<<<предыдущий список следующий>>>

Это - копия документа, находившегося на http://dz.ru. Авторские права, если не указано иначе, принадлежат Дмитрию Завалишину и/или Евгении Завалишиной. Все изменения, внесенные мной, находятся в этой рамочке.Пожалуйста, прочитайте disclaimer.


30 Августа 1997 года
Но я не знаю, как идет сигнал,
И я не знаю принципов связи...

Б.Г.

KOI-8R version here

Обычно мы не выходим по выходным, но сегодня, по той причине, что страсти вокрук "Neon-V" против "Демос" не утихают, мы подготовили специальный выпуск.

Возвращаясь к этой теме, мы публикуем подборку материалов из конференции relcom.postmasters.d. Подборка делается по принципу выбора текста, содержащего факты, эмоции и мнения. Опущены несущественные цитаты и фрагменты, которые нам показались не несущими полезной информации. Конечно, подборку нельзя считать отражающей абсолютно все мнения участников дискусии, и если Вы хотите полноты - ищите архивы. Мы же публикуем то, что нам показалось интерсным.

Сохранена орфография оригиналов.


From: Vladimir Lednev vled@neon.dp.ua
Date: 27 Aug 1997 21:55:19 +0300
Organization: ISP Neon-V
Message-ID: <5u1t6n$1v5$1@neon.dp.ua>

...

Телефонных разговоров (с "Демосом" -- dz) состоялось около 6ти. Пять с секретарями на входных
голосовых телефонах во время которых я неоднократно оставлял свой телефон
с просьбой перезвонить. В конце-концов мне удалось связаться с необходимым
человеком. В процессе беседы, о которой Вы упомянули, мне стало известно:
а) причина атаки, которая в последствии оказалась не правдой
б) ФИО атакующего, при этом телефон его не сообщили, под предлогом, что где-то
далеко в бухгалтерии. (у вас что? Каждый день атаки? Такие телефоны необходимо
иметь на столе уже через 15 минут после события. :-| ) Мне так же сообщили,
что если я буду настаивать, то мне выдадут этот телефон. Я настаивать не стал
и сказал, что если мне понадобится - я перезвоню.

так же
в) Демос поинтересовался, собираюсь ли я предать делу огласку через СМИ.

Создалось впечатление, что Демос больше всего интересуют СМИ, а не сам факт
вандализма.
...

Единственным "документом" (которое и документом назвать трудно, тем более
официальным) был e-mail, в котором было сказано о нарушении трудовой дисциплины
сотрудником Демоса, о суровом наказании и о CERT'е. Т.е. этим письмом Демос
взял всю ответственность на себя. Так причем здесь "тот парень"? Совершить
ошибку - просто. Исправить ошибку - трудно!
...

1. Почему (зачем?) один из крупнейших ISP России позволяет себе хулиганскую
выходку в виде атаки по отношению к более меньшему ISP Neon-V из Украины?
2. Почему Демос не желает достойно и подобающе выйти из сложившейся
ситуации?


From: "Dima Volodin" <dvv@dvv.ru>
Date: 27 Aug 1997 21:27:48 GMT
Message-ID: <01bcb330$0eb9f000$0a02020a@a-dam>

> 1. Почему (зачем?) один из крупнейших ISP России позволяет себе
хулиганскую
> выходку в виде атаки по отношению к более меньшему ISP Neon-V из Украины?

И перестали ли они бить своих жён?


From: Evgeny Didenko <eugen@noway.demos.su>
Date: 28 Aug 1997 06:45:04 GMT
Organization: Demos Online Service
Message-ID: <5u36pg$3j6$1@news.demos.su>

: 1. Почему (зачем?) один из крупнейших ISP России позволяет себе хулиганскую
: выходку в виде атаки по отношению к более меньшему ISP Neon-V из Украины?

Да нафиг это Демосу не нужно. Опять Вы все пытаетесь представить как
акцию Демоса против Neon-V в то время как это была не акция Демоса а
хулиганские выходки его бывшего сотрудника. Улавливаете разницу ? Если не
улавливаете, то поясню еще раз, то это было организовано не Демосом а
частным лицом.


From: boris mostovoy <vms@breaker.gu.net>
Date: 28 Aug 1997 10:16:59 GMT
Organization: Global Ukraine Inc
Message-ID: <5u3j6r$21q6$1@whale.gu.net>

ED> Да нафиг это Демосу не нужно. Опять Вы все пытаетесь представить как
ED> акцию Демоса против Neon-V в то время как это была не акция Демоса а
ED> хулиганские выходки его бывшего сотрудника. Улавливаете разницу ? Если не
ED> улавливаете, то поясню еще раз, то это было организовано не Демосом а
ED> частным лицом.

