Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 181 reacties
Submitter: Nactive

Degene achter de ddos-aanval van vrijdag op dns-provider Dyn maakte gebruik van het Mirai-botnet, bestaande uit vele verschillende iot-apparaten. Eenzelfde netwerk werd kort geleden ook gebruikt om de website van securityjournalist Brian Krebs plat te leggen.

Zowel securitybedrijf Flashpoint als Dale Drew, securityhoofd van internetprovider Level 3, zeggen bij de aanval van vrijdag kenmerken gezien te hebben die erop duiden dat het om een Mirai-botnet gaat. Flashpoint zegt dat er in het botnet onder andere digitale videorecorders zitten waarvan bekend is dat ze makkelijk tot slaaf van het Mirai-netwerk gemaakt kunnen worden. Dale Drew spreekt er tegenover Network World van dat er zo'n 50.000 tot 100.000 door Mirai geïnfecteerde iot-apparaten betrokken waren bij de aanval. Dat zou 20 procent zijn van het gehele Mirai-netwerk, dat volgens hem 500.000 apparaten behelst. Daarnaast werden ook nog andere botnets ingezet, maar daar is geen verdere informatie over bekend.

De aanval zou voornamelijk bestaan hebben uit tcp syn floods, verzoeken van clients om een handshake uit te voeren met een server. Daarnaast zou ook een grote hoeveelheid subdomain attacks plaats hebben gevonden, waarbij bots niet alleen naar een door Dyn beheerd domein navigeren, maar ook nog een obscuur, niet-bestaand subdomein opvragen. De dns-servers moeten dan nagaan of het subdomein wel bestaat of niet, wat extra rekenkracht vergt ten opzichte van een normaal verzoek tot verbinden.

Dyn logoDe eerste aanval, die ongeveer twee uur lang aanhield, was gericht op Dyn-datacentra in Chicago, Washington D.C. en New York. Vandaar ook dat gebruikers aan de oostkust van de VS hier hinder van ondervonden; dns-lookups gaan bij Dyn altijd via de dichtstbijzijnde server. De tweede aanval was er een die ongetwijfeld nauwkeurig gepland is, aangezien deze 20 Dyn-datacentra wereldwijd tegelijk trof, om zo een veel grotere groep gebruikers te treffen. Van die laatste aanval hadden gebruikers hier in West-Europa dus ook last.

Volgens Nick Kephart, storingsanalist bij netwerkbedrijf ThousandEyes, hebben verschillende internet backbone providers zoals Level 3 er op een gegeven moment voor gekozen om hun verbinding met Dyn tijdelijk af te breken om te voorkomen dat er ook buiten Dyn en de geassocieerde websites om congestie zou ontstaan. Hij vertelt dat ook aan Network World.

Het Mirai-botnet werd kort geleden nog ingezet om de website van securityonderzoeker Brian Krebs uit de lucht te halen. Kort daaropvolgend zette een persoon met de naam 'Anna-senpai' de broncode voor het botnet online voor iedereen om te gebruiken. De malware die erbij gebruikt wordt, richt zich op niet of zwak beveiligde iot-apparaten als ip-camera's en digitale videorecorders. Mirai is ook ingezet bij een ddos-aanval op de Franse internetprovider OVH. De ddos op de site van Krebs ging met 600Gbit/s en die op OVH met 1Tbit/s. Onduidelijk is hoeveel bandbreedte er kwam kijken bij de aanval op Dyn.

Op het moment lijkt het erop dat de aanvallen zijn opgehouden, zo schrijft ook Dyn zelf. Websites als die van Reddit, Soundcloud, Spotify, The New York Times, GitHub, Twitter en AirBnB zijn op het moment van schrijven vanuit Nederland ook gewoon bereikbaar.

Moderatie-faq Wijzig weergave

Reacties (181)

Kan een dyn hier niets aan doen als ze onder vuur liggen door een Ddos ?

Is het gewoon zoveel data dat de apparatuur voor een ddos aanval het niet meer aankan ?

[Reactie gewijzigd door Downloader_NL op 22 oktober 2016 11:00]

Is het gewoon zoveel data dat de apparatuur voor een ddos aanval het niet meer aankan ?
Nee, het zijn zoveel 'halve' aanvragen dat de server aan zijn maximum komt. Half wil zeggen: hij wordt niet afgemaakt. Dat wordt ook uitgelegd in de link achter tcp syn floods uit het artikel.

Als een PC met een server wil communiceren (b.v. om een webpagina op te vragen) stuurt hij allereerst een SYN verzoek, een heel kort bericht om te kijken of de server wel verbindingen accepteert. De server zal een SYN-ACK terugsturen, en een van de beschikbare verbindingen reserveren. Hier zit om praktische redenen een maximum aan. De PC hoort nu ter bevestiging een ACK te sturen. Het lijkt een beetje op de manier waarop een gesprek begint.
Als de PC de ACK niet stuurt, houdt de server de verbinding een tijdje gereserveerd. Door nu vanaf meerdere PC's alleen meerdere SYN verzoeken te sturen, kun je bereiken dat de server aan het maximum aantal open/gereserveerde verbindingen komt. Hij zal geen nieuwe legitieme SYN verzoeken accepteren, en de server is onbereikbaar.

edit: typo

[Reactie gewijzigd door kzin op 22 oktober 2016 20:01]

+2 voor je heldere en beknopte uitleg! Denk dat het overgrote deel van DDoS aanvallen uit dit soort floods bestaan?
Ik weet eigenlijk niet hoe de verdeling tussen de diverse DDOS attacks zijn. Er zijn meer typen attack. Hier vind je een overzicht van een aantal, met een redelijk simpele uitleg. Het gaat er wel van uit dat je weet wat bijvoorbeeld ICMP is.
Je kunt ook eens kijken op youtube met de zoektermen: defcon ddos.
Soms wordt er uitgelegd hoe een bepaalde aanval gedaan is. Het niveau is wel iets hoger, want het is een beetje bedoeld voor nerds.
Dit soort aanvallen zijn van de jaren 90 en zijn nu niet meer zo effectief, tenzij het botnet extreem groot is. Het is ook afhankelijk van het protocol waarmee men kan aanvallen, zoals ntp destijds. Er waren niet veel packets nodig om een server met dit protocol down te krijgen.

Er worden ook aanvallen uitgevoerd op kwetsbare componenten van websites, Acunetix is bijvoorbeeld een goede tool om op deze exploits te scannen.

Een DDoS kan bestaan uit verschillende technieken om servers of een infrastructuur down te krijgen. In dit geval gaat het zeker niet om een server, zoals in dit voorbeeld genoemd. Attacks met ICMP etc. was vroeger leuk met gameservers.

CS:GO (Game) heeft op dit moment ook exploits, waardoor het UDP protocol misbruikt kan worden en de server met een paar floods plat ligt.

UDP zal niet reageren met een response, maar ontvangt de berichten wel. Daarom is dit makkelijker te misbruiken, maar moeilijk te ontdekken.

Dit was het even, simpel uitgelegd. :)

[Reactie gewijzigd door Tombastic op 24 oktober 2016 09:17]

Nee, net zijn zoveel 'halve' aanvragen dat de server aan zijn maximum komt. Half wil zeggen: hij wordt niet afgemaakt. Dat wordt ook uitgelegd in de link achter tcp syn floods uit het artikel.
Er zijn ook een aantal dingen die je kunt doen.
https://en.wikipedia.org/wiki/SYN_flood#Countermeasures
Ik dacht dat Syn Cookies een redelijk efficient middel waren tegen SYN-flooding ? Ik heb helaas geen flauw benul of Syn Cookies (en nieuwere technieken) wel of niet worden toegepast in de werkelijke wereld. Is er hier iemand uit de praktijk ?
Het zou beter zijn als er 1 of 2 extra lagen aan het DNS-protocol zouden worden toegevoegd.

We weten allemaal hoe vervelend het al is dat de DNS van je eigen provider even niet reageert. De meesten van ons hebben de DNS-servers van onze stacks al aangepast.

Dat neemt niet weg dat het systeem keer-op-keer de zwakste schakel blijkt te zijn en het is dus aan een grondige aanpassing toe.

Je kan steeds wel weer een nieuwe reactie bedenken op een specifieke aanval, maar als we het systeem zelf grondig gaan herzien, dan zijn we voor een behoorlijke tijd van dit hele gezeur af.
Het zou beter zijn als er 1 of 2 extra lagen aan het DNS-protocol zouden worden toegevoegd.
En wat bedoel je daar precies mee ?

Er zijn al "lagen". Er is een hierarchische structuur. Je heb primary en secondary nameservers. Je autoritive en non-autoritive replies.

Om amplificatie te voorkomen zou je een handshake kunnen toevoegen. Da's duur. Dat maakt web-pagina's langzamer. TCP voor http probeert juist handshakes af te schaffen. En dan zouden we het bij DNS weer terug toevoegen ?
We weten allemaal hoe vervelend het al is dat de DNS van je eigen provider even niet reageert. De meesten van ons hebben de DNS-servers van onze stacks al aangepast.
Mijn provider doet een ok job. Ik gebruik gewoon zijn dns-servers. Nooit problemen mee gehad. Er is geen enkele reden waarom Google beter DNS-servers zou hebben dan xs4all. Sterker nog, de dns-servers van xs4all zitten vlak bij, die van Google kunnen weet ik niet waar zitten.

Ik zou bijna zeggen dat ISPs wereldwijd juist zouden moeten verbieden dat hun gebruikers zelf hun DNS-servers instellen. Laat ze allemaal maar hun DNS alleen via de DNS-servers van hun ISP doen. Dan kan die DoS-attack (proberen) afvangen.
Dat neemt niet weg dat het systeem keer-op-keer de zwakste schakel blijkt te zijn en het is dus aan een grondige aanpassing toe.
DNS is een zwakker schakel. Maar er zijn er veel meer. Ik weet niet of DNS de zwakste schakel is. Als ik het goed begrepen heb, is bij deze attack een DNS-provider het (directe) target. Maar de attack zelf maakt geen gebruik van DNS zwakheden.
Je kan steeds wel weer een nieuwe reactie bedenken op een specifieke aanval, maar als we het systeem zelf grondig gaan herzien, dan zijn we voor een behoorlijke tijd van dit hele gezeur af.
Helemaal mee eens.
Maar je moet niet vergeten dat er een hele boel slimme mensen zich de afgelopen 20-30 jaar hebben beziggehouden met deze problemen. Zo maar eventjes "iets nieuws" verzinnen is niet makkelijk.
Als je voorstellen hebt, laat het weten ! :)
De IETF is open voor alle individueen. Als je echt een goed idee hebt, is er altijd een gewillig oor voor.

Het probleem met deze specifieke aanval is volgens mij niet direct de techniek. Het is de implementatie. Alle slachtoffers maken gebruik van een "DNS provider" voor hun DNS. Die DNS provider heeft natuurlijk een redundante infrastructuur. Maar het blijft toch gewoon een enkel single-point-of-failure.

Als alle slachtoffers twee of meer DNS-providers hadden gehad, was het probleem nu veel kleiner geweest. Al helemaal als er bv 100 verschillende DNS-providers waren geweest, en alle die huidige victims een andere selectie van die diensten hadden gemaakt.

Eigenlijk is dit weer een voorbeeld van het feit dat centralisatie kwetsbaardheid oplevert. De DNS techniek zelf is ge-decentraliseerd. Maar als de gebruikers zelf alles weer terug gaan centraliseren, dan kan geen enkele redundante techniek daar tegen op.

Vergelijkbaar: veel bedrijven verplaatsen hun applicaties naar "de cloud". Het idee van "de cloud" is dat je applicaties ergens draaien, maar je weet niet precies waar. Klinkt leuk. Maar in werkelijkheid draait het toch echt ergens op een specifieke server in een specifiek datacenter bij een specifieke cloud-provider.
Wat als Amazon wordt aangevallen ? Wat als die aanval effectief is ? Dan gaan er duizenden bedrijven onderuit. Het Internet is redundant en vrij schokbestendig. Maar als de gebruikers domme dingen doen, zoals alles centraliseren bij Amazon, dan kan het op een dag goed mis gaan.

[Reactie gewijzigd door gryz op 22 oktober 2016 15:58]

Heel hard oneens over de stelling dat gebruikers de DNS server van hun ISP moéten gebruiken.
Voor mensen/bedrijven die geen UTM firewall van ¤500+ willen of kunnen neerzetten, is het nog altijd handig DNS servers van iets als OpenDNS te gebruiken om bepaalde (malicious) categorieen onbereikbaar te maken. Het niet standaard inbouwen van een URL filter, voor known malicious URL's, door ISP's voor de mensen die dan weer wel hun DNS servers gebruiken vind ik dan weer een gemiste kans.

