Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 255 reacties, 71.176 views •
Submitter: Worsteneter

De storingen vrijdag bij iDeal en ING kwamen door een ddos-aanval op banken. Dat meldt de Nederlandse Vereniging van Banken. Eerder vrijdag bleek al dat Amerikaanse banken met ddos-aanvallen worden bestookt; onduidelijk is of er een relatie is.

INGHet is onduidelijk wie er achter de ddos-aanval zit. De ddos-aanval lijkt specifiek gericht op betalingsverkeer, aangezien naast ING ook de dienst iDeal plat ging. Door de ddos-aanval was het urenlang niet mogelijk om internetbankieren, mobiel bankieren en de site van ING te gebruiken, schrijft de NVB in een verklaring die op de site van ING is geplaatst. Bij andere banken waren alleen iDeal-betalingen getroffen, al had de Rabobank ook een storing waarbij zakelijke klanten geen grote transacties konden doorvoeren. Of die problemen ook het gevolg waren van een ddos-aanval, is niet bekend. Volgens de NVB zijn ook buitenlandse banken getroffen door de aanval.

Een woordvoerder van de NVB kan nog niets zeggen over de omvang van de aanval of wie er achter zou kunnen zitten. De NVB benadrukt dat betalingsgegevens niet in gevaar zijn geweest, omdat het slechts een ddos-aanval was en geen hack. Omdat niet duidelijk is wie er achter de ddos-aanval zit, is niet bekend of er een kans is op herhaling. Als de ddos-aanval van dezelfde dader komt als die op Amerikaanse banken, kunnen de gevolgen groter zijn: die aanval had een piek van 300Gbps, wat een zeer grote hoeveelheid verkeer is. Woensdag had ING ook een grote storing, maar voor zover bekend was die niet het gevolg van een ddos-aanval, al valt dat niet uit te sluiten.

Bij een denial of service-aanval op een webserver worden grote hoeveelheden gegevens naar een server verzonden, waardoor die normaal, legitiem verkeer niet meer aankan; bij een distributed denial of service, oftewel een ddos, wordt die aanval vanuit meerdere kanten opgezet. Ddos-aanvallen zijn relatief moeilijk af te vangen, als ze tenminste goed zijn opgezet.

Update, 22:04: Een van de manieren waarop de aanvallers de banken offline probeerden te krijgen, was door herhaaldelijk proberen in te loggen op internetbankieren. Dat kost meer servercapaciteit dan enkel het sturen van pakketjes, zoals meestal het geval is bij een ddos-aanval. Dat laat een woordvoerder van de Nederlandse Vereniging van Banken weten aan Tweakers.

Reacties (255)

Reactiefilter:-12550220+1165+212+30
Moderatie-faq Wijzig weergave
1 2 3 ... 7
Ik kan me een review herinneren van Tweakers over de Riokey. Had een Riokey hier kunnen helpen?
Of zijn deze DDoS aanvallen van zulke grote aard dat een appliance niet meer gaat helpen?

De link naar de Riokey RX1810 review:
reviews: RioRey RX1810: how to put a firewall through hell

Hier een stukje van nu.nl over de banken in de VS:

"Een reeks van cyberaanvallen op de Amerikaanse financiële sector heeft de 15 grootste banken daar in de afgelopen zes weken 249 uur platgelegd.

Dit meldde NBCNews vrijdag.

Onder de gehackte banken waren onder meer Citibank, J.P.Morgan, Chase en Bank of America. Wie achter de aanvallen zitten, is niet duidelijk. Volgens deskundigen kunnen deze cyberaanvallen niet het werk zijn geweest van één persoon. Geruchten dat mogelijk Iran erachter zou zitten, zijn inmiddels door het land tegengesproken.

Rekeninghouders hebben overigens geen geld verloren door de cyberaanvallen."

Source: http://mobiel.nu.nl/inter...nken-vs-249-uur-plat.html

[Reactie gewijzigd door Squ1zZy op 5 april 2013 20:52]

Een 300Gbps DDoS stop je niet met 1 appliance (of slechts 1 maatregel), maar helpen doet het zeker (als onderdeel van een keten).
Het helpt helemaal niets. Zo'n Riorey kan misschien hooguit 10 gbps aan, 300 gbps begin je gewoon helemaal niets tegen, al zet je 10 Rioreys achter elkaar.

En dan nog, ook al kan een enkele firewall de bandbreedte aan (theoretisch gezien want dat kan natuurlijk nooit) dan nog moet hij nog steeds ja of nee zeggen tegen elk pakketje wat door de lijn gaat dus dan schiet de CPU naar de 100% en ligt je verbinding alsnog plat.

Om 300 gbps tegen te houden moet je dus ten eerste al meer dan die hoeveelheid bandbreedte hebben om uberhaupt online te blijven, daarna moet je meerdere systemen hebben om de boel te filteren, dus over meerdere lagen.

Waarschijnlijk praat je dan over een infrastructuur met firewalls die vele honderdduizenden euros kosten en hele 19" racken beslaan.Dan nog de kosten die je kwijt bent voor de capaciteit dan praat je waarschijnlijk over een investering van miljoenen euros per jaar puur om een website online te houden.
Zoals je zelf al zegt, een 300Gbps DDoS migiteer je door een serie van gecombineerde maatregelen in de gehele keten van netwerk-leveranciers, juist om het bij de interne achterlanden weg te houden.

Enkele strategisch geplaatste dedicated devices zoals - bijvoorbeeld - de Riorey RG20 (10Gbps; 28.4M pps !) per knooppunt kunnen dan wel degelijk wonderen voor de beschikbaarheid doen (afhankelijk van het type aanval). Een 1-fix-all oplossing is uiteraard een utopia.
Hoe zou bijvoorbeeld Google dit oplossen? Iets zegt me dat je die niet op de knieën krijgt.
De strategie van Google is dat ze niet een paar vette servers hebben, maar een heleboel eenvoudige servers verspreid over de hele wereld (o.a. in Nederland in de Eemshaven). Andere Cloud oplossingen zoals Windows Azure werken op dezelfde manier.

Als een data center down gaat, door een ddos of een bom. Dan kunnen de resterende data centers dat opvangen. De infrastructuur van een public Cloud is juist opgezet om heel veel data te verwerken.

Een bank kan nooit een vergelijkbare infrastructuur opzetten, dan zou die infrastructuur een enorme overcapaciteit hebben voor de normale bedrijfsvoering. Een oplossing zou misschien zijn dat een bank gebruik maakt van een public cloud, maar ik kan begrijpen dat een bank dat niet graag doet.
Je kunt je infra ook in 2-en delen.
1. Voor NL met een vrijwel onbeperkte bandbreedte
2. Voor de rest van de wereld een gelimiteerde verbinding

Gaat met een DDOS het over de limiet heen, dan zal eerst het Internationale verkeer stoppen, maar kan de thuismarkt (NL) wel nog verder. Pas als je DDOS vanuit NL komt, ja, dan heb je wel problemen.
Vanuit NL is juist geen probleem, daar wordt vaak zeer snel actie op ondernomen.
CloudFlare gaat nog eens heel groot worden: http://cloudflare.com/

Amerikaanse banken kunnen er zonder gevolgen gebruik van maken, Nederlandse banken is een ander verhaal omdat dan ook de Amerikaanse overheid bij onze gegevens kan komen iets wat niet de bedoeling is.
Nou nee, Cloudflare is puur een DNS gebasseerde oplossing. Cloudflare kan dus niet bij jou servers ze hosten alleen jou DNS. Je hoeft ook geen software o.i.d. op je server te installeren en je host nog steeds je eigen server.

Cloudflare kan dus een goede optie zijn. Cloudflare is wel een soort security through obscurity. Als ze het directe IP van jou systeem weten, of ze pakken het datacenter waar jij klant bent ben je alsnog de sigaar.
Cloudflare gaat er als een proxy tussen zitten hoor. Ze hosten wel je DNS records om geo-caching te kunnen doen.
Ja ok maar dan nog cachen ze alleen je frontend, dus de website. Het betalingsverkeer gaat dan echt niet over cloudflare servers heen.
Die Riokey RX1810 gaat niet zoveel doen als je link vol zit. Je webserver zal nog wel werken. Maar als jij 300Gbit/s binnen krijgt op je 300GBit/s lijntje houdt het op.
Zo'n appliance helpt tegen kleinere aanvallen, als er echt meerdere gigabits per seconde op je netwerk afkomen is er eigenlijk niks aan te doen. Het is dan niet alleen je eigen firewalls die het lastig krijgen, ook het netwerk van je internet provider zal het geweten hebben.
tijd voor een betere firewall lijkt mij.
Dan moet je een gigantische zware firewall hebben. Deze aanval was geloof ik gelijk aan 1/4e (!) van het dagelijkse verkeer wat de AMS-IX te verduren krijgt (bron: https://www.ams-ix.net/technical/statistics ).
Het is de laatste tijd toch weer echt raak. Vroeger draaide ik mijn DNS servers recursive, dat was makkelijk voor mijzelf en anderen. Toen mijn DNS servers op een gegeven moment misbruikt werden door queries met grote antwoorden naar gespoofde IP adressen te laten sturen, hield dat helaas noodgedwongen op. Ook heb ik daar toen nog door middel van een named-refused rule en fail2ban wat extra aan gedaan.
Na een tijdje werd het rustiger, maar de laatste week a 2 weken wordt er toch ineens weer behoorlijk veel gedropt als ik in de logs kijk.
Van mij mogen de figuren die hier achter zitten gewoon aan de hoogste boom trouwens.
Voor het einde van het jaar mogen ze ook beheerders van authoritive nameservers zonder record rate limiting naast de beheerders van open recursive nameservers ophangen hoor. Er is nog wel plaats nu open mailrelays redelijk zijn uitgestorven.
Van mij mag je ook ISP en Hosting provider die niet aan source filtering doen ophangen. Want daar begind de ellende.
Het is de laatste tijd toch weer echt raak. Vroeger draaide ik mijn DNS servers recursive, dat was makkelijk voor mijzelf en anderen.
Volgens Cloudfare (http://blog.cloudflare.com/65gbps-ddos-no-problem) had je dus een mooi landmijn gebouwd:

"Typically, an ISP's DNS resolvers are setup to only answer requests from the ISP's clients. Unfortunately, there are a large number of misconfigured DNS resolvers that will accept queries from anyone on the Internet. These are known as "open resolvers" and they are a sort of latent landmine on the Internet just waiting to explode when misused."

