Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 35, views: 13.620 •
Submitter: Zanniebal

De Europese Unie houdt donderdag de Cyber Europe 2012-oefening. Bij de simulatie krijgen 400 overheidsorganisaties, telco's, providers en banken te maken met een grootschalige ddos-aanval, om de reactie en samenwerking te testen.

Het is de eerste keer dat banken en internetbedrijven in de hele EU meedoen aan een oefening waarbij een cyberaanval wordt nagebootst, volgens Neelie Kroes, vicevoorzitter van de Europese Commissie. Bij de gesimuleerde ddos-aanval zijn meer dan 400 deskundigen van banken, telecombedrijven, internetproviders en lokale en nationale overheidsinstanties betrokken. Niet bekend is om welke organisaties het precies gaat. De EU heeft het over 1200 'afzonderlijke cyberincidenten, waaronder meer dan 30.000 e-mails' die tijdens de ddos-aanval op de experts worden afgevuurd.

De simulatie wordt op afgeschermde infrastructuur gedraaid, maar moet de effecten op de prestaties van daadwerkelijke kritieke systemen nabootsen. Omvang en complexiteit van de oefening zijn vele malen groter dan bij de vorige test, die in 2010 gehouden werd. "Als dit een echte aanval was geweest, zouden diensten voor miljoenen burgers en bedrijven in heel Europa geheel ontwricht raken en zou er voor miljoenen euro's schade aan de Europese economie worden aangericht", claimt de Europese Commissie.

De Cyber Europe 2012-oefening wordt gehouden door de European Network and Information Security Agency. Doel van de test is volgens die organisatie om de procedures en informatiestromen tussen samenwerkende publieke organisaties in de EU te testen. Daarnaast moet de test problemen bij de aanpak van grootschalige beveiligingsincidenten aan het licht brengen.

"Samenwerking is van het grootste belang, aangezien cyberaanvallen steeds uitgebreider en geavanceerder worden. De kern van de oefening die vandaag wordt gehouden, is samenwerking op Europees niveau om ervoor te zorgen dat het internet en andere essentiële infrastructuur overeind blijven", aldus Kroes. De Europese Commissie wil nog voor het einde van het jaar een brede strategie voor cyberveiligheid presenteren.

Reacties (35)

Hoe kunnen ze zien tijdens een simulatie of een ddos werkt? De daardwerkelijke systemen kunnen een bugje hebben, of op een andere wijze niet gelijk zijn aan het gesimuleerde?
Klopt idd, zero-day leaks zullen wel niet allemaal bekend zijn.
Door te simuleren, kun je in ieder geval alle experts en IT de kans geven om daadwerkelijk te zien wat er gebeurd als het mis gaat. (zij het in een test omgeving)

Hierbij zie je zeer vaak, dat bepaalde dingen net anders lopen dan verwacht, en bottlenecks op andere plaatsen ontstaan.

Verder is het nog heel belangrijk, aangezien je ook een beter inzicht krijgt, hoe het allemaal weer online moet, en wat er moet gebeuren voordat dat kan. (je gaat dus al een inzicht krijgen, wat je moet gaan inschakelen na een incident) Zodat je kan voorkomen, dat je zo'n gevalletje Sony krijgt, waarbij een lange tijd alles plat ligt.
Je mag er vanuit gaan dat de overheid regelmatig stress testen uitvoert op hun eigen systemen. Die zouden al de problemen ivm bottlenecks naar boven moeten brengen.

Daarbij is de oefening al bij voorbaat compleet nutteloos. Iedereen weet al dat de aanval komt. Alsof bankovervallers eerst 112 bellen om de vertellen dat ze morgen de bank overvallen. Natuurlijk is de response van politie dan beter dan als de overval niet was aangekondigd.

De overheid (EU) had gewoon een IT bedrijf als FoxIT de opdracht moeten geven om de aanval uit te voeren zonder alle partijen op de hoogte te stellen. Dan kunnen er geen voorzorgsmaatregelen getroffen worden welke normaal ook niet aanwezig zijn.

