SIDN ontwikkelt tool die risico op misbruik van .nl-domeinregistraties inschat

De Stichting Domeinregistratie Nederland heeft een tool ontwikkeld die het risico op misbruik inschat voor Nederlandse domeinnamen. RegCheck geeft nieuwe .nl-domeinen een risicoscore die inschat hoe groot de kans is dat het domein wordt gebruikt voor bijvoorbeeld malware.

De beheerder van het .nl-domein schrijft dat het de Registry Check, of RegCheck, al sinds augustus vorig jaar in gebruik heeft. De tool is bedoeld om domeinen te herkennen die worden gebruikt voor spam of cybercrime, bijvoorbeeld om een phishingsite op te hosten of te verwijzen naar een command-and-control-server. SIDN trainde een model op basis van 2100 .nl-domeinen die bewezen werden misbruikt en op 103.000 legitieme registraties gedurende anderhalf jaar. Die eerste categorie zijn domeinen die binnen dertig dagen nadat ze geregistreerd werden op de abuselijst van Netcraft kwamen te staan. Netcraft is een dienst die zoekt naar misbruikdomeinen en probeert die vervolgens via de abuselijst offline te laten halen.

SIDN erkent dat er meerdere tools bestaan zoals RegCheck en Premadoma. Die voldeden volgens SIDN echter niet aan alle eisen die de instantie stelt aan een dergelijke tool. Die moet bijvoorbeeld niet alleen nauwkeurige resultaten weergeven en eenvoudig te gebruiken zijn, maar de algoritmes erachter moeten duidelijk zijn en de tool moet aan te passen zijn op verschillende wensen. Bovendien wil SIDN de tool beschikbaar stellen aan andere registry's die mogelijk met een ander beleid of andere lijsten dan Netcraft werken.

Met de tool kunnen registrypartijen zelf modellen opstellen om een risicoscore aan een website te geven. SIDN biedt zelf twee lineaire modellen aan in de tool. Een daarvan is een kennisgedreven model waarbij altijd een persoon mee moet kijken met de input. Het andere model is datagedreven, dat gebruikmaakt van een logistische regressie-machinelearningalgoritme. De modellen kijken beide naar elf verschillende risicofactoren. SIDN schrijft niet welke dat zijn, maar noemt als voorbeeld dat er bepaalde verdachte tekencombinaties in een url staan of als de accountgegevens van de registreerder niet consistent zijn.

De tool heeft ook de mogelijkheid om nieuwe factoren toe te voegen of andere algoritmes te gebruiken. Ook kunnen registry's zelf abuselijsten toevoegen via een csv-bestand.

RegCheck SIDN

Door Tijs Hofmans

Nieuwscoördinator

27-01-2023 • 18:15

23

Submitter: HKLM_

Reacties (23)

23
23
11
0
0
11
Wijzig sortering
Net zoals bij de KvK, totaal geen check of de aanvrager niet eerder veroordeeld/bekend staat voor fraude, kan tig plof/nep BVs oprichten, alleen inschrijven, geen controle. Zie Radar, Tros Opgelicht, etc.
Zouden ze wel vragen stellen als je je inschrijft met handelsnaam rnicrosoft?
Anoniem: 58485 @Wasabi!28 januari 2023 03:02
Nou, ik ken oplichters die of bestaande ondernemingen overnemen voor een habbekrats, of iemand strikken om als strohalm te misbruiken met zijn of haar gegevens. En dan?
Dan controleert de KvK nog steeds niet achteraf of vooraf met verdachte handelingen. Zelfs de banken kunnen alles van je nagaan en krijgen waarschuwingen bij verdachte transacties.
Hoewel ik de waarde wel zie, vraag ik me wel af of dit de taak is van SIDN?
Je bent niet de enige.

Ik krijg de indruk dat, net als bij banken tegenwoordig, SIDN in dit geval voor aanklager, rechter en beul speelt. Met niet veel bijster mogelijkheden om de beslissing van SIDN aan te vechten.

Hierdoor wordt SIDN, in plaats van enkel faciliteerder van de infrastructuur zoals vroeger, een instantie met meerdere petten op. Onwenselijk.