Je wìlt niet weten hoeveel Cryptolockers ik zo alleen al bij eigen klanten heb zien voorkomen worden, door gewoon een goede URL filtering (oké, in dat voorbeeld gaat het over meer dan dat).

Verder woon ik in een relatief modern belgen-landje, maar als het aan de overheid hier ligt, was thepiratebay voor mij een onbestaande site. DNS block bij providers. Voor kinderpornoblock gaat daar geen haan naar kraaien, maar het idee dat uiteindelijk de overheid mag gaan beslissen waar ik wel of niet heen mag, jakkes. :)

Tot slot, als je DNS uit het lijstje haalt zijn er nog tig andere amplification attacks die overblijven.


Amplification DDoS attacks zijn handig, maar spijtig genoeg zou een oeroude flood nog even goed werken (beter dan vroeger). Een megabit aan synfloods krijgt de gemiddelde webserver al op zijn knieën, maar een interconnect pipeline dichtsteken -zo heel veel geinfecteerde gebruikers met een 100/40Mbps thuis lijntje heb je daar echt niet meer voor nodig.

[Reactie gewijzigd door Arne-Wynand op 22 oktober 2016 17:02]

Daarom zei ik: "Ik zou bijna zeggen dat ...". Bijna.
Dan zet je toch gewoon thepiratebay z'n adres in je host tabel, of draai lokaal je eigen forwarding DNS server en zet het daar in.

Ik zou het ook liever niet zien... maar we moeten toch eens gaan nadenken wil het internet overleven in z'n huidige vorm... er is totaal geen reden dat de ganse wereld aan een DNS server in de US moet kunnen.

Enkel door segmentatie kunnen we zo'n problemen op langere termijn de baas.
er is totaal geen reden dat de ganse wereld aan een DNS server in de US moet kunnen.
Dat is ook niet wat er gebeurt! Dyn levert autoritaire DNS servers, niet voor eindgebruikers. Die eindgebruikers gebruiken een ander type DNS-server, zgn. 'resolvers'. Ook als je Google, OpenDNS of andere grote DNS-providers gebruikt dan praat je niet met een server in de US. Via anycast word je verbonden met de dichtstbijzijnde server, bijv. in Amsterdam.

Op alle lagen in het DNS systeem wordt gecached, maar als die cache-tijd verloopt moeten ze het toch aan de bron vragen en die is onbereikbaar wegens een DDoS aanval. Dat is waardoor de eindgebruikers nu last ondervonden.

Een optie zou zijn om te doen wat OpenDNS al doet, namelijk verouderde cache-data blijven serveren als de bron onbereikbaar is. Die optie is door verschillende experts op Twitter al besproken n.a.v. dit incident.
Dit is nochtans wat er in het artikel staat; "De eerste aanval, die ongeveer twee uur lang aanhield, was gericht op Dyn-datacentra in Chicago, Washington D.C. en New York."

Die aanval kwam heus niet van lokaal geïnfecteerde systemen maar van over heel de wereld.... en nogmaals, die geïnfecteerde systemen hebben daar in essentie niets te zoeken !
Oh sorry, ik dacht dat je bedoelde dat iedereen die Dyn server als DNS resolver gebruikt en dat eindgebruikers daarom last hadden van deze DDoS, vandaar dat ik uitlegde dat dat niet het geval is. Je bedoelt eigenlijk dat zo'n US server niet bereikbaar mag zijn vanuit bijv. EU.
Voor mensen/bedrijven die geen UTM firewall van ¤500+ willen of kunnen neerzetten, is het nog altijd handig DNS servers van iets als OpenDNS te gebruiken om bepaalde (malicious) categorieen onbereikbaar te maken.
Volgens mij moet je gewoon een andere appliance gebruiken en niet trucjes gaan verzinnen die de veiligheid van diezelfde appliance te niet doen. Zelf een DNS server draaien is geen rocket science, dat doe ik al sinds 2001.
@Beide: het gaat hier over de modale gebruiker. De modale gebruiker gaat geen eigen DNS servers instellen en hoeft evenmin te genieten van overheidsblokkades, maar mag wel gevrijwaard worden van malicious (lees:vastgestelde malware) sites.

Een gemiddeld gezin gaat dus effe geen eigen DNS server draaien, dat jij dat al sinds 2001 wil doen, prima, maar dit soort aanvallen komen het grootste deel van de tijd niet van thuisnetwerken die toebehoren aan mensen met verstand van zaken.

't Zou voor ISP's een kleine moeite zijn, en ze sparen er zelf nog geld mee uit ook. Vergiftigde clients op je netwerk slurpen nu eenmaal resources.
gryz: "Ik zou bijna zeggen dat ISPs wereldwijd juist zouden moeten verbieden dat hun gebruikers zelf hun DNS-servers instellen. Laat ze allemaal maar hun DNS alleen via de DNS-servers van hun ISP doen. "

Neen dankje lol.
Ik heb liever een vrij internet. DNS instellingen helpen primitief cencuur omzeilen.
ik zit toevallig in een cencuur land 'Belgie', door mijn DNS aan te passen ben ik weer vrij om mijn internet te gebruiken zoals elk ander mens in een ander land.
Dat is tenslotte waarvoor ik internet betaal -> voor de volledige toegang tot het internet.

Sorry ik was offtopic -1 i know i know...
---

Gisteren had telenet (mijn ISP) problemen ik kon niet op disqus.com of op twitter.com
even DNS veranderen naar die van censurfridns.dk
en ik kon weer aan de slag, zonder problemen.
Laatst was de DNS server van mijn ISP plat. En dan zeg jij dat ik die niet mag wijzigen? Heel veel mensen hadden een complete dag of meer geen "internet" meer. Terwijl het internet er gewoon wel was, alleen de addressen werkten niet. Ik toen in mijn router DNS server naar Googles DNS gezet. En alles werkte direct.

Als dat vast zat had ik twee dagen geen internet. :( nee dankje.
Goh, interessant verhaal. Nog nooit gehoord. Niet aan gedacht ....

1) Ik heb helemaal niet gezegd dat ik dat wilde. Lees nog een keer. En lees de andere reacties.

2) Jouw provider moet leren om meerdere secondary DNS-servers op te zetten.

3) Als jouw provider er niets van kan, moet je misschien een andere provider nemen.
cookies weigeren, en gewoon doorgaan denk ik dan :+
Syncookies aan of uit, als je pijp vol zit maakt het op gegeven moment weinig meer uit.
Klopt. Maar bij deze aanval zat de pijp niet vol. (als ik het goed begrepen heb). Het was een TCP-SYN attack. Dat werkt anders. En ik vroeg me af of die syn-cookies vandaag de dag gebruikt worden, of dat het een oud idee was dat toch niet zo goed werkt.
speciaal ingelogd om je post een +3 te geven, helder en beknopt! en ook nog eens een essentieele toevoeging voor mensen die dit niet wisten! held!

[Reactie gewijzigd door six-shooter op 24 oktober 2016 09:31]

Technisch gezien:
Nee, ze kunnen er niets aan doen.
CloudFlare? Nee, die gaan met 1Tbps ook langzaam down ;)

Wat kan er dan wel gedaan worden?
Er is op dit moment nog een techniek, waarbij de load verdeeld kan worden over grote lijnen. OVH past dit al een lange tijd toe, hierdoor had ik 2 jaar geleden geen last van de 400 tot 600gbit ddos op mijn servers. Zie: http://www.darkreading.co...aks-record/d/d-id/1113787

Tot nu toe is OVH (even zonder reclame) wel de beste hoster tegen dit soort aanvallen. CloudFlare is ook een oplossing, maar afhankelijk van het gebied.

Hiervoor zijn dan ook firewalls nodig, niet bepaald goedkoop. Denk aan Tilera of Arbor of eventueel Cisco oplossingen. Je zit al snel aan een ton per firewall aan kosten, zeker met zeer hoge snelheden. Voor 1Tbps moet er een aparte infrastructuur komen, voor alleen al security.

Ik heb zelf ook weleens nagedacht over security, het afvangen van aanvallen bij providers. Dit doen ze al in mindere mate. Als er verdacht gedrag wordt gedetecteerd, direct blokkeren en contact opnemen. Dit is ook niet bepaald goedkoop, dus hiervoor zal ook een nieuwe infrastructuur nodig zijn + privacy wordt dan een groot issue.

Edit:
Ook leuk voor de hobbyisten: https://configserver.com/
Dit is een geavanceerde firewall die ik gebruik op mijn linux vps, waarbij ik de verbinding van buiten naar binnen en andersom monitor. Bij verdacht gedrag of een flood naar buiten krijg ik een mail en wordt indien nodig de verbinding afgesloten. Voor linux guru's is dit vast wel al bekend :) Voor IoT apparaatjes met linux kan het ook leuk zijn.

[Reactie gewijzigd door Tombastic op 22 oktober 2016 11:43]

meer grote internet carriers zouden DDoS aanvallen op het niveau van hun backbone moeten mitigeren. Bij NTT (Nippon Telegraph en Telephone) vangen ze dit al af voor hun internet backbone. https://www.us.ntt.net/pr...os-protection-service.cfm. Daar hebben ze vele Tbits transport capaciteit, en door het op dat level al te mitigeren komt dit DDoS verkeer niet eens aan bij het target. Het DDoS verkeer wordt dan al voor een groot deel afgevangen voor het op het transport netwerk komt.
Wat er aan gedaan kan worden is gewoon nee zeggen tegen IOT. Of is er soms een god die bepaalde dat het er moet komen?

Ik zeg het al jaren dat IOT een veiligheidsrisico vormt en dat het wachten was tot je koelkast en je koffiezetapparaat zich tegen je keren.

Wat praten we nu aldoor over veiligheid en beveiliging terwijl we een heel nieuw internet voor dingen uitrollen terwijl, ALWEER ?!?! de beveiliging niet op orde is. 8)7

Mensen weigeren gewoon pertinent te leren van fouten.
Mja IOT is gewoon een buzzword voor iets wat al jaren aan de hand is. Wie heeft
er 10 jaar geleden wel niet gegoogled naar 'inurl:obscure/web/cam/server/index.html' om zo de wereld te verkennen. Beveiliging is altijd een nagedachte en zal pas serieus genomen worden wanneer die markten stabiel zijn, wat ik onmogelijk acht voor de volgende 10 jaar.
Het probleem zit hem niet in IoT of anderszins domme apparaten, maar in dat mensen zelf geen last hebben als ze deel zijn van een DDoS. Zodra je een mooie IP-ban van je provider krijgt omdat jouw machines gebruikt worden in een aanval, denk ik dat mensen (na de eerste paniek, frustratie, tirade en berusting) toch wat meer aan beveiliging gaan doen.
Wellicht ook niet. Sommige devices worden slecht opgeleverd en zijn door de gebruiker niet zelf te verbeteren (patches op een zwakheid in een webserver van het IoT device), als je dat device dagelijks gebruikt, honderden euro's heeft gekost, vervangeb idem kost en dat je ook dan een zwak beveiligde unit krijgt...

Vaak zijn de routers van je internet provider niet in staat om een device maar met een beperkte set domeinen of ips te laten praten, laat staan traffic te beperken etc.

Dat soort filtering, je zou als particulier eigenlijk een simpel device willen hebben die dit snel kan regelen; meet een dag het verkeer en stel domein en bandbreedte filter daar automatisch mee in. En klaar, werkt device niet goed, even een knop op je gui indrukken en correctie/update modus van het filter gaat voor dat device 24 uur aan.

Deeppacket inspection achter je router zeg maar. Wordt alleen wel lastig met je 4G en Lora etc. devices...

[Reactie gewijzigd door djwice op 22 oktober 2016 21:22]

Ja,die god heet "de consument".
Want de consument wil weten wat er in zijn koelkast zit als hij op zijn werk zit, wat op punt van bederven staat, vanaf kantoor alvast de verwarming aanzetten voor hij in de file staat, het huis kunnen bekijken met camera's, enzovoort.

