[Прохожий]

Число приставок в сети исчисляется миллионами.

Сопоставимо ли их число с числом компьютеров? Стоит ли это того, чтобы ими заняться плотно? Компьютеров-то сотни миллионов :)

 

но для нынешнего операторства это пока слишком круто.

Вот-вот. Потому я и ожидаю увидеть на горизонте устройства L4-7 разумной производительности и стоимости, которые предназначены жить максимально близко к абоненту. Чтобы холить его и лелеять :)

Изменено 21 декабря, 2006 пользователем Прохожий

[leveler]

Ну плееры же уже вирусами заражают. То там макдональдс вирусованый плеер подарит, то еще чего.

И приставки уже ковыряют все и вся. То функционал добавят, то иос свой зальют, научат "понимать" пиратские диски...

Имхо, со временем всё будет. =)

[Ilya Nikitin]

Опять началось, причем долбят по каравану 62.213.127.9

[Тимур]

Компьютер пользователя по мере движения в бытовые приборы будет постепенно мигрировать в сторону игровой приставки типа XBox и прочей аналогичной Trusted Platform, на которой никакого неподписанного кода исполнять просто не будет.

Люди очень серьезно работают над тем, чтобы исполнять на приставках произвольный код (читай - запускать пиратские игрушки). Так что мы еще посмотрим - кто кого. Я ставлю на то, что первая серьезная вирусная эпидемия на приставках разразиться раньше, чем ПК станет Trusted Platform

[Serhio Go]

Опять началось, причем долбят по каравану 62.213.127.9

У нас особо и не прекращалось.

Была пауза дня на три; сейчас уже дня три проявляется от одного до пяти флудеров в день.

Если бы автосрубалку не сделали - уже давно удавились бы...

 

Похоже, коллеги, нам с этой дрянью еще долго жить...

 

--------------

WBR, Serhio

Изменено 25 декабря, 2006 пользователем Serhio Go

[newermind]

сетки на несколько десятков компов хорошо живут под корпоративными версиями антивирей - типа SAV 10.x

нарадоваться не могу на такой - можно мониторить все прецеденты заражений клиентов, версии их баз и т.д.

все обновляются с локального сервера.

 

может, для небольших сегментов предлагать это как недорогой сервис - за небольшую плату сетка подключается к серверу и живет отчасти подконтрольно

 

всегда гораздо легче предотвратить чем лечить

[SergeiK]

Я уже писал в этом треде, но повторюсь, что ноябрьскую эпидемию проспали почти все антивирусы. Так что предотвратить - это очень сильное слово, ибо даже ежечасного обновления уже становиться мало.

 

Более того, трояны были найдены на диске, отключенном за 2 месяца до эпидемии. То есть все эти вирусы спокойно спали до часа X на множестве компьютеров в большинстве офисов и про них никто не знал. Антивирусам же не поставляют вирусописатели свои вирусы, типа вот, будьте добры, добавьте в свою базу. Получили экземпляр, раскопали, добавили обновление. А не получили - значит и не нет такого.

 

И у меня прежде всего возникает вопрос: "Сколько еще таких спят и кто и для каких целей их может использовать?"

[MrBear]

И у меня прежде всего возникает риторический вопрос: "Сколько еще таких спят и кто и для каких целей их может использовать?"

:)

[Тимур]

И у меня прежде всего возникает вопрос: "Сколько еще таких спят и кто и для каких целей их может использовать?"

 

Черт.

 

Тут еще вот какой аспект. Допустим человек решил не канаться с антивирусами, а сразу снес винду. Мудро.

Дальше он снимает с полки диск "все программы для вашего PC" и ставит с этого диска все программы для своего PC. ОК.

Вопрос - через сколько времени он получит все те вирусы, которые у него были до переустановки?

Ответ - примерно через один день. В том смысле, что винда с эксплорером, которые он поставил не пропатчены ни разу.

 

На сколько я понимаю, проапдейтиться с виндоусапдейта с пиратской виндой все проблематичней и проблематичней. И что теперь делать?

 

 

В порядке бреда - может пойти к микросфоту на поклон? Мол давайте мы будем дилить ваш продукт, по каким-нибудь человеческим ценам. Лишь бы не было войны.

[PleskovGrad]

На сколько я понимаю, проапдейтиться с виндоусапдейта с пиратской виндой все проблематичней и проблематичней. И что теперь делать?

Можно поставить одну лиц винду на всю сеть, ее апдейтить, апдейты выцарапывать и всем раздавать.

