DHPA moedigt hosters aan abuse actiever aan te pakken
Nederland doet het goed als het gaat om de aanpak van malafide cyberpraktijken, ook wel abuse genoemd. Thuisgebruikers hebben hun zaken steeds vaker op orde, waardoor het aantal botnet besmettingen in ons land relatief laag is. Maar het succes heeft een keerzijde. Nu steeds minder thuisgebruikers worden besmet, stijgt het relatieve aandeel van servers bij hosters. Om abuse verder terug te dringen richt de DHPA zijn pijlen daarom dit jaar in nauwe samenwerking met ISPconnect op hosters en moedigt hen aan van initiatieven gebruik te maken die helpen abuse in hun netwerken terug te dringen.
“De online sector is enkele jaren geleden samen met de overheid het initiatief ‘Bestrijding Botnets’ begonnen. Een belangrijke rol hierin speelt AbuseHUB, een systeem van de vereniging Abuse Information Exchange voor het delen van informatie en techniek rond de aanpak van malafide praktijken. Van oudsher vindt het meeste abuse plaats vanaf PC’s bij mensen thuis. Het aantal van dit soort besmettingen lag vrij hoog”, legt Michiel Steltman uit.
Nederland doet het goed
“De afgelopen jaren heeft AbuseHUB samen met Internet Service Providers fors ingezet op de aanpak van abuse. Hierbij zijn gebruikers geïnformeerd over besmettingen op hun PC’s en zijn tools beschikbaar gesteld om deze besmettingen te verwijderen. Dit heeft ertoe geleid dat abuse vanaf thuiscomputers fors is teruggedrongen. Volgens onderzoek van de TU Delft staat Nederland hierdoor inmiddels op de vijfde plek in de ranglijst met landen die de bestrijding van botnets op orde hebben. Nederland doet het wat betreft de aanpak van abuse dus eigenlijk erg goed.”
Dit heeft echter ook een neveneffect. “Doordat thuisgebruikers beter hun zaken op orde hebben, wordt het relatieve aandeel van hosters in abuse groter. Hosters spelen inmiddels een rol in maar liefst 36% van de botnet besmettingen. Het gaat hierbij in de meeste gevallen om servers van klanten. Als die niet up-to-date zijn en beveiligingsgaten bevatten kunnen ze door cybercriminelen worden besmet met malware en worden gebruikt in bijvoorbeeld botnets. Als we abuse in Nederland dus verder willen aanpakken zullen we onze pijlen (ook) moeten richten op hosters en hun klanten. Als de sector zelf geen verbeteringen laat zien is het risico groot dat de overheid wet- en regelgeving gaat ontwikkelen om abuse terug te dringen. En dat is iets waar we als sector beslist niet op zitten te wachten.”
Inzicht in abuse verbeteren
De TU Delft heeft daarom in opdracht van het ministerie van Economische Zaken botnet activiteit in de netwerken van hosters in kaart gebracht. Het Openbaar Ministerie is daarnaast het project ‘Nederland Schoon’ gestart. Hierin worden hosters met netwerken die er wat betreft abuse negatief, of juist opvallend positief uitspringen, benaderd. “Deze projecten hebben al een aantal conclusies opgeleverd”, zegt Michiel Steltman. “Zo blijken hosters met een opvallend hoog aandeel in abuse vaak slechts één informatiebron te hebben die hen waarschuwt voor abuse. Het idee is dat je met een aansluiting op Shadowserver zo’n beetje alle abuse wel te pakken hebt. Het onderzoek van de TU Delft toont klip en klaar aan dat dat een misvatting is. Shadowserver meldt een belangrijk deel van de abuse, maar niet alles. Feeds blijken elkaar nauwelijks te overlappen en je moet je op veel meer feeds aansluiten om te weten wat er in je netwerk speelt.”
“Daarnaast merken we ook dat het voor hosters best lastig is om abuse in hun netwerken te bestrijden. Dat komt omdat de klant ook mee moet werken. Niet alle hosters hebben hun contracten zodanig opgezet dat ze eenzijdig kunnen ingrijpen of hun klanten kunnen dwingen tot reparatieacties. Updates kunnen tot onbeschikbaarheid van een stack leiden, en dan kiest de klant er soms voor niets te doen zolang ze er zelf geen last van hebben. Er is daardoor vaak sprake van een lange uptime van abuse. Ook wordt in veel gevallen de besmetting verwijderd maar wordt verzuimd de oorzaak aan te pakken waardoor de besmetting en de abuse snel terugkeren.”
Noodzakelijke maatregelen
“Om het probleem aan te pakken moeten er 3 dingen gebeuren. Hosters moeten zich gaan aansluiten op meer feeds, het abuse-handling proces moet verbeteren en er moet een oplossing komen voor betere motivatie van klanten om mee te werken aan het verwijderen van kwetsbaarheden, en ook het kunnen toepassen van dwang als er daadwerkelijk van abuse sprake is.”
“De DHPA werkt samen met ISPconnect aan initiatieven voor de drie genoemde acties. Beide organisaties hebben een collectief lidmaatschap met AbuseHUB afgesloten. “AbuseHUB is naast shadowserver nu al aangesloten op acht andere feeds en het aantal groeit. Dat is voor individuele hosters niet te doen. De DHPA zal gedeeltelijk bijdragen in de kosten waardoor haar deelnemers tegen geringe kosten toegang krijgen tot dit systeem en alle feeds”, legt Michiel Steltman uit. “Detectie is één, maar de aanpak is minstens zo belangrijk. Daarom promoten beide organisaties ook het gebruik van Abuse I/O. Dat is een door BIT ontwikkeld open source systeem dat de afhandeling van abuse stroomlijnt.