хмм. отбросив "нафиг" строим цепочку:

для полного контроля за ethernet'ом на нужны либо придурки root'ы, которые позволяют это делать любому "частному лицу" вытворять все, что угодно на серверах Демоса

либо серверами Демоса управляют "частные лица" которые могут сотворить все, что угодно в любой момент времени.

Комментарии?


From: Evgeny Didenko <eugen@noway.demos.su>
Date: 28 Aug 1997 12:24:22 GMT
Organization: Demos Online Service
Message-ID: <5u3qlm$n7u$1@news.demos.su>

:  Комментарии?

Третий раз повторяю - атака была произведена с _ПЕРСОНАЛЬНОГО_ компьютера. Не с _СЕРВЕРА_ Демоса, root'овый пароль от которого приклеен на консоли а с _ПЕРСОНАЛЬНОГО_ рабочего места.

Обсуждение вопросов о том стоит ли иметь персональные места под Unix'ом и о том как у кого устроена локальная сеть, надеюсь, уже выходят за рамки обсуждаемой темы.

 


From: Valentin Tverdohleb <well@gw2.neon.dp.ua>
Date: 28 Aug 1997 14:20:22 GMT
Organization: ISP Neon-V
Message-ID: <5u41f6$p42$1@neon.dp.ua>

ED> Да нафиг это Демосу не нужно. Опять Вы все пытаетесь представить как
ED> акцию Демоса против Neon-V в то время как это была не акция Демоса а
ED> хулиганские выходки его бывшего сотрудника. Улавливаете разницу ? Если не
ED> улавливаете, то поясню еще раз, то это было организовано не Демосом а
ED> частным лицом.

Как говорил Остап Бендер: "Не учите меня жить, луше помогите материально". Это "частное лицо" в тот момент являлось официально работником компании Демос и дествовало с машин Демоса. А то что вы не умеете управлять своими кадрами - это ваша проблема. И если от этого начинают страдать другие, отвечать должна фирма, а не "частное лицо".


From: "Dima Volodin" <dvv@dvv.ru>
Date: 28 Aug 1997 14:55:09 GMT
Message-ID: <01bcb3c2$605f0ac0$0a02020a@a-dam>

Интересно - перед _своими клиентами_ компания отвечает только на уровне best effort. А тут - совершенно левые люди машут руками и брызжут слюной даже после того, как компания сделала всё возможное чтобы прекратить проблему и избавиться от человека, сознательно эту проблему создавшего в нарушение всех правил, по которым Демос работает. Если же действительно всё было так плохо, и действительно требуется конкретная материальная сатисфакция - судитесь. Как говорят всякие американе, put your money where your mouth is. Или так - put up or shut up.


From: "Vadim Bandurenko" <vadim@ok.gu.kiev.ua>
Date: 28 Aug 1997 00:39:24 +0300
Organization: unknown
Message-ID: <ADn891qmc9@ok.gu.kiev.ua>

>Руководству GU было сообщено имя и фамилия виновника, и прдложено
>возместить все документально подтвержденные убытки ...
               ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

  Это как? Сотрудники GU должны были отражать атаку и не забыть при этом "документально зафиксировать убытки"???  Распечатать весь посту- пивший "мусор", собрать протоколы пострадавших юзеров для вещдоков???   На мой взгляд формулировка "документально подтвержденные убытки" дает возможность _почти гарантированно_ уйти от ответственности: трудно представить такой документ, по которому можно взыскать (да еще на межгосударственном уровне) убытки от "неизвестной нештатной деятельности программно-технических комплексов"! Зато использование указанного термина резко сужает возможности пострадавшего по добро- вольной компенсации ущерба виновным.


From: avk@jet.msk.su (Andrew V. Kovalev)
Date: 28 Aug 1997 14:21:11 GMT
Organization: Jet Infosystems
Message-ID: <5u41gn$642$1@tiger.jet.msk.su>

>   Это как? Сотрудники GU должны были отражать атаку и не забыть при
> этом "документально зафиксировать убытки"???  Распечатать весь посту-
> пивший "мусор", собрать протоколы пострадавших юзеров для вещдоков???

