<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:x="urn:schemas-microsoft-com:office:excel" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40"><head><meta http-equiv=Content-Type content="text/html; charset=utf-8"><meta name=Generator content="Microsoft Word 14 (filtered medium)"><style><!--
/* Font Definitions */
@font-face
{font-family:"Cambria Math";
panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
{font-family:Calibri;
panose-1:2 15 5 2 2 2 4 3 2 4;}
@font-face
{font-family:Tahoma;
panose-1:2 11 6 4 3 5 4 4 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
{margin:0in;
margin-bottom:.0001pt;
font-size:12.0pt;
font-family:"Times New Roman","serif";}
a:link, span.MsoHyperlink
{mso-style-priority:99;
color:blue;
text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
{mso-style-priority:99;
color:purple;
text-decoration:underline;}
span.EmailStyle17
{mso-style-type:personal-reply;
font-family:"Calibri","sans-serif";
color:#1F497D;}
.MsoChpDefault
{mso-style-type:export-only;
font-size:10.0pt;}
@page WordSection1
{size:8.5in 11.0in;
margin:1.0in 1.0in 1.0in 1.0in;}
div.WordSection1
{page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]--></head><body lang=EN-US link=blue vlink=purple><div class=WordSection1><p class=MsoNormal><span lang=NL style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>Goedemiddag,<o:p></o:p></span></p><p class=MsoNormal><span lang=NL style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span lang=NL style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>Vanuit ISPConnect staat abuse bestrijding wel degelijk op de lijst om aankomend jaar meer aan te gaan doen. Dit wel binnen de redelijke mogelijkheden die er zijn. Een voorbeeld van de eerste stappen hiervoor is te vinden op <a href="https://www.abuseplatform.nl/">https://www.abuseplatform.nl/</a> wat een samenwerking is van een aantal organisaties (waaronder ISPConnect, DHPA, DINL, NBIP en SIDN). <o:p></o:p></span></p><p class=MsoNormal><span lang=NL style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span lang=NL style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>Meer informatie over de MVO activiteiten van ISPConnect (waaronder abuse bestrijding valt) is te vinden op <a href="https://www.ispconnect.nl/maatschappelijk-verantwoord-ondernemen-betekent-het-ook-iets/">https://www.ispconnect.nl/maatschappelijk-verantwoord-ondernemen-betekent-het-ook-iets/</a><o:p></o:p></span></p><p class=MsoNormal><span lang=NL style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span lang=NL style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>Als er specifieke vragen op dit vlak zijn voor ISPConnect dan adviseer ik om contact op te nemen met <a href="mailto:info@ispconnect.nl">info@ispconnect.nl</a>.<o:p></o:p></span></p><p class=MsoNormal><span lang=NL style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span lang=NL style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>Met vriendelijke groet,<o:p></o:p></span></p><p class=MsoNormal><span lang=NL style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span lang=NL style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>Mark Scholten<o:p></o:p></span></p><p class=MsoNormal><span lang=NL style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>Bestuurslid ISPConnect<o:p></o:p></span></p><p class=MsoNormal><span lang=NL style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p> </o:p></span></p><div style='border:none;border-left:solid blue 1.5pt;padding:0in 0in 0in 4.0pt'><div><div style='border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0in 0in 0in'><p class=MsoNormal><b><span lang=NL style='font-size:10.0pt;font-family:"Tahoma","sans-serif"'>From:</span></b><span lang=NL style='font-size:10.0pt;font-family:"Tahoma","sans-serif"'> NLNOG [mailt</span><span style='font-size:10.0pt;font-family:"Tahoma","sans-serif"'>o:nlnog-bounces@nlnog.net] <b>On Behalf Of </b>Marco van den Akker<br><b>Sent:</b> Friday, December 21, 2018 12:21<br><b>To:</b> Jurrian van Iersel<br><b>Cc:</b> nlnog@nlnog.net<br><b>Subject:</b> Re: [NLNOG] NL abuse-overzicht 2018<o:p></o:p></span></p></div></div><p class=MsoNormal><o:p> </o:p></p><div><p class=MsoNormal>Mooie terugblik <span style='color:#888888'>Jurrian,</span><o:p></o:p></p><div><p class=MsoNormal><o:p> </o:p></p></div><div><p class=MsoNormal><span style='color:#888888'>Dit zou inderdaad een van de speerpunten van de DHPA en co moeten zijn. </span><o:p></o:p></p></div><div><p class=MsoNormal><span style='color:#888888'>Wellicht dat er aandacht aan besteed kan worden door dit stuk te publiiceren onder de mediapartners en via LinkedIN.