×

Help Tweakers weer winnen!

Tweakers is dit jaar weer genomineerd voor beste nieuwssite, beste prijsvergelijker en beste community! Laten we ervoor zorgen dat heel Nederland weet dat Tweakers de beste website is. Stem op Tweakers en maak kans op mooie prijzen!

Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Veroorzaker ddos-aanval geeft zichzelf aan bij 'fintechbank' Bunq

Door , 144 reacties, submitter: Woodehh

'Fintechbank' Bunq heeft bekendgemaakt dat een 18-jarige die achter een grootschalige ddos-aanval op de bank zat, zich vrijwillig bij een kantoor van Bunq heeft gemeld. De bank en de man zijn overeengekomen dat hij voor straf een week vrijwilligerswerk bij Amnesty International moet doen.

Bunq zegt geen aangifte te doen, omdat de bank de ddos-aanval beschouwt als een jeugdige fout en niet wil dat hij een celstraf van mogelijk een jaar krijgt. Bunq zegt dat dat in feite zijn leven zou verwoesten en dat wil de bank voorkomen.

Volgens de bank hebben medewerkers dag en nacht gewerkt om de effecten van de grootschalige ddos-aanval op de bank te beperken. Bunq stelt dat de impact nauwelijks merkbaar was en dat de mobiele app van de bank bijna de hele tijd van de aanval gewoon heeft gefunctioneerd, inclusief het betaalverkeer.

Bunq stelt met zijn eigen onderzoek naar de verantwoordelijke voor de ddos-aanval in de buurt te zijn gekomen van wie de dader was. De verantwoordelijke meldde zich echter uiteindelijk zelf bij de bank, waarbij hij zich verontschuldigde voor zijn handelen. De man is achttien jaar en zit nog op school. Volgens RTL Z heeft de man zich specifiek op Bunq gericht, uit onvrede over een nieuwe abonnementsvorm, waarbij klanten per maand meer moeten gaan betalen.

De ddos-aanval begon donderdagavond 7 september rond 21.00 uur. Pogingen om de aanval af te slaan leken een paar keer succesvol, maar de aanvallen hielden toen volgens de bank toch aan. Het bedrijf erkende toen dat sommige diensten daardoor op momenten onbereikbaar waren. In de nacht van donderdag op vrijdag leek de aanval afgeslagen, maar vrijdag liet het bedrijf weten dat het opnieuw verschillende ddos-aanvallen ondervond.

Volgens de bank veranderden de aanvallen op zijn minst twaalf keer, waarbij de ddos'ers zich telkens op verschillende protocollen, poorten en ip-adressen richtten. Het bedrijf stelt over 'serieuze' anti-ddos-apparatuur te beschikken voor het filteren en afleiden van het verkeer, maar dat er bij de ddos-aanval sprake was van een 'kat-en-muisspel'.

Door Joris Jansen

Nieuwsredacteur

15-09-2017 • 15:15

144 Linkedin Google+

Submitter: Woodehh

Reacties (144)

Wijzig sortering
RTL-Z: de jongen was boos op Bunq vanwege hun prijsverhoging.
https://www.rtlz.nl/tech/...op-bunq-om-prijsverhoging

[Reactie gewijzigd door robertpNL op 15 september 2017 15:21]

En ze konden na dat prijsverhogingsverhaal wel een positief PR verhaal gebruiken wat opgepikt wordt in de media.

Bullshitbarometer gaat toch wel af bij dit verhaal.
Had die knul z'n botnet dan betaald met z'n Bunq rekening?
Zou toch achterhaald moeten zijn via de betaalprovider.
En hoe wist hij dat hij er bijna bij was, voor hij zich meldde?

