Мы в ответе за тех, кого мы приручили?

[vitus_wagner]

Тут the__listener выдал замечательную идею:

Возникает криминально-безумная идея: берется ботнет (достаточно большой).
ЗаразившимсяПопавшим в него, заливается достат.кол. фильмов/музыки/прочих объектов авторского права.
После заполнения поднимается большой шум (вплоть до одновременного написания со всех машин ботнета доноса в ФСБ) - в общем, нужно, чтобы это попало в прессу и какое-то время было на слуху.

Зачем нужен такой ужас? Чтобы, в дальнейшем, если на винте что-то найдут, на вопрос "Откуда?", отвечать "Вирус закачал" и ссылаться на этот случай. Доказать обратное, в большинстве случаев, будет достаточно проблематично.

Как уже показала практика, наказывать пользователей, компьютеры которых рассылают спам, или являются участниками DDoS атак, проблематично. Я даже у Шнайера где-то натыкался на точку зрения что "бабушка пенсионерка не должна нести ответственность за действия своего компьютера". Интересно, правда, почему. С точки зрения здравого сиысла, если ты покупаешь устройство, способное причинить вред окружающим, и не принимаешь мер к его грамотной эксплуатации, которая позволит избежать этого вреда, так будь добр нести ответственность за этот вред.

В этом плане интересно столкнуть две общепринятых в обществе лжи - право на незнание, право не нести ответственность за действия вируса, и инфернальный ужас который общество испытывает, скажем, перед детской порнографией. Вирусу-то всё равно что закачивать - фашистскую пропаганду, детскую порнографию или объекты авторского права. (Закачивать, естественно, надо то, что карается наибольшим наказанием в стране местонахождения данного компьютера. И письма слать в соответсттвующие органы).

Comments

[os80.livejournal.com]

Витус, я не большой специалист в области сетей, но неужели нельзя все проблемы с DDoS решить на уровне провайдера? Вот почему-то я уверен, что можно.
А раз так, то и решать их должны провайдеры (всегда, если есть выбор между двумя группами "решателей", решение надо поручать меньшей). Пусть провайдер отлавливает атаки, пишет гневные письма юзерам с объяснением, как не доводить до греха. А терроризировать всех не надо, и без того хреново.
Разумеется, у провайдера должна быть возможность В КРАЙНЕМ СЛУЧАЕ отлучить пользователя от сети, пока не почистит всё у себя.

[vitus_wagner]

Нельзя. Потому что с точки зрения провайдера действия достаточно хорошего ботнета выглядят как легитимный траффик. Вот, допустим ты провайдер. Некрупный. У тебя в on-line одновременно 100 пользователей. Вдруг 50 из них начинают одновременно с интервалом в 5 секунд писать посты в некое ЖЖ-шное коммьюнити. Что может об этом подумать провайдер, даже если он исхитрится проблему заметить? Что в этом коммьюнити завязалась жаркая дискуссия, которая почему-то именно этим 50 пользователям интересна. А на самом деле имеет место ботнет из 100 000 компьютеров, из котрых 50 оказалось у этого провайдера, и они лепят в это коммьюнити 20000 комментариев в секунду, чего ЖЖ, естественно, выдержать не может. (Остальные 50 пользователей этого провайдера либо регулярно ставят апдейты, либо вообще используют другие операционки и ботнет к ним не сел).

Где в пользовательском соглашении провайдера написано, что пользователь не имеет права писать комментарии в форум каждые пять секунд или отправлять письмо с рекламной информацией каждые три секунды? А письмо в три секунды - это 1000 писем в час. Умножаем на размер ботнета и получаем весьма приличный поток спама.

[os80.livejournal.com]

А что, с остальными 1999 провайдеров посоветоваться нельзя?

[besm6.livejournal.com]

Пока ты будешь с ними советоваться, этот ботнет уже успеет завалить сервис. И не один.

[os80.livejournal.com]

Значит, хреново советуетесь. Процесс советования тоже должен быть автоматизирован.

[besm6.livejournal.com]

На каждую хитрую жопу алгоритм советования найдется алгоритм атаки с винтом. Как показывает практика.