Misschien alleen je DNS laten gebruiken door mensen die je kent?
Open resolvers vind ik opzich geen probleem. Vind het zelf fijn op een open resolver te gebruiken, als locaal geen werkende resolver is. Source filtering is de oplossing :)
Die attack op cloudfare maakte gebruik van die design fout (bij dns kan je zo spoofen). Een recursive dns draaien die niet gelimiteerd is, is ook niet echt handig. Je draait toch ook geen open relay mail server?
Als je gebruik maakt van webservice kan jij de response op een query indammen.
Dan wordt je database niet meer rechtstreeks van buitenaf aangesproken en bepaal jij welke query wel of niet is toegestaan.
Nouja.. we moeten gewoon slimmer zijn. Hier is best wel wat op te bedenken. Altijd maar mensen opzoeken en hun straffen is zo enorm vervelend. Kan beter gewoon een enorm robuust netwerk opzetten zodat het hier gewoon tegen kan.
Dat is een verschrikkelijk domme opmerking. Ga aub eerst even lezen wat een ddos aanval is en waarom je je er zo verdomd moeilijk tegen kunt beschermen.
straffen vervelend? ja dag, dan leren ze 't nooit. laat ze maar voelen.
Ik vind het raar dat mensen in Nederland hier dan toch last van hebben gehad , bij mijn weten zitten alle banken en Nederland en België en de grote providers aangesloten op een landelijke Internet exchange zoals in Nederland http://www.nl-ix.net of in België http://bnix.net/nl., rechtstreeks , of onrechtstreeks via hun Internet providers.

Dit is een mini Internet waarbij als een land aangevallen wordt , intern toch alles zou moeten blijven werken o.a. dankzij alternatieve BGP peering.
Niet zo raar, backbone werkte alles naar behoren. Klanten via aftakkingen hadden de last.
Deze aanval was geloof ik gelijk aan 1/4e (!) van het dagelijkse verkeer wat de AMS-IX te verduren krijgt.
Verkeer? Dat is natuurlijk geheel relatief. Als de AMS-IX 900TB verwerkt per dag, zou de aanval ongeveer 225GB zijn geweest maar er is geen tijdsinterval bij genoemd. Of, gezien jouw terminologie, bedoel je dat het aantal bits per seconde naar de getroffen banken/verwerkers ongeveer 1/4 is geweest van het aantal bits per seconde op de AMS-IX?

Dan nog, zonder bronvermelding van jouw "1/4 aanval", betwijfel ik of de getroffenen tezamen uberhaupt 500Gbps inkomende bandbreedte hebben. De kans dat ze dat niet hebben zou verklaren waarom ze op hun knieeen moeten als er zoveel data naar ze wordt verstuurd.

Desondanks is er geen abnormale piek te zien op de AMS-IX, dus ik vraag me dan ook af hoe/waar het extra verkeer vandaan zou zijn gekomen wat heeft geleid tot de zogenaamde DDOS.
Je mag nochtans van een bank verwachten dat ze naast de fysieke beveiliging ook hun online beveiliging op orde hebben.
Kan je dit onderbouwen? Je statements stroken namelijk niet met andere cijfers die ik heb vernomen en volgens mijn baseer je je nu op de Spamhaus DDoS van Cyberbunker. AMS-IX is voornamelijk peering verkeer en dit bank verkeer gaat direct upstream providers in dus dat piekje zal je nooit op de AMS-IX voorbij zien komen.
Haha heb jij wel verstand van DDoS aanvallen? Een firewall kan helpen ja, maar bij echt veel verkeer moet je naar andere oplossingen kijken. Lastige is alleen dat je dat nooit volledig zal kunnen testen omdat niemand 100.000en pc's heeft in allerlei netwerken.
Je hebt toch geen 100.000 pc`s nodig, het zijn toch virtuele machines?
tijd voor een betere firewall lijkt mij.
'iedereen' hier doet dat wel af als een vreemde/overbodige reactie, maar Technoluty heeft wel een punt.

Al het inkomende verkeerd wordt 'gescreened' door de firewalle. Als er 1001 pakketen in de wachtrij staan, die individueel door de firewall behandeld moeten worden ontstaat er een vertraging. Die vertraging kan doorslaan in een storing indien het aantal request hoger ligt dan de verwerktijd van de server.

Maar ... Technoluty zijn post wordt (ten onrechte) in de - gemod;
- er zijn verschillende type ddos
- diversiteit omtrent firewall is enorm

Indien ik kijk naar mijn situatie; heb ik mijn firewall zo ingesteld dat die ieder pakket over iedere poort en protocol standaard accepteerd. Afhankelijk van de toepassing en het protocol zal de host/verstuurder een reactie terug krijgen. Iedere request wordt gehonoreerd, en vervolgens gedropt. De verzendende partij krijgt de indruk dat alle verzonden pakketen worden geaccepteerd door de ontvangen (maar dat is een verkeerde aanname).

Middels die configuratie is het relatief eenvoudig een ddos te kunnen doorstaan. Echter is dat sterk afhankelijk van de MIPS en de bandbreedte van de host. En dat is zowel firewall als server bepaald.

Eigenlijk kun je niet heel veel doen tegen dit soort acties; je bent altijd in minderheid, de aanvaller is dynamisch en schaalbaar. Om vervelende situaties(rekeningen) te voorkomen is een host met 'ongelimiteerde bandbreedte' sterk aan te raden.

Vorige maand ook slachtoffer geworden van een ddos. Maar die ben ik vrijgoed doorstaan;
1. firewall, accept all, screening, en daarna droppen (volgens host alles OK)
2. ongelimiteerde bandbreedte (ddos me host dood, ik betaal niets extras)

Er is wel hardware die aanvallen kan detecteren en doen afslaan, echter is dit soort hardware prijzig in aanschaf. Waardoor het een exclusieve doelgroep heeft van 'groot verbruikers'. Meen me te herinneren dat t.net een rebird/reborn/rioray(?) NIC hanteerd om ddos aanvallen te kunnen overleven. (ongetwijfeld dat iemand dit kan aanvullen).

//edit
t.net ddos 'preventie'; reviews: RioRey RX1810: een firewall onder vuur

[Reactie gewijzigd door himlims_ op 5 april 2013 21:41]

[...]

'iedereen' hier doet dat wel af als een vreemde/overbodige reactie, maar Technoluty heeft wel een punt.
Nee, dat heeft hij niet. Als je een internet verbinding (of stel daarvan) helemaal volpropt met verkeer, dan maakt het niet uit wat de firewall aan het einde van die pijplijn daar mee doet, die pijp zit tjokvol, en er treed congestie op. Als die firewall van jou aan het einde van de rit dat pakketje dropped (wat ook niet goed is trouwens), is de schade al aangericht.
Eigelijk zit de firewall aan de verkeerde kant van de lijn.

Wat je zou willen, ik te minste. Dat je aan het begin van de verbinding al kan bepalen wat je doorje verbinding heen wilt laten.

Dus zoals als sommige ISP's zoals xs4all al aanbieden, is een firewall in te kunnen stellen aan hun kant. Zou je dit ook willen bij de hosting providers.
Internetknooppunten zouden hierin een rol moeten spelen. Die kunnen op basis van statistieken vrij eenvoudig bijhouden of een stortvloed van verkeer richting een host een DDOS aanval is of niet en kan eventueel een rate limit instellen waardoor het reguliere verkeer geen hinder ondervindt. De hardware zal behoorlijk prijzig zijn (enkele tientallen miljoenen) maar zorgt er wel voor dat een flink deel van internet wordt gevrijwaard van DDOS aanvallen.

[Reactie gewijzigd door ncoesel op 6 april 2013 00:32]

Zeker, maar ISP's zouden dit ook kunnen doen. Als er een site onder vuur ligt dat de daarbij behorende ISP de andere ISP's op de hoogte stelt van de aanval.
Als ze dan ook even doorsturen hoe het malafide verkeer eruit ziet kan elke ISP de DDOS'ers blokkeren.
Aanval verijdeld, en legitiem verkeer blijft zonder onderbreking werken.
Misschien iets voor de volgende generatie van het internet.
Dit is makkelijker gezegd dan gedaan. Bij vele type aanvallen lijkt het verkeer 100% legitiem. Neem bijvoorbeeld een DNS reflection attack. Ziet er op het eerste gezicht uit als normale DNS response data, maar als je dat dus opeens tot de macht 10000 op je donder krijgt is het niet normaal. Maar... DNS is belangrijk; dat sluit je niet zomaar af. Naar bepaalde infrastructuren kan je dit natuurlijk wél doen, maar dan pakt men weer een ander type aanval (en DNS reflection is *niet* de enige aanval die op normaal verkeer lijkt...).

Kortom: vertellen hoe het malafide verkeer er uit ziet werkt niet.
"Ja het ziet er uit als een DNS response" :+ Ze zien je al aankomen, haha. :)
Dit wordt al gedaan door middel van https://www.projecthoneypot.org/ Maar ja, dit soort lijsten zijn eigelijk ook weer een soort DOS.

Laat ISP en hosters eerst maar eens leren filter, en alleen verkeer naar buiten sturen wat van hun subnets afkomstig is. Nu kan je nog te gemakkelijk een IP spoofen.

Daarnaast moet er een internationale toezichthouder komen. Die alle blacklist in de gaten houd en waar je terecht kan als je een geschil hebt met zo'n lijsten maker. Pas dan kan een DROP list gebruikt worden.

Zonder toezichhouder, moeten DROP lijsten verboden worden.
Ik denk dat de HW prijs op zich wel mee valt of te minste te hoog is.

Mijn ervaring is voornamelijk gebaseerd op linux, maar een freebsd ofzo zou het denk ik ook kunnen,

- Linux ondersteund spoof protection.
- Linux ondersteund rate limiting
En nog veel meer.

Dus je zou zo'n firewall zelf kunnen maken, met wat hardware en een goede linux distro.

Daarnaast, kan je doormiddel van bv varnish (in geval van http achtig verkeer) te gebruiken. Je achter liggende applicatie beschermen tegen verschillende aanvallen.

Maar ook in je loadbalancer zou je er rekening mee kunnen houden. Bij een bepaald aantal request, zou je een static pagina kunnen tonen. Waar door je applicatie het fijn blijft doen. En meer echte klanten er gebruik van kunnen maken.

Oja, niet vergeten het verkeer naar buiten ook door een firewall heen te laten gaan.

Maar ik blijf er bij, dat de meeste maatregelen genoemen moeten worden, voor dat het de pijp naar de klant in gaan.En zolang Hosting provider niet hun verkeer filteren en proactiever optreden. Is het dweilen met de kraan open.
Goed punt. Hier zijn Intrusion Prevention systemen o.a. voor bedoeld. Wij zetten dit (mede door dit soort incidenten) steeds vaker in de markt, maar veel organisaties denken nog steeds dat het hun niet zal overkomen.

Recentelijk zijn er ook specifieke DNS firewalls op de markt.
Voor geïnteresseerden staat leuk gratis e-book op onze site: Intrusion Prevention en next Generation Firewall for Dummies
Hier ben ik het mee eens. Firewalls die dit wel kunnen detecteren en kunnen onderscheppen, zullen de desbetreffende pakketjes blokkeren. Mooi en aardig, je servers worden niet onder load gezet door die pakketjes. Maar de verbinding naar je server, zoals arjan dat aangeeft, word helemaal vol gedrukt met pakketjes.

Daarnaast zal de firewall die de pakketjes filteren, het waarschijnlijk ook lastig gaan krijgen.

