Bagaimana cara saya menangani laporan penyalahgunaan sebagai ISP?

12

Saya mendirikan bisnis kecil yang akan menyediakan layanan internet untuk ceruk pasar. Kami akan menawarkan akses internet yang sepenuhnya tidak dibatasi dan tidak diawasi (sebanyak yang diizinkan oleh undang-undang - dan meskipun kami lebih suka tidak, kami masih akan memiliki kemampuan untuk menangkap paket jika dibenarkan) akses internet, dan saya tidak yakin bagaimana kita harus menanggapi penyalahgunaan. laporan (pencarian Google tidak menemukan sesuatu yang relevan).

Katakanlah saya mendapatkan email tentang bruteforce SSH yang berasal dari salah satu IP pelanggan kami. Bagaimana saya tahu apakah itu asli dan bukan troll (entri log dan bahkan .pcaps dapat dipalsukan)? Bagaimana ISP besar melakukannya (bagi mereka yang benar-benar peduli dengan laporan penyalahgunaan yang saya maksud)?

Demikian pula, keluhan tentang email spam, bagaimana cara saya mengecek apakah email tersebut asli sebelum menindaklanjutinya? Apakah ini masalah? Pernahkah ada contoh di mana troll akan melaporkan seseorang karena diduga melakukan hal-hal buruk dengan harapan membuat mereka bermasalah dengan penyedia mereka?

Apakah saya dikutuk untuk mencatat setiap paket yang meninggalkan jaringan saya atau adakah solusi standar industri yang tidak terlalu ekstrem?

Salam.

abuse 
André Borie
sumber
Mengapa Anda menangani laporan penyalahgunaan sama sekali?
Michael Hampton
6
Apa maksudmu? Jika seseorang secara sah mengeluh tentang salah satu pelanggan kami memuntahkan spam / DoS / bruteforce saya ingin melakukan sesuatu tentang hal itu, sama seperti saya tidak menghargai berada di ujung penerima serangan (dan saya ragu ada orang).
André Borie
2
Itu jawaban yang bagus. Jadi, apa persyaratan layanan Anda?
Michael Hampton
1
Ketentuan layanan memungkinkan kami untuk memutuskan koneksi seseorang dengan alasan apa pun, dan kebijakan penggunaan yang dapat diterima akan melarang DoS, spam, bruteforce, pada dasarnya apa pun yang kami anggap berbahaya. Pertanyaan utama saya adalah bahwa setelah mengajukan keluhan, bagaimana saya harus menilai apakah itu asli atau troll / kesalahan? Mencatat setiap paket akan melakukannya tetapi itu secara teknis tidak mungkin bahkan jika kita ingin melakukannya, jadi saya bertanya bagaimana para pemain besar melakukannya.
André Borie
3
@MichaelHampton Mesin yang memuntahkan serangan bruteforce SSH kemungkinan terganggu. Jika Anda memiliki alasan untuk percaya bahwa salah satu pelanggan Anda terganggu dan Anda bahkan tidak memberi tahu mereka, Anda buruk dalam pekerjaan Anda.
David Schwartz

Jawaban:

20

Secara umum, Anda bertindak sebagai pembawa netral dan mungkin tidak boleh memeriksa konten. Proses umum untuk menangani laporan penyalahgunaan adalah menyiapkan sistem tiket atau bahkan hanya kotak surat yang menerima penyalahgunaan @ domain Anda dan kemudian meneruskan laporan kepada pengguna akhir.

Saya mengatakan secara umum karena sementara saya memiliki banyak pengalaman khusus di bidang ini, bagaimana hal itu dilakukan di tempat kami tidak akan persis bagaimana orang lain melakukannya. Anda perlu menyesuaikan pendekatan dengan layanan yang Anda tawarkan. Yang sedang berkata, saya bisa memberi Anda beberapa saran yang tidak terlalu spesifik dan membentuk dasar bagaimana sebagian besar tempat menangani penyalahgunaan. Saya bukan pengacara dan ini tidak seharusnya ditafsirkan sebagai pendapat siapa pun selain pendapat saya, kalau-kalau ada orang yang cukup gila untuk melacak siapa majikan saya.

Semoga beberapa dari ini bermanfaat.

