W dniu 08.01.2022 o 15:21, Kviat pisze:

> Bajki o robieniu takiego grafu z treści kopii
> roboczych (sic!) to możesz dzieciom opowiadać.

Wstrzymaj konie! Niedługo po atakach na WTC czytałem jakiś artykuł, że
służby USA miały przez pewien czas problem z ustaleniem jak kontaktują
się ze sobą członkowie pewnej organizacji terrorystycznej. Do czasu aż
wpadli na to, że tamci używali właśnie kopii roboczych.

> Z logów możesz się dowiedzieć kto, do kogo i ile razy wysyłał maile, gdy
> ten mail dawno został skasowany, a miejsce po nim na dysku został
> wielokrotnie zapisany gołymi babami

I co takie logi pokażą w przypadku wykorzystania kopii roboczych?

do góry

On 2022-01-08, nadir <n...@h...org> wrote:
> W dniu 08.01.2022 o 15:21, Kviat pisze:
>
>> Bajki o robieniu takiego grafu z treści kopii
>> roboczych (sic!) to możesz dzieciom opowiadać.
>
> Wstrzymaj konie! Niedługo po atakach na WTC czytałem jakiś artykuł, że
> służby USA miały przez pewien czas problem z ustaleniem jak kontaktują
> się ze sobą członkowie pewnej organizacji terrorystycznej. Do czasu aż
> wpadli na to, że tamci używali właśnie kopii roboczych.

Ale jak używali kopii roboczych w kontekscie serwera e-mail?

A kopii zapewne może być całe stado jeśli ssystem plików jest typu COW
(copy on write), nie wiem jednak jak z powszechnością używania takich
systemów u większych operatorów.

--
Marcin

do góry

W dniu 08.01.2022 o 23:30, Robert Tomasik pisze:

> Operatorzy twierdzą, ze nie mają takich danych.

No bo skoro prawo ich do tego nie zmusza, to nie mają i tego się
trzymają. No ale żeby ułatwić sobie robotę, a programy i sprzęt na to
pozwalają, to czemu nie?
Tylko proszę nie pisz, że to złamanie jakiegoś RODO czy innego gówna,
które ma niby chronić czyjąś prywatność, a tak na prawdę to różne urzędy
i instytucje państwowe same słabo go przestrzegają.

> Zauważ, ze obowiązek
> wiedzieć mają operatorzy telekomunikacyjni.

Zauważ, że teraz operator telekomunikacyjny, to takie trochę nie wiadomo
co, potworzyły się różne oligopole. Czy taki M$, Facebook albo Google,
to operatorzy telekomunikacyjni? Chyba nie? A świadczą połączenia nie
tylko audio, ale i wideo, i na dodatek ciul wie pod jaką jurysdykcję
podlegają.

> Niepokoi mnie ta Twoja pewność, ale cóż mogę poradzić?

Pracowałem u operatora, zajmowałem się bilingami oraz inżynierią ruchu,
stąd moja pewność. Co prawda dawno to było, a i charakter danych i
połączeń się zmienił od tamtego czasu, ale myślę, że nadal analizuje się
ruch. Kiedyś telefoniczny, teraz IP.
Chociaż jak widzę jak od jakichś dwóch lat działa ten internet u różnych
operatorów, to mam wątpliwości, czy ktoś faktycznie się jeszcze takimi
rzeczami przejmuje.

> Naprawdę podejrzewasz, że w zależności do tego, czy email wysyłam do
> serwera onet.pl, czy neostrada.pl, to one idą innym kabelkiem i trzega
> dbać o ich grubość?

Przecież tu nie chodzi o rozbijanie się na drobne; czy to mail, czy www,
czy YT, tylko ogólnie, gdzie się ruch przytyka i jak usprawnić jakość
usług/połączeń. Może gdzieś właśnie trzeba pogrubić jakiś kabelek?

do góry

W dniu 08.01.2022 o 23:20, Robert Tomasik pisze:
> W dniu 08.01.2022 o 15:21, Kviat pisze:

>> (No i skąd te duble?)
>
> Nie wiem. Nie było to przedmiotem mojej troski i nie chciało mi się tego
> dochodzić.
>>
>>> Przykładowo jakieś kopie bezpieczeństwa tworzone w czasie pisania?
>>
>> Czyli każda zmiana tworzyła różny plik, z różną sumą kontrolną...
>
> Nie tworzyła, ale nie mogłem tego wykluczyć na początkowym etapie. W
> przeciwieństwie do niektórych na tej grupie nie wiem wszystkiego i
> staram się działać tak, by zapobiec skutkom swojej niewiedzy. >

To, że nie łapiesz ironii już wiedziałem.
Ale to, że milicja do takich spraw deleguje ludzi, którzy nie bardzo
wiedzą co i dlaczego robią... no to tym mnie zaskoczyłeś.
A może i też nie.

