Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 87 reacties, 26.711 views •

Het Team High Tech Crime van de Dienst Nationale Recherche onderzoekt in opdracht van het Openbaar Ministerie de ddos-aanvallen waar de netwerken van banken en het betalingssysteem iDeal in Nederland mee kampen. De aanval op ING is voorbij.

Banken doen standaard aangifte bij aanvallen op hun infrastructuur en ING heeft tegen Nu.nl aangegeven dit na de aanvallen van vrijdag ook te gaan doen. Het Openbaar Ministerie heeft vooruitlopend daarop al opdracht gegeven aan het Team High Tech Crime van de Dienst Nationale Recherche om de aanvallen te onderzoeken, schrijft de NOS.

De Nederlandse betalingsdienst iDeal en ING kampten vrijdag met downtime en de Nederlandse Vereniging van Banken maakte bekend dat dit door een ddos-aanval kwam. Ook zaterdagochtend konden klanten van ING maar mondjesmaat online bankieren en van iDeal gebruikmaken. Zaterdagmiddag maakte ING bekend dat de aanvallen in ieder geval tijdelijk voorbij waren, maar dat klanten nog wel hinder konden ondervinden. De bank zegt eraan te werken om alle problemen op te lossen.

Een van de manieren waarop de aanvallers de banken offline probeerden te krijgen, was door herhaaldelijk proberen in te loggen op internetbankieren. Dat kost meer servercapaciteit dan enkel het sturen van pakketjes, zoals meestal het geval is bij een ddos-aanval. Dat liet een woordvoerder van de Nederlandse Vereniging van Banken vrijdag weten aan Tweakers. De hele week kampten banken met problemen met internetbankieren, maar niet bekend is of die allemaal aan de aanval toe te wijzen zijn.

Reacties (87)

Reactiefilter:-187081+150+24+30
Moderatie-faq Wijzig weergave
Misschien een beetje een offtopic vraag. Maar is het herhaaldelijk inloggen op een bank nog wel een 'ddos' aanval? Aangezien het niet gaat over enkel sturen van pakketjes.
Een ddos gaat dan ook niet per definitie over het versturen van pakketjes, ook al is dat de meest gangbare vorm.

Bij een ddos probeer je legitieme klanten de toegang tot een dienst te ontzeggen (door deze dienst onbereikbaar te maken). De manier waarop je dat doet maakt voor de term 'ddos' niet uit ;)

Ik hoop dat Team HTC de daders op kan sporen en laten berechten, maar ik heb er een hard hoofd in, vaak is dit bepaald niet makkelijk.

[Reactie gewijzigd door wildhagen op 6 april 2013 17:06]

In hoeverre is het dan strafbaar? Als alle tweakers vandaag afspreken om rond 5 uur op de A2 bij Eindhoven te rijden dan loopt ook alles vast maar er gebeurd niets illegaal.
Heel erg strafbaar. een ddos-aanval (in het Nederlands 'verstikkingsaanval') valt onder de Wet Computercriminaliteit en is dus een misdrijf en als zodanig strafbaar. De maximale straf die erop staat is 1 jaar cel of een geldboete van 16.750 euro.

[Reactie gewijzigd door wildhagen op 6 april 2013 17:11]

'Heel erg strafbaar...'
Geldboete van 16.750 euro is niks. Dat zou betekenen dat als iemand een bank zou platleggen voor een dat wat kan oplopen tot miljoenen euro schade, er mee weg kan komen met 16.750 euro boete? Lijkt me sterk niet?
'Heel erg strafbaar...'
Geldboete van 16.750 euro is niks. Dat zou betekenen dat als iemand een bank zou platleggen voor een dat wat kan oplopen tot miljoenen euro schade, er mee weg kan komen met 16.750 euro boete? Lijkt me sterk niet?
Dat is dan idd de maximumboete ja die je kunt krijgen, als er geen celstraf wordt opgelegd. Dat is toch echt wat wetsartikel 138b zegt, zie de link die ik hierboven gaf.

