Четвъртък, Май 15, 2008
Сряда, Май 14, 2008
Пропищяло ФБР...
Интересна статия за страха на ФБР от троянски коне в оборудването, което купуват има тук - http://news.netinfo.bg/?tid=40&oid=1198016
Основанията за страха са същите, като да си купят Windows – нямат му source, а дори да имат нещо (по съответната програма на Microsoft) все пак не могат да го компилират, така че не е сигурно, че компилирания код, който ползват е този, рефериран от source-то, което им е дадено за успокоение.
Не е нужно да ползваш фалшив хардуер, за да сложиш троянски кон. Наскоро успяха да вкарат key logger в CPU microcode, където никой не може да го открие. А само чрез софтуер е дори по-лесно. По патриотично задължение от NSA всички произведени от американска компания мобилни компютри имат хардуерни key logger-и за последните 3000 натиснати клавиша – това включва Dell, Apple, HP,
В частния случай на споменатите в статията Cisco Systems, още през 2005-та година бе демонстриран exploit за Cisco IOS и имаше една подробна презентация как това да се прави от Майкъл Лин, когото адвокатите на компанията взеха за боксова круша и концентрираха вниманието си върху него за безчестие на фирмата, с цел тази информация да не се разпространява особено публично (прочетете повече в Wikipedia, както и в Google за Michael Lynn), а само между хакери. Майкъл Лин се държа като истински мъж и въпреки всичките заплахи (а аз смея да кажа, че са грозни) все пак публикува презентацията си и макар да бе премахнал 2 слайда, останалото бе предостатъчно да даде много добра идея, как точно се прави работата на всеки средно образован инжeнер, и за доброто на индустрията накара да се промени сериозно Security Policy-то на засегнатата компания в истинска полза за потребителите. Така или иначе аз съм виждал Cisco IOS exploit-и още през 2003-та година, а базовото познание как се правят (и тук скромния аз мога да ви разкажа и за един мой remote Cisco IOS exploit върху rcmd buffer overflow в старите IOS-и) е принципно налично поне от 1998-ма и 1999-та година. Така че поведението на Cisco подобно на поведението на Microsoft в този случай бе по-скоро да защитава реномето на компанията, на практика лъжейки клиентите си, че са подсигурени, с твърдението, че хакерите не знаят как се прави (още преди презентацията на Лин през 2005-та година имаше демонстрация на работещ Explot). Ако Лин публикувал информацията си, заплашвал незащитените поради грешките на програмистите на Cisco клиенти, случайно заблудени в противното, защото Cisco очевидно няма достатъчно ресурс, и интелигентност, колкото има един 15 годишен хакер, за да си оправи проблема преди него.
Това разбира се не е проблем само на Cisco. Големите компании правят бизнес повече от политика, отколкото от технологии, и като истински политици те се стремят да поддържат реноме за сметка на гласоподавателите/акционерите/клиентите си. Подобни проблеми имат практически всички компании, включително Juniper, Lucent, но най-вече Microsoft.
Спомняте ли си Георги Гунински? Това е един мой добър приятел, който определено е най-известния български security expert в чужбина. В неговият скромен публичен списък от открити проблеми стоят 5 скалпа на базови buffer overflow exploit-а за AIX, и мога да твърдя, че до ден днешен всички хакове за тази операционна система на
Microsoft като истинска голяма компания, не по-различно от поведението на Cisco спрямо Лин, опитваше да го убеди да не бъде такъв един „лош”, да не публикува проблемите, или ако го прави, да им ги дава предварително няколко месеца, и да ги публикува едва след като те се съгласят (ако ще да е и след години), защото за Microsoft е трудно да си оправи проблемите по-бързо, отколкото един 15 годишен хакер може да направи exploit. Най-висши служители по сигурността идваха редовно за моркови и тояги срещи с Гунински в България (а не с министри или ГДБОП). Гунински обаче бе склонен да дава фиксиран малък срок отстъпка и толкова. И Microsoft пробваха друго – започнаха една дискусия и заедно с други 2-3 големи компании натиснаха Bugtraq (сега SecurityFocus) да промени политиката си и да не публикува нищо на листа (известен като мястото, където се пускаха първи проблемите със сигурността, за да може засегнатите мрежи да вземат мерки) преди разрешението на засегнатия производител, и само след като той е готов с „поправка”. Гунински участваше в дискусията заедно с куп други специалисти от другата страна – с позицията, че това, че нещо не е публикувано на листа не прави клиентите (на Microsoft в частния случай) по-сигурни, защото хакерите не публикуват на листа и си имат свои методи за разпространение на проблемите. Така или иначе Microsoft победи, и продължава да обяснява на клиентите си колко е сигурен Windows точно защото поради една такава политика никой не може да знае точно колко известни и неоправени проблеми съществуват, преди Microsoft да ги поправи и да публикува информация за тях.
