Здравствуйте, misha_irpen, Вы писали:


E__>>Самая большая дыра в этой логике в том, что пользователь может быть не виноват в заражении. Совсем. Не обязательно запускать файлик "сиськи.ехе" из письма от хрен знает кого, чтобы подхватить вирус.
_>Все как в жизни. Не обязательно спать непонятно с кем чтобы подхватить ВИЧ. Но если ты им кого-нибудь сознательно заразишь -- будешь отвечать перед законом.

Вот именно. Сознательно. Юзеры крайне редко сознательно кого-то заражают.

E__>>Многие распространяются через уязвимости. Предложите отвестственность переложить на создателей ПО? Знаете, куда вас пошлет та же МС?
_>Блин, за десять лет в инете и локальных сетях я заражался только пару раз, и то по собственной глупости и не более чем на несколько минут. Может не так страшны эти уязвимости при наличии других баръеров защиты?

1. Про пару раз — может быть. Но и это прецедент.
2. На несколько минут? И как вы отлавливали вирус? в 99% случаев сразу после заражения ничего не происходит, бывает до года.
3. Когда(если!, хотя я в это не верю) юзеры станут более грамотными, и перестанут заражать свой комп по собственной тупости, доля вирусов, которые прорываются через уязвимости, возрастет многократно, так как вырастет многократно спрос на их написание. Я думал, это понятно без объяснений.

E__>>Вобщем, я считаю идею крайне глупой. Виноват в данной ситуации только заказчик и исполнитель атаки.
_>То есть никто. Или вы тешите себя иллюзиями что реально поймать заказчика и инициатора (а не исполнителя, которым является наш юзер) атаки?

Накажем невиновных, наградим непричастных. Охренеть. Когда программируете, тоже пытаетесь написать workaround вместо того, чтобы разобраться в баге и исправить?

Кстати. А почему это никак не поймать инициатора(а поймав его, уже оффлайн методами поймать заказчика, это у нас умеют)? Для начала атаки на все зараженные машины нужно послать какой-то сигнал(что атакуем, когда, и пр.). Он по астралу, что-ли, передается?

Вобщем, повторяюсь. Корень проблемы в заказчиках, и исполнителях, а не в юзерах, заражающих по тупости свои компы. И бороться нужно только и только с ними. Иначе проблему не решить(а вот поиметь массу геморроя — это пожалуйста). А то, что вы предлагаете — классический русский метод решения проблем через жопу.

Здравствуйте, misha_irpen, Вы писали:
_>>>То же самое. В чем собственно проблема? Тут даже больше возможностей: логи провайдера, запуск программы сетевого мониторинга в присутствии понятых, использование аппаратных средств (специальная "коробочка" с двумя RJ45 включается в разрыв сетевого кабеля и показывает заголовки пакетов).
EK>>Логи -- ладно, допустим, хотя вообще-то они извлекаются только по судебному решению. Ибо приватная информация.
_>Не обязательно полные, а нпрример только лог подключений/пакетов к определенному адресу, принадлежность которого потерпевшей стороне безспорна.
Никакие. Через суд. Точка. Сначала придется продавить это решение.


EK>>Однако, это все не главное. Главное -- то, что есть железная отмазка: "Вредоносные пакеты? Я не знаю что за вредоносные пакеты, я никому никакого зла не хотел. Компьютер сам генерирует? Ну, так обратитесь к производителю компьютера".
_>Он заразил компьютер трояном, и не важно что не заметил этого, все равно виновен во всех связанных с деятельностью этого трояна грехах. А чтоб отмазок не было, нужно делать как в ГАИ: сертефецированный и опломбированный рада... то есть железный анализатор трафика на аппартной базе обычного управляемого свича, и законный способ любого серверодержателя получить провайдерский лог обмена юзера со своим сервером (который ему все равно и так доступен со своей стороны).
"Обычный управляемый свитч" по швам не треснет? Анализировать там нечего, там надо тупо складывать на диск. Объем трафика современного крупного провайдера хорошо представляем, да?


_>>>Почему!? Если машина учавствует (учевствовала) в атаке, то это видно за километр.
EK>>Недоказуемо. Потому что для этого придется доказать, что:
EK>>1) на машине действительно находился соответствующий софт, а это -- долгая и недешевая экспертиза
_>Зачем? Если свидетели и потерпевший видели как подозреваемый ударил потерпевшего дубинкой, но при задержании у подозреваемого дубинки не оказалось, то это значит что подозреваемый невиновен? Нет, в суде это не аргумент и тут не должно быть аргументом, ибо "факт преступления на лицо".
Демагогия. Задержали подозреваемого, а виновным он становится только по решению суда, когда это будет убедительно доказано, в том числе, с привлечением свидетельских показаний, итд итп. Рекомендую рассмотреть вариант, когда лично тебя волокут в кутузку "на основании свидетельских показаний" и без проведения следствия.