>>> A tak pozbywam się tego, co raczej na pewno tak samo wygląda. Szanse
>>> na to, ze dwa różne emaile mają tę samą sumę są mizerne.
>> A jakie są szanse, że jakiś serwer pocztowy zapisuje różne wersje
>> robocze tego samego e-mailia w pierdyliardzie identycznych egzemplarzy
>> rozsianych gdzieś po dysku?
>
> Odzyskiwali dane z tzw. "wolnej przestrzeni" i tam te dane były
> wielokrotnie replikowane. Po za tym nie sądzę, by jakikolwiek tego typu
> serwer nie działał bez automatycznego replikowania.

Nie sądzisz? Czy wiesz?
Po kimś, kto się tym zajmuje w tak poważnych sprawach (bo chyba
hobbystycznie tego nie robiłeś dla cioci, która maila zgubiła?)
spodziewałbym się, że wie cokolwiek o serwerach email.

> Serwer NAS, to chyba
> minimum bezpieczeństwa.

Z ciekawości, jakiż to serwer pocztowy replikuje wielokrotnie emaile na
"wolnej przestrzeni"... tego samego dysku? Nic wcześniej nie
wspomniałeś, że szukałeś dubli na kilku dyskach równocześnie...

Nie wspominając o tym, że gdyby jakiś serwer pocztowy robił duble maili
w jakimś mitycznej "wolnej przestrzeni" i to "wielokrotnie
replikowane"... to znaczy, że to szalony serwer i raczej długo by sobie
nie popracował w serwerowni. Albo szalony admin. Czego oczywiście
wykluczyć nie mogę.

> W sumie dobrze myślałeś. Ale część ludzi korzysta do pisania email
> przykładowo a oprogramowania WEB-owego,

Tak, tak. A serwer tworzy pierdyliard kopii roboczych w "wolnej
przestrzeni" i replikuje w pierdylionie egzemplarzy w "wolnej
przestrzeni" wysłanego maila.

> a nie programu pocztowego, a to
> działa na serwerze. >

Jak na to wpadłeś?

>> To właśnie w logach widać adresy IP kto do kogo wysyłał i co wysłał,
>> jak i z czym się łączył, a nie w treści kopii (pierdyliarda dodajmy
>> dla porządku) roboczych maila. Bajki o robieniu takiego grafu z treści
>> kopii roboczych (sic!) to możesz dzieciom opowiadać.
>
> Tyle, że jeśli serwer stoi w Europie, to szybciej te dane wyciągniesz z
> tych emaili :-)

No pewnie. Z tzw."wolnej przestrzeni"... nadprzestrzeni chyba.
Choćby i stał u ciebie na półce, to nie wyciągniesz z kopii roboczej
maila danych, których tam nie ma, choćby nie wiem w ilu pierdyliardach
egzemplarzy byłby na tym dysku zreplikowany.

I z ciekawości zapytam.
Po kopię tego dysku do analizy pojechałeś do Europy, czy przysłali ci
całego NASa do paczkomatu? Już widzę jak obliczasz te sumy kontrolne na
dysku serwera stojącego gdzieś w Europie... 0202122 nadal działa?

Powrotu do zdrowia życzę.
Piotr

do góry

W dniu 08.01.2022 o 23:52, nadir pisze:
> W dniu 08.01.2022 o 15:21, Kviat pisze:
>
>> Bajki o robieniu takiego grafu z treści kopii roboczych (sic!) to
>> możesz dzieciom opowiadać.
>
> Wstrzymaj konie! Niedługo po atakach na WTC czytałem jakiś artykuł, że
> służby USA miały przez pewien czas problem z ustaleniem jak kontaktują
> się ze sobą członkowie pewnej organizacji terrorystycznej. Do czasu aż
> wpadli na to, że tamci używali właśnie kopii roboczych.
>
>> Z logów możesz się dowiedzieć kto, do kogo i ile razy wysyłał maile,
>> gdy ten mail dawno został skasowany, a miejsce po nim na dysku został
>> wielokrotnie zapisany gołymi babami
>
> I co takie logi pokażą w przypadku wykorzystania kopii roboczych?