@wica, ik weet niet of dit erg veel gaat helpen. Het is eigenlijk het zelfde principe. De lijn loopt helemaal vol met pakketjes die bijvoorbeeld xs4sll moet gaan filteren. volgens mij gaat het daar dan ook vast lopen.

Ik denk dat de enige manier, om het zo fail-safe mogelijk te houden, is om een lading load balancers er tussen te hebben die via meerdere wegen beschikbaar zijn. Maar hierdoor blijf je het gevaar houden dat het vol loopt, alleen zorg je als bank (in dit geval) er dan voor dat de 'aanvallers' meer resources nodig gaan hebben om de aanval tot een succes te leiden.

Edit: De bedoeling was om het bericht onder die van arjankoele te plaatsen, maar dit is me helaas niet gelukt.

[Reactie gewijzigd door cakemasher op 5 april 2013 23:09]

Een moderne firewall kan ddos aanvallen afslaan. Echter de omvang van de aanval zal bepalend zijn of de firewall over de juiste hoeveelheid resources beschikt.

Voor banken en organisaties met een hoog risico is er specifieke apparatuur beschikbaar die dat stukje functionaliteit uit de firewall overneemt en ook grote aanvallen kunnen afslaan.

Deze apparatuur heeft een aantal dagen nodig om de normale patronen in te leren en is dus niet direct na aanschaf operationeel.

Een voorbeeld van dit soort apparatuur vind je hier http://www.fortinet.com/products/fortiddos/index.html

De apparatuur is onlangs ook in zuid Korea geïnstalleerd.
Als je je echt wilt beschermen, geef me dan een seintje, ik kan je in contact brengen met specialisten op dit gebied.

[Reactie gewijzigd door bert pit op 6 april 2013 00:29]

Maar de server gaat in ieder geval niet down.
Hoewel de server natuurlijk door de drukte alsnog onbereikbaar zal zijn.
95 van de 100 firewalls zijn generiek en kunnen wel wat blokkeren maar echte ddos goeroes die serieus de boel plat willen leggen ga je toch niet tegen houden.

De heren (en of dames) die dit soort aanvallen doen op bank instellingen doen niet zomaar even een flood van het 1 of ander, dat geloof ik niet.

Bankinstellingen hebben overigens wel serieuze security maatregelen. En niet alleen maar een dikke jongen als firewall. Aangezien de budgetten niet ongelimiteerd zijn maken ze keuzes. En niet :"O we hebben een aanval, wat voor 1? o die, welke hardware lost dat op, ah we kopen daar een clustertje van.

Op technisch vlak weet ik van een paar jaar geleden (je hoort wel is wat) dat ze meerdere merken gebruiken die ze als het ware serieel schakelen om zo bepaalde flaws/bugs/hacks uit te sluiten, dus als je op de 1 er door bent wil dus niet automatisch zeggen dat je ook op het netwerk zit want dan zitten er vaak nog een paar firewalls tussen. zeker voor webservers zitten die in allerlei DMZ's met allerlei verschillende complexe trucs.

En dan hebben we het nog niet eens over de partijen die daar als tweede lijns extern opgeschakeld worden in geval van calamiteiten. Dus even simpel een firewalletje vervangen of een nieuwe kopen werkt in de praktijk iets anders.

Ik doe zelf veel met Fortinet producten en heb even voor je in de lijst gekeken wat een FortDDOS appliance kost, de goedkoopste is ¤28.798,- list price en de duurste is ¤80.498,- (en elk jaar 24x7 maintenance kost je nog is ¤19.000 per jaar.) Dus ook financieel zijn dit serieuze bedragen want een beetje grote instelling koopt er niet 1 maar minimaal 2. (en bank instellingen hebben vaak ook noodlocaties dus zal je daar er ook 1 voor moeten kopen)

specs van een fortidos: http://www.fortinet.com/s...sheets/FortiDDoS-300A.pdf

Als je de PDF bekijkt ziet elke ITér dat "een DDOS'je" niet een een firewall rule aan of uit is, t is behoorlijk complex om het niet alleen te weren maar ook nog is je dienst online wilt houden en gezien je vele verschillende DDOS attacks hebt op allerlei verschillende lagen van het OSI model begrijp ik wel dat een bankinstelling "even" op de knieen gaat.

En ik geloof niet dat welke bank even 2,5 ton uit de knip trekt om 1 clustertje met 3 jr maintenance op te hangen (en dan heb ik het nog niet eens over de kosten van het opleiden van personeel), one brand filtering enz.

De nuance ligt vaak toch iets anders is mijn mening. (Ik kan ook wel is niet met mijn app'je bij de bank inloggen, ik zeg morgen schijnt de zon weer en proberen we het nog een keer....

oja, en ik ben meer van digitale vrede op aarde, maar ik vind het wel knap van de heren/dames die dit in de vingers hebben, t is niet ff een appje op je android telefoon starten met een selectie menu die zegt: "Wie wilt u dossen vandaag?"

(oja, ik doe niks bij met beveiliging bij banken, maar ik heb wel is gesprekken gehad met netwerkboys die wel in die tak werkzaam waren)
Er is wel hardware die aanvallen kan detecteren en doen afslaan, echter is dit soort hardware prijzig in aanschaf.
Het lijkt mij dat een bank dit soort systemen wel zou moeten hebben. Indien ze het niet hebben is het geld vast naar de bonussen van de bankiers.

De enige rekening waar een bankier rekening mee houd is zijn eigen rekening.
Als jij een ddos attack op je dak krijgt die cloudfare laatste had, red je het echt niet met het droppen van pakketjes en met die riorey ook niet. 300gb (genoemd in het artikel) traffic, dan heb je echt wel hulp nodig van tier 1 en 2 jongens wil je daar doorheen komen.
Aardig verhaal wat 1 ding mist, de screening kost een beetje cpu power. Als een firewall dat voor teveel moet doen dan krijgt 'ie het ook zwaar.
banken hebben iets van minimaal 6 verschillende firewalls en minimaal 3 loadbalencers erachter staan!

Dat relay gebeuren voor bedrijven kan normaal, maar:

Het gaat hier alleen om strikt beveiligde verbindingen, die wil je vanwege vertraging zo direct mogelijk maken!

Ze hebben de boel waarschijnlijk willen verttragen om iets te testen.
Edit: <knip>

Dit is niet de eerste keer dan een reply van mij in compleet de verkeerde thread terecht komt. Ik vermoed iets mis met de tweakers interface.
Of toch een DDoS van replies ?

[Reactie gewijzigd door BeerenburgCola op 6 april 2013 11:26]

Enige wat dus helpt is zorgen dat je 300 gbit per seconde aan data kan verwerken... ik heb google nog nooit offline gezien... dus hun servers doen toch iets heel goed zou ik zeggen. Enige wat werkt is zorgen dat wat die klootzakken ook doen, de servers gewoon easy doorwerken. Dan houdt die onzin vanzelf op
Lastige is alleen dat je dat nooit volledig zal kunnen testen omdat niemand 100.000en pc's heeft in allerlei netwerken.
Wellicht een beetje off-topic, maar dat zou een mooie business zijn. Een botnet opbouwen en dan gebruiken voor DDoS als dienstverlening aan banken of andere bedrijven die hun weerbaarheid willen testen. Desnoods via een incentive programma vergelijkbaar met BOINC... Of gewoon een middagje CERN-like supercomputer huren die een zooitje request kan versturen
Een botnet verhuren is hetzelfde als heling. Gestolen waar verkopen.
Ooit gehoord van het Grid of Cloud services ?

Ik beschik dagelijks over +/- 1000 compute nodes en kan, mits ik de juiste papieren invul dit, voor wetenschappelijke doeleinden, opschalen naar 10.000.

Ik zal het idee ook oppikken maar dan op een legale manier en niet andermans computers hiervoor gebruiken.
Lastige is alleen dat je dat nooit volledig zal kunnen testen omdat niemand 100.000en pc's heeft in allerlei netwerken.
Zijn allerlei tools voor:En dat gaat een aardig eindje door, zie http://en.wikipedia.org/wiki/Cloud_testing
Behalve die "criminelen"met hun bot-nets... O-)
Een firewall helpt niet zoveel tegen een DDOS-aanval. Je krijgt hoe dan ook zoveel aanvragen te verwerken.

Ik denk eerder dat je een systeem moet hebben wat ip's waarvan zeg meer dan een aanvraag per seconde binnenkomt voor een x-aantal seconden blokkeert. Of gebeurt zoiets al?
Er bestaat inderdaad wel DDoS protectie, ja.
Elaborate on that please.... Het is zo makkelijk gezegd, maar als je niet weet waar het over gaat heeft de opmerking 0,0 waarde.

Echt heel veel kun je niet doen. Als het van een beperkte ip range komt, kun je misschien een rate limit instellen. Leuk, maar een beetje ddos aanval komt van vele kanten. Je kunt ook heel moeilijk de ip's blokkeren. Misschien is het een begin om alle ip's van buiten Nederland te blocken (jammer voor de Nederlanders overzee zullen we maar zeggen), want de meesten zullen wel via-via uit exotische lokaties komen.

Hoe dan ook, het kost een hoop werk. Er is geen enkele oplossing die je zo voor je serverpark kan zetten die ddos aanvallen afweert. Het is en blijft handwerk en veel zweet kosten.
Ja die zijn er wel, ik kwam dit tegen:
http://www.prolexic.com
http://www.prolexic.com/pdf/PLXrouteddatasheet.pdf

Die routeren al het verkeer buiten je site om naar hun datacenters, prolexic maakt het schoon van DDoS verkeer en pas dan komt het naar je site terug.... hoe goed dit werkt valt natuurlijk te bezien maar het klinkt wel als iets dat zou kunnen werken.
Ik vermoed dat deze dienst een beetje als cloudflare werkt. Een mooi cluster van varnish servers. Die het verkeer filteren en door sturen of beantwoorden. Dus eigelijk een soort CDN
Dat klinkt toch eigenlijk best als een goede oplossing? Direct bij de eerste tekenen van een ddos aanval direct alle IP adressen van buiten Nederland blokkeren? Waarom wordt dat niet gedaan? Of waarom wordt dat wel gedaan en werkt het niet?
Inderdaad en gewoon mensen op de hoogte stellen van de problemen en mensen met een bekend ip aderes kunnen gelijk inloggen andere mensen worden uitgesloten.
Het gaat om levensgrote botnets er staan denk ik ook redelijk wat van die bots in Nederland. En wanneer is het druk en wanneer een ddossl aanval?
Een bank kan echt niet zomaar de kraan dichtgooien transachties blokkeren op verdenking van een eventuele aanval.
Dan krijg je situaties als die weeralarmen en sta je als bank snel te boek als onbetrouwbaar
Wordt zekers wel gedaan. Ik heb al verschillende malen hele wereld delen afgesloten van een bepaalde dienst. Is best effectief.
Dit is altijd in overleg met de klant,
Of ze zouden je een mogelijkheid moeten geven om een ip aan te geven bij de bank zodat de bank kan zorgen dat requests van die ip ALTIJD worden geaccepteerd via een aparte server. Dit zou veel leed kunnen besparen bij een grote langdurige aanval.

