Gedragscode
Abuse-
bestrijding
& AbuseIO

Verteld door: Wido Potters / wido@bit.nl

Probleem

Nederland voert internationale ranglijsten* over de hoeveelheid abuse en kwetsbaarheden aan. De access providers hebben de afgelopen jaren successen geboekt met het verminderen van de rommel in hun netwerken.

De bal ligt nu bij ons: maar liefst 40% van de abuse zit in de netwerken van hosting- en cloudproviders. Dit beperkt zich niet tot enkele providers, maar is sectorbreed een probleem.

* https://www.shadowserver.org/wiki/pmwiki.php/Stats/GeoLocations

Abuse = kostbaar

  • Abuse veroorzaakt overlast op internet: spam, phishing, malware, DDoS, etcetera.
  • Abuse op internet kost jullie en mij geld: spam/virusfilters, supportcalls, vertrouwen, regulering.
  • Abuse in je netwerk trekt abuse aan: vergelding, onbetaalde rekeningen.
  • Overheidsingrijpen ligt op de loer; Grapperhaus heeft al aangekondigd dit probleem in zijn ambtstermijn op te willen lossen.

Initiatiefnemers




Endorsers:

Gedragscode - Wie

Operators van digital infrastructuur:

  • Hosting providers
  • Cloud providers
  • Content providers
  • Datacenters
  • Access Providers
  • Registrars

Gedragscode - Processen

Deelnemers committeren zich aan:

  • Inspanningsverplichting abusebestrijding
  • Vastleggen AUP en AP voor klanten
  • Meten en sturen op abusebestrijdingsperformance

Gedragscode - Meldingen

Deelnemers committeren zich aan:

  • Publicatie abuse@ adres, ook in relevante whois registry's
  • Actief op de hoogte stellen over abuse in netwerk (notifiers)
  • Geven opvolging aan abuse meldingen

Gedragscode - Beleid

Deelnemers committeren zich aan:

  • Hanteren industry best practices, bv. M3AAWG
  • De gedragscode NTD
  • De gedragscode MANRS (routing security, bv. BCP38)
  • Deze gedragscode

Bewuste keuzes

  • Code is kort, goed leesbaar en haalbaar
  • Abusebestrijding geen USP
  • Geen final document
  • Geen kostbare, bureaucratische certificering


Reden: breed gedragen code die bad actors een uitzondering maakt

Veel werk?

Dat valt best mee, als je het slim aanpakt ;). Gebruik AbuseIO om hier concreet invulling aan te geven:

  • Actief op de hoogte stellen over abuse in netwerk (notifiers)
  • Geven opvolging aan abuse meldingen

Notifiers?

Diverse organisaties, wetenschappers en bedrijven leveren, meestal gratis, informatie over geconstateerd abuse en kwetsbare hosts op internet.

Voorbeelden: AbuseHUB, Shadowserver, Spamcop, Google Safe Browsing, Microsoft SNDS, Project Honey Pot, SpamExperts, Netcraft.

Wat kan ik verwachten?

Enkele duizenden tot tienduizenden meldingen over abuse en kwetsbare hosts in een middelgroot netwerk als er niet eerder werk is gemaakt van feeds.

En de verwerking daarvan kan je automatiseren. :)

gelukkig maar

AbuseIO 1/3

AbuseIO verwerkt volledig geautomatiseerd abusemeldingen van notifiers, RFC-standaard FBL- en ARF-berichten en aggregeert deze. In bestaande systemen wordt (contact) informatie van de gebruiker van het gerapporteerde IP-adres of domeinnaam opgezocht. De melding incluis de gebruiker die het betreft wordt vastgelegd in een ticket.

Incoming

Create ticket

AbuseIO 2/3

Het ticket wordt automatisch geclassificeerd en op basis van de classificatie kunnen er geautomatiseerde acties uitgevoerd worden. Een actie kan bijvoorbeeld plaatsing van een smtp-filter zijn. Standaard echter ontvangt de gebruiker bericht over de abuse melding. Communicatie tussen abusedesk en gebruiker wordt in het ticket vastgelegd.

Outgoing

Overzicht tickets

Ticketdetails

AbuseIO 3/3

De melding naar de gebruiker bevat duidelijke informatie over wat het probleem is, waarom dat een probleem is en vooral hoe de gebruiker zelf dat probleem kan oplossen.

Self Help

Specificaties

  • Open Source, Open Standaarden
  • Koppelingen naar bestaande CRM, IPAM
  • Integratie met DirectAdmin, WHMCS, Plesk, Cpanel, HostBill
  • Volledig autonoom als gewenst
  • Ondersteuning voor escalaties, hooks, scripts
  • Eigen labelling & Self-hosted
  • Community support
  • CommerciĆ«le customisation, installatie en support mogelijk
  • 100% gratis

Meer weten?

Website: https://abuse.io/
E-mail: wido@abuse.io
IRC: #abuseio op Freenode

Abuse2.0

De gedragscode vind je op: https://www.abuseplatform.nl/gedragscode/

Andere onderdelen:
  • Benchmarking hosting- en cloudproviders
  • Abuse feeds voor netwerken (eigen AS)


Meer informatie over deze onderdelen op: https://www.abuseplatform.nl/benchmark-en-feeds/