Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 221 reacties

ING kampte woensdag opnieuw met een ddos-aanval die zorgt dat de online diensten van de bank beperkt beschikbaar zijn. De bank zegt dat genomen maatregelen ervoor gezorgd hebben dat de effecten van de aanval beperkt bleven.

"Mijn ING, iDeal en de mobiele app zijn helaas beperkt beschikbaar vanwege een ddos-aanval. We doen er alles aan dit zo snel mogelijk op te lossen.", meldde ING Webcare opnieuw op Twitter. Na 15 minuten werd de aanval van woensdag succesvol afgeslagen, meldt ING. Klanten kunnen echter nog steeds met beperkte beschikbaarheid te maken krijgen. Het was de vijfde grote storing voor de bank in een week tijd. Dinsdagavond kampten de internetdiensten van de bank ook al met downtime door de ddos-aanval.

Die aanval werd na ongeveer 20 minuten afgeslagen door maatregelen die ING heeft genomen. Details over die maatregelen maakt de bank 'uit veiligheidsoverwegingen' niet bekend. "Die maatregelen gaan ten koste van de bereikbaarheid", aldus een woordvoerder dinsdag tegen Tweakers. Hij zei dat nog niet duidelijk is in welke hoek de aanvallers moeten worden gezocht.

Ondertussen groeit de frustratie bij klanten van de bank, maar ook politici roeren zich. Zo willen de Kamerfracties van de PvdA, CDA en SP inzicht krijgen in de storingen en de communicatie omtrent de problemen met betalingsverkeer. "Digitaal geld is ondertussen zo'n groot deel van ons leven uit gaan maken dat de veiligheid daarvan geborgd moet zijn. Ik wil van experts horen hoe deze problemen hebben kunnen ontstaan," zegt bijvoorbeeld Arnold Mierkens van de SP. De partijen willen informatie vergaren bij experts, individuele banken, de Nederlandse Vereniging van Banken, De Nederlandsche Bank en de Autoriteit Financiële Markten, schrijft RTL.

Update, 12.41: Informatie toegevoegd dat de aanval volgens ING voorbij is.

Gerelateerde content

Alle gerelateerde content (22)

Reacties (221)

Reactiefilter:-12210189+1112+213+32
Moderatie-faq Wijzig weergave
1 2 3 ... 6
Best wel apart dat alleen ING wordt aangevallen en geen van de andere banken.

Kan dit een gevalletje pesten zijn? Of zijn die andere banken gewoon goed/beter beschermd dan ING?

Hoe het ook moge zijn, ik hoop dat het snel opgelost wordt!
Boze 16 jarige gozer die niet rood mag staan?


DDoS aanvallen zijn kinderlijk simpel uit te voeren en vaak ben je er maar slecht tegen te beveiligen.

Zoals de aanval op spamhaus recentelijk, daar kan 300Gbps aan verkeer binnen. Je wil wel legitiem verkeer door laten maar geen DDoS verkeer, dat is best lastig, zeker als het 300Gbit is.

ING heeft zeker weten geen 300Gbit liggen en anders hadden hun upstream providers het niet getrokken.

Een ander type aanval is gewoon vanaf tienduizenden botnet PC's proberen in te loggen, gewoon legitieme HTTP aanvragen doen en dan wachten tot de servers het niet meer trekken.

Daar kan je als bank wel eindeloos veel capaciteit tegenaan blijven gooien, maar de bank kan ook geen 100 miljoen per jaar aan hun IT uit geven (noem maar wat).

Bij beveiliging tegen DDoS aanvallen is het altijd een afweging tussen de uitgaven en de impact.

Daarnaast loop je ook altijd achter de feiten aan, want de DDoS komt eerst en daarna kan je er pas op reageren. Want iedere keer opnieuw kan er een nieuw soort aanval verzonnen worden.

DDoS is enkel een verzamelnaam voor een hele hoop verschillende type aanvallen die elk hun eigen manier van verdediging nodig hebben.
"Een ander type aanval is gewoon vanaf tienduizenden botnet PC's proberen in te loggen"

Ook dit is toch te filteren? Wanneer er meer dan 5x word aangelogged in 1 minuut tijd zou het IP kunnen worden geblockeerd?

Ik kan me als IT'er moeilijk voorstellen dat DDoS aanvallen niet kan worden opgevangen. Niet voor een bedrijf zoals de ING waar wel geld is om appliances aan te schaffen die dit zouden kunnen voorkomen.

Ik ben wel benieuwd of er een risicoanalyse word gedaan door de ING. Dus een rapport die ook kijkt naar imageschade tegenover de downtijd van zo een aanval. Ik denk toch dat de kosten (direct of indirect) hoger liggen als geode hardware/software.

Edit: Dit staat op Binck:

""De aanval is inmiddels afgeslagen en heeft zeer kortstondig geduurd", zegt Jeroen Baardemans in een reactie tegen Dow Jones Nieuwsdienst. Al met al heeft de aanval volgens Baardemans tien tot "hooguit" 15 minuten geduurd."

Dit zou betekenen dat ze wel beter zijn voorbereid. 10 tot hooguit 15 minuten vind ik persoonlijk nog te accepteren.