EK>>2) софт работал в момент проведения атаки, и что данная конкретная машина участвовала в данной конкретной атаке
_>Логи, анализ трафика.
По каким именно критериям предлагается его анализировать?
На всякий случай: если в ботнете в 1M машин каждая пошлет всего один пакет за, скажем, минуту, то это выльется в 16kpps у жертвы. Если попытается установить нормальную TCP сессию (абсолютно легитимное действие!) -- будет уже не 16 тысяч пакетов, а 16 тысяч соединений в секунду. Или предлагается еще строить корреляции между трафиком отдельных машин?


EK>>3) пользователь мог, но не принял соответствующие меры
_>Водитель поехал на машине, не прошедшей тех-осмотр.
Так, и кто же будет выполнять функцию техосмотра? Придется учитывать, что установка любой утилиты аннулирует этот самый approval -- фиг его знает чего оно там наменяло.


EK>>к 121: "Заражение венерической болезнью"
EK>>

EK>>4. В свое время Пленум Верховного Суда СССР в п. 3 постановления "О судебной
EK>>практике по делам о заражении венерической болезнью" от 8 октября 1973 г.
EK>>указал, что судам необходимо устанавливать наличие доказательств, подтверждающих
EK>>осведомленность виновного о наличии у него венерического заболевания, например,
EK>>предостережения лечебного учреждения, иные данные, свидетельствующие об осведомленности
EK>>о заболевании и его заразности (см. Бюл. ВС СССР, 1973, N 6, с. 17 — 18).
EK>>9. Неопровергнутая уверенность лица в том, что оно полностью излечилось
EK>>от венерической болезни, исключает осуждение его по ст. 121 УК.

_>А тут можно поднапрячь провайдера, чтобы он выполнял роль поликлиники и осведомлял юзера о нездоровой активности с его адреса, предупреждая таким образом его о возможном заражении "венерической болезнью". В этом случае он будет уже осведомлен, а значит может быть привлечен к ответственности. Да и статью за приступную халатность можно приспособить.
Не поможет. Когда "нездоровая активность" уже обнаружена, "преступление" уже того-сь -- свершилось.


EK>>Ну и на закуску: кто должен инициировать разбирательство по делу? Пострадавшая сторона? Так она может находиться под чужой юрисдикцией, где подобная ответственность вообще не предусмотрена.
_>Принять соответствующую конвенцию.
Стоимость международного процесса представляем, да?


EK>>Ну, или наоборот, не предусмотрена у потенциального ответчика.
_>Тут главное чтобы самые массовые страны приняли: США, ЕС, Китай, Южная Корея, Япония, Индия....
После чего начнут активнее долбить из Гватемалы, и только.


EK>>Или предлагается просто сканировать подряд весь трафик, и при обнаружении подозрительной активности лупить веслом по башке? Тогда приведи четкие критерии зловредного трафика.
_>Примерный сценарий процедуры: пострадавшая сторона подает заявление в созданную под это дело интернет-полицию, та проводит расследование и говорит "да, [была | продолжается] атака, сумма ущерба XXX тыс. долл. [в сутки]". Основываясь на этом решении и логах пострадавшей стороны рассылает запросы владельцам адресов и их аплинкам (в странах-учасниках конвенции) с требованием предъявить логи обращений к серверам пострадавшей стороны. На основании логов делаются выводы об участии тех или иных клиентов в атаке. Клиенты наказываются штрафами, которые делятся поровну (например) между пострадавшей стороной и интернет-полицией.
Всему миллиону? Хы-хы....


_>Тут можно использовать систему градаций:
_>За первое такое нарушение -- предупреждение.
_>За второе -- условный штраф.
_>За третье -- реальный штраф, плюс предыдущий условный (если срок давности не прошел).
_>За каждое последуещее -- реальный штраф плюс процент за рецидив.
Тут уже указывали в соседней ветке: как оценивать сумму ущерба?


