jsem mel v posledni dobe ponekud malo casu na postu,
tak jsem si dovolil zneuzit jedne funkce meho MUA a odpovedet takto
hromadne. :)


On Thu, 14 Jan 1999, Ondrej Suchy wrote:

> co se tyce skenu - je jich tak moc, ze me napadlo delit se o seznam
> skenujicich adres a ty pak hromadne zakazovat pomoci ipfwadm, chtelo by
> to s tim neco delat, to takhle dal nejde. treba udelat neco jako
> blacklist na penguinu, co rikate?

Take mam dojem, ze se v posledni dobe skenuje nejak moc. Nektere veci by
se holt nemely davat do rukou detem. Ta myslenka o sdileni poznatku o
mistech, odkud vane nejaky nepekny vitr, se mi docela libi. Nejsem si
zcela jisty, ze je nejlepsi mozny napad strkat podezrele adresy hned do
deny listu, ale to at si kazdy rozhodne sam.


On Thu, 14 Jan 1999, Petr Stanek wrote:

> Za Penguina jsem pro, kdo se toho ujme? 

Kdybych se toho ujmul, to bych konecne mel duvod, proc chtit ucet na
Tucnakovi, ze jo? :)

Vazne: napad mne zaujal.


On Thu, 14 Jan 1999, Leos Bitto wrote:

> Myslim si ze tudy cesta nevede. Kdyz uz ty adresy chcete zakazovat pomoci
> ipfwadm, znamena to ze mate nejaky router s Linuxem. Tak proc si na tom
> routeru nezakazete pristup na vsechny adresy/porty z vnitrni site, na ktere
> nechcete aby nikdo pristupoval? Ja to tak mam udelane, vse se mi na tom
> routeru loguje a jen se dobre bavim tim co se tam vsechno nachyta - a
> neni toho malo!

Zakaz pristupu je samozrejme velmi efektivni reseni, ale obcas muze
narazet na to, ze se obcas pozaduje, aby to sitove spojeni do sveta bylo
k necemu pouzitelne, pricemz prislusny spravce nemusi byt nutne ten, kdo
samojediny rozhoduje o tom, k cemu ma byt pouzitelne.


On Thu, 14 Jan 1999, Leos Bitto wrote:

> Tak tady si dejte pozor - jakmile na tento blacklist zaradite nekoho,
> kdo vas pak zazaluje, a vy neprokazete ze skutecne delal to co tvrdite
> ze delal, mate problem.

Za co mne muze zazalovat? Moc toho IMHO neni, snad jedine ta pomluva.
V nejhorsim pripade je slovo (ja to videl v logu, ktery povazuji za
duveryhodny) proti slovu (ja to nebyl) a to mi pripada trochu malo (za
predpokladu, ze je moje slovo formulovano dostatecne kulantne). I kdyz
v tom nasem Kocourkove...

> A logy u soudu jako dukaz neobstoji, ty si muzete napsat v jakemkoliv
> textovem editoru. :-(

A co teprve svedectvi. Jak to vubec muzou pripustit, vzdyt jsem si to mohl
cele vymyslet!


On Fri, 15 Jan 1999, David Rohleder wrote:

> Za co by vas mel zalovat? Kdyz spravne formulujete text na techto
> strankach, tak se toho snad nemusite bat.
> 
> Napr.
> 
> Posledni dobou se vyskytly utoky, jejichz zdrojova adresa se jevila
> byti z nasledujicich adres. Tyto utoky nemusi pochazet od uzivatelu
> dane domeny a mohou byt zfalsovany utocnikem. 

Ano, tak nejak.


On Fri, 15 Jan 1999, Pavel Machek wrote:

> Nestaci tam napsat "je podezrely ze delal" nebo "myslim si o nem ze
> delal"? Kdyz mi Pavel Kankovsky rekne ze "ma podezreni ze" mu XXX
> zautocil na masinu, budu mu verit...

:)


On Fri, 15 Jan 1999, Leos Bitto wrote:

> Ano, takhle by to slo. Ale o tom tu ze zacatku nebyla rec. Ja jsem se proste
> snazil vcitit do role toho soudce ktery by to soudil, a musim rict ze bych
> toho skoditele na zaklade obycejnych logu nemohl obvinit vubec z niceho,
> protoze mi proste u tech logu chybi jakakoliv prukaznost. Zkuste si vazne
> predstavit ze chcete nekoho obvinit a ty logy si napisete sami - jaky v tom
> bude pro toho soudce rozdil? Naprosto zadny. Opet bude videt ty same logy.
> A z toho to vsechno prameni...