En daarbij heeft het oefenen op een parallel systeem natuurlijk al helemaal weinig zin. Bij DDOS aanvallen draait het allemaal om resources (cpu, geheugen, disk io, etc) op de systemen. Als zij die test niet kunnen uitvoeren op het bestaande productie systeem, dan is de oefening al mislukt, want blijkbaar kunnen de systemen dan een gecoördineerde DDOS aanval op meerdere systemen in de praktijk niet aan..
Het gaat om aanval op grote schaal die verder rijken dan hun eigen systemen alleen, en hoe de instantie en betrokken met elkaar communiceren word ook getest, en om te kijken hoe de EU infrastutuur het houd. Het gaat om grote systemen die niet landelijk zijn zoals banksystemen, knooppunten, etc.

Maar belangrijk doel is natuurlijk hoe communiseren ze met elkaar en wat kunnen ze daar nog aan verbeteren om aanval beter te bestrijden, kan wel allemaal apart de aanval proberen op te lossen en niet verder kijken dan je eigen systemen, maar met samenwerken kan je aanval eerder stoppen en ook andere bedrijven alvast voorzorgsmaatregelen laten nemen. Als bedrijf A pakkertjes al heeft weten te herkennen en blokken dan kan bedrijf B alvast die pakketjes toevoegen aan de lijst en zal bij bedrijf B de aanval niet werken.
Het is natuurlijk erg moeilijk om je enkel en alleen voor te bereiden op aanvallen die Niemand_Anders aan heeft zien komen.
Het gaat hier om een onderzoek naar de geintegreerde aanpak van de aanvallen en niet naar wat Niemand_Anders zou willen.
In jouw optiek zijn waarschijnlijk ALLE testen en simulaties nutteloos... Dus ook botsproeven ("ze hadden gewoon met een Hummer tegen het verkeer in moeten rijden"), medicijnonderzoek, etc.? En zelfs kijkcijfers ;-)
Ik geloof dat ik niet helemaal duidelijk was. De EU wil een grootschalige DDOS aanval simuleren verdeeld over heel Europa. Zo'n simulatie heeft weinig zin als deze in een laboratorium opstelling wordt uitgevoerd en waarbij de deelnemers vooraf zijn geïnformeerd.
Doel van de test is volgens die organisatie om de procedures en informatiestromen tussen samenwerkende publieke organisaties in de EU te testen
Maar het probleem tijdens een aanval zijn niet de protocollen en informatiestromen welke ingezet behoren te worden, maar HOE ze worden ingezet.

Bij grote rampen gaat het daar fout. Personeel houd zich niet aan de protocollen vooral vanwege de vaak paniekerige situatie welke zich op dat moment voordoet. Maar vanwege de aankondiging is dat nou net hetgeen wat ze niet testen.

Het is juist heel erg gemakkelijk om je voor te bereiken op aanvallen welke je ziet aankomen. Het is echter erg lastig om je voor te bereiden op VERRASSINGS aanvallen zoals die bijvoorbeeld door anonymous worden uitgevoerd. Ik als EU burger mag er vanuit gaan dat de EU voldoende beveiligings maatregelen heeft genomen om een DDOS aanval (deels) af te slaan. In extreme situaties kan dat ook betekenen dat de betreffende servers worden ontkoppeld van het netwerk om een doorbraak te voorkomen totdat er voldoende extra servers beschikbaar zijn om de traffic op te vangen.

Het heeft dus veel meer nut om de bestaande infrastructuur te testen op DDOS aanvallen. Het gaat daarbij vooral om wat ik noem legacy systemen/servers. Servers voor een test worden speciaal voor de test neergezet en zijn dus pico bello op orde. Maar op echte productie servers is dat vaak anders. Hoe vaak worden bedrijven niet gehacked omdat men niet alle updates had geïnstalleerd? Servers die in een hoekje staan te vergaan. Denk aan slecht beveiligde SCALA systemen.