[Reactie gewijzigd door Squ1zZy op 10 april 2013 12:32]

Ook dit is toch te filteren? Wanneer er meer dan 5x word aangelogged in 1 minuut tijd zou het IP kunnen worden geblockeerd?
DDOSsen worden tegenwoordig zo sneaky gemaakt dat er soms maar 1 x in de paar minuten een request binnenkomt, maar als dat vanaf een paar miljoen adressen komt loopt je server nog steeds over.
Ik kan me als IT'er moeilijk voorstellen dat DDoS aanvallen niet kan worden opgevangen. Niet voor een bedrijf zoals de ING waar wel geld is om appliances aan te schaffen die dit zouden kunnen voorkomen.
Omdat het over in principe legitiem verkeer gaat is dit dus wel erg lastig. Lees een paar artikelen over grote dosaanvallen en je wordt weer een stukje wijzer, zou ik zeggen.

Een ddos is gedistribueerd, je kan dus niet één duidelijke aanvaller herkennen. Je kan wel een ratelimit op inkomende verbindingen zetten of delen van de wereld afsluiten ofzo maar dan heeft de aanvaller nog steeds zijn doet bereikt: denial of service. Een dos mitigeren zonder dat er ook legitiem verkeer geraakt wordt is lastig, dat zie je ook bij ING aangezien ze ook daar zeggen dat klanten nog altijd last kunnen ondervinden ook al is de ddos in principe onder controle.

Wat je kan doen is een soort van wasstraat bouwen waarbij je alle verkeer met een bepaalde destination via een aparte weg stuurt waarin je, dmv filtering of DPI, kijkt wat legitiem verkeer lijkt en wat niet. Door dan op de juiste manier het gefilterde en schone verkeer weer in je netwerk te injecteren krijg je weer dienstverlening voor de legitieme gebruikers, de rest drop je. Dit is complex, vergt computing power (er moet soms in pakketjes gekeken worden in plaats van alleen naar de header) en je wasstraat moet bestand zijn tegen soms enorme verkeersstromen. Een ddos mitigatie farm die 300Gbit (om het spamhaus verhaal maar even als case te gebruiken) aan verkeer kan filteren is niet bepaald goedkoop. De andere oplossing: zorgen dat je die 300Gbit helemaal af kan handelen is nog duurder (en doet 99% van de tijd niets). Bedenk daar even bij dat een gemiddelde website normaalgesproken hooguit een paar gbit aan verkeer doet (en dan bedoel ik een ing.nl of ns.nl, niet een youtube.com) en dan snap je al snel dat die een grote toestroom aan verkeer sowieso netwerktechnisch al niet kunnen handelen, of ze het nou wel of niet filteren.
Geef je hiermee eigenlijk niet ook al een oplossing? Als je alle IPs vanuit het buitenland naar een aparte site stuurt, zodat het gros van de ECHTE gebruikers (gewoon mensen in Nederland) nog wel in kan loggen via de normale weg. Dan kan die site voor mensen die in het buitenland zitten af en toe vast komen te zitten, maar daarmee heb je ten minste voor een deel van de mensen het probleem opgelost.

Natuurlijk moet je dan rekening houden met capaciteit als bijvoorbeeld mensen op vakantie gaan, en je plotseling een heleboel meer requests op je dak krijgt. Maar op die manier maak je de situatie in elk geval niet SLECHTER.

Ik weet niet hoeveel mensen er in het buitenland zitten, die bij ING hun bankzaken doen, maar in percentage vermoed ik dat het niet boven de 5 tot 10% gebruikers uit zal komen.
Zo had ik er nog niet naar gekeken maar zo'n soort split approach kan zeker zinnig zijn ja. De situatie verbeteren als je onder zo'n soort aanval ligt kan zeker, als je dan slim filtert zodat je niet al het verkeer hoeft te gaan schoonmaken zal dat ook behoorlijk in de kosten schelen.

Maar of het een oplossing is, ik denk het niet helemaal, maar het is wel stukken beter dan een simpel filter.

Het zal vooral afhangen van de verkeerstromen. Wellicht komt er nog wat info naar buiten over die ING dos, dan kunnen we daar verder over brainstormen. Als een groot deel van het verkeer uit Nederland kwam wordt het bijvoorbeeld al lastiger. Misschien zijn er ook wel vele legitieme klanten die ook onderdeel uitmaakten van het botnet, dan lukt de dos sowieso al (zou overigens een interessante ddos insteek zijn, alleen verkeer genereren naar een site vanaf geinfecteerde pc's die ook gebruikers van die site zijn, da's een leuke voor youtube ofzo...)

Ik wacht op een goede post mortem :9
Je kan een IP blokkeren tot aan "de deur" (de firewall in dit geval), maar dat neemt niet weg, dat het verkeer gewoon tot aan je deur kan komen.
De verbinding tot aan je deur loopt dan alsnog vol, want die is beperkt in snelheid (of dat nu 10GBit is of 400GBit, er is altijd een max).
Hier kun je simpelweg niet op voorbereiden, een DDoS is NIET af te slaan, tenzij je een bak bandbreedte hebt waar je U tegen zegt. Dat is voor een relatief kleine bank niet te betalen.

Er zijn maar een paar sites die je bijna niet om kan krijgen, zoals Amazon en Google, welke hele datacentra hebben die totaal meerdere TBits kunnen serveren.
Iets kleiners als dat, en mits je genoeg bots hebt kun je alles om krijgen.