Ondertussen gaan ze niet in op hun eigen technische prestaties waarbij dit toch wel erg lang kon duren.
Er staat nergens dat hij wist dat Bunq bijna bij hem was.
Want hoe moeten we dit dan interpreteren?
As we got closer he decided to step forward himself

[Reactie gewijzigd door Danny.G op 15 september 2017 17:02]

Twee dingen die tegelijk gebeuren
In dat geval erg bagger Engels. De komma zou in jouw geval onmisbaar zijn geweest om zo te mogen interpreteren. Zeker vanuit een bedrijf mag je verwachten dat ze grammaticaal correct zijn.

Mocht de jongen echter netjes al het netwerkverkeer van de bank blijven tracen en daadwerkelijk weten hoe dichtbij al dan niet hoe ver weg de bank van hem was, dan is het onbegrijpelijk dat hij zich a. aangeeft en b. zichzelf niet beter kon anonymiseren.

Wat echter ook een mogelijkheid is geweest is dat de jongen zich de volgende ochtend gemeld heeft omdat hij wist dat een botnet huren met dezelfde bank als die je wilt gaan treiteren geen slim plan is/was. In dat geval zou het inderdaad niet lang hebben geduurd om een paar telefoontjes te plegen.
Closer = dichterbij.
Dichterbij dan geen idee hebben is niet hetzelfde als 'bijna bij hem' zijn.
De bank kan ontdekt hebben dat het uit Nederland kwam, dat brengt je dichterbij diegene maar je hebt nog lang niet een naam en locatie ;)
Die paar tientjes kosten voor dat botnet had hem een paar jaar de aangekondige kostenverhoging gedekt...
Slim bezig... |:( |:(
En jij denkt dat ze gekozen hebben voor het faken van DDoS aanval om die vervolgens weer op te lossen? Dat dat positief is?
Juist niet bijzonder kwetsbaar.
Herinner je je nog een paar jaar geleden dat er steeds banken uitlagen? Waren (en zijn) die dan minder kwetsbaar?

Overigens gaat het voor zover ik weet alleen om de front-end, niet om het gehele netwerk. Misschien is bunq kwetsbaarder omdat ze het daar volledig van moeten hebben eigenlijk.

[Reactie gewijzigd door mae-t.net op 16 september 2017 00:54]

Als iedereen een DDoS aanval kan kopen op internet dan maakt het voor de zwaarte redelijk weinig uit wie dit koopt, gaat eerder om de hoeveelheid geld die je er in stopt.
"maar dat hij niet wist dat zijn ddos-aanval de activiteiten van Bunq zo zou schaden."

8)7
Snap ik wel, er zijn soms dingen die je niet goed kan inschatten, omdat je geen kennis hebt van hoe de instrastructuur en servers van anderen zijn ingericht.

En dat het voor veel mensen (als jij het wel kunt, ook je zus? buurman? ouders? kapper?), volstrekt onvoorstelbaar is dat je voor een paar euro een bank plat kunt leggen. Basis reactie zal dan zijn: die hebben geld zat, moeten ze toch wel tegen kunnen.

Dus in de digitale wereld is het niet gelijk zoals in de fysieke wereld. Waar je met meer geld meer bescherming makkelijk kunt kopen (dikkere muren, grote oprijlanen met obstakels, hekken, zware sloten en deuren etc.).

Dat is dus een hele switch in mindset.
Net alsof ze na die DDOS zeggen (waarvoor ze extra mankracht en dus kosten moeten maken) hee we gaan het nu terugdraaien :')
Wat een ontzettend nette reactie van Bunq.