De kop spreekt van een cyber security oefening. Sinds wanneer houd dat in dat je alleen draaiboeken test?

Maar dan de praktijk. Iedereen kent wel de gezamenlijke oefeningen van politie, brandweer en ambulance zoals deze. Na de oefening hoor je altijd dat de oefening een groot succes was en dat er alleen een paar kleine puntjes waren gevonden. Maar hoe anders is de praktijk zoals de chemische brand moerdijk en Project X Haren. Beide situaties waarbij de communicatie (tussen collega's en andere diensten) gigantisch is fout gegaan. En over 6 maanden zullen we waarschijnlijk te horen krijgen dat men onvoldoende was voorbereid..

Bij een bots proef worden praktijk situaties nagebootst. Maar hoeveel bedrijven ken jij welke een groter aantal test/laboratorium servers heeft dan productie servers? En hebben de servers op die test locatie dezelfde netwerk connectivity als de productie omgeving? Er wordt dus wel 'iets' gesimuleerd, maar dat heeft verder weinig met de praktijk te maken.

Ik betwijfel dus of men wel gaat testen wat men wil testen. Namelijk een grootschalige cyberaanval en of de systemen overeind blijven. Maar blijven de systemen ook overeind staan als ze worden aangevallen op zaterdag op zondag avond als alle beheerders en managers liggen te slapen. Als ik kijk naar de aanvallen op mijn eigen mail server en dat afzet tegen de locatie waar die aanvallen vandaan komen dan zijn dat geen 9 tot 5 hackers. De meeste portscans en (bruteforce) inlogpogingen (zelfs met fail2ban) vinden plaatsen tussen 22:00 en 04:00 uur lokale tijd.
NEE: "Daadwerkelijk te zien wat er gebeurT".
In zo'n grootschalige oefening zal het zwaartepunt vermoedelijk liggen op procedures en processen waarbij de samenwerking met alle instanties en uitwisseling van informatie centraal staan. Dat het testsysteem daarbij daadwerkelijk een ddos-aanval te verwerken krijgt, is om te testen of de inrichting van de systemen in ieder geval werkt. Uiteraard worden losse systemen op andere momenten afzonderlijk getest waarbij een veel realistischer scenario voor zo'n individueel systeem wordt uitgevoerd.
Deze grootschalige oefening zal geslaagd zijn als er snel en adequaat wordt gereageerd en gecommuniceerd om de schade zo veel mogelijk te beperken.
Dit soort oefeningen hebben niet alleen een technische achtergrond. Ook het leren kennen van elkaar en elkaars expertise is belangrijk.
Dit is het ideale moment om een 2de ddos op het productie netwerk af te vuren.
Zo hebben ze geen test en en productie omgeving en zullen ze denken dat het om een fout gaat.
zat ik ook aan te denken. lekker slim om het aan te kondigen :P
Bij dit soort berichten heb ik ook altijd het idee dat het meer een soort van EU propaganda is om ons allemaal weer even te laten zien hoe serieus de EU bezig is met 'onze' veiligheid en wat niet meer, dan dat het echt daadwerkelijk effectief is of praktisch nut heeft. Het is natuurlijk niet de bedoeling dat we gaan denken dat de EU de hele dag alleen maar zit te vergaderen.

Als ze het echt zo serieus zouden nemen dan hielden ze inderdaad gewoon hun mond dicht totdat ze hun test hebben uitgevoerd, geanalyseerd en de mogelijke problemen hebben opgelost. Nu lijkt het meer een 'kijk ons eens technologisch bezig zijn'.

