The SDF^* Public Access UNIX System Celebrates 20 Years!
http://sdf.lonestar.org

It was on June 16th, 1987 that the SDF-1 received its first caller at 300bps. This little Apple ][e BBS of the late 80s turned into a Public Access UNIX System with the demise of “killer.dallas.tx.us” during the “Operation Sundevil” raids. Since then it has grown to become the oldest and largest continually operating PUBNIX on the planet.

Over the years SDF has been a home to 2+ million people from all over the world and has been supported by donations and membership dues. SDFers pride themselves on the fact that theirs is one of the last bastions of “the real INTERNET”, out of the reach and scope of the commercialism and advertising of the DOT COM entities. It is a proponent of SMTP greylisting as opposed to content filtering and offers that as an option to its members.

While access to basic services are free to everyone, lifetime membership can be obtained for a mere onetime donation of $36. And it is the members who decide which programs and features are available. The members communicate via a web free, google inaccessible, text bulletin board (‘bboard’) as well as an interactive chat (‘com’) where users battle each other in the integrated netris matches. The interface of these programs harks back to the days when TOPS-20 CMD J-SYS ruled the ARPANET.

SDF has also become home to well known hackers such as Bill Gosper, Tom Ellard (Severed Heads), Geoff Goodfellow, Carolyn Meinel and Ezra Buchla, son of the father of the Synthesizer. From this pool of talent you might expect more than just computing, and you’d be correct. An annual music compilation is published featuring original music ranging from electronic noise to improvised piano sonatinas. Gosper’s puzzles which he has cut at his favorite laser shop are frequently given away as membership perks or through fundraising raffles.

There are always classes being taught on SDF as well, where instructors and students enjoy free access to the latest teaching and programming tools. Instructors manage their own classes in such a way as not to be encumbered by their own school’s outdated utilities or computer security restrictions, which can hamper the learning process.

And where else would you expect to be able to locally dialup at 1200bps from just about anywhere in the USA and Canada with a Commodore 64 and get a login prompt? SDF! As well as direct login, SDF offers PPP and PPPoE via analogue dialup (1200bps – 56kbps), ISDN and DSL. Members also have access to the SDF VPN (Virtual Private Network) and Dynamic Domain Name Service.

One of the many interesting and esoteric aspects of life on the SDF-1 is GOPHER. All users have access to their own GOPHER space and a number of them continue to find it a useful way to share text and data. And if you don’t want to relive that past, SDF’s ‘motd.org‘ project offers a collaboration amongst members to share source and security tweaks for the latest wikis, web forums, photo galleries and blogs.

SDF runs NetBSD on a cluster of 12 DEC alphas with 3 BGP‘ed T1s linking it to the INTERNET. It is an annual supporter of the NetBSD foundation and the Computer History Museum (CA). One of its original incarnations, an AT&T 3B2/500, is displayed annually at the Vintage Computer Festival.

[via]

[*] – Δείτε και παλαιότερο post μου για το SDF

(Έμαθα πως πρέπει να παραδώσω έκθεση στην υπηρεσία σχετικά με το RIPE-54 -λογικό αφού πλήρωσαν τα έξοδα- οπότε κοίτα να δεις, η καταγραφή στο blog με βοηθάει!)

[ 2007-05-08 ]

Αν κάποιος θέλει να καταλάβει τι σημαίνει “μεγάλο δίκτυο” του αρκεί η πρώτη διαφάνεια του Alain Durand “IPv6 @ Comcast: Managing 100+ Million IP addresses“[pdf document]. Την (άμεση) ανάγκη τους για το IPv6 την τοποθέτησε πολύ απλά: “Το δίκτυο 10 και οι υπόλοιπες διευθύνσεις του RFC1918 δεν μας φτάνουν και κανείς μας δεν είχε τα @@ να πάει να πει στον CEO μας πως δεν μπορούμε να εγγράψουμε καινούργιο πελάτη”. Έτσι για αυτούς το πέρασμα στο IPv6 ήταν μονόδρομος.

Αυτή τη στιγμή η Comcast δίνει υπηρεσίες 3-play, αλλά όχι σε μία combo συσκευή. Υπολογίζουν πως κάποια στιγμή θα μπορούν να το κάνουν, αν και δεν είναι τόσο απαραίτητο γιατί ο πελάτης μπορεί να θέλει το Internet-feed στο υπόγειο, TV στο σαλόνι και τηλέφωνο σε άλλο σημείο του σπιτιού, οπότε ο διαχωρισμός βολεύει (σημ: Βέβαια αυτός ο διαχωρισμός οδηγεί και σε πιο γρήγορη κατανάλωση του IPv4 space, αλλά το δίκτυό τους είναι έτσι κι αλλιώς μεγάλο). Υπολογίζουν πως χρειάζονται 8 με 9 IP addresses σε κάθε σπίτι.