Vergelijk het met een snelweg in de spits, er willen meer auto's er over heen als dat de snelweg toelaat en de snelheid gaat omlaag. Willen er nog meer auto's overheen dan staat het stil.
Het ligt er toch ook aan hoe snel je iemand bij de deur weg kan sturen? Als de pakketten op elkaar zitten te wachten dan snap ik dat de lijn word dicht getrokken, maar hoe sneller de pakketten worden gedropt hoe sneller het verkeer erachter kan aankloppen? Het lijkt mij dat bepaalde appliances hier zo goed mee om kunnen gaan dat het zsm worden gedropt dat het veel sneller verkeer aan kan?
Het ligt er toch ook aan hoe snel je iemand bij de deur weg kan sturen?
Het probleem is dat je bij bepaalde aanvallen niet kunt zien welke pakketjes legitiem zijn, en welke pakketjes de aanval doen.

Het enige wat je kunt doen is of ze allemaal doorlaten. Dan lopen je lijnen vol. En raken je servers overbelast.
Of je gooit ze allemaal weg (drop/deny). Dan komt er niks meer bij de servers. En kunnen je legitieme gebruikers dus ook niet meer bij de site.

[Reactie gewijzigd door gryz op 10 april 2013 13:23]

Je hebt eigenlijk 2 soorten problemen bij een DDoS:

- Het aantal pakketten wat je binnen krijgt.
- De omvang van de data (in bytes) die je binnen krijgt.

Het aantal pakketten dat je binnen krijgt zorgt er voor dat je firewall en routers hard moeten werken, maar dit is in principe relatief makkelijk weg te werken door een stevige firewall neer te zetten en bij het hameren IPs automatisch te blokkeren (meer dan 5000 pakketten in een paar seconden = ban voor 30 minuten).
Dit is redelijk zwaar en de apparatuur die je voor een grote DDoS moet aanschaffen is ook niet goedkoop, maar is in ieder geval heel wat goedkoper dan de kosten die je maakt voor het grotere probleem:

Het grotere probleem is de data die je binnen krijgt.
Als bots pakketten gaan sturen met meer data, (Zodat je pakketjes krijgt van 64kb i.p.v. simpele pings of HTTP requests van een enkele hondertal bytes) dan voldoet dat niet. De pijp loopt simpelweg vol, en hoe goed je apparatuur ook is om die pakketten te blocken, de pijp is vol, zo simpel is het.
De enige oplossing hiervoor is: een grotere pijp. En dat heeft simpelweg z'n limiet, het is gewoon heel erg duur om een honderd+ GBit verbinding neer te leggen voor zo'n relatief simpel systeem als een bank-website. Dan moet je niet denken aan duizenden euro's per maand, maar aan meerdere miljoenen. Dat is niet te doen.
Het enige dat je nog zou kunnen doen is op een Cloudflare-achtige manier via anycast meerdere instanties van je website serveren.

Als je dan bij kritieke infrastructuur zelfs instanties bij providers hebt staan i.p.v. één instantie voor de hele wereld, dan heb je in ieder geval nog dienstverlening aan een deel van je klanten.

Als ik er even van uit ga dat voor zo'n DDoS-aanval een wereldwijd botnet wordt gebruikt, dan komen die vooral op één instantie van de website uit ( de internationale). De instanties vlakbij de providers hebben daar dan geen last van.
Klopt, maar dat is nog steeds maar een gedeelte van je site die je er mee beschemd. Je dynamisch gedeelte (het gedeelte wat daadwerkelijk data uit databases haalt of dat er in stopt) is niet te Anycasten. Dat is dan dus de single-point-of-failure.

Daarnaast betwijfel ik of sites als Cloudflare wel content mogen serveren voor banken, aangezien dat nogal gevoelig ligt. (Zelfs al is het alleen maar de statische content, een scriptje toevoegen op de pagina is dan heel makkelijk)
"Volgens het NCSC is er een heel pakket aan maatregelen te treffen tegen de aanvallen. "Je kunt je wel degelijk weren tegen aanvallen en dat is wat de ING nu heeft gedaan. Het grote probleem is dat ING om de zoveel tijd onder vuur komt te liggen.''"

Volgens NCSC kan je er wel tegen weren. Ben dan benieuwd hoe.
Je kan een IP blokkeren tot aan "de deur"
Het grote probleem is: je weet niet welk IP address je moet blokkeren. De aanvallen komen van grote aantallen verschillende IP addressen (in de honderd duizenden). Een access-list met 100k entries in onwerkbaar.

Bovendien kunnen IP addressen makkelijk gespooft worden. Access ISPs zouden moeten filteren (bv via Reverse Path Forwarding filtering). Maar ik geloof dat de meesten dat niet doen. (Je hebt iets snellere routers nodig om een 2e route-lookup te doen). Transit ISPs kunnen geen RPF-check doen, omdat paden op het Internet niet symmetrisch zijn.

[Reactie gewijzigd door gryz op 10 april 2013 13:22]

Snap jij als IT'er dan wel hoe een DDoS aanval werkt?
Kun je ook aangeven hoe apparatuur zou moeten werken die hier effectief bescherming tegen biedt?
http://www.riorey.com/

"Before designing our platform, we began developing a conceptual model of DDoS and its behavior. We believed that DDoS attacks would grow in number, severity, complexity, and sophistication and would threaten all enterprises that rely upon the Internet. Therefore, security platforms addressing many security and network related problems would not be sustainable to cope with the evolution of DDoS. We knew that effective DDoS protection would only be achieved with dedicated platforms. Additionally, given the ever-evolving DDoS options created by attackers, our protection had to be comprehensive and flexible. The bottom line was that RioRey needed to defend against all known DDoS attacks."

http://www.riorey.com/products-rg.html
Dit is de cruciale vraag.
Ik wil het antwoord ook wel weten.