[Reactie gewijzigd door kajdijkstra op 5 april 2013 23:41]

Een firewall helpt niet tegen een overdaad aan inlog-pogingen. Want het is juist de bedoeling dat je kan inloggen, dus zal de firewall dat door laten... Ook andere vormen van DDoS nemen doorgaans iets dat normaliter gewoon legitiem verkeer zou zijn. Het grootste probleem is vooral dat er ineens veel meer van komt dan je systemen aan kunnen.

Wat je dus zal moeten zien te doen is herkennen welke ogenschijnlijk legitiem verkeer dat eigenlijk niet is... En dat is heel erg moeilijk. DDoS-filterappliances en -netwerken kunnen hier uiteraard wel wat tegen beginnen, maar het is altijd maar de vraag in hoeverre ze in staat zijn gewonen gebruikers te herkennen en door te laten en toch het gros van de aanvallers te blokkeren.
Idee.... als ze de inlog procedure nu eens expres vertragen met bijv. 5 seconden. Het nadeel is dan dat iedereen 5 seconden langer bezig is met inloggen, maar het voordeel is dan volgens mij dat een aanvaller je veel minder snel plat krijgt. Ik ga er dan vanuit dat de bottleneck achter het inlog scherm zit (de password verificatie) en niet voor het inlog scherm.
Een aanvaller hoeft niet 5 seconden te wachten tot hij weer een inlog verstuurd. De aanvaller stuurt zoveel mogelijk inlog pogingen per seconde als hij kan, hij wacht niet op respons.
Je weet wat een DDOS is? Tenzij je echt een amateur hebt en je makkelijk patronen ziet van een ip groep, land of meer van zulks ga je het heel moeilijk krijgen je meuk bereikbaar te houden... DDOS is één van de weinige dingen waar je maar beperkt wat mee kan doen en dat beetje wat je wel kan doen verrijst vaker wel dan niet dedicated hardware dat opzichzelf ook weer gewoon down/overbelast kan raken.
en je makkelijk patronen ziet van een ip groep, land of meer van zulks ga je het heel moeilijk krijgen je meuk bereikbaar te houden...
Dat is leuk voor de kleinere DDOSSEN, maar als er echt 300Gb/s op je afgevuurd worden dan kan jij wel blokkeren wat je wilt, maar je datacenter heeft dan al problemen.

Bij dit soort grote DDOSSEN wordt de hele keten geraakt en is jouw firewall maar ergens een schakeltje aan het einde van de keten.
Tja leuk, maar een firewall doet niets tegen verkeer wat al jouw kant uit komt en je internetverbinding vol pompt.
Tegen een echt goede DDoS attack doe je on-premise niet zo veel helaas....

[Reactie gewijzigd door tweakmind op 6 april 2013 11:13]

Een normale firewall heeft niet zo veel zin, dan gaat die down.
of een oude "stacheldraht"
Tja, of het komt dat men zegt dat alles beter is geworden. Minder problemen, Alles is zg super beveiligd etc...Dan willen sommige whizzkids wel een het tegendeel bewijzen. Helpt wel weer mee om de beveiliging te upgraden.

[Reactie gewijzigd door Zlobinski op 6 april 2013 20:39]

De grappenmakers die hard roepen voor de vrijheid van het internet te zijn: lees het een recht vinden om "bijvoorbeeld" alles met een auteursrecht maar te mogen downloaden en schreeuwen voor geen censuur zijn juist die gene die zorgen dat het internet straks terug gaat naar het stenen tijdperk. En ja ik ben verschrikkelijk schijnheilig, ik download alles wat los en vast zit..

Leuk dat het internet zo dynamisch is, maar oh wat geeft het een bende. Ik wil niet afhankelijk zijn van een maatschappij dat door een paar scriptkiddo's kan worden verstoord en alles maar mag omdat het, het internet is. De wetten die gelden in de echte wereld lijken op het internet niet meer te gelden, maar als het over kinderporno gaat dan duikeld de hele wereld er over (terecht!, maar doe dat dan ook bij andere zaken).

De tijd zal het leren, maar "mark my words": Binnen 25 jaar draaien de meeste landen met interne netwerken, niet meer dan logisch als je bedenkt dat 99,99% van het verkeer van ACCESS providers (lees; consumenten en zakelijke markt) bestaat uit verbindingen naar Youtube, Facebook, NU.nl (en overige nieuwssites), VOIP en Banken. Wat is het nut om het internet in Nederland te koppelen met dat in bijvoorbeeld een Pakistan? Niets. Wil je kunnen communiceren met deze landen, dan moeten er "gateway's" komen, of iets wat daar op lijkt. Maar het vrije verkeer tussen landen werkt gewoon niet, dat wisten we 10 jaar geleden al, maar nu de grote massa afhankelijk is geworden van internetbankieren, twitter of facebook is het zichtbaar geworden.

Daarnaast bestaat het internet tegenwoordig uit bostrollen en ander anoniem tuig dat geen enkele meerwaarde toevoegd aan het internet. Uiteraard is het fijn dat er gecommuniceerd kan worden op fora's, ik ben ook van mening dat dit juist een hele goede meerwaarde heeft, maar zolang dit allemaal anoniem kan zie je door de bomen het bos niet meer. Zie bijvoorbeeld een Twitter. De helft van die 30.000 berichten over de ING kwam niet eens van een ING klant en erg verwonderlijk: normaliter heeft niemand geld en nu ineens moet iedereen roepen dat ze wel duizenden euro's missen op hun rekening. Who cares dat je even niet kunt pinnen, erg vervelend, maar de wereld vergaat niet..

Het medium Internet is te gevoelig en staat nog in de kinderschoenen en uitgerekend nu denken bedrijven dat het tijd is om de Cloud in te gaan, zijn ze helemaal van de pot gerukt? Het enige wat ik hoef te doen om een bedrijf op zijn gat te zetten is door de internetverbinding te saboteren en dan hebben we het nog niet gehad over storingen die optreden tussen access en contentproviders (cloud).

Ja, ik ben erg sceptisch op het internet en ja ik vind het een enorm mooi product, maar niet in de huidige vorm. Tijd om rotte appels (lees; LANDEN) volledig of gedeeltelijk (AS nummers) te weren binnen onze landsgrenzen. We gaan straks producten zien die iets weg hebben van bijvoorbeeld een Klik safe, blok alles maar wat we niet nodig hebben. Ik thuis kan er best mee leven als ik geen toegang heb tot heel Azie/Midden-Oosten of het Oostblok.

Ik plaats deze reactie puur ter discussie, maar vooral op Tweakers mogen we wel eens wat objectiever naar het internet kijken.

[Reactie gewijzigd door hulseman op 5 april 2013 21:54]

Laat ik wat uitgebreider reageren.
De grappenmakers die hard roepen voor de vrijheid van het internet te zijn: lees het een recht vinden om "bijvoorbeeld" alles met een auteursrecht maar te mogen downloaden en schreeuwen voor geen censuur zijn juist die gene die zorgen dat het internet straks terug gaat naar het stenen tijdperk. En ja ik ben verschrikkelijk schijnheilig, ik download alles wat los en vast zit..
Ik denk dat dit niet opgaat. Het slaat he-le-maal nergens op dat dit zo zou zijn. Daarnaast is er een belangrijk verschil:
- Censuur
- Spullen downloaden
En ook zit er een verschil tussen doelgroepen.
Mensen kunnen tegen het downloaden van copyrighted materiaal zijn én tegen censuur op het internet. Het verbieden van downloaden van copyrighted materiaal staat niet direct garant voor censuur; in sommige landen is het verboden om copyrighted materiaal in wat voor vorm dan ook te herdistributeren. Dat kan dus ook een boek zijn. Of een kopietje van een CD/DVD (komt geen internet aan te pas..), et cetera. In die landen is het gewoon een simpel gevolg van de wet.
Kinderporno (oh god ja daar komt dit argument...) mag in het echt niet, maar ook niet op het internet. Vind je dit dan ook gelijk staan aan censuur, of een logisch gevolg van zowel de wet als de goede orde? Mijns inziens is dat het laatste namelijk, het is verboden bij wet en dus ook verboden op het internet; zoals het hoort.
In Nederland is het zo dat downloaden grotendeels, terecht imho, is toegestaan.

In Nederland is het echter ook zo dat je recht hebt op vrijheid van meningsuiting. Dat is in sommige landen ook niet toegestaan; ik noem een China en Noord-Korea. DAT is pas internet censuur, en dat moet inderdaad zéér hard afgekeurd worden en blijven.
Wat mij betreft moet downloaden ook toegestaan blijven, maar goed; daar zijn de meningen over verdeeld en ik respecteer een ieders mening.

Maar waarom zou het roepen om het internet censuur vrij te houden, binnen de scope van de wet bedoelt men dan, vreemd zijn...? Ik zie niet in waarom dat vreemd is en waarom het daardoor juist WEL gecensureerd gaat worden. Het is een naar mijn mening zeer kromme redenatie en ik denk niet dat het er een is die je werkelijk kunt onderbouwen.
Leuk dat het internet zo dynamisch is, maar oh wat geeft het een bende. Ik wil niet afhankelijk zijn van een maatschappij dat door een paar scriptkiddo's kan worden verstoord en alles maar mag omdat het, het internet is. De wetten die gelden in de echte wereld lijken op het internet niet meer te gelden, maar als het over kinderporno gaat dan duikeld de hele wereld er over (terrecht!, maar doe dat dan ook bij andere zaken).
Een bende valt hartstikke mee, problemen worden vaak overhyped. Kijk naar dat recente gezeik met CyberBunker. "Het internet trilde op haar grondvesten, Netflix ging er plat van!" Enorme bullshit, maar 80% van de mensen trapt er in! Zo gaat het wel vaker, sensatie noemen we dat.

