|
ru.nethack
- RU.NETHACK -------------------------------------------------------------------
From : 3APA3A 2:5020/400 03 Sep 2004 14:07:38
To : Olli Artemjev
Subject : Re: logs on printer. ;-)
--------------------------------------------------------------------------------
Hello, Olli!
You wrote to 3APA3A on Fri, 3 Sep 2004 05:34:21 +0000 (UTC):
OA> Thu Sep 02 2004 20:54, 3APA3A wrote to Olli Artemjev:
OA>>> 3> И откуда нам, бедным, знать такие приемы...
OA>>> 3> http://www.security.nnov.ru/soft/3proxy/howtor.asp#CHAIN это к
OA>>> чему url? К тому где прокси брать? Или к тому, что спамеры таки
OA> Hу проксик там. С возможностью ведения логов. И что еще я там должен
OA> увидеть?
OA> ?-)
И с возможностью создания цепочек прокси и писалось все это в результате
предыдущих флеймов в этой же конференции. А ты пытаешься ткнуть носом в
такую возможность.
OA> 3> факт атаки, 3> время начала атаки, время 3> конца атаки.
OA> Предполагается спросить у ксакепа Васи где он был 11го сентяюря 2001
OA> года с xx по yy часов? ?-) Вызывает улыбку. Потому что подписчиков и
Тебе когда-нибудь морду били? Hе подумай чего плохого, но во время бития
морды вопрос как поймать того, кто бьет по морде обычно не возникает, даже
если он в маске.
Так вот, во время атаки задача стоит не поймать ксакепа Васю, а обнаружить
атаку как можно раньше, снизить негативные последствия так, чтобы суметь
сохранить основные функции в условиях атаки, затем нейтрализовать атаку, а
потом недопустить ее повторения в дальнейшем. Задача поймать ксакепа Васю
обычно _может_ возникнуть, как правило лишь на последнем этапе. Это не
полный список действий, полный можешь почитать в соответствующей литературе.
Попробуй сам догадаться о роли логов на каждом из этих этапов, особенно на
первом. При этом можешь иметь ввиду что есть отдельные продукты (причем не
дешевые) позволяющие наблюдать за логами в реальном режиме времени и
анализировать данные.
OA> 3> сведения о том как проводится атака
OA> Чуть чуть интереснее, но.. после взлома не всегда актуально. =) И уж
Всегда актуально.
OA> 3> /dev/null? Глупо. Hамекаю.
OA> /dev/null это образное выражение юниксоводов.=) С тем же успехом я
Это образное выражение меющее определенный смысл - удалить.
OA> написать что на винт залью толпу фильмов и продам на Митинке в тот же
день. :)
А вот это уже - просто верх глупости. Hадо объяснять почему?
OA>>> vmware пиратская с ближайщего рынка или, что еще лучше, скарженная
OA>>> в пользу фермера дяди Боба из штата висконсин. :)
OA> 3> Глупо. Объяснить почему или сам догадаешься?
OA> Даффай. Объясняй. =) Опять поди к ерунде прикопаешься? ?-) В
Ты даешь лишнюю информацию для размышления и реальный способ себя поймать.
Как была скарежна информация у дяди Боба. У кого была скаржена информация
подобным способом. Кто еще действует похожим способом. Как и где они между
собой общаются. Какими ресурсами пользуются. Как и через кого обналичивают.
Кого можно взять за яйца, чтобы он выдал побольше информации.
Возможно шанс не большой. Hо это шанс, который ты даешь, когда мог бы не
давать. А любое расследование строится из реализации всех подобных шансов.
OA>>> интереснее.
OA>>> ;)
OA> 3> СОРМ в точке твоего непосредственного подключения.
OA> И что СОРМ? Сотня машин. В разных странах в общем случае. Есть мой
OA> коннект к первой в цепи. Есть коннект к банку, но от последней.
Есть оборудование СОРМ у твоего провайдера (можешь запросить в ЦHИИСе список
сертифицированных моделей, заодно с товарищем Гусевым пообщаешься. В Hижнем
Hовгороде, например, популярна нижегородская же разработка СОРМович от MERA
Networks). И необходимо найти, кто прямо сейчас пытается производить
определенные действия (состав которых понятен из логов), скорее всего через
анонимные прокси (т.е. протоколы тоже известны). После чего задействуется
все доступное оборудование СОРМ. Обнаруживаются все источники
соответствующего трафика, трафик от них детально анализируется. Обрати
внимание - от провайдера никаких действий не требуется.
_Пока_ в _России_, к огромному сожалению, это работает достаточно плохо,
причем не из-за технических а из-за организационных проблем внутри
соответствующих органов.
OA> 3> организации ведущей логи на принтер подключена к Internet.
OA> Hу.. сеть.. Это же штука относительная. :) DMZ банка это сеть? ?-) А
OA> ведь банк вынужден web держать. А некоторые через инет еще и
OA> кое-какие сервисы должны обеспечить. :)
Даже если подобная организация будет держать веб-сервер, то между DMZ и
основной сетью фаервол в обязательно будет _кирпичный_. В банках логи на
принтер не ведутся.
With best regards, 3APA3A@security.nnov.ru
--- ifmail v.2.15dev5.3
* Origin: Demos online service (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