Het idee is goed, maar spreid de taken uit of deel de taken op in meerdere onafhankelijke instanties.
Toch is enige controle op voorhand gewenst. Je kan bijvoorbeeld als legitiem bedrijf niet ieder mogelijk domein registreren dat eventueel zou kunnen worden gebruikt om je voor te doen als dat bedrijf. Ik neem een klein beetje aan dat is waar ze op gaan controleren. Misschien is het systeem slimmer en kan het herkennen waar een domein wordt geregistreerd, via welk bedrijf, etc. en kan daar nog iets mee gedaan worden. En als dit puur een eerste check is, waarna personen / bedrijven die daadwerkelijk het domein willen gebruiken voor legitieme doeleinden, met iets meer moeite het domein alsnog kunnen claimen, dan is daar wat mij betreft ook niets mis mee.
Een mogelijke vorm van phishing is domain (name) spoofing. Een bekend voorbeeld hiervan is rnicrosoft.nl (geschreven met rn) of het werken met Unicode characters die lijken op reguliere characters, maar die dit niet zijn, bijvoorbeeld door in plaats van een reguliere ‘a’ de cyrillische ‘a’ te gebruiken (die in de meeste fonts exact hetzelfde gerenderd wordt als een gewone ‘a’).
Soms vangt de browser onregelmatigheden af, maar veel beter is het om malafide domeinnamen zo vroeg mogelijk te herkennen, bij voorkeur al bij de aanvraag van zo’n domeinnaam bij een domain registrar.
Laat ze maar eens de bedrijven aanpakken die domeinnamen opkopen en voor een hoge prijs verkopen.
Het zou al helpen als SIDN de eigen voorwaarden vooraf gaat handhaven over de juistheid van de aangeleverde gegevens van de houder. Veel van de domeinen die voor criminele bedoelingen geregisteerd worden zijn onjuist. Maar dat het niet juist is lijken ze af te schuiven op de registrar, die vooraf geen bewijs hoeft te leveren dat de gegevens wel juist zijn.
Goed plan. Ik zie via geolocatie (via AbuseIPDb) veel portscans op mijn internet verbinding van NL IP adressen met Oostblok ISP’s. Nederland krijgt daardoor een slechte naam lijkt me.
Is al sinds begin dagen van internet dat Nederlandse servers, resellers, host boeren etc “misbruikt” worden; puur vanwege goede infrastructuur en knooppunt. Door hoge aanbod is er ook veel concurrentie en kennis.

Prima plekje om digitale zaken te doen (hoewel we die positie langzaam lijken te verliezen door denhaag geneuzel, maar dat is heel ander verhaal) :+
Je mag gerust die quotes om misbruikt weghalen. Ik zie rond de 6000 portscans per dag op mijn gigabit lijntje. Allemaal pogingen tot misbruik. Zonder quotes.
Hoe detecteren jullie port scans op jullie lijn?
Je moet dan een modem/router met toegang tot de logs hebben. Meestal zal dat device Linux draaien. De firewall daarop moet dan loggen, dat is vaak iptables. Bij mij voldoet dan een “logread -f >> log.txt” om het log weg te schrijven. Ik haal dat bestand op naar een Windows PC en maak er dan iets moois van met scripting in Excel. Geolocatie databases (welk IP is waar en bij welke ISP in gebruik) zijn gratis benaderbaar met bijvoorbeeld curl. Daaruit haal ik die data van de top-25 boefjes.

Ik kreeg bij Caiway een totaal gesloten modem/router maar er zat een vulnerability in waardoor SSH toegang mogelijk was. Dat maakte bovenstaande mogelijk.
Bedankt voor je antwoord, nooit echt aan gedacht. Ik gebruik wel fail2ban op verschillende log bestanden maar ik zie nu dat ik de logs van mijn router wel kan inzien en door sturen naar een syslog server dat zou misschien wel wat zijn om er beter inzicht in te krijgen. Kan je toevallig ook vertellen hoe zo'n regel in je router log er ongeveer uit zo moeten zien dat je kan zien dat iemand een poort scan doet?

**Edit**
Zo te zien heb ik denk ik het antwoord zelf gevonden zo te zien als ik een "ACK" voorbij zie komen in mijn router log bestanden dan zou dat een poort scan kunnen beteken.
https://nmap.org/book/scan-methods-ack-scan.html
https://nmap.org/book/man-port-scanning-techniques.html

[Reactie gewijzigd door Hydranet op 23 juli 2024 13:35]

iptables dropped packets als ze niet geforward moeten worden. Een rule om dropped packets te loggen naar syslog zorgt er dan voor dat je al die packets die de firewall dus dropped kunt bekijken. Een dergelijke logregel ziet er dan zo uit:

Jan 22 23:58:36 geneos kern.warn kernel: [2185978.168000] DROP(src wan100)IN=vlan100 OUT= MAC=34:e3:80:ef:bd:b0:d4:66:24:4f:90:00:08:00:45:00:00:28 SRC=80.82.70.228 DST=[mijn ip] LEN=40 TOS=0x00 PREC=0x00 TTL=251 ID=27822 PROTO=TCP SPT=60000 DPT=110 WINDOW=1024 RES=0x00 SYN URGP=0

IP van het boefje is SRC, poort waarop geklopt wordt is DPT.

Met wat scriptjes haal je die data er uit, maak je overzichten e.d.
kijk eens naar elk-stack; elasticsearch, logstach, kibana
Mooi spul. Zie dat soort visual monitoring vaak bij klanten. Voor mijn thuissituatie een beetje overkill.
Als ik dit artikel niet verkeerd gelezen heb heeft dit helemaal niks met IP-adressen te maken en gaat het dus ook geen enkele impact/verandering hebben op wat jij stelt. Het gaat puur om domeinnamen en contactgegevens.

Om verder op je statement in te gaan: als jij ziet dat bepaalde IP's bij oostblok-ISP's horen in de whois-info, krijgt Nederland geen slechte naam door misbruik vanaf die IP's. Geolocatie is berucht om outdated of simpelweg incorrect te zijn dus dat moet je daar ook niet voor gaan gebruiken. Dat is net zo logisch als bij abuse vanaf een IP uit Londen te zeggen "daar heb je weer zo'n kut-Romein hoor".
Ik gebruik geen Whois. Ik gebruik abuse databases. En de gegevens daarin komen uit tools zoals ook in het artikel genoemd.