Сколько я читал умных книжек про компьютерную безопасность, везде большимибуквами написано - если вы почуствовали, что вас имеют - ВЕДИТЕ ЖУРНАЛ!


From: "Anve Netch" <netch@macsim.kiev.ua>
Date: 29 Aug 1997 00:54:18 +0300
Organization: Netch at home
Message-ID: <AFYAU1qyeI.netch@macsim.kiev.ua>

> Сколько я читал умных книжек про компьютерную безопасность, везде большими
> буквами написано - если вы почуствовали, что вас имеют - ВЕДИТЕ ЖУРНАЛ!

    Все пакеты писать? Ню-ню.


(NB! -- dz)

From: Vadim Antonov <avg@pluris.com>
Date: Wed, 27 Aug 1997 14:51:11 -0700
Organization: A-Link Network Services, Inc.
Message-ID: 3404A14F.167EB0E7@pluris.com

 

Andrew Stesin wrote:
>
>         Нееет, я все еще надеюсь не мытьем, так катаньем
>         уговорить инженеров Демоса "отдаться" ;) и провести
>         аккуратный эксперимент в оговоренное заранее время,
>         обнародовать тонкие причины -- что ж это была за вариация
>         christmas tree которая ставила в позу cisco,
>         и почему они загибались, и что на этот счет думает cisco,
>         и передать source приблуды американцам, чтобы те cisco-в
>         отпопуляризировали и заставили изучить эффект.

No use.  The problem with cisco is not software-related, but rather architectural.  Their hardware cannot handle IP options and other interesting cases (nobody's hardware actually can, btw) so all interesing packets cause CPU interrupts which always have "higher priority" than any processes.

I.e. a relatively low-speed stream of "interesting" packets can completely overflow cisco's CPU and starve routing protocols and line keepalives.

The worst part of it is that it cannot be fixed w/o replacing hardware completely.

Vadim Antonov
CTO, Pluris Inc
http://www.pluris.com

 


From: Vadim Antonov <avg@pluris.com>
Date: Thu, 28 Aug 1997 13:49:17 -0700
Organization: A-Link Network Services, Inc.
Message-ID: <3405E44D.FF6D5DF@pluris.com>

-= ArkanoiD =- wrote:

> > Content-Type: text/plain; charset=iso-8859-1
>                             ^^^^^^^^^^^^^^^^^^
>
> Во-первых,раз уж фонты koi поставил,то неплохо бы и софт настроить - а то я
> русскоязычную часть письма и не вижу в результате..

Tell that to the idiots in Netscape (for some unclear reason there's no way to control charset on per-message basis, or disable their f*d up MIME completely).

> > No use.  The problem with cisco is not software-related, but
> > rather architectural.  Their hardware cannot handle IP options
> > and other interesting cases (nobody's hardware actually can, btw)
> > so all interesing packets cause CPU interrupts which always
> > have "higher priority" than any processes.
>
> Не знаю,не знаю причем тут hardware. У меня вот firewall их
> просто фильтрует к чертовой матери.

At 45 Mbps?  You've got one hell of a big firewall then.

Kids, firewalls are between low-speed customers and the backbone. There cannot be any firewalls to protect _backbones_.

> > I.e. a relatively low-speed stream of "interesting" packets
> > can completely overflow cisco's CPU and starve routing protocols
> > and line keepalives.
>
> Ну.. afaik весьма "relatively". Эксперименты ставил?

Of course. Better yet, i know all people who used to be in charge of cisco IP forwarding software, and discussed those things with them extensively.

> > The worst part of it is that it cannot be fixed w/o replacing
> > hardware completely.
>
> Откуда такое мнение?

Because i know how ciscos work inside, and did quite a lot of alpha-testing for them.

--vadim

 


From: Vadim Antonov <avg@pluris.com>
Date: Wed, 27 Aug 1997 20:53:56 -0700
Organization: A-Link Network Services, Inc.
Message-ID: <3404F654.446B9B3D@pluris.com>

 

Oleg Panashchenko wrote:
>
> Эмоции в карман.
>
> Как-то никто не говорит, как можно было бы предотвращать аварийные
> апгрейды чужих 7000, инициируемые c местных 9600.
>
> Идея, собственно, такова. Force symmetric routing.
>
> Пусть толстая киска отказывается раутить IP пакет, приходящий из
> дырки X c source IP Y, если адрес Y в ее таблице не раутится в дырку X.
>
> Куча тонкостей. Есть и принципиальные. 

