Registro e validação de "abuse-c" e "abuse-mailbox"

Idioma Original Español Data Publicação 05/03/2018 Última Modificação 16/10/2018
Período de últimos comentários Não aplicável Data de ratificação Não aplicável Data de implementação Não aplicável
Estado Em discussão Baixar TXT PDF XML DOCX
Ver outras versões 1.0 2.0 3.0 (comparar)

Autores

Nome: Jordi Palet Martinez
E-mail: jordi.palet@consulintel.es
Organização: The IPv6 Company

Dados da Proposta

Tipo Política: LACNIC
Id: LAC-2018-5
Última versão: 3
Apresentações:

Resumo

A política atual (ASN) não é clara em relação à obrigação de registrar um contato de abuse (abuse-c) nem ao formato específico, e se pode ser aplicada a outros casos de registros no whois.

Como resultado, pode haver receptores de recursos de LACNIC que não tenham esse contato registrado para seus recursos, ou ainda há casos de LIRs/ISPs, usuários finais ou outros, que usam uma caixa de correio inexistente ou que não é processada.

Na prática, isso faz com que esse contato seja ineficaz para denunciar abusos e problemas de segurança e custos para as vítimas, em geral.

Esta proposta visa resolver o problema e garantir a existência de um contato abuse-c correto e o processo para seu uso.

Justificativa

A comunidade da Internet é baseada na colaboração, mas muitas vezes isso não é suficiente, pelo que seria necessário que todos nós pudéssemos contatar com aqueles LIRs ou outros receptores de recursos de LACNIC que têm um problema na rede, mas não o conhecem.

Esta proposta cria uma nova seção no manual de políticas, para permitir resolver este problema mediante uma simples verificação periódica, e estabelece as regras básicas para isso e, assim, evitar custos desnecessários para terceiros em sua função de contatar com os responsáveis de resolver os abusos de uma determinada rede.

A proposta garante que o custo do processamento dos abusos fica por conta do LIR cujo cliente está causando o abuso (e do qual recebe compensação financeira pelo serviço), em vez de recair sobre a vítima, como aconteceria se houvesse que ir ao tribunal, evitando assim o agravamento econômico (advogados, procuradores, etc.) e no tempo, para ambas as partes.

Para isso, o atributo abuse-c, que até agora era apenas referenciado para o objeto "aut-num", torna-se obrigatório nos objetos "inetnum" (tanto para o IPv4 quanto para o IPv6), e qualquer um que venha surgir no futuro. Este atributo é um contato de abuso, que deve conter no mínimo o atributo "abuse-mailbox".

Texto

Texto atual: Não existe

Texto novo:

Nota (não deve ser incluído no manual de políticas): A seção atual “12. Apêndices "passa a ser" A. Apêndices", no final do manual de políticas, e todas as referências a ela são renumeradas em todo o manual de políticas. Dessa forma, as novas seções do manual não requererão renumerações futuras, segundo o manual for "crescendo". O texto desta proposta passa a ser, portanto, a seção 12.

12. Registro e validação de "abuse-c" e "abuse-mailbox"

12.1. Descrição do "abuse-c" e "abuse-mailbox"
Todos os recursos alocados por LACNIC devem incluir obrigatoriamente, na entrada do WHOIS correspondente, o atributo de contato "abuse-c" (contato de abuso) com pelo menos um único e-mail (abuse-mailbox) válido, monitorado e devidamente atendido, que permita o envio de relatórios manuais ou automáticos de comportamentos abusivos, segurança e outros semelhantes.

O atributo "abuse-mailbox" deve estar disponível sem restrições através de whois, APIs e técnicas futuras.

Levando em conta a natureza hierárquica dos objetos de endereços IP, os objetos herdados de aqueles alocados diretamente por LACNIC, podem estar cobertos pelos objetos de nível superior ou ter seu próprio atributo "abuse-c".

Seguindo práticas usuais, outros atributos "e-mail" podem ser incluídos para outros fins.

12.2. Características do "abuse-mailbox"

Os e-mails enviados para "abuse-mailbox" devem exigir intervenção manual em algum momento, por parte do destinatário, e não podem estar filtrados, pois isso poderia impedir, que em alguns casos, o envio de um relatório de abuso, por exemplo por spam, ao incluir a própria mensagem de spam ou URLs ou conteúdos geralmente classificados como spam, evite sua recepção.

A caixa de correio "abuse-mailbox" poderá enviar inicialmente uma resposta automática, por exemplo, designando um número de ticket, aplicando procedimentos de classificação, solicitando mais informações, etc. No entanto, não poderá requerer o uso de um formulário, pois isso implicaria que cada empresa que precise denunciar abusos, geralmente de forma automatizada,
seja forçada a desenvolver uma interface específica para cada caso de abuso, o que é inviável e ilógico, uma vez que faria com que o custo do processado dos abusos caísse em quem envia a reclamação e, portanto, é vítima de abuso, em vez de ser paga por aquele cujo cliente (e de quem recebe renda), causa o abuso.