Het is wel weer een teken aan de wand dat de eerste de beste knul van 18 een hele bank kan gijzelen. Wat zou er wel niet gebeuren als een serieuze partij (bv een vijandig leger) z'n best gaat doen om dingen stuk te maken?
Ik denk wel eens dat we de klassieke fout maken door ons leger uit te rusten voor de vorige oorlog. Volgens mij hebben we op dit moment meer behoefte aan firewalls dan aan tanks en straaljagers. Niet dat we alle soldaten naar huis moeten sturen, maar de prioriteit ligt verkeerd. De kans dat een van onze buurlanden ons binnen vallen én dat we dat kunnen tegenhouden met ons eigen leger is niet erg groot. Dat een verveelde puber een aanval doet op onze vitale infrastructuur is meer dan een kans, dat is inmiddels de dagelijkse praktijk.
ISIS zit aan de andere kant van de wereld. Als er eentje hier heen wil komen dan moet die een vliegtuigticket kopen en een hoop geld en tijd investeren. Als er eentje hier een bank wil platleggen dan kan dat vanuit z'n woonkamer. Ik weet wel van welk soort aanslag ik realistisch gezien meer te vrezen heb.

Voor de duidelijkheid, die straaljagers hebben we óók nodig, maar firewalls hebben we méér nodig.
Heel goed punt ik ben het helemaal met je eens.
Maar de AIVD en andere veiligheidsdiensten vinden dit niet. Die hebben net hun nieuwe sleepwet goedgekeurd gekregen en willen nu zelf op grote schaal gaan tappen en hacken. Dan zit je niet te wachten op meer netwerkbeveiligingen. Dat is ook het kromme van de situatie, de partijen die ons mede zou moeten beschermen wil juiste minder beveiliging. Bij de discussie over encryptie liet de AIVD dit ook duidelijk blijken.
Hopelijk komt er een referendum over de sleepwet.
Het is inderdaad bitterzoet. Enerzijds niet onnodig een 18-jarige's leven verwoest, anderszijds zo toegeven dat je door een jonge enkeling zo voor schut gezet kan worden.
Liever dat ze nu op hun bek gaan dan als een of andere maffe groepering ons voor schut zet omdat ze toevallig Nederland (of banken) haten. Nu was het 1 bank, die met veel watertrappelen nog redelijk overleefde. Als het straks 3 grote banken zijn zijn we een stuk slechter af.

Vind het wel frappant dat een kiddo van 18 al zo'n botnet op kan hoesten. Of is het soms flippend simpel om met een paar ruime internetpijpen (3 gehackte websites die toevallig ergens draaien waar ze 10 Gbit non-stop hebben) een bank te pletten? Volgens mij is dat een structurelere fout...
Ik doe weleens e.e.a. aan een paar websites waarmee je 50 GBit inderdaad wel uit de grond kan stampen.
Kan me zo voorstellen dat niet iedereen zo zorgvuldig is met de beveiliging als de eigenaar van deze sites.
Supersimpel hoor. Google eens op booter of stresser. Iedereen kan het.

Ik had hem gewoon aangegeven bij de politie trouwens. Irritante geddos. Een voorbeeld van hem maken.
Je bedoelt dat heeft ook geholpen met alle voorgaande keren?
Als je 5 jaar bak krijgt voor ddossen gaat het een stuk minder gebeuren hoor geloof het maar. Hele bedrijven zijn failliet gegaan door ddossen het is gewoon serieuze criminaliteit en zou gepast gestraft moeten worden.
Noem eens een bedrijf dat falliet is gegaan omdat ze de DDOS niet hebben overleefd als voorbeeld dan?
Google even 2 sec :)

nieuws: DDoS aanvallen zorgen voor faillissement

https://www.marqit.be/newsitem/13125

[Reactie gewijzigd door mkools24 op 17 september 2017 22:28]

Ok dan is het dus inderdaad niet zo heel raar dat ik het niet wist.

Code Spaces is nog relatief recent, maar 2014 toch ook niet heel vers meer, bovendien zijn zij niet failliet gegaan enkel door de DDOS. "Het begon met een DDOS" Maar daarna waren die hackers op hele sluwe wijze gewoon heel gericht bezig om dat bedrijf kapot te maken. En ja, als iemand met een bulldozer je winkel in rijdt, dan kom je daar moeilijk zonder schade vanaf. Dat ben ik met je eens..