The most principal one is that asymmetrical routing in peer-backbone configuration is _necessary_.  Without it thsre is _no_ way to hide details of interior routing in the backbones.  Such hiding (or reduction of routing information) is critical - without it the amount of routing data exchanged would be too huge for even the mightiest supercomputers to handle.

Think aggregation.

--vadim

PS  "Symmetrical" routing can and should be forced at tail  (customer access) circuits.  In fact, symmetricity of paths is not necessary, a more relaxed condition of not accepting packets from interfaces which are not exit points for packet's source addresses, _as found in any RIB_.

This would neatly take care of multihomed configurations, as long as customer announces all his routes to all access     circuits.

 


From: Vladimir Vorobyev <bob@fagot.turbo.nsk.su>
Date: 28 Aug 1997 05:00:38 GMT
Organization: AO Rinet
Message-ID: <5u30lm$si$1@gts.nsk.su>

Rudnev Aleksei <alex@newcom.kiae.su> wrote:
> Ты там один был такой, а тут весь НОК плакал навзрыд, читая статью. Особенно если
> учесть, что от нас все выглядело совсем примитивно:

> - начиная с пятницы наблюдались небольшие чудеса.
> - в понедельник я вышел из отпуска и увидел их сам.
> - во вторник часов в 14 озадачился, так как чудес стало больше

Знаешь Леша, у меня тогда сложилось такое ощущение что если бы ты не вышел из отпуска и если бы я в очередной раз не достал noc (уже с тобой) с просьбами разобраться в том что у вас там происходит, то вся эта фигня так и продолжалась бы. Эти "небольшие чудеса" в течении нескольких суток в отсутствие реакции на просьбы устранить бардак на M9 начинали наводить на бредовые мысли о смене провайдера.


From: Evgeny Didenko <eugen@noway.demos.su>
Date: 28 Aug 1997 09:01:56 GMT
Organization: Demos Online Service
Message-ID: <5u3eq4$g8o$1@news.demos.su>

In relcom.tcpip Valentin Tverdohleb <well@gw2.neon.dp.ua> wrote:

: : 1. Из текста статьи следует, что обнаружением и подавлением
: : источника заразы занимались лишь доблестные парни из Neon-V и GU.
: : О роли Demos'а и Relcom'а, стараниями которых в итоге все было найдено,

: О "роли Demos'a" в этом деле по-моему все уже в курсе. Вы это начали
: и теперь рассказываете, что без вас бы "доблесные парни из Neon-V
: и GU" с этой проблемой не справились? Это мне напоминает человека,
: который взял пистолет, вышел в город, перестрелял кучу народу,
: а потом сам застрелился и про него начали говорить, что он хороший
: парень, так как помог полиции справиться с самим собой    ;)

Не надо делать из факта хулиганства сотрудника Демоса факт спланированного нападения _Демоса_ на Neon-V. Неужели не понимаете разницу ? Если бы Демос (а не его отдельный и, мягко говоря, не самый квалифицированный в этом деле сотрудник) захотел бы напакостить Neon-V, то уж поверьте, сделано было бы все так, что никто бы и не догадался кто есть реальный виновник ;-). Только не поймите это ради бога как угрозу.
Демос Вам пакостить не собирался и никому не собирается.

: Если вы так говорите при доказанности вашей вины, можно представить,

Еще раз повторяю. Есть прямая вина частного лица. Вина Демоса, как организации в которой это лицо работало, косвенна. А положительная роль Демоса в этой истории состоит в реагировании и подавлении.

...

: : 2. В тексте статьи использованы цитаты из личной переписки без
: : согласия того, кому эти слова принадлежат. При этом в весьма выгодном для
: : автора статьи контексте, извращающем их исходный смысл. Это отнюдь не
: : способствует нормальным отношениям между техническими службами, что
: : печально.

: Интересно, что бы писали вы, если бы по чьей-то вине ваши каналы
: не работали в течении нескольких суток ? Уж явно не хвaлили бы их.

Вы что, думаете на нас и на наших клиентов никогда не нападали ? Нападали, причем даже с прохаченных московских ISP и это не осложняло отношений между нами. Мы просто достаточно хорошо себе представляем недостатки Internet и отсутствие подобных скандалов с привлечением прессы, раздутых по нашей инициативе, говорит лишь о том, что мы расцениваем такие вопросы скорее как технические.