En nee, de consument leert niks van beveiliging, zeker niet als het beveiligingsincident hen niet zelf treft: als de vakantiefoto's ineens op obscure websites staan en de bankrekening leeg is, DAN wil de consument wel nadenken over oorzaken en hoe ze daar iets aan kunnen doen, maar als hun ip-camera of koelkast mee helpt om een website te ddossen, dat merken ze niet eens.
Maar men kan wel access-lists plaatsen voor het te versturen verkeer, mocht dat door eenIoT device worden geïnitieerd. Alsmede whitelists voor ip adressen die dat horen te managen. Zo kaal aan internet hangen, zou gewoon een boete moeten opleveren. Het is niet van deze tijd om bijvoorbeeld telnet open te hebben staan met die default credentials nog niet veranderd.
TSK
providers wereldwijd zouden hier een grotere verantwoordelijkheid in moeten hebben: als zij vanuit hun klanten plots vreemde requests zien naar een beperkt aantal adressen die massaal herhaald worden, dan zouden die na een paar minuten al moeten gedropt worden.
Hierdoor pak je het probleem al op 1 of 2 hops van de bron aan en kan een DDOS zich niet meer voor doen, want de capaciteit van de originating ISP's samen is vele malen groter dan die van de target infrastructuur
Probleem 1) wat zijn vreemde requests ?

Probleem 2) providers moeten nu apparatuur hebben die gaat *bijhouden* wat er allemaal precies gebeurd. Dat is state. State is altijd duur. (Note, bij normale Internet forwarding wordt er geen state bijgehouden. Dit in tegenstelling tot bv het telefoonnetwerk, waar je voor alles eerst een verbinding moet opzetten). Dus speciale apparaten, met veel geheugen om al die state op te slaan. En veel cpu-power, omdat ieder pakketje vergeleken moet worden met andere pakketjes van de laatste 5 minuten. Allemaal erg duur. (Duur in aanschaf, en complex in gebruik. Complex is ook weer duur).
Duizenden DNS requests vanaf 1 device zijn natuurlijk direct verdacht. En het is vrij eenvoudig, zodra een slachtoffer een ISP succesvol gaat aanklagen omdat hij nalatig is (hij kan zombies blokken maar doet het niet vanwege gemakzucht), gaat het heel hard met de compliance.
En hoe moeten ze dat meten ?
Daar is dan nieuwe/extra apparatuur voor nodig.

En wat als de volgende attack geen DNS gebruikt ? FYI, de huidige attack gebruikt TCP SYN-flooding. Daar komt helemaal geen DNS aan te pas. (Tenzij ze de TCP poorten van DNS flooden. Zou kunnen).

Een echte DDoS attack is simpelweg meer pakketjes sturen dan de link naar het target aankan. Dan doet het er zelfs niet toe wat voor pakketjes het precies zijn. Kan van alles zijn. Hoe ga je dat detecteren ?

Als je address-spoofing doet kan 1 device het er op laten lijken dat hij eigenlijk duizenden devices is. Hoe ga je al die duizenden verschillende streams/pakketjes herkennen als zijnde van 1 device ? (Zeker als we het over IPv6 hebben, en er geen NAT in het spel is).

Allemaal makkelijker gezegd dan gedaan.
Dat is niet zo moeilijk toch? Als ISP beheer je nou eenmaal het netwerkverkeer van al je klanten, ze zien op de backbone precies waar het verkeer naar toe gaat, houden nu al precies bij hoeveel data je gebruikt, het zijn de modems/routers van de ISP die de IPv6 adressen uitdelen, etc. Zodra je als ISP aansprakelijk wordt (hetzij strafrechtelijk,hetzij civielrechtelijk) dan kan je je als ISP niet meer verschuilen achter 'daar heb ik geen zin in'.

[Reactie gewijzigd door Dreamvoid op 22 oktober 2016 14:02]

Als je ieder pakketje moet gaan bekijken, dan kost dat extra moeite. Routers zijn er voor gemaakt om zo snel mogelijk een pakketje door te sturen. Speciale hardware voor de routing lookups en queuing, extra snelle interne communicatie (crossbar switches ipv een simple bus), beperkte buffering (in snel en duur geheugen).

Als een router in een pakketje moet gaan kijken wat dat pakketje precies is, dan kan die speciale hardware dat niet meer. Dan moet je extra linecards in je router steken die dat wel kunnen. En die zijn veel duurder, en veel trager (minstens 10x trager, vaak nog trager). Het komt er op neer dat als je permanent naar al je traffic wilt kijken, de infrastructuur zo maar 10x zo duur kan worden.

En zelfs dan kunnen attackers hun attacks misschien wel weer makkelijk veranderen zodat ze niet opgemerkt gaan worden.

Providers kunnen dingen doen om DDoS van hun klanten naar andere delen van het Internet moeilijker te maken. Bv
https://tools.ietf.org/html/bcp38
https://tools.ietf.org/html/bcp84
Maar dat zijn slechts tools. Die sommige vormen van attacks moeilijker maken. (In dit geval adres-spoofing). Maar we hebben nog geen perfecte techniek. En er zijn veel ISPs die niet mee doen (vooral buiten de westerse wereld).
Je hoeft het niet eens realtime te filteren, je kan het ook enkel loggen en later rustig analyseren - op die manier vindt je alsnog de zombies. Het is niet ideaal natuurlijk, maar je zorgt er dan iig wel voor dat je achteraf de schuldige machines kan vinden en ze offline halen. Dat maakt botnets niet onmogelijk, maar wel een stuk minder bruikbaar als je je zombies maar 1x kan inzetten.

Kost dat wat extra moeite voor de ISP? Ja natuurlijk - maar als je niet aansprakelijk gesteld wilt worden, zal je toch moeten aantonen dat je in elk geval serieus met het probleem omgaat en doet wat redelijkerwijs kan, en niet als ISP enkel je schouders ophaalt.

[Reactie gewijzigd door Dreamvoid op 22 oktober 2016 15:16]

Je hoeft het niet eens realtime te filteren, je kan het ook enkel loggen en later rustig analyseren
Tuurlijk jongen.

De snelste linecards voor core-routers doen 400 Gbps op het moment (als ik me niet vergis). Stel je steekt er 12 in een router. Dat is 4.8 Terabit aan traffic. Stel er is een load van 50% gemiddeld. Dan heb je het over 2.4Tbps dus over 300 GigaByte/sec. Een SATA3 disk kan 600 MB/sec doen. Dan moet je dus 500 HDDs aansluiten (of SSDs als je die 600 MB/sec wilt halen). Stel zo'n HDD heeft 6TB aan capaciteit. Met 600MB/s zitten die HDDs dus na 10.000 seconden vol. Dat is binnen 3 uur.

En dan moet je de CPU capaciteit hebben om eventje door 3000 TeraByte data te gaan zoeken.

Ja, je kunt natuurlijk slimme dingen doen. Slechts af en toe zoeken, slechts een beperkt aantal klanten per keer onderzoeken, etc.

Maar uiteindelijk komt het neer op:
1) bestaat de techniek om iets te doen
2) kun je dat kant-en-klaar kopen
3) wat kost het om te kopen (capex)
4) wat kost het om te doen (opex)
5) hoe effectief is het
6) levert het wat op

Alles bij elkaar maakt het het vrij moeilijk om iets aan DDoS te doen. En helemaal om iemand anders over te halen om iets aan DDoS preventie te doen.
Hoezo wil je dit per se op core router niveau doen? Waarom niet op modem/routerniveau bij de klant zelf? Veel goedkoper en een stuk eenvoudiger te realiseren. Heb je geen gezeur met NAT en je kan bij veel requests een pingback doen naar een centrale server die alleen een paar GB aan data hoeft te verwerken. Op het moment dat er meer dan zoveel pings terugkomen van modems met dezelfde destination en meer dan 500 requests per seconde (daar hoef je maar een call-home voor uit te voeren vanaf de modem/router) weet je al dat er iets gaat gebeuren.

Als we niet willen dat IoT het hele internet platlegt moeten dit soort maatregelen echt wel genomen gaan worden.
Natuurlijk ga je niet 24/7 alles loggen, en het grootste deel van dat traffic is spul als Netflix, Spotify en Youtube streams en torrents, dat kan je negeren.

Maar zoals ik hier beneden al stel, er is idd geen incentive voor ISP's om er iets aan te doen, omdat de schade niet bij hen valt: de hosting providers moeten nu al die peperdure apparatuur kopen om hun infra zodanig overgedimensioneerd te maken dat ze een DDOS aanval kunnen weerstaan. Maar maak je het mogelijk om DDOS schade te verhalen op de ISP's, dan wordt de (financiele) afweging voor een provider om niks te blijven doen heel anders.
Ik heb wat jaartjes geleden nogal regelmatig met DDOS aanvallen te maken gehad, en het maakt geen bal uit waartegen je je verdedigt, ze vinden altijd wel wat nieuws. Ze porren elk gat op de server en misbruiken alles wat je open laat staan.

Ik heb dagen, nachten, weekenden lang met die troep lopen vechten, grote gesprekken gehad met veel mensen die hier heel wat meer ervaring in hadden dan ik dat had (en heb). En elke aanval mag je weer een nieuwe oplossing zoeken.

Mijn beste oplossing was IP adressen bijhouden, zodra een aanval begon, de hele teringbende op slot gooien en de IP adressen die ik bijgehouden had weer whitelisten. Maar ook hier kwamen ze op een gegeven moment achter. En meerdere keren heb ik gewoon de servers "uit gezet" (als in, netwerk naar buiten toe gewoon dichtzetten.) omdat ik gewoon geen oplossing wist tegen 100den GBs(niet p/s gelukkig, ik had maar 100mbit) die naar binnen kwamen stromen van IP adressen over de hele wereld heen. Nu had ik geluk dat downstream naar de servers toe mij geen bandbreedte koste (alleen upstream), dus behalve downtime had ik er niet zo veel last van. Maar mijn hosters en gebruikers vonden het wat minder geinig.

Het enige wat je kan doen als hoster is het de DDOSers lastig maken, meer niet. Ze vinden altijd wel iets, want het is 1 van de grote gebreken van de huidige werking van het internet. Elk legitiem request is te faken en misbruiken en het is volledig afhankelijk van het gebrek aan leven van degene die je (om wat voor reden dan ook) boos gemaakt hebt hoeveel last je er van ondervind.
Als 1 individueel slachtoffer kan je idd weinig doen - maar de zombies die de aanval uitvoeren zijn wel te identificeren en aan te pakken door de ISP's waar ze vandaan komen.

Wat je moet krijgen is een duidelijke aansprakelijkheidsstelling van de hosters (als groep) naar de nalatige ISP's. Dat is door 1 klant niet te doen, maar zodra je een aantal klachten bundelt als zaak (of je krijgt het voor elkaar dat het wettelijk geregeld wordt), dan kan je providers dwingen om meer te doen bij de bron. Dat zal met IPv6 ook makkelijker worden.

Op die manier leg je het probleem (en de kosten) neer bij de ISP's die er wat aan kunnen doen.
Nu is voor de ISP's de afweging:
a) investeren in het detecteren en offline halen van bots op mijn netwerk
b) niks doen, de schade valt toch niet bij mij

En de gevolgen zijn logisch: niemand doet iets. Krijg je een situatie waar de hosting providers de kosten van DDOS aanvallen verhalen op de ISP's waar ze vandaan komen, dan wordt voor hen een afweging tussen:
a) investeren in het detecteren en offline halen van bots op mijn netwerk
b) de kosten van DDOS slachtoffers vergoeden

En dan krijg je heel wat meer actie.
Als 1 individueel slachtoffer kan je idd weinig doen - maar de zombies die de aanval uitvoeren zijn wel te identificeren en aan te pakken door de ISP's waar ze vandaan komen.
Actief monitoren levert veel te veel false positives op. Nogmaals, het ziet er vanaf ISP oogpunt heel snel als legitiem verkeer uit. Een beetje DDOS doet niet 1000den requests per hosts tegelijk, dat gaat per 1000den hosts een requestje per keer.

Dat is er gewoon bijna niet uit te filteren want, het ziet er op eerste oog gewoon legitiem uit.

De verantwoording voor DDOS bestrijding ligt eigenlijk niet bij de ISP, dat de ISP kan inspelen op meldingen is mooi meegenomen maar daar houd het al een beetje weer mee op.

DDOS is een probleem omdat het misbruik maakt van de fundamentele principes waar het hele internet op gebouwt is.

