AbuseIO: Hoe een open source-projectje een groot verschil kan maken

• Door
• Bart Vrancken (AbuseIO)
• geplaatst op
• 18 maart 2015 13:14 uur

BIT gebruikt al sinds 2009 een zelfgemaakte tool onder de naam AbuseReporter voor het ontvangen en verwerken van abuse-meldingen. Het idee achter AbuseReporter is om zonder al teveel moeite zoveel mogelijk informatie te kunnen verzamelen en daarna klanten (al dan niet automatisch) te informeren.

Omdat ik al eens vaker signalen van (vooral de kleinere) ISP’s heb ontvangen dat ze ook graag een tool zoals AbuseReporter zouden willen gebruiken, heb ik enige tijd geleden besloten om een nieuw project te starten. Dit met als doel alle geïnteresseerde ISP’s of hosters toegang te geven tot gratis en open source software die in al deze zaken zou kunnen voorzien. Voortgekomen uit BIT’s AbuseReporter, maar in samenwerking met andere ISP’s/hosters, is dit project tot AbuseIO uitgegroeid.

Met AbuseIO zou elke ISP of hoster op een makkelijke manier zijn abuse kunnen gaan verwerken. Voor veel kleine partijen heeft het afhandelen van abuse-meldingen niet de hoogste prioriteit omdat het vaak tijdrovend is. Als de melding dan eindelijk bij de eindgebruiker terecht komt, ben je vaak een aantal werkdagen verder waardoor in deze periode de eindgebruiker, bijvoorbeeld in het geval van een botnet-infectie, mogelijk al lang slachtoffer is geworden en zijn bankrekening geplunderd is.

Met AbuseIO is het mogelijk om binnen 1 uur na binnenkomst van een abuse-melding de klant van de ISP/hoster te informeren. In mijn ervaring met abuse-meldingen bij BIT heb ik gezien dat snelle informatievoorziening leidt tot een veel kleiner tijdsbestek waarin misbruik plaatsvindt. De meeste zaken zijn hierdoor binnen 1 à 2 werkdagen opgelost. Niet alleen de doorlooptijd van abuse-zaken wordt verkort, maar ook wordt het -door het overzichtelijk tonen van historische data- voor de ISP/hoster mogelijk om een beter beeld te krijgen van het gebruik op de internetaansluiting. Een klant die jarenlang klachten veroorzaakt op het internet, heeft een andere benadering nodig dan iemand die per ongeluk een keer de verkeerde site heeft bezocht en daarmee een (botnet)virusinfectie op zijn systeem kreeg.

Aan het verzamelen van informatie is sinds 2009 ook erg veel veranderd. Voorheen lag de focus vooral op SPAM en soms een gehackte website, maar tegenwoordig wordt er naar een veel breder scala aan internetdiensten gekeken. Daarbij zijn er ook meer initiatieven opgestart door partijen om abuse-informatie beschikbaar te stellen aan o.a. internetproviders. Door de toegang tot veel meer databronnen (feeds) is het mogelijk een veel beter beeld te krijgen over het (mogelijk) misbruik in je eigen netwerk. Zo pakken we niet alleen de echte misbruik (abuse) meldingen aan zoals SPAM, botnet-infecties of gehackte en/of phishing websites, maar ook systemen die vatbaar zouden kunnen zijn voor toekomstig misbruik.

Je informeert liever proactief klanten over zaken als open UDP-poorten of de systemen die nog vatbaar zijn voor het POODLE-lek, dan ze achteraf te laten weten dat ze ‘schade’ hebben aangericht of opgelopen. In de meeste gevallen is de beheerder van het systeem niet op de hoogte van dit potentiële probleem. De problematische software is vaak bij installatie van andere software als afhankelijkheid meegeïnstalleerd maar op dat moment niet geconfigureerd of beveiligd. Door klanten hierop te wijzen en ze tips te geven om zulke diensten te beveiligen, proberen we het misbruik van hun systemen tegen te gaan. Veel klanten reageren dan ook positief over de proactieve inzet van BIT in het bestrijden van (mogelijke) abuse.

Met dit systeem wordt een volledige workflow gecreëerd van het behandelen van meldingen tot aan het informeren van de eindgebruiker toe.