 

А как насчет поднятия локального сервера винапдейт?

[omi4]

Подверженность флуду, врожденная болезнь домашних сеток на коммутаторах. Пора переходить на L3 или L..

При этом сетка на роутерах стоит не шелохнувшись, простое переключение правил гасит шторм. При этом Nag в книге по сетям утверждал что они зло….

Изменено 29 декабря, 2006 пользователем omi4

[leveler]

Подверженность флуду, врожденная болезнь домашних сеток на коммутаторах. Пора переходить на L3 или L..

При этом сетка на роутерах стоит не шелохнувшись, простое переключение правил гасит шторм. При этом Nag в книге по сетям утверждал что они зло….

Может на каждого пользователя ставить по маршрутизатору цыско хотя бы 26хх? Выдавать лицензионную винду и антивирусник при подключении бесплатно? Л3 говоришь? Маршрутизаторы рулят? Не дороговато ли? И вообще, что значит "сетка на роутерах"?

[omi4]

Обычные ПК-роутеры, доработанные напильником. Убраны вентиляторы, винты и прочее. Абоненты дома собираются через VLAN(через коммутаторы на IC 178CH или IC175CH), 1 ПК на 1-2 дома. Цена дома(6 подъездов) 300 с копейками(48 портов), оптика заводится на каждый подъезд.

[umike]

На сколько я понимаю, проапдейтиться с виндоусапдейта с пиратской виндой все проблематичней и проблематичней. И что теперь делать?

Можно поставить одну лиц винду на всю сеть, ее апдейтить, апдейты выцарапывать и всем раздавать. ...

А как насчет поднятия локального сервера винапдейт?

чем выцарапывать - оператору действительно проще поднять локальный WSUS и научить пользователя reg-файлом вписать в политики свой сервер обновлений или завернуть в DNS имена windowsupdate на свой сервер (последнее в порядке бреда)

 

У меня по мере возникновения и развития данного флуда и топика также возник вопрос - возможно ли законодательно правильно развернуть в сети провайдера сервис обновлений? И насколько реально на ваш взгляд его можно продать скажем по минимальной цене подписки на услугу или вообще за цену локального трафика?

 

Продать корпоративным клиентам с парком техники будет не так сложно, тем более у фирм с нормальными администраторами (студенты-эникейщики в эту категорию не входят) WSUS не такая уж и редкость. А вот homeusers - вопрос совсем другой. Тем более в процессе апдейтов homeusers наверняка столкнутся с тем, что ОС от MS обнаружит свою нелицензионность и предложит им заплатить денег. С чем народ наверняка начнет звонить в поддержку.

[Serg_Klp]

Господа, сдается мне, Вы с абонентами редко "лицо в лицо" встречаетесь...

 

Подавляющее большинство не сегодня, так вчера приобрело компьютер и заодно подключилось к интернету (модно это нынче, так и твердят все вокруг "ёмэйл", "ве-ве-ве", "скайп", да и детишки подрастают - им надо развиваться). Какие антивирусы? Какие локальные WSUS с апдейтами? Да еще и деньги за это брать? При первой же проблеме они обвинят Вас в том, что "ваш интернет небезопасный", что Вы пытаетесь под всякими предлогами и непонятными терминами выудить из них, бедных, лишнюю денюшку и убегут к другим, домушникам, которые им молча всё сделают, настроют, поставят и будут регулярно на неофициальной основе "лечить" пиратскую Винду и удалять троянов...

 

Пользователь, у которого уровень владения компьютером позволяет понять смысл всего этого треда автоматически способен себя защитить без лишних затрат со строноны провайдера. Пользователь же не способный понять этого, так же не поймет и целесобразность в регулярно обновляющемся (а значит легальном) программном обеспечении.

 

А корпоративы, если это серьезная организация, а не киоск по приему стеклотары, он и без нас себя обережет от подобных инциндентов. Благо BSA и прочие организации начали этому довольно успешно способствовать...

[umike]

Господа, сдается мне, Вы с абонентами редко "лицо в лицо" встречаетесь...

 

Подавляющее большинство не сегодня, так вчера приобрело компьютер и заодно подключилось к интернету (модно это нынче, так и твердят все вокруг "ёмэйл", "ве-ве-ве", "скайп", да и детишки подрастают - им надо развиваться). Какие антивирусы? Какие локальные WSUS с апдейтами? Да еще и деньги за это брать? При первой же проблеме они обвинят Вас в том, что "ваш интернет небезопасный", что Вы пытаетесь под всякими предлогами и непонятными терминами выудить из них, бедных, лишнюю денюшку и убегут к другим, домушникам, которые им молча всё сделают, настроют, поставят и будут регулярно на неофициальной основе "лечить" пиратскую Винду и удалять троянов...