IPv6 gaat hier vrij weinig aan veranderen, want hoe zou een ISP moeten zien of een apparaat zelf wel of geen legitieme tcp verzoeken of webrequests aan het doen is?
Duizenden DNS requests vanaf 1 device
Het gaat om (tien-)duizenden devices naar een bepaalde service. Per device kunnen de DDOS-ers er voor zorgen dat het verkeer niet erg opvalt.
Het woordje "vreemd" zegt vrij weinig in de security wereld, want ja...wat is nu vreemd? Bijvoorbeeld als ik door de weeks van 9 tot 5 verbinding maak en dan ineens ook op 23:00, is dat dan direct vreemd?
Voor providers ligt dan de uitdaging bij anomaly detectie maar dit betekent wel direct dat ze actief moeten monitoren waardoor mensen weer piepen dat hun privacy wordt aangetast :+ Het is het een of het andere
Het wordt vreemd als tienduizenden mensen ineens allemaal tegelijk een verbinding proberen te maken met een server en daar exact hetzelfde pakketje naartoe sturen.

Zeker als die request direct naar een IP-adres is gericht en niet die van een DNS server.

Dat heeft deze aanval dan ook heel slim opgepikt. DNS requests zijn natuurlijk heel normaal. Ook met duizenden tegelijk. Als beheerder van een dergelijke server kan je eigenlijk vrij weinig doen tegen zo'n aanval aangezien je geen info hebt over de oorsprong en niet weet waar het verkeer vandaan komt.

Als ISP gaat dat een stuk makkelijker. Een IP target met miljoenen requests is natuurlijk raar.
Als er een update is van windows of de ps4 firmware, moet je eens kijken wat er gebeurt.
Dergelijke dingen zijn gewoon af te vangen. Dat soort dingen weet je van tevoren.
Oftwel, een nieuwe schakel in de keten om de pijlen op te richten. De ketting is zo sterk als de zwakste schakel, en hoe meer schakels....
Dit is dus ook niet helemaal correct, het gaat niet altijd om de hoeveelheid, maar ook om de manier waarop. Als er 1 miljoen devices maar een paar packets versturen, hoe zou dat aankomen? :) Je ziet ook bij veel attacks dat het niet blijft doorgaan, meestal is het een boost van een aantal minuten.

Ze kunnen in dit geval gaan monitoren, deep packet inspection en dat bij alle klanten, zodat ze de aanval kunnen herleiden naar de destination. Daarom noemde ik ook Privacy in een van mijn reacties en het inkopen van een nieuwe infrastructuur, waardoor een klant 10 euro per maand moet bijleggen... Het klinkt makkelijk, maar dit kan echt jaren duren.

[Reactie gewijzigd door Tombastic op 22 oktober 2016 13:20]

Ik snap dat de manier waarop ISP's werken zeer ingrijpend zou moeten veranderen om het idee doorgang te kunnen laten vinden, maar anderzijds moet je ook stil durven staan bij de gevolgen van het huidige lakse beleid nu: packet is weg: mijn taak zit er op, dat de boel aan de andere kant ontploft trekken ze zich niet meer aan.
Wat ze vergeten is het feit dat iedereen hiervan slachtoffer kan worden en je door de toegenomen mogelijkheden providers dagen of weken kan plat leggen tot die er het bijltje bij neerleggen. Het percentage van aanvallen dat stopt doordat hij niet meer effectief is daalt en dat is een gevaarlijke trend, want net zoals het kat en muisspel tussen virus/antivirusmakers zal er een punt komen dat je plots niet meer kan verdedigen (zie de cryptolockers en de aanval op krebs) en dan is het te laat
Wat jij benoemt heet 'deep packet inspection' en is verboden.
niet per sé, als jij ineens packages begint te sturen naar dyn-servers in de VS rond hetzelfde ogenblik als 2000 andere klanten, dan moet je niet naar de data kijken om te weten dat er iets vreemd aan de hand is, als de ISP aan de andere kant dan ook nog eens warnings afgeeft, dan kan dat perfect zonder DPI
Ik denk dat je met geaggregeerde netflow en snmp counters al wel wat kunt.
Vaak zien we dat die bedrijven alles zelf willen doen. Of firewalls om het tegen te gaan. Wij hebben zelf ook (opzettelijk) flinke ddoss aanvallen uitgevoerd op eigen netwerken en een betere methode gevonden, ipv het tegen te gaan of te blokkeren kan je d.m.v DNS de aanvallers in de war maken. Door niet 1 DNS te gebruiken maar er 10-20+ klaar hebben, in verschillende regio's. US, China, Rusland, EU etc. Waarna je alles continue laat switchen, hoewel de eindgebruikers vaak een DNS van hun ISP gebruiken, wat vaak voor langzame updates zorgen maakt dit niet zoveel uit. Door het systeem continue (elke 10-20 seconden) switches naar verschillende NS's te laten maken blijft de content vaak gewoon online. Als je daarachter nog een fatsoenlijk CDN hebt hangen (ook liefst meerdere) zal je minimale downtime hebben, slechts kleine performance issues (denk aan 20ms ipv 5ms bijvoorbeeld), wat wel te overzien is. :)
En bij iedere verhoging van de aanvallen schaal jij je infrastructuur dynamisch op ? Ik vraag me af of je de echte DDOS hosts zo niet kunt trianguleren met je DNS netwerk.
Na metingen hebben we bij verhogingen weinig extra effect gezien, uiteraard is het een complexe zaak en hangt het vaak af van wat voor aanvals methode er is. Echter wat ik zie is dat bedrijven vaak op een enkele partij vertrouwen, 'Managed', echter is het anno 2016 niet meer een goed idee om dat te doen, en vooral niet alles in de EU of alles in de US. Tevens zijn wij een DNS netwerk in mainland china aan het opbouwen, niet enorm maar we hebben gemerkt dat 'meeliften' met de chineze 'firewall' erg interesant is voor sommige aanvallen :)

Stiekem moet ik je toch zeggen dat dit nieuws onze partij fantastisch uitkomt v.w een nieuw project dat in December live gaat. :X

EDIT:

En daarnaast, als het DDOS netwerk allemaal op dezelfde DNS zit is het vaak makkelijker te trianguleren. Voordeel van de methode die ik eerder noemde, dat vaak de DNS settings van de slaves gebruikt worden, die veelal ISP of kleinere DNS'jes zijn. Doordat je de DNS enorm snel blijft mixen krijgen die slaves vaak minder snel een update en zullen de slaves uiteindelijk allemaal verschillende aanvals routen hebben. Waardoor je het hele boeltje kan 'loadbalancen' om het zo maar te noemen. 10% naar Cloudflare DNS, 10% naar StackPath CDN met flinke WAF filters, 10% naar een ander CDN met flinke WAF filters en ga zo maar door. Hierdoor moet het netwerk ongekend groot zijn om alsnog succesvol te zijn. Daarnaast hebben we zelf lopen testen met een central server (compleet los van de aanval) die de WAF rules van alle partijen synched via API's. Waardoor je in veel kortere tijd veel meer slaves overal identificeerd en geblokeerd hebt. Het werkt nog niet optimaal maar we blijven tweaken :Y)

[Reactie gewijzigd door slijkie op 22 oktober 2016 22:09]

Er zijnr middelen (denk aan Cloudflare) om een DDoS-attack zoveel mogelijk te beperken, maar als de attack maar groot genoeg is (voldoende groot botnet) helpen die ook niet of nauwelijks meer.

En dat soort constructies zijn niet bepaald goedkoop.
Kan een winkel er iets aan doen als er opeens 50.000 man naar binnen willen?

(ja, maar het kan niet meteen uitgevoerd worden)
Maar dan moeten veel van die 50.000 man zeg maar hun hersens overgenomen zijn om op afstand te besturen. :P haha sorry ik zie het te visueel voor me.
Het is inderdaad zoveel data van zoveel unieke ip adressen uit een totaal ander subnet wat het probleem veroorzaakt, wanneer een DDOS uit een subnet ( bijv /16) dan is het nog vrij makkelijk te herkennen en blokken. Bij een DDOS vanuit zoveel verschillende subnets (of eigenlijk gewoon alle subnets zo'n beetje) is dat alleen maar mogelijk door gewoon X.X.X.X te blokken maar dan zijn de sites/services dus voor iedereen onbereikbaar.

Het enige wat je er tegen kan doen is dan nog zorgen dat je meet bandbreedte hebt dan de DDOS veroorzaakt. Echter is dat bij de Mirai zoveel dat het zonde is om doorgaans zoveel te hebben staan voor uitsluitend dit soort gevallen.
Zeker de laatste jaren is, met de komst van IoT en de smartphones, de potentie van een botnet explosief gestegen. Elke smartwatch, raspberry, smartphone, 'slimme' thermostaat (als ie het doet) kan ingezet worden in een botnet.
Is het gewoon zoveel data dat de apparatuur voor een ddos aanval het niet meer aankan ?
Dit is het belangrijkste concept achter DoS attacks.
Als dit nu al zo'n groot issue vormt, waarom wilt men dan doorgaan met IoT. Het internet zal hinder ondervinden van alle goedkope apparaten, zeker van Chinese producten. Op deze manier zie ik geen toekomst in IoT, alleen maar problemen.
Waarom alleen Chinese produkten? Ik haal nergens vandaan dat er devices van specifieke producenten zijn getroffen, alles lijkt er op te wijzen dat het een verspreid probleem betreft.

En waarom niet doorgaan mte IoT? Over het 'gewone' Internet worden toch ook regelmatig DDoS-attacks uitgevoerd, zullen we Internet dan ook maar stopzetten?

Ik denk allen wel dat het een goed idee is sls IoT-devices ook voorzien zouden worden van virusscanners, om het risico op malware, en misbruik daarvan, te minimaliseren. Maar stopzetten van IoT lijkt me (naast onmogelijk) ook niet wenselijk. Dat is net zoiets als met een kanon op een mug schieten.
Bijna alle elektronica wordt in China gemaakt. "Chinese producten" omvat alles van je ¤1 fietslampjes tot je ¤10.000 televisie.

Waar wel een verschil zit, is waar en door wie het wordt ontworpen. Oftewel, waar worden beslissingen gemaakt over de firmware. Helaas wordt ook dit vaak uitbesteed aan China (en ook vaak India) in plaats van de westerse landen (zoals de VS, Zuid-Korea en Japan) waar dit voorheen gebeurde. Ook zijn er een aantal bekende westerse merken die sowieso niet meer hun eigen producten ontwerpen, maar slechts licenties daarop verkopen.

Dus er is geen echt onderscheid meer tussen "Chinese producten" en de rest. Gewoon. Niet.

Terug over die firmware. Voor goedkoper producten waar "ineens" internet-functionaliteit wordt toegevoegd, moet dus software gemaakt worden door een bedrijf dat een paar jaar terug nog nooit eerder software gemaakt heeft. Of in ieder geval veel eenvoudigere software die nooit aan het internet gehangen heeft.

Deze software wordt dus gemaakt door mensen zonder enige kennis van internet of security. De merken/bedrijven die die producten maken hebben vaak ook niet de infrastructuur om achteraf support te leveren, of firmware-updates te maken en te verspreiden. Dit hele aspect aan het maken van producten hebben ze jarenlang nooit hoeven te doen, en nu dus ineens wel.

De software waar het om gaat is dus kwalitatief enorm slecht. Beginnersfouten overal. Een webinterface die beginnersfouten bevat waar "echte" webdevelopers zich al 15 jaar voor schamen. Of embedded linux met oude kernels met exploits die jaren terug al hier op tweakers.net hebben gestaan. Of gewoon pre-heartbleed versies van openssl. Enzovoorts.

Een virusscanner doet hier niks aan. Sowieso, virusscanners zoals we die kennen werken alleen op "fullsize" pc's met losse programma's en een filesystem en alles erop en eraan. En vooral ook een OS waarvan de basis degelijk en veilig is. Ik denk dat IoT vooral die basis op orde moet krijgen. Fatsoenlijke software ontworpen door developers met kennis van het internet en alle security-aspecten daaraan, updates die snel en veilig beschikbaar komen (ahem Android..., en niet de noodzaak om die software zo snel en goedkoop mogelijk te maken in de eerste plaats.
Slechte software moet niet leiden tot dit soort zaken imo. Dat moet dan op andere niveau's gewoon afgevangen worden.
Slechte software leidt tot dit soort zaken. Het zou niet moeten, maar het gebeurt nou eenmaal. Fact of life. Fabrikanten dwingen kwalitatief betere software te maken helpt, maar dan moeten wij als consument niet een ip-cam voor ¤59,99 bij de gamma halen.

