Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 59 reacties
Submitter: Kermit123

ProtonMail heeft met een crowdfundcampagne op Gofundme ruim 57.000 dollar opgehaald. Naar eigen zeggen is dat genoeg om de dienst de komende twaalf maanden te beschermen tegen ddos-aanvallen. Om dat te doen is de dienst een samenwerking gestart met RadWare.

Vorige week kreeg de Zwitserse dienst voor versleuteld e-mailverkeer hevige ddos-aanvallen te verduren. ProtonMail stelt zelf dat de aanvallen zo geavanceerd waren dat ze doen denken aan staatshackers. Om de dienst te kunnen beschermen werd het ProtonMail Defence Fund opgezet. In vijf dagen tijd werd het streefbedrag van 50.000 dollar ruimschoots binnengehaald. Het team achter de dienst zegt in zijn dankwoord dat het opgehaalde bedrag voldoende is om de dienst de komende twaalf maanden te beschermen.

In een nieuwe, uitgebreide verklaring over de aanvallen, schrijft ProtonMail op zijn website dat de ddos'en nog altijd voortduren, maar dat deze niet meer in staat zijn om de infrastructuur van de dienst lam te leggen. Dat komt omdat ProtonMail in zee is gegaan met RadWare, een bedrijf dat bescherming biedt tegen ddos-aanvallen. Met de RadWare DefensePipe-dienst lukte het vorige week om de aanvallen te beperken, zodat de dienst in de lucht kon blijven. Wel kunnen gebruikers van de dienst nog onderbrekingen ervaren als gevolg van herstelwerkzaamheden. Wie er achter de grote aanval zit is nog niet duidelijk. ProtonMail roept ddos-experts op om contact op te nemen om de data van de aanval te analyseren.

Hoewel het opgehaalde bedrag voorlopig genoeg is, stelt ProtonMail dat de kosten in de toekomst zullen oplopen, als het aantal gebruikers van de dienst toeneemt. Daarom blijft het mogelijk om geld te doneren aan het fonds. Geld dat overblijft wordt toegewezen aan een 'Legal Defense Fund', waarmee ProtonMail de verdediging tegen mogelijke toekomstige juridische aanklachten wil bekostigen.

ProtonMail maakt ook bekend dat de aanval invloed heeft gehad op de ontwikkeling van ProtonMail 3.0. De update stond gepland voor eind november, maar dat is niet meer haalbaar volgens het team. Een nieuwe datum is nog niet bekendgemaakt.

Moderatie-faq Wijzig weergave

Reacties (59)

Ik zal ze nooit vergeven dat ze betaald hebben aan DDoS'ers. Dat is zo'n ongelofelijke misser.

De DDoS aanvallen zijn niet gestopt, en wie zegt dat dit geld ook niet direct in bitcoins wordt omgezet en naar de aanvallers wordt gestuurd? Daar gaat mijn donatie.

[Reactie gewijzigd door JCE op 11 november 2015 14:07]

Juist daarom hebben ze nu geld ingezameld om dat in het vervolg niet meer te hoeven doen. Je bedrijf gaat wel naar de knoppen als zo'n aanval blijft komen en als ik de bronnen mag geloven hebben ze betaald onder druk van andere bedrijven, zeker niet vrijwillig.
Ja doei. Een DDoS is een investering. Dat kost tijd, geld, en energie. Als je er voor betaald krijgt loont het dus extra om het te doen! Hupsakee, DDoS #2 is extra groot.

Waarom denk je dat ze nu nog steeds worden aangevallen? Als het niet door de "staatshackers" is, is het wel door elke scriptkiddie die ook geld ruikt. Stom stom stom!
Blijkbaar hadden ze de tijd en het geld niet om de juiste maatregelen te nemen. Het fijne weet ik er ook niet van hoe dat precies gegaan is (behalve dat ze onder druk van andere bedrijven een aantal bitcoins hebben betaald).

Tuurlijk is dat een beloning voor de aanvallers, dat ontken ik ook niet. Je moet het alleen ook van de andere kant bekijken, gaandeweg leert men :)
Bedrijfsvoering kan je nu eenmaal niet altijd doen gebaseerd op emoties, wanneer je in een situatie zit zoals ProtonMail en dit ook effect heeft op alle andere klanten binnen dat datacentrum dan heb je op een gegeven moment ook nog maar weinig te kiezen.