Het is echter wel "cause and effect". Men wil alles zo goedkoop en makkelijk mogelijk, dankzij internet zijn een heleboel dingen A.) Makkelijker geworden, B.) Sneller geworden en C.) Goedkoper geworden.
Echter: mocht er een dag zijn waarop het hele internet plat gaat dan is er een totale chaos. Miljarden gaan op een dag verloren. Veel van wat je kent zal niet meer werken, totaal niet meer. Is dat gevaarlijk? Ja en nee. Ja, want als het gebeurt is dat bizar problematich. Maar... Je kan hetzelfde zeggen van elektricieit, schoon stromend water, et cetera; en dat gebruiken we vele jaren langer dan het internet en is ook geen ramp geweest ;) Echter is dit wel storingsgevoeliger... Er hoeft maar één bizar sterke zonnevlam te kopen en "shit goes down!". En zonder elektriciteit: ook geen internet. Het een draait op het ander.
Om te zeggen dat internet slecht is, terwijl het juist dingen op weg helpt en goedkoper maakt et cetera, lijkt me dus een raar argument. Internet is goed en belangrijk voor onze infrastrctuur en economie. Wil je dat bijvoorbeeld bellen naar Amerika weer stervensduur wordt, schaf dan het internet af ja. :)

Dat één of een paar script kiddies het hele internet kunnen plat gooien is ook incorrect. Zal niet werken. Het internet is sterker en beter beveiligd dan mensen vaak aannemen. Het is heel vaak geprobeerd het internet geheel plat te gooien. Tot nu toe: Zonder ook maar een greintje succes. Er is heel veel mogelijk om aanvallen te blokkeren en sommige cruciale infrastructuren zijn zeer sterk beveiligd.
De tijd zal het leren, maar "mark my words": Binnen 25 jaar draaien de meeste landen met interne netwerken, niet meer dan logisch als je bedenkt dat 99,99% van het verkeer van ACCESS providers (lees; consumenten en zakelijke markt) bestaat uit verbindingen naar Youtube, Facebook, NU.nl (en overige nieuwssites), VOIP en Banken. Wat is het nut om het internet in Nederland te koppelen met dat in bijvoorbeeld een Pakistan? Niets. Wil je kunnen communiceren met deze landen, dan moeten er "gateway's" komen, of iets wat daar op lijkt. Maar het vrije verkeer tussen landen werkt gewoon niet, dat wisten we 10 jaar geleden al, maar nu de grote massa afhankelijk is geworden van internetbankieren, twitter of facebook is het zichtbaar geworden.
Nah, dit slaat echt volkomen nergens op. Ten eerste slaat het hele punt al nergens op, maar ook nog "binnen 25 jaar draaien de meeste landen met interne netwerken" slaat al nergens op; dat is NU al het geval. Ik weet niet wat jou begrip van het internet is, maar alle landen draaien al hun eigen netwerken en die worden vervolgens gekoppeld met die van anderen. (Al dan niet via internet exchanges zoals die in Amsterdam) Hoe denk je dat China's grote vuurmuur werkt? :P
Dus, die "gateways" zoals jij het noemt zijn er al, en zo opereert het internetz gewoon. Dat er weinig FILTERS op die links zitten, dat is een heel ander verhaal.
Maar, het is ook de grootste bullshit om te zeggen "Pakistan willen we niet hebben". Ik weet niet of je het nieuws wel eens volgt, maar vaak zitten de meester idioten in Amerika, Rusland en China; maar vergeet niet: ook onder de Nederlanders zitten er een aantal die bizar foute dingen op het internet doen.
Het grappige is trouwens dat, ondanks dat ze er geen drol mee te maken hadden, CyberBunker ook een Nederlands bedrijf is. Als ze dat wel waren geweest, was jou argument dan geweest dat de hele wereld Nederland maar moest afsluiten van het internet? :P
Pakistan is wat dat betreft veiliger hoor, die hebben een slechtere infrastructuur... Valt minder mee te bereiken.
Daarnaast bestaat het internet tegenwoordig uit bostrollen en ander anoniem tuig dat geen enkele meerwaarde toevoegd aan het internet. Uiteraard is het fijn dat er gecommuniceerd kan worden op fora's, ik ben ook van mening dat dit juist een hele goede meerwaarde heeft, maar zolang dit allemaal anoniem kan zie je door de bomen het bos niet meer. Zie bijvoorbeeld een Twitter. De helft van die 30.000 berichten over de ING kwam niet eens van een ING klant en erg verwonderlijk: normaliter heeft niemand geld en nu ineens moet iedereen roepen dat ze wel duizenden euro's missen op hun rekening. Who cares dat je even niet kunt pinnen, erg vervelend, maar de wereld vergaat niet..
Feit. Deal with it. Het grote boze internet zit vol met gemene mensen. Boehoe. Is dit echter waar...? Neen, het ligt er maar net aan WAAR je op het internet kijkt. Grote websites hebben er vaker last van. Een zware christen zal het geen minuut volhouden op 4Chan's /b/ board, of zelfs het /wsg board, hehe. Maar dat gaat twee kanten op. Maar op een site als Tweakers, hoewel er wel vervelende trolls tussen zitten natuurlijk, zul je echt niet veel meemaken dat mensen constant anoniem elkaar finaal zitten af te zeiken. :) Kortom: Het ligt er maar net aan op welke site je komt, en als een site je niet aanstaat: waarom kom je er dan? :)

Sommige mensen vinden dat soort sites wel leuk, maar omdat jij het niet leuk vindt moet het geblokkeerd worden...? Zo gaat het niet. ;)
En tja, het is makkelijk praten; maar bank verkeer is zeer belangrijk. Als je niet kan pinnen kan dat wel degelijk extreem hinderlijk zijn... Dat jij er geen last van hebt gehad, betekent niet dat een ander dat ook niet heeft gehad. Met andere woorden: wie ben jij om te bepalen dat de wereld niet vergaat? Is dat ook niet een "gemene bostroll" opmerking? :)

Snap je? Dingen zijn relatief.
Het medium Internet is te gevoelig en staat nog in de kinderschoenen en uitgerekend nu denken bedrijven dat het tijd is om de Cloud in te gaan, zijn ze helemaal van de pot gerukt? Het enige wat ik hoef te doen om een bedrijf op zijn gat te zetten is door de internetverbinding te saboteren en dan hebben we het nog niet gehad over storingen die optreden tussen access en contentproviders (cloud)
Internet... Gevoelig... Kinderschoenen... Wat?
Internet staat nog in de kinderschoenen?
Voordat ik daar überhaupt op kan reageren zou ik daar een redenatie achter moeten zien, want mijn inziens staat internet helemaal niet in de kinderschoenen maar is het uitgegroeid tot een groot geavanceerd medium dat geniaal werkt.
Ja, ik ben erg sceptisch op het internet en ja ik vind het een enorm mooi product, maar niet in de huidige vorm. Tijd om rotte appels (lees; LANDEN) volledig of gedeeltelijk (AS nummers) te weren binnen onze landsgrenzen. We gaan straks producten zien die iets weg hebben van bijvoorbeeld een Klik safe, blok alles maar wat we niet nodig hebben. Ik thuis kan er best mee leven als ik geen toegang heb tot heel Azie/Midden-Oosten of het Oostblok.
AS nummers zijn portable. En kunnen reassigned worden.
Daarnaast; als je werkelijk vindt dat landen er uit geknikkerd moeten worden, dan mag je meteen alle landen afsluiten van het internet; inclusief Nederland. Ons Nederlandje staat echt niet vlekkenloos bekend als HET schoolvoorbeeldje voor een keurige internet society hoor, hehe :)
Om nou te zeggen dat alle problemen uit Azië en Midden-Oosten komen is de grootst mogelijke onzin. Bewijs het maar... :)


Objectief kijken...?
Begin er zelf eens mee! :)

[Reactie gewijzigd door WhatsappHack op 5 april 2013 22:08]

Zoals ik in mijn laatse zin reeds aangaf wil ik een discussie voeren en geef ik enkel kanonnenvoer, je moet er dan ook mee doen wat je wilt. Don't shoot the messenger ;-)

[Reactie gewijzigd door hulseman op 5 april 2013 22:22]

Ik geloof nou juist dat het 'duistere internet' met alle 'uitwassen' een laatste schuilplaats is voor de stem van het volk. Als er geen hackers/reversers/klokkenluiders/ zijn of enige vorm van anonimiteit en privacy, dan is er helemaal geen 'controle' van het bedrijfsleven & de overheid meer mogelijk voor ons 'simpele burger'.

Anders gezegd: '1984 was not supposed to be an instruction manual' (imho).
Wat heeft het misbruiken van een protocol om andere verbindingen plat te gooien nu precies te maken met mensen die downloaden...? Ik zie de link niet helemaal.
Ook zo'n gesloten nationaal intranet kan door dergelijke professionele hackers gewoon gehackt worden dus dat zal niks helpen.
Ik moet er ook niet aan denken dat je die vrijheid inperkt voor die schijnveiligheid.
@hulseman: allereerst credits voor het durven opstarten van deze discussie. Ik denk dat je een reactie verwoordt die momenteel onder veel Nederlanders leeft. Om met Koot en Bie te spreken: "we sluiten de deuren en de ramen". Om deze reden verdient je reactie waardering denk ik. Dank zij jouw reactie hebben we namelijk de gelegenheid om deze discussie te voeren. En ik moet zeggen dat ik net als WhatsappHack het niet met je eens ben. Aan de inhoudelijkheid van WhatsappHack reactie is weinig af te dingen. Hij geeft tegenargumenten voor de punten die je noemt en heeft waarschijnlijk je mening wel op de helling gezet.

Wel herken ik de argumenten die je opnoemt, die bij een groot deel van de Nederlanders in die strekking ook wel zullen leven. De remedie die je noemt is echter een paard van Troje.

Om te reageren wil ik weg stappen bij het internet an sich. Internet is niet meer dan een facet van onze samenleving. Door de kracht van computers werkt het internet wel als een vergrootglas. Een slechte daad kan via het internet meer van de samenleving raken dan in ons fysiek werkelijke bestaan. Problemen die in onze huidige geglobaliseerde samenleving bestaan hebben echter een diepere oorzaak dan de simpele aanwezigheid van het internet. Het internet is niet meer dan een instrument. Wel kan het internet een turbo charger worden genoemd. Internet geeft een push tegen zowel de positieve als negatieve aspecten van onze (geïnternationaliseerde) samenleving.

Vanuit bovenstaande redenering gedacht is het ook voor te stellen dat het opleggen van allerlei restricties aan de werking van het internet onze maatschappelijke kernproblemen niet oplost. Eerder zal het de oplossing van de kernproblemen afremmen. Het internet in haar functioneren te beknotten is symptoombestrijding. Vanuit die optiek is het juist heel goed dat het internet ons confronteert met kwesties die we gezamenlijk moeten gaan oplossen. Net noemde ik de analogie met een turbo charger. Internet is een dubbele rij V18 stermotor, een renpaard. Temperamentvol en moeilijk te beheersen, maar oh zo uitdagend en een aanjager op zoveel terreinen. Nee, niet het internet schiet tekort, of is mank, maar wij mensen verklooien unieke kansen en mogelijkheden. Als ik zie hoe onbenullig het leeuwendeel van het internet verkeer is dan doet dat mijn achting voor de mens als soort niet stijgen. De mens als apotheose van de de ontwikkeling van het leven op aarde? Laat me niet lachen. Als we zo blijven klooien dan zijn we gewoon dinosaurus van dienst, lijdzaam wachtend op de volgende kometenregen.

