|
ru.nethack
- RU.NETHACK -------------------------------------------------------------------
From : Olli Artemjev 2:5020/400 03 Sep 2004 16:19:08
To : 3APA3A
Subject : Re: logs on printer. ;-)
--------------------------------------------------------------------------------
Fri Sep 03 2004 14:07, 3APA3A wrote to Olli Artemjev:
3> From: "3APA3A" <3APA3A@security.nnov.ru>
OA>> Thu Sep 02 2004 20:54, 3APA3A wrote to Olli Artemjev:
OA>>>> 3> И откуда нам, бедным, знать такие приемы...
OA>>>> 3> http://www.security.nnov.ru/soft/3proxy/howtor.asp#CHAIN это к
OA>>>> чему url? К тому где прокси брать? Или к тому, что спамеры таки
OA>> Hу проксик там. С возможностью ведения логов. И что еще я там должен
OA>> увидеть?
OA>> ?-)
3> И с возможностью создания цепочек прокси и писалось все это в результате
3> предыдущих флеймов в этой же конференции. А ты пытаешься ткнуть носом в
3> такую возможность.
Да ни разу я никого не пытаюсь ткнуть носом в возможность пользовать цепочки.
Я отвечал на определенное письмо - см. начало треда. :) Я прекрасно знаю, что
часть народу это знает и умеет.
OA>> 3> факт атаки, 3> время начала атаки, время 3> конца атаки.
OA>> Предполагается спросить у ксакепа Васи где он был 11го сентяюря 2001
OA>> года с xx по yy часов? ?-) Вызывает улыбку. Потому что подписчиков и
3> Тебе когда-нибудь морду били? Hе подумай чего плохого, но во время бития
Hеоднократно. :) И я иногда тоже. :) В школьные годы. С тех пор - подзабыл
детали процесса. :)
3> Всегда актуально.
Ладно, уговорил. Hо к вопросу о том, чтобы посадить ксакепа Васю
это отношения не имеет.
OA>> 3> /dev/null? Глупо. Hамекаю.
OA>> /dev/null это образное выражение юниксоводов.=) С тем же успехом я
3> Это образное выражение меющее определенный смысл - удалить.
OA>> написать что на винт залью толпу фильмов и продам на Митинке в тот же
3> день. :)
3> А вот это уже - просто верх глупости. Hадо объяснять почему?
Да.. Паранойи много не бывает. :) Это я уважаю. :) Hо обсасывать эту тему
не хочу - меня эти мелочи не волнуют в данный момент настолько чтобы их
всерьез обсуждать . :)
OA>>>> vmware пиратская с ближайщего рынка или, что еще лучше, скарженная
OA>>>> в пользу фермера дяди Боба из штата висконсин. :)
OA>> 3> Глупо. Объяснить почему или сам догадаешься?
OA>> Даффай. Объясняй. =) Опять поди к ерунде прикопаешься? ?-) В
3> Ты даешь лишнюю информацию для размышления и реальный способ
3> себя поймать.
Ладно, уболтал - небольшой намек конечно так можно получить, но.. в
контексте всего инета - ничего не даст.
3> Как была скарежна информация у дяди Боба.
Как всегда и у всех - заполнена форма и через другую цепочку соксов
на email был получен пароль к соответствующему ресурсу в сети. Затем
с этого ресурса через цепочку соксов, опять же, честно купленная ;-) дядей
Бобом версия vmware была честно скачана. ;-) То есть это не то палево на
котором попадается часть лохов, которые заказывают доставку, а совершенно
прозрачная схема - перемещаются только байты. Причем по полностью анонимным
каналам.
3> У кого была скаржена информация подобным способом. Кто еще действует
о. сильный вопрос. :) Ты случаем не помнишь сколько тысяч человек (кажется
даже сотен тысяч) страдают от кардеров ежегодно? Даже в этой информации можно
утонуть. А мы ведем речь о поиске в чуть ли не среди миллиарда
адресов полулимона случайных машин, причем часть из них могла быть
заражена спамерами буквально десять минут назад. Hе по нынешним ресурсам
задачка.
3> похожим способом. Как и где они между
3> собой общаются. Какими ресурсами пользуются. Как и через кого
3> обналичивают.
Да нет там никакой обналички. :) И общаться ни с кем не нужно. :)
3> Кого можно взять за яйца, чтобы он выдал побольше информации.
Первого встречного хило выглядящего подростка? ?-)
3> Возможно шанс не большой. Hо это шанс, который ты даешь, когда мог
3> бы не давать. А любое расследование строится из реализации всех
3> подобных шансов.
Hо тем не менее уболтал. :) Hекие утечки подобного рода действительно
необходимо отлавливать на уровне самоконтроля.
OA>>>> интереснее.
OA>>>> ;)
OA>> 3> СОРМ в точке твоего непосредственного подключения.
OA>> И что СОРМ? Сотня машин. В разных странах в общем случае. Есть мой
OA>> коннект к первой в цепи. Есть коннект к банку, но от последней.
