Journalistiek

Onpartijdig, onafhankelijk nieuws, uitsluitend in dienst van het branchebelang.

Verslag DHPA en ISPConnect Abuse & Security seminar

  • Door
  • Arnout Veenman
  • geplaatst op
  • 8 september 2015 08:00 uur

Afgelopen donderdag werd voorafgaand aan de ISPConnect en Webhostingtalk.nl Summer Splash BBQ in Nieuwegein een Abuse & Security seminar georganiseerd door DHPA en ISPConnect. Een onderwerp dat duidelijk leeft in de branche, gezien de zaal vol zat met hosters en andere aanwezigen.

De aanwezigen werden welkom geheten door ISPConnect-directeur Simon Besteman. Daarna legde DINL-directeur Michiel Steltman die uitlegde waarom het bestrijden van abuse belangrijk is voor hosters.

dinl

De eerste presentatie was van Lennert den Teuling die uitlegde hoe zijn bedrijf PCextreme met behulp van AbuseIO en AbuseHUB, abuse en daar aan gerelateerde problemen in zijn netwerk aanpakt.

In het verleden werd abuse afgehandeld nádat er een melding door een derde partij was gemaakt. Daarbij was een medewerker dan eerst 5 a 10 minuten bezig om het incident te classificeren en daarna moet er nog contact opgenomen worden met de klant. Totaal kostte het afhandelen van één abuse-melding ongeveer 30 minuten en kon het tot 24 uur duren tot dat een melding was behandeld.

Nu wordt abuse automatisch door AbuseIO geclassificeerd en wordt er daarna automatisch contact met de klant opgenomen. De informatie krijgt AbuseIO aangeleverd via AbuseHUB. De responsetijd bedraagt daardoor nog maar 15 minuten én er komt in principe geen mens meer aan te pas.

Direct na de implementatie van de nieuwe werkwijze bleken er 2.500 incidenten te zijn. Dat ging niet alleen om feitelijke abuse maar ook om preventie van abuse. Meldingen gaan bijvoorbeeld ook over openstaande IMPI-controllers van bijvoorbeeld Supermicro servers en openstaande NTP-servers die voor DDoS-amplificatieaanvallen zouden kunnen worden. Dat was even aanpoten om al die meldingen weg te werken, maar daarmee zijn een hoop problemen die in de toekomst tot abuse zouden kunnen leiden preventief ondervangen.

Als laatste kondigde Den Teuling (die ook bestuurslid van ISPConnect is) aan dat leden en deelnemers van ISPConnect en DHPA de mogelijkheid krijgen om zich voor minder dan 1.000 euro per jaar zich aan te sluiten op de AbuseHUB. Het definitieve voorstel daartoe wordt voor het einde van de maand aan alle leden en deelnemers toegestuurd.

pcextreme

De tweede spreker was Christiaan Hesselman die uitlegde hoe SIDN DNS-queries analyseert om abuse te ontdekken en te bestrijden. Onderzoeksafdeling SIDN Labs heeft een platform ontwikkeld met de naam ENTRADA waarmee alle DNS-queries op één van de nameservers van SIDN kunnen worden geanalyseerd.

Op basis van de patronen die in de DNS-queries worden waargenomen, probeert SIDN abuse te ontdekken. Tot zover is het daardoor bijvoorbeeld al één keer gelukt een botnet te ontdekken. De Nederlandse IP-adressen die onderdeel van een dergelijk botnet uitmaken, worden als ‘reliable notifier’ aan de AbuseHUB aangeleverd.