Een ander voorbeeld uit 2014 is Cloud Nine, maar die hebben het kennelijk net overleefd, want die bestaan nog steeds zo te zien.

Het andere voorbeeld dat je geeft is uit 2002. Toen was ik halverwege m'n tienerjaren en met andere dingen bezig. En die lui kan ik het wel vergeven, dat is inmiddels 15 jaar geleden. Van mij mogen zij wel zeggen "wisten wij veel".

In beide gevallen worden in de reacties wel scherp geoordeeld over de procedures bij de bedrijven in kwestie. M.a.w. dat je als bedrijf failliet gaat door DDOS, dan is er al iets niet in orde binnen je bedrijf. Ik zeg niet dat het onmogelijk is, maar iedereen die dit leest en denkt "dat zou mij kunnen overkomen" dan moet je toch echt even serieus met iemand gaan praten die er verstand van heeft. Want ik heb in 2004 al begrepen, dat je met de juiste techniek prima kunt beschermen. Het heeft alleen bijzonder lang geduurd voordat de andere 99% procent van de hostingpartijen dergelijke techniek gingen inzetten.
Ik run een game community en ben jarenlang geddost. Zo erg dat providers mij niet meer wilden hosten. Alles werd uit de kast getrokken om me plat te krijgen en een paar keer heb ik bijna opgegeven.

Stel dat je een webshop hebt en hetzelfde gebeurt. Steeds wisselen van aanval net als bij deze bank dan kan je dat zeker de kop kosten.

De technieken zijn een stuk verbetert daarom leeft mijn community nu ook nog maar dat kost tiid, geld, bloed zweet en tranen die niet iedereen heeft. Kijk hoe moeilijk die bank het al heeft kun je nagaan als ze een eenmanszaakje pakken ofzo of mkbtje.
Ik ben sinds 2004 werkzaam als webdesigner, en heb vrij snel in het begin ook de hosting erbij verzorgd voor een selectie klanten die zich hier zelf vooral niet mee bezig wilden houden. Mijn hostingpartner uit die tijd heeft toen een aantal keren flink last gehad van DDOS aanvallen. Zij hebben zich op een gegeven moment toegelegd op het opzetten van technieken om dit effectief tegen te gaan. Dit hebben ze zo goed gedaan dat ze 10 jaar later zijn opgeslokt door KPN. Dat was voor mij het moment om weer te vertrekken, maar daardoor weet ik dat al heel lang effectieve middelen bestaan om degelijke maatregelen te treffen.

Anno 2017, als je als webshop-houder ten onder gaat aan een DDOS, dan heb je te veel budgetoplossingen gezocht - is mijn bescheiden persoonlijke opvatting (!) Goedkoop blijkt dan vaak toch duurkoop.
Vroegah moest je mensen kennen om botnets of hosts te verzamelen, of zelf regelen.


Vandaag de dag kun je met wat centen je eigen custom botnet kopen. Niet erg speciaal dat ie 18 is.
Als een jonge enkeling een redelijk toereikende bankrekening heeft dan kan hij gewoon een botnetje huren, net als een oudere enkeling of een groepering. Het gaat hier niet om leeftijd, maar om de hoeveelheid geld die je er voor over hebt om dit uit te voeren.
Volledige e-mail:

Dear fellow bunqers,

Something incredible just happened: we found the guy responsible for the DDoS attacks last week!

Last week we worked round the clock to mitigate the effects of a severe DDoS-attack. Thanks to these efforts the impact was barely noticeable. The bunq app functioned nearly all of the time, card payments always went through, and your money was, of course, safe at all times.

Then we focused on finding the person responsible. As we got closer he decided to step forward himself. He, J., just visited our office to apologize for his actions. He is 18 and still in school. He apologized sincerely.

In spite of the many, many hours of work J. has caused us, we've decided not to press charges for it could result in one year of prison time along with hefty fines. Effectively destroying his life.