[os80.livejournal.com]

1. Какая практика? Ещё же никто не пробовал (насколько мне известно)!
2. А на каждого умного-ответственного юзера не найдётся?
3. Тут декларировалась цель: снизить количество атак на порядок. Пока этот винт будут искать - цель достигнута.

[besm6.livejournal.com]

Ещё же никто не пробовал (насколько мне известно)!

Слова в скобочках - ключевые...

Пока этот винт будут искать - цель достигнута.

Время поиска винта всяко меньше времени внедрения системы :-) А пока система не внедрена, цель достигнута не будет.

Впрочем, чего это мы беспредметно разговариваем? "Если Вы такой умный, почему Вы такой бедный?" Предъявите концепцию подобной системы, которая обладает ненулевой эффективностью и при этом не может быть задосена сама на счет "раз". У меня не получается такую придумать, а я в предмете все же разбираюсь.

[os80.livejournal.com]

Первая деталь концепции: после каждой DDoS-атаки всем участвовавшим в ней пользователям рассылается письмо с объяснением ситуации и КОНКРЕТНЫМИ рекомендациями, как в следующий раз не стать участником такого "флешмоба". Спецы в лице Вас и Витуса много сказали, но конкретных разумных рекомендаций так и не дали.
Вторая деталь: отслеживать статистику запросов. При статистически значимом увеличении запросов на определённый домен происходит опрос соседних провайдеров - не происходит ли что-нибудь подобное у них? Чем больше увеличение - тем больше провайдеров опрашивается.

[besm6.livejournal.com]

По первой детали.

Для начала ("не было пороха", ага) - предъявите алгоритм выяснения почтового адреса по (динамическому) IP. Полностью автоматизированный, естественно (их же десятки тысяч), и защищенный от спамеров, которых хлебом не корми - дай заведомо работающих адресов насобирать.

Во-вторых, это как раз борьба с DDoS средствами конечного пользователя, а не его провайдера. Так что это уже какая-то не та концепция...

В-третьих, с какого перепугу пользователь будет этим рекомендациям следовать, если ответственности за участие в ботнете он не несет, а ему самому работа оного ботнета совершенно не мешает?

В-четвертых, Вы себе эти рекомендации представляете? А я - представляю. Восклицательное слово "КОНКРЕТНЫМИ" означает, что для каждой атаки они будут свои. Для каждой уже успешно прошедшей атаки. И таковы, что точное выполнение хотя бы трех из них парализует собственно работу пользователя на компьютере. Надо ли объяснять, куда он их после этого засунет с учетом "в-третьих"?

"В-пятых" и так далее тоже найдется. Но из вышеприведенных четырех, в общем, любого достаточно для демонстрации несостоятельности Первой Детали.

Вторая деталь. Тут все еще проще. Вы еще помните, что мы про DDoS? Его основное отличие от простого DoS в том, что он только на уровне очень крупного провайдера статистически отличим от обычной работы. И то - с трудом и только тогда, когда, опять же, атака уже удалась. При этом сама эта статистическая обработка на крупном провайдере заDoSит его самого гораздо лучше, чем любая настоящая атака. Ибо трафика у него очень уж до хрена. В итоге мы получаем DoS провайдеру и по концепции опоздавшую реакцию на атаки.

[wave-blessed.livejournal.com]

*Саркастически*
Спецы в лице Витуса дали конкретную рекомендацию: втянуть пользователей во флешмоб, результатом которого окажутся сроки для участников этого флешмоба.
Железной рукой приведём мы компьютерную (и не только) индустрию к светлому будущему.

[vitus_wagner]

Не пользователей, а их компьютеры, и не я, а the__listener.

Хитрость в том, что для участия в данном "флэшмобе" требуется не действие, а бездействие.
Если ты предпринимаешь ДЕЙСТВИЯ по защите своего компьютера, то во "флэшмоб" ты не попадешь.
А вот если ленишься, или не умеешь (что эквивалентно "ленишься научитсья") то турма сидеть.

