Comment gérer les signalements d'abus en tant que FAI?


12

Je crée une petite entreprise qui fournira des services Internet pour un marché de niche. Nous offrirons un accès à Internet entièrement illimité et non surveillé (autant que la loi le permet - et bien que nous préférions ne pas le faire, nous aurons toujours la possibilité de capturer des paquets si cela est justifié) un accès à Internet, et je ne sais pas comment réagir face aux abus rapports (une recherche Google n'a trouvé aucun élément pertinent).

Disons que je reçois un e-mail sur la force brute SSH provenant de l'une des adresses IP de nos clients. Comment savoir si c'est authentique et non un troll (les entrées de journal et même les .pcaps peuvent être truqués)? Comment font les grands FAI (pour ceux qui se soucient réellement des signalements d'abus, je veux dire)?

De même, pour les plaintes concernant les courriers indésirables, comment puis-je vérifier leur authenticité avant d'agir sur eux? Est-ce même un problème? Y a-t-il eu des cas où des trolls dénonceraient une personne qui aurait fait de mauvaises choses dans l'espoir de lui causer des ennuis avec son fournisseur?

Suis-je condamné à enregistrer chaque paquet sortant de mon réseau ou existe-t-il une solution standard de l'industrie qui ne va pas à de tels extrêmes?

Cordialement.


Pourquoi voudriez-vous gérer les signalements d'abus?
Michael Hampton

6
Que voulez-vous dire? Si quelqu'un se plaint légitimement d'un de nos clients qui crache du spam / DoS / bruteforce, je veux faire quelque chose, tout comme je n'apprécie pas d'être à la fin de ces attaques (et je doute que quiconque le soit).
André Borie

2
Voilà une bonne réponse. Alors, quelles sont vos conditions de service?
Michael Hampton

1
Les conditions d'utilisation nous permettent de mettre fin à la connexion de quelqu'un pour quelque raison que ce soit, et une politique d'utilisation acceptable interdirait le DoS, le spam, la force brute, essentiellement tout ce que nous jugeons malveillant. Ma principale question est la suivante: à la suite d'une plainte, comment dois-je juger si c'est authentique ou s'il s'agit d'un troll / d'une erreur? Enregistrer chaque paquet le ferait mais c'est techniquement impossible même si nous voulions le faire, donc je demande comment les gros joueurs le font.
André Borie

3
@MichaelHampton Une machine crachant des attaques par bruteforce SSH est probablement compromise. Si vous avez des raisons de croire qu'un de vos clients est compromis et que vous ne le leur dites même pas, vous êtes terrible dans votre travail.
David Schwartz

Réponses:


20

De manière générale, vous agissez en tant que transporteur neutre et ne devriez probablement pas inspecter le contenu. Le processus général de traitement des rapports d'abus consiste à configurer un système de ticket ou même une boîte aux lettres qui détecte les abus @ votre domaine, puis transfère les rapports à l'utilisateur final.

Je dis généralement parce que même si j'ai beaucoup d'expérience spécifique dans ce domaine, la façon dont cela se fait chez nous ne sera pas exactement la façon dont quelqu'un d'autre le fait. Vous devez adapter l'approche aux services que vous proposez. Cela étant dit, je peux vous donner des conseils qui ne sont pas trop spécifiques et qui constituent la base de la façon dont la plupart des endroits gèrent les abus. Je ne suis cependant pas avocat et cela ne devrait pas être interprété comme étant l'opinion de quiconque, mais la mienne, au cas où quelqu'un serait assez fou pour retrouver qui est mon employeur.

J'espère que certains de ces éléments sont utiles.

Procédure de base:

  1. Vous avez une adresse e-mail abusive.
  2. Le courrier arrive dans la file d'attente des abus
  3. Dites au journaliste abusif que vous le transmettrez.
  4. Recherchez quel client utilise cette adresse IP, transmettez-lui le rapport et demandez-lui s'il sait ce qui se passe.
  5. À condition que l'utilisateur final ne réponde pas avec quelque chose de vraiment stupide, une instruction du type "S'il vous plaît ne laissez pas cela se reproduire" est pour le mieux. Il existe des projets légitimes qui déclenchent les rapports d'abus, mais la plupart du temps, ils se produisent à cause des chercheurs en sécurité, si ce n'est pas votre créneau, vous n'aurez pas à vous inquiéter.
  6. Passez à l'étape 1 et répétez.

La plupart du temps, une boucle suffit. L'usurpation abusive n'est pas quelque chose que j'ai vraiment vu beaucoup, je veux dire, cela arrive, mais c'est vraiment évident car ils essaient de mettre la personne en difficulté alors que les signalements d'abus légitimes ont tendance à être du genre "Nous ne nous soucions pas pourquoi c'est passe, arrêtez juste "genre.

Choses à faire

Vous verrez probablement quelques avertissements de piratage, un tas de rapports de spam, des avertissements plus ésotériques occasionnels ... Les tendances d'hébergement de serveur vers une plus grande variété, le haut débit est plus de piratage, tout le monde reçoit des rapports de spam. Envoyez-les tous. La plupart du temps, le client va plaider l'innocence, puis nettoyer son PC ou nettoyer son acte. S'ils sont déterminés à continuer, ils couvriront probablement mieux leurs traces.

Habituellement, des rapports d'abus sont générés en réponse à des actions de machines compromises ... le problème que les enfants aiment faire du gâchis dans la cour avant de quelqu'un d'autre afin qu'il ne se rende pas chez eux et ne rende pas leurs parents malheureux. Supposons que le client n'envoie pas intentionnellement de spam. Essayez de donner aux clients le bénéfice du doute la première fois qu'ils obtiennent un rapport contre eux.

