Názory k článku Botnet: armáda phishingových otroků
-
anonymníVypnuti SMTP by nefungovalo, protoze klient komunikuje se serverem prave protokolem SMTP.
Pokud si JA od ISP koupim sluzbu firewallu, je vse OK. Ale JA si tu sluzbu musim aktivne objednat.
Nebo snad chces, aby vsechen provoz celeho Internetu bezel pres porty 80 a pripadne 443? Protoze TAM miri Tvoje opatreni. -
anonymníPisete, ze nerozumite tomu, jak komunikuji botnety a zaroven nabizite zakazani odchoziho SMTP provozu jako reseni.
Pro Vasi informaci, SPAM tu byl davno pred botnety, davno pre broadbandem.
Co se neutrality tyce, zdaleka to neni o tom, ze Ti znalejsi mohou mit interneovou neutralitu. Internetova neutralita je
neco jineho, nez blokovani portu. Nelze mit neutralitu jen pro nekoho. To je stejny oxymoron jako trosku tehotna.
Muzeme diskutovat o ledascem. Treba o tom, ze budeme jezdit vlevo nebo ze zmenime stoupai zavitu na sroubech.
Pokud se najde nejaky poslanec, ktery bude chtit uzakonit to, ze ISP maji blokovat port 25, tak mu holt musime vysvetlit, ze jednak problem spamu tim nevyresi a jednak zhorsi postaveni nasich ISP na globalnim trhu. Mimochodem, asi nejlip zafunguje, kdyz mu take rekneme, ze to opatreni nema zadnou oporu v narizenich EU. -
petr_p (neregistrovaný)Není pravda. Přesněji řečeno záleží na tom, jak definujete botnet.
Velmi časté jsou útoky ze zapomenutých linuxových strojů, kdy se prohledávájí podsítě na SSH službu a následně se na ni pokouší robot příhlásit hádáním účtu a hesla. Když se zadaří, tak obvykle nastupuje člověk (linuxové stroje se vzájemně liší na rozdíl od windowsových), který nainstaluje bindshell, robota na prohledávání a kolo se opakuje.
Nejedná se o klasický botnet řízený „jedním příkazem“, ale o to je systém nebezpečnější, protože ke každé oběti se přistupuje jednotlivě s láskou a péčí, jaké jen je cracker schopen. -
RV (neregistrovaný)Nemusim vlastnit SMTP server, abych byl nastvany nad vyse uvedenym chovanim. Nemam rad poskytovatele internetu, kteri jakymkoli zpusobem blokuji provoz - at uz kompletni blokaci portu, transparentni SMTP proxy, ...
Protoze notebook zapojuji v mnoha sitich, musel jsem si zaridit u jednoho poskytovatele SMTP server, ktery mi na zaklade overeni jmena / hesla povoli odeslat email. Tak mam nastaveny jeden SMTP server, jmeno, heslo a funguje mi to na vsech sitich.
Utility, ktere umoznuji menit nastavoveni site podle mista pripojeni jsou nedostacujici. Umi tak akorat zmenit SMTP server, ale neumi zmenit / vypnout jmeno / heslo pro kontrolu uzivatele.
Nehlede na fakt, ze SMTP servery vybranych poskytovatelu odesilaji emaily az po nekolika hodinach, dnech, ... Nepouzitelne.
Zaver? Nucene nastaveni na stmtp.mujprovider.cz je omezovani, bylo a vzdy bude.
Na druhou stranu, toto chovani je mozne pozorovat u levnejsich poskytovatelu, kteri nabizi pripojeni za opravdu smesne penize (6Mbit - 250,-Kc / mesicne), apod. U drazsich a kvalitnejsich je to spise rarita. Kazdopadne nic to nemeni na faktu, ze potom nejde o plnohodnotne pripojeni na internet. -
Michal Kára (neregistrovaný)RSA klicem to nahradili, ale jednak to maji nejak divne synchronizovane (kod je odmitan uz 10-15 sekund pred tim, nez podle klice vyprsi), zadavat to pri kazde transakci je nechutny opruz a zadani "do session" vydrzi jen 15 minut. :-/
To u Interactive Brokers se kod zadava jen pri prihlasovani, ale zas je to karticka s 224 misty a musi se z ni vyhledat dva trojmistne alfanumericke kody - opsat sest cislic je o hodne jednodussi :-/ -
maker (neregistrovaný)Bohužel i port 465 je velmi často blokován. Navíc SMTP přes SSL se už moc nepoužívá, více se používá rozšíření STARTTLS, které ale funguje na portu 25. A přesunout to na jiný port pokud nemám pod kontrolou SMTP server je těžko proveditelné. Navíc Microsoft Outlook neumí STARTTLS jinde než na portu 25.