EK>>>>а для участия в ботнете не требуется производить сознательных действий (и вообще никаких не требуется, оно само случается).
_>>>Само ничего не получается. Да и зараженный бот-клиентом компьютер вполне может быть преравнен к автомобилю без тормозов с соответствующими санкциями.
EK>>Не может. Отсутствие тормозов ощущается сразу, присутствие ботнета может себя вообще никак не выдавать.
_>А если не тормозов? А если резина не по сезону? А "грязный" выхлоп? Много что не выдает себя сразу, но может угражать другим участникам движения. И за все это водитель несет ответственность.
Нет тормозов -- я не понимаю как можно не заметить что у тебя отвалились тормоза и ездить дальше, только намеренно и сознательно. В случае с ботнетом такая ситуация абсолютно нормальна.
Грязный выхлоп -- это сигнал к регулировке и ремонту двигателя, само это не случается. Вот если бы на светофоре в машину забрался гремлин и испортил выхлоп (и это случалось бы сплошь и рядом), тогда бы можно было проводить какие-то аналогии.


EK>>либо, если тебе нужно раз в неделю привезти с дачи какой-нибудь фигни, ехать на автобусе (т.е. пользоваться сертифицированным терминалом).
EK>>через "сетевой терминал", и тогда все его косяки на совести производителя. Либо, работаешь с полнофункциональным подключением к сети, и несешь полную ответственность. Что же до игрушек -- ну, можно будет придумать какой-нибудь туннель/фильтр и так далее.
_>Это все потребует создания большого количества толстых и дешевых каналов, у нас это невозможно из-за расстояний и жлобов.
Каким образом оно потребует каналов?

Здравствуйте, Unmanaged, Вы писали:

EK>>В качестве побочного эффекта сначала т.наз. "правозащитники" погонят волну, что, дескать, участие в ботнете нельзя контролировать с той же легкостью, что и излучение э-м волн.

U>Да.
U>Но мы-то, профессионалы, знаем что это не так.
U>При желании свою систему можно контролировать идеально.
Можно, только для этого всем придется стать профессионалами.


EK>>а для участия в ботнете не требуется производить сознательных действий (и вообще никаких не требуется, оно само случается).

U>Как же не требуется?
U>Ещё как требуется.
U>НеИзучениеТехникиБезопасностиПриРаботеЗаКомпьютеромАТакжеНевыполнениеМерПоОбеспечениюБезопасностиПредложеныеКорпорациейМайкрософт — это не сознательное ли действие, ммм?
Штука в том, что этих мер: а) нету; б) они не работают.

Здравствуйте, Константин Б., Вы писали:
U>>>>
КБ>>>

U>>Эм, а ты здесь зачем поставил этот значок?
КБ>Да лень писать отдельный ответ Eugene Kilachkoff. Но идея с терминалом — имхо... гм... утопична.

Не более чем идея с "штрафовать всех пользователей"

Здравствуйте, Константин Б., Вы писали:

S>>есть конторы производящие подобные устройства. а еще есть конторы активно
S>>пользующие diskless станции, хоть и не в виде спец коробочки.

КБ>Дело за малым. Заставить всех этими устройствами пользоваться.

Законодательно. Либо в сеть с терминала, и ни за что не отвечаешь, либо в интернет со своей машины по правам.

Здравствуйте, Константин Б., Вы писали:

_>>>>Есть ведь такая отвественность за насанкционированную электромагнитную активность (даже не преднамеренную), чем же интернет хуже?
Y>>>и обязательная регистрация цветных принтеров. глупые законы надо отменять, а не плодить.
_>>Правильно. Регистрацию автомобилей и систему прав тоже долой! Чтобы не парить мозги водятлам всякой ненужной фигней, а ответственность за аварии переложим на производителей машин, заодно бампера мягче станут. Так?

КБ>А у нас водители разве несут ответственность если им машину кто заминирует? Не несут. Водители отвечают только за свои действия. Почему пользователи должны отвечать за чужие?

Да нет, все гораздо проще. Предлагается дрючить водителей за то, что они не уследили за гремлинами, подпиливающими рулевые тяги, спускающими шины и смазывающими колеса салом. Точнее, не прямо за это, а за последствия. Потому что сейчас, приехав кому-нибудь в зад или размазав пешехода по столбу можно заявить "а это не я, это гремлин". Заставлять, однако, поголовно всех ночевать с дробовиками (отгонять гремлинов) около машины -- тоже не выход.