Ik denk dat ik een redelijk idee heb hoe TCP/IP werkt.
Maar ik heb geen idee hoe je effectief alle soorten DDoS-aanvallen kunt afslaan.
Squ1zZy, please enlighten me.

[Reactie gewijzigd door gryz op 10 april 2013 14:21]

Totdat er miljoenen clients proberen in te loggen.

Uiteraard kan je daar op gaan filteren, maar dat doet je Riorey appliance ook niet voor je.

Zodra iemand specifiek jouw omgeving begint te targeten en daar resources begint op te eten is het lastig.

Vaak is het bij een DDoS aanval wel zo dat je een patroon kan herkennen (bijvoorbeeld altijd de zelfde headers en user-agent) en daar op kan gaan filteren, maar dat is allemaal handmatig werk.

Als de aanvaller ook nog eens mee kijkt met wat je aan het doen bent en op basis daarvan zijn aanval veranderd wordt het verhaal nog lastiger.

Nu heb je het alleen over login calls, maar het kan van alles zijn!

Daarnaast is veel spul bij banken legacy software, als je ziet wat daar allemaal nog draait aan oud spul en software, dat is vreselijk.
Voor het idee:

http://www.allestoringen.nl/storing/abn-amro
10 april: Storing bij ABN-Amro
Er is vanaf 11:55 een storing bij ABN-Amro. Heb je er ook last van? Laat dan hieronder een reactie achter.
Opgeloste storingen

8 april: Storing bij ABN-Amro

7 april: Storing bij ABN-Amro

5 april: Storing bij iDeal

5 april: Storing bij ABN-Amro

4 april: Storing bij ABN-Amro

http://www.allestoringen.nl/storing/rabobank
9 april: Storing bij Rabobank
Er is vanaf 12:52 een storing bij Rabobank. Heb je er ook last van? Laat dan hieronder een reactie achter.

Opgeloste storingen

7 april: Storing bij Rabobank

6 april: Storing bij Rabobank

5 april: Storing bij iDeal

5 april: Storing bij Rabobank

4 april: Storing bij Rabobank

Dus andere banken kunnen er ook wat van hoor:) Alleen ING lijkt op dit moment mikpunt van media aandacht...
http://www.allestoringen.nl/storing/rabobank
9 april: Storing bij Rabobank
Er is vanaf 12:52 een storing bij Rabobank. Heb je er ook last van? Laat dan hieronder een reactie achter.

Opgeloste storingen

7 april: Storing bij Rabobank

6 april: Storing bij Rabobank

5 april: Storing bij iDeal

5 april: Storing bij Rabobank

4 april: Storing bij Rabobank
Ik kan alleen maar spreken over de Rabobank, waar inderdaad regelmatig storingen zijn. Echter, zijn dan vaak nog wel de "essentiële diensten" beschikbaar (rekeningoverzicht en overmaken) maar zijn andere diensten dan tijdelijk niet beschikbaar. Dit is dan ook wel een 'storing' waar ik goed mee kan leven.

Ik krijg dan ook het idee dat bij IGN of alles plat ligt, of alles gewoon werkt... Maar, dat is puur en alleen het beeld wat ik krijg uit de media!

[Reactie gewijzigd door FabianNL op 10 april 2013 13:04]

Yup, dit was wat ik net wilde zeggen. Heb vandaag meerdere malen bij ing ingelogd zonder problemen. Door de 'echte' storing recent bij ING lijkt het wel bij iedere 30 sec onbereikbaarheid er een nieuwsbericht komt. Ddos aanvallen lijken mij dagelijkse kost voor banken en ING is daar echt niet meer de dupe van dan andere banken. Het is gewoon dat ING nu mikpunt is van de media door de misser van afgelopen week.
Ach, zo gaat het heel vaak. En diegene die in de media komt is uiteindelijk het mikpunt van een hoop boze reacties en de rest heeft het 'goed voor elkaar'. Kijk naar het hele verhaal van T-Mobile van een paar jaar terug toen Youp van 't Hek met z'n verhaal naar buiten kwam. Half Nederland over de zeik omdat het zo'n k*tprovider is, terwijl andere providers evengoed voor belachelijke situaties zorgen.

Dat is ook direct het probleem met de meeste media. Er wordt een onderwerp genomen en daar vol op in gesprongen, vaak zonder naar omliggende onderwerpen te kijken en vaak vol met aannames. Het punt is bij de ING: we weten helemaal niks. Niet de grootte van de aanval, niet waar het vandaan komt, niet hoever de ING is met het aanbrengen van verbeteringen of hoe hun systeem in elkaar zit, etc. Het enige dat we lezen is: ING weer down door DDOS.
Ik heb sterk het idee dat die site niet heel nauwkeurig is. De methodologie staat niet heel duidelijk vermeld (bv hoeveel tweets triggeren een storingsmelding), er is geen duidelijke melding of een storing officieel bevestigd is of niet en de storing van ING waar dit nieuwsbericht over gaat staat er niet eens op.
Het is niet aleen ING:

"Op hetzelfde moment dat de storing begon bij ING, kon er ook niet meer betaald worden via iDeal. Het systeem kampte met een storing waardoor mensen, ongeacht van welke bank ze klant zijn, problemen ondervonden. Klanten van ING en SNS konden niet afrekenen en vijf banken konden daarnaast opeens geen contact meer krijgen met webwinkels die bij hen zijn aangesloten."

