Como lidar com denúncias de abuso como um provedor de serviços de Internet?

12

Estou montando uma pequena empresa que fornecerá serviços de internet para um nicho de mercado. Ofereceremos acesso totalmente irrestrito e não monitorado (na medida em que a lei permitir - e, embora preferimos não, ainda teremos a capacidade de capturar pacotes se justificado) acesso à Internet, e não tenho certeza de como devemos reagir ao abuso relatórios (uma pesquisa no Google não encontrou nada relevante).

Digamos que recebo um e-mail sobre o bruteforce SSH vindo de um dos IPs de nossos clientes. Como posso saber se é genuíno e não um troll (entradas de log e até mesmo .pcaps podem ser falsificadas)? Como os grandes ISPs fazem isso (para aqueles que realmente se preocupam com denúncias de abuso)?

Da mesma forma, reclamações sobre emails com spam, como verifico se elas são genuínas antes de agir com base nelas? Isso é mesmo um problema? Houve casos em que os trolls denunciaram alguém por supostamente fazer coisas ruins na esperança de colocá-los em problemas com seu fornecedor?

Estou condenado a registrar todos os pacotes que saem da minha rede ou existe uma solução padrão do setor que não chega a tais extremos?

Saudações.

André Borie
fonte
Por que você lidaria com as denúncias de abuso?
Michael Hampton
6
O que você quer dizer? Se alguém estiver reclamando legitimamente de um de nossos clientes vomitando spam / DoS / bruteforce, eu quero fazer algo a respeito, assim como não gosto de estar no lado receptor desses ataques (e duvido que alguém esteja).
André Borie
2
Essa é uma boa resposta. Então, o que há nos seus termos de serviço?
Michael Hampton
1
Os termos de serviço nos permitem encerrar a conexão de alguém por qualquer motivo, e a política de uso aceitável proibiria DoS, spam, força bruta, basicamente tudo o que considerarmos malicioso. Minha principal pergunta é que, após uma reclamação, como devo julgar se é genuína ou um troll / erro? Registrar todos os pacotes faria isso, mas isso é tecnicamente impossível, mesmo se quiséssemos fazê-lo, então estou perguntando como os grandes jogadores fazem isso.
André Borie
3
@MichaelHampton Uma máquina que vomita ataques de força bruta do SSH provavelmente está comprometida. Se você tem motivos para acreditar que um de seus clientes está comprometido e nem diz a eles, você é péssimo no seu trabalho.
David Schwartz

Respostas:

20

De um modo geral, você está atuando como uma transportadora neutra e provavelmente não deve inspecionar o conteúdo. O processo geral para lidar com relatórios de abuso é configurar um sistema de tíquetes ou mesmo apenas uma caixa de correio que atenda a abuso @ seudominio e encaminhe os relatórios para o usuário final.

Estou dizendo em geral porque, embora eu tenha muita experiência específica nessa área, o modo como é feito em nosso local não será exatamente como as outras pessoas fazem. Você precisa adaptar a abordagem aos serviços que oferece. Dito isto, posso lhe dar alguns conselhos que não são muito específicos e formam a base de como a maioria dos lugares lida com o abuso. Mas não sou advogado e isso não deve ser interpretado como sendo a opinião de ninguém, a não ser a minha, caso alguém seja louco o suficiente para rastrear quem é meu empregador.

Espero que isso seja útil.

Procedimento básico:

  1. Você tem um endereço de e-mail de abuso.
  2. O correio chega para abusar da fila
  3. Diga ao repórter de abuso que você o repassará.
  4. Procure qual cliente está usando esse IP, encaminhe o relatório e pergunte se eles sabem o que está acontecendo.
  5. Desde que o usuário final não responda com algo realmente estúpido, uma instrução como "Por favor, não deixe isso acontecer novamente" é o melhor. Existem projetos legítimos que denunciam abusos, mas a maioria acontece por causa de pesquisadores de segurança; se esse não é o seu nicho, você não precisa se preocupar.
  6. Vá para o passo 1 e repita.

Na maioria das vezes, um loop é suficiente. A falsificação de abuso não é algo que eu realmente tenha visto muito, quero dizer, acontece, mas tem sido muito óbvio, pois eles estão tentando colocar a pessoa em apuros, enquanto os relatórios de abuso legítimos tendem a ser do tipo "Não nos importamos por que é acontecendo, basta fazê-lo parar ".

Coisas que você deve fazer

Você provavelmente verá alguns avisos de pirataria, um monte de relatórios de spam, um aviso ocasional mais esotérico ... O servidor hospeda tendências em direção a uma variedade maior, a banda larga é mais pirataria, todos recebem relatórios de spam. Encaminhe todos eles. Na maioria das vezes, o cliente defende a inocência e depois limpa o PC ou age. Se eles estiverem determinados a continuar, provavelmente encobrirão melhor suas trilhas.

Geralmente, os relatórios de abuso são gerados em resposta a ações de máquinas comprometidas ... o problema que as crianças gostam de fazer bagunça no quintal de outra pessoa, para que não rastreie sua casa e deixe os pais infelizes. Suponha que o cliente não esteja enviando intencionalmente spam. Tente dar aos clientes o benefício da dúvida na primeira vez em que obtiverem um relatório contra eles.

