Czy @m__b wprowadzi kraj pochodzenia konta i oznaczenie w przypadku korzystania z VPN, czy dalej będzie brał udział w wojnie hybrydowej przeciwko Polsce, jak myślicie?
@IksdeHeheh a w czym problem? Sprawdzasz ip z rejestracji i masz wstępnie pochodzenie, następnie dodajesz sprawdzenie czy ip idzie przez vpn "których listy z ip są dostępne na różnych serwisach) I tyle.
@Maro88z: To bzdury. Samo sprawdzenie IP nic nie daje - użytkownik może zarejestrować się przez VPN i wtedy pochodzenia realnie nie ustalisz. Listy VPN-ów też nie obejmują wszystkiego, bo ktoś może mieć prywatny VPN albo VPS. To nie jest takie proste, jak piszesz
@IksdeHeheh: to jest na tyle proste że większość z tych kont pewnie korzysta z najprostszych rozwiązań. Jak będą musieliby kupić vpsy w Polsce to raz że zwiększy im się koszt operacyjny a dwa że cert będzie widzial znaczy ruch na przykład z Rosji do polskich vpsow co pewnie przydałoby się do oznaczania infrastruktury używanej do dezinformacji. A wyciągnięcie geoip z logów jest proste
@kjubikul: Po pierwsze – zakładanie, że „większość” będzie zawsze jechać na najprostszych rozwiązaniach, to pobożne życzenie. Jak ktoś robi zorganizowaną kampanię, to ogarnie sobie VPS-y, tunelowanie, łańcuchy VPN itd.
Po drugie – VPS w Polsce to nie jest jakiś kosmiczny koszt operacyjny. Jak trzeba, to biorą parę maszyn w PL, parę w FR/DE/UA, dorzucają warstwę pośrednią i masz ruch RU → UA/FR/DE → PL. CERT nie widzi wtedy żadnego prostego
@IksdeHeheh: rozumiem twoje argumenty ale nie bierzesz pod uwagę jednej rzeczy. Zabezpieczenia nigdy nie są doskonałe, ale nawet te proste zwiększają koszt operacyjny, a przy skali tej operacji, każde skomplikowanie jej i zwiększenie kosztów działa na niekorzyść przeciwnika. Jeżeli zwiększysz im koszt o kilka procent tu, kilka tam, to przynajmniej na chwilę skala się zmniejszy. Taka metodyczna praca można doprowadzić do tego że w końcu będzie to zbyt trudne by
@prostymirek: Na X to w ogóle nie działa tak prosto. IP to tylko jeden, mały sygnał. Oni patrzą na cały pakiet rzeczy: fingerprint przeglądarki i urządzenia, strefę czasową, język, wzorce zachowania, prędkość i sposób pisania, sieć powiązań między kontami, historię urządzenia itd. Nawet jeśli ktoś dobrze ukryje IP (VPN, VPS, chainy), to i tak często wyjdzie bokiem tymi innymi sygnałami.
@kjubikul: Tylko że to, o czym piszesz, działa głównie w teorii, a nie przy realnym przeciwniku z budżetem i zapleczem. Dla zwykłego spamera +5% kosztu coś znaczy, ale dla operacji państwowej czy dużej farmy kont to są grosze – dorzucą parę VPS-ów, zautomatyzują provisioning i po sprawie.
Do tego te ‘proste zabezpieczenia’ bardzo często bolą bardziej nas niż ich: trzeba to utrzymywać, obsługiwać false positive’y, tłumaczyć zwykłym użytkownikom, czemu nagle
Czy @m__b wprowadzi kraj pochodzenia konta i oznaczenie w przypadku korzystania z VPN, czy dalej będzie brał udział w wojnie hybrydowej przeciwko Polsce, jak myślicie?
@prostymirek: tutaj widać serce i ducha wykopu, poświęcenie prywatności, żeby jechać z kacapami
Realne ograniczanie skali to nie jest dokładanie jednej taniej przeszkody typu geoIP/VPN, tylko budowanie całego stosu: fingerprint, korelacja urządzeń, analiza zachowań i sieć powiązań kont. Inaczej to bardziej kosmetyka niż game changer
Przecież właśnie o tym mówię, obrona musi być wielowarstwowa, wiem że proste zabezpieczenia da się w prosty sposób ominąć, ale to są koszty, utrzymanie, komplikacja całego łańcucha. W ogóle ruski state sponsored składa się nie tylko z
@Maro88z: Skoro to takie proste to czego istnieja strony gdzie dasz rade sie zalogować jednym vpnem a innym nie? Albo tym samym tylko z innego kraju? Czesto tez dodaja nowe serwery i ciezko jest stworzyc taka kompleksowa liste, bo masz tysiące płatnych vpnów.
Pewnie gdyby powstaly skuteczniejsze zabezpieczenia to tez bardziej by dbali o wieksza ilosc ip i laczac sie z Niemcami np bys mial 30 losowych.
@kjubikul: Po pierwsze: to dalej będzie heurystyka, nie fakt. Ludzie zobaczą flagę/kraj i automatycznie uznają to za prawdę objawioną, a nie za „IP z rejestracji, które mogło przejść przez VPN/proxy/VPS”. W praktyce: • część botów będzie miała „ładne” PL/DE/FR, • część normalnych userów w firmowych VPN-ach/roamingu dostanie jakieś dziwne kraje.
Po drugie: skoro sami mówisz, że Wykop nie ma i nie będzie miał zaawansowanej analizy, to jakość tego oznaczania kraju będzie
#ukraina #rosja
Po drugie – VPS w Polsce to nie jest jakiś kosmiczny koszt operacyjny. Jak trzeba, to biorą parę maszyn w PL, parę w FR/DE/UA, dorzucają warstwę pośrednią i masz ruch RU → UA/FR/DE → PL. CERT nie widzi wtedy żadnego prostego
Do tego te ‘proste zabezpieczenia’ bardzo często bolą bardziej nas niż ich: trzeba to utrzymywać, obsługiwać false positive’y, tłumaczyć zwykłym użytkownikom, czemu nagle
@prostymirek: tutaj widać serce i ducha wykopu, poświęcenie prywatności, żeby jechać z kacapami
Przecież właśnie o tym mówię, obrona musi być wielowarstwowa, wiem że proste zabezpieczenia da się w prosty sposób ominąć, ale to są koszty, utrzymanie, komplikacja całego łańcucha. W ogóle ruski state sponsored składa się nie tylko z
Pewnie gdyby powstaly skuteczniejsze zabezpieczenia to tez bardziej by dbali o wieksza ilosc ip i laczac sie z Niemcami np bys mial 30 losowych.
Pomijam, ze wykop
Po pierwsze: to dalej będzie heurystyka, nie fakt. Ludzie zobaczą flagę/kraj i automatycznie uznają to za prawdę objawioną, a nie za „IP z rejestracji, które mogło przejść przez VPN/proxy/VPS”. W praktyce:
• część botów będzie miała „ładne” PL/DE/FR,
• część normalnych userów w firmowych VPN-ach/roamingu dostanie jakieś dziwne kraje.
Po drugie: skoro sami mówisz, że Wykop nie ma i nie będzie miał zaawansowanej analizy, to jakość tego oznaczania kraju będzie
@Mateo353: Dla mnie zmienia to dużo, bo jeśli ktoś ukrywa swoje pochodzenie, to znaczy że ma coś znacznie więcej do ukrycia