Wie gehe ich als ISP mit Missbrauchsmeldungen um?

Ich gründe ein kleines Unternehmen, das Internetdienste für einen Nischenmarkt bereitstellt. Wir bieten uneingeschränkten und unüberwachten Internetzugang an (so weit das Gesetz dies zulässt - und obwohl wir dies lieber nicht möchten, können wir dennoch Pakete erfassen, wenn dies gerechtfertigt ist), und ich bin nicht sicher, wie wir auf Missbrauch reagieren sollen Berichte (eine Google-Suche hat nichts Relevantes gefunden).

Angenommen, ich erhalte eine E-Mail über SSH-Bruteforce von einer IP-Adresse unseres Kunden. Woran erkenne ich, ob es sich um einen echten Troll handelt und nicht (Protokolleinträge und sogar .pcaps können gefälscht werden)? Wie machen es die großen ISPs (für diejenigen, denen Missbrauchsmeldungen wirklich am Herzen liegen, meine ich)?

Wie überprüfe ich bei Beschwerden über Spam-E-Mails, ob sie echt sind, bevor ich auf sie reagiere? Ist das überhaupt ein Problem? Gab es Fälle, in denen Trolle jemanden melden, der angeblich schlechte Dinge getan hat, in der Hoffnung, sie in Schwierigkeiten mit ihrem Versorger zu bringen?

Bin ich dazu verurteilt, jedes einzelne Paket zu protokollieren, das mein Netzwerk verlässt, oder gibt es eine Branchenstandardlösung, die nicht so extrem ist?

Grüße.

Im Allgemeinen agieren Sie als neutraler Spediteur und sollten den Inhalt wahrscheinlich nicht überprüfen. Der allgemeine Prozess für die Bearbeitung von Missbrauchsberichten besteht darin, ein Ticketsystem oder sogar nur eine Mailbox einzurichten, die bei Missbrauch @ IhreDomäne registriert und dann Berichte an den Endbenutzer weiterleitet.

Ich sage im Allgemeinen, weil ich zwar viel Erfahrung in diesem Bereich habe, aber wie es bei uns gemacht wird, wird nicht genau so sein, wie es jemand anderes tut. Sie müssen den Ansatz an die von Ihnen angebotenen Dienstleistungen anpassen. Abgesehen davon kann ich Ihnen einige Ratschläge geben, die nicht zu spezifisch sind und die Grundlage dafür bilden, wie die meisten Orte mit Missbrauch umgehen. Ich bin allerdings kein Anwalt und dies sollte nicht als meine Meinung interpretiert werden, nur für den Fall, dass jemand verrückt genug ist, um herauszufinden, wer mein Arbeitgeber ist.

Hoffentlich ist etwas davon hilfreich.

Grundsätzliche Vorgehensweise:

1. Sie haben eine Missbrauchs-E-Mail-Adresse.
2. Mail kommt in die Missbrauchswarteschlange
3. Sagen Sie dem Missbrauchsmelder, dass Sie es weitergeben werden.
4. Suchen Sie, welcher Kunde diese IP verwendet, leiten Sie den Bericht weiter und fragen Sie, ob er weiß, was los ist.
5. Vorausgesetzt, der Endbenutzer antwortet nicht mit etwas wirklich Dummem, ist eine Anweisung im Sinne von "Bitte lass es nicht noch einmal geschehen" das Beste. Es gibt legitime Projekte, die Missbrauch melden, aber meistens geschieht dies aufgrund von Sicherheitsforschern. Wenn dies nicht Ihre Nische ist, brauchen Sie sich keine Sorgen zu machen.
6. Fahren Sie mit Schritt 1 fort und wiederholen Sie den Vorgang.

Meistens reicht eine Schleife aus. Missbrauchs-Spoofing ist etwas, von dem ich nicht wirklich viel gesehen habe. Ich meine, es passiert, aber es war wirklich offensichtlich, da sie versuchen, die Person in Schwierigkeiten zu bringen, während Berichte über legitimen Missbrauch in der Regel von "Es ist uns egal, warum es so ist" handeln passiert, lass es einfach aufhören.