Wanneer je uit je datacentrum wordt getrapt dan ben je verder van huis, en voor een datacentrum wordt het op een gegeven moment ook gewoon een simpele berekening waar wordt gekeken wat de impact is op hun bankrekening.
Als je je inleest op hun blog zou je andere dingen zeggen... Als scriptkiddie krijg je zo'n aanval niet voor elkaar...
Het zijn 2 verschillende groepen.
Alsof bedrijf voeren makkelijk is?
Als er druk op je wordt gezet en wie weet werd er gedreigd om Protonmail uit de datacenter te knikkeren als er niet werd gedokt.
Druk kan riant groot zijn.
Of hebben ze nu geld ingezameld om de DDOS aanvallen af te kopen :+

Maar serieus, je moet NOOIT toegeven, ik snap dat het enigszins kritisch is dat je systemen online bereikbaar zijn, maar de oplossing is nooit geld betalen en hopen dat mensen die je op een illegale manier lopen te bombarderen zich daarna ineens aan regels en afspraken gaan houden :)
IMO is dit bedrijf / deze dienst ( met of zonder de geldinzameling ) ten dode opgeschreven.
Wie in zijn goede verstand gaat iets gevoeligs als email ( en al helemaal met dit soort encryptie ) willen laten 'serveren' door een bedrijf wat niet eens zelf overtuigd is van het voortbestaan.

Als ik ergens zoiets zie verschijnen mbt een cloud of webhoster, of zelfs Ziggo, dan zou ik voor een rappe vervanging gaan zorgen, zodat MIJN continuďteit gewaarborgd blijft.
Desnoods (tijdelijk) een thuis server op ( laten ) zetten, zodat er altijd een backup aanwezig is.

Maar dit soort acties zijn laatste stuiptrekkingen, misschien lezen we over 3 maanden dat die 57.000$ spoorloos verdwenen zijn, samen met de CEO en CFO ...
Stel je niet aan.
Als het nou 57M was, ja dan zou je daar bang voor kunnen zijn, maar 57k daar koop je net een roeiboot voor op de bahamas.
57ct, 57$ of 57 miljoen .... het gaat om het principe, leuk dat er een achterban is met vertrouwen die sponsoren, maar zoals ik al aangaf ... waarom zou je je privacy ( want dat is het doel van hun dienst ) zo op het spel zetten, met ee bedrijf wat financieel lastig loopt ?

Als ik 50K ( echte ) schulden heb uitstaan, laat Brinks me echt niet met een geldauto rondrijden hoor.
Met een hypotheek achter je naam maken ze geen probleem, maar het risico is gewoon te groot dat "de mens" zich niet beheerst, en gaat wandelen.

Wat gebeurt er over een jaar, moet er weer ingezameld worden, of komt er een meneer van een/de overheid "als je nu even dit doet ... subsidie-tieten voor 5 jaar"

Nee, sorry, maar een bedrijf wat zich niet kan redden, kan ik niet in vertrouwen nemen met mijn 'geheimen'
Het blijft een kwestie van blauwe ogen, natuurlijk, maar het bedrijf en de mensen die erbij betrokken zijn hebben een goede reputatie opgebouwd, over de jaren. Daarbij zijn ze in Zwitserland gevestigd - en hou er rekening mee dat ze daar dingen anders doen: als je in de VS data van je klanten verkoopt of aan de overheid geeft ben je een goede koopman of volg je de wet. In Zwitserland ga je de cel in ;-)
Natuurlijk, want Zwitserland heeft een reputatie hoog te houden ...

Ohw... wacht ...

http://www.z24.nl/geld/zw...-zitter-er-ook-bij-563124
gaat niet zo om de reputatie, maar het land heeft erg strikte wetgeving met betrekking tot privacy enzo.
Daar gaat het mij niet om.
Maar recht op privacy vervalt kennelijk, als je een spaarboekje hebt daar ?

Er is kennelijk verschil tussen bankrekeningen en email ...
Als er concrete vermoedens van belasting ontduiking zijn geven ze gegevens aan de belasting dienst, net als e-mail providers data overgedragen als er concrete vermoedens van bijv terrorisme of kinderporno zijn. Ik ben niet tegen dat soort gerichte acties. Wel tegen het zonder enige tussenkomst van rechters sleepnet-stijl gewoon alle data opvragen en doorzoeken ook als er helemaal geen verdenking is. Dat mag in Zwitserland niet en gebeurt hier en in de VS wel.
Nee maar aan de andere kant is het natuurlijk ook dom van die ddos meneren. Dit doe je namelijk eens en daarna nooit meer. Hadden ze zich wel aan hun eigen gestelde "overeenkomst" gehouden dan was de kans zeer groot dat bedrijven in het vervolg ook gewoon zeggen oh ja joh best. Dit is gewoon je eigen glazen inslaan XD
Hoe kom je er bij dat ze DDoS'ers betaald hebben, bron?
edit: Bedankt voor de bron :)