Здравствуйте, Eugene Kilachkoff, Вы писали:

_>>Он заразил компьютер трояном, и не важно что не заметил этого, все равно виновен во всех связанных с деятельностью этого трояна грехах. А чтоб отмазок не было, нужно делать как в ГАИ: сертефецированный и опломбированный рада... то есть железный анализатор трафика на аппартной базе обычного управляемого свича, и законный способ любого серверодержателя получить провайдерский лог обмена юзера со своим сервером (который ему все равно и так доступен со своей стороны).
EK>"Обычный управляемый свитч" по швам не треснет? Анализировать там нечего, там надо тупо складывать на диск. Объем трафика современного крупного провайдера хорошо представляем, да?
Я говорю про отдельную клиентскую машину.

_>>Зачем? Если свидетели и потерпевший видели как подозреваемый ударил потерпевшего дубинкой, но при задержании у подозреваемого дубинки не оказалось, то это значит что подозреваемый невиновен? Нет, в суде это не аргумент и тут не должно быть аргументом, ибо "факт преступления на лицо".
EK>Демагогия. Задержали подозреваемого, а виновным он становится только по решению суда, когда это будет убедительно доказано, в том числе, с привлечением свидетельских показаний, итд итп. Рекомендую рассмотреть вариант, когда лично тебя волокут в кутузку "на основании свидетельских показаний" и без проведения следствия.
А кто отказывал в проведении следствия? Просто следствие должно основываться на объективных фактах, а не "на нет и суда нет".

EK>>>2) софт работал в момент проведения атаки, и что данная конкретная машина участвовала в данной конкретной атаке
_>>Логи, анализ трафика.
EK>По каким именно критериям предлагается его анализировать?
Например атакующая машина обычно не дожидается ответа от сервера, ей это не нужно и вносит дополнительную демаскировку перед юзером. Поэтому если машина постоянно делает GET и тут же отключается, значит она атакует.

EK>На всякий случай: если в ботнете в 1M машин
Не думаю что таких ботнетов много, большинство оперируют десятками тысяч.

EK>каждая пошлет всего один пакет за, скажем, минуту, то это выльется в 16kpps у жертвы. Если попытается установить нормальную TCP сессию (абсолютно легитимное действие!) -- будет уже не 16 тысяч пакетов, а 16 тысяч соединений в секунду. Или предлагается еще строить корреляции между трафиком отдельных машин?
16000 соединений в секунду это еще не смертельно (для нормального сервера).


EK>>>3) пользователь мог, но не принял соответствующие меры
_>>Водитель поехал на машине, не прошедшей тех-осмотр.
EK>Так, и кто же будет выполнять функцию техосмотра? Придется учитывать, что установка любой утилиты аннулирует этот самый approval -- фиг его знает чего оно там наменяло.
К сожалению да

_>>А тут можно поднапрячь провайдера, чтобы он выполнял роль поликлиники и осведомлял юзера о нездоровой активности с его адреса, предупреждая таким образом его о возможном заражении "венерической болезнью". В этом случае он будет уже осведомлен, а значит может быть привлечен к ответственности. Да и статью за приступную халатность можно приспособить.
EK>Не поможет. Когда "нездоровая активность" уже обнаружена, "преступление" уже того-сь -- свершилось.
Ну я предлагал систему "скидок" Чтобы не рубить с плеча.

EK>>>Ну и на закуску: кто должен инициировать разбирательство по делу? Пострадавшая сторона? Так она может находиться под чужой юрисдикцией, где подобная ответственность вообще не предусмотрена.
_>>Принять соответствующую конвенцию.
EK>Стоимость международного процесса представляем, да?
А что делать? Эта напасть скоро будет угрожать человечеству не мнее чем терроризм.

EK>>>Ну, или наоборот, не предусмотрена у потенциального ответчика.
_>>Тут главное чтобы самые массовые страны приняли: США, ЕС, Китай, Южная Корея, Япония, Индия....
EK>После чего начнут активнее долбить из Гватемалы, и только.
Очень трудно будет в гватемалах насобирать достаточно машин для мощного ботнета. Чайники с толстыми каналами сидят в основном вышеназванных странах, а в странах третьего мира или каналы дохлые, или компы доступны в основном более продвинутым прокладкам между клавиатурой и монитором.

