Computerbeveiliging - Hoe je bad guys buiten de deur houdt

RIPE "Responsible organisations"

05-09-2020, 21:26 door Anoniem, 11 reacties
Ik heb een verdacht IP gevonden. Maarja, wie is verantwoordelijk voor het reilen en zeilen van de VPS achter dit IP?\

- Het IP valt onder een ASN van een Russische hoster.
- De Russische hoster maakt uitsluitend gebruik van Nederlandse Datacenters.
- Onder deze ASN vallen verschillende subnetten met daarbij tientallen verschillende "Responsible organisations" (via RIPE).
- Bij een aantal subnetten staan bij de organisatiegegevens netjes de adresgegevens van de Nederlandse datacenterbeheerpartij.
- Bij een aantal subnetten staan bij de organisatiegegevens schimmige organisatienamen met adresgegevens van een eiland-waar-ik-nog-nooit-van-had-gehoord.

Vragen:
- Wie snapt iets van die "Responsible organisation" binnen RIPE? Dus hoewel admin-contact/tech-contact verwijzen naar een Nederlands bedrijf (met correcte adresgegevens) is de "Responsible organisation" in verweggistan met 10.000 inwoners waar ze nog maar net een DSL-lijn hebben...
- Waarom zou de Russische hoster dit doen? Zijn er legitieme redenen te bedenken om met dit soort vage "Responsible organisations" in zee te gaan?
- Is de Russische hoster -of- de Nederlandse datacenterbeheerpartij op geen enkele manier aansprakelijk voor het activiteiten onder het IP?
Reacties (11)
06-09-2020, 13:16 door Anoniem
Ik heb een verdacht IP gevonden.

Verdacht van wat?

Het apparaat dat aan dat achter het IP schuil gaat kan gecompromitteerd zijn.
06-09-2020, 13:29 door Tintin and Milou
Door Anoniem: Ik heb een verdacht IP gevonden. Maarja, wie is verantwoordelijk voor het reilen en zeilen van de VPS achter dit IP?\

- Het IP valt onder een ASN van een Russische hoster.
- De Russische hoster maakt uitsluitend gebruik van Nederlandse Datacenters.
- Onder deze ASN vallen verschillende subnetten met daarbij tientallen verschillende "Responsible organisations" (via RIPE).
- Bij een aantal subnetten staan bij de organisatiegegevens netjes de adresgegevens van de Nederlandse datacenterbeheerpartij.
- Bij een aantal subnetten staan bij de organisatiegegevens schimmige organisatienamen met adresgegevens van een eiland-waar-ik-nog-nooit-van-had-gehoord.

Vragen:
- Wie snapt iets van die "Responsible organisation" binnen RIPE? Dus hoewel admin-contact/tech-contact verwijzen naar een Nederlands bedrijf (met correcte adresgegevens) is de "Responsible organisation" in verweggistan met 10.000 inwoners waar ze nog maar net een DSL-lijn hebben...
- Waarom zou de Russische hoster dit doen? Zijn er legitieme redenen te bedenken om met dit soort vage "Responsible organisations" in zee te gaan?
- Is de Russische hoster -of- de Nederlandse datacenterbeheerpartij op geen enkele manier aansprakelijk voor het activiteiten onder het IP?

Russische => Stoppen met verder actie ondernemen. Je gaat hier niets mee bereiken, afgezien het je veel tijd kost.
Als ze echt hacked, kun je aangifte doen. Maar verwacht niet dat de politie direct een aanval gaat doen.

IP range blockeren, en eventueel je site verder afschermen via blacklists die bepaalde slechte ip reputatie blockeren.

je kunt eventueel kijken of deze op bijvoorbeeld 1 van deze lijsten voorbij komt:
https://apility.io/lists/badip
07-09-2020, 10:01 door Anoniem
TS hier. Bedankt voor de reacties. Los van of het wel of niet iets uithaal vraag 1 en 2 blijven voor mij nog staan.

- Wie snapt iets van die "Responsible organisation" binnen RIPE? Dus hoewel admin-contact/tech-contact verwijzen naar een Nederlands bedrijf (met correcte adresgegevens) is de "Responsible organisation" in verweggistan met 10.000 inwoners waar ze nog maar net een DSL-lijn hebben...
- Waarom zou de Russische hoster dit doen? Zijn er legitieme redenen te bedenken om met dit soort vage "Responsible organisations" in zee te gaan?
07-09-2020, 10:57 door Anoniem
Dit wordt "bulletproof hosting" genoemd. Dat is een vorm van hosting voor (meestal) criminelen waarbij het door de ingewikkelde constructies die je aangeeft praktisch onmogelijk is om een site down te laten halen. Alleen als het echt heel ernstig is zul je via de Nederlandse justitie het Nederlandse datacenter kunnen dwingen om de stekers van dat rek er uit te laten trekken en/of de servers uit die rekken te laten trekken en analyseren. Je ziet wel eens van die berichten dat zo iets gedaan is en er dan een hoop nuttige informatie is buitgemaakt of minstens een organisatie is lamgelegd.
Maar als individu vanalles gaan aanschrijven dat gaat niks opleveren. Dat Nederlandse datacenter zit ook in het plot en als je daar klaagt zal hij alleen "je klacht doorsturen naar de klant" (waardoor je ook je identiteit nog eens bekendmaakt) en zelf verder niks doen. Wat je meldt als probleem dat zullen ze claimen "niet zelf te kunnen onderzoeken" of "geen bewijs van te hebben".

Ik weet het, het zaakje stinkt. Maar ik denk niet dat het makkelijk is de handen op elkaar te krijgen voor een strenge aanpak van dit probleem, want dit is wel een van de exportproducten van Nederland geworden, en daar in snijden valt politiek niet goed.
07-09-2020, 16:11 door Anoniem
Door Anoniem: Dit wordt "bulletproof hosting" genoemd. Dat is een vorm van hosting voor (meestal) criminelen waarbij het door de ingewikkelde constructies die je aangeeft praktisch onmogelijk is om een site down te laten halen. Alleen als het echt heel ernstig is zul je via de Nederlandse justitie het Nederlandse datacenter kunnen dwingen om de stekers van dat rek er uit te laten trekken en/of de servers uit die rekken te laten trekken en analyseren. Je ziet wel eens van die berichten dat zo iets gedaan is en er dan een hoop nuttige informatie is buitgemaakt of minstens een organisatie is lamgelegd.
Maar als individu vanalles gaan aanschrijven dat gaat niks opleveren. Dat Nederlandse datacenter zit ook in het plot en als je daar klaagt zal hij alleen "je klacht doorsturen naar de klant" (waardoor je ook je identiteit nog eens bekendmaakt) en zelf verder niks doen. Wat je meldt als probleem dat zullen ze claimen "niet zelf te kunnen onderzoeken" of "geen bewijs van te hebben".

Ik weet het, het zaakje stinkt. Maar ik denk niet dat het makkelijk is de handen op elkaar te krijgen voor een strenge aanpak van dit probleem, want dit is wel een van de exportproducten van Nederland geworden, en daar in snijden valt politiek niet goed.

Aha. Niet zo mooi, maar helder verhaal.
08-09-2020, 11:02 door Anoniem
Russische => Stoppen met verder actie ondernemen. Je gaat hier niets mee bereiken, afgezien het je veel tijd kost.
Als ze echt hacked, kun je aangifte doen. Maar verwacht niet dat de politie direct een aanval gaat doen.

Volslagen onzin, veel Russische providers handelen netjes abuse klachten af. Ook veel bezig met IT beveiligers bij Kaspersky, Group IB, Cert RU en andere partijen, om kwaadaardige systemen of domeinen uit de lucht te halen.

Dat sommige Russische providers shady zijn klopt, maar dat staat los van zo'n generieke uitspraak. In Nederland hebben we ook een aantal hosters die niets doen met klachten.
08-09-2020, 11:04 door Anoniem
Ik heb een verdacht IP gevonden. Maarja, wie is verantwoordelijk voor het reilen en zeilen van de VPS achter dit IP

Abuse desk van de provider.
08-09-2020, 11:23 door Anoniem
Dit wordt "bulletproof hosting" genoemd. Dat is een vorm van hosting voor (meestal) criminelen waarbij het door de ingewikkelde constructies die je aangeeft praktisch onmogelijk is om een site down te laten halen.

Al kan je vaak het domein uit de lucht laten halen, indien het offline krijgen van het systeem zelf niet lukt, door een kwaadaardige provider (niet iedere malware maakt gebruik van domein, natuurlijk).
08-09-2020, 12:19 door Anoniem
Door Anoniem:
Ik heb een verdacht IP gevonden. Maarja, wie is verantwoordelijk voor het reilen en zeilen van de VPS achter dit IP

Abuse desk van de provider.
ASN waar IP onder valt is van hostingpartij X uit Rusland
In RIPE staan bij dit IP de Abuse contactgegevens van partij Y in Verweggistan waar we geen verdragen mee hebben.
In RIPE staat als beheerpartij 'partij Z' uit Nederland.

Nu bedoel jij met abuse desk partij Y lijkt mij? Alleen vrees ik dat dit een brievenbusfirma / anonimiseringservice is.
08-09-2020, 16:29 door Anoniem
- Het IP valt onder een ASN van een hoster uit land A.
Kan

- De hoster uit land A maakt uitsluitend gebruik van Datacenters in land B.
a] Hoe weet je dat zo zeker?
b] Land B heeft dan (niet heel toevallig) 3 enorm goede IXP's, en peering was altijd goedkoper dan transit.

- Onder deze ASN vallen verschillende subnetten met daarbij tientallen verschillende "Responsible organisations" (via RIPE).
Niet bijster uniek.

- Bij een aantal subnetten staan bij de organisatiegegevens netjes de adresgegevens van de Nederlandse datacenterbeheerpartij.
Die waarschijnlijk bij dat subnet hoort.

- Bij een aantal subnetten staan bij de organisatiegegevens schimmige organisatienamen met adresgegevens van een eiland-waar-ik-nog-nooit-van-had-gehoord
Omdat belasting-paradijzen voor jou (momenteel nog) niet zo relevant zijn.

Ik zie nog niet direct enorm hard bewijs voor clandestiene schimmigheid.

Ook het X/Y/Z voorbeeld van dhr / mvr / x anoniem is niet direct een constructie waarbij moedwillige obstructie klip-en-klaar vastgesteld is.

Het kan ook gewoon zo zijn dat er mensen bij betrokken zijn die uberhaubt geen intresse in pizza of wijntje hebben, terwijl hun kind ligt te spartelen in het aquarium. Je hebt nu eenmaal weinig invloed op waar je wiegje staat. Althans, voor zover ik mij kan herinneren.
08-09-2020, 17:49 door Anoniem
Door Anoniem:
Ik zie nog niet direct enorm hard bewijs voor clandestiene schimmigheid.
Ik zie voor de zoveelste keer weer iemand die aanvoert dat het allemaal best zou kunnen kloppen, terwijl iedereen kan zien dat het een smerige bende is. Beetje een advocaat-in-een-talkshow type.
Daar houd ik niet zo van. Als de dingen niet kloppen, zit er dan niet een beetje omheen te huichelen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.