We don't consider that fair for a youthful sin. Instead we agreed he will do volunteer work for a week. For Amnesty International.

Questions? Remarks? Let's share them on https://together.bunq.com...n-ddos-attacks-we-got-him.

Cheers!

bunq
bank of the free
Hoe krijg je het in je 1tje voor elkaar zo'n ddos aanval uit te voeren? Dan moet er toch wel meer dan 1 computer / server deze aanval uitvoeren toch?
Dat is heel eenvoudig. Je hebt daar online diensten voor zoals vDOS . Je doet gewoon een online bestelling. Je geeft de ip adressen door en hoelang de ddos aanval moet duren. Je rekent af met paypal, bitcoin, ... en de aanval begint.

De meesten doen niet eens de moeite om een botnet op te bouwen.

[Reactie gewijzigd door biglia op 15 september 2017 15:39]

Quante costa? Lijkt me redelijk buiten budget van een scholier, tenzij ie duizend euro inzet om z'n prijsverhoging van een tientje te wreken...
Je weet natuurlijk niet wat zo'n jongen nog meer heeft uitgevreten als hij iets dergelijks kan betalen. Gestolen creditcards, dark web. Er zijn natuurlijk genoeg mogelijkheden.

Of gewoon een simpele spaarrekening (van ome DUO? :P )
Misschien heeft hij er niet op die manier naar gekeken en wilde hij wreken om het wrekenen, en niet per se om de kosten te drukken.
Danke, heldere uitleg en weer iets geleerd. Niet verwacht dat het zo simpel kan. En nee ik denk ook niet dat ie een botnet heeft opgebouwd.
Je googlet de term "booter" of "stresser", de 1e beste koop je en je kan heel wat platleggen.
je kan tegenwoordig botnets kopen/huren die je kunt gebruiken om een netwerk aan te vallen.
ddos: Distributed Denial of Service... 't zit zeg maar soort van in de benaming zelf he...

https://nl.wikipedia.org/wiki/Distributed_denial-of-service

en

https://en.wikipedia.org/wiki/Botnet
De bank zegt geen aangifte te doen, omdat ze de ddos-aanval beschouwen als een jeugdige fout en niet willen dat hij een celstraf van mogelijk een jaar krijgt.
Aan de andere kant veroorzaken dit soort aanvallen wel serieuze schade. Bunq is nog een bedrijf, als je hiervan als (prive)persoon slachtoffer bent kun je vrijwel niks beginnen.
Services als Cloudflare helpen tegenwoordig wel wat maar zijn niet altijd van toepassing.
[...]

Aan de andere kant veroorzaken dit soort aanvallen wel serieuze schade.
'Dit soort aanvallen' zijn gericht tegen grote bedrijven. Hoe hoog het bedrag ook is, het betreft voornamelijk financiële schade en geen persoonlijke schade.

Uit het artikel:
Bunq stelt dat de impact nauwelijks merkbaar was en dat de mobiele app van de bank bijna de hele tijd van de aanval gewoon heeft gefunctioneerd, inclusef het betaalverkeer.
In het artikel zit het een beetje verstopt, maar dat vetgedrukte stuk is het belangrijkste. Betalingsverkeer moet beschermd worden omdat het een essentieel onderdeel is van de samenleving. Moet je zien wat er gebeurd als mensen een dag niet kunnen pinnen en geen geld uit een automaat kunnen trekken.

Veelal worden met dit soort aanvallen de web-interfaces (front-end) van de bank aangevallen, wat geen invloed heeft op betalingen per PIN (back-end). Zo ook hier. Dat je even niet online kan bankieren is jammer, maar niet zo kritisch dat het levens moet gaan kosten.
Bunq is nog een bedrijf, als je hiervan als (prive)persoon slachtoffer bent kun je vrijwel niks beginnen.
Als je internetverbinding thuis niet werkt, dan ga je even langs de buurman of bibliotheek. Bovendien zal je ISP dan ingrijpen, omdat jij die betaalt voor een werkende verbinding.