[Reactie gewijzigd door nathan-96 op 11 november 2015 14:07]

At this point, we were placed under a lot of pressure by third parties to just pay the ransom, which we grudgingly agreed to do at 3:30PM Geneva time to the bitcoin address 1FxHcZzW3z9NRSUnQ9Pcp58ddYaSuN1T2y. This was a collective decision taken by all impacted companies, and while we disagree with it, we nevertheless respected it taking into the consideration the hundreds of thousands of Swiss Francs in damages suffered by other companies caught up in the attack against us.
https://protonmaildotcom....nt-about-the-ddos-attack/
http://arstechnica.com/se...taken-out-by-ddos-anyway/

[Reactie gewijzigd door JCE op 11 november 2015 14:07]

Helemaal mee eens, lijkt me zeer belangrijk dat ze nu communiceren dat ze noooooit meer aan criminelen gaan betalen. Ik vind het ook zeer irritant dat mijn gedoneerde BTC voor een deel bij ciminelen terecht is gekomen. Dan had ik liever een paar dagen geen service. Die andere bedrijven hadden pech, het is niet de schuld van ProtonMail dat ze worden aangevallen.
en dan kan protonmail door de datacentrum uitgezet worden, dat is ook niet wat je wilt...
Zelf een datacenter oprichten zou niet zo gek zijn in hun geval.
Dan moet je mensen inhuren, grond, gebouw, servers, IP-adressen kopen/huren van alles doen en dan denken dat Protonmail dan nog steeds gratis zou blijven?
Daarnaast zou Protonmail ook dan onder druk kunnen worden gezet.
Ze hoeven het niet alleen gratis te doen. Ze zouden voor bedrijven wellicht de dienst ook kunnen aanbieden onder eigen domeinnaam en daar een maandelijkse vergoeding voor vragen, net zoals Google Apps en Office 365. Dan hebben ze toch inkomsten.
Hoeveel mensen zouden betalen denk jij?
Bedrijven gaan echt niet zomaar overstappen van MS/Google naar Protonmail omdat het voor bedrijven goedkoper is om bij MS/Google te blijven.
Mail adres aanpassen is ook kosten rovend voor een bedrijf omdat dit aan alle klanten gemeld moet worden, personeel moet weer 'getraind' worden etc.
Plus moet er gekeken worden wat zakelijk gezien dan beter is en MS/Google bieden eenmaal voor bedrijven voordelen zoals het online kunnen gebruiken van office producten bijvoorbeeld.
Het is maar een voorbeeld.

"Mail adres aanpassen is ook kosten rovend voor een bedrijf omdat dit aan alle klanten gemeld moet worden"

Als je het goed doet en gewoon hetzelfde mailadres behoudt (mijn voorbeeld is immers mail onder je eigen domeinnaam) hoef je geen veranderingen door te geven aan klanten.

En je kan best van Office 365 overstappen naar mail via Proton en gewoon Office 2016 kopen. De online variant mist sowieso toch veel functionaliteit t.o.v. de echte versies. Maar het was slechts een voorbeeld.
Denk jij dat bedrijven tegenwoordig leuk vinden om geld uit te geven?
Zoals ik al zei, elk bedrijf betaalt natuurlijk gewoonl voor zijn e-maildienst. Of dat nou voor Google Apps, Office 365 of voor de standaard bij het hostingpakket geleverde emaildienst is.