Maar dat is dus strafrecht.

Uiteraard staat het de bank dan wel vrij om daarna nog een civiele zaak tegen de daders aan te spannen, en daarin een schadevergoeding te eisen. Dat is een zaak van de bank, niet van het OM.
Ligt er maar aan hoe je het bekijkt, je kan het ook zien als een digitaal protest.
Als 50.000 man voor het kantoor van ideal of een bank staan te demonstreren dan kan er ook niemand naar binnen en daardoor functioneerd het bedrijf ook niet.

Zie persoonlijk geen verschil tussen die 2.
Zie persoonlijk geen verschil tussen die 2.
Dan heb jij geen inbeeldingsvermogen. Ik zal je ťťn verschil geven, als opwarmertje: Om voor een kantoor van een bank te gaan demonstreren moeten 50000 mensen het huis uit. Aangezien een DDoS veelal internationaal is moeten ze dus uit verschillende landen komen per bus, trein, vliegtuig enz. Dat gaat in de praktijk dus nooit werken. Bij een digitale aanval heb je dat probleem niet, niemand hoeft z'n huis uit, dus zo'n aanval is veel makkelijker voor elkaar te krijgen dan 'IRL'

Vooruit, nog een tweede voorbeeld. Aan een DDoS doet vrijwel niemand vrijwillig mee, aangezien bijna alle computers 'gekaapt' zijn. Bij een aanval 'IRL' moeten alle 50000 personen vrijwillig meedoen, je krijgt nl nooit 50000 personen zo ver dat ze onvrijwillig deelnemen. Een DDoS (digitaal) is daarom veel makkelijker te realiseren dan een RL demonstratie met eenzelfde aantal deelnemers.

Zomaar even twee voorbeelden die laten zien dat je een DDosS aanval niet kunt vergelijken met een RL demonstratie. Onbegrijpelijk dat je dat niet zelf had kunnen verzinnen.
Behave dan dat een protestactie inherent ook inhoudt dat je aangeeft waartegen je dan wel protesteert - je wilt immers dat je protestactie resultaat oplevert.
Als jij met 50.000 man voor het hoofdkantoor van ING gaat zitten en niet eens een hint geeft waarom je dat doet, dan zal er niets veranderen, want ING heeft geen idee waarom al die malloten voor de deur aan het kamperen zijn. Je protestactie is dan per definitie zinloos.

Een DDOS als digitaal protest opvoeren kan alleen als er ook aangegeven is dat het een protestactie is, en dus ook waarom.
En als je een boodschap in die pakketjes afgeeft? :P

Voor een demonstratie moet je voor zover ik weet een vergunning aanvragen. En zijn er ook bepaaalde aspecten die bij die vergunning horen.


Ik denk dat ze deze daders niet snel zullen pakken aangezien het ip waarschijnlijk gespooft is.
"Voor een demonstratie moet je voor zover ik weet een vergunning aanvragen. ......"

Wanneer leren mensen het nu eens af dat dit niet zo is.. Anders is het wel erg makkelijk vanuit de overheid om demonstraties te verbieden/onderdrukken, "geen vergunning afgeven"

Je mag vrij en zonder aankondiging demonstreren (dat is een recht), maar indien je weet dat jou actie veel bekijks zal trekken is afgesproken daar melding van te doen, verboden worden kan niet, tennzij het tegen de openbare orde en/of veiligheid ingaat (vandaar die melding)
In de praktijk houd dit in dat zelden verboden opgelegd worden maar er uitgeweken gaat worden naar een aangewezen locatie om de openbare orde en veiligheid niet teveel te verstoren. (kans op rellen minimaliseren)
Even een DDOS vergunning aanvragen :P
Als 50.000 man voor het kantoor van ideal of een bank staan te demonstreren dan kan er ook niemand naar binnen en daardoor functioneerd het bedrijf ook niet.
Je mag best bij een bank gaan staan demonstreren, maar je mag anderen niet verhinderen naar binnen te gaan. Dan is er sprake van overlast en dat kan zelfs strafbaar zijn afhankelijk van de mate.
Als jij besluit om met 49999 vrienden voor de ingang te gaan staan van een ING kantoor kan ik nog steeds gebruik maken van internetbankieren en ook gewoon pinnen in een winkel.
Significant veschil lijkt mij?
De BOETE is maximaal 16750 EUR.