Os avisos podem demorar um pouco para parar se você tiver um spammer realmente prolífico, mas se continuar a ver relatórios com eventos após um cliente ter sido avisado ou receber muitas reclamações, considere encerrá-los para a AUP violações. Você provavelmente perceberá rapidamente se alguém estiver falsificando relatórios o suficiente para chegar a esse ponto.

Tenha gráficos de volume de tráfego. A maioria dos tipos de relatórios de abuso (spam, direitos autorais, ddos) acenderá um gráfico de tráfego ... estava em média 40kbit, mas subitamente saltou para 10mbit e ficou lá por horas? Não faça nada até alguém reclamar ou começar a impactar os clientes, mas o tráfego irregular certamente lhe dará munição.

Coisas para não fazer ...

Não forneça informações do cliente, a menos que alguém lhe entregue uma ordem judicial e você possa provar que a ordem é legítima. Alguns repórteres de abuso pedem informações na esperança de obter um fornecedor cooperativo, mas se você entregá-lo a alguém que não seja um tribunal, provavelmente estará criando problemas legais para si mesmo. A polícia geralmente não envia um e-mail pedindo o contato de cobrança do seu cliente, e mesmo que o fizessem, você ainda deveria estar dizendo a eles que você só pode fornecer essas informações pessoalmente e mediante a apresentação de uma ordem judicial apropriada.

Não desligue um cliente apenas porque alguém entrou em contato com sua fila de abuso e pediu para você. Se eles estão denunciando abuso, você precisa que eles forneçam algum tipo de evidência na qual você possa agir ... Eu disse que a falsificação de um relatório de abuso não era comum, não disse que não aconteceu. Quanto você vê depende inteiramente de quanto da sua base de clientes é um alvo. As velhinhas provavelmente não vão atacar a atenção dos trolls, por outro lado, serpentinas de contração.

Da mesma forma, não deixe repórteres de abuso intimidá-lo ... algumas pessoas podem ser realmente ameaçadoras e agressivas com o relatório se você não obedecer instantaneamente às ordens deles. O seu responsável como canal é encaminhar os avisos e tomar medidas oportunas se o cliente não cooperar. Você só se torna responsável se souber que o cliente está fazendo algo ruim e deixá-lo continuar. Tenha uma política sensata (leia-se: não favorecer os piratas) e cumpra-a, que ajudará se algo der errado. Se você fornecer apenas largura de banda e não hospedar, provavelmente não será responsável por remover o conteúdo, a menos que seu cliente não faça isso quando você solicitar.

Não se estresse demais. 99,9% das denúncias de abuso em um provedor de serviços de Internet são realmente procedimentos chatos que equivalem a "Eu vi essa coisa ruim sair da sua rede, provavelmente é uma máquina comprometida, por favor, observe-a".

Na maioria dos casos, comparar o tempo do evento relatado com o gráfico de tráfego informa a legitimidade do relatório. Os processos hostis não enviam e-mails ou varreduras de porta em um ou dois.

Uma última coisa.

Se você já teve um caso de abuso em que a polícia está envolvida, pergunte explicitamente o que eles querem que você faça por eles, mas não espere que eles tenham respostas super técnicas. Às vezes, a polícia não está totalmente familiarizada com o técnico envolvido (me disseram que em uma ocasião eles queriam nos visitar para obter fisicamente um VPS, isso era divertido), mas eles têm uma idéia do que desejam realizar. Exatamente o tipo de coisa que eles vão procurar depende inteiramente exatamente do tipo de serviço que você fornece.

Kaithar
fonte
4

Se você for implantado como um provedor de serviços de Internet não monitorado, provavelmente não poderá confirmar que o tráfego malicioso está percorrendo sua rede. Caso contrário, você provavelmente precisará configurar alguma forma de monitoramento básico de tráfego, pelo menos um sistema TCPDump.

Você também pode configurar algum tipo de sistema de emissão de bilhetes e transmitir queixas graves a seus clientes. Exigir respostas dentro de um certo período de tempo, com proibições de serviço como resultado de não responder ou corrigir o problema, etc.

Você nem sempre pode determinar se um relatório é verdadeiro ou falso, mas, na minha experiência, você aprenderá rapidamente a avaliar a validade. Defina os requisitos para o envio de reclamações de abuso - por exemplo, exija logs de tráfego ou acesso mostrando claramente o envolvimento da sua rede.

As reclamações de spam geralmente incluem os cabeçalhos e a origem do email, para que você possa tomar decisões individuais, caso a caso, sobre como lidar com elas. O SpamCop deve ter algum bom

Familiarize-se com a DMCA ou leis equivalentes de direitos autorais do Reino Unido.

Você provavelmente precisará definir alguns precedentes e ajudar a definir o tom de como seu serviço pode ser usado.

Boa sorte

iisor
fonte
O sistema de bilhética já está em vigor, e o tcpdump é definitivamente possível caso a caso. Fiquei me perguntando se havia outras soluções, mas parece que é isso. Obrigado pela sua resposta.
André Borie