[NLNOG] NL abuse-overzicht 2018

Jurrian van Iersel jurrian at vaniersel.net
Mon Dec 24 18:45:03 CET 2018


Op 24-12-2018 om 16:24 schreef Rejo Zenger:
> Hey Jurrian,
>
> Ik heb een paar korte vragen.
>
>> In onderstaande overzichten wordt naar incidenten gekeken waar het ip-adres
>> op dat moment geregistreerd stond in Nederland; voor het ASN wordt de gene
> [...]
>
> Naar welk overzicht verwijs je hier precies? Bedoelde je de overzichten in de lopende tekst, of bedoelde je nog iets van een bijlage die ik heb gemist?

Ik bedoel inderdaad de lopende tekst. Misschien was het handiger geweest 
dit anders te verwoorden.

>> Als we naar het aantal incidenten per ASN kijken, zal het niemand verbazen
>> dat de eerste plaats vergeven wordt aan een bulletproof hoster. Ook op de
>> zesde plaats treffen we zo’n partij aan. Opvallend genoeg bestaat de rest van
>> de top 10 alleen uit hostingproviders (shared hosting, VPS en colocatie). De
>> eerste accessprovider treffen we pas op de elfde plaats.
>>
>> Hieruit zouden we voorzichtig de conclusie kunnen trekken dat besmette PC’s
>> bij argeloze thuisgebruikers niet meer het grootste gevaar zijn, maar dat
>> slecht beveiligde servers (zowel virtueel als fysiek) een grotere bedreiging
>> op vormen.
> Hoewel ik totaal geen kennis en ervaring met statistieken heb, lijkt het me lastig om zulke conclusies te trekken. Immers, zulke conclusies kun je alleen trekken als je ook kijkt naar andere randvoorwaarden, zoals het volume van het adres space in elk van de branches en dergelijke. Toch?
Ik ben met je eens dat je het het aantal ip-adressen per type provider 
mee moet nemen om een goed beeld te krijgen. Echter zijn de verhoudingen 
die ik zie dusdanig groot (factor 500 tot 1000) dat ik die conclusie wel 
durf te trekken.
>> zijn opgelost, krijgen hostingklanten vaak 24 tot 48 uur de tijd op het
>> probleem op te lossen voor er geblokkeerd wordt, terwijl in deze periode het
>> abuse doorgaat. Ook in het kader van de GDPR / AVG lijkt het mij verstandiger
>> sneller tot blokkade over te gaan als derden controle hebben over systemen
>> met gegevens.
> Kun je dat nader toelichten? Ik denk namelijk dat je wel gelijk hebt als het gaat om de bescherming van persoonsgegevens, maar niet als het gaat om, zeg maar, "AVG-proof" te zijn.

Als een server misbruikt wordt, of dit nu door een complexe rootkit of 
door een 'eenvoudig' lek in een CMS is, biedt derden de mogelijkheid 
toegang te krijgen tot persoonsgegevens. Dit kan simpelweg het aanleggen 
van een lijst van e-mailadressen van het contactformulier zijn of een 
overzicht van alle gebruikers (naam + emailadres) tot inzage in het 
volledige klantenbestand. Sommige providers geven klanten 24 tot 48 uur 
de tijd om zelf het probleem op te lossen ("er draaien heel belangrijke 
systemen voor onze klant op deze server, die kunnen we niet zomaar uit 
de lucht halen"), maar dat betekend dus ook dat het potentiële datalek 
24 tot 48 uur lang open blijft staan.

Nu ben ik geen expert op het gebied van de AVG, maar volgens mij wordt 
er in deze wet (vrij vertaald) ook gezegd dat je er zo veel mogelijk aan 
doet om persoonsgegevens te beschermen. De boel 24 tot 48 uur open laten 
staan lijkt mij niet "zoveel mogelijk aan doen". Ik zou deze periode 
flink verkorten of beginnen met de boel volledig dichtzetten/loskoppelen 
van internet en pas weer openen als er zekerheid is dat een dienst 
veilig is (bv. de poorten voor mail weer openzetten terwijl de webserver 
onbereikbaar blijft tot het lek in de website gedicht is).

Groet,
Jurrian



More information about the NLNOG mailing list