Para fins de informação, vale a pena mencionar que o razoável é que a pessoa que denuncia o abuso, faça isso desde o primeiro momento e nesse primeiro relatório, enviando os logs ou cópia do spam (anexando um exemplo do e-mail de spam ou seus cabeçalhos completos) ou similares, que demonstrem o abuso. Da mesma forma, é razoável esperar que o e-mail inicial de auto-resposta indique que, se esses registros não tiverem sido enviados, não serão atendidos, dando assim a oportunidade de repetir o envio com a evidência pertinente. Isso permite relatórios automatizados, por exemplo, mediante fail2ban, SpamCop ou outros, com um custo mínimo para ambas as partes.

12.3. Objetivos da validação do "abuse-c"/"abuse-mailbox"

O procedimento, que deverá ser desenvolvido por LACNIC, deve atender aos seguintes objetivos:

1) Processo simples que garanta a sua funcionalidade e permita aos "helpdesk" que atendem os relatórios de abuso, verificar que os pedidos de validação são realmente provenientes de LACNIC e não de terceiras fontes (o que poderia envolver riscos de segurança), evitando, por exemplo, uma única URL "direta" para a validação.
2) Impedir um processo exclusivamente automatizado.
3) Confirmar que quem valida garante conhecer o procedimento, a política, que monitora regularmente o "abuse-mailbox", que toma medidas e responde ao relatório de abuso.
4) Prazo de validação “inicial” não superior a 15 dias.
5) Se não for validado corretamente, “escalado” com o receptor do recurso (LIR, usuário final, etc.) e um novo prazo, não superior a 15 dias.


Os prazos de validação "inicial" e "escalado" poderão ser modificados por LACNIC, se considerar apropriado, informando a comunidade dos motivos. Por exemplo, poderiam ser reduzidos uma vez que uma alta porcentagem de contatos tenha sido validada de forma inicial, de modo que a qualidade dos contatos é incrementada e o tempo de resposta para os casos de abuso é reduzido.

(como exemplo, propõe-se um procedimento detalhado em "Informações adicionais" desta proposta de política).

12.4. Validação do "abuse-c"/"abuse-mailbox"
LACNIC validará o cumprimento dos pontos acima, tanto no momento em que os atributos "abuse-c" e/ou "abuse-mailbox" são criados quanto modificados, periodicamente, não menos de duas vezes por ano e a qualquer momento que LACNIC considerar oportuno..

A frequência periódica de validação poderia ser modificada por LACNIC, se considerar apropriada, informando à comunidade os motivos. Por exemplo, uma única validação poderia ser realizada no primeiro ano, para facilitar o tempo de adaptação à política e, posteriormente, progressivamente, aumentar o número de validações anuais, chegando a ser inclusive trimestrais ou mensais, com o objetivo de aumentar a qualidade dos contatos.

A critério de LACNIC, em forma generalizada ou em casos específicos (por exemplo, para a confirmação em casos de escalado de acordo com o ponto 12.5), LACNIC, para realizar as referidas validações, poderá usar domínios que não sejam lacnic.*, e até mesmo modificar o assunto e o corpo da mensagem,

A violação por parte de qualquer organização, implicará inicialmente o bloqueio de "milacnic" para todos os recursos associados com essa organização, exceto para a atualização dos contatos abuse-c/abuse-mailbox, de tal forma que possam ser revalidados para permitir o desbloqueio de "milacnic".

LACNIC realizará um acompanhamento mais exaustivo e, no caso em que na validação automática seguinte continue sendo confirmado o descumprimento, agirá de acordo com as políticas e procedimentos pertinentes de LACNIC e, especialmente, "7.1. Recuperação de recursos”.

12.5. Mecanismo de escalado para LACNIC

CA fim de evitar engano (por exemplo, "abuse-mailbox" que respondem somente aos e-mails de LACNIC, a um determinado assunto ou corpo da mensagem), ou a violação do restante dos aspectos desta política (a incorreta ou não atenção dos casos de abuso) e, portanto, para garantir a qualidade dos serviços na região com os recursos alocados por LACNIC será disponibilizada uma caixa de correio (por exemplo, “escalado-abusos@lacnic.net”), que permita escalar as referidas situações, permitindo assim a revalidação (de acordo com o ponto 12.4 acima) e até a intermediação de LACNIC e, quando apropriado, a aplicação das políticas/procedimentos pertinentes e, principalmente, "7.1. Recuperação de recursos”.