EK>>>Или предлагается просто сканировать подряд весь трафик, и при обнаружении подозрительной активности лупить веслом по башке? Тогда приведи четкие критерии зловредного трафика.
_>>Примерный сценарий процедуры: пострадавшая сторона подает заявление в созданную под это дело интернет-полицию, та проводит расследование и говорит "да, [была | продолжается] атака, сумма ущерба XXX тыс. долл. [в сутки]". Основываясь на этом решении и логах пострадавшей стороны рассылает запросы владельцам адресов и их аплинкам (в странах-учасниках конвенции) с требованием предъявить логи обращений к серверам пострадавшей стороны. На основании логов делаются выводы об участии тех или иных клиентов в атаке. Клиенты наказываются штрафами, которые делятся поровну (например) между пострадавшей стороной и интернет-полицией.
EK>Всему миллиону? Хы-хы....
Какому миллиону? Не понял.

_>>Тут можно использовать систему градаций:
_>>За первое такое нарушение -- предупреждение.
_>>За второе -- условный штраф.
_>>За третье -- реальный штраф, плюс предыдущий условный (если срок давности не прошел).
_>>За каждое последуещее -- реальный штраф плюс процент за рецидив.
EK>Тут уже указывали в соседней ветке: как оценивать сумму ущерба?
А как определить сумму ущерба от пожара, в котором сгорело все? Точно -- никак, для этого должны быть соответствующие следственные коммисии.

_>>А если не тормозов? А если резина не по сезону? А "грязный" выхлоп? Много что не выдает себя сразу, но может угражать другим участникам движения. И за все это водитель несет ответственность.
EK>Нет тормозов -- я не понимаю как можно не заметить что у тебя отвалились тормоза и ездить дальше, только намеренно и сознательно. В случае с ботнетом такая ситуация абсолютно нормальна.
В той реплике речь не про тормоза была уже, а про резину, которая может незаметно для водилы стать лысой или просто не по сезону.

EK>>>либо, если тебе нужно раз в неделю привезти с дачи какой-нибудь фигни, ехать на автобусе (т.е. пользоваться сертифицированным терминалом).
EK>>>через "сетевой терминал", и тогда все его косяки на совести производителя. Либо, работаешь с полнофункциональным подключением к сети, и несешь полную ответственность. Что же до игрушек -- ну, можно будет придумать какой-нибудь туннель/фильтр и так далее.
_>>Это все потребует создания большого количества толстых и дешевых каналов, у нас это невозможно из-за расстояний и жлобов.
EK>Каким образом оно потребует каналов?
См. выделенное. В моем понимании это тонкий клиент, который имеет минимум всего на борту, а все нужное берет из сети.

Вопрос в тему: а вот побывал на моем компе вирус (троян), и мои почтовые адреса попали в черные списки. Что делать-то теперь? Можно ли как-то восстановить их "репутацию"?

Здравствуйте, dmitry_npi, Вы писали:

_>Вопрос в тему: а вот побывал на моем компе вирус (троян), и мои почтовые адреса попали в черные списки. Что делать-то теперь? Можно ли как-то восстановить их "репутацию"?
Именно е-мейлы? Обычно в черные списки заносят IP. Ну по крайней мере для IP есть возможность удаления вручную на сайте держателей базы. Один раз. При рецидиве будет намного труднее. Наверняка с мылами так же, нужно на сайты баз походить и посмотреть.

Здравствуйте, misha_irpen, Вы писали:

_>>>Он заразил компьютер трояном, и не важно что не заметил этого, все равно виновен во всех связанных с деятельностью этого трояна грехах. А чтоб отмазок не было, нужно делать как в ГАИ: сертефецированный и опломбированный рада... то есть железный анализатор трафика на аппартной базе обычного управляемого свича, и законный способ любого серверодержателя получить провайдерский лог обмена юзера со своим сервером (который ему все равно и так доступен со своей стороны).
EK>>"Обычный управляемый свитч" по швам не треснет? Анализировать там нечего, там надо тупо складывать на диск. Объем трафика современного крупного провайдера хорошо представляем, да?
_>Я говорю про отдельную клиентскую машину.

Я что-то уже вообще потерял нить. То мы говорим о логах провайдера, то о каком-то загадочном черном ящике, который ставится где-то между (у клиента?)...


_>>>Зачем? Если свидетели и потерпевший видели как подозреваемый ударил потерпевшего дубинкой, но при задержании у подозреваемого дубинки не оказалось, то это значит что подозреваемый невиновен? Нет, в суде это не аргумент и тут не должно быть аргументом, ибо "факт преступления на лицо".
EK>>Демагогия. Задержали подозреваемого, а виновным он становится только по решению суда, когда это будет убедительно доказано, в том числе, с привлечением свидетельских показаний, итд итп. Рекомендую рассмотреть вариант, когда лично тебя волокут в кутузку "на основании свидетельских показаний" и без проведения следствия.
_>А кто отказывал в проведении следствия? Просто следствие должно основываться на объективных фактах, а не "на нет и суда нет".