Ο σχεδιασμός για την εισαγωγή του IPv6 στο δίκτυο της Comcast ξεκίνησε το 2005 (και μόνο στα network edges, όχι στον τελικό χρήστη). IPv6 μπαίνει όπου είναι απαραίτητο και μόνο. Το deployment ξεκινάει από το core προς τα edges και υπολογίζουν πως θα έχουν full-scale deployment το 2008. Να πως προχώρησαν (με baby steps κατά τα λεγόμενα του A. Durand):

1. IPv6 addresses στους routers του δικτύου (7/2006). Το μόνο που μπορούσαν να κάνουν οι administrators ήταν ping από το ένα interface στο άλλο.
2. Ενεργοποίηση IPv6 routing (11/2006). Τώρα οι administrators κάνανε και traceroute, telnet σε άλλο router κ.λπ.
3. Εγκατάσταση, customization και έλεγχος των monitoring tools.
4. Εντοπισμός προβλημάτων σχετικών με τις υλοποιήσεις σε διάφορες MIB.
5. Τελική επιλογή internal routing protocols: OSPFv2 για IPv4 και IS-IS για IPv6

Αυτό που είναι ενδιαφέρον είναι η απόφασή τους να μην φτιάξουν ένα “IPv6 lab”. Ένα IPv6 lab αποξενώνει τους operators του δικτύου κορμού (που φέρνει και τα λεφτά) από τις εξελίξεις. Ενεργοποιώντας με baby steps το IPv6 στο δίκτυο κορμού κάνεις τους operators συμμέτοχους στο νέο παιχνίδι κάτι που είναι προτιμότερο από το να τους το εμφανίζεις μία μέρα σαν το νέο δεδομένο. Στα πλαίσια αυτά (της ψυχολογικής προετοιμασίας των operators) τύπωσαν και ένα μπλουζάκι με ένα καταπληκτικό (IMO) motto:

“96 more bits, no magic”

The cost of NOT deploying IPv6

Συνήθως οι πάροχοι τεκμηριώνουν την αναβλητικότητά τους για να προχωρήσουν σε IPv6 deployment χρησιμοποιώντας τα ακόλουθα επιχειρήματα:

1. Training costs. Οι εταιρίες συνήθως το βλέπουν σαν το μεγαλύτερο κόστος. Όχι μόνο οικονομικό. Συνήθως ένα training programme διαρκεί 5 ημέρες, οπότε αυτές τις 5 ημέρες οι operators τους είναι έξω από το δίκτυο. Πολλές φορές δεν έχουν αυτά τα περιθώρια.
2. Network upgrade costs. Αυτά είναι τα πραγματικά κόστη. Από την άλλη όμως όλο το σύγχρονο hardware είναι IPv6 ready. Οπότε με ένα προσεκτικό σχεδιασμό για την ανανέωση των ενεργών στοιχείων, η αναβάθμιση σε εξοπλισμό IPv6 ready μπορεί να γίνει εξαιρετικά ομαλά.
3. Dual stack operation. Το να έχει αναπτύξει κανείς ένα δίκτυο IPV6, αυτή τη στιγμή σημαίνει πρακτικά τη διαχείριση δύο δικτύων αντί για ένα. Και αυτό είναι ένα πραγματικό κόστος. Είναι όμως ένα κόστος που δεν θα φύγει για πολύ καιρό. Όταν έρθει η ώρα του IPv6, έτσι κι αλλιώς θα έχουμε dual-stack networks γιατί το IPv4 δεν θα γίνει phase-out για πολύ καιρό. Οπότε όσο πιο γρήγορα προετοιμαστεί κανείς, τόσο καλύτερο.

Πολλοί φυσικά υποστηρίζουν πως αυτή η στιγμή μπορεί να καθυστερήσει πολλά χρόνια ακόμα, χάρη στο NAT. Είναι όμως έτσι τελικά;

Στη γενική περίπτωση το NAT είναι βολικό για τον τελικό χρήστη, εκτός κι αν θέλει να αρχίσει να κάνει “κάτι παραπάνω” (π.χ. reverse NAT, VPN ανάμεσα σε δύο sites, κ.ο.κ.). Ειδικά όταν η επίλυση ενός προβλήματος πελάτη που κάνει χρήση ΝΑΤ κοστίζει όσο το κέρδος που αποφέρει ο πελάτης για ένα χρόνο. Αν δε χρειαστεί και second level support, τότε κοστίζει όσο το κέρδος που θα αποφέρει ο πελάτης για όσο χρόνο μείνει πελάτης. Και φυσικά να μη ξεχνάμε την ψευδαίσθηση της ασφάλειας που δίνει το NAT.