Misschien ben ik gewoon te cynisch, maar ik geloof er ook niet echt in dat een of andere instantie in Brussel door wat security bedrijven een bak met geld toe te schuiven ook maar enige vorm van 'cybersecurity' kan garanderen. Hooguit weten ze straks wie ze moeten bellen om wat extra servers in de lucht te gooien als de officiele EU-websites worden ge-DDOS'ed, maar gezien het feit dat het internet decentraal is en (gelukkig) niet door de EU wordt gecontroleerd kun je natuurlijk nooit voorkomen dat hackers specifieke doelen aanvallen of (wat eigenlijk veel gevaarlijker is) infiltreren. Denk even aan DigiNotar en dergelijke, hoe past dat in het 'EU cybersecurity plaatje'.
Ik vind het erg jammer dat ze alleen een beetje zitten te DDOS'en. Laat ze meteen SQL injections en nog wat van dat spul uitvoeren.
Het gaat niet om wat er gedaan wordt, het gaat er om hoe er op wordt gereageerd. Wat ze hier simuleren is een situatie waarin opeens enkele honderden systemen plat gaan (ze zeggen door DDOS, maar de oorzaak maakt natuurlijk niet uit) en ze gaan kijken hoe instanties samen gaan werken om de boel weer terug op de rit te krijgen. Het gaat hier niet om het echt aanvallen/testen van actieve systemen, het gaat om de procedures en of/hoe die werken. Dit wordt al van tijd tot tijd gedaan met de "fysieke" hulpdiensten (denk aan Operatie Bonfire en Oefening Voyager), nu wordt het dus ook digitaal gedaan. Bonfire en Voyager waren grootschaalse oefeningen die een terroristische aanslag simuleerden: veel gewonden, chemicalien en explosieve dreigingen/aanslagen etc. Hier werd met name gekeken hoe de communicatie vanuit een crissiscentrum uiteindelijk naar de uitvoerende instanties wordt gebracht, maar ook hoe er omgegaan moest worden met de media. Aan de hand van deze oefeningen zijn protocollen voor communicatie binnen de hulpdiensten aangescherpt in het geval van een GRIP 4 situatie.
mooi, vaker doen!
Hoe test je dit dan? Random DDOS-aanvalletje en dan maar kijken wie klapt?

Hoe kun je nu betrouwbaar testen als je van te voren al weet wat er komt?

"Ooh, 12:14, nu komt de DDOS-aanval met 10.000 PC's!"

Nu zal het van te voren weten wel meevallen, maar hoe garandeer je dat de "hackers" echt proberen ervoor te gaan en proberen het de deelnemers zo moeilijk mogelijk te maken en niet enkel wat standaard meuk afvuren en dan iederen hi ha happy is.
Het is een simulatie, dus ik denk dat er nul pakketjes verstuurd worden, ze doen gewoon alsof. Alle PC's vallen zogenaamd uit, probeer het maar zogenaamd op te lossen, zoiets.
Het gaat meer om de communicatie tussen overheden, draaiboeken testen enzo.

[Reactie gewijzigd door Soldaatje op 4 oktober 2012 15:27]

twee teams, experts weten dat er wat komt, maar niet wat. Voor beide teams loof je een beloning uit. (experts als ze de aanval succesvol afslaan, hackers als ze het zaakje plat krijgen) Dan kun je er vanuit gaan, dat beide teams vol aan de bak gaan, om te zorgen dat ze winnen.
Dat weet je nooit en kan je dus niet garanderen, uiteindelijk is het enkel wat men zegt wat voor waar aangenomen moet worden en hangt het van de integriteit af van de "professionele hacker" hoe erg ze hun best doen de bende op hun gat te krijgen of ingangen te vinden.

Ik vind de trend die hiermee gezet wordt best wel goed. Vooral voor overheden is een zelfaudit geen slecht plan. Eigenlijk moet dit doorlopend plaatsvinden.

[Reactie gewijzigd door Alpha Bootis op 4 oktober 2012 15:32]

Ik ben niet zo'n voorstander van zelf-audit, oftewel dat overheiden zichzelf controleren, zeker als dit om data van burgers gaat.