Domeinnamen zijn gekoppeld aan een IP, dus m.i. checken of domeinen voor misbruik dienen betekent dat het IP adres ook kan dienen om te duiden dat er wat mis is.

Ik hoef helemaal niet te weten dat “ikbeneenhacker.nl” een domein is op IP 123.4.5.6, ik weet genoeg als 123.4.5.6 in databases staat die gevuld zijn door netcheck e.a.

Dat de SIDN gaat verifiëren of “ikbeneenhacker.nl” misbruik pleegt is winst. Dat is wat ik schreef in mijn eerste post. Of dat op basis van domeinnaam of IP adres is, is voor mij niet relevant.
Alleen heb jij het over geolocatie (wat onnauwkeurig/fout/outdated is) en zeggen jouw resultaten op de een of andere manier dat een bepaald IP zich zowel in Nederland als in het Oostblok bevindt. Dan moet toch al heel gauw duidelijk zijn dat minimaal een van beide fout is en dat de manier die jij gebruikt om te bepalen welke welke is niet klopt. Dus dat je dan daaruit concludeert dat "Nederland een slechte naam" krijgt vind ik heel raar.

En dit artikel gaat helemaal niet over IP's dus, dus het is behoorlijk offtopic. Dus dit plan gaat ook geen enkele impact hebben op de dingen die jij specifiek noemt.
Ik check zowel registratie land als de ISP die het IP adres gebruikt. En daarom kan ik met stelligheid zeggen wat ik zeg… veel IP adressen die in NL geregistreerd zijn maar gebruikt worden door een ISP uit het Oostblok.

Waarom wil je zo graag van me horen dat ik het fout doe?

Ga eens in op mijn opmerking dat een domein gekoppeld is aan een IP adres en dus als een domein misbruikt wordt, het IP adres dus automatisch ook verdacht is? En het dus winst is als SIDN misbruik van domeinen beter controleert? Ik begrijp niet waar je heen wil.

Einde discussie.
Ga eens in
Einde discussie.
:?

Je hebt het in dit artikel alleen over IP's gehad, IP's die portscans uitvoeren. Daarbij krijg jij niet te zien welke domeinnamen daarbij horen, want dat kan helemaal niet. Of ja, dat kan in theorie wel, als je een 100% up-to-date en uitputtende database hebt van alle domeinnamen, subdomeinen en naar welke IP's ze wijzen, maar zo'n database bestaat niet. Zelfs partijen als Google hebben hier niet genoeg informatie voor. Ook SIDN zelf kan dit niet trouwens. Dit artikel gaat puur over domeinnamen en dat doet dus ook helemaal niks maar dan ook niks om portscans tegen te gaan.

Maar leg eens uit hoe het kan dat een IP geregistreerd is in een ander land dan de ISP die erbij hoort? Dan klopt de registratie toch niet, of in ieder geval de database (geo?) waarin je dat opzoekt? Ik wil het snappen hoor, maar wat je zegt klinkt als een auto met een Nederlands kenteken die niet in Nederland maar in Duitsland in het kentekenregister geregistreerd staat. Kan niet. Ik wil niet per se graag horen dat je het fout doet, ik wil graag horen wat je doet om te begrijpen hoe je conflicterende informatie kan krijgen en daar vervolgens geen vraagtekens bij zet.

Ja, een domein kan gekoppeld zijn aan een IP-adres (hoeft niet eens!) in DNS, maar dat zegt nog weinig, want het kan ook aan meerdere IP-adressen gekoppeld zijn, en verschillende domeinen kunnen ook prima naar hetzelfde IP wijzen. Mijn domein is "gekoppeld" aan verschillende IP-adressen in verschillende landen. Maar als jij door een van "mijn" IP's wordt aangevallen kan jij daarbij niet zomaar opzoeken dat een van mijn subdomeinen daarheen wijst. Ook kan jij niet zomaar "uitlezen" aan welke IP's al mijn subdomeinen gekoppeld zijn zonder dat je al die subdomeinen kent, dus daar kan je maar heel beperkt wat mee. Jouw automatische verdachtmaking opent bovendien juist weer een weg naar abuse, ik kan namelijk heel makkelijk een verdacht domein registreren als "ikbeneenhacker.nl" en die laten doorverwijzen naar jouw IP('s). Vind je het dan eerlijk als jouw IP's op een of andere blocklist zouden komen door iets waar jij zelf helemaal nul zeggenschap in hebt gehad?

Ja het is waarschijnlijk winst als SIDN succesvol misbruik van domeinen gaat opsporen, kanttekening dat er natuurlijk risico op false positives bestaat. Maar tegen portscans doet het dus niets. Net zo min als dat het iets doet aan foutieve informatie in de databases die jij raadpleegt.

[Reactie gewijzigd door DataGhost op 23 juli 2024 13:35]

Op dit item kan niet meer gereageerd worden.