Pomoc při zneužívání - AbuseHelper

tento článek má nejasný styl citace. Použité odkazy mohou být jasnější odlišným nebo konzistentním stylem citace a poznámka pod čarou. (Prosince 2015) (Zjistěte, jak a kdy odstranit tuto zprávu šablony)

Pomoc při zneužívání je open-source projekt iniciovaný CERT.FI (Finsko) a CERT.EE (Estonsko) s ClarifiedNetworks za účelem automatického zpracování oznámení o incidentech.

Tento nástroj je vyvíjen pro CERT (a ISP ) pomáhat jim při každodenní práci se sledováním a zpracováním široké škály velkoobjemových informačních zdrojů. Rámec lze také použít k automatickému zpracování (standardizovaných) informací z celé řady zdrojů.

Kontext

CERT a ISP musí zpracovávat velmi velké množství oznámení (E-mailový spam, Botnet, ...). Tato oznámení jsou často normalizována podle zdroje (každý zdroj obvykle používá k vytváření přehledů různé formáty). K dispozici je také spousta informací o zneužívání internetu, které poskytují různí poskytovatelé zdrojů (Zone-H Zóna-H[1], DShield Dshield[2], Zeus Tracker Zeus (trojský kůň) [3]...). K dispozici je obrovské množství informací, ale nejsou dobře využity, protože množství informací je příliš velké na ruční zpracování. AbuseHelper sleduje řadu zdrojů a vytváří užitečné zprávy a řídicí panel pro lidi, kteří potřebují zacházet se všemi těmito oznámeními. AbuseHelper také automatizuje obohacení informací, například vyhledávání vlastníků hlášených IP adres z veřejných databází (například Kdo je ).

Dějiny

Technický vývoj, který vedl ke společnému úsilí při řešení automatizovaného shromažďování informací o zneužití

• 2005 CERT-FI Autoreporter gen1, implementováno s Perlem
• 2006-2007 CERT-FI Autoreporter generace 2 a 3 (přírůstkové aktualizace gen1). Plány přepsat
• 2008-2009 CERT-FI Autoreporter gen4, implementace proof of concept pomocí sh. Příspěvek popisující prototyp zvítězil v roce 2009 ve společné soutěži FIRST.org & CERT / CC o nejlepší postupy a pokroky v zabezpečení zabezpečení počítačových systémů a sítí.
• 2009 CERT-FI gen5, implementováno s Pythonem. Úplné přepsání
• 2009-10 Zahájena spolupráce vyjasněných sítí a CERT-EE Abusehelper
• 2009-11 se připojuje CERT-FI.
• 2010-01 AbuseHelper první veřejné vydání
• 2010-01 První školení @ TF-CSIRT událost v Německu
• 2010-03 CERT.BE (Belgie) / BELNET CERT se připojil.
• 2011-07 CERT.IS (Island) se připojil

Architektura

AbuseHelper je napsán v Pythonu a je vyvíjen na základě protokolu XMPP (není povinný) a agentů. Základním principem je ovládání agenta přes centrální chatovací místnost, kde poslouchají všichni roboti. Agenti si vyměňují informace v dílnách. AbuseHelper je poté škálovatelný a každý agent sleduje KISS (Udržujte to jednoduché, hloupé) přístup. Každý uživatel je schopen vytvořit dokonalý pracovní tok pro své podnikání. Uživatel si prostě musí vzít agenty, které potřebuje, a spojit je dohromady.

Zdroje

Cílem AbuseHelper je být schopen zpracovat velký panel zdrojů a pokusit se získat užitečné informace pro sledování událostí. V současné době je AbuseHelper schopen analyzovat následující typy zdrojů:

• e-mail obsahující přílohu ARF (Abuse Report Format) (jako CleanMX nebo abusix nebo cyscon C-SIRT);
• e-mail s přílohou CSV (může být zazipován) nebo URL do souboru CSV (jako ShadowServer);
• Události IRC (živé vysílání);
• Události XMPP (živý přenos);
• Události DShield.

Komunita pracuje na tom, aby zvládla více typů vstupních formátů. Každý typ vstupu zpracovává vyhrazený robot.

Interní zpracování informací

AbuseHelper je víc než jen dýmka. V pracovním postupu by mohlo být rozhodnuto přidat další informace pocházející z jiných zdrojů, jako jsou:

• Kdo získá kontakt na zneužití (obvykle lidé, které musíte kontaktovat, když se stalo něco souvisejícího se zabezpečením);
• CRM (Customer Relation Management) pro získání stejného druhu informací než pro Whois.

Výstup

Protože AbuseHelper by měl pomoci zvládat incidenty, musí být také zpracovány velké panely výstupu. Ve výchozím nastavení může AbuseHelper vytvářet následující druhy sestav:

• Posílejte e-mailové zprávy s přehledy událostí a přílohami CSV se všemi pozorovanými událostmi po určitou dobu po splnění určitých podmínek;
• Zpráva Wiki - AbuseHelper napsal incidenty na wiki;
• Zpráva SQL - AbuseHelper zapisuje všechny události do databáze SQL.

Generické látky

Ve všech krocích existují agenti standardů:

• Roomgraph k přenosu událostí pro jednu chatovací místnost do druhé na základě některých pravidel;
• Historik, který zaznamená všechny události pozorované v každé chatovací místnosti.

Společenství

AbuseHelper je vyvinut komunitou open-source složenou z:

• Vyjasněné sítě [4]
• CERT-FI (Finsko) [5]
• CERT.EE (Estonsko) [6]
• CERT.BE (Belgie) / BELNET CERT [7] / [8]
• CSC / FUNET (Finsko)
• University of Oulu (OUSPG)

Reference

Do tato úprava, tento článek používá obsah z "Workshopy BruCON 2010", který je licencován způsobem, který umožňuje opětovné použití v rámci Creative Commons Attribution-ShareAlike 3.0 Unported License, ale ne pod GFDL. Je třeba dodržovat všechny příslušné podmínky.

• https://github.com/abusesa/abusehelper
• https://web.archive.org/web/20100922054126/http://2010.hack.lu/index.php/Workshops#AbuseHelper_Workshop
• http://2010.brucon.org/index.php/Workshops
• https://www.clarifiednetworks.com/collab/abusehelper^{[trvalý mrtvý odkaz ]} CollabWiki of AbuseHelper (přístup založený na pozvánce)
• Úložiště zdrojového kódu bitbucket: [9]
• CERT.BE [10]