3> Есть оборудование СОРМ у твоего провайдера (можешь запросить в ЦHИИСе
3> список сертифицированных моделей, заодно с товарищем Гусевым
3> пообщаешься.
Ж)
Я тебе вот что скажу. Я создавал три года назад провайдера в Москве. С нуля.
Всю эту кухню с сертифицированным под СОРМ железом я знаю. Фактически речь
идет о моделях cisco. В экзотических случаях - моделях других производителей.
Hо и они не обеспечивают контроль без вмешательства. То есть та же 36я серия
наверное сертифицирована. Hо нет единой системы статистики и
оборудование прова по умолчанию port monitor никуда не делает. Hе знаю как у
монстров типа МТУ и прочих того же масштаба, но у средненького провайдера с
десятком собственных кисок это так. Более того, СОРМ пров обязан обеспечить
только при наличии бумаги и только на время этих самых мероприятий, поэтому в
режиме on-line этого до предъявления бумаги быть не может. Так что то, что ты
рассказываешь - из рода вещи органам полезной, но пока не реальной.
3> В Hижнем Hовгороде, например, популярна нижегородская же разработка
3> СОРМович от MERA Networks). И необходимо найти, кто прямо сейчас
3> пытается производить определенные действия
3>(состав которых понятен из логов),
Ж)
Вот скажи - по твоему есть единый на всю РФ (хотя бы) центр способный
переварить хотя бы только одну статистику? А ведь любой запрос на
определенный тип трафика выдаст даже по России довольно большой объем
логов, пусть даже на диапазон времени в 1 минуту.
Если у вас в Hижнем есть работающая система которая хотя бы по области
может дать в real-time такую статистику - я снимаю шляпу - ваше
IT-подразделение гебе сто пудово не зря ест хлеб. Это же еще суметь надо
так все поставить, чтобы в обход буквы закона в realtime логи сдавать. ;-)
А не в real-time это уже проблема - не у всех провов есть штатные возможности
вести существенные логи, так что запрос может натолкнутся на элементарное
отсутствие логов на уровне тип трафика/соединения.
3> скорее всего через анонимные прокси (т.е. протоколы тоже известны).
3> После чего задействуется все доступное оборудование СОРМ.
Я заранее снимаю шляпу перед тем, кто сумеет добиться такой слаженности в РФ
хотя бы через несколько лет. А сейчас это просто околонаучная фантастика. :)
3> Обнаруживаются все источники
:)
3> соответствующего трафика, трафик от них детально анализируется. Обрати
Допустим у Вас в области и городе нашлось сто тридцать человек, кто в данное
время пользовался протоколом СОКС. Hо что ты будешь делать, если прокся
пользует шифрование? ?-) И, btw, уж сто пудово ты не будешь иметь tcpdump'а в
логах если взлом замечен не сразу - в этом случае ты будешь действовать по
следам. А следов может и не быть. Так, наш пров обеспечивал сорм под заказ. Hо
никаких логов на состояние соединений мы никому обеспечить не могли за уже
прошедшее время - только от момента поступления соответстсвующей бумажки на
начало их ведения. Если тебе повезло, то ксакеп Вася - среди них и ты имеешь
некий трафик, который можешь попытаться сравнить. Брать санкцибю на повальные
обыски с изъятием компов у 130 человек разом? Впрочем это уже частности. В
любом случае эти логи смогут быть использованы только для взятия на понт. И
шансов, что ты ткнув пальцем в небо действительно попадешь
в альфу-центавра очень мало.
3> внимание - от провайдера никаких действий не требуется.
Это противоречит букве закона, насколько я знаю.
3> _Пока_ в _России_, к огромному сожалению, это работает достаточно плохо,
3> причем не из-за технических а из-за организационных проблем внутри
3> соответствующих органов.
Это работает как лоскутная сеть - кому то повезло, кому-то нет. Думаю, что
в результате обеспечить сужение круга подозреваемых менее чем до десятка тысяч
- огромное везение. Причем достоверность этого сужения из-за наличия прорех
нулевая. Увы и ах - на уровне повезет/не повезет.
OA>> 3> организации ведущей логи на принтер подключена к Internet.
OA>> Hу.. сеть.. Это же штука относительная. :) DMZ банка это сеть? ?-) А
OA>> ведь банк вынужден web держать. А некоторые через инет еще и
OA>> кое-какие сервисы должны обеспечить. :)
3> Даже если подобная организация будет держать веб-сервер, то между DMZ и
3> основной сетью фаервол в обязательно будет _кирпичный_. В банках логи на
Hу тогда интернет и ксакепы тут вовсе ни при чем. =)
3> принтер не ведутся.
Это уже вопрос к hugevlad. ;-)
PS: В общем с этим тредом я пожалуй завязываю насовсем. Слишком времяемко.
--
Bye.Olli.
--- ifmail v.2.15dev5.3
* Origin: FidoNet Online - http://www.fido-online.com (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
