Tagsymantec

Megint tesztlabor

Az elektronikus levelezés van annyira kritikus, a rosszindulatú levélforgalom pedig van annyira ijesztő, hogy általában el szoktam nézni a Symantec ‘tesztlabor’ nevezetű előadásaira, figyelemmel kísérve, éppen hogyan állják a sarat a harcban.
Így történt ma is.
Azt kell mondjam, a legutóbbi alkalom óta nem sok minden változott. (A helyszín, az igen.:) Az előadás nem volt rossz, de azonkívül, hogy a közbenső rétegben kijött egy új appliance család – mely egy icipicit minden területen okosabb, mint az elődje – más változást nem tapasztaltam. Aki esetleg nem volt ott, annak leírnám, mi is ez a köztes réteg:

  • A Symantec az ún. traffic shaping védelmet teszi ki a legkülső rétegbe. Ennek az a lényege, hogy az eszköz (No. 8100 appliance) valamilyen módon megállapítja egy forgalomról, hogy az spam, majd a feladó IP címére egy korlátozó házirendet tesz. Ez a korlátozás egészen brutális is lehet: lehet napi egy elfogadott levél, de lehet kitiltás is. Nagy előnye a technikának, hogy jelentősen csökkenti azt az adatmennyiséget, melyen a következő rétegbeli eszközöknek a meglehetősen számításigényes elemzéseiket el kell végezniük.
  • A köztes rétegben smtp szintű elemzések zajlanak. Itt kerül bevetésre mindazon lelemény, melyet az emberek a kellemetlen email tartalmak ellen kitaláltak – és itt ütközik meg mindez azokkal a leleményekkel, melyeket embertársaink azon célból zúdítanak ránk, hogy dagadtra keressék magukat. Ebben a rétegben a Symantec-nek szintén vannak appliance megoldásai (az SMS 8200 sorozatot itt váltja a 8300-as sorozat) – és vannak szoftveres termékei is (Brightmail).
  • Végül van a – szerveroldali – legbelső réteg, a konkrét levelezőszerver. Ez gyakorlatilag belső terület, itt már a cégen belüli levelezés kerül szűrésre, illetve itt valósul meg a postafiók adatbázisok vizsgálata is.

A továbbiakban inkább csak benyomások:

  • Az előadás azzal kezdődött, hogy Szabi elmondta, miért olyan népszerű a szpemmelés. Olyan meggyőzően ecsetelte, hogy mennyire egyszerű beindítani egy szpemmelésre alapuló vállalkozást, mennyire egyszerű üzemeltetni – és az emberi ostobaságból kifolyólag mennyire biztos a haszon… a végén majdnem kedvet kaptam én is spamware céget alapítani.
  • Pofátlanul megelőztek! Amennyit mostanában alszom, biztos voltam benne, hogy én fogok először elbóbiskolni. Ehhez képest már kezdés után öt perccel érces férfihorkolás fojtotta a szót az előadóba. Hmm, ez is egy probléma – jegyezte meg higgadtan Szabolcs.
  • Erre nem is gondoltam: nemcsak vásárlásra ingerlés, illetve megtévesztés lehet a szpemmelők célja, hanem idetartozik a kattintások generálása is. Link a levélbe – itt oldódik meg az összes gondod – a link mögött meg egy olyan oldal van, amelyik odalátogatók után kér pénzt a reklámozóktól. Ügyes. Mondom én, hogy egyre inkább kedvem van ehhez a szakmához.
  • Egy érdekes szempont. Épp nemrégiben írtam egy gyilkosan ironikus levelet a szolgáltatómnak, miszerint kicsit sokallom a nem nekem szánt leveleket a postafiókomban, a kéretlen levelekről nem is beszélve. Levelemnek azonnal meg is lett a hatása, két napig nem kaptam semmilyen emailt sem. Végül beállt az egyensúly, a napi 60-80 spam helyett max 10-et kapok mostanában. Számomra ez teljesen természetes folyamat volt. Az előadó viszont az ISP-k szempontjából közelítette meg a problémát. Hogy vannak olyan szolgáltatók, akik szándékosan nem szűrnek semmit. Hiszen hogy jönnének ők ahhoz, hogy előfizetőik levelét töröljék? Hogy jönnének ők ahhoz, hogy megmondják, az ügyfél mely levelei minősülnek szpemnek? Lehet, hogy a kedves ügyfélnek kicsi a pénisze, Viagra nélkül állandóan lecsúszik a nadrágja, élete leghőbb vágya pedig egy hamis Rolex?
    Nehéz ügy, mert nem vagyunk egyformák, mi ügyfelek.