Zelfs de US kampt met DDoS aanvallen:

"WASHINGTON - Een reeks van cyberaanvallen op de Amerikaanse financiële sector heeft de 15 grootste banken daar in de afgelopen zes weken 249 uur platgelegd. Dit meldde NBCNews vrijdag.

Onder de gehackte banken waren onder meer Citibank, J.P.Morgan, Chase en Bank of America. Wie achter de aanvallen zitten, is niet duidelijk. Volgens deskundigen kunnen deze cyberaanvallen niet het werk zijn geweest van één persoon. Geruchten dat mogelijk Iran erachter zou zitten, zijn inmiddels door het land tegengesproken."

Nieuws van vandaag:

"Ook afgelopen vrijdag en zaterdag was de bank het mikpunt van een grote DDoS-aanval, maar die had een groter effect op de dienstverlening. Lange tijd was het internetbankieren onmogelijk en de aanval veroorzaakte toen naast problemen voor iDeal ook last bij onder meer de SNS Bank. "

Source: http://webwereld.nl/nieuw...-bankieren-kort-plat.html
Moneyou schijnt ook al een week slecht bereikbaar te zijn, maar daar hoor je niemand over..
Het is niet alleen ING, maar ING is natuurlijk enige Nederlandse bank goed bekend in 't buitenland.

Stel de Rabobank valt om door al deze ellende - enorm probleem in Nederland, maar Nederland komt er wel overheen. Stel de ING valt om - dan valt ook Nederland om, want de ING is te groot voor Nederland.

Zelfde in USA, daar worden met name wat enorm grote jongens aangevallen - Bank of America bijvoorbeeld.
Naar mijn idee komt het omdat ING een beveiliging heeft met alleen wachtwoord authentificatie voor een deel van het internet bankieren. Het zou mij niet onlogisch lijken dat de eerste DDOS aanvasllen waren om te kijken welke bank het zwakst was en/of wat ze mogelijk kunnen manipuleren. Vervolgens zijn ze misschien wel tot de conclusie gekomen dat ze toch de meeste kans hebben bij ING en daar zijn ze dan ook mee doorgegaan. Het kan best zijn dat ze vele gerichte strings aan het proberen zijn om te kijken wat pakt in combinatie met DDOS aanval in de hoop het systeem fouten te laten maken. Kan best zijn dat ze verwachten het wachtwoorden syteem te kraken en gegevens proberen buit te maken.

[Reactie gewijzigd door -NRG- op 10 april 2013 12:35]

Zo raar is NRG's theorie niet, bij de grote ddos werd er steeds geprobeerd in te loggen, mogelijk als poging wat wachtwoorden te bruteforcen. Zie de update)

Gelukkig gebruikt ook ING als het op betalen aankomt wel two factor: wachtwoord en TAN,
Nee, lijkt me niet. Je krijgt tegenwoordig een PAC code als je als gebruiker inlogt vanaf een locatie (zal wel IP-adres zijn) van waar je nog niet eerder ingelogd was. Brute forcen heeft dus geen zin omdat je als aanvaller dan ook de telefoon van de gebruiker moet hebben/hacken/hijacken.
Betekent dat je tegelijk wachtwoord moet brute forcen, IP-adressen moet weten van die users, en zn telefoon moet hebben.
Het is inderdaad wel apart dat alleen de ING en Ideal worden aangevallen.
ben dan ook erg benieuwd welke organisatie er achter zit en wat de beweegredenen hiervoor zijn geweest.

het jammere is alleen dat de consument hier weer de dupe van is.
ik hoop dat het dan ook voor iedereen gauw opgelost gaat worden.
Volgens mij hebben we een nieuwe vorm oorlog; digitale kernoorlog. Ook weer eens wat anders maar dan zie je hoe gevoelig alles is. Als internet uitvalt dan zijn we nergens meer. Moet je kijken hoe het land dan nog draait. voor geen meter en zo gevoelig zijn we. Gaan we weer terug naar de telex. Hoeveel bedrijven functioneren dan niet meer? Eerlijk denk ik dat dit nog maar een topje van de ijsberg is.
Digitale kernoorlog ?

We hebben geen idee wie de aanvallers zijn. En (dus) ook geen idee waarom ze dit doen. Spreken van een oorlog is een beetje voorbarig.

Veertig jaar geleden was er geen Internet. Maar wel telefoon. Wat dacht je dat er gebeurde als het telefoonnetwerk uitviel ? Net zulk gemopper als nu, wanneer het Internet ergens uitvalt.

En let wel, de ING heeft nu een probleem. Maar de rest van het Internet lijkt me goed te werken. Kun jij dit postje lezen ? Dan werkt jouw en mijn Internet dus nog. DDoS van individuele sites is een probleem. Maar in zijn geheel is het Internet toch vrij robust.
DE bedoeling van dit soort acties is onrust veroorzaken. Alleen al het aantal onzinnige onderbuik gevoelens dat in dit topic naar voren komt geeft aan dat dit zeer succesvol is.

Geld en banken baseren zich op vertrouwen. Als je dat vertrouwen aantast dan tast je het systeem aan.
Er zijn allerlei redenen te bedenken waarom men dit nu doet en waarom de ING.

ING had reeds een storing, de DDOS wakkerde de geruchten zeer doeltreffend aan.
ING is een grote internationale bank die een belangrijke invloed heeft: reputatieschade is groot en gevolgen daarvan ook.

Redenen om dez eonrust te veroorzaken o.a:
Terrorisme, chaos veroorzaken en onzekerheid kweken.
Speculanten: onzekerheid laat koersen schommelen en daa ris veel geld te verdienen.
De kick, dat jij zoiets kunt en zoveel aandacht krijgt (imago)
.....
..

Een aardig boek dat goed weergeeft wat iets kleins kan veroorzaken is WASP
http://en.wikipedia.org/wiki/Wasp_(novel)

[Reactie gewijzigd door SED op 10 april 2013 13:43]

De bedoeling van dit soort acties is onrust veroorzaken.
We hebben geen idee wat de bedoeling is.
En het zijn de pers en de sociale media die de echte onrust veroorzaken.

Ik denk dat dit de oorzaak is van veel problemen.

Arthur C Clarke's three laws"
3) Any sufficiently advanced technology is indistinguishable from magic.

De meeste mensen hebben geen idee hoe computers werken. Maar dan ook echt geen flauw idee.
En de meeste mensen hebben ook geen flauw idee hoe het Internet werkt. Zelfs op een site als Tweakers hoor je de meeste vreemde opmerkingen.

Net alsof het allemaal toverij is.

Daardoor krijg je rare berichtgeving. Er worden vergelijkingen gemaakt die helemaal krom zijn. Er wordt vanalles bij gehaald. Maar weinigen maken opmerkingen die ergens op slaan. Zeker in de pers. Zeker op TV. Zeker in de sociale media.
Dat van die speculanten is ook een goeie. Daar had ik nog niet aan gedacht.
Kan wel een reden bedenken en wel naar aanleiding van het volgende:
http://img853.imageshack....e6unxcaaeparjjpglarge.jpg

Eerst dus de DDoS aanval, waarbij de ING site (maar ook Rabo/ABN/..) niet werkt.
Daarna de media aandacht met allerlei mensen die er geen kaas van gegeten hebben.
Vervolgens sturen ze zo een mail, om aan de aanval te kunnen verdienen.
Ik weet niet of het komt van de zelfde persoon/groep komt, maar zeer aannemelijk.

Dus onrust stoken om vervolgens met een fake mail te komen om zo uit eindelijk aan de aanval te kunnen verdienen en met de hele Media aandacht zullen er ongetwijfeld een aantal personen op klikken.
Wel zag ik op RTL dat bijvoorbeeld Brenno de Winter voor een soort gelijk iets waarschuwde.
We hebben nog niet zolang geleden ook gewoon kunnen betalen digitale overboekingen. Gewoon weer naar de pinautomaat cash pinnen. Dan heeft ING natuurlijk wel weer een voordeel. Zij zijn één van de weinige banken waar nog cash te pinnen valt aan de balie.
Ik heb dat artikel wel eens vroeger gelezen. Nu weer eventjes snel doorgebladerd.

Het meest opvallende aan het hele review: er staat werkelijk nergens hoe die apparaat werkt ! En aangezien ik zelf geen idee heb hoe je betrouwbaar alle vormen van DDoS kunt afvangen, geloof ik niet dat die RioRey uberhaupt echt kan werken.

En laten we eens kijken naar capaciteit.
Pagina 4: de capaciteit van de duurste doos is 8000 Kilo Packets Per Second.

Stel je voor dat we het over een SYN-flood aanval hebben.
Dat zijn 40 byte TCP packetjes.
Tellen we daar een 18 byte ethernet header bij op.
En nog wat bytes voor TCP opties of zo.
Zeg 70 bytes.
Dat is ~500 bits.

De RioRey can 8 miljoen pps doen.
Dat is 8000000 * 500 bits = 4 Gbps.

De aanval betreft 300 Gbps.
Moet de ING 100 van die dozen kopen ?

En dan, ik weet nog steeds niet hoe je DDoS aanval afslaat. Dus het valt nog maar te bezien of dit uberhaupt werkt.
Ik vind het eigenlijk maar raar dat iedereen als zoete koek slikt dat we het hier hebben over ddos-aanvallen. Bewijs hiervoor zien we eigenlijk niet en het is inderdaad typisch dat er maar 1 bank onder vuur lijkt te liggen. Kan het niet gewoon zijn dat men uit PR overwegingen zegt dat het een ddos-aanval is in plaats van falende software?
Om een succesvolle ddos aanval uit te voeren zal je een grotere bandbreedte beschikbaar moeten hebben dan degene die je aanvalt. Een botnet huren is niet goedkoop, het is dus helemaal niet raar dat maar 1 bank aangevallen word, het is goedkoper en de kans van slagen is groter aangezien je je resources niet hoeft te verspreiden, je kan focussen op 1 instantie.
Het is veel simpeler dan dat. Een fileserver kan bijvoorbeeld, ik pak een willekeurig getal niet geheel toevallig gekozen, 100MB/s in de database storen per seconde.

Stel je hebt een paar servers en voor elke server een backup als deze crasht.

Dan zit vervolgens je computertje op een infiniband kabeltje of iets soortgelijks. Die levert vrij simpeltjes 2GB/s (of nog meer - QDR gaat simpeltjes tot 8GB/s hoor). In geval de infiniband wordt ingezet voor TCP/IP dan is het 10 gigabit ==> ongeveer 1 gigabyte per seconde.

Boven die 100MB/s, zeker ook als alle fileservers tegelijk bezig zijn op de centrale database,
dan loopt die 100MB/s terug natuurlijk naar 50MB/s of mogelijk nog minder , dat je per computer tegelijk kunt storen in de database.

Dit waar je dus meer data per seconde krijgt.

Om het simpel te representeren: die data die je krijgt gaat dus de filecache in van de fileserver. Op gegeven moment loopt de cache vol en crasht dus de server.

Dat loopt overigens niet zomaar vol hoor. Een simpele DDOS overleeft hij wel. Maar niet het soort aanval wat ze nu ertegenaan smijten.

Soms zijn er simpele oplossingen om een probleem op te lossen. Echter dat zijn hacks. De banken doen alleen aan hacks in hun systemen. Dus er zijn altijd gaten. Lijkt er sterk op dat met veel kennis deze aanvallen plaatsvinden waardoor de hacks van de banken niet werken.

Dat komt natuurlijk doordat het een gatenkaas aan goedkoop gehackte software en andere minder goedkope software is, in plaats van een helder wiskundig model waarin je hard kunt bewijzen dat het tegen elke generieke DDOS bestand is.
" Dat komt natuurlijk doordat het een gatenkaas aan goedkoop gehackte software en andere minder goedkope software is, in plaats van een helder wiskundig model waarin je hard kunt bewijzen dat het tegen elke generieke DDOS bestand is."

Ik ben voorstander van wiskundige bewijzen in software, maar ik wil het eerste wiskundige bewijs zien waarmee je kan aantonen dat software tegen een bepaalde load kan. Je kan dat eenvoudig specificeren (5 miljard inlogpogingen per seconde), maar bij mijn weten is het onmogelijk te verifieren dat het systeem zo'n belasting aankan. Daarvoor zijn moderne PC's te complex: je zit met caching-strategieen op verschillende niveaus (processor-caches als L1, harde schijven met caching, netwerkkaarten idem dito). Het is veel eenvoudiger om wiskundig te bewijzen dat zelfs het best ontwikkelde systeem een DDOS aanval die meer verkeer veroorzaakt dan de netwerverbinding toelaat nooit zal kunnen afslaan.

Als je bedoelde te zeggen dat een DDOS geen verdere fouten in de systemen zou veroorzaken mits wiskundig de correctheid was beschreven, dan heb je gelijk. Maar de DDOS zou dan alsnog ervoor zorgen dat de website plat gaat.
dude, mooi verhaal, maar volgens mij is dit gewoon een ddos op front-end webservertjes en heeft dat welgeteld niks met die (wel of niet) brakke software te maken.
Goed punt.
Zou zo'n aanval niet bijvoorbeeld bij de statistieken van AMS-IX of iets dergelijks zichtbaar moeten worden?
ING heeft aangifte gedaan van de DDoS aanvallen van de afgelopen tijd (op zijn minst van die van dinsdagavond). Als men uit PR overwegingen zegt dat het een DDoS aanval is, zou die aangifte vals zijn. En dat zou de ING duur komen te staan, dus die kans lijkt me niet erg groot.
Waarschijnlijk liggen grote systemen continu onder dit soort aanvallen die je kan classificeren als Ddos. Echter kan het prima zo zijn dat er zo weinig systemen aan die aanval meedoen dat je er niks van merkt. Is de aangifte dan nog steeds vals?
Ik hou niet zo van complotten, maar wel van vragen ;)
Dan is de DDoS niet de oorzaak van het uitvallen van ING. In de aangifte zal mogelijk staan dat de bank onder zwrae DDoS aanvallen leid. Hierdoor kan de bank niet functioneren. Met andere worden als blijkt dat DDoS niet de oorzaak was, en de bank dit had kunnen weten. Dan is er al een sprake van valse aangifte.
Daar zou je weleens gelijk in kunnen hebben.

Echter zijn er in deze reeks 'aanvallen' ook aanvallen geweest op IDeal welke niet van ING zelf is. Nu kan dat een toevalstreffer zijn omdat de andere gevallen wel alleen ING betreffen.

Dan zou ik eerder de politiek steunen in dit geval. Openbaarheid (althans inzicht geven of het DDOS of falende software is) en mening van experts hoe dit ooit heeft kunnen gebeuren.
Tegenwoordig zijn er namelijk zoveel middelen om DDOS op voorhand al te filteren waardoor alleen geavanceerde DDOS aanvallen erdoor kunnen komen.
De enigste groep die ik ken die geavanceerde DDOS aanvallen plegen is Anonymous.

Deze groep zie ik dit niet doen anders was het allang bekend gemaakt door Anonymous zelf :)

Dus tip aan ING :) huur experts in die kunnen helpen anders gaat het meer geld kosten dan die experts kosten :)

[Reactie gewijzigd door RicardoLans op 10 april 2013 12:22]

Alle fileservers crashen compleet als je een dataoverload erover heen legt.

Maakt niet uit welke.

Wat je ze kwalijk kunt nemen is de dubbele overboekingen.
Wat mij verbaast is dat ik mij meen te herinneren dat Tweakers hier gewoon maatregelen tegen genomen heeft. Apparatuur/software die een DDOS direct detecteert en afslaat zodat gebruikers er niks van merken.

Wat mij dan verbaast is waarom een bank (in dit geval ING) niet een vergelijkbaar systeem hebben, en een IT community zoals T.net dit wel heeft
Omdat banken in de eerste instantie alleen geinvesteerd hebben in het mobiel bereikbaar zijn en internetbankieren.
Daarmee zoals in een vorige post al is gezegd zijn ze niet slim genoeg geweest om hun hardware hier ook op aan te passen.

In de wereld van banken staat IT nog in de kinderschoenen. Als zij zich willen ontdoen van de kinderschoenen zullen ze toch echt met wat meer budget/intelligentie moeten komen.

Deze systemen bestaan allang, ja dat klopt FastFred, maar omdat een bank pas sinds een paar jaar (weet niet precies hoe lang) internet bankieren heeft en dus vanaf dat moment een public target is geworden en geen of weinig budget/kennis heeft om op dat moment alles meteen hardware technisch goed in te richten, is dit dus gewoon kwalijk te nemen aan de banken zelf dat zij nu deze problemen hebben.

Heb nog steeds dezelfde mening als in mijn eerste post.
De politiek heeft dit keer gewoon gelijk.
Internetbankieren was breed in gebruik sinds 1997. Rabobank had toen een grote hack gehad.
Afgelopen week al weer het een en ander aan phishing spam binnengehad gericht op ING klanten. Er wordt gewoon ingespeeld op de onbereikbaarheid van ING. Mensen kunnen niet inloggen bij ING, krijgen zo'n mailtje, klikken het aan, vullen hun gegevens in en even later is hun rekening geplunderd.
Grappig zo n fishingspam. Ik kreeg er eentje van de ABN-Amro...laat ik daar nu niet eens een rekening hebben!
Is niks grappigs aan. Ze zien er soms behoorlijk echt uit, de link lijkt ook te kloppen, maar als je erop klikt kom je op een gehackte webhost uit.

Dat jij geen klant bent bij de ING of ABN wil niet zeggen dat de mail niet aankomt bij klanten van ING of ABN. Zo krijg ik ook wekelijks papieren spam van allerlei loterijen. Leuk voor die mensen die gevoelig zijn voor de beloofde prijzen, maar in mijn geval gaan ze allemaal retour afzender.
Tja, ik zag dit net op nu.nl maar ik dacht: Ik zal het maar niet insturen, want het begint onderhand eentonig te worden in die zin dat het inmiddels wel duidelijk is dat de online-diensten van ING de laatste tijd gebrekkig zijn. Het lijkt me ook vrij voorspelbaar dat er in de komende 24 uur weer een aanval zal plaatsvinden. Door de kwantiteit vind ik elk geval waarin wordt gemeld dat de online-diensten van ING beperkt beschikbaar zijn geen nieuws op zich meer.

Wel vreemd dat hier: http://www.ing.nl/nieuws/nieuws_en_persberichten/
nog steeds geen bericht wordt vermeld en ook niet op ing.nl (homepage) . Vooral gezien het feit dat de kritiek van de afgelopen dagen was dat de ING traag was met opheldering te geven omtrent de storingen.

EDIT: Sinds 12:41 dus wel.

[Reactie gewijzigd door invmat op 10 april 2013 12:48]

Die ddos aanvallen keur ik af, dat vooropgesteld. De ironie van de afgelopen week is wel dat deze aanvallen de kwestie IT veiligheid bij directies van ondernemingen en publieke organisaties hoog op de agenda hebben gekregen. Voor een directielid is IT veiligheid een containerbegrip. De subtiliteit tussen ddos aanvallen en een daadwerkelijke hackpoging zal bij een gemiddelde directie niet vallen (met alle respect voor onze directies, die moeten sturen op hoofdlijnen). Als IT afdelingen nu een beetje handig zijn tenderen ze de algehele IT veiligheid mee in het oplossen van dit DDos issue. Maak gebuik van deze kans nu een directie zich wel ontvankelijk moet tonen voor veiligheidsbeleid. Beter laat dan nooit.
Dus goed voor de IT branche en economie. Waar IT eigenlijk ook als primair proces moet worden gezien, wordt dit niet altijd gedaan. IT is meestal een onderschoven kindje en daar wordt het eerste op bezuinigd.
je kunt een ddos niet wegnemen/voorkomen/stoppen. Je kunt wel het verkeer nullrouten...

Lijkt er echter meer op dat er voor wordt gekozen de (firewall) deur dan maar helemaal dicht te zetten, dan voor het selectief nullrouten.
Misschien wordt het ook eens tijd dat mensen wakker worden. Mochten alle banken een keer tegelijk plat gaan, kan niemand meer pinnen, geld opnemen, overmaken etc. Het wordt chaos want niemand heeft genoeg geld om een week lang eten te kopen.

Gevolg: roof en plundering. Leuk en makkelijk, mocht het omvallen, drama en chaos.
1 2 3 ... 6

Op dit item kan niet meer gereageerd worden.



LG G4 Battlefield Hardline Samsung Galaxy S6 Edge Microsoft Windows 10 Samsung Galaxy S6 HTC One (M9) Grand Theft Auto V Apple iPad Air 2

© 1998 - 2015 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True