[vnaum.livejournal.com]

Зачем ограничиваться полумерами (автоматизацией принятия решения)?
Хорошо бы ещё автоматизировать несение ответственности :-)

[os80.livejournal.com]

:))) Пять баллов!

[vitus_wagner]

Кто-то тут комментом выше говорил о малых группах. И тут получается что вместо того чтобы каждый пользователь (группа в составе одного человека, в крайнем случае семьи) контролировал то, чтобы на его компьютере не делалось ничего, кроме того, что он считает нужным, предлагается чтобы кооперировались тысячи организаций, и решали за совершенно посторонних им людей, что те имеют право делать, а что нет.

[os80.livejournal.com]

Не понял. По сравнению с 200000 пользователей 2000 провайдеров - это действительно небольшая группа. А соотношение, я думаю, неправильное, у какой-нибудь "Точки ру" десятки тысяч пользователей и вряд ли больше 10 админов.

[vnaum.livejournal.com]

Анекдот в том, что 200_000 пользователей знают, что им нужно от интернета, и могут отличить желаемую активность он непрошенной. Точнее, у них есть техническая возможность отличить (что ума не у всех хватает - это понятно).
А 2_000 провайдеров - не знают, что нужно пользователям. И знать не могут. И ТЕХНИЧЕСКОЙ возможности решить проблему не имеют.

[os80.livejournal.com]

У меня был опыт использования и файрволла, и антивируса. Пока не будет первого с поведением на уровне здравого смысла и второго, который не тормозит комп (и при этом выполняет свою основную функцию) не буду использовать ни того, ни другого.
Может, подскажете?

[vnaum.livejournal.com]

Отчего же не подсказать, подскажу.
Антивирус: не запускайте никаких программ, не открывайте ничьих документов.
Файрволл: не подключайтесь к сети.

Почему так?
Очень просто.
И файрволл, и антивирус должны выполнять приблизительно одну функцию: отличать добро от зла (хорошую программу от плохой, злонамеренный трафик от полезного). Беда их в том, что этот разделение существует ни разу не в технической плоскости (которая компьютерам понятна), а исключительно в мозгах пользователя. Компьютеры, увы, не понимают ничего из того что хранят и обрабатывают. Как только мы научим компьютеры отличать добро от зла (в вашей терминологии, научим их "здравому смыслу") - вот тогда можно будет создать эффективные файрволлы и антивирусы.

Вы скажете "но позвольте, я легко формализую свой здравый смысл: трафик по порту N...". Никакого противоречия тут на самом деле нет, компьютер по-прежнему ничего не понимает - это всего лишь пользователь _понял_, как он работает и _научился_ его эффективно использовать. Решение о том что хорошо и что плохо принимает пользователь. Ну или администратор сети, составлявший правила файрволла. Или производитель антивируса, составляющий базу "вредоносного ПО". Человек. Не компьютер, увы.

[(Anonymous)]

По-моему, использование резидентного антивируса равносильно хождению по улицам в презервативе с обоснованием "мало ли какие шлюхи бывают".

Лучший антивирус - это _поведение_.

Тем не менее, если уж общнулся с сомнительной девицей и что-то чешется, то сходить к доктору - имеет смысл. Т.е. - онлайн-вируссканер Касперского при первых признаках того, что комп глючит.

Файрволла же вполне достаточно в виде обычного одностороннего NATа, прямо в раутере, чтобы ядро ОС не мусорить.

[vitus_wagner]

Увы, это больше похоже на хождение по улицам в марлевой повязке во время эпидемии гриппа - "Мало ли кто чихнет". Поведение, это, конечно, хорошая вещь. Но для того, чтобы пользователь, не являющийся экспертом в безопасности ОС Windows и web-дизайне (одновременно), мог ходить по сайтам в IE и не бояться подцепить malware, нужно сначала построить всех веб-дизайнеров, чтобы не оставляли всяких дыр. А то вон на вполне приличных сайтах постоянно то active-X хотят, то флэш.
Даже с замечательной системой доменов безопасности IE замучаешься все нужные тебе сайты в trusted sites включать.