?

Log in

No account? Create an account

Previous Entry | Next Entry

Статистика "по странам", которая показывает из каких государств сколько исходит спама, сетевых атак и прочих безобразий – такая статистика основана на анализе географической "прописки" IP-адресов из поля "SRC".

График
Мало того, что статистика по странам, как правило, не нормируется ни на число компьютеров в стране, ни на число выделенных адресов, ни даже на количество населения. Это вообще не статистика злоумышленников, но жертв их. Не просто ложь, не просто большая ложь...

Стоит ли поминать, что ни один спамер или злохакер (включая скрипт-кидди) не станет пакостить с собственного адреса? Для этого используются прокси- и сокс-сервера, взломанные машины, ботнеты, наконец, банальный спуфинг.

В результате статистика "по странам" показывает нам не в какой стране выше концентрация сетевого зла, а в какой стране больше дырявых, взломанных и зараженных узлов. Конечно, нерадивых админов, которые не следят за своими сетями, надо наказывать. И их начальство надо попинывать, чтоб заставляли админов работать. Но отождествлять жертву со злоумышленником (дескать, виноват, потому что дал себя обмануть) – это какая-то средневековая дикость. А разгадка одна: считаем то, что можем сосчитать; ищем там, где светлее.

Comments

( 52 comments — Leave a comment )
vitus_wagner
Aug. 27th, 2010 09:34 am (UTC)
Если заставить нерадивых пользователей нести хотя бы гражданскую ответственность за все действия своего компьютера, то спрос на грамотное системное администрирование и защищенные системы существенно возрастет.

Почему если принадлежащая человеку собака кого-то покусала, человек ответственность несет, если принадлежащий человеку водопроводный кран кого-то залил, человек ответсвтенность несет (и флаг в руки потом доказывать, что виновата жилично-эксплуатционная компания и вообще усталость металла), а если принадлежащий человеку компьютер создал проблемы другим людям, человек - несчастная жертва?

Единственные кому бы я позволил не нести ответственность - это пользователи iPhone и iPad - за них должен отвечать Джобс.
dkzm
Aug. 27th, 2010 02:06 pm (UTC)
И что будем делать с программи(закрытыми конечно же) которые требуют доступа в интернет/прав администратора (например потому что криво написаны или для установки DRM)?(да-эти проблемы большей частью-windows-only)

И вообще - если я отвечаю по закону за действия своего компьютера - почему мне запрещено знать _как_ он работает?как _все_ запущенное на нем работает?И распространять эту информацию.





кстати о iPhone-а кто отвечает за jailbreak'нутые айфоны?Тоже Джобс?
vitus_wagner
Aug. 27th, 2010 02:20 pm (UTC)
И что будем делать с программи(закрытыми конечно же) которые требуют доступа в интернет/прав администратора
Ну, я б рекомендовал запускать такие программы в виртуальной машине и делать revert to snapshot при каждом завершении сеанса работы.
И вообще - если я отвечаю по закону за действия своего компьютера - почему мне запрещено знать _как_ он работает?

А вам запрещено? Кем? Отдельными поставщиками ПО?
(Микрософт, насколько я знаю, в число этих отдельных поставщиков не входит и публикует вполне достаточно информации о том как работают его программы)

Теперь у вас будет хороший повод подумать, а оправдывают ли те преимущества, которые имеют эти программы перед своими свободными аналогами (свободными в данном контексте называются те программы, лицензия которых не запрещает самостоятельно узнавать, как они работают), риски, которые вы несете, их используя.

Возможно вы предпочтете пользоваться программами, поставщики которых не против того, чтобы вы знали, как они работают. Или хотя бы теми, поставщики которых предпринимают некоторые меры, чтобы минимизировать ваши риски - не требуют прав администратора, приводят в документации исчерпывающий список тех хостов в интернете, к которым программа должна иметь доступ для функционирования.

Дальше все решит невидимая рука рынка.
dkzm
Aug. 27th, 2010 03:22 pm (UTC)
"
"И что будем делать с программи(закрытыми конечно же) которые требуют доступа в интернет/прав администратора"
Ну, я б рекомендовал запускать такие программы в виртуальной машине и делать revert to snapshot при каждом завершении сеанса работы.
"

Не всегда это возможно.

