ProtonMail denkt dat 'staatshackers' geavanceerde aanval uitvoerden

De Zwitserse dienst voor versleuteld mailen ProtonMail kampt met ddos-aanvallen en wordt door criminelen afgeperst. Het lijkt er volgens ProtonMail echter op dat de dienst onder vuur ligt van een tweede groepering met geavanceerde aanvallen, die aan staatshackers doet denken.

Afgelopen dinsdag ontving ProtonMail een dreigmail van criminelen die claimden achter ddos-aanvallen van de afgelopen weken in Zwitserland te zitten. Daaropvolgend kreeg de webmaildienst voor versleutelde mail twee aanvallen te verduren, die tot kortstondige uitval leidden.

"Binnen de tijdspanne van enkele uren bereikten de aanvallen een geavanceerd niveau zoals we dat nog niet eerder zagen", claimt de dienst in een verklaring. Bij deze aanval werd de infrastructuur van de upstreampartners van de dienst direct aangevallen. "De gecoördineerde aanval op onze isp overschreed 100Gbit/s en niet alleen onze datacenters, maar ook routers in Zürich, Frankfurt en andere locaties waar onze isp nodes heeft, lagen onder vuur."

Deze aanval legde het datacentrum en de provider lam, waardoor veel andere diensten en bedrijven getroffen werden. Hierop besloot ProtonMail het losgeld te betalen. Desondanks duurde de aanval voort, terwijl de criminelen van de eerste aanval ontkenden achter de tweede ddos-aanval te zitten.

ProtonMail redeneert dat twee groeperingen het gemunt hebben op de webmaildienst. "Daarbij vertoonden de tweede aanvallers capaciteiten die worden geassocieerd met daders die door staten gesponsord worden", claimt ProtonMail, dat erop wijst dat de criminelen bereid waren flinke bijkomende schade voor lief te nemen.

ProtonMail heeft een Defence Fund in het leven geroepen, waaraan internetters kunnen doneren om de aanvallen te weerstaan. Voor een blijvende oplossing denkt de dienst 100.000 dollar per jaar nodig te hebben. De dienst werkt samen met het Swiss Governmental Computer Emergency Response Team, de Cybercrime Coordination Unit Switzerland en Europol aan een onderzoek.

Reacties (79)

Auredium 6 november 2015 10:50

Het lijkt erop dat de staatshackers de ordinaire hackeraanval heeft willen gebruiken voor verwarring te willen veroorzaken over de daders. De grote van de aanval en de complexiteit lijkt mij wat te groot voor de hackersgroepen die in het wild rondroeien dus staatshackers lijkt mij wel een geode aanname.

Het probleem is natuurlijk dat DDossen op die schaal ook geld en resources kost (iets wat staatshackers zat hebben). Het doel is waarschijnlijk hopen dat de dienst klanten verliest en zoveel kosten moet maken dat het falliet gaat. Op die manier gaan gebruikers van die dienst mogelijk weer terug naar minder veilige alternatieven die de staatshackers makkelijker kunnen binnendringen of verkeer van kunnen uitlezen.

Het is gewoon smerig natuurlijk; Een staat mag dit gewoonweg niet; ook niet voor zijn nationale veiligheid. Of het nu Rusland, China of de VS is; als ooit de dader bekend wordt dienen er direct zware maatregels en sancties als straf te worden opgelegd.

[Reactie gewijzigd door Auredium op 22 juli 2024 19:44]

Durandal @Auredium • 6 november 2015 13:23

Een staat heeft geen regels waaraan het zich moet houden.
Tuurlijk, er zijn wat verdragen en zolang het ze uitkomen houden staten zich er aan, maar als puntje bij paaltje komt doet het wat het wil.
De enige regel is die van de sterkste.

Splorky @AJ • 7 november 2015 11:07

een grote foei is wel op zijn plaats, daarna terug naar de orde van de dag, als het geen bevriende staat is dan wordt het een ander verhaal, dan wordt het wat extra opgeklopt. en als het toch niet een staat is dan zijn het terroristen.

[Reactie gewijzigd door Splorky op 22 juli 2024 19:44]

AJ @Splorky • 8 november 2015 09:13

hier kan ik geen pap van maken, hoezo grote foei. volgens mij lees je iets niet goed...