Aan de andere kant, ik heb er geen vertrouwen in dat een iets duurdere camera nou echt veiliger is. Geen manier om dat in de winkel te zien, zelfs niet nadat je het product gekocht hebt.
Ja maar wat ik bedoel is dat slechte software niet zo'n grote impact moet hebben op de werking van internet.
ddos-filtering op grote schaal is gewoon enorm moeilijk en duur.

Maar op kleine schaal kan het opzich wel. Als huis-tuin-keuken(modem/)routers nou ddos-filtering zouden bevatten, dan voorkom je malware via botnets, zowel vanaf gewone pc's met malware, als ook iot-devices en smartphones.

Maar dan moeten wel ISP's dit in hun firmware stoppen en dat als update gaan leveren. En natuurlijk de optie om het uit te zetten voor powerusers en troubleshooting - maar dat uitzetten weer malware proof maken (dus geen default passwords, en de webinterface csrf-proof maken).
Ja dat bedoel ik dus ook. Juist ook omdat veel ISP's hun eigen hardware leveren, is dat op die manier goed te beheersen en kun je toch al in de basis een groot aantal verschillende aanvallen tegenhouden. Ook vind ik dat ISP's sneller moeten zijn met het blokkeren van bepaalde IP's als daar een aanval mee gepleegd wordt (eventueel verkeer tijdelijk throttlen) en de klanten een brief/email/bericht sturen dat ze ergens een lek hebben of iets. Juist een pro-actieve houding vanuit ISPs kan ervoor zorgen dat, vooral in landen met een moderne infrastructuur, veel aanvallen minder ernstig zijn.

En ik vind dat bedrijven verplicht moeten worden om dergelijke zaken te fixen als wordt gedetecteerd dat 1 of meerdere systemen besmet zijn of meedoen met een hack (vanaf een punt dat dat op te merken is)
Het gebeurt al wel een klein beetje:
https://gathering.tweaker...message/39675706#39675706

Maar dat is dus slechts heel af en toe (geen idee op basis waarvan ze dit detecteren).
Muha, je moet eens naar China gaan hoe daar software wordt ontwikkeld voor slimme IoT apparaten. En dat betekend dus engineering daar. (Productie maakt niks uit).

Je ziet dat het gaat om zo snel mogelijk software produceren wat redelijk fatsoenlijk werkt voor de klant. Zo snel mogelijk shippen.... updates en andere zaken zijn daar totaal niet van belang. Security ook niet. Kost allemaal geld en drukt de kostprijs omhoog en de winst omlaag. Volgend jaar heeft deze engineerings bureau toch weer een andere naam en de producten ook. Zo gaat dat bij die allergoedkoopste apparaatjes. En vooral is daar Linux en Opensource en probleem want men compiled gewoon ouwe versie van softwarezoals Peetz0r dat zegt, als het maar functioneel werkt. Of het veilig is boeit men niks.

Dus als je kijkt naar minpunten van opensource... Dan is dit er wel 1. Men dumpt overal maar ouwe binaries in als het maar werkt. Snel geld.
Zelfs al worden de security patches beschikbaar gesteld, dus een model a la Android, dan nog vertikken de OEM's van hun hardware deftig te supporteren. Laat staan dat ze dit zelf moeten ontwikkelen.. Dit zou afgestraft moeten worden door een hogere instantie, of we gaan alleen maar meer dit soort fratsen tegenkomen.
De echt slechte (lees onveilige) producten zijn toch wel degelijk van kleine Chinese fabrikanten, die iets binnen no time in elkaar hatseflatsen en zich niet bekommeren over de veiligheid. Er zijn legio van dit soort fabrikanten in China, honderden zo niet duizenden.

De westerse fabrikanten die hun spullen in China laten fabriceren zijn over het algemeen veel beter, maar ook niet altijd.

Om dit op te lossen moet er echt wetgeving komen op Europees niveau, want dit kan gewoon niet zo doorgaan.
Ja, de kwaliteit van westerse merken ligt gemiddeld ongetwijfeld hoger dan die van "echte" Chinese merken. Maar in elke categorie heb je uitschieters in beide richtingen. Het verschilt sowieso enorm per fabrikant, per merk en soms zelfs per product.
Het wordt tijd voor een (overkoepelende) wereldregering; en dan eentje die meer aan het volk denkt dan aan de bedrijven (en nee, het is niet zo dat het volk pas goed kan leven als de bedrijven goed kunnen leven).
Dan kan die regels opstellen inzake de kwaliteit van software. En ook handhaven (waar 't vaak aan ontbreekt.)
Er moet meer bewustzijn of een oplossing bedacht worden voor verdacht internetgedrag. Apparaten die direct publiekelijk toegankelijk zijn, zoals cloudboxen etc. zijn makkelijk te misbruiken.

Als ik kijk naar de producten, waarvan IoT gebruikt wordt. (persoonlijk zelf wat producten getest) Dan is het niet secure, dit wil niet zeggen dat IoT niet mogelijk is, maar als de aanvallen nu al boven de technieken uitstijgen, dan is er een oplossing nodig.

Zeker met CCTV of andere soorten camera's, waarbij vele goedkope cloudoplossing worden geboden, denk hierbij aan apparaten met verouderde firmware zonder support en dus geen controle. Het betreft niet alleen Chinese producten, maar uit verschillende testen blijkt wel dat dit soort producten grote issues kunnen veroorzaken.

Als er controle is op de producten en er worden eisen aan gesteld, dan zou het mogelijk kunnen zijn dit in bedwang te houden.

Bijv.
http://news.softpedia.com...ddos-attacks-505722.shtml

*Typo's weggehaald :)

[Reactie gewijzigd door Tombastic op 22 oktober 2016 11:12]

Ik denk dat dit soort dingen ook al bij de routers moeten worden aangepakt om te zorgen dat het nooit uitgaand verkeer mag zijn als iets dergelijks als verdacht wordt aangemerkt.
Een oplossing kan open-source hardware en software zijn. Ik zal al enkele open-source IP camera's op de markt waarbij de software open is. Kans is veel groter dat deze veilig zijn of in elk geval updates krijgen.

Idem voor netwerk apparatuur.

[Reactie gewijzigd door ArtGod op 22 oktober 2016 15:35]

Open source heeft alleen zin als er ook veel mee gewerkt wordt. Een onbekend Chinees product wat niet veel verkocht wordt, heeft op die manier gewoon een belabberde beveiliging die juist makkelijk misbruikt kan worden.

Betreft het een product wat miljoenen keren over de toonbank gaat, dan kan het wel helpen. Maar 50 van die goedkope Chinees dingen kunnen dan net zo hard misbruikt worden als 1 goed bekend product.

Verder is de kans vrij klein dat dergelijke hardware open source gaat

[Reactie gewijzigd door Martinspire op 22 oktober 2016 15:49]

De Chinese fabrikanten zouden bijvoorbeeld hun hardware en software kunnen baseren op open-source ontwerpen.

De echte oplossing ligt echter bij strengere wetgeving en meer bewustwording bij fabrikanten.
Hun software is al gebaseerd op open-source. Meeste van de kleine routers, webcams, ... draaien al linux.
Gedeeltelijk. Ze pakken een Linux kernel en hacken daar een driver en wat software bij. Die laatste zijn totaal onveilig. De configuratie van Linux is meestal ook ruk.
Dat is dus ook het probleem!!!

Ze compilen maar wat ouwe open source code vol met beveiliging issues. Omdat die oude Linux distro hun applicatie toevallig wel ondersteund. En dan willen ze de boel niet updaten omdat dat geld kost. Want dan moet je weer speciale Linux versie maken met backports bla bla bla.. En mis je enorm veel andere updates die in de kernel en OS zitten.

Nee, ik ben fan van opensource... maar opensource heeft ook zijn zwakke punten. Update beleid en support.

Opensource is lekker gratis, en dat zorgt ervoor dat veel engineerings bureaus in China dit gebruiken... ouwe android versies geen probleem voor hun. Kan ze niks schelen.

Update beleid en support en dergelijke zorgt dat de kostprijs omhoog gaat. Als je nou eens wat documentaires gaat kijken hoe zulke bedrijven te werk gaan. Elk jaar hun naam veranderen, weer over een paar maand werken aan 10 andere producten en dan vliegen ze weer naar en andere producent om producten te ontwikkelen en daar duizenden van uit te stampen. Snel shippen is belangrijk... lang support en update beleid gaat nooit werken in hoe die markt in elkaar zit in China. Verdiep je er maar eens in.

Dit is heeeeel slecht voor de software van zulke producten en al helemaal de veiligheid. Of je moet iemand zijn die van Linux veel afweet en weet hoe je nieuwe opensource code kan compilen en werkend kan maken. Dit betekend dat je als klant uren en uren erin moet steken. Leuk en soms bij populaire producten krijg je communities die dat voor anderen doen. Maar dat is maar bij een klein percentage van al die producten. En dat is allemaal niet echt professioneel.

Het is een groot gevaar voor de toekomst voor allerlei kleine smart devices die allemaal geengineerd zijn door deze quick engineerings bureautjes uit China. Als het compileert... ship it. Dat is de motto daar.
Er zijn 24/7 aanvallen gaande op internet, zie ook http://www.digitalattackmap.com voor de grootte daarvan.
Het eerste is waar, maar die site moet je met een aantal korreltjes zout nemen.
Het probleem is dat de EU geen normen op legt. Wat het eenvoudig zou kunnen doen is het verplicht maken dat fabrikanten het mogelijk maken dat alle Internet-connected devices online kunnen geupgrade worden én dat deze upgrade veilig moet gebeuren a.d.h.v bestaande en goed onderzochte cryptografische technieken (m.a.w. het toestel zelf moet nakijken dat de upgrade binaries legitiem zijn). Standaard package management systemen (op vrijwel alle Linux distributies) doen dit al, dus zo'n EU standaard zou zich op die technieken kunnen baseren.

Voorts zou het verplicht moeten zijn dat iedere Internet-connected device terug naar factory settings én binaries kan gereset worden d.m.v. een voor de consument zo standaard mogelijke manier. Bv. de power-knop 20 seconden inhouden = factory reset. Zo kan een gecompromitteerd toestel snel terug gereset worden. Wanneer het dan terug online gaat, biedt het aan zichzelf te laten upgraden.

Daarnaast zou het door de EU moeten verplicht worden om standaard testen te laten uitvoeren. Er zijn in de software-ontwikkelings industrie tal van manieren ontwikkeld om software te testen. Ook op beveiligingsfouten. Plus zou het door de EU moeten verplicht worden dat alle code minstens door een derde onafhankelijke partij wordt gereviewed.

Als dat allemaal OK is, dan krijg je een keurmerk. Zonder keurmerk: niet in de electronica zaken in de hele EU.

Het zou héél snel in orde komen met Internet-connected devices.

Hierbovenop zou de EU de hoofdaandeelhouders en zaakvoerders persoonlijk moeten aansprakelijk stellen voor datalekken van klanten/consumenten data opgeslagen door het bedrijf (op om het even welke storage manier en op om het even welke plaats en bekomen op om het even welke manier of via om het even welke sensor). De boetes én gevangenisstraffen zouden absurd hoog moeten zijn en effectief uitgevoerd.

Doet met dit in de EU, dan zal het level playing field op zo'n niveau gebracht worden dat de kwaliteit van Internet-toepassingen dramatisch omhoog zou gaan. Dit zou het vertrouwen van de consument ten goede komen. En dat zorgt dan voor enorm veel meer mogelijke toepassingen.

Het probleem is dat het kapitalisme dit niet ziet zitten. De markt moet zo vrij zijn dat ze de consument moet kunnen verkrachten. Privacy moet verkracht kunnen worden. En als het toch blijkt dat het niet mocht dan, oeps, was het een data lek. Het bedrijf en de CEO staat buiten schot en de consument is de dupe. Altijd.

Dat het een gegeven is dat er massaal veel cybercriminaliteit is, wordt door bedrijven genegeerd. Ook hier is het de consument die de dupe is. Alles moet goedkoop. Alles moet boegt zijn. Alles moet slecht en snel in elkaar gezet zijn. Want goede programmeurs zijn duur en de rommel moet cheap cheap cheap zijn.

We zijn m.a.w. bezig aan een strijd naar de bodem. Het zal ook enkel maar erger worden.
Voila, gewoon opleggen in de CE-markering. Net zoals speelgoed aan bepaalde veiligheidseisen moet voldoen, moeten apparaten die aan Internet worden gehangen ook veilig zijn.
Precies. Telefoonfabrikanten moeten ook USB laders ondersteunen en het altijd mogelijk maken, ook zonder SIM, om de noodnummers te bellen.