Примеры:например продукция серверные продукты VMware (хотя тут - уже вопрос доверия,они к безопасности серьезно относятся),


например(ну предположим я обычный домашний пользователь) - некоторые игры(как вам при старте игры прием и запуск блока кода от разработчика?(принимаемый блок кода-зашифрован и подписан,а возможность в той же игре-удаленного входа разработчиков после старта(в коде клиента - этот функционал _есть_). тут правда можно резко обрезать игре доступные ишники(тем более что те куда она должна обращаться и список-фиксирован уже много лет).




А вам запрещено? Кем? Отдельными поставщиками ПО?
(Микрософт, насколько я знаю, в число этих отдельных поставщиков не входит и публикует вполне достаточно информации о том как работают его программы)

В смысле с чем они общаются по сети?это-да.
Но это - ж не все. Например - я считаю нужным для контроля иметь возможность подгрузить свой драйвер(и дать другим такую возможность)(подписать нормально-не могу,x64). Придется обходить защиту. Или - тут уже вопрос доверия пользователей к моей утилите которая это делает?А что микрософт подумает об этом?


Кем?
что будет если я решу подтвердить свои слова о той игре,выложив результаты своих исследований,вместе с нужным для повторения инструментарием. Я иск не получу потом за взлом?
А если я выпущу утилиту которая допустим закрывает (на мой взгляд) часть дыр?в исходных текстах выпущу.

Вообще - идея _очень_ хорошая
(no subject) - vitus_wagner - Aug. 27th, 2010 04:08 pm (UTC) - Expand
(no subject) - dkzm - Aug. 27th, 2010 04:37 pm (UTC) - Expand
(no subject) - vitus_wagner - Aug. 27th, 2010 04:55 pm (UTC) - Expand
(no subject) - dkzm - Aug. 27th, 2010 05:14 pm (UTC) - Expand
(no subject) - vitus_wagner - Aug. 28th, 2010 05:37 am (UTC) - Expand
(no subject) - vitus_wagner - Aug. 28th, 2010 05:50 am (UTC) - Expand
(no subject) - kyziat - Sep. 5th, 2010 03:19 pm (UTC) - Expand
(no subject) - dkzm - Sep. 5th, 2010 05:09 pm (UTC) - Expand
(no subject) - sfisenk - Sep. 20th, 2010 05:57 am (UTC) - Expand
norritt
Aug. 27th, 2010 11:31 am (UTC)
а где RU?
gul_kiev
Aug. 27th, 2010 11:46 am (UTC)
Да, когда-то у каждого компа был админ...
Сейчас - каких нерадивых админов надо заставлять работать? Кучи людей подключают свои домашние компы к интернету без всякой защиты и на белых IP. А любую фильтрацию или transparent http/smtp proxy со стороны провайдера воспринимают как личное оскорбление. Робкие попытки борьбы с заразой в этом гадюшнике потерпели фиаско под натиском финансово мотивированных вирусописателей (создателей ботнетов).
vitus_wagner
Aug. 27th, 2010 12:22 pm (UTC)
Вот придет повесточка в суд по поводу возмещения ущерба от деятельности ботнета на его машине, сразу переоценит отношение к проксям.

Хотя на мой взгляд, эволюция будет более медленной и многоступенчатой.

1. Немедленно после ввода гражданской ответственности владельца компьютера за деятельность троянов и ботнетов на этом компьютере, появится услуга страхования этой ответственности.

2. Как только страховые компании начнут оказывать эту услугу, у них появится сильное желание дифференцировать ставку страховой премии. И они начнут рекомендовать клиентам фирмы по удаленному системному администрированию, защитное ПО и т.д. и делать скидки.






gul_kiev
Aug. 27th, 2010 12:42 pm (UTC)
Ну тут такое дело...
Если кто-то угнал у меня машину и на ней совершил ДТП - должен ли я возмещать ущерб? А если я при этом машину не закрыл и оставил ключи внутри, так что угнать её было совсем просто?
На самом деле, я не очень в курсе ответа на этот вопрос, но если я виноват, то это потому что автомобиль - средство повышенной опасности. Если у меня украли пистолет и из него застрелили человека - я однозначно виноват, что недостаточно хорошо его хранил.
Но компьютер - не средство повышенной опасности. Если вор залез ко мне в дом, украл кухонный нож, и потом им совершил преступление - я не виноват, что недостаточно оберегал свои кухонные ножи, я не обязан их оберегать, я жертва.