Wat is dan de oplossing voor alles? Ik zou het niet weten, ik ben ook maar een mens. Aspecten die is zie is dat door globalisering en verregaande integratie onze maatschappelijke systemen zo autonoom zijn dat ze onmenselijk (zonder de negatieve connotatie) en amoreel worden. Naar mijn idee heeft dat met de schaalgrootte en de daarmee samenhangende anonimiteit te maken. Wij mensen zijn vanuit onze oorsprong groepsdieren en zijn eigenlijk incapabel om grote internationale structuren te beheersen. Dat kunnen we terug zien in de onmacht van onze politici en de wijze waarop CEO's grote ondernemingen besturen. Een ander verschijnsel, dat dit voorgaande nog schrijnender maakt is de groei van onze wereldbevolking en het bijbehorende beslag op de collectieve resources. We schuren als samenlevingen behoorlijk langs elkaar heen en missen de structuren omdat in goede banen te leiden.

Door de collectieve onmacht om op internationaal niveau de bovenstaande verschijnselen in goede banen te leiden krijgen allerlei marginale verschijnselen de gelegenheid de kop op te steken. En hier komt het gedoe met onze banken het verhaal binnen. Criminaliteit is van alle tijden, met of zonder internet. Onze huidige maatschappelijke structuur, geholpen door het internet, internationaliseert de criminaliteit. Helaas lopen internationale beheerssystemen achter op deze ontwikkelingen. Het ontwikkelen van deze internationale beheersystemen is een deel van de oplossing, als we daartoe überhaupt in staat zijn. Het uitzetten van het internet as we know it is beslist niet die oplossing. Door het internet uit te zetten worden al die langs elkaar wrijvende samenlevingen weer meer op afstand van elkaar gezet. Dit leidt alleen maar tot meer onbegrip, terwijl het langs elkaar wrijven gewoon door gaat. Met het internet geeft de mensheid zichzelf een tool om zijn tekortkomingen te neutraliseren. Laten we onszelf die kans niet uit handen slaan, of op een andere manier verrommelen.
In de VS worden banken ook al een aantal dagen geteisterd door DDOS aanvallen. Het zou me niets verbazen als de storing bij ING gisteren ook veroorzaakt is door zo'n aanval. Het corrupte bestand zou in principe veroorzaakt kunnen zijn door een verstoorde communicatie tussen servers. Wilde gok, maar het is een mogelijkheid. Ik vind het nl een beetje teveel toeval, zo 2 dagen achter elkaar problemen bij dezelfde bank.

Probleem is dat je vrij weinig kunt doen tegen een ddos aanval. Ja, als een haas die IP ranges uitschakelen, maar het zijn denk ik geen jochies die een paar pc's aan het werk hebben gezet. Ik heb zelf ook een keer last gehad van een stuk verveel die er lol in had om mijn server aan te vallen. Gooi je de ene ip in je fw, komt ie terug met een ip uit Polen. Dan weer uit Rusland, dan uit Duitsland. En als het met een flink botnet gaat, loop je steeds achter de feiten aan, totdat je infrastructuur het begeeft.

Dit kost bakken met geld en veel stress voor die arme beheerders. En het doel? Geen idee. Stenigen die lui zou ik zeggen. Stuur ze naar Syrië ;)
Als dit een of ander vaag protest is tegen de hoge salarissen bij banken of de toestand met Cyprus is het niet erg doordacht. Wij draaien nl zelf voor de kosten op. Je straft er de bank niet mee. Vooral niet nu iedereen weet dat het een aanval was.
Alle IP ranges buiten Nederland tijdelijk blokkeren lijkt me al een hoop schelen :).
gewoon de hele zooi op een juiste manier opsplitsen !
en de juiste ip filters er op plaatsen.

binnen nederland inloggen via https://mijn.ing.nl
binnen europa (exclusie nederland) inloggen via https://mijn.ing.eu
rest van de wereld via https://mijn.ing.com
Daar gaan klanten geleid over zeiken. Klanten willen niet nadenken. Kijk maar eens hoe je vrouw en kinderen gaan mekkeren als je drie sloten op de buitendeuren installeert. Veilig maar niet echt lekker met twee volken boodschappen tassen.
Wat een onzin. Je schetst nu een wel heel dom beeld van "de gemiddelde consument"
Juist door dit soort aanvallen en het down zijn van internetbankieren ontstaat er draagvlak. Ik denk dat mensen hier 100% begrip voor hebben en liever hun geld aan het eind van de maand nog hebben.

Ik ken zat mensen die liever niet kunnen pinnen/internetbankieren in het buitenland behalve als ze dat aanzetten. Telefoneren van en naar buiten Benelux en Duitsland, zet het voor mij ook maar uit.
Door pinfraude en gestolen telefoons (schade en schande) wordt men wijs.
Jazeker, maar dan heb je een tijdelijke oplossing en sluit je klanten in het buitenland uit.
Nou en?
Hoeveel procent van de klanten komt uit het buitenland?
Liever 95% van de klanten die gewoon hun bankzaken kunnen blijven doen dan die 5% klanten die in het buitenland zitten en (tijdelijk) buitengesloten worden.
De verhoudingen liggen misschien nog wel anders.
Ja precies, nu kunnen die klanten in het buitenland er ook niet bij dus voor hun is er geen verschil. Oplossing van ChicaneBT is brilliant. Gewoon buitelandse IPs weren.
Met dezelfde logica is het bij enkele banken niet meer vanzelfsprekend om met een Nederlandse betaalpas in het buitenland te kunnen pinnen. Op pin.nl is te zien dat bij de Rabobank pinnen in het buitenland default uit staat, en dat bij ABN Amro je profiel hiervoor instelbaar is gemaakt. Dit is echter een reactie op een gemeten en bewezen verschijnsel.

Wel grappig is dat we (ik net zo goed hoor) onwillekeurig toch aan het analyseren raken wat/wie de bron van deze aanvallen zou moeten zijn. "De aanval is zo georganiseerd, die moet wel uit het buitenland komen, de Amerikanen zijn ook aangevallen".

Toch even speculeren. Rusland? Nee, heeft geen belang bij verstoring van het betalingsverkeer, is zelf te afhankelijk hiervan. Hetzelfde geldt voor China. Vroeg of laat raakt dit uitgezocht. Hiermee bouwen deze landen geen credits op. Noord Korea? In het geval van de VS kan ik me daar iets bij voorstellen. De logica van Noord Korea is onnavolgbaar, en de VS is voor Noord Korea een focuspunt. Maar Nederland? Beseft een Noord Korea het bestaan van Nederland wel? Niet erg waarschijnlijk, lijkt mij. Dan toch Nederlandse copy cats? Getriggered door wat hun Amerikaanse maatjes voor elkaar hebben gekregen, wat allemaal welbekend zal zijn binnen hun scene?

Dus waarom niet gewoon een binnenlandse actie? Er is al betoogd dat er nu ook weer niet zoveel voor nodig is om een ddos aanval te bewerkstelligen. En moeten we eerst niet begrijpen wat er gebeurt voordat we allerlei maatregelen nemen?
Doet er niet toe waar het vandaan komt. Het blockeren van buitelandse IPs lijkt me minimaal het proberen waard. Daarnaast is het ook niet zo dat, ook al zijn het Nederlanders die er achter zitten, dat die dan alleen een Nederlands botnet hebben, integendeel. Een fatsoenlijk botnet bestaat uit computers over de hele wereld. Dus zelfs in dit geval zal het blockeren van buitenlandse IPs kunnen helpen.
Je vergeet even dat veel buitenlandse bedrijven een NL bank-rekening hebben. Dat gros NL bedrijven betalingen hebben naar het buitenland. Als particulier merk je het mischien niet, echter gros bancair systeem is internationaal. Je kan je stelling beter omdraaien, 5% klanten in het binnenland kunnen hun bankzaken doen, 95% heeft een probleem.
Die zullen toch wel een Nederlandse VPN op kunnen zetten, zoveel kost dat toch niet, sowieso wel prettig om je al je verkeer te versleutelen in sommige landen.
Precies, waarom zitten hier mensen spijkers op laag water te zoeken m.b.t. de opmerking om alle buitenlandse IPs gewoon te blokkeren. De nadelen ervan komen niet eens in de buurt van de voordelen. Er zijn in mijn ogen niet eens nadelen. Terwijl het voordeel is dat het systeem gewoon overeind blijft.
Ik neem aan dat zoiets hogerop moet worden gespeeld dan bij de banken zelf, bijvoorbeeld bij een Internet Exchange Point oid? Op het moment dat de firewalls van ING er aan te pas komen is het al te laat lijkt mij. Dat was nu het punt waar de congestie optrad.
Fantastisch idee !

Nu nog de attackers overhalen om er voor te zorgen dat hun ddos-pakketjes correcte source IP addressen gebruiken. Want stel je voor, als de attackers pakketjes gaan sturen met fake IP addressen, die er uitzien als Nederlandse adressen, dan zou het echt een mooie boel worden ...
Ja dat kunnen ze doen, maar dat maakt z'n aanval al een stukje moeilijker. Niks doen zoals jij blijkbaar suggereert helpt i.i.g. niet.
De aanvallers zijn waarschijnlijk ook niet achterlijk. Dan pakt men gewoon Nederlandse infrastructuur om de aanval mee te verrichten of op de laten "reflecten". Probleem opgelost voor de aanvaller en de bank is terug bij af. Vergeet niet dat Nederland een enorme internet capaciteit heeft liggen in Amsterdam.
Ik kan me moeilijk voorstellen dat de ING betalingsverwerking stoelt op "één bestand". Daarnaast zijn er per werkdag twee of drie betaalruns. Dat "bestand" zou in de nacht verwerkt zijn, maar pas in de middag problemen hebben gegeven. Ik vind het een raar verhaal.
Dat "bestand" is natuurlijk niet 's nachts verwerkt zoals bedoeld was, maar pas overdag ... en toen dus gecrasht (alsnog ?). Althans, dat lees ik tussen de regels door :Y)
Wil je nu echt dat ze alle details gaan uitleggen? Dit snapt 99% van de Nederlanders al niet. Politici roepen inmiddels al (lekker opportunistisch) dat er noodsystemen moeten komen. Dat heeft lekker veel zin als een betalingsrun fout loopt. In de eerste plaats is dat normaal gesproken een heel robuust proces (dat eigenlijk niet fout moet kunnen lopen), dat in principe ook herstartbaar moet zijn. Tenminste, dat zijn dergelijke programma's normaal gesproken gewoon. Ik heb met verschillende systemen gewerkt (en ook aan geprogrammeerd) waarbij het een voorwaarde was dat de boel herstart kon worden als de boel stopte om een of andere reden (disk vol of een ander probleem).
En ten tweede heb je weinig aan een noodsysteem als het systeem gewoon functioneel is, alleen de data is fucked up. Dan moeten er correctieruns gedraaid worden die de laatste transactie ongedaan maakt.

