Jak obsługiwać zgłoszenia nadużyć jako dostawca usług internetowych?

12

Zakładam małą firmę, która będzie świadczyć usługi internetowe na niszowym rynku. Będziemy oferować w pełni nieograniczony i bez nadzoru (na ile pozwala na to prawo - i choć wolelibyśmy tego nie robić, nadal będziemy mieć możliwość przechwytywania pakietów, jeśli jest to uzasadnione), i nie jestem pewien, jak powinniśmy reagować na nadużycia raporty (wyszukiwarka Google nie znalazła nic istotnego).

Powiedzmy, że otrzymuję wiadomość e-mail o brutalnej sile SSH pochodzącej z jednego z adresów IP naszych klientów. Jak sprawdzić, czy jest prawdziwy, a nie troll (wpisy w dzienniku, a nawet .pcaps można sfałszować)? Jak to robią duzi dostawcy usług internetowych (mam na myśli tych, którzy faktycznie dbają o zgłoszenia nadużyć)?

Podobnie, skargi na e-maile ze spamem, jak sprawdzić, czy są autentyczne, zanim zaczną działać na ich podstawie? Czy to w ogóle problem? Czy zdarzały się przypadki, w których trolle zgłaszałyby kogoś za rzekome robienie złych rzeczy w nadziei, że sprawią kłopoty z dostawcą?

Czy jestem skazany na rejestrowanie każdego pakietu opuszczającego moją sieć lub czy istnieje standardowe rozwiązanie branżowe, które nie popada w takie skrajności?

Pozdrowienia.

André Borie
źródło
Dlaczego miałbyś w ogóle obsługiwać zgłoszenia o nadużyciach?
Michael Hampton
6
Co masz na myśli? Jeśli ktoś słusznie narzeka na jednego z naszych klientów wyrzucających spam / DoS / bruteforce, chcę coś z tym zrobić, tak jak ja nie doceniam bycia na końcu tych ataków (i wątpię, żeby ktoś był).
André Borie,
2
To dobra odpowiedź. Więc jakie są twoje warunki usługi?
Michael Hampton
1
Warunki korzystania z usługi pozwalają nam na zerwanie czyjegoś połączenia z jakiegokolwiek powodu, a zasady dopuszczalnego użytkowania zabroniłyby DoS, spamu, brutalnej siły, w zasadzie wszystkiego, co uznamy za szkodliwe. Moje główne pytanie brzmi: w jaki sposób powinienem ocenić, czy jest to autentyczne, czy trollowe / błędne? Rejestrowanie każdego pakietu by to zrobiło, ale jest to technicznie niemożliwe, nawet gdybyśmy chcieli, więc pytam, jak robią to duzi gracze.
André Borie
3
@MichaelHampton Prawdopodobnie zagrożona jest maszyna wypluwająca ataki brutalnej siły SSH. Jeśli masz powody, by sądzić, że jeden z twoich klientów jest zagrożony, a nawet im nie mówisz, jesteś okropny w swojej pracy.
David Schwartz

Odpowiedzi:

20

Ogólnie rzecz biorąc, działasz jako neutralny nośnik i prawdopodobnie nie powinieneś sprawdzać treści. Ogólny proces obsługi zgłoszeń o nadużyciach polega na skonfigurowaniu systemu zgłoszeń lub nawet skrzynki pocztowej, która odbiera informacje o nadużyciach @ twoja_domena, a następnie przesyła zgłoszenia do użytkownika końcowego.

Mówię ogólnie, ponieważ chociaż mam wiele konkretnych doświadczeń w tej dziedzinie, to, jak to się dzieje u nas, nie będzie dokładnie tak, jak robią to inni. Musisz dostosować podejście do oferowanych usług. Biorąc to pod uwagę, mogę udzielić porady, która nie jest zbyt konkretna i stanowi podstawę tego, w jaki sposób większość miejsc radzi sobie z nadużyciami. Nie jestem jednak prawnikiem i nie należy tego interpretować jako opinii każdego, ale mojej, na wypadek, gdyby ktoś był na tyle szalony, by wyśledzić, kto jest moim pracodawcą.

Mam nadzieję, że niektóre z nich są pomocne.