Днес от позицията на отминалото време можем да кажем, че тази смяна на политиката уби Bugtraq. Той отдавна не е това, което беше. А потребителите не са по-сигурни. Напротив, днес са по несигурно от всякога, защото не знаят кога има проблеми и не знаят къде да научат за тях, докато след десетки месеци закъснение (Microsoft се хвалят, че са си свалили времето на реакция до 3 месеца) компаниите не публикуват поправка.
Тогава Гунински си направи свой mailing list, където да пуска откритите от него проблеми, заобикаляйки политиката на Bugtraq, и мога да ви кажа, че там се записа на практика цялата индустрия. Бих казал, че не съм виждал друга такава концентрация на хора и отдели от най-големите и известни компании и имена в индустрията.
Разказвам тази история (надявам се Гунински да не ми се сърди) защото напоследък много се забравя как по-големите компании предпочитат да правят политика, отколкото технологии. Те обичат да пускат политически съобщения до масите и газят като валяк всеки, който ги оборва. Действителността няма значение. А тези, които се опитват да я покажат биват преследвани като еретици от църквата.
И да се върнем на статията – Cisco типично продават оборудването си приблизително 10 пъти над производствената му цена. Поради това е лесно за всеки, който е завършил техникум по електроника да копира хардуера им и да го продава значително по-евтино от тях, с добра печалба (по е лесно за по-простите модули, защото там, където ползват FPGA трябва да се преодолеят някой защити, но до сега няма опънал се хардуер за китайците). И това се прави от над 10 години насам. Миналата година компанията поде кампания срещу „клонингите” от
Това да се клонира хардуера евтино е лесно и просто. Но това не носи автоматично риск за държавата или ползвателя му. Не и повече, отколкото е имало преди. Копирачите на хардуера го правят за печалба, а не, за да захранват и без това доказалите се като ултра неадекватни тайни служби по цял свят.
Ако не приемем, че това е някаква интрига, в която Cisco е ангажирал/вкарал ФБР, за да могат те да следват тяхната борба, от тяхно име, то по-скоро звучи като проявление на безсмислена и безпричинна параноя.
Теоретично използването на всеки продукт със затворен код и архитектура (Microsoft, Cisco, Juniper,
Стависки срещу Георгиев
Много познати ме питат защо продължавам да се занимавам със случая Стависки. Едва ли не, „опекоха си работата”, „измислиха си там някаква тъй наречена справедливост”, „недей да се занимаваш повече, нищо не можеш да направиш”, „в такава държава живеем”, „където говорят парите съдиите мълчат”, „едно време ни подлудиха с медицинските сестри, а сега ни подлудяват медиите със Стависки” и т.н.
За мен обаче този случай е изключително показателен. Показателен е за невероятните решения от Българския уж справедлив съд, и това как субективизъм базиран на спорни ценности, може да промени една присъда в абсолютни крайности. И аз протестирам, и ще протестирам до тогава, докато присъдите започнат да стават по обективни (което изисква промяна в законодателството, правилниците за приложение, и поведението на съда), докато спрат подкупите, докато съдиите започнат да наказват нагло поведение в съда, докато спрат да интерпретират по спорен начин точките на закона, въобще докато съда не стане строг, но справедлив. Защото той сега е мек и несправедлив. А аз имам изострено усещане за баланс и справедливост, разбира се пречупено през моята камбанария.
