16-03-2015 19:53:43

Door: Bart Vrancken

BIT gebruikt al sinds 2009 een zelfgemaakte tool onder de naam AbuseReporter voor het ontvangen en verwerken van abusemeldingen. Het idee achter AbuseReporter is om zonder al teveel moeite zoveel mogelijk informatie te kunnen verzamelen en daarna klanten (al dan niet automatisch) te informeren.

Omdat ik al eens vaker signalen van (vooral de kleinere) ISP's heb ontvangen dat ze ook graag een tool zoals AbuseReporter zouden willen gebruiken, heb ik enige tijd geleden besloten om een nieuw project te starten. Dit met als doel alle geïnteresseerde ISP's of hosters toegang te geven tot gratis en open source software die in al deze zaken zou kunnen voorzien. Voortgekomen uit BIT's AbuseReporter, maar in samenwerking met andere ISP's/hosters, is dit project tot AbuseIO uitgegroeid.

Met AbuseIO zou elke ISP of hoster op een makkelijke manier zijn abuse kunnen gaan verwerken. Voor veel kleine partijen heeft het afhandelen van abusemeldingen niet de hoogste prioriteit, omdat het vaak tijdrovend is. Als de melding dan eindelijk bij de eindgebruiker terecht komt ben je vaak een aantal werkdagen verder, waardoor in deze periode de eindgebruiker, bijvoorbeeld in het geval van een botnet infectie, mogelijk al lang slachtoffer is geworden en zijn bankrekening geplunderd is.

Met AbuseIO is het mogelijk om binnen 1 uur na binnenkomst van een abusemelding de klant van de ISP/hoster te informeren. In mijn ervaring met abusemeldingen bij BIT heb ik gezien dat snelle informatievoorziening leidt tot een veel kleiner tijdsbestek waarin misbruik plaatsvindt. De meeste zaken zijn hierdoor binnen 1 à 2 werkdagen opgelost. Niet alleen de doorlooptijd van abusezaken wordt verkort, maar ook door het overzichtelijk tonen van historische data wordt het voor de ISP/hoster mogelijk om een beter beeld te krijgen van het gebruik op de internetaansluiting. Een klant die jarenlang klachten veroorzaakt op het internet heeft een andere benadering nodig dan iemand die per ongeluk een keer de verkeerde site heeft bezocht en daarmee een (botnet)virusinfectie op zijn systeem kreeg.

Aan het verzamelen van informatie is sinds 2009 ook erg veel veranderd. Voorheen lag de focus vooral op SPAM en soms een gehackte website, maar tegenwoordig wordt er naar een veel breder scala aan internetdiensten gekeken. Daarbij zijn er ook meer initiatieven opgestart door partijen om abuse informatie beschikbaar te stellen aan o.a. internet providers. Door de toegang tot veel meer databronnen (feeds) is het mogelijk een veel beter beeld te krijgen over het (mogelijk) misbruik in je eigen netwerk. Zo pakken we niet alleen de echte misbruik (abuse) meldingen aan zoals SPAM, Botnet infecties of gehackte en/of phishing websites, maar ook systemen die vatbaar zouden kunnen zijn voor toekomstig misbruik.

Je informeert liever proactief klanten over zaken als open UDP-poorten of de systemen die nog vatbaar zijn voor het POODLE lek, dan ze achteraf te laten weten dat ze 'schade' hebben aangericht of opgelopen. In de meeste gevallen is de beheerder van het systeem niet op de hoogte van dit potentiële probleem. De problematische software is vaak bij installatie van andere software als afhankelijkheid meegeïnstalleerd maar op dat moment niet geconfigureerd of beveiligd. Door klanten hier op te wijzen en ze tips te geven om zulke diensten te beveiligen, proberen we het misbruik van hun systemen tegen te gaan. Veel klanten reageren dan ook positief over de proactieve inzet van BIT in het bestrijden van (mogelijke) abuse.

Met dit systeem wordt een volledige workflow gecreëerd van het behandelen van meldingen tot aan het informeren van de eindgebruiker toe.

Daarbij proberen we naast de melding ook meer informatie aan te leveren waarom dit een probleem is of kan zijn en waarom de eindgebruiker van het systeem dit probleem zou willen oplossen. Tenslotte leveren we ook een aantal voorbeelden om de eindgebruiker te ondersteunen, zonder dat men zelf op internet hoeft te gaan zoeken.

Inmiddels zijn we al een flink eind om de eerste versie van AbuseIO in april officieel uit te brengen. Het systeem kan meldingen van alle grote databronnen (zoals Shadowserver, SpamCop, IP Echelon, Google Safe Browsing, Project Honey Pot, Clean MX, C-SIRT, Netcraft en nog vele andere) verwerken en combineren. Hierdoor zullen de ontvangers (ISP's/hosters) veel minder dubbele meldingen te zien krijgen.

De interesse is groot, vooral omdat abusebestrijding ook steeds belangrijker wordt. We krijgen dan ook steeds meer positieve reacties van zowel kleine als grote ISP's/hosters.

Een vaak gestelde vraag is "Hoe verhoudt AbuseIO zich tot AbuseIX?". Voor zover ons bekend is, levert AbuseIX geaggregeerde gegevens van 'trusted notifiers' (partijen als SpamCop, NetCraft, etc.) over de netwerk(en) van haar leden aan. AbuseIO kan deze gegevens bij de ISP/hoster weer splitsen per eindgebruiker en de afhandeling ervan verzorgen. AbuseIO kan zowel als aanvulling op AbuseIX als apart gebruikt worden.

Op dit moment draaien we nog een beta versie en zetten we de laatste puntjes op de "i". Mocht je nu al interesse hebben om hier mee aan de slag gaan, dan kun je vanaf https://abuse.io een checkout te doen van deze software. Op deze website proberen we ook meer informatie te verzamelen over hoe je aan data kan komen en wat de beste manier is om te handelen op basis van deze informatie.

Ook vind je op IRC (FreeNode) ons kanaal onder de naam #abuseio waar je terecht kunt voor vragen en opmerkingen over dit project. Mocht je geen IRC gebruiken dan kun je mij uiteraard ook e-mailen op bart@abuse.io.

Tenslotte zijn ISP's/hosters die starten met AbuseIO mogelijk ook geïnteresseerd in de Abuse-NL Community. Abuse.nl heeft als doel om op informele wijze een bijdrage te leveren aan de bestrijding van abuse in het algemeen en binnen Nederlandse netwerken in het bijzonder. Direct en informeel contact binnen de abuse.nl gemeenschap maakt het mogelijk om snel te reageren op actuele incidenten in elkaars netwerken. Door het delen van praktische ervaringen helpen deelnemers elkaar met het op een efficiënte, effectieve en structurele wijze afhandelen van incidenten. De gedeelde technische kennis maakt het mogelijk om de juiste keuzes te maken. De gemeenschap vormt bovendien een goede basis om op de hoogte te blijven van actuele incidenten met een impact op een abusedesk. Geïnteresseerden die meer informatie willen of zich willen aanmelden bij de Abuse-NL Community kunnen terecht op de website http://www.abuse.nl.