Dat betekend niet dat de banken zelf geen burgelijke zaak kunnen aanspannen waar ze miljoenen kunnen eisen en mogelijk ook toegewezen zouden kunnen krijgen.
Daarbij gooien ze het infrastructuur door de war en moeten ze dus wat langer in de cel.
Bewust een verkeersopstopping veroorzaken lijkt mij wel degelijk strafbaar...
Juist dat is een artikel 5
Ik weet niet hoeveel tweakers er zijn, maar stel dat jij (herleidbaar naar jou) 100.000 tweakers oproept om de A2 te blokkeren (en die doen dat ook), dan heb je echt wel een probleem.
Team HTC? :+ In het geheim maken ze ook telefoons..
Geld komen we hooguit tekort omdat ons banksysteem zijn langste tijd gehad heeft, vrees ik, maar dat neemt natuurlijk niet weg dat de daders opgespoord en berecht moeten worden.

Ik neem overigens aan dat je niet serieus meent dat de verdachten standrechtelijk geexecuteerd moeten worden? Zo ja, dan tip ik jouw naam ook even als vermoedelijke dader, dan piep je - als je dat ueberhaupt overleeft - wel anders mag ik hopen.

Als er op fouten in het gebruiken van uitdrukkingen de doodstraf stond, had je trouwens ook al een probleem gehad: 'het zal me worst wezen'.

[Reactie gewijzigd door mae-t.net op 7 april 2013 05:32]

Het proces van een dos of ddos aanval ziet er anders uit dan een normale inlog poging.

Er zijn verschillende type ddos aanvallen. Bij bijvoorbeeld een SYN flood aanval wordt er een verzoek tot verbinding aan de server aangeboden, de server reageert hier op, maar vervolgens reageert de initiator van de sessie niet meer. Hierdoor ontstaan er halfopen verbinding bij de server welke staan te wachten tot er een timeout optreed. Deze halfopen verbindingen verzadigen het aantal verbindingen die de server aankan. Daardoor krijgen legitieme gebruikers geen toegang meer tot de server.

Zo zijn er nog een aantal aanvallen als bijvoorbeeld een teardropaanval die gebruik maakt van een misvormd ip pakket.
Dat zijn inderdaad dos-aanvallen, maar waarom zou een dos-aanval niet kunnen bestaan uit normale inlogpogingen? Dan overstroom je meteen ook de database-server.

Ik heb begrepen dat dit ook daadwerkelijk zo gebeurd is.
Ja natuurlijk, blijft een denial-of-service-aanval. Dos of ddos is verzamelnaam voor aanvallen op servers waarvan service word overladen en service niet meer bereikbaar is voor meeste mensen, veel al website die dus met heel veel requests word plat gelegd.
Waar zou nou eigenlijk de bottleneck hebben gezeten?
Het artikel zegt het inloggen, maar dat lijkt me toch makkelijk te pareren door een firewall of je loginscript aanpassen?
Of de lijn wordt helemaal volgepropt, maar dat heeft dan weer niks met het inloggen te maken.
En als de lijn wordt volgepropt moet er toch ergens een firewall upstream ingrijpen?
Het is inderdaad makkelijk te pareren als je er geen bezwaar tegen hebt dat legitieme klanten niet meer kunnen inloggen -- maar dan heeft de DDoS-aanval zijn doel bereikt. Het is per definitie niet mogelijk een loginpoging die bedoeld is om de server plat te leggen te onderscheiden van een eerlijke loginpoging van een klant, tenzij de aanvallers amateuristisch te werk gaan (voorspelbare patronen in username/wachtwoord e.d.)