SMS8200 megint

Mióta bevezettük egyik nagy ügyfelünknél, azóta egy kicsit visszafogom magam. Nem rossz persze, de…
Már a tervezésnél beleszaladtunk egy furcsaságba. A kütyünek két hálókártyája van, de mindkettőnek ugyanabba a LAN-ba kell csatlakoznia. A két NIC között nincs smtp routolás. Magyarul, az egyik lábára jönnek kívülről a levelek és ugyanezen a lábon mennek tovább a belső smtp szerverre. A belső szerver a másik lábára küldi a kimenő leveleket és ugyanaz a láb dobja is ki az internetre azokat.
Valószínűleg teljesítmény okok rejtőzhetnek a háttérben, de akkor is furcsa. (Arról nem is beszélve, hogy könnyű úgy teljesítményt növelni, hogy így az Exchange szerverre hárul a dmz-k közötti smtp routing megvalósítása.)
De nem ez volt a legnagyobb tű a vudubabában.
Egy hét után az eszköz eldobta az agyát. Se ssh, se https, se smtp… egyedül pingre válaszolt. Helyi erő kiment, oldalba rúgta.
Az eszköz feléledt és jó egy órán keresztül működött is. Aztán megint megborult. Helyi erő blazírtan megint kiment és kihúzta a seggéből a hálózati kábelt. (Pusztán Varánusz kedvéért: az eszköz seggéből.:) Gyors rollback a korábbi rendszerre, a levelezés visszaállt.
Az alatt az egy óra alatt, amíg élt a cucc, megpróbáltuk kiolvasni belőle, mitől halt el. Nem sikerült. Pedig meglehetősen sokat próbált emberek ugrottak neki, de nem. Az eszköz alatt ugyanis egy rh linux oprendszer szaladgál – és bárhonnan próbálkoztunk hozzáférni, mindenhonnan a mail admin jail-jébe kerültünk – ahol a korlátozott lehetőségek között nem szerepelt a log elolvasása. (Csak tail volt.) A grafikus felületen viszont kizárólag az MTA logjához fértünk hozzá, az meg nem mondott semmit arról, hol csúszott ki a rendszer alól a talaj.
Mindez elég messze van attól, ami egykor lelkendezésem tárgya volt: hogy ssh és oprendszer szintű konfigurálás. Nyilván van valamilyen mód rá, hogy a Symantec mérnökei belenyúljanak root jogosultsággal, de azért ez kissé kellemetlen metódus ahhoz, hogy mondjuk kinyerjünk egy infót a syslog-ból.

Symantec tesztlabor II.

Tegnap Symantec tesztlaborban voltam, de mostanában annyira zsúfoltak a napjaim, hogy alig győzöm megírni az érdekesebb dolgokat.

Nos, voltam már ilyenen korábban, akkor meg is jegyeztem, hogy ide érdemes eljárni, mert jó a kaja és el lehet csípni egy-két jó mondatot. Sokkal többet nem, de ha választani lehet fél nap pofavizit és célzott kérdezgetés illetve fél nap internetböngészés között, néha nem árt a személyes kontaktust választani. Pláne, ha ennyire jók a szendvicsek.
Mondjuk a kajára ráfaragtam, írtam is, hogy tegnap volt a nagy csőledugás, reggel kilenc után már nem ehettem semmit. Viszont hallottam érdekes mondatokat, ezeket le is írom.

Három fő téma volt, ebből engem egyedül az SMS8200 termékismertető érdekelt. A másik két előadást nem ültem végig.

Rögtön az elején volt egy freudi elszólás. Az előadó éppen azt ecsetelte, hogyan evolválódtak levélszemeték:

Voltak a szöveges szpemmek, de ezek könyen felismerhetők voltak. Ezért egyes karaktereket megpróbáltunk… izé, megpróbáltak speciális karakterekre cserélni.

Mindentudó mosoly a közönség soraiban.

Egy kis marketing: a 12 USA carrier providerből 9 Symantec terméket használ gateway jellegű szűréseknél. Ez egy érdekes adat, mondaná Galla Miklós.

A whitelist egy meglepő alkalmazása: a Belügyminisztérium szpemszűrőjére fel kellett venni a trágár magyar szavakat – nehogymár akár a minősíthetetlen hangnemű feljelentések is elvesszenek. Kíváncsi lennék, hogy állnak pártjaink ehhez a témához. Vajh mit szűr a nemzeti konzultáció?

De lássuk a terméket. Ez egy laposvas, amelyikbe belegyömöszöltek egy gyors Dell PC-t, arra ráugrasztottak egy Linuxot és egy Brightmail alapú szpemszűrőt. Ránézésre nem egy nagy durranás. Oké, hogy minden elő van installálva, de egy ilyet elég hamar össze is lehet dobni. Az ördög a részletekben… mint mindig. A vason futó alkalmazás csak hasonlít a Brightmailre – egy-két aprósággal felturbózták.

Spam:

  • Sokkal több lehetőség került a szabálygenerátorba – tényleg bármit le lehet kezelni, akár egymásba ágyazott szabályokkal is.
  • Packet shaping: egyfajta sávszélesség-menedzsment. Spamindex szerint állítható a felhasználható sávszélesség.
  • Directory harvest és open relay elleni védelem. (Directory harvest: próbálgatásos címfelderítés.)

