[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: Spam



Hi,

Andreas Jellinghaus (aj@dungeon.inka.de) - Wed, Apr 23, 2003 at 08:57:58PM +0200:
> Neko hatte diesen Threadteil damit begonnen,
> Selbstjustiz durch "Angriffe" gegen "Spammer"

Korrektur, bevor sich da was falsches entwickelt:
Neko hatte diesen Threadteil damit begonnen,
Notwehr durch Angriff auf spammende Systeme mit dem Ziel die Attake zu
beenden.

> > Ich denke dass der Ausfall von Border-Routern keine Quittung
> > vernachlässigter Sicherheit auf seiten des Backbone-Betreibers ist.
> Ist das ein typisches Werk von "Spammern" und Hackern oder eher
> ein seltenes Extrembeispiel? Ich tippe mal letzeres.

Border-Router zerlegt es meist nur bei massiven Angriffen, dem normalen
Tagesgeschaeft sind sie meist gewachsen - da hat Gert aber die
Statistiken zu - ihm sind die Router.

> nun, wenn sie die Daten bekommen und die Kerle einen Monat später
> schnappen, dann müsste man ja auch von Prozessen, verurteilungen
> etc. hören. Warum nicht? Zu selten können solche Angriffe ja nicht
> sein. Public wird eher wenn die Medienindustrie auf Unis einprügelt
> oder sowas.

Soweit ich das mitbekommen habe, haben wir 2 Grundtypen:
Die Angriffe kommen entweder von vielen kleinen Einzelstellen, die man
nicht fuer den kompletten Schaden haftbar machen kann - zu wenig Masse
zum verklagen.
Die Angriffe kommen von international extern... da haben sie anscheinend
keine Zugriffe und geben auf.

> Neko wollte das machen, ich bin gespannt? Insbesonder ist mir unklar,
> wie man herausfindet ob $hacker sich über (n) oder (n+1) kisten
> eingehackt hat, sprich man die quelle gefunden hat, oder evtl. einen
> unschuldigen attakiert.

Mit etwas Pech sitzt die 'Quelle' im IRC... das ist alles nicht ganz
einfach und nicht wirklich mein Gebiet... ich muss erst noch viel lesen
und recherchieren bevor ich anfangen kann auch nur eine halbe Zeile Code
zu produzieren.

> Daher bin ich ja gegen Angriffe. 

Wenn jemand eine bessere Loesung hat wuerde ich das sicher begruessen.

> Neko sprach von angriffen. Will sie einen eigenen DOS starten?
> oder mit exploits den rechner hacken? Beides erscheint mir

Ja.

> sinnlos, weil der andere ISP auch einen admin hat, und wenn
> der die gleiche einstellung hat und auch so reagiert eskaliert
> das ganze offensichtlich.

Es geht im Rauschen unter - da draussen ist so viel Mist unterwegs, dass
nur noch massive Angriffe auffallen. Kleinere Scans gibt es permanent.

Kritisch ist lediglich das Zielsystem selbst. Wenn dort jemand den
Angriff rechtzeitig bemerkt, wird's knapp. In den meisten Faellen sind
das aber ihrerseits bereits gehackte Systeme - und was einmal unbemerkt
funktioniert klappt meist nochmal.

Den Hinweis, dafuer zu sorgen, dass die Kiste nicht JoJo spielt und beim
Neustart den unerwuenschten Service gleich wieder startet, ist richtig -
sonst bringts nichts.

Ideal waere: System saeubern (also nichts kaputt machen, nur den
Fremddienst entfernen) ... Traeume...

> ok, was ist notwendig, damit eine echtzeitüberwachung der flows
> möglich ist, und jemand das analysieren kann? Ich nehme mal an,
> das läuft bisher im wesentlichen über freundschaftliche kooperation
> mit anderen ISP's, und ohne die gar nicht?

Gert hat sowas fuer nahezu Echtzeit. Ich habe das mal unfreiwillig
ausprobieren duerfen mit einer gehackten Windose... beeindruckend und
sehr erfreulich :-)

neko
-- 
Simone Demmel					neko@greenie.muc.de

-- 
To unsubscribe, e-mail: debate-unsubscribe@lists.fitug.de
For additional commands, e-mail: debate-help@lists.fitug.de