Ik zie dat je zelf een domeinnaam hebt. Daar betaal je toch ook voor? Als je met die domeinnaam wilt kunnen mailen, zul je toch een e-maildienst daarvoor moeten afnemen. En die is niet gratis.
Enig idee wat dat kost? Ze hebben nu al 50k moeten ophalen bij hun gebruikers om deze oplossing te betalen en jij zou willen dat ze een veelvoud gaan uitgeven gewoon om te voorkomen dat ze niet uit een DC gezet kunnen worden.
Ik ken een aantal mensen die zelf een datacenter hebben opgezet. Dat kost geld ja. Maar als je een plan hebt dan komt dat er ook weer uit. Met winst. Als je investeerders hebt, is er ook geld genoeg. En wellicht kunnen ze ook een betaalde variant maken voor hun dienst. Hij is er goed genoeg voor lijkt me. En je bent minder afhankelijk en je zit minder mensen in de weg.
Maar dan moet je eerst investeerders vinden en voldoende mensen vinden die bereid zijn om te betalen voor een mail dienst en denk niet dat veel mensen snel zullen betalen voor een mail dienst aangezien het leven al duur genoeg is.
Ja het leven is duur genoeg, maar toch elk bedrijf met mail onder haar eigen domeinnaam betaalt daarvoor. Een bedrijf wat werkt met een gmail/hotmail/yahoo account kun je niet echt serieus nemen, dat staat op IT-gebied in elk geval wel een beetje knullig.
Waarom staat dat knullig?
Niet ieder bedrijf heeft geld voor onbeperkte mail accounts en sommige bedrijven vinden dat dan gemakkelijker.
Erm, dat zeggen ze zelf?
This was clearly a wrong decision so let us be clear to all future attackers – ProtonMail will NEVER pay another ransom.
Ze wilden duidelijk niet betalen, onder druk van hun ISP hebben ze dat toch gedaan, en dit is een helder "zie je wel, het helpt niet" aan hun ISP. Ideologie is mooi, maar in de echte wereld wil je ook je partners te vriend houden, ik begrijp hun keuze om te betalen dan ook wel.
In het verlengende hiervan. Als ze onder druk worden gezet door overheden en/of geheime diensten dan geven ze waarschijnlijk net zo gemakkelijk de master sleutel af. Nou doek die dienst dan maar gelijk op, duidelijk geleid door mensen zonder ruggengraat.
Als je hoster op je afkomt met de melding: je betaald hen of je betaald ons alle schade die zij hebben aangericht dan weet je ook wel dat het eerste je weinig kost terwijl het tweede je bedrijf gewoon de afgrond in duwt.
Sinds wanneer moet het slachtoffer van een DDoS betalen? Dan zal de hoster eerst maar eens naar de rechter moeten.
Het is traffiek naar uw systeem dat zoveel problemen veroorzaakt dus jij mag gaan betalen voor de traffiek die je verbruikt. Je zou echt niet de eerste zijn die bij een hoster gaat opdraaien voor de kosten van een DDoS aanval of zelfs buiten word gegooid als het regelmatig gebeurd. Heb het spijtig genoeg ooit zelf mogen meemaken dat ik van de ene op de andere dag op straat stond, kreeg niet eens de kans om de recentste data van mijn server te backuppen.
Het data verkeer, wat de DDOS veroorzaakt, dien je idd als klant te betalen. Als klant mag je dit weer proberen te verhalen op je verzekering.
Dan wordt Protonmail makkelijk veroordeeld en zitten er ook advocaten kosten en rechterlijke kosten aanvast...
ALs hun vermoeden correct is en er 2 groepen gelijktijdig een aanval zijn begonnen dan kan ik er eigenlijk wel inkomen. Een DDoS op zich kost ook handen vol geld, je reputatie loopt ook schade op elke minuut dat je site niet bereikbaar is. En ook een DDoSer moet aan zijn reputatie denken. Als hij geld ontvangt en blijft doorgaan weten toekomstige slachtoffers dat betalen toch niets uithaalt en zal hij/zij geen geld meer kunnen vangen.

Het is eenvoudig om uit principe te zeggen: niet betalen. Maar als je zelf getroffen word, dan word het ineens een heel ander verhaal.
Het is eenvoudig om uit principe te zeggen: niet betalen. Maar als je zelf getroffen word, dan word het ineens een heel ander verhaal.

Hoezo? Worden mensen daar onverstandiger van? Een dergelijke dwangsom betalen gaat nooit helpen. Je betaald iemands capaciteit om nog meer en grotere aanvallen uit te voeren, en waarom zou je zelf daar niet nogmaals het doelwit bij zijn? Je toont tenslotte aan dat je meewerkt, ik zou het als aanvaller dan wel weten.
Ook FastMail heeft het zwaar te verduren met DDoS-aanvallen, maar ze melden al op voorhand geen cent te zullen betalen aan afpersers :)
Ze wouden ook helemaal niet betalen! Het punt is dat door de hevige aanvallen, andere bedrijven hun infrastructuur ook erg leed onder de aanvallen. Daarom hebben die bedrijven erg veel druk gezet op protonmail en de datacenterbeheerder (die op zijn buurt ook wel druk zal gezet hebben door schrik van klantenverlies). Protonmail is niet alommachtig: als bijna alle andere bedrijven op dat datacenter dreigen met opstappen zal de databeheerder ook wel een ultimatum gesteld hebben aan protonmail, denk ik.