Whatever er ook gebeurd is, het is iets heel typisch. Hoe gammel sommige systemen ook gebouwd zijn, dit hoort niet te gebeuren. Het zal zoals gebruikelijk bij dergelijke 'rampen' een opeenstapeling van toevalligheden zijn en er moeten meerdere dingen mis zijn gegaan. Ik heb bij een organisatie gezeten waar elk kwartaal een half miljard gulden gefactureerd werd en die run liep de hele week. Van berekenen (ook allerlei zaken met terugwerkende kracht enzo, bedrijfstakregelingen) tot het aanmaken van de ola's. Dat proces kon zichzelf herstellen van een crash. Maakte niet uit, het was zo robuust als het maar zijn kan. Een bank moet minimaal een systeem hebben van een dergelijk kaliber.
Het is dus niet zo simpel als sommigen hier voorstellen.
Ik kan me moeilijk voorstellen dat de ING betalingsverwerking stoelt op "één bestand". Daarnaast zijn er per werkdag twee of drie betaalruns. Dat "bestand" zou in de nacht verwerkt zijn, maar pas in de middag problemen hebben gegeven. Ik vind het een raar verhaal.
'Crashen' met voorbedachte rade, natuurlijk. Waarom denk je anders dat de staatskas er ineens geld bij heeft?
Maar is het niet mogelijk om in 1 keer direct al het verkeer van buiten Nederland af te sluiten? Het meeste verkeer van de ddos zullen toch van buiten Nederland komen denk ik, terwijl de meeste klanten van de bank binnen Nederland zitten.
Gros bancair verkeer ook in NL is internationaal. Bancair verkeer gaat verder als bedragen af en bij boeken, ook letters of credit (scheepvaart,vrachtvervoer) en handel in grondstoffen etc.
Nee, die theorie klopt absoluut niet. De communicatie van betalingsbestanden gaat langs hele andere kanalen. Zo gek zijn banken nu ook weer niet, om die langs een externe website te laten lopen. Nog afgezien van de controle mechanismes die op betalingsbatches zitten.
Volgensmij heeft ING met een VET probleem te maken. Even afgezien van de betalingsproblemen.

Zoals Rye hierboven al zegt: een firewall kan niks doen tegen een ddos aanval. Andere software/hardware kan een ddos aanval volgensmij ook niet tegen houden omdat het moeilijk te bepalen is of het nu om een ddos aanval gaat of dat er "toevallig" gewoon veel mensen connecten. (het fijne weet ik er ook niet van).

Hoe moet je zo'n situaties nu aanpakken?
- Meer servers bij zetten om een grote bandbreedte te creëen. waardoor er weer ruimte is dat "normale" gebruikers weer kunnen connecten.

- ip's traceren en op de een of andere manier toestemming vragen om de PC te onderzoeken op ddos software, Dit vervlogens uit besteden aan een beveilingsbedrijf die dan weer een update kunnen geven aan hun virus scanner om de ddos software te verwijderen. Maar dan heb je weer het probleem dat tussen een x10000 ip adressen ook "normale" gebruikers zitten.

Dat wordt denk ik nog een flinke klus! maar wel interessant ^^
Een firewall kan een aanval niet geheel stoppen, nee. Maar de gene die roept "firewall kan niks doen tegen een ddos aanval" mag van mij regelrecht terug maar de schoolbanken...
Volgens mij kan je toch al veel halen om de meeste ip's(of ip ranges) die het veroorzaken te0routen.
Dat duurt te lang. Een null route wordt meestal overigens de andere kant op uitgevoerd. Een null route wordt vaak uitgevoerd door de partij die aangevallen wordt, of diens provider, om bijkomende schade ("collateral") tegen te gaan; daarmee wordt bedoeld dat een DDoS naar een bepaald(e) IP(-reeks) wordt gestopt door die IP's naar een nullroute (0.0.0.0 of loopback) te laten knallen. Het effect is dat de DDoS eigenlijk succesvol is omdat de target nu geheel offline is, echter is de grote winst voor de provider die aangevallen wordt dat de rest van hun netwerk (die over dezelfde "pipe" heengaat) niet langer bizarre hoeveelheden data te verwerken krijgt of dat dit in ieder geval bij de core al gedropped wordt, zodat de rest van de klanten geen hinder meer ondervinden. Down gaat het van zulke grote DDoS aanvallen vaak toch wel, dus dat maakt weinig uit. De nullroute wordt weer opgeheven zodra de aanval (significant is) (ge)stopt.
Bij banken ligt dat natuurlijk een héél stuk lastiger, daar nullroute je niet zomaar ff de IP's van... :X Banken hebben mogelijk ook hun eigen netwerken dus is het hun eigen probleem, er zijn geen andere klanten die de sjaak zijn door de aanval.

Andersom gaat het een stuk lastiger, je kan als provider niet de ranges van een andere provider geheel nullrouten plus kan dat enorme problemen opleveren afhankelijk van wat er in die range zit en het kan zelfs contracten schenden. (Daar ga ik niet verder op in, want zo blijf ik bezig...) Je kan hoogstens een bepaalde range aan de firewall toevoegen, of meerdere, maar dat schiet niet op, want:
1.) De traffic bereikt jou alsnog (Met een nullroute die "advertised" wordt !niet!)
2.) Je moet dan handmatig steeds de IP's aanpassen, zeker bij reflection attacks
3.) Als je ranges blocked, bij zombie netwerken, heb je kans normale gebruikers ook te blocken van je gehele netwerk, dus ook andere klanten
4.) Vaak zijn er zo veel ranges waaruit de aanval komt dat het gewoon niet te doen is
5.) Het is een hel voor de sysadmin
6.) De sysadmin moet handmatig al die IP's gaan opsporen en toevoegen, dat duurt rete lang en ranges kunnen steeds veranderen
7.) Vaak is het niet eens te onderscheiden welke IP's legitiem zijn en welke niet... Om dat te moeten gaan onderzoeken moet je de packets inspecteren en... Zie punt 5 en 6 ;)
(Bedenk je ook even hoeveel pakketjes er binnen komen bij een aanval van tientallen, en soms honderden, Gbit/sec... Mission impossible. Okee, nu was het bij de aanval van vandaag kennelijk meer brute-force dan packetstorm, dat maakt het al een stuk makkelijker uit te vogelen; maar nog steeds lastig en dit is een zeldzamere vorm van aanvallen dan een packetstorm.)

Kortom: een nullroute moet quick n efficient zijn, en om die reden wordt deze veelal enkel toegepast op de IP's van het slachtoffer om zo verdere schade te voorkomen.

[Reactie gewijzigd door WhatsappHack op 6 april 2013 02:20]

Je eerste optie is dweilen met de kraan open. Als zo'n organisatie (ja, ik noem het organisatie aangezien ik niet verwacht dat een paar opgefokte scriptkiddies dit doen) of land merkt dat ze die servers niet down krijgen, kopen ze wel weer een botnetje bij. Voor hun geen probleem, want dat soort organisaties hebben geld genoeg.

DDOS is toch echt een moeilijk te bestrijden aanval. Niet alleen zorgt het ervoor dat de servers compleet plat gaan, ze kunnen ook gebruikt worden als afleiding voor een hackaanval. Eventjes met Wireshark de verbinding onderzoeken lijkt me geen doen :+ .

Een optie voor bedrijven is dit misschien:http://www.blacklotus.net/. Heb me er nog niet in verdiept, maar hun website geeft aan dat elke vorm van DDOS'sen 'resist' is op hun netwerk. Vraag me af of dat in dit geval ook zo is :9 .
Een DDoS is erg irritant, maar tegelijkertijd wel de beste manier om botnets onderzocht & ontmanteld te krijgen; zoveel exposure en tegelijkertijd mandaat/budget/prioriteit voor onderzoek is er anders bij lange na niet. En zie het anders als een gratis audit voor alle getroffen banken, zo omvangrijk zullen eigen red-team oefeningen van de banken nooit zijn 8-)
Je servers zijn niet de 1ste contact met de buitenwereld. Dat zijn firewalls of application shielding appliances als F5.
Leek me ook een beetje onlogisch dat er ineens allerlei storingen waren bij verschillende banken en ideal zonder enig verband... Wel altijd jammer om te zien dat er na al die tijd nog steeds geen goede manier is gevonden om mensen over dit soort problemen, maakt niet uit of ze al weten wat het precies is, in te lichten (vertrouwen is wat een bank nou eenmaal groot maakt).
Volgens mij zit er helemaal geen verband tussen de ddos en de storing met te lage saldos bij ING. Raar dat dit met elkaar verband wordt gelegd.
Ik denk eerder dat als de bank een betaling van 1.000 euro niet ontvangt maar wel 1200 afschrijft die voor mensen met 500 euro op de bank wel gemerkt wordt en bij mensen met 10.000 euro op de bank niet. Vandaar dat het een probleem lijkt met 'lage saldos'.
Er zit ook geen verband tussen. Het verwerken van transacties is een intern proces dmv batchverwerking. De ddos aanval is alleen gericht op het externe deel van de bank, nl. de website. Ook het willen inloggen op internetbankieren zit niet direct gekoppeld aan het paymentsgedeelte van een bank. Oftwel: het heeft niets met elkaar te maken.

[Reactie gewijzigd door Edgarz op 5 april 2013 23:04]

Leek me ook een beetje onlogisch dat er ineens allerlei storingen waren bij verschillende banken en ideal zonder enig verband... Wel altijd jammer om te zien dat er na al die tijd nog steeds geen goede manier is gevonden om mensen over dit soort problemen, maakt niet uit of ze al weten wat het precies is, in te lichten (vertrouwen is wat een bank nou eenmaal groot maakt).
Woordvoerder wist het waarschijnlijk echt nog niet vanmorgen/vanmiddag toen ze pers te woord stond, moeten eerst onderzocht worden en nogmaals onderzocht, vroegtijdig iets roepen levertje je weer ander commentaar op als het niet juist blijkt te zijn.

Laten ze maar alle tijd besteden in het oplossen ipv pers te woord te staan. Wat het probleem is is wat mijn betreft en hoop andere denk ik niet zo relevant, we willen gewoon zo min mogelijk problemen en hoe ze het doen of wat de problemen zijn zijn 99,99% van mensen niet in geïnteresseerd.
De media zat er al direct bovenop, en hoe zou een bank hun miljoenen klanten allemaal tegelijk eerder kunnen informeren? Even bellen? Dat is een praktisch onhaalbaar scenario, dat snapt iedereen. Een email sturen? Dat is precies wat de phishing crimineen ook doen, weet je nog? "Uw account is gehackt, wilt u even ter verificatie uw pincode intoetsen".

Het is onmogelijk om de klanten sneller persoonlijk te informeren. Vreemd genoeg is het verwachtingspatroon van iedere klant nog ouderwets: Waarom bellen ze niet even? Miljoenen klanten, weet je nog...
Ik ben en blijf overtuigd (oa door inside info) dat de directies van banken lichtjaren verwijderd zijn van enige zinvolle gedachten over ICT en wat het betekent voor hun onderneming. Mijn eigen ervaring is dat bestuurders ICT zien als dingen met lampjes enzo. Techniek. En techniek, daar zijn we niet van. Laat staan zaken op een hoger plan als informatiearchitectuur. Dus zijn de ICT clubs bij banken vaak solitair opererende koninkrijken, met een sterke technische focus ipv een operationele (alignment). Je kunt wachten op problemen.
Kom nou toch. Kijk gewoon naar de hoeveelheid transacties die continu worden verwerkt en die zelden fout gaan. Dat zou echt niet lukken als men niet weet waar men mee bezig is. Ik denk dat er maar weinig ICT systemen zo robuust zijn als die in de financieele sector operationeel zijn. Er zijn alleen maar nu en dan outages, maar er "verdwijnt" nooit een cent door storingen. De basis is dus hardstikke robuust. Slecht het internet access schilletje er om heen vertoond kuren. Kom daar maar eens om bij een willekeurige andere sector. Hoogstens de telecomindustrie komt in de buurt van die betrouwbaarheid.
Helemaal mee eens. Robuust zullen de systemen zeker zijn, maar ik denk ook vaak verouderd.

