De schimmige zijde van de Nederlandse internetsector op Hack In The Box

Nederland heeft een groot aantal internet bedrijven en goede infrastructuur. De sector is daar trots op en schept daar flink over op. Waar je de sector niet over hoort is de mindere kant van de medaille. Nederland staat bekend als een hotspot for toxic content en dergelijke. Daar is op Hack In The Box 2018 dieper op ingegaan. De security community kreeg een rapport gepresenteerd dat er geen doekjes om wond.

De rankings waarin Nederland in de top10 en erger staat van landen met foute content en C&C servers et cetera kennen we allemaal. Nederland lijkt er ook weinig tegen te kunnen doen. Onderzoeken van de TU Delft (het team van Michel van Eeten), subtiele acties van de politie en wat gemompel van de vermeende sectorvertegenwoordigers leiden niet tot een compleet schoon veld. Voor de buitenwacht, lees alles en iedereen buiten Nederland, is dat maar een rare situatie en een die ze ook amper kunnen begrijpen.

Specifiek Nederland

Sarah Brown en Dhia Mahjoub, twee Amerikaanse onderzoekers zijn dieper in de materie gedoken. Ze hebben voor een breder publiek dan alleen de security community dit deel van de markt in kaart gebracht. Brown is woonachtig en werkzaam in Nederland, Mahjoub is werkzaam bij OpenDNS/Cisco in de VS. Dat leidde tot een onderzoek waarbij bevindingen die duizenden kilometers ver weg werden gedaan ook op locatie konden worden geverifieerd. Die local presence is iets dat bij dit soort onderzoek weinig voorkomt. De presentatie noemt man en paard en gaat dieper in op de specifiek Nederlandse situatie. De talk trok een groep van ruim 100 security specialisten die waarschijnlijk voor het eerst zo diepe kennis kregen van de manier waarop in Nederland de sector is opgebouwd.

Twee jaar onderzoek

Na afloop sprak ISP Today nog met Brown en Mahjoub. Uiteraard was de openingsvraag hoe ze op dit onderwerp en deze onderzoeksmethode waren uitgekomen. Het bleek dat er hierover op BlackHat 2016 voor het eerst contact hadden en dat ze toen besloten dit op te pakken, naast de overige werkzaamheden. We hebben hier te doen met twee onderzoekers die zonder externe opdracht en funding de uitdaging zijn aangegaan een deel van de sector in kaart te brengen. Dat heeft bijna twee jaar geduurd. Een van de belangrijke bevindingen was dat Nederland hoog scoort met toxic content, maar als uitvalsbasis voor bulletproof hosting weinig voorkomt. De verklaring die Mahjoub daarvoor heeft is dat bulletproof in een beperkt aantal landen goed kan. Dat hoeft dus niet vanuit Nederland en dat zou ook gelden voor spamnetwerken, die zijn eveneens in een klein aantal landen gehuisvest.

Lage instapdrempels

Waarom toxic content zo veel voorkomt in Nederland heeft volgens de twee te maken met de extreem lage instapdrempels die hier gelden. Voor minder dan $2.000 kan een hoster up & running zijn. Hoewel dat met een reguliere Nederlandse KvK inschrijving kan, zal dat niet de methode zijn waarvoor een kwaadwillende kiest. Brown legde uit hoe makkelijk en snel het is om op een van de bekend/beruchte offshore locaties een bedrijf te starten, met dat als basis een hostingdienst aan te bieden gevestigd in een of meerdere Nederlandse datacenters. Grote delen van al die van de afzonderlijke stappen zijn geautomatiseerd wat de snelheid ten goede komt. Heel snel up & running zijn heeft volgens Brown en Mahjoub nog een “voordeel”. Hosters die het vuur aan de schenen wordt gelegd kunnen snel verdwijnen en onder een andere naam elders weer opduiken. Daarbij kan de dienstverlening onverminderd doorgaan. Mahjoub sprak over “automated redundancy”.

Professioneel

Dat dit type hoster veel gelijke webinhoud heeft, dezelfde faciliteiten voor ondersteuning en anoniem betalen is volgens Brown geen toeval, het zegt veel over de professionaliteit. Men wil de klanten goed kunnen bedienen, weet wat de veelvoorkomende vragen zijn en welke talen minimaal ondersteund moeten worden. Dat foute hosters zich kunnen specialiseren in bepaalde toxic content – dumpshops zijn andere business dan illegale software of nep pillen- zal niet verbazen, het is ook een indicatie van de professionaliteit.

De bevindingen werden tijdens de presentatie door de toehoorders zwijgzaam en deels verbaasd aangehoord. Wat iedereen ook begreep was dat er niet een knop is die kon worden omgezet om de boel schoon te krijgen en houden. Brown en Mahjoub spraken daar tijdens het interview ook uitgebreid over. Aan de ene kant is het zo dat foute partijen het leven beteren en daardoor van de radar verdwijnen, zonder dat de redenen daarvan bekend zijn. Sommige komen dan later toch weer in zicht, maar dat is onvermijdelijk. Aan de andere kant zijn er op dit moment weinig wettelijke middelen die structureel ingrijpen mogelijk maken. De overlast aanpakken in het land van oorsprong is bij de gekozen structuur van deze foute partijen al erg lastig. Een datacenter in Nederland, een formele vestiging van de hoster op een tropisch eiland en een hostingklant die ergens in een voormalige sovjet republiek zit – dat is de praktijk waardoor dit soort ellende moeilijk aan te pakken is.

Suggesties om tot een schonere sector in Nederland te komen deden ze wel, maar of die realiseerbaar zijn is maar zeer de vraag. Waar ze wel in slaagden was een specifieke doelgroep (de security community) duidelijk maken dat in Nederland de hosting waardeketen door de mix van technische infrastructuur en handelsmentaliteit anders in elkaar kan zitten dan met op het eerste gezicht denkt.

Over Redactie ISP Today

ISP Today is het Nederlandstalige platform voor de Internet Service Providers in Nederland. We presenteren nieuws van redactionele kwaliteit met relevantie voor de Nederlandse ISP community. Internet Service Providers en met name de mensen daarachter staan centraal op ISP Today.