[NLNOG] NL abuse-overzicht 2018

[Jurrian van Iersel]

Beste NLNOG-leden,

Met het einde van het jaar in zicht is het weer de periode van 
jaaroverzichten en cijfertjes. Dit keer wou ik ook graag een duit in het 
zakje doen. De meesten van jullie zullen weten dat ik hobby-project heb 
waarbij ik abuse-informatie verzamel en meldt bij de betreffende ISP (zo 
niet, kijk de presentatie op NLNOG-dag 2017 even terug: 
https://youtu.be/Mt-KfNQG1oQ). Hoewel de statistici het dataset vast te 
klein en onbetrouwbaar vinden, wil ik hier toch een klein overzicht over 
2018 voor Nederland maken.

In onderstaande overzichten wordt naar incidenten gekeken waar het 
ip-adres op dat moment geregistreerd stond in Nederland; voor het ASN 
wordt de gene gebruikt die de IP-range op dat moment adverteerde. Ik 
noem bewust geen namen of ASN, zodat niemand zich persoonlijk 
aangesproken hoeft te voelen.
Als we naar het aantal incidenten per ASN kijken, zal het niemand 
verbazen dat de eerste plaats vergeven wordt aan een bulletproof hoster. 
Ook op de zesde plaats treffen we zo’n partij aan. Opvallend genoeg 
bestaat de rest van de top 10 alleen uit hostingproviders (shared 
hosting, VPS en colocatie). De eerste accessprovider treffen we pas op 
de elfde plaats.

Hieruit zouden we voorzichtig de conclusie kunnen trekken dat besmette 
PC’s bij argeloze thuisgebruikers niet meer het grootste gevaar zijn, 
maar dat slecht beveiligde servers (zowel virtueel als fysiek) een 
grotere bedreiging op vormen.
Als we naar het type incidenten over het totaal (hosting + access) 
kijken, dan springen er 4 types bovenuit: opeenvolgend zijn dat 
SSH-login pogingen, SMTP-authenticatie pogingen, pogingen SIP te 
misbruiken en portscans. Met name TCP-poorten 7000 en 6666 zijn populair 
bij de portscans.

Kijken we alleen naar de hosting-aanbieders uit de top 10 
(bulletproof-partijen uitgesloten), dan is de volgorde SSH-login 
pogingen, pogingen SIP te misbruiken, Portscans en SMTP-authenticatie 
pogingen.
Overigens moet bij het SIP-verkeer opgemerkt worden dat het UDP-verkeer 
is, waarbij het source-address eenvoudig te spoofen is. Anderzijds 
levert SIP-communicatie niet veel verkeer op, waardoor het niet 
interessant is voor een DDoS en is het misbruiken voor telefonie-fraude 
waarschijnlijker omdat dit veel lucratiever is.

Concluderend zouden we kunnen stellen dat het goed gaat met de 
beveiliging door thuisgebruikers, waar adequaat handelen door de 
accessproviders een belangrijk onderdeel is. Voor de hosters is een 
belerend vingertje meer op de plaats; misbruik en gecompromitteerde 
servers zouden makkelijk gedetecteerd kunnen worden met de juiste 
beveiligingstools. Misschien moet de branche hier in 2019 eens 
(gezamenlijk) nadenken over een handelswijze bij incidenten. Waar 
accessproviders vaak vrij snel overgaan tot blokkades tot de problemen 
zijn opgelost, krijgen hostingklanten vaak 24 tot 48 uur de tijd op het 
probleem op te lossen voor er geblokkeerd wordt, terwijl in deze periode 
het abuse doorgaat. Ook in het kader van de GDPR / AVG lijkt het mij 
verstandiger sneller tot blokkade over te gaan als derden controle 
hebben over systemen met gegevens.

Ik wens iedereen fijne feestdagen en een goed, gezond abuse-vrij 2019!

Jurrian van Iersel