Tag abuse-henvendelser seriøst!!!

I starten af ugen modtog vi et angreb fra en stor dansk internet udbyder, vi fik alarmer og få minutter efter var angrebet afværget, fuldstændig standard procedure. Vi samlede logfiler og fandt kraftige indicier på at der ikke var tale om et botnet men faktisk en dansker der sad og afprøvede forskellige hackerværktøjer imod en af vores kunder server.

Jeg dokumenterede det aktuelle angreb (bruteforce attack mod WordPress) og sendte tidspunkter og logfiler til internet udbyderen, informerede dem om at ip adresse var blokeret og først ville blive clearet igen når de engang havde fået ryddet op på deres netværk.

100% standard procedure, og normalt fungerer det sådan at man får en mail med en undskyldning og en besked om at kunden er blevet informeret om problemet og at det enten er løst eller ved at blive løst.

Jeg modtager så følgende svar et par dage senere:

Hej Mikkel,

Jeg kan bekræfte, at IP-adressen har tilhørt en af vore privatkunder. Vi går ikke yderligere ind i sager som denne, da restriktioner over for vore kunders internetfærden hører uden for vore beføjelser. Vi behøver ingen information om, hvilke af vore IP-adresser, I blokerer. Dog skal jeg gøre opmærksom på, at vore IP-adresser er dynamisk tildelte, og at jeres blokering derfor kan betyde, at I også vil blokere andre [stor-dansk-isp]-kunder end den, der eventuelt har været skyld i angrebet.

Med ønsket om en god dag.
Support-nisse, stor-dansk isp A/S

 Efter at have læst den besked ved jeg da godt hvem jeg skal købe en internet forbindelse fra hvis jeg vil have lov at lave ballade uden konsekvenser … jeg var chokeret, sådan et svar havde jeg forventet at få fra Brasilien (faktisk er Latin-Amerikanske og Asiatiske ISP’er ofte meget mere imødekommende) … ikke fra en Dansk udbyder.

Så jeg rev mig lidt i skægget og skrev så flg. svar:

Hej Support-Nisse

Tak for dit svar, normal kotume når man modtager en abuse-repport fra en anden isp på internettet er at tage henvendelsen seriøst og sætte en stopper for det rapporterede angreb idet at det er i alles interesse at holde den slags på et absolut minimum, det antager jeg at i selvfølgelig også gør? med mindre det er jeres politik at tilbyde sikker-havn til hackere der ønsker at DDOS’e eller køre Bruteforce angreb fra jeres netværk?

Det er ikke korrekt at i ikke har beføjelser til at gribe ind overfor angreb udført fra / i jeres net, tværtimod er det normalt noget den enkelte internet udbyder håndterer internt og din besked om at i ikke går ind i sager som denne bekymrer mig, og det giver mig et indtryk af at min mail måske er nået frem til den forkerte.

Derfor har jeg tilladt mig at sætte dine direktører på CC af denne mail, da jeg er overbevist om at de forstår vigtigheden af en seriøs sikkerhedspolitik og et omdømme der ikke kan kobles sammen med dårlig sikkerhed og passivitet overfor kriminelle aktiviteter.

Dbh

Mikkel Christensen

Og den mail var så sendt cc til Adm. Direktør og Teknisk direktør i virksomheden (som jeg fandt på hjemmesiden). Jeg er virkelig chokeret over den uansvarlige opførsel fra en ISP’s abuse afdeling og jeg håber at der bliver taget hånd i hanke om problemet.

Hvordan håndtere dú dine abuse-repports?