[NLNOG] NL abuse-overzicht 2018

Mark Scholten mark at streamservice.nl
Fri Dec 21 14:21:37 CET 2018 

Goedemiddag,

 

Vanuit ISPConnect staat abuse bestrijding wel degelijk op de lijst om aankomend jaar meer aan te gaan doen. Dit wel binnen de redelijke mogelijkheden die er zijn. Een voorbeeld van de eerste stappen hiervoor is te vinden op https://www.abuseplatform.nl/ wat een samenwerking is van een aantal organisaties (waaronder ISPConnect, DHPA, DINL, NBIP en SIDN). 

 

Meer informatie over de MVO activiteiten van ISPConnect (waaronder abuse bestrijding valt) is te vinden op https://www.ispconnect.nl/maatschappelijk-verantwoord-ondernemen-betekent-het-ook-iets/

 

Als er specifieke vragen op dit vlak zijn voor ISPConnect dan adviseer ik om contact op te nemen met info at ispconnect.nl.

 

Met vriendelijke groet,

 

Mark Scholten

Bestuurslid ISPConnect

 

From: NLNOG [mailto:nlnog-bounces at nlnog.net] On Behalf Of Marco van den Akker
Sent: Friday, December 21, 2018 12:21
To: Jurrian van Iersel
Cc: nlnog at nlnog.net
Subject: Re: [NLNOG] NL abuse-overzicht 2018

 

Mooie terugblik  Jurrian,

 

Dit zou inderdaad een van de speerpunten van de DHPA en co moeten zijn. 

Wellicht dat er aandacht aan besteed kan worden door dit stuk te publiiceren onder de mediapartners en via LinkedIN.

 

 

Marco 

 

 

Op vr 21 dec. 2018 om 11:31 schreef Jurrian van Iersel <jurrian at vaniersel.net>:

Beste NLNOG-leden,

Met het einde van het jaar in zicht is het weer de periode van 
jaaroverzichten en cijfertjes. Dit keer wou ik ook graag een duit in het 
zakje doen. De meesten van jullie zullen weten dat ik hobby-project heb 
waarbij ik abuse-informatie verzamel en meldt bij de betreffende ISP (zo 
niet, kijk de presentatie op NLNOG-dag 2017 even terug: 
https://youtu.be/Mt-KfNQG1oQ). Hoewel de statistici het dataset vast te 
klein en onbetrouwbaar vinden, wil ik hier toch een klein overzicht over 
2018 voor Nederland maken.

In onderstaande overzichten wordt naar incidenten gekeken waar het 
ip-adres op dat moment geregistreerd stond in Nederland; voor het ASN 
wordt de gene gebruikt die de IP-range op dat moment adverteerde. Ik 
noem bewust geen namen of ASN, zodat niemand zich persoonlijk 
aangesproken hoeft te voelen.
Als we naar het aantal incidenten per ASN kijken, zal het niemand 
verbazen dat de eerste plaats vergeven wordt aan een bulletproof hoster. 
Ook op de zesde plaats treffen we zo’n partij aan. Opvallend genoeg 
bestaat de rest van de top 10 alleen uit hostingproviders (shared 
hosting, VPS en colocatie). De eerste accessprovider treffen we pas op 
de elfde plaats.

Hieruit zouden we voorzichtig de conclusie kunnen trekken dat besmette 
PC’s bij argeloze thuisgebruikers niet meer het grootste gevaar zijn, 
maar dat slecht beveiligde servers (zowel virtueel als fysiek) een 
grotere bedreiging op vormen.
Als we naar het type incidenten over het totaal (hosting + access) 
kijken, dan springen er 4 types bovenuit: opeenvolgend zijn dat 
SSH-login pogingen, SMTP-authenticatie pogingen, pogingen SIP te 
misbruiken en portscans. Met name TCP-poorten 7000 en 6666 zijn populair 
bij de portscans.

Kijken we alleen naar de hosting-aanbieders uit de top 10 
(bulletproof-partijen uitgesloten), dan is de volgorde SSH-login 
pogingen, pogingen SIP te misbruiken, Portscans en SMTP-authenticatie 
pogingen.
Overigens moet bij het SIP-verkeer opgemerkt worden dat het UDP-verkeer 
is, waarbij het source-address eenvoudig te spoofen is. Anderzijds 
levert SIP-communicatie niet veel verkeer op, waardoor het niet 
interessant is voor een DDoS en is het misbruiken voor telefonie-fraude 
waarschijnlijker omdat dit veel lucratiever is.

Concluderend zouden we kunnen stellen dat het goed gaat met de 
beveiliging door thuisgebruikers, waar adequaat handelen door de 
accessproviders een belangrijk onderdeel is. Voor de hosters is een 
belerend vingertje meer op de plaats; misbruik en gecompromitteerde 
servers zouden makkelijk gedetecteerd kunnen worden met de juiste 
beveiligingstools. Misschien moet de branche hier in 2019 eens 
(gezamenlijk) nadenken over een handelswijze bij incidenten. Waar 
accessproviders vaak vrij snel overgaan tot blokkades tot de problemen 
zijn opgelost, krijgen hostingklanten vaak 24 tot 48 uur de tijd op het 
probleem op te lossen voor er geblokkeerd wordt, terwijl in deze periode 
het abuse doorgaat. Ook in het kader van de GDPR / AVG lijkt het mij 
verstandiger sneller tot blokkade over te gaan als derden controle 
hebben over systemen met gegevens.

Ik wens iedereen fijne feestdagen en een goed, gezond abuse-vrij 2019!

Jurrian van Iersel
_______________________________________________
NLNOG mailing list
NLNOG at nlnog.net
http://mailman.nlnog.net/listinfo/nlnog




 

-- 

With enthusiastic greetings,

 

Marco van den Akker

VP of nearly everything

 

TiNC Works!

 

-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://mailman.nlnog.net/pipermail/nlnog/attachments/20181221/04167abc/attachment-0001.html>

More information about the NLNOG mailing list