Jelv 6 november 2015 10:11

Wat details van de aanval: 230Gbps UDP Amplification flood en 69.3 million packet-per-second TCP flood. Bron: https://twitter.com/optucker/status/662137845080072192

Proton heeft ook 15 Bitcoins / 6000$ losgeld betaald om de ddos te stoppen staat op de blog: https://protonmaildotcom....nt-about-the-ddos-attack/ https://blockchain.info/a...z9NRSUnQ9Pcp58ddYaSuN1T2y

Er waren dus twee aanvallen. De eerste op van ProtonMail, die eenvoudig te noemen is. En later een tweede op de upstream provider en datacentrum op meerdere locaties, die zeer complex te noemen is. Voor de eerste aanval kregen ze een afpers email, waaraan ze voldaan hebben. Nadat de tweede aanval niet stopte kwam er excuses van afpersers waarin ze afstand namen van de tweede aanval. Ze vermoeden dus dat de eerste aanval van de afpersers was en de tweede van een andere organisatie. Ze omschrijven de tweede aanval zo "[..] the second attackers exhibiting capabilities more commonly possessed by state-sponsored actors [..]" https://protonmaildotcom....nt-about-the-ddos-attack/

[Reactie gewijzigd door Jelv op 22 juli 2024 19:44]

PerAspera @Jelv • 6 november 2015 10:46

Is er iemand met verstand van cyberaanvallen die mischien een beter beeld kan scheppen over de omvang van deze attack?
En wat prontmail allemaal voor die 100.000$ per jaar kan kopen waardoor deze attacks niet meer werken?

Jelv @PerAspera • 6 november 2015 11:05

"The challenge with attacks at this scale is they risk overwhelming the systems that link together the Internet itself. The largest routers that you can buy have, at most, 100Gbps ports. It is possible to bond more than one of these ports together to create capacity that is greater than 100Gbps however, at some point, there are limits to how much these routers can handle. If that limit is exceeded then the network becomes congested and slows down." Artikel uit 2013 https://blog.cloudflare.c...lmost-broke-the-internet/

"Largest ddos reported in 2014: 400 Gbps" Arbor Networks bekend van http://www.digitalattackmap.com/ bron: https://picasaweb.google....jc-gE#6108691518060162194

Lupusceleri @Jelv • 7 november 2015 01:26

Het punt is dat zulke aanvallen bijna altijd gedistribueerd binnen komen over meerdere poorten want de DNS servers die voor de reflectie misbruikt worden staan overal op de wereld in allerlei verschillende netwerken. En als je een router met een externe 100GbE poort hebt is dat meestal niet je enige uplink/peering die op die snelheid draait, je hebt namelijk ook nog redundancy en diversiteit nodig. De "fase 1" waarbij er 100 Gbps direct naar het doelwit verzonden wordt is dus zonder al te veel problemen af te slaan door een ISP met voldoende externe capaciteit.

Nu is het zo dat als ik het bericht van ProtonMail goed lees, de aanvallers in de "tweede fase" specifieke linknets van de routers bij hun upstream ISP te grazen zijn gaan nemen. Vergelijk dit voor het gemak even met tien snelwegen die naar een stad lopen en dat je een vrachtwagen dwars op de weg parkeert bij een van de tien snelwegen. Iedereen op de geblokkeerde snelweg staat vast maar voor de overige negen snelwegen is er niets aan de hand. Dat is nog steeds belletje trekken qua moeilijkheidsniveau en investering voor de aanvaller, zeker weten niet het niveau "staatshacker", dus wat dat betreft zijn de aanhalingstekens in het Tweakers.net artikel gepast!

Maar voor het slachtoffer des te vervelender omdat het verkeer nu geconcentreerd op een bepaald punt het netwerk binnen komt in plaats van netjes over de uplinks verdeeld, en misschien zelfs de management plane van de router down haalt als 'ie niet goed dicht getimmerd is.

Wat ProtonMail waarschijnlijk van die $100k per jaar wil doen is bij een externe leverancier DDoS bescherming huren: denk aan Prolexic, Staminus, BlackLotus, en dan zijn er nog een berg tier-1 transit providers die dergelijke diensten als added value kunnen aanbieden. CloudFlare biedt vergelijkbare diensten maar werkt als DNS-based proxy in plaats van dat de IPs zelf beschermd worden.