From: Evgeny Didenko <eugen@noway.demos.su>
Date: 28 Aug 1997 13:21:32 GMT
Organization: Demos Online Service
Message-ID: 5u3u0s$3jo$3@news.demos.su

In relcom.tcpip Serguei Koubouchine <ksi@gu.net> wrote:
: In relcom.postmasters.d Evgeny Didenko <eugen@noway.demos.su> wrote:
: > In relcom.tcpip Valentin Tverdohleb <well@gw2.neon.dp.ua> wrote:
: > Не надо делать из факта хулиганства сотрудника Демоса факт
: > спланированного нападения _Демоса_ на Neon-V. Неужели не понимаете
: > разницу ? Если бы Демос (а не его отдельный и, мягко говоря, не самый
: > квалифицированный в этом деле сотрудник) захотел бы напакостить Neon-V,
: > то уж поверьте, сделано было бы все так, что никто бы и не догадался кто
: > есть реальный виновник ;-). Только не поймите это ради бога как угрозу.
: > Демос Вам пакостить не собирался и никому не собирается.

: Каждый в ответе за тех, кого он приручил... Атаку организовал _ВАШ_
: сотрудник с правами рута на _ВАШЕМ_ оборудовании используя _ВАШИ_ каналы.
: Продолжалось это достаточно долго (только непосредственно атаку мы бороли
: четверо суток, а первые признаки подготовки к ней проявлялись еще раньше). И
: поэтому за действия этого частного лица несет ответственность именно его
: работодатель.

Я абсолютно согласен с тем, что Демос несет ответственность за случившееся. Мне всего-лишь не нравятся Ваши упорные попытки представить случившееся как акцию Демоса против Неона, причем спланированную и тщательно подготовленную. Учтите, что непосредственный виновник и тот кто отвечает за случившеся, в общем случае, могут быть разными.

Впрочем, у меня создается впечатление что не всем доступно понятие "общего случая" и пример с ultra1.demos.su тому подтверждение ;-(.

: А насчет никто бы не догадался, это Вы, батенька, IMHO, заблуждаетесь.
: Идеальных преступлений не существует.

У каждого свои способности по части маскировки. А в случае Internet'а сделать гадость и замести следы не такая уж и невыполнимая задача.

: И еще такой вопрос интересный. А у вас что, все эти дни не возникло
: любопытства, отчего же так вдруг резко нагрузились ваши внешние каналы?

Честно говоря, мы не заметили существенной разницы. Потом дело не в каналах. Суть не в том что их забивают а чем забивают. Как тут уже было сказано, для этого толстые каналы и не нужны.

: Ведь shit-то наружу именно через ваши внешние каналы пер, а у вас там,
: AFAIK, даже не T3...


From: Serguei Koubouchine <ksi@gu.net>
Date: 28 Aug 1997 12:08:32 GMT
Organization: Global Ukraine Inc.
Message-ID: <5u3po0$2jvq$3@whale.gu.net>

> А что касается рутовых
> логинов, то ведь не с технологической машины Вас ломали.

Дык а с какой же? Или ultra1.demos.su, пойманная на повторявшихся с хорошей регулярностью сериях пингов, не технологическая машина? Тогда звыняйтэ...


From: Evgeny Didenko <eugen@noway.demos.su>
Date: 28 Aug 1997 13:06:54 GMT
Organization: Demos Online Service
Message-ID: 5u3t5e$3jo$2@news.demos.su

: Дык а с какой же? Или ultra1.demos.su, пойманная на повторявшихся с хорошей
: регулярностью сериях пингов, не технологическая машина? Тогда звыняйтэ...

Ну что можно сказать человеку, сделавшему на основании повторяющихся пингов вывод о том, что ломали именно с той машины с которой были пинги ? Ну если Вы не в состоянии предположить, что бомбить можно с одной машины а пинговать с другой...


From: Evgeny Didenko <eugen@noway.demos.su>
Date: 28 Aug 1997 09:52:13 GMT
Organization: Demos Online Service
Message-ID: 5u3hod$7j8$2@news.demos.su

In relcom.tcpip Serguei Koubouchine <ksi@gu.net> wrote:

: Демоса не потрудились даже как следует извиниться за действия "частного
: лица" с рутовым паролем на одном из их серверов.

Повторяю - атака велась с персонального компьютера.


From: Evgeny Didenko <eugen@noway.demos.su>
Date: 28 Aug 1997 12:57:35 GMT
Organization: Demos Online Service
Message-ID: 5u3sjv$3jo$1@news.demos.su

In relcom.tcpip Serguei Koubouchine <ksi@gu.net> wrote:

: > : Демоса не потрудились даже как следует извиниться за действия "частного
: > : лица" с рутовым паролем на одном из их серверов.