Les avertissements peuvent prendre un certain temps à s'arrêter si vous avez un spammeur vraiment prolifique, mais si vous continuez à voir des rapports avec des événements après qu'un client a été averti, ou s'il reçoit beaucoup de plaintes, vous voudrez peut-être envisager de les résilier pour AUP violations. Vous vous rendrez probablement compte assez rapidement si quelqu'un simule suffisamment de rapports pour atteindre ce point.

Ayez un graphique du volume de trafic. La plupart des types de rapports d'abus (spam, droits d'auteur, ddos) éclaireront un graphique de trafic ... était en moyenne de 40 kbit mais a soudainement sauté à 10 Mbits et y est resté pendant des heures? Ne faites rien jusqu'à ce que quelqu'un se plaigne ou que cela commence à avoir un impact sur les clients, mais un trafic irrégulier vous donnera certainement des munitions.

Choses à ne pas faire ...

Ne donnez pas d'informations sur le client à moins que quelqu'un ne vous remette une ordonnance du tribunal et que vous puissiez prouver que cette ordonnance est légitime. Certains rapporteurs d'abus demanderont des informations dans l'espoir d'obtenir un fournisseur de coopérative, mais si vous les remettez à quelqu'un d'autre qu'un tribunal, vous vous posez probablement des problèmes juridiques. La police ne vous enverra généralement pas de courrier électronique pour demander le contact de facturation de votre client, et même si c'est le cas, vous devriez toujours lui dire que vous ne pouvez fournir ces informations qu'en personne et sur présentation d'une ordonnance judiciaire appropriée.

N'éteignez pas un client simplement parce que quelqu'un a contacté votre file d'attente d'abus et vous l'a demandé. S'ils signalent des abus, vous devez les amener à fournir une sorte de preuve sur laquelle vous pouvez agir ... J'ai dit que la contrefaçon de signalement d'abus n'était pas courante, je n'ai pas dit que cela ne s'était pas produit. Le montant que vous voyez dépend entièrement de la taille de votre clientèle. Les petites vieilles ne vont probablement pas attaquer l'attention des trolls, les banderoles à contraction pourraient en revanche.

De même, ne laissez pas les journalistes abuseurs vous intimider ... certaines personnes peuvent devenir vraiment menaçantes et agressives avec leur rapport si vous n'obéissez pas instantanément à leurs ordres. Votre responsable comme intermédiaire est de transmettre les avis et de prendre des mesures en temps opportun si le client n'est pas coopératif. Vous ne devenez responsable que si vous savez que le client fait quelque chose de mal et laissez-le continuer. Ayez une politique sensée (lire: ne pas favoriser les pirates) et respectez-la, cela vous aidera si quelque chose tourne mal. Si vous ne fournissez que de la bande passante et pas d'hébergement, vous n'êtes probablement pas responsable de la suppression du contenu, sauf si votre client ne le fait pas lorsque vous le lui demandez.

N'insistez pas trop. 99,9% des rapports d'abus chez un FAI sont des trucs de procédure vraiment ennuyeux qui équivalent à "J'ai vu cette mauvaise chose provenir de votre réseau, c'est probablement une machine compromise, veuillez y regarder."

Dans la plupart des cas, la comparaison de l'heure de l'événement signalé avec le graphique du trafic vous indiquera la légitimité du rapport. Les processus hostiles n'envoient pas d'e-mails ou de scans de port en un ou deux.

Une dernière chose.

Si vous recevez un cas d'abus où la police est impliquée, assurez-vous de demander explicitement ce qu'ils veulent que vous fassiez pour eux, mais ne vous attendez pas à ce qu'ils aient des réponses super techniques. Parfois, la police n'est pas entièrement familiarisée avec la technologie impliquée (on m'a dit qu'une fois, ils voulaient nous rendre visite pour saisir physiquement un VPS, c'était amusant), mais ils ont une idée de ce qu'ils veulent accomplir. Le type de chose qu'ils recherchent dépend entièrement du type de services que vous fournissez.


4

Si vous allez vous déployer en tant que FAI non contrôlé, vous ne pourrez probablement pas confirmer que du trafic malveillant circule sur votre réseau. Sinon, vous auriez probablement besoin de configurer une forme de surveillance de base du trafic, à tout le moins un système TCPDump.

Vous pouvez également souhaiter mettre en place une sorte de système de billetterie et transmettre les plaintes graves à vos clients. Exiger des réponses dans un certain laps de temps, avec des interdictions de service pour non-réponse ou correction du problème, etc.

Vous ne pouvez pas toujours déterminer si un rapport est vrai ou faux, mais d'après mon expérience, vous apprendrez rapidement à évaluer la validité. Définissez les exigences pour soumettre des plaintes d'abus - par exemple, exigez des journaux de trafic ou d'accès montrant clairement votre implication réseau.

Les plaintes pour spam incluent généralement les en-têtes et la source des e-mails, vous pouvez donc prendre des décisions individuelles au cas par cas sur la façon de les gérer. SpamCop devrait avoir une bonne

Familiarisez-vous avec DMCA ou les lois équivalentes du Royaume-Uni sur le droit d'auteur.

Vous devrez probablement créer des précédents pour vous-même et aider à donner le ton à la façon dont votre service peut être utilisé.

Bonne chance


Le système de billetterie est déjà en place, et tcpdump est certainement possible au cas par cas, je me demandais simplement s'il y avait d'autres solutions, mais on dirait que c'est tout. Merci pour votre réponse.
André Borie
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.