-
anonymníMýlíte se. Žádný botnet ani jiný rozesílač spamu nebude posílat maily přes smtp server poskytovatele(i kdyby se na něj nemuselo autentifikovat), neboť jinak riskuje své odhalení. Takto botnety v zásadě nefungují. Botnety neustále využívají jediného faktu a to, že je na síti stále hodně počítačů, které mají ip adresu, která ještě není v antispam listech, popřípadě faktu, že ne všechny mail servery tyto antispamy checkují a nedodržují nepřijetí mailu z listu(navíc je příliš mnoho různých antispam listů).
-
Nema smysl byt sprosty. Internetova neutralita a spriznene pojmy jsou pozitivni vec, ale prinaseji sve problemy a militantni pristup zastancu IN ji zbytecne diskredituje.
Nemuzes poprit, ze by vypnuti SMTP fungovalo. Navic, bezny franta uzivatel je opravdu nepotrebuje. Zkus se na to divat tak, ze mu ISP k transparentnimu internetu poskytuje jeste sluzbu firewallu navic, kterou si navic muze vypnout.
Nebo navrhni jine funkcni reseni. -
Kvakor (neregistrovaný)Samozdrejme, ze se zombie pripojuje na primo na cilovy SMTP server (resp. nektery z uvedeny v MX zaznamu) - staci se podivat do logu nejakeho mailserveru, z kolika ruznych stroju po celem svete mu prichazi uplne stejny e-mail (aktualne je to "Drahousek zakaznik" a spol). Vetsina techto stroju ani nema reverzni DNS zaznam, nebo se vydava za neexistujici domenu. A pokud je protrasujete, temer vzdy je to adresa ze site nejakeho broadband providera, takze se temer urcite jedna o soukrome zombifikovane pocitace. Pokud by onen provider blokoval odchozi provoz na portu 25, tak by se spam a phishingove maily z techto zombie nikdy nedostaly ven.
Pokud nekdo namita, ze je to omezovani, tak ano, je to omezovani. Ale pri porovnani toho, co je vetsi zlo, jestli je to nutnost explicitne si nechat povolit provoz na port 25, nebo nechat uzivatele zamorovat Internet spamem a phisingovymy maily, tak znovu rikam, ze to prvni zlo ne mnohem, mnohem mensi nez to druhe. Opravdovym a velkym Zlem by bylo az to, kdy by provider nepovoloval provoz na port 25 za zadnych okolnosti nebo by za povoleni pozadoval penize.
Navic, pokud opravdu potrebujete komunikovat se svym SMTP serverem nekde venku, nebylo by mnohem lepsi a bezpecnejsi pouzit sifrovane SMPT pres SSL tunel (SMTP over SSL), ktere bezi na portu 465, ktery blokovany zcela jiste nebude? Pripadne, pokud je toto moc slozite, tak nastavit jiny port nez 25? (napr. staci zmenit forwarding portu na hranicnim firewallu). Pripadne pouzit VPN na pripojeni k tomuto serveru - ta muze bezet na celkem libovolnem portu, vcetne nejakeho dynamicky alokovaneho.
A ten, kdo rika, ze v pripade vseobecneho blokovani by se zombie prizpusobily - anio, je to mozne. Ale protoze by musel jit veskery SMTP provoz pres nekolik serveru, bylo by mozne minimalne uprozornit uzivatele, jejich stroj generuje obrovska mnozsti posty (kolik normalnich lidi posle bezne vice nez nekolik desitek e-mailu denne?).
N eWeek.com je o tom docela zajimavy clanek, viz
http://www.eweek.com/c/a/Security/Shutting-Down-the-Highway-to-Internet-Hell/ . Uz jeho nazev (pro neaglicinare "Zastavovani dalnice do internetoveho pekla") mluvi sam za sebe ...
BTW: Nas zivot je plny omezovani, ktere maji velky uzitek pro vetsinu za cesnu jistych ustupku pro urcitou mensinu. V idealnim svete by jich nebylo treba, ale nas svet bohuzel idelanim svetem neni. V idealnim svete by nebylo treba blokovat port 25, protoze by kazdy mel svuj pocitac zabezpecney a tudiz nezombifikovany ... -
"Díl zodpovědnosti na záplavě botnetů a jimi realizovaných aktivit poměrně jasně padá na hlavu Microsoftu." - to asi ako tvrdiť, že diel zodpovednosti za úmrtia na ceste padá na hlavu výrobcov automobilov. Alebo že zodpovednosť za kopírovanie audiovizuálnych diel majú na svedomí výrobcovia cd/dvd/hdd ... . To je absolútny nezmysel. Plnú zodpovednosť za aktivitu botnetov majú samozrejme tvorcovia botnetov. -
Kvakor (neregistrovaný)Nejhorsi je to, ze bezny uzivatel si "zamorenosti" sveho pocitace vubec nemusi vsimnout. Pokud se "instaluje" botnet softwaru pres trojskeho kone a onen software je zatim pro antivir neznamy a nechova se prils drze, tak neni nic, co by bezneho uzivatele ochranilo, protoze malokdo z beznych uzivatelu ma nainstalovane odhalovace rootkitu nebo firewall s plnou kontrolou odchoziho provozu (a pokud ano, nejspis to stejne odsoulhlasi).