Informações Adicionais

Exemplo de procedimento de validação.
1) A validação começa de forma automatizada, por parte de LACNIC, com o envio de DOIS e-mails consecutivos para o "abuse-mailbox".
2) Esses e-mails terão exclusivamente formato de texto (e, portanto, ocultam URLs que correspondem a ataques como "phishing" etc.).
3) O primeiro dos e-mails vai conter a URL onde a validação deve ser realizada, que será "validacion.lacnic.net", e poderá conter informações sobre o procedimento, extrato desta política, etc.
4) O segundo dos e-mails vai conter um código alfanumérico único de validação.
5) O receptor que atende o "abuse-mailbox" deverá acessar à URL e colar no formulário o código recebido no segundo e-mail.
6) Essa URL deverá estar projetada de forma de impedir um processo automatizado (por exemplo, "captcha") e conterá um texto que confirme que o receptor da validação conhece o procedimento, a política e que monitora regularmente o "abuse-mailbox" e que são tomadas medidas adequadas para resolver os abusos relatados e responder a eles, com um "checkbox" que deve ser necessariamente aceito.
7) O código alfanumérico apenas será válido por um máximo de 2 dias úteis.
8) Se o código não for inserido nesse prazo, o sistema marcará o "abuse-c" como "provisoriamente inválido" e alertará a equipe de LACNIC para que possa ser iniciado o acompanhamento personalizado com o receptor do recurso.
9) No caso de não obter uma resposta com a confirmação da correção da situação, em um período adicional de 3 dias úteis, o "abuse-c" será marcado de forma permanente como "inválido".
O processo de validação será repetido automaticamente (pontos 1 a 7 acima) e, neste caso, o "abuse-c" será marcado como "válido" se for satisfatório, caso contrário, seria um caso de descumprimento da política.

Tempo de Implementação

90 dias, de forma prudencial e a ser confirmado com LACNIC, para permitir que o pessoal desenvolva a ferramenta e que os LIR atualizem seus contatos "abuse-c".

Referências

Uma proposta semelhante está sendo encaminhada no RIPE, embora ainda esteja em debate e tenha alcançado consenso. Trata-se de uma versão muito mais simples, e foi apresentada uma nova versão equivalente a esta mesma proposta. Em APNIC alcançou consenso uma versão equivalente a esta proposta. No AfriNIC, foi apresentada a mesma proposta.

Notas Públicas da equipe de LACNIC

ANALISE DE IMPACTO PELA EQUIPE DE LACNIC - Proposta LAC-2018-5 - versão 2

Interpretação da proposta pela equipe de LACNIC
----------------------------------------------------

Aplicação
-----------
Esta proposta seria aplicada aos LIR para que deixem um registro de um contato de abuso válido.

Alteração do texto atual
-----------------------------
O manual de políticas aparecerá na seção seguinte como mostrado abaixo:

• Serão acrescentadas as secções:
o 12. “Registro e validação de "abuse-c" e "abuse-mailbox”
o 12.1 "Descrição do "abuse-c" e "abuse-mailbox"
o 12.2. "Características do "abuse-mailbox"
o 12.3. Objetivos da validação do "abuse-c"/"abuse-mailbox"
o 12.4. Validação do "abuse-c" /"abuse-mailbox"
o 12.5. Mecanismo de escalado para LACNIC

• O ponto 12: “Apêndices” passa a ser a secção 13. Apêndices.


Comentários da equipe:
-----------------------
• Nas secções 12.4 e 12.5 quando indicado "O descumprimento implicará um acompanhamento mais exaustivo, de acordo com as políticas/procedimentos pertinentes de LACNIC e, principalmente, "7.1. Recuperação de recursos", não fica claro como deverá proceder LACNIC, se deverá aplicar a política 7.1 em todos os casos ou não.


• Observa-se que, para a implementação desta proposta, LACNIC precisará investir novos recursos para atender o acompanhamento de todos os casos que precisarem. 


• Na proposta se faz referência ao objeto “inetnum6”. No whois de LACNIC, só se faz referência ao objeto "inetnum", tanto para IPv4 quanto para IPv6.


• Recomenda-se colocar a secção do apêndice sem numeração, mas como "A" (apêndice). Esta recomendação é para não ter que atualizar a numeração do apêndice tantas vezes como secções adicionadas ao manual, o que poderia gerar erros devido a todas as referências para o apêndice (seção 12), que aparecem ao longo do texto do manual de políticas.

Impacto da política no sistema de registro e endereços
-------------------------------------------------------
Esta proposta implicará a criação de um processo para o controle automático do abuse-c e do abuse-mailbox.

Política de privacidade