"Hostingproviders reageren na 3 dagen op abusemelding"
Hostingproviders reageren gemiddeld na 3 dagen, 2 uur en 33 minuten op een abusemelding over malware, zo blijkt uit onderzoek van Abuse.ch onder meer dan 600 hostingproviders wereldwijd. Er zitten echter grote verschillende tussen de providers, waarvan de nummer één binnen 20 minuten reageert, terwijl de laatste bijna 20 dagen nodig heeft.
In maart van dit jaar lanceerde Abuse.ch een nieuw project genaamd URLhaus, dat url's verzamelt en deelt die voor de verspreiding van malware worden gebruikt. Sinds juni verstuurt URLhaus ook geautomatiseerde abusemeldingen over deze malware-url's naar de betreffende provider, zodat die actie kan ondernemen. Om te kijken hoe snel hostingproviders op deze meldingen reageren besloot Abuse.ch een onderzoek uit te voeren.
Voor de bijna 39.000 abusemeldingen die URLhaus naar meer dan 600 hostingproviders verstuurde bedroeg de gemiddelde reactietijd 3 dagen, 2 uur en 33 minuten. De nummer één op de lijst is het Britse Clouvider, dat gemiddeld 19 minuten nodig heeft om op meldingen te reageren. Op de tweede plek staat het Nederlandse Cyberfusion met een gemiddelde van 23 minuten. Een tweede Nederlandse hostingprovider in de Top 10 is Netsec met 37 minuten.
Onderaan wordt de lijst aangevoerd door het Australische Hosted Network, met een gemiddelde reactietijd van 19 dagen, 20 uur en 42 minuten. Het Indonesische Varnion Technology Semesta doet het met een gemiddelde van 17 dagen, 12 uur en 37 minuten niet veel beter. Abuse.ch laat weten dat de werkelijke situatie nog veel erger is. Er zijn namelijk malware-distributiesites die al meer dan drie maanden actief zijn en niet in deze statistieken verschijnen.
Volgens Abuse.ch kunnen deze reactietijden veel beter en kunnen hostingproviders verschillende maatregelen nemen. Zo zouden alle e-mailadressen voor abusemeldingen ongefilterde ontvangst moeten ondersteunen en niet achter een spamfilter moeten zitten. Ook moeten providers binnen 24 uur op dergelijke meldingen reageren en een programmeerinterface bieden waar betrouwbare partijen op een geautomatiseerde wijze meldingen naar toe kunnen versturen.
Daarnaast heb je nog heel veel providers die helemaal nooit reageren. Probeer eens providers in China te benaderen met abuse klachten, volstrekt hopeloos. Waarbij ik het nog niet eens heb over bulletproof hosting providers, die bewust cybercriminelen ondersteunen en dergelijke.
Er is al een aantal jaar een geautomatiseerd Abuse Reporting Format (ARF, RFC-5965), die professionele reporters kunnen benutten. Dat format is verre van perfect, maar het is wel geautomatiseerd verwerkbaar.
Met name phishing en malware sites moeten snel worden opgepakt om te voorkomen dat ze slachtoffers maken. Je kunt het niet dagenlang laten liggen want dan zijn alle slachtoffers al lang gemaakt.
In Brazilie bijvoorbeeld hebben ze het anders aangepakt. Daar is een nationaal CERT die abusemeldingen afhandeld. Het voordeel is dat het een vertrouwde partij is die de betrouwbaarheid van de melding al heeft onderzocht. Maar het is niet zo goed voor privacy.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