Prosedur dasar:

  1. Anda memiliki alamat email penyalahgunaan.
  2. Email masuk ke antrian penyalahgunaan
  3. Beritahu reporter pelecehan yang akan Anda sampaikan.
  4. Cari tahu pelanggan mana yang menggunakan IP itu, teruskan laporannya dan tanyakan apakah mereka tahu apa yang terjadi.
  5. Memberikan pengguna akhir tidak merespons dengan sesuatu yang benar-benar bodoh, instruksi di sepanjang baris "Tolong jangan biarkan itu terjadi lagi" adalah yang terbaik. Ada proyek yang sah yang melaporkan penyalahgunaan, tetapi sebagian besar ini terjadi karena peneliti keamanan, jika itu bukan niche Anda, maka Anda tidak perlu khawatir.
  6. Lanjutkan ke langkah 1 dan ulangi.

Paling sering satu loop sudah cukup. Spoofing penyalahgunaan bukanlah sesuatu yang benar-benar saya lihat, maksud saya hal itu terjadi tetapi sudah sangat jelas karena mereka berusaha membuat orang tersebut dalam masalah sementara laporan penyalahgunaan yang sah cenderung dari "Kami tidak peduli mengapa itu terjadi, buat saja berhenti "baik.

Hal yang harus Anda lakukan

Anda mungkin akan melihat beberapa peringatan pembajakan, banyak laporan spam, peringatan sesekali lebih esoteris ... Server hosting tren menuju variasi yang lebih besar, broadband lebih pembajakan, semua orang mendapat laporan spam. Teruskan semuanya. Sebagian besar waktu pelanggan akan mengaku tidak bersalah, maka baik membersihkan PC mereka atau membersihkan tindakan mereka. Jika mereka bertekad untuk terus melakukannya, mereka mungkin akan menutupi jejak mereka dengan lebih baik.

Biasanya laporan pelecehan dihasilkan sebagai tanggapan terhadap tindakan oleh mesin yang dikompromikan ... masalah anak-anak suka membuat kekacauan di halaman depan orang lain sehingga tidak melacak ke rumah mereka dan membuat orang tua mereka tidak bahagia. Asumsikan bahwa pelanggan tidak sengaja mengirim spam. Cobalah untuk memberi pelanggan manfaat dari keraguan pertama kali mereka mendapatkan laporan terhadap mereka.

Peringatan mungkin perlu waktu untuk berhenti jika Anda memiliki spammer yang benar-benar produktif, tetapi jika Anda terus melihat laporan dengan peristiwa setelah pelanggan diperingatkan, atau mereka mendapatkan banyak keluhan, Anda mungkin ingin mempertimbangkan untuk menghentikannya untuk AUP pelanggaran. Anda mungkin akan menyadari dengan cepat jika seseorang memalsukan laporan yang cukup untuk mencapai titik itu.

Memiliki grafik volume lalu lintas. Sebagian besar jenis laporan penyalahgunaan (spam, hak cipta, ddos) akan menerangi grafik lalu lintas ... apakah rata-rata 40kbit tetapi tiba-tiba melonjak hingga 10mbit dan tinggal di sana selama berjam-jam? Jangan melakukan apa pun sampai seseorang mengeluh atau itu mulai berdampak pada pelanggan, tetapi lalu lintas tidak teratur pasti akan memberi Anda amunisi.

Hal yang tidak boleh dilakukan ...

Jangan memberikan informasi pelanggan kecuali seseorang memberi Anda perintah pengadilan dan Anda dapat membuktikan bahwa pesanan itu sah. Beberapa wartawan pelecehan akan meminta informasi dengan harapan mendapatkan penyedia koperasi, tetapi jika Anda menyerahkannya kepada orang lain selain pengadilan maka Anda mungkin membuat masalah hukum untuk diri sendiri. Polisi pada umumnya tidak akan mengirim email kepada Anda untuk meminta kontak penagihan pelanggan Anda, dan bahkan jika mereka melakukannya, Anda tetap harus memberi tahu mereka bahwa Anda hanya dapat memberikan informasi itu secara langsung dan pada presentasi perintah pengadilan yang sesuai.

