Re: Spam

["Hanno 'Rince' Wagner" <wagner@fitug.de>]

Moinmoin,

Andreas Jellinghaus schrieb am 23. April 2003:

> > Wieviele ernstzunehmend sind?
> > - Bei meinem Ex-Arbeitgeber sind hunderte von Arbeitsstunden
> > draufgegangen, die Arbeit von Hackern glattzubügeln. Das kostet
> > neben Nerven auch Geld und Zeit.
> 
> Wie oft wurde auf Schadensersatz geklagt? Gert meint, das die
> Justiz nicht taugt weil wegen Geringfügigkeit vieles verloren
> geht. Kann ich verstehen, aber bei $EX_FIRMA wird es um
> größere Beträge gegangen sein?

Wurde nur teilweise verfolgt. Nach einigen Versuchen der Verfolgung
von Einbruchsversuchen die _allesamt_ eingestellt wurden haben wir
das aufgegeben.

> > Ich denke dass der Ausfall von Border-Routern keine Quittung
> > vernachlässigter Sicherheit auf seiten des Backbone-Betreibers ist.
> 
> Ist das ein typisches Werk von "Spammern" und Hackern oder eher
> ein seltenes Extrembeispiel? Ich tippe mal letzeres.

Es ist ein typisches Beispiel für dDoS/DoS.

> > die aktuelle Sitaution ist dass Strafverfolgungsbehörden nicht in
> > echtzeit agieren (können), sprich dDoS und DoS wird praktisch nicht
> > verfolgt.
> 
> nun, wenn sie die Daten bekommen und die Kerle einen Monat später
> schnappen, dann müsste man ja auch von Prozessen, verurteilungen
> etc. hören. Warum nicht? Zu selten können solche Angriffe ja nicht
> sein. Public wird eher wenn die Medienindustrie auf Unis einprügelt
> oder sowas.

Wir können viele Daten sammeln, sicher. Aber was hilft es?

- Bei $EX_ARBEITGEBER haben wir die Daten gesammelt und an die
Polizei übergeben.
Diese haben erst nicht verstanden was wir wollten. Als sie das
wussten und hätten loslegen können war die Zeit für die
Datenspeicherung bei $ACCESS_PROVIDER vorbei und die Daten waren weg.
Und nun?

Das ist der Alltag.

Und selbst wenn Du die angreifenden Hosts hast - damit hast Du nicht
den initialen Angreifer.

> > Sachen wie Gästebucheinträge werden verfolgt, Einbruchsversuche (zB
> > auf Webseiten sich einhacken) werden meistens gar nicht angezeigt
> > oder verfolgt.
> 
> Woher stammt diese Diskrepanz? Politische Bewertung (i.e. Rassistische
> Äusserungen und dergleichen werden eher verfolgt als massive Angriffe
> auf $grosser_hoster ?

Nein - wie ich bereits vorher schrieb; Gästebucheinträge haben
Parallelen in der normalen Welt, ob das Kleinanzeigen sind oder
Leserbriefe oder Beiträge in Zeitschriften.

Wenn Du aber jemandem versuchst zu erklären dass jemand 2000 mal (in
30 Minuten) versucht sich bei Dir einzuloggen erntest Du ein
verständnisloses Gesicht. Es ist ja auch nihts passiert, keine Daten
wurden gefälscht oder so. Also zurück zu den Akten damit und
vergessen wir das Ganze.

> Neko wollte das machen, ich bin gespannt? Insbesonder ist mir unklar,
> wie man herausfindet ob $hacker sich über (n) oder (n+1) kisten
> eingehackt hat, sprich man die quelle gefunden hat, oder evtl. einen
> unschuldigen attakiert.

Der Unschuldige ist (IMHO) zumindest mitschuldig - sein Rechner
wurde benutzt. Besonders bei Open Proxies bin ich der Meinung dass
diese mitbestraft gehören.

Wobei ich hier eher miskonfigurierte Proxies meine als Anonymizer.

> ob (x) oder (x+1) Spammer im netz sind ändert daran aber wenig.
> de einen heute oder nächte woche abschalten ist meiner ansicht
> recht egal, viel wichtiger ist, das er wirklich erwischt wird,
> und nicht einfach zum nächsten provider wechselt. (oder auflegt
> und sich neu einwählt.)

Das ist richtig. Und wie geht das?

> Wenn du als ISP den server von netz nimmst: ok. Port am switch
> abschalten sehe ich aber nicht als angriff, sondern als Blockade.

Das muss aber beim angreifenden Host passieren.

> ok, was ist notwendig, damit eine echtzeitüberwachung der flows
> möglich ist, und jemand das analysieren kann? Ich nehme mal an,
> das läuft bisher im wesentlichen über freundschaftliche kooperation
> mit anderen ISP's, und ohne die gar nicht?

Genau das. Was anderes ist bisher leider nicht dringewesen.

Ciao, Hanno
-- 
|  Hanno Wagner  | Member of the HTML Writers Guild  | Rince@IRC      |
| Eine gewerbliche Nutzung meiner Email-Adressen ist nicht gestattet! |
| 74 a3 53 cc 0b 19 - we did it!          |    Generation @           |
#ms-dos  logged off      ttyp5   20:56
#	-- tpki.toppoint.de

-- 
To unsubscribe, e-mail: debate-unsubscribe@lists.fitug.de
For additional commands, e-mail: debate-help@lists.fitug.de