Een DDoS-aanval die niet gewoon zoveel mogelijk onzin over de lijn blaast maar specifiek gericht is op een dienst is een stuk venijniger omdat zulke diensten doorgaans meer resources moeten eten om de request te verwerken (CPU, disk I/O) dan je standaard firewall. Die kan dus ook met minder inspanning meer stuk maken.
Ja, maar het gaat toch om het volume van inlogpogingen?
Als je ziet dat er per IP meer dan 5 keer per seconde probeert in te loggen gaat er toch een belletje rinkelen?
Die kan je toch blokkeren of niet?

Ok, het is niet waterdicht, ik heb zelf ook met Vodafone dat ik een melding krijg van Google dat mijn mobiel gebruikt wordt als zombie, dat komt omdat ik achter een NAT zit van Vodafone en dan moet ik een captcha in voeren om te kunnen zoeken...

[Reactie gewijzigd door Soldaatje op 6 april 2013 18:41]

Ja, die kun je blokkeren. Twee problemen: je server moet onthouden welke IPs wat doen (kost niet veel kracht, maar toch wat) en het "distributed" gedeelte van de DDoS-attack speelt je parten. Per IP hoef je helemaal geen 5 keer per seconde in te loggen als je duizenden IPs hebt, om de server toch met duizenden requests per seconde te bestoken. Een IP hoeft alleen maar binnen de grenzen van de server te blijven, en dan zoveel mogelijk van die krengen erop zetten. Allemaal lekker langzaam responses laten verwerken en kijk de server eens zweten.

De maatregelen waar jij het over hebt zijn bedoeld om individuele accounts te beschermen tegen brute force pogingen. Die komen er ook niet door in de zin dat je niet succesvol kunt inloggen -- maar een DDoS wil dat ook niet, die hoeft alleen de server plat te krijgen.
Denk mysql(of andere db) die requast niet meer aan konden, cpu overladen.
Dat zou heel dom zijn. Op elk systeem moet je de loading kunnen beperken voordat je in een echte overload situatie komt. Bij zware load moet je gewoon de input afknijpen totdat je weer de mogelijkheid hebt iets met die input te doen. De boel wordt dan traag, maar gaat in ieder geval niet down.

In geval van een 'login aanval', zoals eerder gesuggereerd is, moet je dus gewoon je login requests blokkeren. Daarmee zorg je ervoor dat je opeartionele systemen niet onderuit gaan. In het uiterste geval blokker je de complete input. Je houdt natuurlijk je inkomende netwerk verkeer, maar berivhten weggooien is veel sneller dan ze aanpakken. Bovendien kan je dat op een appart (netwerk) systeem doen.
Als het allemaal schijnbaar verkeerde authenticatie verzoeken zijn en het zijn er genoeg dan kost dat wel wat CPU cycles van de authenticatie backend. Er gaan wellicht allerlei radertjes in werking als er iemand bijv 3x verkeerd in heeft gelogd. Dus als dat met weet ik veel zeg 500 pogingen per seconde gaat (ik denk dat dat redelijk aan de lage kant is met een DDoS) dan kun je je wel voorstellen wat dat doet met 5000. dan kenne we nie meer pinne nie :)
Het zal me verbazen als ze de aanvallers kunnen pakken. Als White House National Security en FBI deze personen niet kunnen traceren, lukt het onze Team High Tech Crime dan wel?

Het zijn vrijwel zeker dezelfde daders:
''The hackers can move up to 70 gigabytes of data per second at their targets and they have been detected renting “botnets,” collections of robot computers used in conducting the attacks, the specialist said.

The attacks are called distributed denial of service attacks and use hijacked computers that are networked to conduct mass numbers of log-in attempts at banking web sites.''

