<html xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=Windows-1252">
<meta name="Generator" content="Microsoft Word 15 (filtered medium)">
<style><!--
/* Font Definitions */
@font-face
        {font-family:"Cambria Math";
        panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0cm;
        margin-bottom:.0001pt;
        font-size:11.0pt;
        font-family:"Calibri",sans-serif;}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:#0563C1;
        text-decoration:underline;}
span.EmailStyle19
        {mso-style-type:personal-reply;
        font-family:"Calibri",sans-serif;
        color:windowtext;}
.MsoChpDefault
        {mso-style-type:export-only;
        font-size:10.0pt;}
@page WordSection1
        {size:612.0pt 792.0pt;
        margin:72.0pt 72.0pt 72.0pt 72.0pt;}
div.WordSection1
        {page:WordSection1;}
--></style>
</head>
<body lang="EN-IN" link="#0563C1" vlink="#954F72">
<div class="WordSection1">
<p class="MsoNormal"><span style="mso-fareast-language:EN-US">Due diligence can be legally problematic but the consequences, sooner or later, of not performing such due diligence are likely to be worse sooner or later.<o:p></o:p></span></p>
<p class="MsoNormal"><span style="mso-fareast-language:EN-US"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="mso-fareast-language:EN-US">A decade or so back, the discussion here was about handing out multiple /15s to various LIRs who were populating them entirely with snowshoe spam.  More than one person here back then was assuring
 me “oh that’s not a problem, IPv6 is here to stay and v4 is getting exhausted anyway”.<o:p></o:p></span></p>
<p class="MsoNormal"><span style="mso-fareast-language:EN-US"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="mso-fareast-language:EN-US">About your question as to whether this is going to help mitigate internet abuse because the shady outfit will just register a fresh shell company, apply for LIR status and resume their activities. 
<o:p></o:p></span></p>
<p class="MsoNormal"><span style="mso-fareast-language:EN-US"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="mso-fareast-language:EN-US">In security, you never let your adversaries entrench themselves in positions of strength, so chase them off ISPs, registrars and such on a regular enough basis and they’re left busy rebuilding their
 infrastructure – too busy to distribute malware or phish, never mind just spam.  Keep them moving often enough and their efficiency is reduced. 
<o:p></o:p></span></p>
<p class="MsoNormal"><span style="mso-fareast-language:EN-US"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="mso-fareast-language:EN-US">Take down a bunch of domains and suspend registrar accounts along with the IP addresses and the damage takes much longer for them to repair.  Besides if these are coordinated with arrests and equipment
 seizure coordinated with law enforcement, it takes much longer for them to bounce back.  
</span>The shutdown of Intercage / Atrivo back in 2008 was an early example.  A brief but extremely sharp dip in spam levels worldwide, so that various botmasters had to scramble to set up new hosting.   <a href="http://voices.washingtonpost.com/securityfix/2008/10/spam_volumes_plummet_after_atr.html">http://voices.washingtonpost.com/securityfix/2008/10/spam_volumes_plummet_after_atr.html</a><span style="mso-fareast-language:EN-US"><o:p></o:p></span></p>
<p class="MsoNormal"><span style="mso-fareast-language:EN-US"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="mso-fareast-language:EN-US"><o:p> </o:p></span></p>
<div style="border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0cm 0cm 0cm">
<p class="MsoNormal" style="margin-bottom:12.0pt"><b><span style="font-size:12.0pt;color:black">From:
</span></b><span style="font-size:12.0pt;color:black">Nick Hilliard <nick@foobar.org><br>
<b>Date: </b>Monday, 11 May 2020 at 8:15 PM<br>
<b>To: </b>Suresh Ramasubramanian <ops.lists@gmail.com><br>
<b>Cc: </b>anti-abuse-wg@ripe.net <anti-abuse-wg@ripe.net><br>
<b>Subject: </b>Re: [anti-abuse-wg] About "consensus" and "voting"...<o:p></o:p></span></p>
</div>
<div>
<p class="MsoNormal">Suresh Ramasubramanian wrote on 11/05/2020 13:20:<br>
> I am not entirely sure the discussion has moved all that much in the <br>
> past decade beyond this exact point - how to pressure ripe to deal with <br>
> shady actors getting themselves LIR status or appropriating large legacy <br>
> netblocks belonging to defunct companies.<br>
<br>
Fraudulent appropriation of network blocks is a direct violation of the <br>
SSA, and is already actionable.  From what I understand, the RIPE NCC <br>
already deals with abuse of this form on a regular basis.<br>
<br>
Refusing to grant LIR status to "shady actors" is legally difficult.  So <br>
is revocation of resource holdership on the grounds that the number <br>
resources were used for specific purposes which may be illegal in some <br>
or all of the RIPE NCC service region.<br>
<br>
Acting outside the terms of legal proportionality is also problematic. <br>
Many policy proposals have foundered on this issue.<br>
<br>
Also, there are open questions as to whether deregistration of IP <br>
addressing resources will have a real impact on abuse management, or <br>
whether the abusers would just spin up another legal vehicle to conduct <br>
their abuse.<br>
<br>
Overall, this is a fraught area.  This is at least part of the reason <br>
that it's been difficult to reach consensus on a good number of these <br>
proposals.<br>
<br>
Nick<o:p></o:p></p>
</div>
</div>
</body>
</html>