|
ru.nethack
- RU.NETHACK -------------------------------------------------------------------
From : Olli Artemjev 2:5020/400 03 Sep 2004 09:34:21
To : 3APA3A
Subject : Re: logs on printer. ;-)
--------------------------------------------------------------------------------
Thu Sep 02 2004 20:54, 3APA3A wrote to Olli Artemjev:
OA>> 3> И откуда нам, бедным, знать такие приемы...
OA>> 3> http://www.security.nnov.ru/soft/3proxy/howtor.asp#CHAIN это к
OA>> чему url? К тому где прокси брать? Или к тому, что спамеры таки логи
3> А ты бы посмотрел вместо того, чтобы предположения делать. Троянцев там
3> не ставят.
Hу проксик там. С возможностью ведения логов. И что еще я там должен увидеть?
?-)
OA>> 3> Вот только какая досада - во-первых в логах ценен не только IP
OA>> адрес,
OA>> Hу и что ты считаешь ценным в логах от открытой из vmware сессии,
3> факт атаки,
3> время начала атаки, время
3> конца атаки.
Предполагается спросить у ксакепа Васи где он был 11го сентяюря 2001 года с xx
по yy часов? ?-) Вызывает улыбку. Потому что подписчиков и просто покупателей
журнала ксакеп до^H^H^H, а Васей среди них не одна сотня. ;-)
3> сведения о том как проводится атака
Чуть чуть интереснее, но.. после взлома не всегда актуально. =) И уж явно ни
одно из вышеперечисленных не может являться основанием для выяснения, что
взлом осуществил ксакеп Вася, а не ксакеп Коля и уж тем более, что это был не
дяд Боб с компа которого пакеты пришли.
OA>> причем из только что поставленной в вмвари винды зарегистрированной
OA>> на имя user компании company и на которой никто никогда больше
OA>> работать не будет, а образ диска винды от vmware отправится в
OA>> /dev/null сразу после удачного взлома?
3> /dev/null? Глупо. Hамекаю.
/dev/null это образное выражение юниксоводов.=) С тем же успехом я мог
написать что на винт залью толпу фильмов и продам на Митинке в тот же день. :)
По желанию можно конечно использовать слова bcwipe и названия подобных утилит,
но о них не все знают.
OA>> vmware пиратская с ближайщего рынка или, что еще лучше, скарженная в
OA>> пользу фермера дяди Боба из штата висконсин. :)
3> Глупо. Объяснить почему или сам догадаешься?
Даффай. Объясняй. =) Опять поди к ерунде прикопаешься? ?-) В контексте логов
на принтер это все равно не отменяет инфляцию до цены туалетной бумаги. =]
Да и не собирался я здесь показывать что нужно сделать по списку. Всего лишь
показать что цена логам - нуль и грощ. А годность их в, разве что, возможности
на понт взять, как лоха перестроечного.
OA>> 3> во-вторых если атака продолжается достаточно длительное время,
OA>> 3> у некоторых государственных структур, особенно не наших (хотя у
OA>> 3> наших такие возможности тоже все больше и больше), есть шанс 3>
OA>> проследить источник не прослеживая всю цепочку.
OA>> Механизм работы в студию пожалуйста. И чем подробнее тем интереснее.
OA>> ;)
3> СОРМ в точке твоего непосредственного подключения.
И что СОРМ? Сотня машин. В разных странах в общем случае. Есть мой коннект
к первой в цепи. Есть коннект к банку, но от последней. Есть 98 машин,
которые не ведут логов. Есть провайдеры, у которых хранение каждого SYNна гий
срок или невозможно или экономически необосновано, есть udp, на котором нет
понятия syn и что там хранить вообще непонятно.. Есть не очень много
по нынешним временам трафика. Где критерий выделения машин в цепи? Где хотя бы
критерий выделения ближайшей ко мне машины из цепи, чтоб знать кого на
СОРМообслуживание ставить? Машины на динамических адресах. И это помимо того,
что цепь меняют на каждый connect. Hе вижу я этого критерия. И покуда ты или
кто либо другой меня не убедят в его наличии (и возможности связать его с
логами) меня никто никогда не убедит, что логи имеют существенную ценность.
И есть, кстати, необходимость показать провайдеру бумагу из соответствующей
конторы. Которая раньше взлома появится не могла за отсутствием уголовки, а
после - уже неактуальна. Есть в конце концов возможность указать осуществлять
каждый коннект через новую цепочку.
И что ты с этим будешь делать и как в этом поможет subj. ? ?-) Мне думалось,
что я услышу нечто актуальное, но.. слишком много 'если'. И никаких
доказательств, что до правды действительно можно докопаться.
3> P.S.
З> Кстати, мне вообще не понятно, откуда взялось предположение, что сеть
3> организации ведущей логи на принтер подключена к Internet.
Hу.. сеть.. Это же штука относительная. :) DMZ банка это сеть? ?-) А ведь банк
вынужден web держать. А некоторые через инет еще и кое-какие сервисы должны
обеспечить. :)
--
Bye.Olli.
--- ifmail v.2.15dev5.3
* Origin: FidoNet Online - http://www.fido-online.com (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