Ik denk dat de bankensector conservatiever is in vernieuwing van ICT systemen dan veel andere sectoren.

Dat is van één kant wel begrijpelijk, vervangen van systemen, zoals oude mainframes, die an sich goed werken brengt immers risco's met zich mee. If it ain't broke, don't fix it.

Maar weinig vernieuwing brengt uiteraard ook risico's met zich mee, zo zullen koppelingen met modernere systemen complex zijn om te bouwen. Al is het maar door een tekort aan engineers die gespecialiseerd in een bepaalde legacy technologie.

Het "internet schilletje" dat jij noemt dreigt daardoor met houtje touwtje oplossingen aan de robuuste achterliggende systemen gekoppeld te worden.

[Reactie gewijzigd door werchter op 5 april 2013 22:29]

Die hoeveelheid transacties wordt verwerkt door *zeer* stabiele mainframes met een enorme hoop processing power. En inderdaad zijn die systemen robuust. Het volume aan transacties is zo hoog dat er alleen platforms als IBM/Fujitsu Siemens/Tandem zinvol ingezet kunnen worden. Maar dat is al jaren zo. In feite is er aan die architectuur niet gek veel veranderd. Vaak zijn er webinterfaces omheen gebouwd die met screenscraping of andere technieken info uit die mainframes halen. Maar de mobiele markt/internet is iets totaal anders. Daar krijgen ze nu mee te maken. Dat vereist een andere blik dan het onderhoud aan al die al jaren lekker doorstampende mainframes.

Ik zei het een beetje boud maar bijv. ING lijdt aantoonbaar aan een met name financieel beperkte ICT-blik. Daar moest ICT voornamelijk goedkoop zijn, want ICT was een costcentre. Dus is er behoorlijk achterstallig onderhoud in hun architectuur. De afgelopen jaren heeft ING ook storingen gehad en toen hebben ze wat aan financiele injecties gedaan in hun infrastructuur maar daarmee los je een fundamenteel probleem nauwelijks mee op. Let maar eens op hoe vaak de ATM's die bij bijv. Albert Heijn staan defect zijn, of een BSOD laten zien. Die hangen aan een goedkoop consumentenlijntje want performance en bandbreedte 'kost duur' en chartaal geld is niet de hobby van banken.
Dat vind ik een behoorlijke kortzichtige gedachte, als je me excuseert.

Als er 1 plek is waar ze juist als eerste zijn gaan automatiseren, dan zijn het de banken wel.

En ook nieuwe ontwikkelingen zijn ze vrij vroeg mee: Internetbankieren was gemeengoed ruim voordat andere sectoren (overheid, vervoer, energiebedrijven of zelfs retail) zich daaraan waagden.

Nou moet wel gezegd dat dit niet betekent dat de "Business" heel veel van IT weet. Ze zien het wel heel duidelijk als strategisch middel om kosten te besparen en te concurreren. Dat schuurt nogal eens. Maar bij de banken is IT absoluut een zeer belangrijk aspect binnen (strategisch) beleid en vertegenwoordigt een zeer groot gedeelte van het budget.

Goed, op directieniveau zijn het geen techneuten. Maar het zijn dan ook banken, dan is gezien de producten die ze verkopen op zich ook primair van belang dat de leiding van bankieren weet. Soms maak ik me juist wel eens zorgen of een CEO als Jan Hommen wel weet hoe een klant aan de balie eruitziet, die graag zijn spaargeld veilig wil. Of wat het betekent voor een middenstander als hij geen overbruggingskrediet kan krijgen... maar goed, ik dwaal af.

[Reactie gewijzigd door Keypunchie op 5 april 2013 21:18]

Wat is het baat van de aanvallers bij het down zijn van ING en iDeal? Moet je hierbij denken aan een soort van gijzelingsituatie: servers zijn down tenzij we dit en dit bedrag krijgen?

Ik zou het zelfs niet vreemd vinden als de wereldwijde aanvallen op betalingsverkeer iets te maken hebben met Bitcoins *aluhoedje opzet*
Even de boel testen. Nu ze weten dat het werkt kunnen ze het hele netwerk inzetten en alle banken. Kijken wat er gebeurd als iedereen een week lang niet bij zijn/haar geld kan in Nederland.

Oplossing? Een dedicated netwerk (incl kabels etc) tussen de banken zodat automatische transacties wel doorgaan. Dat scheelt al een hele boel. De rest uitdenken laat ik aan anderen over maar blijkbaar moet je je lijnen beschermen tegen verkeer van buitenaf.
Netwerk is er en werkt. Zwakke schakel is dat je als klant moet inloggen op dat netwerk als er een ddos plaatsvind je als inloggende klant geluk moet hebben er door te komen. De backbone tussen banken zal weinig tot geen hinder ondervinden onderling.
Bitcoin wordt ook zwaar aangevallen. Ik kom aluhoedjes te kort op dit moment. :P

Het vervelende met zo'n aanval is dat je niet weet wie het doet. Dat wordt extra vervelend als je wraakacties krijgt. Die kunnen zich namelijk op de verkeerde richten, zodat je een grote chaotische cyber oorlog krijgt.

Nog niet genoemd hier is dat Zuid Korea pas geleden ook zwaar aangevallen is.

De lijst van mogelijke daders lijkt lang. Islamisten. Noord Korea. Hacktivisten. Bancaire sector (vanwege bitcoin). Overheden (vanwege bitcoin).

[Reactie gewijzigd door ArtPhil-Flower op 5 april 2013 22:50]

Ik ben benieuwd wie hier achter zit, en wat het doel is, of ijn het gewoon puberale jongeren?
Puberale jongeren? Denk het niet. Een paar banken platleggen door DDOS als aanval te gebruiken zie ik zo 1-2-3 niet gebeuren door jongeren. Eerder door een grote organisatie of land. Zij hebben de know-how en/of de financiele middelen om een bank plat te leggen.

In de V.S. zijn overigens 15 banken voor een redelijk tijdsbestek offline gehaald door DDOS'ers.
http://www.nu.nl/internet...nken-vs-249-uur-plat.html

De beschikbaarheid van de banken beginnen me nu toch wel te irriteren. De ING spant op dit moment de kroon met het aantal storingen dat ze te verduren krijgen. Zou me er als klant toch echt niet gerust op voelen om daar mijn geld neer te zetten. Enfin, geen een bank voor consumenten is zo geweldig dat iedereen er naar toe gaat, maar op dit moment ben ik toch blij dat ik mijn geld bij de Rabobank heb staan.
De ING storingen krijgen ook altijd heel erg veel media aandacht. Radio 1 journaal volgde de ING storing per 10 minuten en liet de SNS woordvoerder na 90 hele vriendelijke seconden al weer gaan.
Ik denk ook niet dat een groepje jongeren hier achter kan zitten. 300Gbps is wel een idioot aantal, dat gaat je niet lukken met de pctjes in de kelder.
Dit kan je makkelijk lukken met een aantal krachtige pc's als een DNS DDoS Amplification Attack gebruikt, moet echter wel de nodig no-how hebben om dit uit te voeren.
Dit kan je makkelijk lukken met een aantal krachtige pc's als een DNS DDoS Amplification Attack gebruikt, moet echter wel de nodig no-how hebben om dit uit te voeren.
knowhow? Gewoon voldoende requests versturen van een zeer standaard/voorkomend type en de amplification gebeurt vanzelf. Het is geen rocket-science en gezien de verhouding van "vraag & aanbod" in bytes gemeten, is de initiele investering van aanvragen doen maar ongeveer 6% van het uiteindelijke resultaat. Hier zijn geen krachtige PC's voor nodig noch dikke internetlijnen. Gewoon het volume van het aantal aanvragen zorgt voor het issue en volume kan "ook" worden gegenereerd door heel veel kleine PC's op hele smalle internetverbindingen.

Voorbeeld: aanvraag van 10Gbps, resultaat 160Gbps amplification.

[Reactie gewijzigd door MAX3400 op 5 april 2013 21:26]

Het is vrij simpel: je schrijft een virus (of koopt die in), verspreid het virus (vroeger had je bijvoorbeeld MSN waarover vaak virussen gespamd werden), wacht tot je genoeg PC's geïnfecteerd (die zelf weer andere PC's gaan infecteren) en stuur uiteindelijk alle beschikbare PC's een commando om veel data naar een bepaald IP te sturen. Ik ken genoeg jongeren die dit wel degelijk kunnen (en/of hebben gedaan).
Ik denk ook niet dat een groepje jongeren hier achter kan zitten. 300Gbps is wel een idioot aantal, dat gaat je niet lukken met de pctjes in de kelder.
er zijn genoeg pubertjes geweest die eigenhandig (toegegeven, het ware geen domme pubertjes) een fors botnet hadden op weten tuigen, met een gebundelde capaciteit van makkelijk 300Gbps.
Mijn theorie: dezelfde aanvallers als in USA. Daar hebben ze alle websites zojuist een week down gebracht omdat ze een anti-islam filmpje van youtube willen. Dezelfde taktiek, zelfde periode, en Nederland lijkt logisch doel.
Dr zal binnenkort wel een verklaring komen op http://pastebin.com/u/QassamCyberFighters
Zeer grappig en uiterst droevig tegelijk om te lezen zo'n rapport van QuassamCyberFighters. Blijkbaar wordt er tegenwoordig gebruik gemaakt van formules om vast te stellen hoe erg de andere partij zich misdragen heeft. Aan de hand van deze formule wordt dan een passende maatregel berekend.
EDIT: Als klap op de vuurpijl bedenk ik mij ook dat deze andere partij aansprakelijk wordt gesteld voor het gedrag van anderen. Hoezo kromme redenering. 8)7

[Reactie gewijzigd door RikH op 5 april 2013 21:31]

Grappig, ik schreef eerder vandaag dat ik aan een ddos dacht, met een link naar een artikel over de Qassam. Werd niet gewaardeerd, ik zou chaos veroorzaken met mijn "link-geplemp".
1 2 3 ... 7

Op dit item kan niet meer gereageerd worden.



LG G4 Battlefield Hardline Samsung Galaxy S6 Edge Microsoft Windows 10 Samsung Galaxy S6 HTC One (M9) Grand Theft Auto V Apple iPad Air 2

© 1998 - 2015 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True