Bron: http://freebeacon.com/cyber-jihad/

[Reactie gewijzigd door Jairdebest op 6 april 2013 17:11]

Je bent je bewust dat hackers van jihad vaak verschuilen in landen die niet meewerken, opsporen gaat dus tot de grens en daar houd het op voor FBI, FBI is gewone politie en werkt binnen de wetten en verdragen die afgesproken zijn, nationale Security houd zich alleen met binnenlandse zaken bezig, en ook deze dienst werkt binnen de wetten en verdragen. Als de CIA je wilt hebben dan is het andere verhaal dan komen ze je ook halen als ze geen verdrag hebben met dat land, word je ineens wakker in kofferbak. Reken er maar op dat als het nodig is dat CIA die allang en breed in Iran bevind je weten te vinden. Maar voor simpel ddos aanval gaat CIA haar mensen niet inzetten natuurlijk. ;)

Als deze aanval op banken vanuit landen zijn gedaan die wel meewerken is pakkans stuk groter. Ze gaan alles na, ook alle caches en fora opzoek naar aanwijzing, net zolang dat ze iemand vinden. Hackers die denken dat ze geen sporen nalaten zijn naÔef, blijven altijd sporen achter al is het maar spoor van data dat gewist is.

[Reactie gewijzigd door mad_max234 op 6 april 2013 17:17]

Gezien de grote hoeveelheid data zal het wel een DNS amplification attack zijn geweest net als die op spamhaus een aantal weken terug en die zijn vrijwel onmogelijk terug te herleiden naar de dader omdat het IP gespooft wordt.

Ze kunnen het dus wel onderzoeken maar het zal redelijk kansloos zijn, verspilling van tijd en energie. Dit soort aanvallen zullen steeds vaker gaan voorkomen.
Zoals robvanwijk ook zegt: ze proberen herhaaldelijk in te loggen op internetbankieren. Dat gaat je met een DNS amplification attack niet lukken.
Trouwens best indrukwekkend: spamhaus werd tot 700Gbps aan data aangevallen, deze jongens doen 70 GB/s (of 560Gbps) zonder DNS amplification. Dan snap ik dat banken het lastig krijgen.
Alsnog: zolang ze niet binnenkomen, is het denk ik niet erg. In het ergste geval wordt internetbankieren afgesloten en moeten we met zn allen weer terug naar techniek van 15 jaar geleden - totdat de aanval over is en de servers stoppen met roken.
Gezien de grote hoeveelheid data zal het wel een DNS amplification attack zijn geweest
Dat denk ik niet:
Een van de manieren waarop de aanvallers de banken offline probeerden te krijgen, was door herhaaldelijk proberen in te loggen op internetbankieren.
Simpele DDOS aanval? Ik vind het woord simpel nogal misplaatst gezien het feit dat de schade behoorlijk groot is. Als het letterlijk gaat om het feit dat dit eenvoudig is, dan is het een onzinnige uitspraak aangezien de CIA wel vaker achter eenvoudige misdaad aangaat.

Punt is dat dit gewoon behoorlijk ernstig is. Daarom geloof ik er niets van dat de daders snel gepakt kunnen worden (ook niet door de CIA).
Konden ze niet gewoon de buitenlandse ip adressen tijdelijk blokkeren zodat ze al niet de kans kregen om in te loggen? Ik neem aan dat de kans groot is dat een botnet bestaat uit vooral buitenlandse pc's, en een bank vooral binnenlandse klanten heeft.
dat werkt maar beperkt.
je kan zo misschien de druk verlagen door requests sneller te weigeren/verwerken, maar nee zeggen kost ook tijd dus als er genoeg computers meedoen zal alsnog je systeem plat gaan.
Ik heb me nu al een tijdje afgevraagd waarom ISPs niet het verkeer filteren op onmogelijke IP addressen van hun clienten?
Stel, mijn computer is gehackt en wordt ingezet in een botnet (aanval). Mijn computer stuurt vervolgens pakketjes met een gespoofed bron adres die helemaal niet in mijn ISP's toegewezen bereik ligt. Mijn ISP moet dat kunnen zien : hey een bron adres van een van onze clienten welke helemaal niet in ons IP bereik ligt! Dat kan helemaal niet en dus blokkeren we dat pakketje maar.

