DE-CIX door Spamhaus op de bon geslingerd

Eerder deze week werd ISP Today gewezen op een toch wel opvallende melding op de website van Spamhaus, de alom bekende – echter niet altijd gewaardeerde – organisatie die lijsten met misbruikers van het IP bijhoudt.

Spamhaus blijkt weer eens iets op het spoor te zijn, ze zijn gestruikeld over drie bedrijven die zich schuldig hebben gemaakt aan BGP hijacking. Dat is zoals bekend een verschijnsel dat vaker voorkomt en indien met opzet inmiddels behoort tot het vaste repertoire van partijen die spamoperaties, cybercrime en “state supported” activiteiten faciliteren of zelfs inititieren. Met andere woorden, met uitzondering van de gevallen waarbij menselijke fouten de oorzaak zijn van een gevalletje BGP hijacking, is dit het werk van professionele criminelen.

Dat zou volgens Spamhaus onder andere worden gedaan door AS135562 DEDI MAX ASIA LTD, AS197426 Joao Carlos de Almeida Silveira trading as Bitcanal en AS395358 Starlight Solutions LLC . Het zijn partijen die iedereen die zijn logs langere tijd bewaard en regelmatig doorloopt wel bekend kunnen voorkomen, in ieder geval twee gevallen is er een geschiedenis van het “gelinkt worden aan” BGP hijacking. De drie partijen lijken daarvoor nu een nieuw platform ontdekt te hebben – DE-CIX, de grote Duitse internet exchange zou deze boeven het leven extreem makkelijk maken door dat niet op abuse klachten wordt ingegaan. Dat leidt tot de melding “DE-CIX does not seem to have any anti-abuse policy against announcing hijacked IP ranges through their IX (or if they have a policy, it is not enforced). If you don’t like having spam sent to you through random hijacked IP ranges, it’s probably a good idea not to peer with anyone at DE-CIX and find a better exchange for your business in the future“ en het op de SBL-Advisory zetten van de primaire IP reeks van DE-CIX zelf.

Een event dat ongeveer even uniek is als het oproepen jaren geleden nic.at te blacklisten omdat ook die te weinig tegen spamcriminelen zou doen. Het is tevens een stap die wellicht aangeeft dat ook op IX niveau meer tegen spammers en cybercriminelen gedaan kan worden (te beginnen met een werkende anti-abuse afdeling.

UPDATE

Per mail ontvingen we op 26 april 2017 deze reactie van DE-CIX woordvoerder Carsten T:

“DE-CIX takes seriously the comments made by Spamhouse on prefix
hijacking, and, in conjunction with this, we are investigating whether
to take action against the customers named by Spamhouse under our
contractual agreements. As an Internet Exchange operator, DE-CIX
cannot proactively analyze what data our customers exchange in
bi-lateral peering above Layer 2 – excluding data that is necessary
for the operation of our platform. At this juncture, we consider the
blacklisting of our company mail-server by Spamhouse as
counter-productive, as this method does not solve the actual problem
of prefix hijacking. We are in direct contact with Spamhouse regarding
this, in order to avoid such incidents in the future, and are counting
on an open and direct dialog with our Spamhouse colleagues.”

About the author

Avatar

ISP Today is het Nederlandstalige platform voor de Internet Service Providers in Nederland. We presenteren nieuws van redactionele kwaliteit met relevantie voor de Nederlandse ISP community. Internet Service Providers en met name de mensen daarachter staan centraal op ISP Today.