Радвам се, че този случай не слиза от медиите. Защото интересува хората. Защото показва особено в сравнителен аспект това, от което всеки гражданин се притеснява – че за едни може, а за други не може, без значение какво пише в законодателството. Това решение подрива държавността. Защото когато гражданите спрат да вярват на една или повече власти, тези власти престават да съществуват, понеже гражданите си решават проблемите сами. С кирки и секири. И колкото и да ни критикуват от ЕС, загубеното доверие не се връща.
Първото правило на всяка власт (а това включва и съда, особено него, противно на пропищелите от това, че ги следят дали не взимат подкупи съдебни служители оправдаващи се с „обществения натиск не ни дава възможност да приложим (нашата) справедливост”) е просто – решенията и действията трябва да подсилват общественото доверие и очаквания в/от нея. Всичко противоречащо на това правило, разваля властта, и разваля държавността, така че не може да съществува. Освен временно, когато държавата се разпада. И това важи за всяка обществена власт и не само – важи за и за изпълнителната власт, законотворческата власт, съдебната власт, силовите органи, медиите, журналистите, докторите, всичко.
Затова вярвам, че случая Стависки е показателен, бих казал изключително показателен. И затова ще се занимавам с него, дордето мога, и дордето общественото мнение на обществото около мен някак си напълно не съвпада със съдебното. Защото отново – това е нашата държава, а не ние сме нейни. И когато държавата не прави това, което искаме от нея, ние я сменяме, правим революции, или си правим държава в държавата – те да си правят, каквото си знаят, а ние ще правим, каквото си искаме. В държава, в която учителите са повече от полицаите и военните взети заедно, всякакви идеи за насилствено движение срещу общественото мнение са по скоро химера.
И не става въпрос само за Стависки. Става въпрос и за Митьо-Очите, заплашващ с изнасилване ключова свидетелка пред съдии, затварящи си очите по въпроса с такава страшна сила, че ако можехме да я впрегнем в турбини, щяхме да закрием още 2 блока в АЕЦ Козлодуй. Или чийто (доста свързано) манаф и също обвиняем в съответното дело наказва с изнасилване провинили се мъже в организацията му под дулото на пушка, точно в момента липсващ на заседанието, поради прието от съдиите венерическо Заюво заболяване „дреме ми на уя”, и днес опитващ да изнудва шефовете на затвора.
Става въпрос и за Маргините, които, ако наистина бяха болни от това, с което се оправдават, че боледуват последните 3 години, до сега да са 3 пъти умрели.
Става въпрос и за Маждо, на който прокуратура и милиция (спомняте ли си го оня виц питащ коя е единицата за интелигентност? Ционер. Тогава колко интелигентен е един милиционер?) осигуриха такъв кордон и защита, дето Буш и Путин не получиха у нас, биейки всеки снимащ, а после взаимно сочейки се че другия го е направил, та на края стана ясно че Маджо май сам си го е направил този кордон, и е по-властен и от милиция и съдии взети заедно.
Става въпрос и за оперативно интересните братя Диневи, против които говори, но и се изреди при тях на сладки срещи и обещания половината правителство.
Става въпрос за оправдани или не хванати поръчителите на 200 публични убийства на известни фигури. И едни други 10000 неразкрити или оправдани.
Става въпрос за това как хора с власт и известност се отървават безнаказано, като президентски кордон прегазващ с превишена скорост жена.
А случая Стависки е прост случай. И в него има прост и ясен текст, който всеки трябва да види. И който Бургаския съд ни (по)казва постоянно:
Вчера (забележете) шофьорът на Кембъла бе осъден ефективно на 5 години затвор, задето по невнимание и нарушаване на максималната скорост на движение е предизвикал катастрофа, в която е загинал спътника му.