Vírus:

  • Zip of death(1) elleni védelem.
  • Attachment szűrés(!) Nekem itt kezdett el bizseregni az arcizmom: eddig csak és kizárólag ezért kellett üzemeltetnünk legnagyobb ügyfelünknél külön SMTP gatewayt és Brightmail szervert.

Network:

  • Layer3 szintű tűzfal. (Szvsz ipchains, GUI-val.:-)

Szóval elég csini masina. A szokásos tomcat-es webfelületen érhető el, de SSH-n be lehet hatolni az oprendszerbe is. (Adatok Mysql-ben, az MTA Sendmail – de ezt úgyis tudja mindenki, aki látott már Brightmailt.)

További kis színesek. Tudtuk-e, hogy a szpemszűrésnél az együgyű URL filter a szemét 70%-át fogja meg? Nem.

A Symantec durván 20000 mézesbödönt üzemeltet széles e világon. Minden tiszteletem mellett az a Mark Twain novella jutott eszembe, amelyikben a főhős annyira félt a villámoktól, hogy telepakolta villámhárítóval a házát. Aztán az első viharban az összes villám boldogan csapott a házába.

Észrevételek:

  • Ez már tesztlaborabb volt, mint a múltkori, amelyiken voltam. (Az volt a legelső.) Itt már láttunk kütyüt, volt demó. Nem vagyok nagyigényű, de ha valamit labornak hívnak, akkor legalább érezzük a füstszagot.
  • Lehetett gyakorolni az önuralmat és lelkipozicionálást. Miről is van szó? Az összes ilyen rendezvényen az embernek tudatosan kontrollálnia kell magát: ha jó az előadó, az ember hajlamos a nap végére belelkesedni és venni vagy tizet a termékből – de legalábbis hithű apostollá válni és később kollégáinak, szakmai vitában meggyőződéssel szajkózni a hallott érveket. Nos, nem… már hallgatás közben is rá kell ereszteni kritikus gondolkodásunkat a bejövő hanghullámokra – egyfajta mentális szpemszűrést kell végeznünk. És ez kiemelten érvényes a blogokra. Is.

(1) Zip of death: Csináljunk egy bazi nagy százgigás sparse fájlt; mondjuk csupa nullával. Ezt zippentsük be. Az eredmény nyilván egy nagyon kicsi fájl lesz; lesz benne egy fejléc és egy szám, hogy hány nullával lett felpumpálva. Ha megbuheráljuk a fejlécet, el lehet rejteni, hogy az eredeti fájl mekkora bazi nagy is tulajdonképpen. Na, ezt kell elküldenünk a havernak. Ha szerencsénk van, a tűzfaluk vírust is szűr. Megnézi a zip fájl fejlécét, méret alapján bejöhet. Nyilván megpróbálja a temp könyvtárba kitömöríteni… aztán egyszer csak azt veszi észre, hogy kilőtték alóla a vinyót és a memóriát.
Négylábas megadás.

Symantec tesztlabor

Mivel nem sokan voltunk, tömören beszámolok róla:

  • Hű vazze, a világ tele van egyre gyorsabb virusokkal (szines animációk mutatják, hogyan terjed a virus… a levegőben Monty Python szag és Intelligens Mosópor érzés terjeng).
  • Több cég különböző termékei nem integráltak -> drágák.
  • Mi a megoldas? Ta-dam…

A prezi hihetetetlenül szájbarágós volt. (Ez tuti nem a helyi erők hibája, szvsz kapták az anyagot – és szvsz a tengerentúli piacra volt szánva.)
Bár lehet, hogy itt sem lőttek nagyon mellé, mert a közönségkérdésekre rendszerint ugyanaz az 1 hapi válaszolt – valószínűleg ő egyedül tényleg közelről üzemeltet virnyákölő rendszert.

Kedvenc mozzanat: becsekkoláskor a hölgy közli, hogy majd az értékelő papír leadása után kapunk ajándékot (mouse pad) meg jegyzetelő papírt. Még jó, hogy nem vagyok jegyzetelő típus.

Összességében végig azt éreztem, hogy itt valami szereptévesztés történt: két – igazán hozzáértő – műszaki embernek kellett erős marketingtöltésű előadásokat lenyomni a közönség torkán. Amikor elkalandoztak műszaki területekre, akkor lehetett élvezni a műsort. De amikor nekiálltak cukrot (DVD-t) osztogatni a korábban sulykolt anyagok visszakérődzéséért, az nagyon lealacsonyító volt.

Bár tesztlabornak hirdették meg, ilyesmiről szó sem volt. Nem is tudom, hogyan gondolták… még a végén is azt mondta a főmérnök, hogy gondolkodnak más témájú hasonló “tesztlaborok” rendezésén.

Essen szó pozitív dolgokról is. Az ebéd meglepően jó volt, sikerült ízléses arányú szenyókat összeállítaniuk és a sütik is kellemesek voltak. (Ide egy fanyar szmájli jönne, de nem tudom, hogyan néz ki.)

ps: Meglehetősen furcsálom viszont, hogy erről egy szó sem esett.