Эти факты еще нужно собрать. И пока что предлагается только "полицейский" интернет, где ведется тотальная слежка за всеми, шаг в сторону -- попытка к бегству. Я вот позавчера по дружбе натравил nmap на одну машинку -- меня тоже теперь волочь за шкирку турма сидеть? А всего навсего приятель хотел узнать как его сервер выглядит со стороны.


EK>>>>2) софт работал в момент проведения атаки, и что данная конкретная машина участвовала в данной конкретной атаке
_>>>Логи, анализ трафика.
EK>>По каким именно критериям предлагается его анализировать?
_>Например атакующая машина обычно не дожидается ответа от сервера, ей это не нужно и вносит дополнительную демаскировку перед юзером. Поэтому если машина постоянно делает GET и тут же отключается, значит она атакует.

Или там просто скрипт определения лучшего зеркала работает. Или AJAX какой-нибудь подкачивает.
Например, пачка исходящих запросов

GET /images/001.gif

GET /images/002.gif

...

GET /images/125.gif

статистически неотличима от ddos'а. А если не статистически -- надо городить либо stateful анализ, либо строить какие-то корреляции. И то и то -- ресурсы.


EK>>каждая пошлет всего один пакет за, скажем, минуту, то это выльется в 16kpps у жертвы. Если попытается установить нормальную TCP сессию (абсолютно легитимное действие!) -- будет уже не 16 тысяч пакетов, а 16 тысяч соединений в секунду. Или предлагается еще строить корреляции между трафиком отдельных машин?
_>16000 соединений в секунду это еще не смертельно (для нормального сервера).

Соединений -- да. А http-запросов с динамикой -- это уже как посмотреть.


EK>>>>3) пользователь мог, но не принял соответствующие меры
_>>>Водитель поехал на машине, не прошедшей тех-осмотр.
EK>>Так, и кто же будет выполнять функцию техосмотра? Придется учитывать, что установка любой утилиты аннулирует этот самый approval -- фиг его знает чего оно там наменяло.
_>К сожалению да

Ну и какой в нем смысл?


_>>>А тут можно поднапрячь провайдера, чтобы он выполнял роль поликлиники и осведомлял юзера о нездоровой активности с его адреса, предупреждая таким образом его о возможном заражении "венерической болезнью". В этом случае он будет уже осведомлен, а значит может быть привлечен к ответственности. Да и статью за приступную халатность можно приспособить.
EK>>Не поможет. Когда "нездоровая активность" уже обнаружена, "преступление" уже того-сь -- свершилось.
_>Ну я предлагал систему "скидок" Чтобы не рубить с плеча.

А как учитывается то, что identity в реальной жизни и в сети -- разные вещи? Представим, что у человека три компьютера с тремя разными подключениями через трех разных провайдеров: дома в городской квартире, на даче, и в каком-нибудь коммуникаторе. Штрафовать по сетевым identity? Так это не решает проблему, раззвиздяй просто заведет себе еще подключение у следующего провайдера.


EK>>>>Ну и на закуску: кто должен инициировать разбирательство по делу? Пострадавшая сторона? Так она может находиться под чужой юрисдикцией, где подобная ответственность вообще не предусмотрена.
_>>>Принять соответствующую конвенцию.
EK>>Стоимость международного процесса представляем, да?
_>А что делать? Эта напасть скоро будет угрожать человечеству не мнее чем терроризм.

Ой, вот давай еще терроризм приплетать сюда не будем.


EK>>>>Ну, или наоборот, не предусмотрена у потенциального ответчика.
_>>>Тут главное чтобы самые массовые страны приняли: США, ЕС, Китай, Южная Корея, Япония, Индия....
EK>>После чего начнут активнее долбить из Гватемалы, и только.
_>Очень трудно будет в гватемалах насобирать достаточно машин для мощного ботнета. Чайники с толстыми каналами сидят в основном вышеназванных странах, а в странах третьего мира или каналы дохлые, или компы доступны в основном более продвинутым прокладкам между клавиатурой и монитором.

Не знаю, не знаю... я вот 10 лет назад не мог себе представить что у меня дома будет broadband-подключение за копейки. А 20-30 лет об этом мечтали только в книжках.