Ако съпоставим Софииското срещу Бургаското дело – то имаме от една страна „човек пил колкото Стависки, карал толкова бързо колкото Стависки, некриволичил обаче по улицата и убил само един” срещу „Стависки пил поне толкова, криволичил, засегнал повече коли, убил един, ранил посмъртно още един, ранил леко трети, карал със същата скорост”. Ето табличка:
| | Стависки | Боян Георгиев |
| Пълни признания на натрупаните доказателства? | Да | Да |
| Поискан е член 55 от НПК | Да | Да |
| Съдът е приел да ползва член 55 от НПК | Да!?1?!? | Не |
| Употреба на алкохол | Около 1.3 промила | Около 1.3 промила |
| Убити лица | 1 | 1 |
| Лица с тежка телесна повреда | 1 | 0 |
| Лица със средна телесна повреда | 1 | 1? |
| Лица с лека телесна повреда | 1 | 1 |
| Засегнати автомобили | 3 | 3 |
| Лице на кампания против шофиране пил преди инцидента | Да | Не |
| Засегнати известни лица | Извършител | Убит от приятеля си |
| Отношение към жертвите | Непознати | Приятел |
| Умишленост | Не | Не |
| Известност на случая | Да | Да |
| Обществена популярност на лицето | Извършител | Жертва |
| Делото се води в | Бургас | София |
| Минимална присъда по закон | 3 години | 3 години |
| Присъдена присъда | 2 години условно | 5 години ефективно |
В обосновката на потвърждението на оправдателната на практика присъда за Стависки от Бургаския апелативен съд (в техния сайт, на адрес http://www.bgbas.org/2spravki.php на наказателни дела напишете номер 36 година 2008) пише следното:
„критерий за условната присъда е личната (специална) превенция"
„Първоинстанционият съд правилно е редуцирал санкцията по чл. 373 ал. ІІ от НПК, след което е индивидуализирал размера на наказанието отчитайки обществената опасност на деянието и личността на дееца.”
„Няма допуснати множество или тежки нарушения на правилата за движение, които в рамките на квалифициращия състав на престъплението да формират по-висока степен на вина, предвид и оправдаването на подсъдимия от настоящата инстанция по чл. 20 ал. ІІ от ЗДП. Ниска е личната обществена опасност на подсъдимия.”
„Счита са справедлив размера на определените обезщетения за имуществени и неимуществени вреди, съобразно преживените болки и страдания от гражданските ищци и обвързаността им с подсъдимия. Кръга на правоимащите активно легитимирани деликвенти е точно определен.”
Сиреч (както аз го разбирам) известността на Стависки и това, че е бил лице на подобна кампания, която сам е компрометирал. Също така не е взето в предвид превишената скорост (оценена от протоколите на над 130км/ч по спирачната линия) и пресичането на непрекъснатата линия на пътя. Отделно не е взето в предвид спирането на Стависки за нарушаване на правилата за движение малко преди инцидента, а съответните служители на МВР не са разпитани.
А коментара на Софийския прокурор от другото дело, на практика директно критикуващ предходното решение на Бургаския съд бе:
„прокурорът по делото заяви, че тази присъда слага началото на ефективните присъди в случай на причиняване на инцидент в пияно състояние”
Вярно е, че всеки случай е специален и уникален и трябва да се вземе конкретно решение. Но такова разминаване на становищата на съдии за близки случаи може да говори много на населението, и нито една от приказките не е добра. А както казах – когато доверието в системата е изчезнало, просто няма система. Каквото и да си мислят участниците в нея.
Вторник, Май 13, 2008
За събирането на логовете по Интернет, мнение
Днес (това го написах преди дни, но не ми остана време да го пусна) в блога на Минчо Спасов излезе предложението за промяна на скандалната наредба номер 40 за „подслушването” на трафика в Интернет. Без да се опитвам да засягам господин Спасов и неговите усилия за нормализиране на наредбата искам да коментирам нещата. Предупреждавам обичам да се отплесвам в детайли и технически особености, така че може би е по-добре за този, който не се интересува от тях първо да прочете края (изводите), и после да чете защо ми е това мнението. Аз смятам че мога в детайли, симулации и техническа експертиза да докажа правотата на това, на което се позовавам.
Цялата наредба е една пълна глупост, поставяща Интернет доставчиците в ситуация, в която да са без вина виновни за проблеми засягащи трети страни.