Dus hoezo bepaalde high-level requirements zouden niet opgelegd kunnen worden? Natuurlijk wel.

Gewoon doen.
.... moeten apparaten die aan Internet worden gehangen ook veilig zijn.
En wat is de definitie van "een veilig Internet apparaat" ?
Veel succes om dat te definieren.
En en ik hoop voor je dat het morgen niet weer verandert.

En de overheid, of de EU, laten bepalen wat veilig is, dat is helemaal vragen om problemen. Waarom vragen we meneer pastoor, de dominee en de imam niet wat "normale/geaccepteerde sex" is, en wat niet. Die zullen vast heel veel verstand van sex hebben.
Je maakt een goed voorbeeld dat al door de wet bepaald wordt. Geaccepteerde seks is seks die volgens de wet omschreven wordt als consensuele seks tussen twee mensen met seksueel zelfbeschikkingsrecht.

Alle andere seks wordt door de wet niet geaccepteerd. Het is niet meneer pastoor, de dominee of de imam die dit bepalen en het is ook niet je mama of je papa die dit bepaalt wanneer je over seksueel zelfbeschikkingsrecht beschikt (in mijn land is dat vanaf 16 jaar). Het is de wetgever die dat bepaalt (het aspect seksueel zelfbeschikkingsrecht), de rechterlijke macht die het juridisch afdwingt en de uitvoerende macht die de handhaving ervan uitvoert. Het aspect consensueel is iets dat jijzelf bepaalt. Jij, en enkel jij, bepaalt of de seks consensueel is.

Zo zou het bij de definitie van een veilig Internet apparaat de wetgever zijn die dat bepaalt, de rechterlijke macht die het juridisch afdwingt en de uitvoerende macht die de handhaving ervan uitvoert.

[Reactie gewijzigd door freaxje op 22 oktober 2016 13:33]

Oh man, wat een simpele kijk op de zaken.

We gebruiken het Internet nu zo'n 20 jaar. (Sommigen van ons zo'n 5 of 10 jaar langer zelfs). Jij bent programmeur, 35 jaar. Je zou toch een beetje moeten beseffen dat er ongelofelijk veel veranderd is in die 20 jaar. 10 Jaar geleden had niemand gedacht dat de meeste devices op het net telefoons zouden zijn, 20 Jaar geleden had niemand gedacht dat mobiele telefoons populairder en goedkoper zouden zijn dan landlijnen. YouTube, Facebook, Twitter, allemaal nog geen 10 jaar oud.

Wetgeving maken duurt een paar jaar. Die lopen dus altijd achter de feiten aan.

Bovendien, security is meestal niet een kwestie van principes, theorie, filosofie of architectuur. Meestal gaat het om praktische dingen. Bugs. Gebrek aan fixes. Geen upgrade mogelijkheden. Onwillige gebruikers of producenten. Kosten. Noem maar op. Wetgeving gaat daar niet veel helpen.
Laten we dan beginnen met smartphones
Houdt het internet op bij de Europese grenzen? Dat is nieuw voor me. Ik snap best wat je bedoeld, maar reguleren alleen in EU heeft weinig nut voor wat betreft het gevaar wat in IoT schuilt.
We kunnen gerust een subnet in de EU voorzien waarin Europese Internet-connected devices een IP adres in krijgen. Dat zou voor IPv4 bv. gedaan kunnen worden. Met IPv6 zijn er vermoedelijk nog meer mogelijkheden wat dat betreft. We zouden alle ISPs kunnen verplichten IPadressen uit te delen in dat subnet voor bepaalde MAC addressen (Internet-connected toestellen met keurmerk krijgen een identificatie waardoor ze zulk IP adres krijgen van de provider).

Daarmee zouden alle Europese Internet-connected toestellen defacto binnen Europese grenzen kunnen blijven.

Bedrijven die gegevens bekomen binnen dat subnet buiten Europese grenzen brengt zouden een handelsverbod kunnen krijgen binnen de hele Europese Unie en opnieuw absurd zware boetes en persoonlijke aansprakelijkheid voor de hoofdaandeelhouder en zaakvoerder (als die Europees zijn, maar de meeste bedrijven hebben een Europese tak, dus dan pak je de die aan plus opnieuw handelsverbod voor het buiten-Europese moederbedrijf).

Je blijft dat toepassen tot iedereen in de hele wereld het door heeft: no bullshit in the European Union. Microsoft heeft dat lesje al eens geleerd. Herhaal.
Dat lijkt me een onhaalbare kaart. Services staan in de cloud over de hele wereld. Technisch gezien is de locatie ervan irrelevant voor de werking ervan op internet. Devices in een vorm van subnet plaatsen levert op dat de achterliggende dienst ook in dat subnet moet zijn ofwel ga je alsnog naar buiten routeren. En wat doe je als je zelf buiten de eu zit en je koffieapparaat wil bedienen?

Ik snap echt je uitgangspunt maar het gaat ook lijnrecht tegen het IoT en cloud uitgangspunt in.

[Reactie gewijzigd door Rataplan_ op 22 oktober 2016 12:33]

Wat je nu al doet met IP Masquerading: die poort forwarden vanaf je router.

Dat is dan een beveiligingsrisico dat de consument zelf neemt. Daar zou de fabrikant van het toestel prima voor kunnen waarschuwen in de documentatie van het product dat dit niet valt onder de ook door het keurmerk voorziene beveiligingszekerheid.

M.a.w. is het een risico dat de consument zelf neemt.

Doordat iedere consument dit op zijn of haar eigen manier doet, is het veiligheidsrisico dan ook eerder beperkt. Plus kunnen routers die zulke portforwarding doen ook volgens bepaalde normen werken. Je kan bv. een EU standaard maken die zegt dat een router niet zelf een IP adres moet geven aan zo'n internet-connected device, maar de ISP dit moet laten doen. Of dat de router zelf een 192.168.x.y of 10.x.y.z subnet voorziet voor zulke toestellen dat het masquerade naar het IP adres voor internet-connected toestellen dat voorzien wordt door de ISP.

Wedden dat OpenWRT één van de eerste zou zijn die dit implementeert? En aangezien vrijwel alle routerbouwers de dag van vandaag naar OpenWRT kijken, zou zo'n vijf jaar later vrijwel iedere huis tuin en keuken router dit ook hebben.

Dan maak je dat wet en verplicht voor alle zaken die aan de consument onder de noemer router verkocht worden.

Die Cloud services moeten trouwens allemaal hun data gaan hosten in de Europese Unie. Het is toch zeer duidelijk dat het feit dat ze die data naar andere landen buiten de EU plaatsen voor allerlei onnozele juridische problemen zorgt? Ze hebben data centers zat in de EU staan. Die data én services moet gewoon binnen de grenzen van de EU blijven. Zodat Europese wetten er op van toepassing zijn.

Kan je dat niet? Blijf dan weg uit onze markt. Kleine spelers kunnen trouwens perfect en goedkoop co-locatie binnen de EU aankopen. Wat zouden grotere spelers het dan niet kunnen? Wordt trouwens ook al gedaan. Dus het kan wel.
Portforwarding, NAT, masquerading, ACLs en dergelijk werken voornamelijk in de richting van buiten (het Internet) naar binnen (jouw thuisnetwerk).

Traffic in de andere richting (van je IoT apparaatje) naar het Internet wordt meestal helemaal niet gehinderd.
We kunnen gerust een subnet in de EU voorzien waarin Europese Internet-connected devices een IP adres in krijgen.
Dream on.
Ten eerste krijg je dat niet georganiseerd.

Twee: address spoofing.

Ten derde, en voor mij, als layer-3/networking persoon het belangrijkste. Adressen zijn addressen ! Ze geven aan *waar* je bent, niet wie je bent. Ben jij je adres, ben jij "Dorpsstraat 13, Lutjebroek, Nederland" ? Nee, jij bent freaxje. Dat adres is toevallig je adres. Het geeft alleen aan waar je te bereiken bent. Het geeft niet eens aan of je Nederlander of Belg of wat dan ook bent. Je adres verandert ook als je verhuist, maar je identiteit verandert niet.

We hebben 4 miljard IPv4 addressen. Routers moeten weten hoe die te bereiken. Gelukkig zijn gegroepeerd in zogenaamde "prefixen". (Subnetten, of supernetten, als je dat een makkelijker woord vind). Die prefixen zijn een beetje zoals postcodes bij geografische adressen. Echter, we hebben nu al zo'n 700k van die postcode in het Internet ! En "in het midden" van het Internet moeten alle routers weten hoe die 700k prefixen te bereiken zijn. (Voor er iemand gaat zeuren dat er geen midden is: ik bedoel natuurlijk de Default Free Zone (DFZ)). Routing is al lastig zat. Jouw voorstel maakt het helemaal onmogelijk om het werkend te krijgen.

Jouw voorstel is hetzelfde als allle mannen verplichten om op even huisnummer te wonen, en alle vrouwen op oneven huisnummers. Dat is onzin. Zo werken adressen niet.

[Reactie gewijzigd door gryz op 22 oktober 2016 13:07]

Adressen zouden gespoofd moeten worden door het toestel zelf. M.a.w. heeft de consument het toestel dan al aangepast. Dat is niet iets dat heel frequent zal voorkomen, en je kan als fabrikant documenteren dat zulke aanpassingen niet meer onder de garantievoorwaarden vallen (en dat daarbij het keurmerk en/of keuring ongedaan is gemaakt door de consument en zijn of haar aanpassingen).

Hoe dat jij adressen interpreteert doet er eigenlijk niet zo veel toe. Met IPv6 gaan we waarschijnlijk toch over gaan naar een model van "wie je bent" ipv "waar je bent". Dat IP addressen nu uitgedeeld worden dmv "waar je bent" is enkel maar een artifact van hoe IPv4 routing bij ISPs werkt. Lijkt me op lange termijn en zeker in de IPv6 wereld onhoudbaar. Plus je kan er een heel subnet aan alloceren. Binnen dat subnet kan je naar hartelust de waar-component coderen zodat je routingtabellen het wel aankunnen.
Adressen zouden gespoofd moeten worden door het toestel zelf.
Ja. En dat is niet zo moeilijk. Dat is allemaal software. En met software is alles mogelijk. Je apparaat moet enkel en alleen, voordat het een pakketje uitzendt, even de bytes van het source-address in de packet-buffer aanpassen. Fluitje van een cent als je weet wat je doet. Malicious software kan dat allemaal zelf, zonder problemen.
Hoe dat jij adressen interpreteert doet er eigenlijk niet zo veel toe.
Pardon ?
Ik heb dat niet verzonnen. Dat is gewoon zo. Als addressen geen addressen zijn, dan werkt routing in het Internet niet meer. En het enige wat het Internet eigenlijk doet, is pakketjes routeren. (Als de meeste mensen "Internet" zeggen, bedoelen ze eigenlijk "the world-wide web". Of andere applicaties. Ik heb het hier over het Internet zelf. De techniek die er voor zorgt dat een paar miljard apparaten met elkaar kunnen praten. Wat ze dan precies zeggen is een heel ander verhaal).
Met IPv6 gaan we waarschijnlijk toch over gaan naar een model van "wie je bent" ipv "waar je bent".
Dude, wat zeg je nu ?
Heb je uberhaupt verstand van routing ? (En dus ook van wat addressen zijn) ?

Een goede rule-of-thumb is: wat betreft routing werkt IPv6 precies zoals IPv4. Zelfde ideeen (packet-forwarding, hop-by-hop routing, best effort delivery, longest-match prefix lookups, zelfde protocollen (ISIS, BGP en OSPF, etc). Niemand gaat daar iets aan veranderen.

Dat zouden we wel willen. Er zijn twee voorstellen hoe je het IPv6 routing systeem zou kunnen aanpassen, en een scheiding van locators (adres) en identifiers zou kunnen doen. Het idee hier achter is vrij simpel: een IPv6 adres heeft 16 bytes. De eerste 8 bytes gaan we gebruiken als locator, en de laatste 8 bytes als identifier. Dat geeft allemaal fantastische mogelijkheden. Maar iedereen die niks van routing weet is tegen. Bah.
https://en.wikipedia.org/...ifier_Separation_Protocol
https://en.wikipedia.org/.../Locator_Network_Protocol
LISP heeft een beetje push van cisco. Maar nog steeds niet erg populair. ILNP lijkt helemaal vergeten.
Dat IP addressen nu uitgedeeld worden dmv "waar je bent" is enkel maar een artifact van hoe IPv4 routing bij ISPs werkt. Lijkt me op lange termijn en zeker in de IPv6 wereld onhoudbaar. Plus je kan er een heel subnet aan alloceren. Binnen dat subnet kan je naar hartelust de waar-component coderen zodat je routingtabellen het wel aankunnen.
Heb je ook maar enig idee hoe routing protocollen werken ?