Корень проблемы вижу в том, что собственно преступники остаются безнаказанными, находясь в другой стране (будь то Аргентина или любая другая) и совершая преступления через границы, открытые для интернета. Улучшение может наступить, когда все примут соглашения о наказании киберпреступников, даже если это их собственные граждане, не совершившие ничего плохого по отношению к своему государству и его гражданам. А трафик от тех стран, которые не примут эту конвенцию, можно будет фильтровать на входе (на границе с ними) очень пристрастно, вынуждая их тем самым принять конвенцию.
vitus_wagner
Aug. 27th, 2010 12:55 pm (UTC)
Угнанная машина - это плохая аналогия.

Компьютер, зараженный трояном у вас не украли. Он по-прежнему остается в вашей собсвенности.

Хорошая аналогия - это то, что механик в автосервисе злонамеренно поставил вам в машину бракованную деталь, выход которой из строя и и привел к ДТП. А может не механик, а злоумышленник ночью подкрался, отвинтил хорошие тормозные колодки и привинтил плохие.


В ваших силах было предотвратить ущерб, нанесенный ботнетом. По хорошему счету - посредством грамотного администрирования данного компьютера. Но даже самый неграмотный пользователь может предотвратить действия вредоносной программы на его компьютере - попросту выключив компьютер из сети (электрической).

Точно так же как вы могли предотвратить ДТП вызванное ненадлежащим техническим состоянием машины, не выезжая на ней со двора.





gul_kiev
Aug. 27th, 2010 01:14 pm (UTC)
> Угнанная машина - это плохая аналогия.
> Компьютер, зараженный трояном у вас не украли. Он по-прежнему остается в вашей собсвенности.

И угнанный автомобиль, и зараженный компьютер находятся в моей собственности, но вне моего контроля, под контролем злоумышленника.

> Хорошая аналогия - это то, что механик в автосервисе злонамеренно поставил вам в машину бракованную деталь, выход которой из строя и и привел к ДТП. А может не механик, а злоумышленник ночью подкрался, отвинтил хорошие тормозные колодки и привинтил плохие.

Хм, а я не уверен, что в этом случае владелец несёт ответственность. Если он не имел намерения совершать преступление, если он не нарушал ПДД, вовремя проходил техосмотр и чинился на авторизованом СТО, а халатность или злонамеренность механика доказана - думаете, виновным признают владельца, а не механика? Понятно, что ситуация, когда суд признает вину механика, фантастическая, но всё же.

Если продолжать аналогию с автомобилями и механиками, надо, во-первых, перед выпусканием пользователя в интернет принимать у него экзамен, а во-вторых, требовать регулярный техосмотр компьютеров (наличие антивирусов, фаервола, свежие апдейты). Однако, я бы не хотел, чтобы у нас такое делали, ибо представляю, сколько маразма это за собой повлекло бы.