Daarnaast vertelde Hesselman over de nieuwe DNSSEC validatiemonitor waarvan recent de XXL-versie in gebruik is genomen. Zodra een domeinnaam met DNSSEC is gesigneerd, gaat deze helemaal op zwart wanneer DNSSEC verkeerd is geconfigureerd. De validatiemonitor controleert dagelijks of alle .nl-domeinnamen op validatiefouten. De recent gelanceerde XXL-versie controleert daarnaast ook de subdomeinnamen onder een .nl-domeinnaam. Hoewel het aantal DNSSEC validatiefouten onder .nl-domeinnamen zelf relatief laag is, bleek het aantal subdomeinnamen met een probleem nog wel groot te zijn. Het is de bedoeling van SIDN om de domeinnamen met een validatiefout aan registrars te melden zodat ze het probleem kunnen oplossen.

sidn

Als derde was het de beurt aan Pepijn Vissers die vertelde over het onderzoek dat de Autoriteit Consument en Markt (ACM) samen met de politie heeft laten uitvoeren de TU Delft. In het onderzoek dat is uitgevoerd is de hoeveelheid abuse in de netwerken (autonomous systems) van Nederlandse hosters in kaart gebracht. Dit maakt onderdeel uit van het project ‘Nederland schoon‘.

Omdat de grote van de verschillende netwerken verschilt, is er een methodiek ontwikkeld om de mate van abuse in een netwerk te bepalen die ook rekening houdt met de omvang van het netwerk. Alle netwerken en hun scores zijn in een grafiek uiteengezet en daaruit blijkt dat veel hosters het goed doen en dat er een aantal hosters zijn die zich in negatieve zin weten te onderscheiden. Met de top 10 hosters met relatief de meeste abuse zoeken ACM en politie zijn gesprekken gevoerd om te onderzoeken waar hun slechte score vandaan komt.

Er zijn verschillende manieren om abuse bij hosters aan te pakken van automatisering van abuse-afhandeling tot het aanpakken van verouderde software. Het belangrijkste is echter dat hosters verantwoordelijkheid nemen van alle abuse in hun netwerk. Bij hostingbedrijven is de eigenaar van het netwerk vaak niet de partij bij wie het probleem zich feitelijk bevindt. Vaak is dat een reseller of een ander soort klant of een klant van een klant van een klant. De verantwoordelijkheid daarvoor nemen kan bijvoorbeeld door afspraken met klanten te maken over hoe abuse wordt afgehandeld.

De ACM en de politie gaan samen door met het project ‘Nederland schoon‘. De 0-meting van netwerken met de meeste abuse wordt dit jaar herhaald. Doordat hosters bewust worden gemaakt van de vervuiling in hun netwerk en daar op worden aangesproken, is de verwachting dat er veranderingen in de top 10 meest vervuilde netwerken zal komen. Partijen die niks aan abuse doen, zullen telkens meer negatief gaan opvallen ten opzichte van hosters die abuse wel serieus nemen. De namen van de hosters die in de top 10 staan wil de ACM echter niet noemen.

acm-politie

Het seminar werd afgesloten door een paneldiscussie waar Michiel Steltman (DINL), Eric Veraart (Politie THTC), Machiel Bolhuis (AbuseHUB) en Alex Bik (NBIP) over de bestrijding door abuse door hosters en de rol die verschillende partijen daarbij hebben.

discussie

Direct aansluitend op het seminar konden de aanwezigen door naar de ISPConnect en webhostingtalk.nl Summer Splash BBQ, waar het mogelijk was om te watersporten en waar ze onder het genot van drankje en een goede maaltijd konden borrelen. Ook de BBQ was héél goed bezocht en geweldig georganiseerd!

bbq

Nog geen reacties

Laatste reacties

Bedankt voor het succes van ISPam.nl
Koen Stegeman, Editor-in-Chief & founder Hostingjournalist.com: Jammer Arnout, maar je hebt een mooie bijdrage aan de hosting industrie geleverd, en dat jaren lang....

Bedankt voor het succes van ISPam.nl
Dillard Blom: Jammer dat een 'instituut' verdwijnt, en daarmee een bron van informatie over actuele zaken (en opin...

Bedankt voor het succes van ISPam.nl
L.: Uit automatisme kijk ik toch nog steeds elke dag naar ispam.nl, toch de hoop dat er nog een berichtj...

Bedankt voor het succes van ISPam.nl
Toni Donkers: Arnout bedankt! ik ga het missen dat is een feit!

Bedankt voor het succes van ISPam.nl
Marcel Stegeman: Ik zie het nu pas. Inderdaad jammer maar ik kijk nu al uit naar het volgende project.