</span><o:p></o:p></p></div><div><p class=MsoNormal><o:p> </o:p></p></div><div><p class=MsoNormal><o:p> </o:p></p></div><div><p class=MsoNormal><span style='color:#888888'>Marco </span><o:p></o:p></p></div><div><p class=MsoNormal><o:p> </o:p></p></div></div><p class=MsoNormal><o:p> </o:p></p><div><div><p class=MsoNormal>Op vr 21 dec. 2018 om 11:31 schreef Jurrian van Iersel <<a href="mailto:jurrian@vaniersel.net">jurrian@vaniersel.net</a>>:<o:p></o:p></p></div><blockquote style='border:none;border-left:solid #CCCCCC 1.0pt;padding:0in 0in 0in 6.0pt;margin-left:4.8pt;margin-top:5.0pt;margin-right:0in;margin-bottom:5.0pt'><p class=MsoNormal>Beste NLNOG-leden,<br><br>Met het einde van het jaar in zicht is het weer de periode van <br>jaaroverzichten en cijfertjes. Dit keer wou ik ook graag een duit in het <br>zakje doen. De meesten van jullie zullen weten dat ik hobby-project heb <br>waarbij ik abuse-informatie verzamel en meldt bij de betreffende ISP (zo <br>niet, kijk de presentatie op NLNOG-dag 2017 even terug: <br><a href="https://youtu.be/Mt-KfNQG1oQ" target="_blank">https://youtu.be/Mt-KfNQG1oQ</a>). Hoewel de statistici het dataset vast te <br>klein en onbetrouwbaar vinden, wil ik hier toch een klein overzicht over <br>2018 voor Nederland maken.<br><br>In onderstaande overzichten wordt naar incidenten gekeken waar het <br>ip-adres op dat moment geregistreerd stond in Nederland; voor het ASN <br>wordt de gene gebruikt die de IP-range op dat moment adverteerde. Ik <br>noem bewust geen namen of ASN, zodat niemand zich persoonlijk <br>aangesproken hoeft te voelen.<br>Als we naar het aantal incidenten per ASN kijken, zal het niemand <br>verbazen dat de eerste plaats vergeven wordt aan een bulletproof hoster. <br>Ook op de zesde plaats treffen we zo’n partij aan. Opvallend genoeg <br>bestaat de rest van de top 10 alleen uit hostingproviders (shared <br>hosting, VPS en colocatie). De eerste accessprovider treffen we pas op <br>de elfde plaats.<br><br>Hieruit zouden we voorzichtig de conclusie kunnen trekken dat besmette <br>PC’s bij argeloze thuisgebruikers niet meer het grootste gevaar zijn, <br>maar dat slecht beveiligde servers (zowel virtueel als fysiek) een <br>grotere bedreiging op vormen.<br>Als we naar het type incidenten over het totaal (hosting + access) <br>kijken, dan springen er 4 types bovenuit: opeenvolgend zijn dat <br>SSH-login pogingen, SMTP-authenticatie pogingen, pogingen SIP te <br>misbruiken en portscans. Met name TCP-poorten 7000 en 6666 zijn populair <br>bij de portscans.<br><br>Kijken we alleen naar de hosting-aanbieders uit de top 10 <br>(bulletproof-partijen uitgesloten), dan is de volgorde SSH-login <br>pogingen, pogingen SIP te misbruiken, Portscans en SMTP-authenticatie <br>pogingen.<br>Overigens moet bij het SIP-verkeer opgemerkt worden dat het UDP-verkeer <br>is, waarbij het source-address eenvoudig te spoofen is. Anderzijds <br>levert SIP-communicatie niet veel verkeer op, waardoor het niet <br>interessant is voor een DDoS en is het misbruiken voor telefonie-fraude <br>waarschijnlijker omdat dit veel lucratiever is.<br><br>Concluderend zouden we kunnen stellen dat het goed gaat met de <br>beveiliging door thuisgebruikers, waar adequaat handelen door de <br>accessproviders een belangrijk onderdeel is. Voor de hosters is een <br>belerend vingertje meer op de plaats; misbruik en gecompromitteerde <br>servers zouden makkelijk gedetecteerd kunnen worden met de juiste <br>beveiligingstools. Misschien moet de branche hier in 2019 eens <br>(gezamenlijk) nadenken over een handelswijze bij incidenten. Waar <br>accessproviders vaak vrij snel overgaan tot blokkades tot de problemen <br>zijn opgelost, krijgen hostingklanten vaak 24 tot 48 uur de tijd op het <br>probleem op te lossen voor er geblokkeerd wordt, terwijl in deze periode <br>het abuse doorgaat. Ook in het kader van de GDPR / AVG lijkt het mij <br>verstandiger sneller tot blokkade over te gaan als derden controle <br>hebben over systemen met gegevens.<br><br>Ik wens iedereen fijne feestdagen en een goed, gezond abuse-vrij 2019!<br><br>Jurrian van Iersel<br>_______________________________________________<br>NLNOG mailing list<br><a href="mailto:NLNOG@nlnog.net" target="_blank">NLNOG@nlnog.net</a><br><a href="http://mailman.nlnog.net/listinfo/nlnog" target="_blank">http://mailman.nlnog.net/listinfo/nlnog</a><o:p></o:p></p></blockquote></div><p class=MsoNormal><br clear=all><o:p></o:p></p><div><p class=MsoNormal><o:p> </o:p></p></div><p class=MsoNormal>-- <o:p></o:p></p><div><div><p class=MsoNormal>With enthusiastic greetings,<o:p></o:p></p><div><p class=MsoNormal><o:p> </o:p></p></div><div><p class=MsoNormal>Marco van den Akker<o:p></o:p></p></div><div><p class=MsoNormal>VP of nearly everything<o:p></o:p></p></div><div><p class=MsoNormal><o:p> </o:p></p></div><div><p class=MsoNormal>TiNC Works!<o:p></o:p></p></div><div><p class=MsoNormal><o:p> </o:p></p></div></div></div></div></div></body></html>