Dinge, die Sie tun sollten

Sie werden wahrscheinlich ein paar Pirateriewarnungen, eine Reihe von Spam-Berichten und gelegentlich esoterischere Warnungen sehen ... Server-Hosting tendiert zu einer größeren Vielfalt, Breitband ist mehr Piraterie, jeder bekommt Spam-Berichte. Leiten Sie alle weiter. Meistens tritt der Kunde für Unschuld ein und räumt dann entweder seinen PC oder seine Handlung auf. Wenn sie entschlossen sind, daran festzuhalten, werden sie ihre Spuren wahrscheinlich besser verwischen.

In der Regel werden Missbrauchsmeldungen als Reaktion auf Handlungen kompromittierter Maschinen erstellt. Dies ist das Problem, das Kinder gerne im Vorgarten einer anderen Person anrichten, damit diese nicht in ihr Haus eindringt und die Eltern unglücklich werden. Angenommen, der Kunde versendet nicht absichtlich Spam. Versuchen Sie, den Kunden den Vorteil des Zweifels zu bieten, wenn sie zum ersten Mal eine Anzeige gegen sie erhalten.

Es kann eine Weile dauern, bis die Warnungen beendet sind, wenn Sie einen sehr produktiven Spammer haben. Wenn Sie jedoch weiterhin Berichte mit Ereignissen anzeigen, nachdem ein Kunde gewarnt wurde, oder wenn er viele Beschwerden erhält, sollten Sie in Erwägung ziehen, diese für AUP zu kündigen Verstöße. Sie werden wahrscheinlich ziemlich schnell feststellen, ob jemand Berichte fälscht, die ausreichen, um diesen Punkt zu erreichen.

Lassen Sie das Verkehrsaufkommen grafisch darstellen. Die meisten Arten von Missbrauchsberichten (Spam, Urheberrecht, DDoS) zeigen eine Verkehrsgrafik an ... waren durchschnittlich 40 KBit, sprangen aber plötzlich auf 10 MBit und blieben stundenlang dort? Tun Sie nichts, bis sich jemand beschwert oder es Kunden betrifft, aber unregelmäßiger Verkehr wird Ihnen mit Sicherheit Munition geben.

Dinge, die man nicht tun sollte...

Geben Sie keine Kundendaten weiter, es sei denn, Ihnen wird ein Gerichtsbeschluss ausgehändigt, und Sie können nachweisen, dass die Bestellung legitim ist. Einige Missbrauchsmelder werden um Informationen bitten, in der Hoffnung, einen kooperativen Anbieter zu finden. Wenn Sie diese jedoch an andere Personen als ein Gericht weiterleiten, schaffen Sie wahrscheinlich rechtliche Probleme für sich. In der Regel werden Sie von der Polizei nicht per E-Mail nach dem Rechnungskontakt Ihres Kunden gefragt, und selbst wenn dies der Fall sein sollte, sollten Sie ihnen dennoch mitteilen, dass Sie diese Informationen nur persönlich und gegen Vorlage eines entsprechenden Gerichtsbeschlusses bereitstellen können.

Schalten Sie einen Kunden nicht aus, nur weil jemand Ihre Missbrauchswarteschlange kontaktiert und Sie dazu aufgefordert hat. Wenn sie Missbrauch melden, müssen sie Beweise vorlegen, auf die Sie reagieren können ... Ich sagte, dass das Fälschen von Missbrauchsberichten nicht üblich war, ich sagte nicht, dass es nicht passiert ist. Wie viel Sie sehen, hängt ganz davon ab, wie viel von einem Ziel Ihr Kundenstamm ist. Kleine alte Damen werden wahrscheinlich nicht die Aufmerksamkeit von Trollen angreifen, zuckende Luftschlangen dagegen vielleicht.