Want als jij als overheid dan een nette procedure schrijft hoe alles zou moeten gaan en iemand anders van de overheid keurt dit goed terwijl die er geen verstand van heeft, of gewoon laks is(wat voor schijnt te komen bij overheden, schijnt daar een bekend virus te zijn in alle overheidskantoren). Dan komt er een daadwerkelijke aanval, klapt alles eruit of wordt de data gestolen en als er dan vragen komen kan de overheid zich verstoppen achter de procedure die “na grondig onderzoek”(lees veel koffie drinken, uit het raam kijken en dom uit de nek kletsen op de vergaderingen) goed is gekeurd door onszelf!!!

Nee, vertrouwen in de overheid moet er wel zijn uiteraard, maar juist op dit soort gevaarlijke, privacy gevoelige gebieden zou ik er voorstander van zijn als er een derde externe partij is die de procedures/protocollen e.d. degelijk test, maar verder niet is gebonden aan de betreffende overheid(instantie)
Ik vermoed dat er voor een oefening op deze schaal wel een behoorlijk plan van aanpak geschreven is. Het zal niet alleen een "we schieten maar wat op iedereen af" test-je zijn.

Overigens kun je hier meer informatie erover vinden.
Dus om 12:13 was het een mooi moment voor de admins om een bakkie leut met een broodje te gaan doen?

Ik heb geen idee wat voor protocollen en draaiboeken het betreft, maar het telefoonnummer van de admins zal er wel in vermeld worden?
Hellluuup, ik stond al sinds 8:35 in de virtuele wachtrij voor de 3 Dwaze Dagen, en nu valt mijn verbinding weg...
De systemen weten niet wat er komt, alleen de mensen achter de backend. Het systeem zal staan of vallen afhankelijk van de robuustheid van systemen en eventuele afspraken in geval van nood. Als ze het nu goed kunnen laten verlopen kan dat elke andere keer. Vergeet niet dat de menselijke factor bij deze tests waarschijnlijk zeer klein zullen zijn, het systeem moet de zwaarste klappen op kunnen vangen.
Ik denk dat het vooral een simulatie is, bijvoorbeeld dat ze bepaalde netwerkverbindingen uitschakelen (en zeggen dat het onbeschikbaar is door een DDOS) om te kijken of het blijft werken.

Hier een leuk voorbeeld over hoe Google tests uitvoert op hun netwerk, onderaan staat een scenario beschreven waar een van hun datacenters aangevallen wordt door zombies: http://queue.acm.org/detail.cfm?id=2371516
Over het algemeen heeft er een team experts een plan gemaakt over hoe de aanval zal verlopen, inclusief alternatieve scenario's afhankelijk van het handelen van de betrokken instanties. De instanties weten dat er een scenario plaats zal gaan vinden, maar weten niet wat er gaat gebeuren. Ze zullen de opdracht krijgen gewoon aan het werk te gaan zoals normaal, en de draaiboeken zoals dat in een echte situatie ook zou moeten gebeuren.