Overigens lijkt het er op dat ze inmiddels de handdoek in de ring gegooid hebben (althans hun ISP) aangezien het IP waar protonmail.com met DNS naar verwijst niet meer in de BGP routing table zichtbaar is. Ik verwacht dat ze achter een van de gebruikelijke scrubbing diensten wel weer online zullen komen.

Floesh 6 november 2015 11:00

Tijd voor een peer-to-peer email systeem met encryptie, bijvoorbeeld obv blockchain technologie. Zodra je een dienst of product levert die tegen de belangen ingaan van de gevestigde orde wordt een gecentraliseerd bedrijf aangevallen. Decentralisatie en encryptie is hard nodig.

Jace / TBL @Floesh • 6 november 2015 11:33

Dit.

Het is trouwens al: o.a. bitmessage is een veelbelovende ontwikkeling. Qua toegankelijkheid en gebruikersvriendelijkheid nog wel een totaal drama trouwens, daar gaat nog wel een paar jaar ontwikkeling in zitten voordat Henk en Ingrid daar ook mee om kunnen gaan. Maar het gaat er zeker komen.

biglia @Jace / TBL • 6 november 2015 11:59

Henk en Ingrid hebben nog nooit van ProtonMail gehoord. Dus daar moet je geen rekening meehouden. Henk en Ingrid gebruiken trouwens Gmail, een service die wel tegen een Ddos'je kan.

smiba @biglia • 6 november 2015 13:38

Maar dit is dan ook niet "een Ddos'je"

biglia @smiba • 6 november 2015 15:35

Dat is waar, maar zou het Gmail plat kunnen krijgen, denk je?

bartmaniac @biglia • 7 november 2015 23:32

Maar waarom Gmail aanvallen? Die maken toch jouw gegevens zo over

Verwijderd @bartmaniac • 8 november 2015 18:19

Dat valt nog vies tegen denk ik , tuurlijk ze lezen het voor de reclame en analyse. Maar zomaar zonder gerechtelijk dwang krijg je daar geen gegevens. Als personeel van google heb je geen mogelijkheid om deze data in te zien. En als je account sluit bij google is die ook verwijderd. Doe dat eens bij outlook.com. Kun je mail adres zo weer activeren na zogenaamde delete.

Verwijderd @biglia • 6 november 2015 16:02

Ligt eraan hoe hun netwerk is opgebouwd, maar aanvallen van deze grootte laten Tier 1 providers zweten.... dus Gmail zou best down kunnen gaan door een goed uitgevoerde ddos. Maar dit is wel heel moeilijk hoor

kritischelezer @Floesh • 6 november 2015 11:28

correct, dat is de enige manier om ongestoord te kunnen blijven emailen, blockchain technologie toepassen.

MuVo 6 november 2015 10:32

Het lijkt inderdaad weer plat te liggen. Naast de website haalt de mail applicatie ook geen nieuwe mails meer op. Maar 1 verschil, ik kan nog wel inloggen in de mail app. Dit was afgelopen dagen niet mogelijk.

Nu heb ik deze DDos van Protonmail op de voet gevolgd, aangezien ik mijn mail de afgelopen dagen ook niet kon openen. Wat Protonmail wel netjes heeft gedaan is dat alle mails die afgelopen dagen aan mij verstuurd zijn heb ik later als nog ontvangen.

Protonmail informeert de users via Twitter en een aparte website waar ze aan hebben gegeven dat mails die onderweg zijn gebounst worden of in een wachtrij geplaatst worden.

Balen dat dit Protomail over komt, zeer netjes dat ze zich niet uit het veld laten slaan. Men probeert een goede dienst neer te zetten die privacy waarborgt. Helaas zijn er ook veel tegenstanders.

Zelf heb ik gedoneerd zodat ik de mail applicatie kan gebruiken. Tijd om een donatie te doen in hun verdediging fonds, aangezien ik Protonmail als privé mail gebruik is een donatie wel op zijn plaats. De dienst is nog bèta maar ik ben al deels overstapt van Gmail en Outlook, de applicatie hielp hierbij enorm.

De dienst opereert vanuit een bunker in de Zwitserse alpen, maar tegen een Ddoss van deze schaal zijn ze nog niet opgewassen. Door steun van de gebruikers kunnen zich wel beter gaan weren tegen dit soort aanvallen. Wat voor de gebruikers alleen maar positief is voor de ontwikkeling.