Podstawowa procedura:

  1. Masz adres e-mail dotyczący nadużycia.
  2. Poczta przychodzi do kolejki nadużyć
  3. Powiedz reporterowi, że go przekazałeś.
  4. Sprawdź, który klient korzysta z tego adresu IP, prześlij mu raport i zapytaj, czy wie, co się dzieje.
  5. Pod warunkiem, że użytkownik końcowy nie odpowie na coś naprawdę głupiego, najlepsza jest instrukcja w stylu „Proszę, nie pozwól, aby to się powtórzyło”. Istnieją uzasadnione projekty, które potykają się o raporty o nadużyciach, ale najczęściej są one realizowane przez badaczy bezpieczeństwa, jeśli nie jest to twoja nisza, nie musisz się martwić.
  6. Przejdź do kroku 1 i powtórz.

W większości przypadków wystarczy jedna pętla. Oszustwa związane z nadużyciami nie są czymś, o czym naprawdę wiele widziałem, to znaczy, że tak się dzieje, ale było to naprawdę oczywiste, ponieważ próbują wpędzić osobę w kłopoty, podczas gdy doniesienia o nadużyciach zwykle brzmią: „Nie obchodzi nas, dlaczego dzieje się, po prostu spraw, żeby przestało to być miłe.

Rzeczy, które powinieneś zrobić

Prawdopodobnie zobaczysz kilka ostrzeżeń o piractwie, kilka raportów spamowych, od czasu do czasu bardziej ezoteryczne ostrzeżenie ... Serwerowe trendy hostingowe w kierunku większej różnorodności, internet szerokopasmowy to więcej piractwa, każdy otrzymuje raporty spamowe. Prześlij je wszystkie. Przez większość czasu klient będzie powoływał się na niewinność, a potem albo wyczyścił komputer, albo wyczyścił swoje działania. Jeśli są zdeterminowani, aby go utrzymać, prawdopodobnie lepiej zatuszują swoje ślady.

Zwykle raporty o nadużyciach są generowane w odpowiedzi na działania skompromitowanych maszyn ... problematyczne dzieci lubią robić bałagan na czyimś podwórku, aby nie dotarł do ich domu i sprawił, że ich rodzic był nieszczęśliwy. Załóż, że klient nie celowo wysyła spamu. Postaraj się dać klientom wątpliwości, kiedy po raz pierwszy otrzymają raport przeciwko nim.

Ostrzeżenia mogą trochę potrwać, jeśli masz naprawdę płodnego spamera, ale jeśli nadal widzisz raporty ze zdarzeniami po ostrzeżeniu klienta lub otrzymujesz wiele skarg, możesz rozważyć ich rozwiązanie z powodu AUP naruszenia Prawdopodobnie szybko zdasz sobie sprawę, jeśli ktoś sfałszuje raporty na tyle, aby osiągnąć ten punkt.

Mieć wykres natężenia ruchu. Większość typów raportów o nadużyciach (spam, prawa autorskie, ddos) zapali się na wykresie ruchu ... średnio 40kbit, ale nagle skoczył do 10mbit i pozostał tam przez wiele godzin? Nie rób nic, dopóki ktoś nie narzeka lub nie wpłynie to na klientów, ale nieregularny ruch z pewnością da ci amunicję.

Czego nie robić ...

Nie podawaj informacji o kliencie, chyba że ktoś wyda Ci nakaz sądowy, a Ty możesz udowodnić, że jest to uzasadnione. Niektórzy reporterzy o nadużyciach proszą o informacje w nadziei na uzyskanie dostawcy spółdzielni, ale jeśli przekażesz je komukolwiek innemu niż sąd, prawdopodobnie stwarzasz sobie problemy prawne. Policja na ogół nie wysyła do Ciebie wiadomości e-mail z prośbą o kontakt rozliczeniowy z klientem, a nawet jeśli tak, powinieneś nadal mówić im, że możesz podać te informacje tylko osobiście i po przedstawieniu odpowiedniego orzeczenia sądowego.