И всё-таки, в случае с автомобилями преступника всегда можно найти и посадить. В случае вирусов и ботнетов преступник может и не скрываться вовсе - но фиг ему что-то сделаешь, потому что он в другой стране, у которой к нему нет никаких претензий. В этом главное отличие.
(no subject) - vitus_wagner - Aug. 27th, 2010 01:21 pm (UTC) - Expand
(no subject) - gul_kiev - Aug. 27th, 2010 01:43 pm (UTC) - Expand
(no subject) - vitus_wagner - Aug. 27th, 2010 02:14 pm (UTC) - Expand
(no subject) - gul_kiev - Aug. 27th, 2010 02:52 pm (UTC) - Expand
(no subject) - vitus_wagner - Aug. 27th, 2010 04:02 pm (UTC) - Expand
(no subject) - (Anonymous) - Aug. 27th, 2010 04:18 pm (UTC) - Expand
(no subject) - malotavr - Aug. 27th, 2010 07:42 pm (UTC) - Expand
(no subject) - dkzm - Aug. 28th, 2010 02:13 am (UTC) - Expand
(no subject) - vitus_wagner - Aug. 28th, 2010 05:40 am (UTC) - Expand
delimerius
Aug. 27th, 2010 05:59 pm (UTC)
А такая вещь: установил игру он nevosoft. И теперь каждый раз при загрузке компа она пытается лезть в инет. Да, там есть галочка "не запускать при старте системы", но она ничего не дает - при следующем запуске она опять запускается в не зависимости от галочки. Кто в данном случае виновен? Я как пользователь, что какая-то программа лезет или они, что лезут без моего разрешения. Заметьте, что игру я не запускал и нечего лезть в инет для проверки подлинности. А сколько еще таких продуктов есть? Так кто должен отвечать разработчик или пользователь?
(no subject) - dkzm - Aug. 28th, 2010 02:09 am (UTC) - Expand
(no subject) - vitus_wagner - Aug. 28th, 2010 05:43 am (UTC) - Expand
(no subject) - delimerius - Aug. 28th, 2010 05:55 am (UTC) - Expand
(no subject) - vitus_wagner - Aug. 28th, 2010 06:11 am (UTC) - Expand
(no subject) - delimerius - Aug. 28th, 2010 06:26 am (UTC) - Expand
(no subject) - vitus_wagner - Aug. 28th, 2010 07:03 am (UTC) - Expand
(no subject) - delimerius - Aug. 28th, 2010 01:55 pm (UTC) - Expand
(no subject) - vitus_wagner - Aug. 28th, 2010 02:36 pm (UTC) - Expand
(no subject) - delimerius - Aug. 28th, 2010 02:55 pm (UTC) - Expand
(no subject) - vitus_wagner - Aug. 28th, 2010 03:21 pm (UTC) - Expand
(no subject) - delimerius - Aug. 28th, 2010 03:36 pm (UTC) - Expand
(no subject) - vitus_wagner - Aug. 28th, 2010 04:09 pm (UTC) - Expand
(no subject) - delimerius - Aug. 28th, 2010 04:26 pm (UTC) - Expand
(no subject) - perepertoz - Aug. 29th, 2010 01:48 am (UTC) - Expand
(no subject) - vitus_wagner - Aug. 29th, 2010 07:27 am (UTC) - Expand
(no subject) - perepertoz - Aug. 29th, 2010 06:47 pm (UTC) - Expand
(no subject) - vitus_wagner - Aug. 28th, 2010 05:41 am (UTC) - Expand
dkzm
Aug. 27th, 2010 04:44 pm (UTC)
если б эти прокси всегда нормально работали
так это скорее исключение когда они нормально работают и нет тех кому они мешают(например-отправить почту с рабочего e-mail'а)
gul_kiev
Aug. 27th, 2010 05:05 pm (UTC)
А чтобы не мешали, надо пропускать ipec и gre.
Понятно, что в случае серых IP gre (в т.ч. pptp) будет работать далеко не всегда (или даже почти никогда), но ipsec nat traversal никто не отменял. Кому не нравится transparent proxy, пусть поднимают туннели куда хотят. Ну и сейчас уже обычно выдают белые IP, так что можно и обычный pptp (vpdn) поднять.

Конечно, отправлять почту с домашнего IP и рабочего email неправильно. Причём, это неправильно как для провайдера, так и для пользователя. А ещё и для рабочего почтового релея, который принимает почту со своим доменом в from и с чужих IP.
dkzm
Aug. 27th, 2010 05:18 pm (UTC)
Не правильно?

Хорошо.я обычный юзер. я хочу отправить почту с моего ящика на gmail(mail.ru).Мне веб-интерфейс только использовать?

Или возврат к провайдерским почтовым ящикам?

c http-proxy бывают проблемы там где (все еще) считают ip=пользователь/лимитируют количество пользователей с ip.
(no subject) - gul_kiev - Aug. 28th, 2010 05:38 am (UTC) - Expand
vitus_wagner
Aug. 28th, 2010 05:45 am (UTC)
Чтобы не мешали, прокси должна быть отключаемой. Но если ты ее отключил, и страховая компания об этом узнала (допустим из логов провайдера при расследовании инцидента), то платить за ущерб ты будешь сам.
( 52 comments — Leave a comment )

Latest Month

October 2017
S M T W T F S
1234567
891011121314
15161718192021
22232425262728
293031    

Tags

Powered by LiveJournal.com
Designed by Tiffany Chow