Jelv @MuVo • 6 november 2015 10:53

Of je mail nog aankomt is natuurlijk afhankelijk van de smtp server van de verzendende partij. ProtonMail geeft waarschijnlijk Connection Timed Out bij ddos. Meeste providers proberen het dan nog paar dagen, maar ga er niet vanuit dat al je email alsnog aankomen. Er zullen ook providers zijn die gelijk bouncen bij een timed out.

Argument dat ze in een bunker zitten is een wassen neus. Dat zie je nu. Goed anti-ddos diensten of partners zijn belangrijker. En als je niet meewerkt met het politie onderzoek omdat je alles versleuteld hebt komen ze toch wel binnenvallen in je nucleaire bunker: http://www.digital-digest...-Swedish-Police-Raid.html

MuVo @Jelv • 6 november 2015 11:57

Daar heb je gelijk in, maar ze proberen de wel tegemoet te komen naar de verzende partij. Maar er zullen vast mails niet aankomen, ook de gebruikers zullen last hebben van deze aanvallen. Maar als ik de berichten zo lees doen ze hun best.

ReTechNL 6 november 2015 09:59

Ik vroeg me al af waarom ik niet in mijn mail kon vanmorgen.
Na op twitter gekeken te hebben bleek er sprake te zijn van een DDOS
https://twitter.com/protonmail
https://protonmaildotcom.wordpress.com/

Als je kijkt naar de bitcoin transacties dan zie je gelijk dat het geld weer wordt doorgesluisd naar andere locaties.
https://blockchain.info/a...z9NRSUnQ9Pcp58ddYaSuN1T2y

Update van de twitter van Protonmail
https://twitter.com/ProtonMail/status/662558838684520448

[Reactie gewijzigd door ReTechNL op 22 juli 2024 19:44]

proatjeboksem @ReTechNL • 6 november 2015 10:14

Aha, misschien is dat ook wel de oorzaak (of juist een gevolg): de plotselinge stijging van de bitcoin koers

hoogevost @proatjeboksem • 6 november 2015 10:28

hadden ze de aanval voor het geld dan niet beter VOOR de stijging van de koers kunnen uitvoeren?

Iblies @hoogevost • 6 november 2015 10:59

Het zou niet eens een gekke theorie zijn dat er andere bedrijven zijn die ook worden afgeperst maar er geen ruchtbaarheid aan geven.

Er hoeft maar een kleine stijging in de vraag te zijn waardoor er een exponentiële stijging in de waarde komt.

proatjeboksem @hoogevost • 6 november 2015 10:59

Nouja, misschien niet om zelf bij die bitcoins te kunnen, maar om te voorkomen dat iemand anders bij zijn/haar bitcoins kon, om ze te cashen.

Staatshackers zullen zelf niet om geld verlegen zitten, lijkt me.
Dus dan zou het eerder om strategisch doel gaan.

Liberteque @proatjeboksem • 6 november 2015 11:10

Ze zullen er niet verlegen om zitten, maar zullen die schijn tegen weg nemen door geld te eisen als smokescreen

[Reactie gewijzigd door Liberteque op 22 juli 2024 19:44]

proatjeboksem @Liberteque • 6 november 2015 11:26

een overheidsinstelling die een smokescreen probeert neer te leggen, dat werkt toch nooit

Liberteque @proatjeboksem • 6 november 2015 11:42

Als ze het kunnen laten lijken op een rogue achtige aanval door gewoon losgeld te eisen zonder enige intentie te hebben het geld te innen, maken ze daarmee de groep met mogelijke verdachten alleen maar groter voor de slachtoffers..

ps... ik begreeg je grapje wel hoor ;-)

ReTechNL @hoogevost • 6 november 2015 10:32

Ja want daar hou je ook echt rekening mee als iemand een geladen pistol aan je kop zet.. Figuurlijk dan hé

Verwijderd 6 november 2015 10:06

Als het dan staatshackers zijn, kan je dan niet beter als staat zijnde diensten blokkeren van Protonmail in plaats van complete datacenters plat te leggen ? Net als dat je hier bijvoorbeeld om Tweakers je niet kan registreren met Guerrillamail email adressen.

