Volc 0 Опубликовано: 2010-03-24 10:23:45 Share Опубликовано: 2010-03-24 10:23:45 .... марта 2010 в ..... осуществлен несанкционированный доступ к одному из ресурсов, находящихся в адресном пространстве НПП ......, после чего последовала атака, направленная на получение несанкционированного доступа к данным. Частичная выборка из логов приведена ниже с приведением примеров SQL-injection. Атака была продолжена с нескольких адресов, однако, продолжение атаки выполнялось уже с использованием данных, полученных в результате несанкционированного доступа с адреса ........, что позволяет говорить о том, что адрес .......... имеет непосредственное отношение к организатору (и, возможно, заказчику) данного взлома. Обращаем ваше внимание на тот факт, что данные действия подпадают под действие статьи 361 Уголовного кодекса Украины. Обращаемся к вам как оператору, из адресного пространства которого была совершена данная атака, и просим установить клиента, который совершил данное противоправное действие, а также произвести выборку из логов и зафиксировать в полном объеме данные обмена информацией этим клиентом за ... и ... марта 2010 года, хранение которых требует закон "О телекоммуникациях" и "Правила предоставления телекоммуникационных услуг", соблюдение которых является обязательным для всех операторов и провайдеров на территории Украины. При том, что факт взлома зафиксирован как собственником ресурса, так и НПП ......., взлом выполнен с территории Украины из адресного пространства одного из субъектов хозяйственной деятельности на территории Украины и данный инцидент попадает в сферу деятельности отдела по борьбе с преступлениями в сфере высоких технологий при службе безопасности Украины, собственник атакованного ресурса согласен не осуществлять передачу данных материалов в СБУ с целью открытия уголовного делопроизводства по факту взлома при условии, если ваш клиент предоставит данные о том, кем, как и когда были переданы первоначальные авторизационные данные, которые были использованы при проведении атаки. Со своей стороны можем лишь отметить, что решение данного вопроса без привлечения службы безопасности Украины, было бы более приемлемым как для нашей компании, так и для вашей. Тем более, что клиент сам предлагает снять претензии в обмен на получение информации, которая позволит обнаружить источник утечки авторизационных данных. Дело в том что адреса динамические, логов я не веду. Да и насколько знаю у нас в стране СОРМ(система оперативно розыскных мероприятий) не должна стоять в обязательном порядке. Я готов отдать "хакера" но как? А ведь у многих еще и НАТ есть. Тогда что вообще делать? Закон прочел от корки до корки, но все равно все там как то мутно. Что может последовать далее? Может кто с такими вопросами имел дело? Что делать дальше? Может свою некомпетентность перед своим клиентом хотят прикрыть мной? Ссылка на сообщение Поделиться на других сайтах
Norbert 39 Опубліковано: 2010-03-24 10:36:42 Share Опубліковано: 2010-03-24 10:36:42 Сколько раз с таким обращались - решали мирным путем. Один раз было: обратился владелец ресурса, что кто-то из моей сети занимался нечестной торговлей с людьми, денег было потеряно около 15-20тыс грн. Скооперировались, посмотрели время постов, время подключений, айпишники - дал телефон людей и всё полюбовно решили без заявлений в милицию (вернули деньги, оказалось что там деточки развлекались). Один раз было, что пришло письмо в электронке из органов, мол пообщаться на подобную тему. Пообщались, решили, чем смог - помог, потом прислали официальную бумажку, ответил такой же и всё (им для протокола надо). Пробуй договориться и всё таки поискать "хакеров" доморощенных. Ссылка на сообщение Поделиться на других сайтах
Romeshik 144 Опубліковано: 2010-03-24 10:46:13 Share Опубліковано: 2010-03-24 10:46:13 ну а если логов нет? у меня у самого на микротике логи только коннекда и дисконекта pptp. И те всего сутки хранятся. Раз было включил логгирование полное, так оно мне за 10 минут наколбасило 20 метровый текстовый файл, и где мне такое хранить? Закрыть файловый сервер и сказать юзерам "больше тут не будут храниться музыка и фильмы, а будут ваши логи"? Реально очень интересен вопрос автора, а че ж делать то? Мож перенаправить их на моего аплинкера? у него ж тож должны логи вестись, он же еще больше меня контора и закон и на него распространяется. Ссылка на сообщение Поделиться на других сайтах
Volc 0 Опубліковано: 2010-03-24 10:49:44 Автор Share Опубліковано: 2010-03-24 10:49:44 Вся беда в динамических IP. Статика спасёт, но как его найти. Практически это нереально, на контакт иду. Чем смогу тем помогу, но могут подумать что я "зажал". Что то в последнее время, как то все печально. Ссылка на сообщение Поделиться на других сайтах
Sergek 123 Опубліковано: 2010-03-24 10:54:56 Share Опубліковано: 2010-03-24 10:54:56 В последней редакции закона о телекоммуникациях написано, что обязаны писать... Мы пишем, за 1,5 месяца почти 50Гб написало... Ссылка на сообщение Поделиться на других сайтах
Norbert 39 Опубліковано: 2010-03-24 11:26:07 Share Опубліковано: 2010-03-24 11:26:07 хранить, а на сайте компании писать, что логи ведутся и чтоб были осторожны, особенно с расшариванием инета Ссылка на сообщение Поделиться на других сайтах