Nie wyłączaj klienta tylko dlatego, że ktoś skontaktował się z Twoją kolejką nadużyć i poprosił o to. Jeśli zgłaszają nadużycia, musisz uzyskać od nich dowody, na które możesz zareagować ... Powiedziałem, że udawanie nie było częste, nie powiedziałem, że tak się nie stało. To, ile widzisz, zależy całkowicie od tego, ile celu jest twoja baza klientów. Małe starsze kobiety prawdopodobnie nie zamierzają zaatakować uwagi trolli, z drugiej strony mogłyby to być drgnięcia streamerów.

Podobnie, nie pozwól, by reporterzy znęcali się nad tobą ... niektóre osoby mogą stać się naprawdę groźne i agresywne w związku z ich zgłoszeniem, jeśli nie od razu wykonasz ich polecenia. Twoim obowiązkiem jako kanału jest przekazywanie powiadomień i podejmowanie działań w odpowiednim czasie, jeśli klient nie współpracuje. Ponosisz odpowiedzialność tylko wtedy, gdy wiesz, że klient robi coś złego i pozwalasz mu kontynuować. Miej rozsądną (czytaj: nie faworyzuj piratów) politykę i trzymaj się jej, która pomoże, jeśli coś pójdzie nie tak. Jeśli zapewniasz tylko przepustowość, a nie hosting, prawdopodobnie nie jesteś odpowiedzialny za usunięcie treści, chyba że klient tego nie zrobi, gdy o to poprosisz.

Nie stresuj się zbytnio. 99,9% zgłoszeń o nadużyciach u dostawcy usług internetowych to naprawdę nudne rzeczy proceduralne, co sprowadza się do: „Widziałem, że ta zła rzecz pochodzi z twojej sieci, prawdopodobnie jest to zainfekowana maszyna, proszę zajrzyj”.

W większości przypadków porównanie zgłoszonego czasu zdarzenia z wykresem ruchu pokazuje zasadność raportu. Wrogie procesy nie wysyłają wiadomości e-mail ani skanów portów w jednym lub dwóch.

Ostatnia rzecz.

Jeśli kiedykolwiek spotkasz się z przypadkiem nadużycia, w które zaangażowana jest policja, upewnij się, że wyraźnie spytałeś, co chcą, abyś dla nich zrobił, ale nie oczekuj, że będą mieli super techniczne odpowiedzi. Czasami policja nie jest do końca zaznajomiona z technologią (powiedziano mi, że kiedyś chcieli nas odwiedzić, aby fizycznie przejąć VPS, to była świetna zabawa), ale mają pojęcie o tym, co chcą osiągnąć. Dokładnie to, o co zamierzają, zależy całkowicie od tego, jakiego rodzaju usługi świadczysz.

Kaithar
źródło
4

Jeśli zamierzasz wdrożyć program jako niemonitorowany dostawca usług internetowych, prawdopodobnie nie będziesz w stanie potwierdzić, że złośliwy ruch przepływa przez twoją sieć. W przeciwnym razie najprawdopodobniej będziesz musiał skonfigurować podstawową kontrolę ruchu, przynajmniej system TCPDump.

Możesz także założyć system biletowy i przekazywać swoim klientom poważne skargi. Wymagaj odpowiedzi w określonym czasie, z zakazem świadczenia usług w wyniku braku odpowiedzi lub rozwiązania problemu itp.

Nie zawsze możesz ustalić, czy raport jest prawdziwy, czy fałszywy, ale z mojego doświadczenia szybko nauczysz się oceniać ważność. Ustaw wymagania dotyczące składania skarg dotyczących nadużyć - na przykład wymagają dzienników ruchu lub dostępu, wyraźnie pokazujących twoje zaangażowanie w sieć.

Skargi na spam zwykle obejmują nagłówki i źródła wiadomości e-mail, dzięki czemu możesz podejmować indywidualne decyzje dotyczące sposobu ich obsługi. SpamCop powinien mieć dobre strony

Zapoznaj się z DMCA lub równoważnymi brytyjskimi przepisami dotyczącymi praw autorskich.

Najprawdopodobniej będziesz musiał ustawić sobie pewne precedensy i pomóc w określeniu sposobu korzystania z usługi.

Powodzenia

iisor
źródło
System biletowy jest już na miejscu, a tcpdump jest zdecydowanie możliwy w poszczególnych przypadkach, zastanawiałem się tylko, czy istnieją inne rozwiązania, ale tak to wygląda. Dzięki za odpowiedź.
André Borie