Moet wel zeggen dat het verbazingwekkend is dat ze betalen en dan hopen dat ze dan wel met rust worden gelaten.

[Reactie gewijzigd door Verwijderd op 22 juli 2024 19:44]

SirBlade @Verwijderd • 6 november 2015 11:11

Als de schade aan de infrastructuur van de ISP van Protonmail te groot wordt zal die vroeger of later gedwongen zijn de relatie met protonmail te beëindigen. Te veel downtime zal hem immers zijn andere klanten kosten. Als de aanvaller een paar ISP's op die manier kapot kan maken zal het voor Protonmail heel erg moeilijk worden om nog een ISP te vinden.

Vergelijk het met de maffia die er voor zorgt dat praten met de overheid een terminale vergissing is.

2Dutch @SirBlade • 6 november 2015 12:44

Hoop dat ze een ISP aantrekken die zoiets heeft van: kom maar op met jullie aanvallen, wij zorgen dat ze succesvol worden afgeweerd. Weet niet of dat haalbaar is hoor, maar het zou wel een dikke middelvinger zijn naar de aanvallers. D'r moet toch wel een serieuze privacyvoorvechtende ISP met veel resources/goede infrastructuur te vinden zijn? Ze zijn zelf ook al op zoek las ik op Twitter:

We are seeking a datacenter in Switzerland brave enough to host ProtonMail, many are afraid due to the magnitude of the attack against us.

even nog wat verduidelijking mbt het aantal mede-slachtoffers van de aanval:

This coordinated assault on key infrastructure eventually managed to bring down both the datacenter and the ISP, which impacted hundreds of other companies, not just ProtonMail.

Dus tsja, snap wel dat Protonmail flink werd gepushed om die 6k aan bitcoins te betalen, gaat niet ff om 3 groentenboeren in 't dorp

[Reactie gewijzigd door 2Dutch op 22 juli 2024 19:44]

SirBlade @2Dutch • 6 november 2015 13:45

Een commerciële ISP zal nooit voldoende resources hebben om alle aanvallen van staatshackers af te slaan. Het kan in theorie, maar dan wordt de dienstverlening zo duur dat geen klant het kan betalen. Zelfs een klein land als Nederland zal niet in staat zijn al die aanvallen af te slaan. En de landen die het wel kunnen zijn niet de landen die gebruikers van protonmail ooit zullen vertrouwen.

Verwijderd @SirBlade • 6 november 2015 14:01

Yep, en dat zal voor Protonmail dan wel een eigen datacenter moeten worden in de toekomst.

proatjeboksem @Verwijderd • 6 november 2015 10:18

Ach ja, overheid & ICT he

Ik snap ook niet wat een regering aan dat beetje geld heeft.
Als regering zijnde zou je iemand wel op andere manieren kunnen overtuigen om mee te werken, lijkt me.

Verwijderd @Verwijderd • 6 november 2015 13:19

Staatshackers hebben er niks aan op protonmail te blokkeren. Dan is er morgen weer een tweede dienst die iets vergelijkbaars aanbied. Dan krijg je hetzelfde kat en muis spelletje als je bijvoorbeeld met VPN's in China ziet.

Het dreigen te vernietigen van het bedrijf heeft daarentegen een afschrikwekkende werking. Ik zal in elk geval wel twee keer nadenken voordat ik een vergelijkbare dienst begin. En als ik het toch doe is er nu een grote kans dat datacentra mij weigeren of zware eisen gaan stellen. In die zin is de aanval geslaagd.

Een andere mogelijkheid is dat deze aanval is bedoelt als afleiding manoeuvre. Wellicht is protonmail of een andere dienst in dat datacentrum gehackt en zagen de hackers geen andere mogelijkheid om hun sporen te wissen of hun daadwerkelijke werkzaamheden te verbergen.

Verwijderd @Verwijderd • 6 november 2015 10:13

Staatshackers hebben onbeperkt aantal IP-adressen.
Staten zoals China beheren zelfs hele botnets wereldwijd.

janbaarda @Verwijderd • 6 november 2015 10:46

Waarom denk je aan China? NSA en GCHQ hebben minstens dezelfde mogelijkheden en liggen meer voor de hand. USA en UK hadden al eerder hun ongenoegen over encrypted mail geuit.