Ik ben zelf Eerste Hulp en Reanimatie instructeur, en doormiddel van kleine scenario's test ik of mijn cursisten de vaardigheden die ze in het leslokaal hebben aangeleerd gekregen ook in de praktijk kunnen brengen. Bijvoorbeeld een fietser die aangereden is door een auto. Ik leg dan een assistent onder de auto (inclusief fiets, om het wat lastiger te maken >:) ), en leg de bestuurder van de auto ook bewusteloos neer. Dit hebben de cursisten dan niet gezien. Als alles gereed is, ren ik zelf "in paniek" het leslokaal in waar ze zitten te wachten, om er twee op te halen. Ik wijs ze aan dat er wat aan de hand is, en ga vanaf daar kijken hoe ze het op gaan lossen. Mijn assistenten weten vantevoren wat ze moeten doen afhankelijk van het handelen van de cursisten. Zo kan het zijn dat er 1 adem haalt, maar wel bewusteloos is. Afhankelijk van de cursisten kan het zijn dat hij op een gegeven moment stopt met adem halen, waardoor ze over moeten gaan op reanimatie.
Ik ben blij dat overheden eindelijk beginnen na te denken over beveiliging. Dat blijft een ondergeschoven kindje. De praktisch niet beveiligde systemen die waarschijnlijk door terughoudende crisis-economen die enkel willen besparen in elkaar zijn gezet (DigiD fiasco anyone?) in plaats van informatici die weten wat ze doen komen mijn strot uit. Van mij mocht de oefening wel verder gaan. DDOS is redelijk een domme brute force methode. Er zijn nog genoeg SQL injections en andere methodes mogelijk. Het is een begin, maar niet genoeg.
De methode die gesimuleerd wordt is compleet irrelevant. Het gaat niet om het opzoeken van een fout in het systeem, er wordt gekeken naar hoe de instanties samenwerken om de boel weer up te krijgen. Dit soort protocollen zijn wel beschreven, maar worden bijna niet getest. Nu dus wel.
KBC online banking ligt plat in België.. ;)

Hoezo, irrelevant? Oefening op ddos --> KBC Online werkt niet meer..

[Reactie gewijzigd door S3D3S op 4 oktober 2012 16:17]

Toch goed dat ze het even online zetten en laten weten dat de Europese economie aangevallen kan worden op deze manier.

Goed idee om dit inderdaad ook even naar onze concurrerende economieën te laten weten.

Go zo door Kroes, voor je het weet gebeurd het echt! :)
lol iedereen kan door een ddos worden aangevallen...
Lol DDos. Das echt gewoon noob. Dat kan iedereen. Gewoon alles via tunnel proxy pérsen alles intern dicht persen en dan gewoon ook via een proxy laten lopen.

Zoals ze bij ons op school hebben.
Geloof me alleen HTTP bots werken dan nog, want alle ports behalve 80 en 8080 zijn dan nog open. En als je goede AV hebt is dat ook al wat lastiger. Of gewoon een goede firewall op je pc hebben die alles onbekend blokeerd ;)

+Server firewall intern en op proxy zoals bij k geloof bt. Die checkt alle packets of er geen 'known' shellcodes in zitten zoals van o.a Metasploit of andere exploit scanners en tools.

Daarna gewoon pentesting inetern. En wat SQL injections testen of wat andere exploits zoals xss, java, xdav, php, apache etc etc

[Reactie gewijzigd door NiTrOcx op 4 oktober 2012 18:19]

Waarom op de EU wachten als het eerder (sneller) kan: http://www.ddosservice.co/
(hmm, geen DDoS op ISP's? amateurs... :+)

[Reactie gewijzigd door born4trance op 5 oktober 2012 04:17]

Ach zolang er bedrijven zijn die niet te beroerd zijn om voor wat extra marge geheim materiaal te verstrekken aan mensen die niet gescreened zijn heeft dit geen enkel nut.
Een terroristen organisatie kan met een beetje planning, kost wel een jaartje ofzo, gegevens krijgen over de encripty protocollen van defensie.
Zolang de AIVD dat als geen probleem beschouwd is het beschermen van een land tegen een cyberaanval een beetje zinloos.
ah, geloven ze in Nederland nog in security trough obscurity misschien? Ik voel een hollandermop opkomen :)

[Reactie gewijzigd door uip op 4 oktober 2012 20:36]

Op dit item kan niet meer gereageerd worden.



Populair:Apple iPhone 6Samsung Galaxy Note 4Apple iPad Air 2FIFA 15Motorola Nexus 6Call of Duty: Advanced WarfareApple WatchWorld of Warcraft: Warlords of Draenor, PC (Windows)Microsoft Xbox One 500GBSalaris

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste website van het jaar 2014