Stel je het volgende voor. Stel je verhuist van Maastricht naar Amsterdam. Maar je mag je adres behouden. Hoe denk je dat de postbode je post gaat bezorgen ? Hoe denk je dat het er over 20 jaar uit ziet ? Dan heeft half Nederland een adres dat niet ligt waar je het verwacht. Hoe gaat de postbode dan post bezorgen ?

Ik zal je zeggen: dan komt er een heel dik "postcode boek". Daar staat dan van ieder "oud adres" welk echt "nieuw adres" er dan bij hoort. Dan kun je aan het nieuwe adres zien waar je echt zijn moet. Als dat boek er niet zou zijn, dan weet niemand meer hoe je bij "Dorpsstraat 13, Lutjebroek" kunt komen. Misschien ligt dat adres wel in Peru of in Mongolie.

Adressen zijn addressen. Die geven aan waar iets ligt. Hoe je er kunt komen. Als je dat concept weggooit, dan werkt er niets meer (wat betreft routing).

[Reactie gewijzigd door gryz op 22 oktober 2016 14:01]

Leuk allemaal maar als de hackers al root access hebben dan ga je ze er niet zo makkelijk meer afkrijgen.
Daarom die verplichting om factory-reset te ondersteunen. De factory binaries zet je op read-only media. Factory-reset zet deze terug. Een hacker met root-access heeft na factory-reset geen root-access meer. En die read-only media kon hij met root-access ook niet beschrijven.
Dat is niet zo makkelijk. Als een Android toestel bijvoorbeeld gehackt is met root access dan gaat een factory reset de malware niet weg krijgen. Een factory reset doet niets anders dan instellingen terugzetten, het is niet een complete reinstall van het besturingssysteem.

En het kost veel flash geheugen om dit wel te kunnen doen. Fabrikanten gaan dat niet doen zonder wettelijke verplichting.
Denk je dat de gemiddelde consument daar over na denkt? Die zien de prijs en wat die kan. security boeit hun niks...
Klopt, maar dat is natuurlijk niet het enige. Fabrikanten kunnen er ook al iets aan doen om productspecifieke wachtwoorden te verzinnen en niet standaard ssh, telnet, ftp, http etc. aan poorten open te zetten.
Wat er op het moment gebeurt is niet de afweging maken tussen gebruiksvriendelijkheid en veiligheid, maar voor de volle 100% gebruiksvriendelijkheid.
Geen Root Root, of Root Admin etc. als credentials, maar gewoon Admin + 'randomgegenereerd' wachtwoord en deze meeleveren bij het product. Dat scheel al zo ontzettend veel. Zolang ze dat wachtwoord maar niet genereren op de Speedtouch manier :).
Ik weet dat het gek klinkt maar voor 90 procent van de consumenten is een Admin of root toegang op aanvraag nodig en niet continu. Dit zou ook al dingen kunnen verhelpen. Zou ook al veel malware uit de wereld helpen die EFFECTIEF toeslaat.
Dus is er een verantwoordelijkheid voor de fabrikant om te nemen.
Ik heb hier een goedkope infraroodcamera/babyfoon liggen die zo gemaakt is dat hij alleen kan werken via de website van de fabrikant.

Ik vind dat schandalig. Het ding is dan ook om voor de hand liggende redenen niet aangesloten.

Men kan namelijk mijn gezin bespioneren, en het apparaat zou ook nog eens voor dit soort aanvallen ingezet kunnen worden.
Denk je dat de gemiddelde consument daar over na denkt? Die zien de prijs en wat die kan. security boeit hun niks...
Variant..:
Denk je dat de gemiddelde fabrikant daar over nadenkt? Die ziet de prijs en de winst. Security boeit hun niks...
Als je de source code van Mirai bekijkt dan ligt het vooral aan de beveiliging van IoT apparaten, het is erg generiek. Te weinig aandacht voor beveiliging, dit is het gevolg.
Maar shitty devices moeten niet dit soort gevolgen hebben imo. Onbeveiligde PC's moeten ook niet dit soort gevolgen hebben. Het moet gewoon op meer niveau's worden afgevangen imo.

Slechte software moet er bv ook niet voor zorgen dat een OS van desktop of smartphone crashed.

[Reactie gewijzigd door Martinspire op 22 oktober 2016 14:29]

Je praat dan over meerdere lagen die gepenetreerd moeten worden om dit mogelijk te maken. Ben ik het helemaal mee eens. Ik zelf zie nog een grote uitdaging in die IoT wereld. Steeds meer van die apparaatjes hebben gewoon een volledig OS erop draaien. Dat betekend dat je die kan toevoegen aan je botnet. Zeer gevaarlijk.
Het probleem is niet de IoT-apparaten op zich, maar de vaak slechte beveiliging ervan. Je kunt best gebruik maken van het gemak en de voordelen van IoT-apparaten, als ze maar goed beveiligd zijn.
Als dit nu al zo'n groot issue vormt, waarom wilt men dan doorgaan met IoT. Het internet zal hinder ondervinden van alle goedkope apparaten, zeker van Chinese producten. Op deze manier zie ik geen toekomst in IoT, alleen maar problemen.
Het IoT is er eigenlijk al lang. IoT is niet meer dan het aansluiten van alledaagse apparaten op internet en daar zijn we al lang mee bezig. Dignen via internet doen is eigenlijk altijd makkelijker en goedkoper is dan zonder.

Het is een kwestie van het belang van de groep versus het belang van het individu. Voor de groep zou het misschien beter zijn als we pas op de plaats maken en eerst 10 jaar aan beveiliging werken voor we verder gaan met IoT. Op individueel niveau is er echter niemand van de aanschaf van een nieuwe beveiligingscamera of printer afziet vanwege de veiligheid van anderen op internet.
Eigenlijk is het asociaal, apparten kopen waar anderen last van hebben, maar kwaliteit is duur, en de consumenten kunnen de veiligheid van zo'n apparaat toch niet beoordelen. Daar komt nog bij dat ze vaak niet eens beseffen dat hun apparaat misbruikt wordt en als ze het merken dan kunnen ze dat niet koppelen aan die goedkope chinese webcam die ze vijf jaar geleden gekocht hebben.

Er moet dringend een keurmerk komen voor digitale apparatuur vergelijkbaar met het KEMA-keurmerk voor elektrische apparatuur, waar consumenten op kunnen vertrouwen om relatief veilige hardwaren en softwaren te kopen.
Ik wil niet per se Android in het verdomhoekje zetten, maar daar draaien nu zoveel apparaten op en soms duurt het zolang voordat fixes en updates overal geïnstalleerd zijn dat dat een interessante doelwit maakt. Dat heeft niets met het land van herkomst van de device te maken.
Als je het mij vraagt, is dit een van de schaduwzijden van IoT. Security zou echt prioriteit moeten krijgen. Met het groeien van het aantal IoT devices, wordt dit probleem alleen maar groter.
Meer aandavht voor security bij IoT lijkt me inderdaad wel wenselijk ja.

Zou je bijvoorbeeld kunnen doen door een virusscanner of een firewall op het device verplicht te stellen voor goedkeuring. Zonder goedkeuring kom je de markt niet op.

Zal uiteraard niet alles voorkomen, maar je kan er allicht het risico flink mee omlaagbrengen.
Security in het algemeen verdiend meer aandacht. Veel mensen zijn zich niet bewust van de (mogelijke) gevolgen of impact die het kan hebben en zijn er dan vaak laconiek onder.
Software security krijgt momenteel aandacht genoeg. De aandacht zal ook al maar groter worden, want de cybersecurity zal al maar meer impact op de samenleving hebben. Wat we nu zien is nog maar een voorsmaakje. E-mails van presidentskandidaten is nu aan de orde. Iedereen z'n E-mails zal dat over enkele jaren zijn. Die gegevens zullen eenvoudigweg verkocht worden aan de hoogste bieder. Zeker als het blijft gaan zoals het nu gaat.

De strijd naar de bodem is ingezet. Het gaat nu over het slechtste en goedkoopste product. Niet naar de hoogste kwaliteit voor een IoT toestel. Neen. Naar het goedkoopste en het slechtste op alle vlakken. Dus het minst veilige.

Wat software security niet krijgt is wettelijk afdwingen en normering. Dat zie je aan het feit dat we effectief in een strijd naar beneden zitten. Moest er normering zijn en moesten bedrijven wettelijk verplicht worden kwaliteit op te leveren, dan zou de markt wel gezond zijn en relatief goede producten leveren. Dat is momenteel niet zo.
Software security krijgt momenteel aandacht genoeg.
Dat is al een stap inderdaad. Maar awareness onder gebruikers is nul. Dan kan je de software nog zo goed beveiligen, als de gebruikers er niet goed mee omgaan, heb je alsnog een security leak.
Dus daarom moet er normering komen, zodat de consument er zich niets van moet aantrekken: als hij of zij het koopt, IS het veilig, WANT normering.

Anders kan hij of zij het niet kopen, OF heeft hij het in een gespecialiseerde zaak gekocht EN weet hij of zij dat het over niet-consumenten apparatuur en dus professionele toepassingen gaat (waar je best voor opgeleid bent i.p.v. het zondermeer en achteloos in je woonkamer te gebruiken).

Te verwachten dat de consument dit zelf gaat oplossen is ... best wel onzinnig.

Dat gaat hij of zij niet doen. Daar kan je van uit gaan. Dus moet de fabrikant het doen. Maar dat wordt momenteel nergens opgelegd. Dus doet de fabrikant het ook niet. Dus zie je wat er gaande is.
Eh nee, niet door Chinese fabrikantjes van IP camera's en netwerk apparatuur kan ik je vertellen. Die interessert het echt geen moer.
Dan weer je die van de europese markt.
Daar ben ik ook een voorstander van als deze bewezen onveilig zijn. Een verkoopverbod is veel effectiever dan een boete, tenzij de boete 10% is van de omzet, maar dat zullen ze wel niet zo snel geven.

Los daarvan zijn het Chinese fabrikanten en die geven gewoon niet thuis. In China krijg je ze ook niet veroordeeld, dus is een verkoopverbod het eenvoudigst en meest effectief.
Met steeds snellere verbindingen is ddos sowieso al een steeds groter wordend probleem ook zonder iot en iets wat echt structureel opgelost zal moet worden anders hebben we straks gewoon volledige blackouts van heel het internet.
Dit is net zoals de fragmentatie van Android, maar dan nog op een veel grotere schaal. IoT fabrikanten interesseert het niet om dingen te onderhouden, ze willen gewoon zoveel mogelijk hardware verschepen met zo min mogelijk support. Zolang het niet wordt afgestraft, dat je als fabrikant geen vulnerabilities patcht op hardware in het wild, zal dit alleen maar erger worden.

Case in point, alle Android phones die niks van security updates krijgen, zelfs al stelt Google ze beschikbaar. Daar moeten de OEM's zelf niet eens de patch ontwikkelen en nog zijn ze te lui of willen ze hierin geen tijd / geld steken, laat staan dat ze resources moeten investeren om hun eigen custom spullen te ondersteunen. Droevige ontwikkelingen zijn dat.
Wordt wellicht tijd dat fabrikanten van apparaten boetes krijgen als hun software zo makkelijk te kraken is en ook daadwerkelijk wordt gebruikt om schade middels (d)DoS te berokkenen.

Rondom me heen in de IT-wereld zie ik nog steeds dat er veel te laks wordt omgesprongen met security en dat het als bijzaak wordt gezien waar ergens tijdens de eindfase van een project een keer naar wordt gekeken :{
En verbod op verkoop zou veel effectiever werken.

En minimum standaarden zoals 'secure by default'.
Verbod op verkoop van wat precies? Van apparaten die kwetsbaar blijken? Helaas blijkt dat vaak pas maanden nadat er al heel erg veel van zijn verkocht...
Dan doe je dit alsnog en verplicht je de fabrikant of distributeur om alles terug te nemen en het geld te retourneren. Moet je kijken hoe snel ze het dan oplossen.
Ik werk momenteel aan embedded software voor grotere toestellen die met het grootste gemak en met bijzonder veel vermogen mensenlevens in gevaar kunnen brengen.