Verwijderd @janbaarda • 6 november 2015 10:48

Omdat China dit soort aanvallen vaker uitvoert.
China accepteert immers de mensenrechten niet.
Kan trouwens ook een samenwerking tussen China, UK en US zijn.

Liberteque @Verwijderd • 6 november 2015 11:09

Wat een rits aan aannames en speculaties. Lijkt me onmogelijke taak achter de dader te komen. zeker als het zo profi is uitgevoerd.. Ik wens ze sterkte

kritischelezer @Liberteque • 6 november 2015 11:22

het kan ook nog een concurerende email dienst zijn of een manier om er 1 op te zetten die niet vatbaar is voor dit soort aanvallen. Als men nu blockchain techniek gebruikt dan is het opgelost.

Verwijderd @Verwijderd • 6 november 2015 13:23

Dat China vaker aanvallen uitvoert zegt niet zoveel. Diverse andere landen doen dat ook.

De vraag is wie er baat bij heeft om deze aanval uit te voeren. Wat is het motief?

fast-server @Verwijderd • 6 november 2015 10:52

Je kunt een NTP Amplification attack met relatief weinig recources uitvoeren.

1 PC van de opdrachtgever>>een stuk of 10 trigger servers met 1Gbps>>230 1Gbps versterkers en je hebt 230Gbps.

Vorig jaar is een zelfde aanval uitgevoerd met 400Gbps

himlims_ 6 november 2015 09:58

dat is serieuze buisiness, was al veel commotie toen men de dienst lanceerde. oa paypal deed moeilijk, overheids instanties waren niet blij met deze encryptie mail. vind het een plezierige dienst, en geeft mij meer vertrouwen dan bijv. een gmail.

Hierop besloot ProtonMail het losgeld te betalen.
> bijzonder... daar waar het verleden ons geleerd heeft dat betalen zelden tot nooit een positief effect heeft

[Reactie gewijzigd door himlims_ op 22 juli 2024 19:44]

proatjeboksem @himlims_ • 6 november 2015 10:13

daar waar het verleden ons geleerd heeft dat betalen zelden tot nooit een positief effect heeft

behalve voor de afpersers, dan

Maar voor het overige: als jij mailt met iemand met, laten we zeggen een gmail account, dan is die conversatie toch helemaal niet versleuteld? dan kun je net zo goed een gmail account nemen en iets met PGP opzetten met jouw correspondenten, lijkt me. Of zit ik er nou naast?

int3nz0r @proatjeboksem • 6 november 2015 10:19

Er zit een functie in ProtonMail waarbij je het bericht kan versleutelen met een password. De ontvanger met bijv. een Gmail-account moet dan vanuit het bericht een webpagina openen en het wachtwoord invullen voordat het bericht verschijnt. De verzender kan een hint meesturen voor het wachtwoord maar je zult dus op een andere manier dan e-mail (om echt secure te zijn) het wachtwoord moeten communiceren om hiervan gebruik te maken.

proatjeboksem @int3nz0r • 6 november 2015 10:21

Aha, beetje PGP on-the-fly, zeg maar.
Heb ik nog wat geleerd op de vrijdagochtend. Thnx!

geekeep @himlims_ • 6 november 2015 10:02

Verbaasd mij inderdaad ook ten zeerste dat ze losgeld betalen. Buiten het feit dat het blijkbaar niet geholpen heeft (als het toch dezelfde groep blijkt), nodigt het nieuwe partijen uit om een lucratieve poging te wagen.

Tomtest @geekeep • 6 november 2015 13:22

Over 100 companies were taken offline from the attack against us. Impacted companies asked us to pay, we couldn't refuse.

https://twitter.com/ProtonMail/status/662362372892438528
https://twitter.com/ProtonMail/status/662586569740677120

geekeep @Tomtest • 6 november 2015 16:38

Het zou die andere bedrijven sieren om die gedwongen betaling op te hoesten dan. Protonmail kan namelijk ook niks aan die aanvallen doen.

Het zou vergelijkbaar zijn met een afsluiting van een hele winkelstraat vanwege de boycot van slechts één winkel(pand), waarbij de boycotters geld eisen voor het opheffen van de blokkade.

bbob

Netwerk en systeembeheer

@geekeep • 6 november 2015 10:10

Het feit dat ze zeggen losgeld te betalen betekend dat ze af te persen zijn en dus een 3de of 4de partij het nog een keer kan proberen en waarschijnlijk dan ook geld krijgt ?