: > Повторяю - атака велась с персонального компьютера.

: Под названием ultra1.demos.su?

У Вас есть доказательства, что атака была с ultra1.demos.su ? У Вас есть только данные о том, что с ultra1.demos.su Neon-V щупали ping'ами (что абсолютно верно). Но вот программа, которая бомбила Neon-V, была
запущена на PC'шке. Только не говорите мне что я не прав. Атака была приостановлена выдиранием у этой PC'шки ethernet'а (что там на ней творилось уже посмотрели когда на нее зашли) а уж задние части PC и Sun'а я отличу друг от друга с завязанными глазами.

И еще. С какого именно компьютера шел мусор Вы просто не можете знать так как source address был левый. Так что Вам остается только:

- поверить мне как одному из ликвидаторов;
- не утверждать того чего Вы знать просто технически не можете.


From: Serguei Koubouchine <ksi@gu.net>
Date: 28 Aug 1997 12:09:58 GMT
Organization: Global Ukraine Inc.
Message-ID: 5u3pqm$2jvq$4@whale.gu.net

In relcom.postmasters.d Evgeny Didenko <eugen@noway.demos.su> wrote:
> In relcom.tcpip Serguei Koubouchine <ksi@gu.net> wrote:

> : А вот, например, Линух с включенной опцией "Always Defragment" сей мусор
> : просто тихонько выбрасывал... И не ребутился... И загрузки при этом у него
> : не более 10% было... А CISCO 70XX падали...

> Смотря у кого. У нас, например, 7507 (загруженная, кстати) не падала.
> Хотя, конечно, ей было несколько хуже обычного.

Когда наши друзья Digex'ы вперли туда 7500, оно у них тоже падать перестало. Начало вокруг :))


From: tsv@haunt.amt.ru (Serge Turchin)
Date: 28 Aug 1997 12:39:56 GMT
Message-ID: <5u3ris$nbq$1@jumbo.demos.su>

Vladimir Lednev (vled@neon.dp.ua) wrote:

> In relcom.postmasters.d Serge Turchin <tsv@haunt.amt.ru> wrote:
> ST> Vladimir Lednev (vled@neon.dp.ua) wrote:
> ST> [...skipped]

> > Т.е. Вы отверждаете, что если я завтра обращусь в Демос с соответствующими
> > документами, то убытки будут возмещены?
> ST> А дальнейшим шагом в направлении денежных рассчетов я бы считал правильным
> ST> взыскание денег с владельцев непрофессионально настраиваемых серверов DNS. :-)
> ST> Поскольку они довольно регулярно устраивают/устраивали подобные штормы, порою
> ST> тоже на пару выходных, с неменьшим, а иногда и большим темпом запросов. Прав-
> ST> да с фиксированными src адресами пакетов, что упрощает проблемы. Вот
> ST> я дурак, в свое время мог бы печатать такие же душераздирающие публикации
> ST> раза два, а то и три в месяц. С какой угодно национальной окраской...

> Очень смешно.

Это Вам смешно. А я мог бы легко рассказать абзацев на десять-двадцать про бессонные ночи, мешки под глазами, прямую диверсию администраторов рутовых серверов из министерства обороны США против Интернета молодой демократической России (была и такая техническая проблема) и др. и пр. Очень круто и душещипательно могло бы получиться. Есть только две проблемы - гипертрофированное чуство юмора и врожденная брезгливость.

> ST> И с такими же стонами про бесцельно потерянное время в выходные и праздники.
> ST> Круги под глазами и прочие ужасти... :-) В конце концов преступная халатность
> ST> и злой умысел - явления одного порядка.

> Вы не правы. Ущерб от преступной халатности и от злого умысла может быть
> одного порядка. А понятия эти разные по определению. Если в первом случае
> человеком движет желание сделать лучше, то во втором случае мотивы совсем
> другие. И именно это печально...

К конкретному виновнику и в том и в другом случае может быть применена любая мера пресечения, впоть до уголовной ответственности. В конце концов, участники эксперимента на ЧАЭС тоже хотели сделать как лучше. Очевидно, что и в том и в другом случае администрация узла не является огранизатором безобразий. И в том и в другом случае мера наказания к администрации узла, применительно к компании определяется степенью ущерба. Смягчающие обстоятельства могут играть роль, но, по-сути, степень вины руководства примерно равна, ибо в основе ее лежат кадровые проблемы. От них не застрахован никто.