Χάρη στα Windows Vista σε περίπου 1.5 χρόνο θα έχουμε πολλούς χρηστες IPv6-ready. Αυτό είναι καλό. Η ύπαρξη δε tunnel brokers, 6to4 tunnels και του Teredo μπορεί να βοηθήσει να γίνει αυτή η μετάβαση χωρίς καν την ουσιαστική εμπλοκή των ISPs.

Και το καλύτερο της παρουσίασης: “I am told that Microsoft runs its complete internal network on IPv6”.

Spamhaus presentation

Το Spamhaus ξεκίνησε τα late-90s από τον Steve Linford και σήμερα είναι περίπου 30 άτομα. Αρχικά ήταν ένα evening job που κατέληξε καθημερινή εργασία.

Η επιτυχία του οφείλεται στον τρόπο που έχει σχηματιστεί η ομάδα, στην εμπιστοσύνη που έχει οικοδομηθεί ανάμεσα στα μέλη της και στον τρόπο με τον οποίο δέχονται νέα μέλη. Ο φόβος να διαρραγεί αυτή η εμπιστοσύνη είναι ο κύριος λόγος που ενώ πολλά από τα μέλη τους έχουν δεχτεί προτάσεις για να κάνουν την ίδια δουλειά για εμπορικές εταιρίες, αυτοί δεν δέχονται την συνεργασία (ή αποχωρούν από την ομάδα).

Οι κύριες DNSBLs που έχει υλοποιήσει το Spamhaus project είναι:

1. SBL: 100% human input
2. XBL: Totally automated
3. PBL: Εθελοντική λίστα στην οποία οι ISPs δηλώνουν τα netblocks τα οποία δεν έχουν λόγο να χρησιμοποιούν απ’ευθείας mail servers εκτός του δικτύου τους.
4. ΖΕΝ: SBL+XBL+PBL

Επίσης συντηρούν το ROKSO (Registry of Known Spammer Operations). 200 επιχειρήσεις παράγουν το 80% του spam. Για τον ίδιο λόγο συντηρούν και τη λίστα DROP (Don’t Route Or Peer) που περιέχει 100% address space που έχει αποδοθεί σε spam operators.

• 982565: Ήταν τα νέα zombies που ανακάλυψε το σύστημα που συντηρεί τη XBL στις 2007/05/08.
• 36 δευτερόλεπτα είναι ο χρόνος που μεσολαβεί από την μόλυνση ενός PC μέχρι να εμφανιστεί το πρώτο spam από το PC αυτό.

Τα zombies είναι πλέον αρκετά sophisticated: έχουν proxies με ACLs και rootkits.

Το ουσιαστικό πρόβλημα με τα zombie networks είναι το command & control. Τελικά ένας πολύ μικρός αριθμός IP διευθύνσεων προκαλεί όλο το πρόβλημα. Το 65% αυτών είναι στη Β. Αμερική (και τα περισσότερα στην Καλιφόρνια).

Το δυσκολότερο είδος zombie network που υπάρχει αυτή τη στιγμή είναι το “Yambo hosting”. Στηρίζεται σε HTTP και DNS hosting πάνω σε zombie networks με unidirectional proxies με ACLs. Είναι εξαιρετικά δύσκολο να εντοπιστεί γιατί τα URL σερβίρονται από 5 – 10 IP διευθύνσεις και η πληροφορία που σερβίρει το DNS έχει διάρκεια 5 – 10 λεπτά (μετά δείχνει σε νέο zombie).

Οι τρόποι για να αντιμετωπιστεί είναι να υπάρχει εποπτεία των DNS traffic patterns στο δίκτυο του ISP και να παρακολουθείται για ανωμαλίες επί αυτών των προτύπων.

Και φυσικά: Block port 25/tcp !!!

(σημ.: Πες τα χρυσόστομε! Από όσο είμαι σε θέση να ξέρω από τις εργασίες του antispam WG της ΑΠΔΠΧ τα εμπορικά τμήματα των παραδοσιακών Ελληνικών ISPs δεν θέλουν ούτε να το σκέφτονται σαν προοπτική αυτό. Πράγμα που είναι εξαιρετικά κοντόφθαλμο: Προτιμάνε να παίρνουν τα EUR20/μήνα από τον Spammer και να μπαίνουν τα blocks τους σε DNSBLs από το να κάνουν block το port 25/tcp και να τελειώνουμε με τον βασικό τρόπο μετάδοσης των zombies. Αναρωτιέμαι, τι κοστίζει παραπάνω άραγε;

Και έτσι μείναμε μοναχικοί υποστηρικτές της ιδέας εμείς και το ΕΔΕΤ).

Κλείνοντας, δύο παρατηρήσεις του Richard Cox από την παρουσίαση:

“Ladies and gentlemen, zombies and zombie networks are the currency of the digital underground.”

και:

“If we as an industry do not stop spam, we will find politicians trying to. Do we really want that?”

Αλήθεια, αυτό θέλουμε;

(day 1)