Lassen Sie sich auch nicht von Missbrauchsmeldern schikanieren. Manche Leute können mit ihrem Bericht wirklich bedrohlich und aggressiv werden, wenn Sie ihren Anweisungen nicht sofort Folge leisten. Sie sind als Conduit dafür verantwortlich, die Mitteilungen weiterzuleiten und rechtzeitig Maßnahmen zu ergreifen, wenn der Kunde nicht kooperativ ist. Sie werden nur dann zur Verantwortung gezogen, wenn Sie wissen, dass der Kunde etwas Schlechtes tut, und lassen Sie ihn fortfahren. Habe eine vernünftige Politik (lies: keine Piraten bevorzugen) und halte dich daran, das wird helfen, wenn irgendetwas schief geht. Wenn Sie nur Bandbreite bereitstellen und nicht hosten, sind Sie wahrscheinlich nicht dafür verantwortlich, den Inhalt zu entfernen, es sei denn, Ihr Kunde tut dies nicht, wenn Sie ihn danach fragen.

Stress dich nicht zu sehr aus. 99,9% der Missbrauchsmeldungen bei einem ISP sind wirklich langweilige Verfahrensmeldungen, die lauten: "Ich habe gesehen, dass diese schlechte Nachricht von Ihrem Netzwerk stammt. Es handelt sich wahrscheinlich um einen kompromittierten Computer. Schauen Sie sich das an."

In den meisten Fällen zeigt der Vergleich der gemeldeten Ereigniszeit mit dem Verkehrsdiagramm die Legitimität des Berichts. Feindliche Prozesse versenden keine E-Mails oder Port-Scans zu zweit.

Eine letzte Sache.

Wenn Sie jemals einen Missbrauchsfall bekommen, bei dem die Polizei involviert ist, stellen Sie sicher, dass Sie explizit gefragt werden, was Sie für sie tun sollen, aber erwarten Sie nicht, dass sie super technische Antworten haben. Manchmal ist die Polizei mit der Technik nicht ganz vertraut (mir wurde gesagt, dass sie uns einmal besuchen wollten, um einen VPS physisch zu beschlagnahmen, das hat Spaß gemacht), aber sie haben eine Vorstellung davon, was sie erreichen wollen. Welche Art von Dingen sie suchen, hängt völlig davon ab, welche Art von Dienstleistungen Sie erbringen.

Wenn Sie als nicht überwachter ISP bereitstellen, können Sie wahrscheinlich nicht bestätigen, dass böswilliger Datenverkehr über Ihr Netzwerk übertragen wird. Andernfalls müssten Sie höchstwahrscheinlich eine Art grundlegende Verkehrsüberwachung einrichten, zumindest ein TCPDump-System.

Möglicherweise möchten Sie auch ein Ticketing-System einrichten und ernsthafte Beschwerden an Ihre Kunden weiterleiten. Beantwortung innerhalb eines bestimmten Zeitraums mit Service-Sperren, weil das Problem nicht beantwortet oder behoben wurde usw.

Sie können nicht immer feststellen, ob ein Bericht wahr oder falsch ist, aber meiner Erfahrung nach werden Sie schnell lernen, die Gültigkeit zu beurteilen. Legen Sie Anforderungen für die Einreichung von Missbrauchsbeschwerden fest, z. B. Datenverkehr oder Zugriffsprotokolle, aus denen Ihre Netzwerkbeteiligung hervorgeht.

In der Regel enthalten Spam-Beschwerden die E-Mail-Header und -Quelle, sodass Sie von Fall zu Fall entscheiden können, wie Sie damit umgehen möchten. SpamCop sollte etwas Gutes haben

Machen Sie sich mit DMCA oder gleichwertigen britischen Urheberrechten vertraut.

Sie müssen wahrscheinlich einige Präzedenzfälle für sich selbst festlegen und den Ton angeben, wie Ihr Dienst verwendet werden kann.

Viel Glück