From: vdv@public.ua.net (Dmitry Volodkovich)
Date: 28 Aug 1997 10:02:07 GMT
Organization: CS/MONOLIT Network centre
Message-ID: 5u3ib0$jfg@bit.cs.kiev.ua

Andrew Stesin (stesin@gu.net) wrote:
> On Wed, 27 Aug 1997, Rudnev Aleksei wrote:

> > А суть событий вроде уже ясна.
> Кстати. Почему американцы не ухватились за трассирование сразу --
> они свято и упрямо верили, что все фигня, вот ща cisco заапгрейдим,
> и ребуты и потери прекратятся.  Потом уже когда они на 75xx намерили
> 24Mbps хлама при реальных 2.4Mbps -- вот только тогда
> они охренели полностью, но в этот момент уже работали
> в Москве, и удавили объект чуть ли не раньше, чем американцы

Разрешите уточнить один технический вопрос. Может, что-то не так понял, но 2.4Mbps было где? На участке digex-GU, на сколько я знаю, канал всего в 1Mbps. Из Демоса такое проистекать могло, из ихних 4Mbps, но на сколько мне известно, он там не один в 4 мега, а 2x2 что ли, или как там? Если предположить, что 2.4 доехало-таки до digex'а, то как оно достигло GU, но при этом, в любом случае, Демосу тоже должно было быть от этого довольно пушисто, как-никак, а больше 50% пропускной способности канала было занято.


From: dz@phantom.ru

Andrew A. Vasilyev andy@snm.demos.su writes:

> AY> Все полезнее, чем dzинформироватъ... ;)
>   Что, Дим, уели тебя? :)))

Кто может - пусть сделает лучше.

dz


From: Alexander Snarskii <snar@burka.carrier.kiev.ua>
Date: 28 Aug 1997 15:53:06 GMT
Organization: Lucky Net
Message-ID: 5u46t2$2fu$1@news.lucky.net

Sometimes Alexey Yashin <ghost@taichu.marine.su> wrote:

AY>Далее (правда это уже некто Илъинский):

>> Что бросается в глаза сразу - отсутсвие "второго" линка на Релком.
>> Куда же он делся? Может, у аплинков его найдем?
>> Ан нет. Единственный провайдер, имеющий линк на Россию
>> из вышеперечисленных - carrier.kiev.ua. Правда одна деталъ
>> - он имеет 128K на Demos :). Тогда каким боком выплыло
>> участие Релкома в общей боръбе с общим врагом?

AY>Про это что-нибудъ кто-нибудъ скажет?

Есть второй линк: Neon-V - Ktts (Харьков) - Relcom.


From: alex@newcom.kiae.su (Rudnev Aleksei)
Organization: Relcom Corp.
Date: Fri, 29 Aug 1997 18:08:45 GMT
Message-ID: 1997Aug29.180845.21651@newcom.kiae.su

In <Pine.BSF.3.96.970827153341.3514b-100000@trifork.gu.net> Andrew Stesin <stesin@gu.net> writes:
> Ok. Голые факты:

> 1. Атака имела место, источник был тщательно замаскирован
>    и локализован мог быть исключительно hop-by-hop.

Ну я бы не сказал, что замаскирована. Обычный примитив начинающего хакера, таких атак в мире - по десятку в неделю ловится, я так думаю.

> 2. Она нанесла ущерб (denial of service) в основном
>    Глобалу и Digex, но задела и раутеры
>    на стыках Digex с другими провайдерами, а с обеда
>    понедельника прошлась и по АО Релком.

Нас она не задела практически.

> 3. Автором атакующей программы был сотрудник Демоса,
>    действовавший прямо с Демосовского же эзернета.
>    "Проверочные" пинги etc. я лично наблюдал с ultra1.demos.su.

> 4. Как только (после полутора суток поисков в пределах Москвы?!)
>    стало четко понятно, где находится источник (_аж_ 1 хоп от АО,
>    и 0 хопов от Демоса) -- тут-то наконец-то и сработала
>    вся профессиональная мощь.