Nic, jeżeli te maile nie wychodziły z serwera (ani nie wchodziły na serwer).

Potrafię sobie wyobrazić, że ktoś tworzy wersję roboczą, zapisuje.
Ktoś inny loguje się na skrzynkę, z innego miejsca na świecie i czyta
kopię roboczą. To nie jest rocket science.
W logach widać skąd i kiedy ktoś logował się do skrzynki.
Ale to jakby log czegoś innego i inny plik z logiem.

Jeżeli te robocze maile nadal byłyby w skrzynce, to po dacie i godzinie
zapisu można to skorelować z zapisem logów z logowań do skrzynki i
jakieś wnioski wyciągnąć.

Ale gdy ta kopia robocza tego emaila została skasowana (i nadpisana
gołymi babami) i nie ma jakichś kopii zapasowych konta, to z tych logów
można się co najwyżej dowiedzieć skąd i kiedy ktoś się logował na skrzynkę.

Tomasik pisał o grafie (od kogo, do kogo wysłanych, IP, godzina...)
wyciąganych z treści maila... W opisywanym przez Ciebie przypadku też
nie miałby szans wyciągnięcia takich danych z tej kopii roboczej.
Jeszcze nie słyszałem o istnieniu serwera pocztowego (ani o istnieniu
takiego szalonego admina), który by zapisywał w treści maila (roboczego,
czy nie roboczego) skąd i kiedy nastąpiło logowanie do skrzynki pocztowej.

Pozdrawiam
Piotr

do góry

On 2022-01-08, nadir <n...@h...org> wrote:
> Pracowałem u operatora, zajmowałem się bilingami oraz inżynierią ruchu,
> stąd moja pewność. Co prawda dawno to było, a i charakter danych i
> połączeń się zmienił od tamtego czasu, ale myślę, że nadal analizuje się
> ruch. Kiedyś telefoniczny, teraz IP.

Ruch się z pewnością analizuje, tylko nie do końca rozumiem po co do
tego zbietanie danych adresowym mejli i to w postaci tabelek. Również,
jaki jest sens robić to w ten sposób gdy ten ruch nie zależy od danych
adresowych a od fizycznego położenia serwerów i odpowiednich rekordów
dns/mx w tym wypadku?

> Przecież tu nie chodzi o rozbijanie się na drobne; czy to mail, czy www,
> czy YT, tylko ogólnie, gdzie się ruch przytyka i jak usprawnić jakość
> usług/połączeń. Może gdzieś właśnie trzeba pogrubić jakiś kabelek?

No ale po co do tego nagłówki e-mail? Zresztą przy obecnej wielkości
ruchu to raczej nikt takich logów pod kątem obciążenia nie przegląda a
analiza jest wykonywana na jakiś load balancer'ach z póżniejszą
redystrybucją geograficzną pomiędzy poszczególne serwery, a nie
pogróbianiem kabelków.

Nie znam się tak do końca na tym, ale MZ jedyny współczesny sens zabawy
z logami e-mail to kwestie diagnostyki, bezpieczeństwa i spamu.

--
Marcin

do góry

W dniu 09.01.2022 o 02:25, Marcin Debowski pisze:

>> Pracowałem u operatora, zajmowałem się bilingami oraz inżynierią ruchu,
>> stąd moja pewność. Co prawda dawno to było, a i charakter danych i
>> połączeń się zmienił od tamtego czasu, ale myślę, że nadal analizuje się
>> ruch. Kiedyś telefoniczny, teraz IP.
> Ruch się z pewnością analizuje, tylko nie do końca rozumiem po co do
> tego zbietanie danych adresowym mejli i to w postaci tabelek. Również,
> jaki jest sens robić to w ten sposób gdy ten ruch nie zależy od danych
> adresowych a od fizycznego położenia serwerów i odpowiednich rekordów
> dns/mx w tym wypadku?