A rozpoznat na windowsovskem bezicim stroji v zaplave bezicich procesu ty, ktere tam nepatri, popr. rozpoznat v sitovou komunikaci tu, ktera je podezdrela, je pro bezneho uzivatele za beznych okolnosti temer neresitelney ukol. Ne kazdy je takovy paranoik, aby mel spusteny analyzator sitoveho provozu behem pripojeni a cas od casu zkontroloval, co mu bezi za procesy a co delaji (uznavam, ze v Linuxu je to mnohem jednodussi nez ve Windows).
Proto by se melo apelovat na providery, aby defaultne blokovaly prime odesilani posty ze svych klientu (tj. provoz na TCP port 25) a odblokovani provedly jen na zadost uzivatele. -
M. (neregistrovaný)Pokial mi je zname tak velmi vela ludi ma emailove schranky na volnych emailovych serveroch. Staci sa pozriet na pocet uzivatelov gmailu, seznamu, atd. u nas(CR a SR). Samozrejme je vela postovych schranok mrtvych, ale aj tak je to nezanedbatelne percento ludi. Chcem tym povedat, ze vela ludi pristupuje ku svojej poste pomocou weboveho rozhrania, takze nepotrebuju pouzivat protokol smtp vacsinou komunikujuci na porte 25. Preto si myslim, ze takyto napad je pomerne rozumny.
-
anonymníAutor (asi novinářsky záměrně) zaměňuje svou představu, jak by to možná mohlo být s phishingem ČS, s realitou.
Třeba příklady hacknutí php-skriptů se vždy vztahují k určité konkrétní aplikaci (a její verzi) a na nic jiného nefungují. Jedná se o typické novinářské strašení - no ale když je dnes Velký pátek. -
Brnak (neregistrovaný)Zdravim,
nechcete na Lupe zavest nejaky ekvivalent "Ropaka" za excesy v zabezpeceni el. bankovnictvi v CR?
Nominuji nasledujici:
-ING za zruseni linku na internetoveho bankovnictvi z ing.cz v 12/2007 a jeho tiche opetovne zavedeni v 2/2008 (jak se to mam jako klient dozvedet)
-Raiffaisen bank za to ze inetbanking lezi na naprosto nezapamatovatelnem URL (jak si potom muzu byt jisty ze pristupuji tam co posledne)
-brokerjet.cz ktery okamzite presmerovava na jine URL (jak to mam poznat od phishingu...ale zase kluci zrusili obchodni heslo a nahradili ho zdarma RSA klicem, za coz velky dik)
Vylepsovani zabezpeceni by mohl byt dalsi krok pote co banky prestaly ignorovat non-IE prohlizece, nehlede na to ze k tomuto maji vsichni zucasneni daleko vetsi motivaci. -
Kvakor (neregistrovaný)Znemoznime pouzivat? Kolik beznych uzivatelu ma vlastni SMTP server? Malokdo - konfigurace SMTP serveru je netrivialni a pokud neni dobre nastaveny a nema nejaky smysluplny reverzni DNS zaznam, tak je jeho pouziti spis kontraproduktivni.
Vlastni server ma smysl spise pro firmy, pripadne pro profesionaly, co chteji mit naprostou kontrolu nad svymi maily (a takovi lide malokdy mivaji zombifikovane pocitace).
Takze vyslednuy ucinek bude to, ze vetsina uzivatelu (pokud nepouzivaji pouze webmail) si misto napr. smpt.mujmal.cz a pop3.mujmail.cz nastavi stmtp.mujprovider.cz a pop3.mujmail.cz. Je tohle nejake omezovani?
Mam pocit, ze toto je o nekolik radu menci zlo nez nechat uzivatele, aby nevedomky ze svych zombie pocitacu sirili spam. Jinak se klidne muze stat, ze v dusledku jedineho spamujiciho stroje je zablokovanono mnozstvi dalsich uzivatelu lezicich za stenym NATem. Nektere blacklisty dokonce blokuji cele rozsahy, takze tam mohou padnout i ti, co maji verejnou adrssu. A to ani nemluvim o zbytecnem provozu, ktery brzdi ostatni ..
A jak uz jsem napsal, zakaznik by mel mit pravo provozovat vlasni SMTP server, takze provider by mu mel port 25 povolit, pokud o nej pozada.
BTW: Muj provider zablokoval toto zablokovani provedl zhruba na zacatku roku a jedinou vec, co jsem musel udelat, bylo prepsat odchozi SMTP server. -
To samozrejme nechci.