adeep 212 Опубліковано: 2010-03-24 11:26:20 Share Опубліковано: 2010-03-24 11:26:20 в последней редакции закона не написано что именно мы должны хранить. это должно быть издано министерством транспорта и связи, но вроде на глаза такое не попадалось. Ссылка на сообщение Поделиться на других сайтах
zulu_gluk 23 Опубліковано: 2010-03-24 11:30:26 Share Опубліковано: 2010-03-24 11:30:26 Нужно хранить хотябы логи сессий -начало, конец, полученный ип, принято/передано. Даже если за НАТом все то можно отдать органам список всех подключенных в известный момент времени и пусть разбираются. Ссылка на сообщение Поделиться на других сайтах
nightfly 1 241 Опубліковано: 2010-03-24 11:36:09 Share Опубліковано: 2010-03-24 11:36:09 zulu_gluk я честно пытался хранить хотя бы месяц нетфлоу стату юзеров - это нереально для каналов шире пары мбит :\ Ссылка на сообщение Поделиться на других сайтах
adeep 212 Опубліковано: 2010-03-24 11:40:43 Share Опубліковано: 2010-03-24 11:40:43 на канале в 200мбит безлимитных хомячков netflow за полтора месяца занимает 200гиг Ссылка на сообщение Поделиться на других сайтах
JMan 1 Опубліковано: 2010-03-24 11:43:44 Share Опубліковано: 2010-03-24 11:43:44 нетфловы за месяц уже за 500 гиг заваливают на чем хранить, сейчас надо какой-то мега файловый сервер ставить абы хотя бы за год хранить а если влепят 3 года хранить (хотя для подтверждения счетов абоненту уже обязаны, как и он обязан 3 года платежки хранить) мама ховайся придется какую то распределенную систему хранения думать. Ссылка на сообщение Поделиться на других сайтах
Norbert 39 Опубліковано: 2010-03-24 11:48:51 Share Опубліковано: 2010-03-24 11:48:51 Скинемся на гермозонку где-нибудь в поле или в горах с каналами и объемами в пета зета и т.д. байт? Будем сливать статистику, а органы пусть сами разгребают что там к чему в нетфлоу. Когда у них будет парсится по пол года статистика будет интересно. Ссылка на сообщение Поделиться на других сайтах
adeep 212 Опубліковано: 2010-03-24 12:05:04 Share Опубліковано: 2010-03-24 12:05:04 сколько там амазон за хранение данных денег берет? Ссылка на сообщение Поделиться на других сайтах
zulu_gluk 23 Опубліковано: 2010-03-24 12:56:29 Share Опубліковано: 2010-03-24 12:56:29 я не про нетфлоу говорил, просто данные о сессиях. Ссылка на сообщение Поделиться на других сайтах
Sargas 52 Опубліковано: 2010-03-24 13:18:23 Share Опубліковано: 2010-03-24 13:18:23 Отправь им ответное письмо, что без постановления суда на выдачу личных данных твоего абоненты ты не имеешь права их предоставить, потому что этим нарушишь его права и соответствующие статьи напиши, а будет постановление то с радостью предоставишь. Вообще письмо от СБУ пришло или от кого? Ссылка на сообщение Поделиться на других сайтах
Volc 0 Опубліковано: 2010-03-24 13:33:10 Автор Share Опубліковано: 2010-03-24 13:33:10 Пришло от компании "НПП...." Ссылка на сообщение Поделиться на других сайтах
adeep 212 Опубліковано: 2010-03-24 15:34:14 Share Опубліковано: 2010-03-24 15:34:14 так позвоните им и поговорите по душам. паники как будто в дом полк милиции ломится. Ссылка на сообщение Поделиться на других сайтах
alex_o 1 194 Опубліковано: 2010-03-24 17:38:51 Share Опубліковано: 2010-03-24 17:38:51 У нас был случай - обратилась к нам администрация очень крупного портала знакомств с жалобой, что с принадлежащих нам IP производились явно мошеннические операции. Требовали вычислить абонента и блокировать ему доступ к их ресурсу. Тоже намекали на уголовный кодекс. Я в ответ запросил у них логи с подтверждением претензии. По логам вычислил паразита (у нас хранятся все данные по сессиям pptp с начала всех времен) и поговорил сним - предупредил, что следующую претензию просто отнесу в ментовку, приложив логи и со своей стороны, дабы ментам облегчить сбор доказательной базы. Клиент внял моим "ну-ну-ну!!!", обещал так больше не делать. Администрации ресурса я отписался, что меры приняты, и заверил, что в случае повторения будем привлекать органы. В итоге все удовлетворились . Ссылка на сообщение Поделиться на других сайтах
Гайджин 574 Опубліковано: 2010-03-24 19:11:54 Share Опубліковано: 2010-03-24 19:11:54 В последней редакции закона о телекоммуникациях написано, что обязаны писать... Мы пишем, за 1,5 месяца почти 50Гб написало... Что уже полтора месяца? - как время то летит... p.s. у нас 15G в день капает... p.s.s. кстати, кто нибудь знает точные сроки хранения? Ссылка на сообщение Поделиться на других сайтах
Гайджин 574 Опубліковано: 2010-03-24 19:16:17 Share Опубліковано: 2010-03-24 19:16:17 на канале в 200мбит безлимитных хомячков netflow за полтора месяца занимает 200гиг Позвольте усомниться. - Или у Вас там сплошные синфлудеры, или Вы его как то странно храните. Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Создайте аккаунт или войдите в него для комментирования
Вы должны быть пользователем, чтобы оставить комментарий
Создать аккаунт
Зарегистрируйтесь для получения аккаунта. Это просто!
Зарегистрировать аккаунтВхід
Уже зарегистрированы? Войдите здесь.
Войти сейчас