Nejde o to, ze ja nekoho obvinuju, ale o to, ze ten one obvinuje mne, ze
sirim lzi.

> A ty formulace na "oficialnim CZLUG blacklistu" by se musely vazne volit strasne
> opatrne. Uz treba "mam podezreni ze mi XYZ utocil na pocitac" mi pripada moc
> tvrde - neni treba uz i toto podezreni dokazovat? Spis bych tam dal "podle
> zaznamu naseho pocitace se ho snazil napadnout XYZ".

V kazdem pripade bych se jako CZLUG (aspon ze zacatku) pod takovou
asi aktivitu nepodepisoval. :)


On Fri, 15 Jan 1999, Oto Buchta wrote:

> A do logu mu realtime podstrcim ten "spravny" zaznam o utoku...
> 
> A existuje takova autorita tady v republice? Ja zadne nevim. Musela by to byt
> autorita typu notare nebo tak neco, coz je samozrejme nesmysl.

Obavam se, ze tohle je dost tezko resitelny problem, pokud mi do site
nekdo nestrci cernou skrinku, ktera si to bude logovat sama (Boze chran, 
i kdyz zase bych se treba mohl napichnout na vhodny kabel a nasimulovat
cely utok, nejen zaznam v logu).

Notari apod. muzou pouze zarucit, ze jednou vygenerovane zaznamy neni
mozno menit (coz take ma svou cenu).

> A navic, textovy soubor je vzdy neprukazny, zvlast, kdyz posilate logy od
> programu, od nehoz mate zdrojaky....

Aha. <ironie> Takze kdyz ten log zkonvertuju do tabulky v M$ Excelu, tak
se jeho prukaznost zvysi? </ironie>

Jak jiz jsem rikal, podle tehle logiky, by bylo nepripustne jakekoli
svedectvi (neb si to svedek mohl snadno vymyslet) a spousta dukazu (verim 
tomu, ze napr. dostatecne zrucny odbornik v daktyloskopii by dokazal otisk
prstu i celkem snadno vyrobit). Ale to uz sem napatri.


On Fri, 15 Jan 1999, Jan Kasprzak wrote:

> 	Administrativne se to vyresit da (rekl bych ze u nas daleko
> lepe nez v U.S.). Spis popremyslejte nad tim, jak to udelat technicky.

To je fakt. Tady asi nema kazdy za zadkem hejno nadrzenych pravniku, co se
jen tresou na to, aby z vas vysoudili dusi. :)

> Treba dopsat neco do TCP wrapperu a list distribuovat jako DNS subdomenu
> podobne, jako je rbl.maps.vix.com. Nebo jako BGP feed? Nebo?

Melo by to splnovat predevsim nasledujici veci:
- snadna transformovatelnost na seznam fw pravidel (v idealnim pripade
  nejen Linuxovych)
- fungovani bez prubezne komunikace s centralou (s tim, ze nebudou
  zohledneny nove zmeny -- toto docela diskvalifikuje DNS)
- zaruceni rozumne urovne autenticity udaju (napr. vhodnymi digitalnimi
  podpisy), pricemz by melo jit rozlisit, jestli danou adresu povazuje za
  podezrelou jedna osoba, nebo dvacet (de luxe varianta by umela
  rozlisovat i ty osoby, aby si kazdy mohl rozlisit podle toho, komu
  duveruje vice a komu mene)

Snadnou vyuzitelnost s TCP wrappery bych videl spis jako druhoradou.


On Fri, 15 Jan 1999, Jaroslav Klaus wrote:

> To posledni zneni je sice asi nejlepsi ze zde uvedenych, ale i tak
> si myslim, ze by mohl nastat problem. V zakone o ochrane osobnich
> udaju v informacnich systemech se v paragrafu 16 uvadi, ze temito

Predmetem diskuse nejsou osobni udaje, ale sitove adresy.


--Pavel Kankovsky aka Peak  [ Boycott Microsoft--http://www.vcnet.com/bms ]
"NSA GCHQ KGB CIA nuclear conspiration war weapon spy agent... Hi Echelon!"

Další informace o konferenci Linux