S tim smtp mas pravdu. Mel jsem na mysli pravidlo zakazujici externi pripojeni k SMTP serveru. I kdyz ted me napada, ze nevim, zda se spam rozesila tak, ze se k ovladanemu pocitaci pripoji nekdo zvenci, nebo si ovladane PC posle ten spam samo pres svuj vlastni smtp. V druhem pripade by to samozrejme nic nevyresilo.
Ale k tomu "aktivne objednat" - s tim nesouhlasim. Mozna tim co pisu oteviram pandorinu skrinku, ale milion beznych uzivatelu si nic aktivne neobjedna, protoze je jim to jedno nebo tomu proste nerozumi. Treba ja mam pripojeni od UPC, a mam verejnou IP. Kdybych nebyl za vlastnim firewallem, tak jsem si jisty ze uz davno posilam spam taky. A kdyz si predstavim, ze si to poridi nekdo, kdo nema ani tuseni o bezpecnosti, tak je mi jasne, jak to s nim dopadne.
Nebo povazujes za zadouci, aby hordy neznalych uzivatelu meli sve derave stroje pripojene na verejne IP uplne transparentne do internetu? Je to snad jen nutna obet, aby ti znalejsi mohli mit internetovou neutralitu?
Nez se spusti flame: sam jsem zastancem internetove neutrality, sam chci mit vsechny porty otevrene, sam chci mit verejnou IP. A priznavam, ze na vsechny vyse psane veci neznam spravnou odpoved. ALE: kdyz budou vsichni nerdi agresivne rvat "kdo nechce neutralitu, at jde do pr*ele", a takto umlcovat diskuzi, tak to brzy nekdo pouzije jako zbran proti nim. Napriklad nejaky poslanec postavi cely problem do polohy "bud internetova neutralita, nebo konec spamu" -- a to snad nechce tady z nas nikdo. -
anonymní"to asi ako tvrdiť, že diel zodpovednosti za úmrtia na ceste padá na hlavu výrobcov automobilov"
Pokud budou vyrobci automobilu vyrabet auto, ktery budou mit nefunkcni brzdy, blinkry a dalsi dulezity vybaveni, tak ANO. Nastesti vyrobci auto na bezpecnost dbaji hodne. Microsoft se spis snazi delat "hezky" veci. -
anonymní'Nejhorsi je to, ze bezny uzivatel si "zamorenosti" sveho pocitace vubec nemusi vsimnout. '
A to je taky duvod, proc by mel nest (aspon dil) odpovednost take ten uzivatel. Pokud jeho pocitac bude v botnetu, ISP by mu mel zablokovat kompletne pristup a dat mu vedet, ze ma zneuzitej pocitac.
Kdyz budu jezdit autem, ktery nebude odpovidat emisnim pozadavkum, nebo mi bude z auta kapat olej/benzin, tak me policie taky upozorni, ze to musim nechat opravit, nebo nejezdit. A lidi se taky MUSI naucit jezdit s autem - neni to tak, ze proste koupi auto, sednou a jedou. Jsou nejaky pravidla silnicniho provozu, auto ma ruzny packy na svetla, sterace a blinkry, nejakym zpusobem se radi, musi se pripasat a jezdim podle kvality silnice a podle svych zkusenosti, atd. Tohle vsechno se lidi MUSI naucit, nez zacnou jezdit autem. Musi slozit zkousku a pak dostanou ridicak.
Pocitac si lidi koupi i se systemem a dal je nezajima udrzba, bezpecnost a dalsi veci. Proste jenom klikaji na vsechno, ci vidi. Tak potom by mely nest taky odpovednost za svoje ciny. -
maker (neregistrovaný)Zcela souhlasím. Navíc zakazování portu 25 je spíše kontraproduktivní. Tvůrce bootnetu prostě budou posílat spam přes mailserver daného providera. Ten mohou zjisti z konfigurace klienta na PC nebo prostě z veřejně známých udajů o providerovi. Takže provider se ještě postará o správné doručení mailu a ochrana typu greylisting selže.
Pokud chceme udělat ochranu proti spamu tak by:
- Všechny SMTP servery měli umožňovat relay až po přihlášení a to včetně serverů providera, který typicky pouští poštu ze své sítě bez oveřování.
- Hlavička FROM by se měla shodovat s účtem pod který se uživatel k serveru přihlásil. To mimo jiné znamená, že mail s odesilatelem nekdo@firma.cz musí jít přes mailservery firma.cz.
- Přijímající mail server by měl zkontrolovat, že mail přišel od SMTP serveru, který pro danou doménu (z FROM) je oprávněn poštu posílat (např. SPF záznam v DNS).
Bohužel to nejde nasadit protože jsou sítě, kde je prostě jiný než určený mailserver použít nejde.
ČLÁNKY DO MAILU