Ook daar is softwaresecurity (van het toestel zelf) meestal een bijzaak. En toch kijkt men naar "hoe kunnen we deze robotica-gevaartes online zetten, zodat het management de apparatuur kan beheren en opvolgen vanuit hun luie zetel aan de andere kant van de wereld". Het buzzwoord daarvoor noemt in Duitsland Industrie 4.0. Zoek maar op. Dat woordje is erg in trek bij de fabrikanten de laatste paar maanden.

bv. OpenSSL met Heartbleed op? Check.

Dus als je binnenkort wat met robotarmen in bv. de Duitse autoindustrie wil spelen: heel moeilijk zal dat, vermoed ik, niet zijn. Bij militaire toepassingen is het vermoedelijk ook niet veel beter gesteld. Zijn vaak dezelfde fabrikanten en mensen.

Dus ja. Op naar de bodem! Op de bodem is het goed vertoeven.
Maar wat hebben de aanvallers hiermee nu bereikt of hoopte te bereiken?
Experts denken dat bepaalde groepen "oefenen" om te kijken hoe netwerken (en vooral beheerders) hier op reageren. Er is nu dus al genoeg kracht in botnets om netwerken uren plat te leggen, wat als dit straks oploopt naar dagen? De economische schade kan zeer groot zijn. Voer tegelijk een fysieke aanval uit en chaos breekt uit.
Experts denken dat bepaalde groepen "oefenen" om te kijken hoe netwerken (en vooral beheerders) hier op reageren.
Dat was een maand geleden. Toen ging het over hele andere attacks. En het was maar 1 iemand die dat suggereerde. Dat artikel wordt wel overal rondgebazuind.
https://www.schneier.com/...6/09/someone_is_lear.html

Bij deze aanvallen is het anders. Niks oefenen of proberen. Dit is een echte DDoS attack, die er op gericht is om bepaalde services uit te schakelen (twitter, githib, whatever).

Ik denk zelf ook dat als Rusland of China echt het Internet uit willen kunnen schakelen, dat ze dan nu echt niet laten zien hoe ze dat gaan doen. Je moet geen slapende honden wakker maken. En koks laten liever geen anderen meekijken in hun keuken.
Ik denk dat de "kick" vooral bestaat om de wereldpers te halen. Dus ik denk het wel ja.
Beetje te simpel. Dat was misschien 20 of 25 jaar geleden zo. Nu gaat het om geld of andere belangen.

Er zijn mensen die denken dat het WikiLeaks supporters zijn, die de US willen straffen omdat ze Assange deze week het leven nog moeilijker hebben gemaakt.
https://news.slashdot.org...net-you-proved-your-point

Er zijn wel meer gevallen bekend van DDoS uit wraak tegen een persoon of bedrijf.
Brian Krebs schreef een artikel over 2 jongens in Israel die een botnet met 100k+ devices hadden opgezet. Dat kon je huren, voor een uurtje of een dag. Daar hebben ze minstens $600k mee verdiend.
https://krebsonsecurity.c...rned-600000-in-two-years/
Toen die twee jongens onlangs werden opgepakt, hebben hun vriendjes een DDoS opgezet tegen Krebs's website. 620 Gbps aan DDoS traffic.
https://krebsonsecurity.c...ity-hit-with-record-ddos/

Soms is het pure afperserij. Betaal ons 5 bitcoins, of we leggen je webservers plat.
https://www.arbornetworks...h-ddos-extortion-threats/

De tijd dat "lekker hacken op het Internet" een hobby van kwajongens was ligt al een tiental jaren achter ons. Het gaat nu om geld, politiek, etc. Grote mensen zaken.
nou, ik kom anders nog genoeg clubjes tegen die zo iets hebben van "we zijn aan het inslaan om het hele weekend proberen X-service neer te krijgen, ze hebben de code van mirai openbaar gemaakt, word vet lache man"

vooral op school komt dit vaak aan de orde

[Reactie gewijzigd door dakka op 22 oktober 2016 14:03]

Zou zeker kunnen.

Maar dat zijn niet de mensen die 1 Tbps aan traffic sturen in hun DDoS attacks.

En het zou me ook verbazen als ze voorzichtig genoeg te werk gaan om niet gepakt te worden. Als je even niet oplet laat je sporen achter. Als het jouw schoolgenoten echt lukt om grote DDoS-attacks op te zetten, dan komt er op den duur toch wel iemand achter ze aan. En dan ga je nat, tenzij je vanaf het begin heel precies bezig bent geweest om onzichtbaar te blijven.
mwah, het zijn meestal toch de 15-19 jarigen die opgepakt worden vanwege een connectie met een grote DDos, laatst nog die gast die liep te pronken dat ie naast het politie bureau woonde.

Meerendeel van de ICT jongeren deze dagen houd zich echt niet bezig met of het ethisch of moreel is, die willen gewoon kutten, net als alle andere jongeren

[Reactie gewijzigd door dakka op 22 oktober 2016 14:18]

Gezien het feit dat het op Amerika gericht was denk ik dat het een politieke actie was van Rusland. Maar zeker weten doen we het niet.
Ja prachtig dat IoT, maar ze zouden al die apparaten geen toegang tot internet moeten geven. Het idee dat ze met elkaar in verbinding staan is prachtig maar ik hoef mijn thermostaat echt niet te bedienen als ik niet thuis ben hoor, daar merk ik immers toch niets van!
En anders misschien via een centraal device in het huishouden wat alleen via een lokaal netwerk opereert. Het centrale device is dan eenvoudiger up to date te houden omdat het letterlijk maar 1 device per huishouden is ipv straks 10-tallen. Wie update straks de firmware van zijn 10 jaar oude koelkast of thermostaat ;-)
Dus als je dan de centrale server hacked, heb je plots toegang tot het hele huis?

Single point of failure. Slecht idee in security ontwerp.

Iedere endpoint moet veilig zijn. Alle federated of centrale oplossingen zijn per definitie onveilig.
Dat ben ik niet eens met je.

Centrale oplossingen zijn natuurlijk niet per definitie onveilig. Een firewall is ook een centrale beveiligings oplossing. En ik wil toch echt niet op ieder apparaat een losse firewall beheren.

Daarnaast is het punt van ArnoutV valide, niemand gaat zijn (10 jaar oude) koelkast patchen, als daar uberhaubt al patches voor uitkomen. Dan is een centrale server waar de beveiliging goed geregeld is wel degelijk veilig(er).
Dat kan wel waar zijn, maar bij security-ontwerp is het nog beter om die koelkast ook veilig te maken.

Als bovenstaande mensen gaan werken aan een oplossingen die voor nieuwe IoT-toepassingen moeten bijdragen aan de veiligheid, dan is een firewall eigenlijk geen goede oplossing. Daarbij, dat zou dan waarschijnlijk de familie-router moeten gaan worden. In een ander Tweakers artikel reageerde ik al eens dat een OpenWRT module die een eenvoudige UI maakt voor de consumenten op hun IoT toestellen in één of meerdere VLANs te plaatsen (met daarbij een firewall of niet) waarschijnlijk een gat in de markt zou zijn. Dus ja. Goed. Voor. De. Oude. Koelkasten.

De nieuwe koelkasten horen op zichzelf al veilig te zijn. En ieder individueel component van die koelkast hoort, op zichzelf, veilig te zijn (alle aspecten van veiligheid).

Bv. alle autonome wagens moeten individueel veilig zijn. Een firewall beheerd door de overheid zal de autonome wagens niet beschermen tegen criminelen die d.m.v. radio signalen als WIFI op de boordcomputer van de auto inbreken en dan via die boordcomputer de CAN-bus benaderen (dit is al aangetoond dat het kan bij bepaalde merken). Een goed beveiligde autonome wagen had voor ieder component, inclusief die CAN-bus én alle eindpunten OP die CAN-bus, maar dus ook de boordcomputer zelf én alle componten VAN die boordcomputer, beveiligd geweest.

Een onveilig ontwerp zou zijn dat de Cloud service van de overheid voor alle veiligheid moet zorgen. Dan is er géén enkele veiligheid. Alleen maar schijnveiligheid. Het is zelfs een onveilig ontwerp. Hoe goed die overheidsfirewall ook is. Hij is niet goed.

Het feit dat je vreest dat je een firewall (op ieder apparaat) zou moeten beheren toont ook aan dat jij vanuit een "ik ben een sysadmin"-perspectief er naar kijkt. Dat zou je niet moeten doen indien ieder component "op zichzelf" veilig is. Die firewalls (als het al firewalls zijn, in werkelijkheid gaat het erover dat alle ins en outs op zichzelf veilig zijn, zonder nood aan een firewall), moeten niet beheerd worden. Die zijn veilig. Altijd. Ook zonder uw geknoei met settings.
Geen reclame ofzo maar dit is precies wat ik aan het ontwikkelen ben. Een centrale server die binnen het lokale netwerk opereert en een hoop sensoren aanstuurt. Ik heb er een ACL bijgebouwd zodat zelfs wanneer je 1 van de sensoren weet te hacken, je nog steeds geen informatie kunt ontvangen die van een andere sensor afkomt. Je kunt je zelfs niet voordoen als een andere sensor als hacker omdat elke sensor handmatig bevestigd moet worden voordat deze toegelaten wordt in het netwerk (eenmalig dus). Ik verbaas me erover dat het hele IoT gebeuren zo snel mogelijk wordt gereleased in plaats van even na te denken over security issues... Maar goed, dat is met alle nieuwe dingen zo..
Kan er geen wereldwijde zwarte lijst komen met apparaten die tot botnets behoren? Deze zouden geen toegang meer mogen krijgen tot het internet totdat de infectie verholpen is.
Nu met IPv4 kan dat niet, want daar zitten alle devices achter 1 ip adres met NAT. Met IPv6 wordt dit wel makkelijker, dan is elk apparaat individueel te blokkeren door je provider.
Dan gooien ze maar de hele connectie eruit.
Als abonee-houder ben je verantwoordelijk voor alles wat er op jouw netwerk gebeurd.
Dat is lastig als het om een compleet huishouden of bedrijf gaat, bovendien kan je als je een klant compleet afsluit geen abonnementsgeld meer vangen. Met IPv6 kan je individuele devices bij een klant blokkeren.
Wie heeft het over afsluiten?
Ik heb het over de connectie in quaretine to gooien zodat ze wel nog antivirus ed kunnen downloaden, maar niks verder.

En pech gehad als jouw connectie problemen veroorzaak. De ISP waar ik bij ben doet dat en terecht.
Tja, "we" blijven het hackers makkelijk maken om steeds grotere aanvallen uit te voeren. We moeten zonodig echt alles verbinden met een netwerk. En waarom? Voornamelijk vanwege een gimmick die in 1e instantie handig lijkt, maar uiteindelijk gewoon een tot een aanvalsvector gemaakt wordt. IoT, de natte droom van hackers...
Daarom hoef ik al die dingen in mijn huis niet, maar ja voor de gewone consument is het allemaal mooie en leuk.
Hier nog wat leuke info:

https://krebsonsecurity.c...-massive-internet-outage/

Er zijn er genoeg die geloven dat 'ze' aan het testen zijn hoe ze bepaalde stukken internet plat kunnen leggen. Ze komen al een heel eind zo te zien ..
Het hele iot staat nog zo in de kinderschoenen. Ik zit bijna in een flashback naar 1996 toen ik mijn eerste kabelinternet abonnement had: De verbindingen werden opgedeeld in 'ringen' en iedereen in dezelfde ring was als het ware in hetzelfde lokale subnet. Als iemand windows file en printservices aan had staan (en dat was bijna standaard) kon je direct de shares en printers benaderen die gedeeld werden. De hele boel was zo lek als een mandje.
Nu bij iot lijkt de geschiedenis zich te herhalen. De devices die zo nodig met het internet verbonden moeten zijn, zijn dusdanig knullig beveiligd dat je bijna zonder moeite al die devices kan laten doen wat jij wilt. Als er dan weer een willekeurige energie boer een 'slimme thermostaat' uitzet zonder enig benul van internet, netwerken of beveiliging kan het botnet weer lekker uitgebreid worden met clients...

Op dit item kan niet meer gereageerd worden.



Nintendo Switch Google Pixel Sony PlayStation VR Samsung Galaxy S8 Apple iPhone 7 Dishonored 2 Google Android 7.x Watch_Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True