Приветствам модификациите, че тези логове трябва да се третират като СРС и да изискват същата процедура за достъп до информацията. Приветствам и опитите за защита на засегнатите заложени вътре. Но все пак вътре остават прекалено много проблеми, повечето от които ми се струват нерешими, а индустрията се натоварва с изключително скъпо и често неизпълнимо задължение, изнасяйки в нея отговорност по същество принадлежаща на други.
Самата наредба цели (или оправдава) да приложи тези логове в съда като доказателства, създавайки им изкуствена достоверност (няма как съдията да знае дали информацията е достоверна или не, и ще се позовава на доверието към наредбата и използваните технологии, така както това съществува към СРС). Обаче IP технологиите не са създавани и не гарантират достоверност. Практически само източника на данните и получателя могат да дават някакво ниво на достоверност и то не винаги. Има прекалено много изключения, които обаче се използват масово предимно от хакерите и компютърните престъпници, поставяйки по този начин гражданите в неравнопоставено положение в съда. Или казано с други думи – този, когото полицията (официално) гони няма да хване с това, но може чрез него да обвини по погрешка някой друг, поставяйки го в положението, без да има клалификацията да доказва, че е невинен омаловажавайки и без това компрометируеми доказателства. Позовавайки се на чуждия опит, бих казал че основните осъждания на „компютърни престъпници” са базирани на традиционни, а не електронни доказателства, и особено казусите “RIAA не може да обвърже физическо лице с IP адрес”, разклащат най-голямата идея на този тип логове – да се достигне до персонална човешка отговорност.
На всичко отгоре наредбата поставя изисквания, които са трудно или напълно неизпълними (от доставчиците) срещу доста висока цена, в ущърб на качеството на услугата, която в края на краищата се поема от потребителите, субсидиращи непряко или пряко държавни и по-точно спорно частни интереси, в полза на една система за СРС-та, която до момента се е доказало корумпирана и неработеща.
Тя самата наредба е доста проста (но не в положителния смисъл на думата) неточна и неясна, и цялата заслужава да се пренапише изцяло (или още по добре да се махне), но ми се ще да обърна специално внимание на някой елементи в нея (включително в редакциите на господин Спасов, които принципно подкрепям защото са в правилна посока, но недостатъчни).
Съгласно член 3 целта е събирането на данни идентифициращи потребителя. Няма да коментирам събирането на информация от мобилните мрежи, където също имам мнение, но специално в Интернет не може да има 100% идентификация на потребителите.
Давам пример – потребителите на broadband услуги се асоциират с контракт, който ги асоциира с физически порт – физическа свързаност и получават IP адрес(и) идентифициращи точка на свързване уникално. На пръв поглед това звучи достатъчно условие за да се изпълнят изискванията на наредбата. Но в действителност не е така.
ЗАЩОТО ИНТЕРНЕТ УСЛУГИТЕ НЕ СА ПЕРСОНАЛНИ (поне не и в следващите 10 години) А СЕ ПОЛЗВАТ СПОДЕЛЕНО. Няма изключения.
Какво значи това?
Значи, че този, който е сключил договор и заплаща услугата, не е задължително да бъде нейният ползвател. Нека дам няколко примера.
· Ето един конкретен и не рядък пример. Детето учи в чужбина. Мама и тате /Бабата от рекламата на Кейбълтел/ искат да се чуват с него по Интернет ползвайки Skype. Услугата се плаща от детето. Или от съседското дете, свършило услуга на родителите. Които често пускат на компютъра им да работи едно трето момченце, понеже те не знаят как, пък и им е кеф да има дете наоколо. Аз знам доста такива случаи.
· Или пък двама или няколко съседи се кооперират и си купуват един Интернет. Класика на всякъде. Въпреки всички усилия на Интернет доставчиците, масово няколко потребителя плащат само за един порт, често плащан от трето лице.
· Или имаме домашен маршрутизатор с Wireless, който е отворен.
· Или имаме малка фирма заплащаща интернет като домашен потребител.
· Или имаме общежитие в студентски град с Интернет но сменен наемател, който плаща от името на стария.