буквально слово в слово понимаю :) Кстати мы имея договор с Касперским встроили в систему статистики возможность приобретения пользователем антивируса. Буквально два клика мышью и пользователь имеет легальный ключ и OEM дистрибутив. О востребованности услуги к сожалению статистики не имею, но в сравнении с количеством абонентов весьма мало. И многие нижеупомянутые "киоски по приему стеклотары" даже после того как им с интервалом в неделю вирусы, запущенные ручками из почты, наглухо проели машины до потери работоспособности, убеждениям заплатить копейку и жить спокойно не поддаются, в результате чего телефонный саппорт регулярно пополняет словарный репертуар русского матерного. С homeusers дело обстоит наоборот - некоторые узрев такую возможность сразу покупают, ставят, и довольны выше крыши.

 

По поводу уползания к домушникам - в нашем городе тенденция наблюдается обратная, особенно на фоне того, что ДС на 99% охватывают только домашних пользователей с инфраструктурой вида "воздушка-витуха" и "радио под завязку". Когда по району три оператора сразу начинают таскать оптику, и цена сравнима или даже ниже домушников - те начинают громко ругаться матом :)

 

Пользователь, у которого уровень владения компьютером позволяет понять смысл всего этого треда автоматически способен себя защитить без лишних затрат со строноны провайдера. Пользователь же не способный понять этого, так же не поймет и целесобразность в регулярно обновляющемся (а значит легальном) программном обеспечении.

когда свежеустановленная винда с по дефолту установленной галочкой "обновлять автоматически" скачает с помегабайтной тарификацией несколько Gb из мира (или ему это сразу популярно объяснят в цифрах) даже непросвященный пользователь сразу становится просвященным и начинает понимать что это надо отключить. Если предложить копеечную альтернативу изнутри провайдерской сети, часть пользователей пересядет туда.

 

А корпоративы, если это серьезная организация, а не киоск по приему стеклотары, он и без нас себя обережет от подобных инциндентов.

на "киоски" приходится большинство элементарных вопросов, которые объясняются в офисе при подключении и которые пошагово расписаны в выдаваемых инструкциях. Читать инструкции это не для них. И вот как раз на "киоски по приему стеклотары" большинство инцендентов с вирусами-дырявостью и приходится т.к. (я уже писал где-то рядом) нанять студента за копейку и не иметь гемороя они не догадываются или просто жмутся. Вы еще этого не ощутили? "Сдаётся мне что Вы с абонентами редко "лицо в лицо" встречаетесь" ;)

Изменено 31 декабря, 2006 пользователем umike

[green_ray]

Коллеги, я тут покопался в логах домашнего Outposta и заметил одну занятную вещь. Как раз с началом декабрьской эпидемии в пакетный фильтр фаервола начала сыпаться масса запросов по TCP 2023. Причем именно в TCP 2023 сыплется основная часть пакетов с периодичностью примерно один пакет с одного IP раз в 40 сек. Другие порты тоже участвуют, но значительно реже. Чтобы не быть голословным, прикреплю кусок лога. Что еще интересного можно оттуда извлечь: как можно заметить, долгий скан по TCP 2023 иногда прерывает вспышка UDP пакетов с тех же самых адресов, а иногда, словно по команде, с тех же самых адресов начинается скан уже по другому TCP порту, а затем снова начинается долгое общение по TCP 2023. Это натолкнуло на мысль, что ботнет общается со всеми своими братьями по крови еще внутри сети. Тут еще в памяти всплыла статейка на securitylab.ru, в которой говорилось о децентрализации ботнетов. Вот линк на нее:

http://www.securitylab.ru/news/283053.php?phrase_id=96467

 

«Отличие троянцев наподобие SpamThru состоит в том, что каждый бот в сети получает информацию о других. Когда один из ботов теряет функциональность, будучи обнаруженным, другие боты узнают об этом», — говорит аналитик.

 

Если управляющий сервер по каким-то причинам отключён, спамер может сообщить другим ботам о местонахождении нового сервера и направить команды на отправку спама через этот новый сервер. «До сих пор „скомпрометированный“ ботнет нельзя было оживить. А эта новая технология делает ботнеты более устойчивыми».

Причем у таких вот пользователей при детальном осмотре выявляются звери из категории труднообнаруживаемых и не менее трудноудалимых. Вовсю используются Rootkit технологии.

