ISS olarak kötüye kullanım raporlarını nasıl ele alırım?

12

Niş bir pazar için internet hizmeti sağlayacak küçük bir işletme kuruyorum. Tamamen sınırsız ve izlenmemiş (yasaların izin verdiği ölçüde) sunacağız - ve haklı olmasa da paketleri yakalama yeteneğimize sahip olmaya devam edeceğiz) ve kötüye kullanıma nasıl cevap vereceğimizden emin değilim raporları (Google araması alakalı bir şey bulamadı).

Müşterilerimizin IP'lerinden birinden gelen SSH bruteforce hakkında bir e-posta aldığımı varsayalım. Bir trol değil, orijinal olup olmadığını nasıl anlarım (günlük girişleri ve hatta .pcaps sahte olabilir)? Büyük İSS'ler bunu nasıl yapıyor (demek istediğim kötüye kullanım raporlarını gerçekten önemseyenler için)?

Benzer şekilde, spam e-posta ile ilgili şikayetler, bunlara göre işlem yapmadan önce orijinal olup olmadıklarını nasıl kontrol edebilirim? Bu bir sorun mu var? Trollerin birilerini sağlayıcılarıyla sorun yaşamaları umuduyla kötü şeyler yaptığı iddiasıyla rapor edeceği durumlar oldu mu?

Ağımdan ayrılan her paketi günlüğe kaydetmeye mahkum muyum yoksa bu kadar ileri gitmeyen endüstri standardı bir çözüm var mı?

Saygılarımızla.

abuse 
André Borie
kaynak
Neden kötüye kullanım raporlarını ele alıyorsunuz?
Michael Hampton
6
Ne demek istiyorsun? Birisi meşru bir şekilde spam / DoS / bruteforce'dan müşterilerimizden biri hakkında şikayette bulunuyorsa, bu saldırıların alıcı ucunda olmanın değerini bilmediğim gibi bir şey yapmak istiyorum (ve kimsenin olduğundan şüpheliyim).
André Borie
2
Bu iyi bir cevap. Peki, hizmet şartlarınızda ne var?
Michael Hampton
1
Hizmet şartları, herhangi bir nedenle birisinin bağlantısını sonlandırmamıza olanak tanır ve kabul edilebilir kullanım politikası, DoS, spam, bruteforce ve temelde kötü niyetli olduğunu düşündüğümüz her şeyi yasaklar. Asıl sorum şikayeti takiben bunun gerçek mi yoksa bir trol / hata mı olduğunu nasıl değerlendirmeliyim? Her paketi kaydetmek bunu yapardı ama bunu yapmak istesek bile teknik olarak imkansız, bu yüzden büyük oyuncuların bunu nasıl yaptığını soruyorum.
André Borie
3
@MichaelHampton SSH kaba kuvvet saldırılarını savunan bir makinenin güvenliği tehlikeye girmiş olabilir. Müşterilerinizden birinin tehlikeye atıldığına inanmak için nedeniniz varsa ve onlara söylemediyseniz, işinizde berbatsınız.
David Schwartz

Yanıtlar:

20

Genel olarak, tarafsız bir taşıyıcı olarak hareket ediyorsunuz ve muhtemelen içeriği denetlememelisiniz. Kötüye kullanım raporlarını işlemeyle ilgili genel işlem, bir bilet sistemi veya yalnızca alan adınızın kötüye kullanımı için alan bir posta kutusu kurmak ve ardından raporları son kullanıcıya iletmektir.

Genel olarak söylüyorum çünkü bu alanda çok fazla deneyimim olsa da, bunun bizim yerimizde nasıl yapıldığı tam olarak başkalarının yaptığı gibi olmayacak. Yaklaşımı sunduğunuz hizmetlere göre uyarlamanız gerekir. Bununla birlikte, size çok spesifik olmayan ve çoğu yerin kötüye kullanımı nasıl ele aldığının temelini oluşturan bazı tavsiyeler verebilirim. Yine de bir avukat değilim ve bu, birinin işverenimin kim olduğunu bulmak için yeterince çılgın olması durumunda, kimsenin görüşü olarak değil, benim görüşüm olarak yorumlanmalıdır.

Umarım bunların bir kısmı yardımcı olur.

Temel prosedür:

  1. Kötüye kullanım e-posta adresiniz var.
  2. Posta kötüye kullanım kuyruğuna geliyor
  3. Kötüye kullanım bildiren kişiye ileteceğinizi söyleyin.
  4. Hangi müşterinin bu IP'yi kullandığını araştırın, raporu iletin ve neler olup olmadığını bilip bilmediklerini sorun.
  5. Son kullanıcının gerçekten aptalca bir şeyle cevap vermemesi, "Lütfen bir daha olmasına izin vermeyin" çizgisi boyunca verilen bir talimat en iyisidir. Kötüye kullanım raporlarını içeren meşru projeler var, ancak bunlar çoğunlukla güvenlik araştırmacıları nedeniyle gerçekleşiyor, eğer nişiniz değilse endişelenmenize gerek yok.
  6. 1. adıma gidin ve tekrarlayın.

Çoğu zaman bir döngü yeterlidir. Kötüye kullanımın sahtekarlığı gerçekten çok fazla gördüğüm bir şey değil, demek istediğim, ancak yasal bir kötüye kullanım raporunun "Neden bunun umrumda olduğu umrumda değil. oluyor, sadece durdur "tür.

Yapmanız Gerekenler

Muhtemelen birkaç korsan uyarısı, bir grup spam raporu, arada sırada daha ezoterik uyarı göreceksiniz ... Sunucu daha büyük bir çeşitliliğe yönelik eğilimleri barındırıyor, geniş bant daha korsan, herkes spam raporları alıyor. Hepsini yönlendir. Çoğu zaman müşteri masumiyeti yalvarır, daha sonra bilgisayarlarını temizler ya da eylemlerini temizler. Eğer buna devam etmeye kararlılarsa, muhtemelen izlerini daha iyi kaplayacaklardır.

Genellikle, ihlal edilen makineler tarafından yapılan eylemlere yanıt olarak kötüye kullanım raporları oluşturulur ... çocuklar, başkalarının ön bahçesinde karışıklık yapmaktan hoşlanırlar, böylece evlerini izlemez ve ebeveynlerinin mutsuz olmasını sağlarlar. Müşterinin kasıtlı olarak spam göndermediğini varsayın. Müşterilere, kendilerine karşı ilk rapor aldıklarında, şüpheden faydalanmaya çalışın.

Gerçekten verimli bir spam göndericiniz varsa uyarıların durması biraz zaman alabilir, ancak bir müşteri uyarıldıktan sonra etkinliklerle ilgili raporları görmeye devam ederseniz veya çok fazla şikayet alırsanız, AUP için sonlandırmayı düşünebilirsiniz. ihlalleri. Birisi bu noktaya ulaşmak için yeterli raporları taklit ediyorsa muhtemelen oldukça hızlı bir şekilde fark edeceksiniz.

Trafik hacmi grafiğine sahip olun. Kötüye kullanım raporu türlerinin çoğu (spam, telif hakkı, ddos) bir trafik grafiğini aydınlatacak ... ortalama 40kbit'ti, ancak aniden 10mbit'e atladı ve saatlerce orada kaldı mı? Birisi şikayet edene veya müşterileri etkilemeye başlayana kadar hiçbir şey yapmayın, ancak düzensiz trafik kesinlikle cephane verecektir.

Yapılmayacak şeyler...

Birisi size bir mahkeme emri vermediği ve bu kararın yasal olduğunu kanıtlayamadığınız sürece müşteri bilgilerini vermeyin. Bazı istismar muhabirleri, bir kooperatif sağlayıcısı alma umuduyla bilgi isteyecektir, ancak bunu mahkeme dışında herhangi birine teslim ederseniz, muhtemelen kendiniz için yasal sorunlar oluşturuyorsunuz. Polis genellikle müşterinizin faturalandırma irtibatını soracak bir e-posta göndermeyecektir ve yapsalar bile, onlara yalnızca bu bilgileri bizzat ve uygun bir mahkeme emri sunabileceğinizi söylemelisiniz.

Birisi kötüye kullanım kuyruğunuzla iletişim kurup sizden istediği için müşteriyi kapatmayın. Kötüye kullanım bildiriyorlarsa, üzerinde işlem yapabileceğiniz bir tür kanıt sunmalarını sağlamalısınız ... Kötüye kullanım raporu taklitinin yaygın olmadığını söyledim, bunun gerçekleşmediğini söylemedim. Ne kadar gördüğünüz tamamen müşteri tabanınızın ne kadar hedef olduğuna bağlıdır. Küçük yaşlı bayanlar muhtemelen trollerin dikkatine saldırmayacaklar, diğer yandan seğirme flamalar olabilir.

Benzer şekilde, kötüye muhabirlerin sizi zorbalıklarına izin vermeyin ... emirlerine anında uymazsanız, bazı insanlar raporlarıyla gerçekten tehdit edici ve agresif olabilirler. Bir kanal olarak sizin sorumluluğunuz, bildirimleri iletmek ve müşteri kooperatif değilse zamanında harekete geçmektir. Yalnızca müşterinin kötü bir şey yaptığını biliyorsanız ve devam etmesine izin verirseniz sorumlu olursunuz. Mantıklı bir politika okuyun (korsanları tercih etmeyin) ve buna uyun, eğer bir şey berbat olursa yardımcı olacaktır. Yalnızca bant genişliği sağlıyorsanız ve barındırma yapmıyorsanız, müşteriniz sorduğunuzda bunu yapmazsa muhtemelen içeriği kaldırmak sizin sorumluluğunuzda değildir.

Fazla stres yapma. Bir ISS'deki kötüye kullanım raporlarının% 99,9'u "bu kötü şeyin ağınızdan geldiğini gördüm, muhtemelen güvenliği ihlal edilmiş bir makine, lütfen buna bakın" anlamına gelen sıkıcı prosedürel şeyler.

Çoğu durumda, bildirilen olay zamanını trafik grafiğiyle karşılaştırmak size raporun yasallığını bildirir. Düşman süreçler e-posta veya bağlantı noktası taraması göndermez.

Son bir şey.

Polisin dahil olduğu bir istismar davası alırsanız, onlar için ne yapmanızı istediklerini açıkça sorduğunuzdan emin olun, ancak süper teknik cevaplar almasını beklemeyin. Bazen polis, ilgili teknolojiye tamamen aşina değildir (bir keresinde fiziksel olarak bir VPS'yi ele geçirmek için bizi ziyaret etmek istedikleri söylendi, bu eğlenceliydi) ama ne yapmak istedikleri hakkında bir fikirleri var. Tam olarak ne tür bir şeyden sonra olacaklar, tamamen ne tür hizmetler sağladığınıza bağlıdır.

Kaithar
kaynak
4

İzlenmeyen bir İSS olarak dağıtılacaksanız, büyük olasılıkla kötü amaçlı trafiğin ağınız üzerinden gittiğini onaylayamazsınız. Aksi takdirde, büyük olasılıkla en azından bir TCPDump sisteminde bir tür temel trafik izleme ayarlamanız gerekir.

Ayrıca bir çeşit bilet sistemi kurmak ve müşterilerinize ciddi şikayetler iletmek isteyebilirsiniz. Sorunu yanıtlamamak veya düzeltmemek için servis yasaklarıyla birlikte belirli bir süre içinde yanıtlar talep edin.

Bir raporun doğru mu yanlış mı olduğunu her zaman belirleyemezsiniz, ancak deneyimime göre geçerliliği hızlı bir şekilde ölçmeyi öğreneceksiniz. Kötüye kullanım şikayetlerini göndermek için gereksinimleri belirleyin - örneğin, ağ katılımınızı açıkça gösteren trafik veya erişim günlükleri gerekir.

Spam şikayetleri genellikle e-posta başlıklarını ve kaynağını içerir. SpamCop'ın iyi olması gerekir

DMCA veya eşdeğer İngiltere Telif Hakkı yasalarını öğrenin.

Muhtemelen kendiniz için bazı emsaller ayarlamanız ve hizmetinizin nasıl kullanılabileceğinin tonunu ayarlamanıza yardımcı olmanız gerekecektir.

İyi şanslar

iisor
kaynak
Biletleme sistemi zaten var ve tcpdump kesinlikle vaka bazında mümkün, sadece başka çözümler olup olmadığını merak ediyordum, ama öyle görünüyor. Cevabınız için teşekkürler.
André Borie
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.