EK>>>>Или предлагается просто сканировать подряд весь трафик, и при обнаружении подозрительной активности лупить веслом по башке? Тогда приведи четкие критерии зловредного трафика.
_>>>Примерный сценарий процедуры: пострадавшая сторона подает заявление в созданную под это дело интернет-полицию, та проводит расследование и говорит "да, [была | продолжается] атака, сумма ущерба XXX тыс. долл. [в сутки]". Основываясь на этом решении и логах пострадавшей стороны рассылает запросы владельцам адресов и их аплинкам (в странах-учасниках конвенции) с требованием предъявить логи обращений к серверам пострадавшей стороны. На основании логов делаются выводы об участии тех или иных клиентов в атаке. Клиенты наказываются штрафами, которые делятся поровну (например) между пострадавшей стороной и интернет-полицией.
EK>>Всему миллиону? Хы-хы....
_>Какому миллиону? Не понял.

Повестка в суд миллиону участников ботнета, которые были замечены в атаке.


_>>>Тут можно использовать систему градаций:
_>>>За первое такое нарушение -- предупреждение.
_>>>За второе -- условный штраф.
_>>>За третье -- реальный штраф, плюс предыдущий условный (если срок давности не прошел).
_>>>За каждое последуещее -- реальный штраф плюс процент за рецидив.
EK>>Тут уже указывали в соседней ветке: как оценивать сумму ущерба?
_>А как определить сумму ущерба от пожара, в котором сгорело все? Точно -- никак, для этого должны быть соответствующие следственные коммисии.

Ниче не понял. Стоимость уничтоженных вещей -- известна, цена восстановления квартиры -- в общем-то тоже. Оплачивать тупо рабочее время задействованных лиц?


_>>>А если не тормозов? А если резина не по сезону? А "грязный" выхлоп? Много что не выдает себя сразу, но может угражать другим участникам движения. И за все это водитель несет ответственность.
EK>>Нет тормозов -- я не понимаю как можно не заметить что у тебя отвалились тормоза и ездить дальше, только намеренно и сознательно. В случае с ботнетом такая ситуация абсолютно нормальна.
_>В той реплике речь не про тормоза была уже, а про резину, которая может незаметно для водилы стать лысой или просто не по сезону.

Чушь, не может она стать лысой незаметно, по крайней мере одномоментно. И это обнаруживается при визуальном осмотре, в то время как для обнаружения ботнета нужно обладать навыками сетевого инженера, и соответствующими инструментами (человеческих органов чувств -- недостаточно).
Не по сезону -- это сознательное действие.


EK>>>>либо, если тебе нужно раз в неделю привезти с дачи какой-нибудь фигни, ехать на автобусе (т.е. пользоваться сертифицированным терминалом).
EK>>>>через "сетевой терминал", и тогда все его косяки на совести производителя. Либо, работаешь с полнофункциональным подключением к сети, и несешь полную ответственность. Что же до игрушек -- ну, можно будет придумать какой-нибудь туннель/фильтр и так далее.
_>>>Это все потребует создания большого количества толстых и дешевых каналов, у нас это невозможно из-за расстояний и жлобов.
EK>>Каким образом оно потребует каналов?
_>См. выделенное. В моем понимании это тонкий клиент, который имеет минимум всего на борту, а все нужное берет из сети.

Терминал здесь в широком смысле -- это необязательно тонкий клиент.

Спасибо всем спорившим со мной, в общем я понимаю что идея наказывать клиента не самая лучшая и справедливая, но почему я все это затеял.
Есть у меня подшефный ресурс: тысяча обращений в секунду, около терабайта иходящего трафика в месяц (никагого медиа, линухов и прочего вареза, только скрипты с выходом по 20-50 килобайт). VPS, на котором все это крутилось трещал по швам и было решено перейти на dedicated, но сразу после перехода и оплаты началась атака на подсеть хостера и вся эта радость легла. Лежит уже долго, унося каждый день массу недополученной прибыли.

И вот посоветуйте человеку, живущему с такого ресурса: что делать? Вычислить заказчиков/инициаторов ведь нереально. Я понимаю, можно перейти к другому хостеру (что сейчас и делается), но если более глобально, как вообще уберечься от этой напасти?

Здравствуйте, Eugene Kilachkoff, Вы писали:

EK>На всякий случай: если в ботнете в 1M машин каждая пошлет всего один пакет за, скажем, минуту, то это выльется в 16kpps у жертвы. Если попытается установить нормальную TCP сессию (абсолютно легитимное действие!) -- будет уже не 16 тысяч пакетов, а 16 тысяч соединений в секунду. Или предлагается еще строить корреляции между трафиком отдельных машин?