Als bedrijf met website dat i hetzelfde datacenter zit als protonmail ben je dus de sigaar als jou website er ook uitligt. als bedrijf zul je je webhoster dus goed moeten uitzoeken en proberen te voorkomen dat je in een datacenter zit waar ook bedrijven zitten die een doel voor een ddos kunnen zijn.

trogdor @bbob • 6 november 2015 10:32

Misschien hebben ze er wat van geleerd en werken ze de volgende keer met een escrow service er tussen.

cobis taba @geekeep • 6 november 2015 11:33

Wat ik uit hun blog opmaak is dat ze het zelf niet wilde, maar onder druk van externen (andere bedrijven enzo die er last van hadden) gepushed werden toch te betalen.

Chayan71 @himlims_ • 6 november 2015 10:45

Betalen aan deze afpersers zou strafbaar moeten zijn. Betalen zorgt er alleen maar voor dat er nog meer afpersingen gaan komen. Zo verwijt ik bijvoorbeeld ook partijen als Google dat zij betalen voor Addblockers. Zij hadden er namelijk ook voor kunnen kiezen om gebruikers te blokkeren die de adblocker niet uit willen zetten. Doordat er echter betaald werd waren er ineens nog meer partijen die zich richten op het maken van Addblockers en hier hun verdienmodel van maken.

Verwijderd @Chayan71 • 6 november 2015 13:13

Ze betalen dan ook niet aan de aanvallers, maar zijn bezig met een oplossing dat aanvallen kan weren op te zetten.

https://twitter.com/BillyMoses/status/662561447092752384

Chayan71 @Verwijderd • 6 november 2015 15:25

Aan de 1e groep aanvallers hebben ze 15 bitcoins betaald. In het artikel staat ook dat ze betaald hebben.

Blokker_1999

Netwerk en systeembeheer

@himlims_ • 6 november 2015 10:06

Betalen leid vaak wel tot een positief effect. Indien je 1 partij afperst en je niet aan je woord houd zal je in de toekomst nooit nog een andere partij zover krijgen om te betalen. Stop je evenwel je aanval na betaling dan kan je een volgend doelwit gaan zoeken en zullen zij ook sneller tot betaling overgaan. Zelfde principe als bij cryptoware, alleen zullen de bedragen hier wel wat hoger zijn.

Jaahp @Blokker_1999 • 6 november 2015 10:17

...en opeens zijn DDOSen en cryptoware lucratief!

H!GHGuY @himlims_ • 6 november 2015 12:47

Ik vond dit ook bizar. Dat is hetzelfde als een bordje voor je huis plaatsen met:
"beste inbrekers, gelieve niet in te breken, we leggen elk jaar op 1 april €1000 in het tuinhuisje. Gelieve dit onder jullie te verdelen en ons huis verder met rust te laten".

Dat maakt je gewoon tot doelwit voor afpersing.

Verwijderd @H!GHGuY • 6 november 2015 18:51

Protonmail heeft het losgeld betaald onder druk van de verschillende andere bedrijven die schade ondervinden naar aanleiding van deze DDOS aanval. Protonmail had er zelf niet zo veel zin in om dat te doen.
Waar die druk weg komt weet ik niet, want ze hebben geen causaal aandeel in deze aanval, maargoed.

scorpion-biker @himlims_ • 6 november 2015 10:33

Afgaande op onderstaande quote uit hun bericht op hun wordpress site, hebben ze eigenlijk onder protest, onder druk van andere partijen die ook last hadden van de aanval, toch het losgeld betaald.

At this point, we were placed under a lot of pressure by third parties to just pay the ransom, which we grudgingly agreed to do at 3:30PM Geneva time to the bitcoin address 1FxHcZzW3z9NRSUnQ9Pcp58ddYaSuN1T2y

Kermit123 6 november 2015 10:13

Ze lijken er nu weer uit te liggen. Net een donatie gedaan

Verwijderd @Kermit123 • 6 november 2015 10:19

Klopt... dit is zojuist bevestig;

Our ISP came under renewed DDoS attack this morning so we are offline again. We need your help to fight this:

Durandal @Verwijderd • 6 november 2015 15:19

Tja, als je wereldkundig maakt dat je betaald hebt om een DDOS te laten stoppen, dan ben je ineens doelwit van ieder script kiddy die zijn zakgeld wil verhogen..