Нет. Как только мы заинтересовались странным каналом, который явно жрал один процентов 30 процессора 2511 циськи - через полчаса - час стало все ясно про атаку (какие пакеты, на какие ресурсы нацелены, что адреса подделаны, что это именно специально /заметим, что мы изучали причины загрузки циськи, а не пакеты сначала/), еще полчаса или час искали источник входа в сеть (так долго, потому что опробовали мониторинг на свитче), и часа через 2 / 3 от начала позвонили в Демос. Там искали еще час или два - на 100 мегабитном езернете это задача не слишком простая, а про опцию циськи тогда никто не знал. Итого - по 2 часа у каждого провайдера. А если подумать и просто поставить фильтр на несуществующие SRC адреса, можно было бы найти вообще практически в любой сети за такое же время.

Первое письмо из Неона было получено нами как раз в перерыве между передачей поиска в Демос и его окончанием.

>       5. Когда узнали, кто автор и источник атаки,
>    этот человек, по словам одного из сотрудников Демоса,
>    был (почему-то) уволен с работы быстрее, чем от него были получены
>    какие-либо объяснения.

Ну, я так понимаю, что  это их дело.

> 6. От предложенного (и обещанного) контрольного эксперимента
>    с целью точно понять механизм действия атаки на cisco
>    сотрудники Демоса тихо без единого слова увильнули,
>    проигнорировав напоминания.  Технические подробности
>    атаки сотрудники Демоса отказались передать тем, кого
>    бомбили, под смехотворным предлогом большой секретности
>    происходящего и что якобы мы исходники тут же подарим
>    хакерам и тут все и начнется.

Ну, тут вопрос спорный, мне самому не очень нравится такое молчание, но право не передавать такую программу у них безусловно было...


From: dvv@dvv.ru (Dima Volodin)
Date: Sat, 30 Aug 1997 06:55:41 GMT
Organization: Huh?
Message-ID: 3409bf1d.22828626@localhost

On Sat, 30 Aug 97 08:52:54 +0300, "Vitaly Furman"
<vf@sc40.or.snet.kharkov.ua> wrote:

>Если компания Neon сурьезно хочет получить компенсацию за ущерб она обратится
>в суд и если суд нормальный, то он может и отсудить требуемую сумму. А это
>может быть приличная сумма. Следовательно в нормальной стране Демос уже давно
>полюбовно все решил. Но в этой стране (странах) все не так. И Neon непонятно
>что делает (или понятно? Может они уже обращаются в суд?), и Demos по сараю
>(возьмет и скажет: "злые вы, уйду я от вас") или просто знает что суд здесь ни
>к чему не приведет. Но в любом случае того, что сделал Демос с виновным с
>точки зрения цивилизованного мира пока что маловато для решения проблемы (если
>она есть, а не только существует в перепалке в USENET).

Я не понял - что должен был сделать Демос в цивилизованном мире? Закидать ослушника камнями? Забить сапогами? Утопить его в Водоотводном канале? Бросить его под поезд в метро? Приковать его на Лобном месте с табличкой на груди - "партизан"  - и кидать в него помидорами? Виталий, а расскажите ка нам, что Вы знаете о том, как в цивилизованном мире разбираются с проштрафившимися работниками? С примерами там, со ссылками на источники?

А суд здесь ни к чему не приведёт, потому как нет тут ни законодательства (международного!), ни прецедентов, ни доказательств причинённого ущерба и/или самого факта злодеяния. Весь Интернет существует в основном на доброй воле принимающих в нём участие, и Демос, на мой взгляд, проявил в этой ситуации максимум этой самой доброй воли. Всякие же продолжающиеся вопли со стороны "пострадавшей" стороны свидетельствуют лишь о неадекватной технической оснащённости оной стороны и/или элементарной некомпетентности персонала, на эту сторону работающего. Демосу же, скорее всего, это всё именно по сараю, так как и с техническими средствами там всё хорошо, и квалификации персонала там вполне достаточно, и солидной репутации фирмы - не один год.

Дима
мучимый бессоницей и бестолковыми молодыми людьми

 

 

Я читаю новости, общаюсь с людьми, осмысливаю происходящее, и делаю выводы. Эта страничка - место, куда попадают некоторые из них. Иногда это просто издевки, иногда это - логические построения, иногда - шутки... Не стоит относиться к вышесказанному уж слишком всерьез. Однако, если нечто показалось Вам любопытным - пишите мне, пообщаемся. Если Вы нашли в сети нечто интересное, и хотите, чтобы я это откомментировал - обязательно пишите. Если у Вас возникла хоть какая эмоция - опять пишите. Хочу все знать. ;-)

Design (if any) and contents of these pages are c dz online, 1996-1997.