Всё ещё хуже. Какой-то процент пользователей могут невольно "присоединиться" к атаке реально запросив сервис...

Вот, скаже, захочешь ты яндексом воспользоваться, а он под атакой тормозит. Ты запрос шлёшь, ответа не дожидаешься и закрываешь браузер. Ты участвовал в атаке?

Здравствуйте, misha_irpen, Вы писали:

_>И вот посоветуйте человеку, живущему с такого ресурса: что делать? Вычислить заказчиков/инициаторов ведь нереально. Я понимаю, можно перейти к другому хостеру (что сейчас и делается), но если более глобально, как вообще уберечься от этой напасти?

Заведи несколько зеркал и возможность перенаправлять вызовы между ними...

Здравствуйте, misha_irpen, Вы писали:

_>ИМХО если принять соответствующее законодательство в основных "интернет-странах", то количество DDoS-атак сократится на пару порядков. В качестве побочного эффекта возрастет компьютерная грамотность люмпенов.

Вообще-то в Москве был период, когда трафик атак оплачивал пользователь. Так что он штрафовался не только падением производительности системы, но и банально деньгами. Эффекта -- ноль.

Здравствуйте, misha_irpen, Вы писали:

_>Интересно, как тутошняя общественность относится к идее административной ответственности юзера за принадлежность его системы к бот-сети? Есть ведь такая отвественность за насанкционированную электромагнитную активность (даже не преднамеренную), чем же интернет хуже?

Потому, что не только вред при атаке со стороны пользователя непреднамеренный, но ещё и ущерб небольшой. Каждый конкретный участник атаки приносит тебе довольно мало вреда.

Здравствуйте, misha_irpen, Вы писали:

_>ИМХО если принять соответствующее законодательство в основных "интернет-странах", то количество DDoS-атак сократится на пару порядков. В качестве побочного эффекта возрастет компьютерная грамотность люмпенов.

ИМХО, если цель состоит в борьбе с атаками, то надо
1) Бороться с атаками на технологическом уровне.
2) Иметь какие-то стандарты на безопасность компа. Ну, например, треборвать чтобы на выходящих в сеть хостах обязательно стояли фаерволы, антивирусы и т. д. И наказывать провайдеров за допуск в сеть хостов у которых это всё не стоит.
3) Я бы ещё вкладывался в бесплатные антивири и раздавал их всем желающим...

Здравствуйте, Erop, Вы писали:

E>Здравствуйте, misha_irpen, Вы писали:

_>>ИМХО если принять соответствующее законодательство в основных "интернет-странах", то количество DDoS-атак сократится на пару порядков. В качестве побочного эффекта возрастет компьютерная грамотность люмпенов.

E>ИМХО, если цель состоит в борьбе с атаками, то надо
E>1) Бороться с атаками на технологическом уровне.
E>2) Иметь какие-то стандарты на безопасность компа. Ну, например, треборвать чтобы на выходящих в сеть хостах обязательно стояли фаерволы, антивирусы и т. д. И наказывать провайдеров за допуск в сеть хостов у которых это всё не стоит.
E>3) Я бы ещё вкладывался в бесплатные антивири и раздавал их всем желающим...

И чего только люди не делают, лишь бы Линукс не учить...

Здравствуйте, Erop, Вы писали:

E>3) Я бы ещё вкладывался в бесплатные антивири и раздавал их всем желающим...

Наверное, единственное действенное решение.

Где качать EropAV?

Здравствуйте, alpha21264, Вы писали:

A>И чего только люди не делают, лишь бы Линукс не учить...

Линукс скорее тем защищен, что его мало. Защита «Неуловимый Джо™». Будет больше Линукса, и вирусы будут писать активнее. В чем разница, iloveyou.exe или iloveyou.sh в почтовом вложении?

Здравствуйте, Roman Odaisky, Вы писали:

RO>Линукс скорее тем защищен, что его мало. Защита «Неуловимый Джо™». Будет больше Линукса, и вирусы будут писать активнее. В чем разница, iloveyou.exe или iloveyou.sh в почтовом вложении?

Например тем, что вряд ли сохраненное вложение сразу будет иметь права на исполнение. Т.е. чтоб его запустить, нужно выполнить некоторые действия.
Кроме того, в грамотно установленной системе это iloveyou.sh не сможет себя записать туда, где сможет выполняться. А там, куда сможет записаться, не сможет выполниться.