Verwijderd @Kermit123 • 6 november 2015 10:46

Ik wil wel doneren, maar niet als ze er aanvallers mee afkopen. Dat was een slechte actie. Uit principe heb ik dan liever een week geen e-mail.

Enfin, als het geld nu ingezet wordt om een structurele oplossing te bouwen dan kunnen ze op mij rekenen.

Kermit123 @Verwijderd • 6 november 2015 10:51

Ik denk niet dat ze licht gedacht hebben over betalen. Ik kan me voorstellen dat de druk van je provider ook meeweegt, zijn zijn wel de reden dat er veel meer sites plat gaan.

Ik ga er vanuit dat ze de 100k nodig hebben voor een strucurele oplossing en ben dan niet de beroerste om wat over te maken.

sambalbaj 6 november 2015 11:19

Jammer, zag er goed uit en overwoog om over te stappen vanaf Gmail. Maar betalen aan afpersers is voor mij een no go. Als je daar eenmaal aan begint dan is het hek van de dam.

sumac @sambalbaj • 6 november 2015 11:47

Je kunt ook mailbox.org proberen. Duitse provider met een goed oog voor privacy en veiligheid. Kosten zijn te overzien. Je kunt je eigen public GPG key uploaden, en alle mail die (onversleuteld) aankomt wordt na binnenkomst meteen versleuteld opgeslagen.

Verwijderd @sumac • 6 november 2015 14:06

Dank voor de tip. En het kan ook onder je eigen domeinnaam, zo te zien.

@ hieronder: hehehe

[Reactie gewijzigd door Verwijderd op 22 juli 2024 19:44]

Durandal @sumac • 6 november 2015 15:21

Gelukkig maakt de NSA een backup van wat over de lijn gaat voordat het aankomt, dan ben je in ieder geval veilig voor wanneer ook die provider onbereikbaar wordt.

Inproba

@sambalbaj • 6 november 2015 11:28

Ze hebben alleen betaalt omdat ze onder druk werden gezet door andere organisaties:

"At this point, we were placed under a lot of pressure by third parties to just pay the ransom, which we grudgingly agreed to do at 3:30PM Geneva time to the bitcoin address 1FxHcZzW3z9NRSUnQ9Pcp58ddYaSuN1T2y. We hoped that by paying, we could spare the other companies impacted by the attack against us..."

synoniem 6 november 2015 10:49

Wellicht dat ze een CDN zoals Cloudfare kunnen gaan gebruiken? Dat zou een DDOS al een stuk moelijker maken plus dat daar heel veel kennis en infrastructuur beschikbaar is. Tenzij natuurlijk dat de veilige werking van encrypted mail belemmerd maar ik heb geen idee hoe de beveiliging van Protonmail opgebouwd is.

sumac @synoniem • 6 november 2015 11:45

Ik dacht dat een CDN alleen statisch content levert. E-mail is dynamisch, en juist ook omdat veiligheid zo'n grote rol speelt wil je alles zelf regelen.

Blizz @sumac • 6 november 2015 11:52

Een homepage is statisch, dus dat zou best mogelijk zijn. Maar ik vind het vanuit privacy-opzicht ook geen bijzonder fijn idee dat een derde partij al mijn bezoeken kan tracken, ongeacht de reden.

Tomtest @synoniem • 6 november 2015 13:26

ProtonMail -> CDN -> Gebruiker
Het ontsleutelen van de berichten gebeurt client-side. Zowel de verbinding tussen de CDN en ProtonMail als de verbinding tussen de CDN en de gebruiker kunnen versleuteld zijn maar zelfs dan kan de CDN een man-in-the-middle aanval uitvoeren door zich voor te doen als ProtonMail in plaats van het verzoek door te sturen naar ProtonMail. Een CDN is dus een no-go lijkt mij.

Op dit item kan niet meer gereageerd worden.

ProtonMail denkt dat 'staatshackers' geavanceerde aanval uitvoerden

Lees meer

Reacties (79)

Sorteer op:

Weergave: