Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Waar vind ik een overzicht van vastgesteld misbruikpercentage per AS?

06-10-2020, 12:16 door Anoniem, 5 reacties
Een waren er overzichten, waar per AS een percentage werd gegeven van het totaal aantal domeinen dat van misbruik werd verdacht (spam, fraude, malware verspreiding etc.). Dus bijvoorbeeld Leaseweb, percentage waarop misbruik vastgesteld zoveel procent. Ik kan nu slechts pdf files met een algemene situatieschets vinden. Ik weet ook wel dat er op RIR veel misbruik moet zijn.

Waarom kan ik dat niet meer vinden, nu slechts per IP en dan wordt er bijvermeld dat dit IP zich ook op een "als slecht bekend staand" AS bevindt. Voorbeeld: https://scamalytics.com/#contact

Weet iemand ergens een goed online overzicht? Ik merk dat veel interessante bronnen, zoals URLquery al verdwenen zijn, omdat ze steeds meer aangevallen werden. Ook fileviewers werden zo gedwongen te verdwijnen en Clean MX zag zich gedwongen om alleen nog accounthouders van hun diensten gebruik te laten maken. De rest deed linkrot, gebrek aan fondsen om particuliere initatieven te continueren, zoals jeek online javascript scanning.

Op het moment loop ik Tor Nodes na op percentage van algemeen misbruik, maar ik zou graag cijfers zijn op achterliggend AS.
Iemand?

luntrus
Reacties (5)
06-10-2020, 14:53 door Anoniem
Na enig zoeken kwam ik hier uit: https://www.abuseat.org/public/asn.html
Dan moeten er ook meer bronnen zijn?

Nogmaals, iemand?

luntrus
07-10-2020, 23:03 door Anoniem
Het blijft ongelooflijk stil, terwijl ik vroeger regelrechte bronnen had, die aangaven welk percentage en hoeveel websites onbetrouwbaar waren op een bepaald AS qua "abuse" dan schrikt men tegenwoordig wellicht van de toename van dit alles.
Alle echte info raakt versluierd, denk ik weleens of wordt wanneer online aangevallen. Voor wie en ten dienste van wat?

En die narigheid vinden we heus niet alleen maar op tor-nodes en of mal-criminal bulletproof racks bij louche hostertjes van Russian Business Networks met een dot su account. Neen Interwebz-breed lijkt de zaak er van vergeven te zijn.

Eens een gesprek gehad met de zogenaamde CA Untouchables van de Uni van Wenen n.a.v. van de toen beginnende
ransomware tsunami. Onderzoekers, die zich met AV-vendor-vergelijkend onderzoek bezighouden en ieder bonnetje van uitgaven en onkosten direct moeten overleggen, zodat ze geen gevaar lopen om te worden geblackmailed door cybercriminele organisaties.. (I'll make you an offer you cannot refuse, you do something for me, I'll will do something for you, ah", in dat soort geest dan). Eerlijk gezegd had ik ook geen reacties verwacht te krijgen op mijn topic start. Wie is nu hierin geinteresseerd, vraag ik me tenslotte af. De meeste mensen hebben betere dingen te doen, toch?

luntrus (vrijwillig onderzoeker).
08-10-2020, 19:01 door Anoniem
Waarom kan ik dat niet meer vinden, nu slechts per IP

Hoe wil je de kwaadaardigheid meten, in gevallen waar geen domein gebruikt wordt ?
09-10-2020, 11:29 door Anoniem
@ anoniem van 19:01 gisteren,

Het misbruik waar geen domein wordt gebruikt is ook te vinden, zie malcode-(bot)-rapportage overzichten. Zie : https://urlhaus.abuse.ch/browse/ e.d.

Wat ik bedoel is zoiets als dat ik hier aantref, dit n.a.v. het Delftse onderzoek en waarmee de Minister nu ook gaat doen aan "naming en shaming", zoals de hoster NForce bijvoorbeeld. (Het betreft hier slechts een deelonderzoek en het echte Interwebz en Darkweb misbruik wordt er niet minder om (alles buiten de getrokken p-en-t-bestrijdingskaart door het Ministerie dan wel te verstaan, en er is duidelijk meer aan cybercriminaliteit dat aandacht vraagt. Ook Europol geeft hier vaak niet thuis.

Zie hier: https://www.security.nl/posting/673577/Minister+start+met+naming+en+shaming+van+hostingbedrijven
zie bijgevoegd staatje. Nu kom je vaak niet verder als High Risk, Medium Risk en Low Risk provider.

Het zou mooi zijn om te weten bij welke hosters abuse slechts zeer kortdurend staat en waar langdurig persistent malware te vinden is (meer dan 1000 uur actief).

Waar en op welke IP-ranges wordt internationaal cybercrime gedoogd en waar wordt niet gehandhaafd of "gesinkholed"?

Ik weet uit ervaringen en de online opleiding, die ik ontving van de bekendste Europese sinkholer, dat dit ook maar een beperkte oplossing is en er ook veel dat je zou willen verkrijgen aan verlopen certificaten, dus aankopen, onderzoeken en vervolgens neerhalen buiten je bereik ligt, ook voor politiediensten, net als voor een belastingdienst (een anonimisering service op een Caraibisch eiland voor gedoogd ontduiken en ook scammers en cybercriminelen, die zich daar achter verschuilen). Nu kom je vaak niet verder als IP en domein scanning.
Hoe zou je in Mainland China willen gaan sinkholen of neerhalen op gerechtelijk bevel? Of in (vul maar in).

Terwijl ook veel resources het veld moesten ruimen, omdat cybercriminelen beslist tegen hun openbaarmaking gekant zijn (urlquery dot net (nu verdwenen en gearchiveerd, maar vaak meer offline als online vroeger, MX Clean in het verleden (nu een abbonamentsservice) enz. WOT, verkocht alle data aan de hoogste bieder via een tijdelijk eigenaar/durfkapitalist.

Waar is het lijstje te vinden waar ik niet alleen het vermeend gebruik door "p" en "t" zie op Leaseweb, maar alle te lang gedoogde cybercriminaliteit op hun racks? Laat de minister daar eens mee aan de slag gaan en alle lieden, die onbedoeld vanwege voortgezette onveiligheid en onbenulligheid (niet patchen en updaten) dit hele malcode-circus blijven continueren en vooral de faciliterende krachten erachter top-down.

Denk alleen maar aan de verschrikkelijke schade die ransomware aanricht sinds 2015 toen dit crimineel misbruik pas goed losbarstte.

luntrus
09-10-2020, 16:27 door Anoniem
Goede vraag. Weet het zelf ook niet terwijl dit een breder draagvlak zou moeten hebben

Ik ken alleen de losse artikelen over foute providers inzake BGp
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search