Of weet ik te weinig van hoe een ISP netwerk in elkaar zit?
Dat lijkt mij een vrij vertragend proces, alle pakketjes zouden dan gefilterd en gecheckt moeten worden wat heel wat extra server capaciteit verreist en dus ook je pakketje, die moet dan zeg maar ff een tussenstop maken. Dus het lijkt mij een niet zo'n realistisch idee maar zeker niet slecht of onmogelijk.
Aan de andere kant; zijn veel van die systemen er niet al om bv. ook taps te kunnen doen?
precies. Mijn ISP filtreert wel vrolijk TBP, dus ze kijken al naar ALLE pakketjes. In dit geval is het dan het doel adres, maar ze kunnen net zo goed het bron adres even checken natuurlijk.
Wanneer er bericht wordt dat de website van een bank slecht bereikbaar is loop je grote kans dat het een self fulfilling prophecy wordt.

Velen gaan snel even proberen of ze nog wel in kunnen loggen bij hun bank dit kan het effect van de echte DDOS enorm versterken.

Daders zullen niet gevonden worden, onzinnig om hier veel mankracht op in te zetten.
Het zal niet meevallen om de daders te pakken, en ik denk ook niet dat de echte mensen die het onderzoek doen die illusie ook niet hebben. Maar je kunt wel veel leren van het onderzoek. Je kunt het botnet bestuderen, pc's uit het botnet in beslag nemen en onderzoeken, hun methodiek bestuderen enzovoorts. Zo kom je veel te weten van hun manier van werken. Dat kan de opsporing helpen, maar ook ervoor zorgen dat men zich beter kan beschermen bij toekomstige aanvallen en natuurlijk die botnetten helpen opsporen en elimineren.
Het is net als gewone inbrekers: door te weten hoe ze opereren, kun je dievenklauwen, inbraakstrips e.d. plaatsen, zodat ze niet meer (zo makkelijk) binnen kunnen komen.
Je weet te weinig van hoe een netwerk werkt.
Het is nu eenmaal inherent aan een netwerk dat elk pakket bekeken moet worden, daarna kan je pas bepalen of het een rot pakket is of valide pakket.

Op dat moment maakt het niet meer uit, het pakketje is verwerkt en de router/switch/server loopt vol, geen enkele machine (nahja bijna geen enkele) kan zulke hoeveelheden data verwerken zonder te choken erop.

ťt voila, een (al dan niet distributed) denial of service attack.
En jij kan niet lezen.
Ik begrijp dat je je niet kan verweren tegen een ddos door het simpelweg sturen van data (ping) of bv een dns amplification attack.

Maar een 'simpele inlog' die steeds failed is toch redelijk gemakkelijk af te vangen? max X logins in X minuten en de server verwerkt je aanvraag niet meer?
Wat nou als je een botnet hebt met duizenden computers ;)
Kunne ze niet instellen dat na 5 mislukte pogingen je tijdelijk geblocked wordt op basis van ip? Of denk ik te makkelijk?
Goede vraag, ik vroeg me het zelfde af, maar ook na 100 pogingen permanent blokkeren of als blijkt dat een adres bij meerdere aanvallen betrokken was permanent blokkeren of beter een combinatie van beide.
Wat nou als er gebruik word gemaakt van een botnet. Tevens wat nou als jouw pc geÔnfecteerd is en je IP adres word niet gespooft... Dat zou dramatisch kunnen zijn voor bedrijven en personen
Dus als ik een paar keer het verkeerde wachtwoord intoets kunnen mijn vrouw en kinderen ook niet meer internetbankieren? Lijkt me toch een laatste middel wat je in wilt zetten.

Op dit item kan niet meer gereageerd worden.



HTC One (M9) Samsung Galaxy S6 Grand Theft Auto V Microsoft Windows 10 Apple iPad Air 2 FIFA 15 Motorola Nexus 6 Apple iPhone 6

© 1998 - 2015 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True