Ja takich tabelek, czy logów nie widziałem, ale może ktoś w tym widzi sens.
>
>> Przecież tu nie chodzi o rozbijanie się na drobne; czy to mail, czy www,
>> czy YT, tylko ogólnie, gdzie się ruch przytyka i jak usprawnić jakość
>> usług/połączeń. Może gdzieś właśnie trzeba pogrubić jakiś kabelek?
> No ale po co do tego nagłówki e-mail? Zresztą przy obecnej wielkości
> ruchu to raczej nikt takich logów pod kątem obciążenia nie przegląda a
> analiza jest wykonywana na jakiś load balancer'ach z póżniejszą
> redystrybucją geograficzną pomiędzy poszczególne serwery, a nie
> pogróbianiem kabelków.
> Nie znam się tak do końca na tym, ale MZ jedyny współczesny sens zabawy
> z logami e-mail to kwestie diagnostyki, bezpieczeństwa i spamu.
>
Tylko tu z kolei sądzę, że nikt mnie gromadzi danych archiwalnych, tylko
na bieżąco sobie wyciąga do tabelki - przykładowo ilość wysłanych
emaili, by spamera złapać. Na co mu odbiorcy? Zapisuje dla danego konta
- powiedzmy - ilość wysłanych emaili i ilość adresatów.


--
Robert Tomasik

do góry

W dniu 09.01.2022 o 02:25, Marcin Debowski pisze:

> Ruch się z pewnością analizuje, tylko nie do końca rozumiem po co do
> tego zbietanie danych adresowym mejli i to w postaci tabelek. Również, > jaki jest
sens robić to w ten sposób gdy ten ruch nie zależy od danych
> adresowych a od fizycznego położenia serwerów i odpowiednich rekordów
> dns/mx w tym wypadku?

Nie chodzi o to żeby każdy logował wszystko tylko ten odcinek, za który
odpowiada. Dostawca poczty nagłówki, dostawca internetu ruch w sieci,
operator telekomunikacyjny bilingi. No a że są miejsca gdzie te biznesy
się łączą/przecinają, to może wyjść, że ktoś loguje wszystko.

> a nie pogróbianiem kabelków.

Taka ironia to była. Trzeba coś gdzieś zrobić, żeby było lepiej.

> Nie znam się tak do końca na tym, ale MZ jedyny współczesny sens zabawy
> z logami e-mail to kwestie diagnostyki, bezpieczeństwa i spamu.

To też, ale w czasach gdy email stał się też formą komunikacji
urzędowej, to chyba warto by to przechowywać, przynajmniej tak samo
długo jak Poczta Polska przechowuje swoje dane o listach poleconych.
No bo jaka jest teraz różnica między papierowym listem poleconym a emailem?

do góry

W dniu 09.01.2022 o 00:27, Marcin Debowski pisze:

> Ale jak używali kopii roboczych w kontekscie serwera e-mail?

Różne osoby pisały sobie wiadomości w kopiach roboczych, ale wiadomości
w ogóle nie wchodziły/wychodziły do/z serwera.

do góry

W dniu 09.01.2022 o 01:18, Kviat pisze:

> To nie jest rocket science.

No i właśnie dlatego, że to takie proste, to takie trudne.

> W logach widać skąd i kiedy ktoś logował się do skrzynki.
> Ale to jakby log czegoś innego i inny plik z logiem.

Pewnie dlatego służby miały problem, szukali nie w tych logach.
Zresztą wiadomo było, że jakoś się komunikują tylko nie było wiadomo jak.

> W opisywanym przez Ciebie przypadku też
> nie miałby szans wyciągnięcia takich danych z tej kopii roboczej.

Jak to nie? Cyklicznie lub po każdym zalogowaniu/wylogowaniu użytkownika
jego katalog "kopie robocze" jest archiwizowany. Tylko trzeba na to wpaść.
No a potem może robi się z tego grafy? Nie wiem bo nie bawiłem się w
takie rzeczy.

> Jeszcze nie słyszałem o istnieniu serwera pocztowego (ani o istnieniu
> takiego szalonego admina), który by zapisywał w treści maila (roboczego,
> czy nie roboczego) skąd i kiedy nastąpiło logowanie do skrzynki pocztowej.

Pewnie, że z góry, dla wszystkich się tego nie robi, ale jak już wiesz
czego i gdzie szukać, to czemu nie?

do góry