Например, вот такой вот хит:

http://z-oleg.com/secur/virlist/vir1179.php

Его присутствие в системе способен заметить далеко не каждый антивирь. И не каждой домохозяйке объяснишь - что такое ROOTKIT, работающий из дополнительного потока NTFS, наделенный функциями удаленного управления и нацеленный на спам рассылки, даже при удалении сего драйвера прямо на ее удивленных глазах.

Скоро дойдет до того, что зверье начнет сниферить трафик в сегменте и вылавливать оттуда всю ценную информацию.

log.txt

Изменено 3 января, 2007 пользователем green_ray

[Прохожий]

Жить становится все страшнее... Однако...

[Bond]

Мля всё перечитал, жду нововведения в протоколы интернета :)

[Прохожий]

Мля всё перечитал, жду нововведения в протоколы интернета :)

К сожалению, эти ожидания - напрасны. Слишком далеко зашел процесс. Это как с автомобилями. Можно сделать его на самых разных видах топлива, из которых минимум половина куда лучше бензина. Но ближайшие десять лет ездить таки будем на бензине. Потому что так сложилось.

 

Уязвимость - обратная сторона свободы. Более-менее безопасным и стабильным можно сделать только полностью контролируемый администратором корпоративный сегмент, но о свободе для пользователей тут и речи быть не может. Только уставной софт, шаг вправо-влево - попытка к бегству, прыжок на месте - провокация.

 

Изменить технологию, привить ей иммунитет - не получится. Но можно изменить ее использование. Лично я уверен, что провайдеры неизбежно придут к другой модели, и будут давать не абстрактную и универсальную связанность по IP, а конкретные протоколы с контролем на L4 и выше. Будет как с телевизионными каналами, пакеты протоколов:

"базовый" - HTTP, SMTP, FTP, ICQ, не еще там по мелочи

"игровой" - ну это понятно :)

"голосовой" - H323, SIP, Skype и т.д.

"веселый ослик" - P2P протоколы

"корпоративный" - PPTP, L2TP, IPSEC и т.д.

"суперпрофи" - вообще все открыто...

 

ИМХО, неизбежно к этому придут. Не прямо завтра, конечно, но придут. Потому что в борьбе триппера с вакциной счет все чаще идет в пользу триппера. Пока цена свободы еще не слишком высока - будет как сейчас, а потом - появятся чисто экономические причины, и полную свободу получат лишь те, кто хочет и может за это платить...

[Michail]

Занятно, что из этой дискуссии следует простая мысль.

В какой тумбочке брать деньги?

пока видно три

1. провайдер

2. абонент

3. внешняя сервис-компания. (у нее деньги могут быть из первых двух пунктов, и внешних источников финансирования. Страховые выплаты, гранты, инвесторы, разработчики софта и т.д.)

 

рассмотрим по очереди всех:

 

Провайдер платить за чужую безграмотность не хочет. Так будет до тех пор, пока издержки на устранение последствий безграмотности не превысят затраты на создание системы ее компенсирующую. Сейчас провайдеры закрывают самые очевидные дыры и чинят самых "нервных" клиентов. Массовый сервис со стороны провайдера, ожидать трудно, т.к. он не является профильным бизнесом.

Ситуация может изменится благодаря массовому введению безлимитных тарифов. Абоненту становится пофигу, сколько с него/к нему пройдет трафика. Зона ответственности переходит к более технически грамотному участнику рынка. Это есть хорошо.

 

2. абонент становится грамотней не станет. Увы. Если только не введут "права на управление ПК" аналогичные автомобильным или страхование с включенным в пакет фаэрволом и антивирусом, да и то... Короче, это утопия. Если в руки абоненту попадут механизмы позволяющие простыми действиями защитить себя за разумные деньги, причем это будет поддержано мощной рекламой, то есть шансы уменьшить количество потенциальных дыр. Но ясно всем, что защититься абоненту от хакеров-профессионалов не получится. Слишком разная весовая категория.

В качестве положительных рекламных проектов, можно рассмотреть - рекламу презервативов, лекарств, зубных паст и прочих непринципиально меняющих ситуацию дополнительных сущностей.

В качестве примера госрегулирования - ОСАГО. Предположим Касперский пролобирует через думу обязательное страхование ущерба причененного ПК пользователя. К каждому новому компу(контракту на подключение к сети) будет за денюжку прилагаться страховой полис включающий антивирус+фаэрвол.