Kortom; ze hadden niet veel keus volgens mij
Ik krijg een beetje het gevoel dat ze om geld verlegen zitten en maar wat uit hun nek aan het kletsen zijn. Het is nog steeds een mooi initiatief maar het geschooi om geld moet toch een keertje afgelopen zijn. Kom gewoon met een jaarlijks abonnement en gratis bijbehorende app i.p.v. ¤ 29,00 te vragen voor een beta app….

Secure email: ProtonMail is free encrypted email… yeah right.
ondertussen bieden ze wel een gratis mail adres, client en service.
Dat kost redelijk veel geld, en hun inkomsten zijn gebaseerd op donaties.
ik vindt het niet vreemd dat ze proberen om het van de grond te krijgen met crowdfunding.
Ik gebruik al bijna een jaar protonmail zonder te betalen hoor. Overigens tegen mijn zin, ik zou graag bijdragen aan dit mooie initiatief, zit alleen met de betaalopties...
Overigens, crowdfunding is dus altijd uitjenek-geklets, en muziekanten en allerlei andere crowdfunding-initiatieven moeten ook maar abo's verkopen? Het is niet voor niets nog beta... Wat mij betreft is crowdfunding een heel legitieme manier om geld in te zamelen, + het geeft een indruk van hoeveel mensen zitten te wachten op een dergelijke dienst. Ik zie geen problemen hier.

Je suggereert in je post dat ze maar wat aan het knoeien zijn en wanneer ze iets verprutsen om geld zeuren.
Lees je eens in op hun blog. Die lui zijn juist super eerlijk over wat ze aan het doen zijn, eerlijkheid duurt het langst... De sterke community er omheen spreekt voor zich imo.

[Reactie gewijzigd door Uchy op 11 november 2015 15:02]

Op deze manier creeer je natuurlijk een uitdaging voor DDoS'ers. Het artikel klinkt bijna als een uitnodiging om te kijken of je de dienst - nu deze beveiligd zou moeten zijn tegen DDoS - down te krijgen.
U bent tegen open journalistiek?
Nee, maar het nieuwsbericht van ProtonMail is nu zo uitgebreid (wat op zich goed is i.v..m. transparantie) en zo 'zeker' (ze zijn beschermd tegen DDoS) dat het nu wat arrogantie uit lijkt te stralen. En juist dergelijke arrogantie kan een tegenreactie uitlokken bij andere mensen (DDoS'ers in dit geval).
Denk dat je overschat wat een artikel als deze verandert aan de zaak. De boel is flink geddos'd door wellicht een staats-organisatie, en hebben hun eigen beweegredenen. Ze hoeven blijkbaar niet meer te vrezen voor eenvoudige "kijk eens wat ik kan"-amateurs die zich laten uitdagen door dit soort berichtgeving. Misschien was dit een vingeroefening van een niet zo vrije staat om te kijken hoe hard ze dit onderuit kunnen schoppen. En je kunt t ook van de positieve kant bekijken, dit scherpt anti-ddos technieken ook weer aan.
DDoS door overheid? Daarvan is niets bekend, eerder doorsnee criminelen want ze deden het duidelijk voor het losgeld. Als je ziet hoe makkelijk ze uiteindelijk buigen voor criminelen, hoe snel zullen ze dan buigen als ze onder druk worden gezet door geheime diensten?
De eerste ddos niet nee, maar die daarna volgde was van een heel ander kaliber.
Er zijn voldoende landen die cyberoorlogen voeren tegen diensten die encryptie aanbieden.
En je kunt t ook van de positieve kant bekijken, dit scherpt anti-ddos technieken ook weer aan.
Ehm enkel bij luie bedrijven, ddos is niet moeilijk, is zo te testen / reproduceren.
Oftewel als je als bedrijf gaat wachten totdat iets heel simpels gebeurt dan ben je imho lui.
14-15 jaar geleden hadden we er ook al last van(In ieder geval in de tijd dat KPNQwest nog bestond.), en nu 15 jaar later is er nog steeds geen waterdichte oplossing, mogelijk dat IPv6 only gaan voeren dat dat helpt.... moeten die ISPs wel een beetje meewerken.
Toevallig was de mailhoster Runbox in Noorwegen vorige week ook al slachtoffer van ddos aanvallen. Maar die hebben meteen duidelijk aangekondigd dat ze geen cent gaan betalen.
Ik zit nog steeds te wachten tot er een bericht komt waarin toegeven wordt dat een ddos'er betaald werd door leveranciers van anti ddos oplossingen om nieuwe klanten te werven.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True