Jangan mematikan pelanggan hanya karena seseorang menghubungi antrean penyalahgunaan Anda dan meminta Anda melakukannya. Jika mereka melaporkan penyalahgunaan, Anda harus meminta mereka untuk memberikan semacam bukti yang dapat Anda tindak lanjuti ... Saya mengatakan bahwa laporan penyalahgunaan tidak umum, saya tidak mengatakan itu tidak terjadi. Seberapa banyak Anda melihatnya tergantung sepenuhnya pada seberapa banyak target basis pelanggan Anda. Wanita-wanita tua mungil mungkin tidak akan menyerang perhatian para troll, di sisi lain, gerakan twitch.

Demikian pula, jangan biarkan reporter pelecehan menggertak Anda ... beberapa orang bisa benar-benar mengancam dan agresif dengan laporan mereka jika Anda tidak langsung mematuhi perintah mereka. Tanggung jawab Anda sebagai saluran adalah meneruskan pemberitahuan dan mengambil tindakan tepat waktu jika pelanggan tidak kooperatif. Anda hanya menjadi bertanggung jawab jika Anda tahu pelanggan melakukan sesuatu yang buruk dan membiarkan mereka melanjutkan. Memiliki kebijakan yang masuk akal (baca: tidak mendukung bajak laut) dan tetap berpegang teguh pada itu, itu akan membantu jika ada yang kacau. Jika Anda hanya menyediakan bandwidth dan bukan hosting, Anda mungkin tidak bertanggung jawab untuk menghapus konten kecuali pelanggan Anda gagal melakukannya ketika Anda menanyakannya.

Jangan terlalu stres. 99,9% dari laporan penyalahgunaan di ISP adalah hal prosedural yang benar-benar membosankan yang berarti "Saya melihat hal buruk ini datang dari jaringan Anda, itu mungkin mesin yang dikompromikan, silakan melihatnya."

Dalam kebanyakan kasus, membandingkan waktu acara yang dilaporkan dengan grafik lalu lintas akan memberi tahu Anda keabsahan laporan tersebut. Proses bermusuhan tidak mengirimkan email atau scan port dalam satu atau dua.

Satu hal terakhir.

Jika Anda pernah mendapatkan kasus penyalahgunaan di mana polisi terlibat, pastikan untuk bertanya secara eksplisit apa yang mereka ingin Anda lakukan untuk mereka tetapi jangan berharap mereka memiliki jawaban super teknis. Kadang-kadang polisi tidak sepenuhnya akrab dengan teknologi yang terlibat (saya telah diberitahu bahwa pada suatu kesempatan mereka ingin mengunjungi kami untuk secara fisik merebut VPS, itu menyenangkan) tetapi mereka memiliki gagasan tentang apa yang ingin mereka capai. Persis seperti apa hal yang akan mereka cari bergantung sepenuhnya pada jenis layanan yang Anda berikan.

Kaithar
sumber
4

Jika Anda akan menggunakan sebagai ISP yang tidak dipantau, Anda mungkin tidak akan dapat mengonfirmasi bahwa lalu lintas jahat sedang bepergian melalui jaringan Anda. Jika tidak, kemungkinan besar Anda perlu mengatur beberapa bentuk pemantauan lalu lintas dasar, setidaknya sistem TCPDump.

Anda mungkin juga ingin mengatur semacam sistem tiket dan menyampaikan keluhan kepada pelanggan Anda. Membutuhkan tanggapan dalam jangka waktu tertentu, dengan larangan layanan sebagai akibat dari tidak membalas atau memperbaiki masalah, dll.

Anda tidak selalu dapat menentukan apakah laporan itu benar atau salah, tetapi menurut pengalaman saya, Anda akan segera belajar mengukur validitas. Tetapkan persyaratan untuk mengirim keluhan penyalahgunaan - misalnya, memerlukan lalu lintas atau akses log yang jelas menunjukkan keterlibatan jaringan Anda.

Keluhan spam biasanya mencakup tajuk dan sumber email, sehingga Anda dapat membuat keputusan kasus per kasus tentang cara menanganinya. SpamCop seharusnya memiliki beberapa kebaikan

Kenali DMCA atau undang-undang Hak Cipta UK yang setara.

Anda mungkin harus menetapkan beberapa preseden untuk diri sendiri dan membantu mengatur nada bagaimana layanan Anda dapat digunakan.

Semoga berhasil

iisor
sumber
Sistem tiket sudah ada, dan tcpdump pasti dimungkinkan berdasarkan kasus per kasus, saya hanya ingin tahu apakah ada solusi lain, tapi sepertinya itu saja. Terima kasih atas jawaban anda.
André Borie
Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.