· Или имаме анонимен DialUP и потребител влизащ от аналогов телефон, който няма ANI номер.
· Или имаме компютърно клубче, плащащо Интернет, с няколко компютъра.
· Или имаме потребител пуснал Proxy или TOR през чиито компютър минава чужд трафик
· Или имаме пуснат неправилно Windows Server или Linux и през този компютър се relay-ва SPAM
· Или имаме вируси заразили компютрите и генериращи трафик или P2P мрежа
· Или имаме кафе с публична безжична мрежа за гостите си
· Хотел с безплатен WiFi достъп или с Интернет може да има произволни клиенти
· Други (купуващи от нас) интернет доставчици, корпорации/фирми, VPN концентратори
Има хиляди други варианти. По оценка на Интернет доставчиците поне 30% от потребителите на Интернет са такива случаи.
Дори в частния случай, когато имаме NAT, то порт и IP адрес и договор не могат да идентифицират (без прилагането на много хитри методи, като passive fingerprinting, TTL alarm triggering например, и то пак трудно) дори колко компютъра евентуално има клиента. А някой интернет доставчици имат NAT, за тях има други закачени с NAT, а зад тях домашни потребители с домашни рутери, закачени с NAT.
Самите Интернет доставчици се опитват да ограничат тези случаи (защото искат всеки различен потребител да плаща отделно). И въпреки полаганите от години усилия и пари, не могат да го постигнат. И не само у нас. Смешно ще е да вярваме, че една наредба ще го постигне.
Следователно – въпреки, че IP адреса се третира в Европейския съюз като лични данни, той не може да асоциира директно потребител. Дори не може да асоциира директно компютър. Но за да е по-лошо нещастието на получаващите душевен оргазъм от подслушване, IP адреса дори не може да идентифицира себе си:
Маршрутизацията в Интернет се прави изключително и само по Destination Address, а не по Source Address. Следователно всеки може да си сложи какъвто си иска Source Address. Въпреки всякакви техники прилагани от Интернет доставчиците IP address spoofing не само, че се случва, но е изключително масово явление, и то прилаган точно от тези, които (уж) най-много интересуват силовите органи. Комбиниран с MAC Address spoofing и други техники, той прави потребителите източници на даден трафик непроследими, освен с активни действия, по времето когато трафика се случва. Не и пост фактум. Освен това прави напълно потенциално невалидни всякакви логове, защото е много лесно да създадеш „интересен трафик” от името на някой друг, когото полицията да посети и да кара да пише обяснения, въпреки че е възрастна баба с очила 7ми диоптър. А такива случаи за смях, има. Има и у нас.
Тъй като тази наредба предполага използването на логовете за доказателство в Съда, практически заблуждавайки го в достоверността на информацията, изнасяйки за това напълно отговорността в Интернет доставчика, който е само посредник и няма техническата възможност да подсигури достоверността им, то тя е предпоставка за пряко нарушаване на човешките права въз основа на данни, които са непроверими. Или както казах да постави в положение, невинен да доказва, че е невинен, защото системата е склонна да приема компрометируеми доказателства за валидни.
Не случайно тази трафична статистика не се третира като пряко доказателство никъде. Но „основанието” на наредбата предполага, че смисъла е да се третира като доказателство у нас.
За това аз държа да има точка, която да специфицира ситуацията изрично, за да дава точно и ясно информация къде е грешката, ако има такава, и може ли да се избегне, с което да не пренася неизпълнима отговорност върху трета глава. Например:
Началното изречение на член 3 да се промени на:
Чл. 3. Категориите данни, подлежащи на запазване от предприятията, предоставящи обществени електронни мрежи и/или услуги, въз основа на и доколкото операторите разполагат с нея, без гаранция за 100% достоверност са:
Ще ми се да отбележа няколко други коментара. Изискването към интернет доставчиците да записват сесийна информация за поведението на потребителите създава изключителни неудобства, не само на доставчиците, но и на самите потребители, както и на иновативността на технологиите и услугите прилагани в страната.