Daarbij proberen we naast de melding ook meer informatie aan te leveren waarom dit een probleem is of kan zijn en waarom de eindgebruiker van het systeem dit probleem zou willen oplossen. Tenslotte leveren we ook een aantal voorbeelden om de eindgebruiker te ondersteunen, zonder dat men zelf op internet hoeft te gaan zoeken.

Inmiddels zijn we al een flink eind om de eerste versie van AbuseIO in april officieel uit te brengen. Het systeem kan meldingen van alle grote databronnen (zoals Shadowserver, SpamCop, IP Echelon, Google Safe Browsing, Project Honey Pot, Clean MX, C-SIRT, Netcraft en nog vele andere) verwerken en combineren. Hierdoor zullen de ontvangers (ISP’s/hosters) veel minder dubbele meldingen te zien krijgen.

De interesse is groot, vooral omdat abuse-bestrijding ook steeds belangrijker wordt. We krijgen dan ook steeds meer positieve reacties van zowel kleine als grote ISP’s/hosters. Op de website van AbuseIO staan de volgende testimonials van SpamExperts en Tilaa.

Dreas van Donselaar, SpamExperts:

Although many larger international webhosts/ISPs already have custom build infrastructure in place to automate their abuse report handling, we still find a lot of companies that handle such reports manually. It’s great to finally see a free opensource tool consolidating these reports, so any webhost/ISP both small and large can get immediate insight in the abuse they cause. Being able to pro-actively shutdown abuse sources before they can escalate has significant benefits both for the service provider and the internet in general. With abuse.io, there is virtually no investment in time and resources required, resulting in direct and indirect cost savings

Dennis Krul, Tilaa:

Abuse handling is a labor intensive and boring process, so we started thinking about a way to automate this process so abuse reports could be sent to the corresponding customers automatically in order to reduce the load on our support desk. Unfortunately we quickly found out that good quality open-source solutions are non-existent and commercial offerings are simply too expensive.

Since we are unable to invest the amount of hours required to develop such a system on our own we thought the best way forward is to combine our efforts with others. At around the same time we first heard about this project and realised it was just what we needed. So we started to contribute code to accelerate its development and add the features and feeds we thought were missing. The result is what we’ve called AbuseIO and we are committed to improving AbuseIO even further in the future.

Een vaakgestelde vraag is: “Hoe verhoudt AbuseIO zich tot AbuseIX?”. Voor zover ons bekend is, levert AbuseIX geaggregeerde gegevens van ’trusted notifiers’ (partijen als SpamCop, NetCraft, etc.) over de netwerk(en) van haar leden aan. AbuseIO kan deze gegevens bij de ISP/hoster weer splitsen per eindgebruiker en de afhandeling ervan verzorgen. AbuseIO kan zowel als aanvulling op AbuseIX als apart gebruikt worden.

Op dit moment draaien we nog een bèta-versie en zetten we de laatste puntjes op de “i”. Mocht je nu al interesse hebben om hiermee aan de slag gaan, dan kun je vanaf https://abuse.io een checkout doen van deze software. Op deze website proberen we ook meer informatie te verzamelen over hoe je aan data kan komen en wat de beste manier is om te handelen op basis van deze informatie.

Ook vind je op IRC (FreeNode) ons kanaal onder de naam #abuseio waar je terecht kunt voor vragen en opmerkingen over dit project. Mocht je geen IRC gebruiken, dan kun je mij uiteraard ook e-mailen op [email protected].

Tenslotte zijn ISP’s/hosters die starten met AbuseIO mogelijk ook geïnteresseerd in de Abuse-NL Community. Abuse.io heeft als doel om op informele wijze een bijdrage te leveren aan de bestrijding van abuse in het algemeen en binnen Nederlandse netwerken in het bijzonder. Direct en informeel contact binnen de abuse.nl-gemeenschap maakt het mogelijk om snel te reageren op actuele incidenten in elkaars netwerken. Door het delen van praktische ervaringen helpen deelnemers elkaar met het op een efficiënte, effectieve en structurele wijze afhandelen van incidenten. De gedeelde technische kennis maakt het mogelijk om de juiste keuzes te maken. De gemeenschap vormt bovendien een goede basis om op de hoogte te blijven van actuele incidenten met een impact op een abusedesk. Geïnteresseerden die meer informatie willen of zich willen aanmelden bij de Abuse-NL Community kunnen terecht op de website http://www.abuse.nl.

Geschreven door Bart Vrancken (AbuseIO)

Stuur ook uw blog, achtergrond artikel of andere bijdrage in!