В качестве примера навязанной технической услуги - мобильные телефоны. Могут быть разработаны массовые, дешевые, не требующие настройки, аппаратные средства защиты, а-ля мыльницы. Рекламно можно внедрить мысль, что без них абонент лох.

Тогда защита будет со стороны абонента.

 

3. сервис-компании. Самый перспективный, на мой взгляд вариант. В качестве аналогий можно рассматривать всевозможных продавцев медиаконтента для сотовых телефонов. Оператор просто не уделяет достаточно внимания непрофильному направлению бизнеса. Другое дело фирма на этом получающая деньги.

Финансирование такие компании могут получать из множества источников. Договорные отчисления с провайдера, страховые взносы с абонента, дилерские с производителя антивруса, спонсорские с производителя оборудования, из федерального бюджета "за обеспечение связанности".

;)

 

Вывод неутешительный. Пока затраты на происходящее в интернете невелики и размазаны по всем участникам - ничего не изменится. Будут в вялотекущем режиме лататься дыры и появляться новые. Увы.

Изменено 10 января, 2007 пользователем Michail

[Прохожий]

Вывод неутешительный. Пока затраты на происходящее в интернете невелики и размазаны по всем участникам - ничего не изменится. Будут в вялотекущем режиме лататься дыры и появляться новые. Увы.

А вот это будет целиком зависить от динамики процесса.

 

Правильно замечено: на помегабайтных - это проблема абонента в первую очередь, и только потом проблема провайдера - со скандалящим абонентом. Но анлимы все меняют, абоненту - пофигу, НО! Если его трипперный компьютер превращает профиль его трафика в полку... То это проблема оператора. И, кстати, на такая уж маленькая.

[Тимур]

Мля всё перечитал, жду нововведения в протоколы интернета :)

Изменить технологию, привить ей иммунитет - не получится. Но можно изменить ее использование. Лично я уверен, что провайдеры неизбежно придут к другой модели, и будут давать не абстрактную и универсальную связанность по IP, а конкретные протоколы с контролем на L4 и выше. Будет как с телевизионными каналами, пакеты протоколов:

"базовый" - HTTP, SMTP, FTP, ICQ, не еще там по мелочи

 

ИМХО, неизбежно к этому придут.

Интересно. А как это будет работать? В чем положительный эффект?

Ну вот у нас и так все порты на вход закрыты.

Есть же еще почтовые вирусы и вредоносные страницы.

[Прохожий]

Интересно. А как это будет работать? В чем положительный эффект?

Ну вот у нас и так все порты на вход закрыты.

Есть же еще почтовые вирусы и вредоносные страницы.

На вход - полумера, проблемы оператору создает не тот трафик, который получает юзверский комп, он уже сетью обработан и ушел, а тот, который он генерирует, который еще прожевать надо.

 

Вопрос не в том, как защитить юзверя от триппера - это задача в принципе системного решения не имеет ни в юридическом ни в техническом аспектах. Вопрос в том, как жить оператору со всем этим.

 

ИМХО (я уже давно это говорил) с точки зрения стабильности работы сети значение имеет вовсе не даунлинк юзверя, а его аплинк. Резать даунлинк на порту - вообще нет смысла, дропаешь пакеты, которые уже прогрузили сеть...

[Тимур]

Интересно. А как это будет работать? В чем положительный эффект?

Ну вот у нас и так все порты на вход закрыты.

Есть же еще почтовые вирусы и вредоносные страницы.

На вход - полумера, проблемы оператору создает не тот трафик, который получает юзверский комп, он уже сетью обработан и ушел, а тот, который он генерирует, который еще прожевать надо.

 

Вопрос не в том, как защитить юзверя от триппера - это задача в принципе системного решения не имеет ни в юридическом ни в техническом аспектах. Вопрос в том, как жить оператору со всем этим.

 

ИМХО (я уже давно это говорил) с точки зрения стабильности работы сети значение имеет вовсе не даунлинк юзверя, а его аплинк. Резать даунлинк на порту - вообще нет смысла, дропаешь пакеты, которые уже прогрузили сеть...

Два вопроса.

 

1 - А чем плохи для орагнизации флуда протоколы входящие в базовый комплект? Скажем HTTP?

 

2 - Проблема флуда для оператора заключается исключительно в том, что он прогружает оборудование. Если мы ведем всю обработку в центре (на роутерах) , то синхронизированный флуд от ботнета нам положит и свитчи и сами роутеры.

 

Можно конечно резать флуд на абонентском порту, но это уже совсем другая история. Не особо связанная с идеей предоставлять ограниченное количество протоколов.