Например – един ЛАН оператор може да има големи сегменти с по 1000 потребителя в неуправляема мрежа. Той не може да знае дали те не обменят трафик и какъв е той. Следователно статистиката, която ще предостави на щастливите служби няма да бъде пълна и достоверна.
Това не е проблем на ЛАН доставчиците само. Същия проблем имат и другите доставчици. Дори БТК има сериозни сегменти в мрежата, където не може да проследява лесно и скалируемо какъв трафик правят потребителите, камо ли да логва информация за него.
За да се пренаправят мрежите, така че да бъде изпълнено напълно изискването за 100% лог на цялата преминаваща през мрежата им информация, трябва да бъдат направени инвестиции, които не са хиляди, а десетки милиона лева. А тези пари ще дойдат от индустрията, данъкоплатците и гражданите. За да може някой щастливо да плува в логове. Следователно е ясно, че каквото и да наредят (с извинение) „органите” то няма да бъде изпълнено. Не и скъпо и правилно, което значи че „доказателствата” ще бъдат компрометирани.
Възможно е, с цел за да си спестят инвестиции доставчиците на интернет, трафика да се пренасочи (физически или логически) да минава през строго определени точки на мрежата, с цел да се намали инвестицията. Дори да си представим, че това е изпълнимо, с което не съм съгласен и мога да споря със всеки псевдо експерт като мен по въпроса, то общия трафик на мрежата очевидно ще бъде ограничен до пропусквателната способност на тези точки, което значи намаляване на капацитета и потенциала на мрежата десетки пъти, и следователно намаляване на качеството на услугата, получавана от потребителите десетки пъти, отново за да може някой да плува в логове. И отново увеличаване на цена в инфраструктура. Без обаче това да гарантира достоверност на информация (защо, още веднъж след малко).
Малко са доставчиците в състояние да събират дори груба статистика. Но дори тези, които заблудено си мислят, че разчитайки на технологии като NetFlow, JFlow и SFlow от маршрутизаторите, са подсигурени, ще ги изненадам, че не е така. Тези технологии логват сесии, спазвайки следното ограничение:
Не се гарантира достоверност – особено не и за начало и край на сесия (разместени часовници, някоя прекалено дълга сесия може да се нареже на сегменти или да бъде дропната от списъка предварително, преди да е приключила).
Не се гарантира пълнота на информацията – фрагментираните пакети не се записват като сесии (а те могат да представляват между 10% и 100% от трафика), сесиите които са извън списъка от поддържаните от системите (сто хиляди, милион…) не се логват също. Следователно е много вероятно да се е случило нещо, което да не е отбелязано. А и е лесно „логването” да се заобиколни.
Въпреки че по изключение логващите протоколи могат да работят въз основата на сигурен транспорт, те като цяло не ползват такъв. Това значи, че загуба на информация или фалшива информация може да бъде генерирана от трето лице, която по-късно да бъде класифицирана като истинска.
NetFlow, JFlow, SFlow не носят адекватна информация за физическите интерфейси, през които минава трафика на устройството генериращо логовете. Причините са различни (неправилен update на SNMP Index, expired cache на SNMP interface table, и т.н. и т.н.) , но резултата е един – не може да се получи, или не може да се вярва на физическия път генериран от такива логове. Следователно няма как да се вярва дали източника е този, който изглежда – тоест IP адреса от който изглежда, че е генериран трафика може да бъде и грешен (IP Spoofing).
NetFlow, JFlow, SFlow логват само външни полета за пренасяния трафик, но не и допълнителни опции променящи поведението на трафика. Пример – дефинирания в RFC791 метод IP loose & strict source routing. Съгласно “gateway configuration policy”-то това е задължителна опция за всички маршрутизатори в Интернет. Нейната цел е да подсигурява форма на Traffic Engineering за американските военни, а именно да могат да прекарат трафик през строго определена точка в Интернет, и той да се върне през нея. През 90-те имаше изключителна мода да се използват тези опции за хакване на различни системи. Те не се логват. Можеш да си сложиш какъвто си искаш IP адрес и да прекараш трафика през подходящ път, той да се върне при теб, и да заобиколиш филтри. Особено моден бе за атакуване на Windows 98 и </