Met andere woorden, niet zoveel FUD maken als dat niet nodig is.
Als je internetverbinding thuis niet werkt
Wie heeft het over internetverbindingen thuis?
Ook niet-bedrijven kunnen gewoon een eigen website / webserver / gameserver hebben.
Cistron was in een grijs verleden trouwens niet echt blij toen de internetverbinding thuis werd aangevallen.
'Dit soort aanvallen' zijn gericht tegen grote bedrijven.
Nogmaals, DDoS aanvallen komen ook regelmatig voor tegen kleinere doelen. Dan is de aanval misschien in absolute zin niet zo groot, de gevolgen zijn dat in relatieve zin vaak wel.

[Reactie gewijzigd door Olaf van der Spek op 15 september 2017 16:48]

In mij voorbeeld die ik net aanhaalde van de site die ge DDOS-ed werd, werd ook zijn thuis verbinding ge DDOS-ed (toen we dat hoorde, was het plaatje ook compleet en wisten we zeker dat dit een echte opgezette actie was), dat was een groot probleem aangezien de man zijn geld verdiend met streamen vanuit thuis (echter niet ons probleem om op te lossen). Website was nog niet zo erg (streams werden via diensten als Twitch aangeboden), niet kunnen streamen was veel erger en regelrechte inkomstenderving dat tot een zekere hoogte toch ook als persoonlijke schade gezien kan worden.

Dusja, @The Zep Man beetje kort door de bocht

[Reactie gewijzigd door Zoop op 15 september 2017 17:08]

... nauwelijks... ... bijna de hele tijd... ...., inclusief...
Zoiets noemt men "ontwijkend gedrag".

Edit:
Just saying, het artikel is op een erg wazige manier geschreven en interperteerbaar op meerdere manieren.

[Reactie gewijzigd door Jan Bob op 16 september 2017 02:21]

Zeker, ook eenmaal mee te maken gehad op een simpel websitje van een semi-BN-er, mocht niet veel kosten, geen bijzondere host. Voor het nut dat de website had waren cloudfare oplossingen al snel te duur eigenlijk. Kwestie van het verkeer nullrouten en hopen / wachten tot het op houd. Site down al die tijd, tsja, moet je anders doen? Ze targette het IP van de shared hosting waar hij op zat, dus het was nog lastig om er achter te komen wie of wat er getarget werd. Accounts opgedeeld in meerdere IP's tot duidelijk werd wat ze nu aan zaten te vallen. Account op prive ip gezet, verkeer genullroute, en wachten maar.

Er zijn zat betere oplossingen, maar als het geen geld mag kosten en de website geen vereiste is voor normale bedrijfsvoering ..
Schade, of zijn dit situaties die een bank op moet kunnen vangen?
Is hiermee de kous dan af? Dus als de bank geen klacht indient bij de politie, dan komt er geen onderzoek? Misschien moeten ze toch eens een huiszoeking doen. Ze zullen beslist nog wel sporen naar andere DDoS aanvallen vinden.
De officier van justitie kan ook zonder aangifte prima een onderzoek laten starten, en de jongen kan dus nog steeds vervolgd worden. Als Bunq echt om de toekomst van deze jongen geeft, hadden ze geen persbericht de deur uit moeten doen.
En had bunq deze jongen een baan aan geboden en opgeleid als security man binnen de bank.
Als Bunq echt om de toekomst van deze jongen geeft, hadden ze geen persbericht de deur uit moeten doen.
Dat dacht ik ook al. Op deze manier lijkt er een commerciële bedoeling achter de boodschap te schuilen.
Natuurlijk hebben ze geen volledige naam en foto in het persbericht getoond. Dus officier van justitie gaat niet weten wie de dader was. Zonder verdere medewerking van de bank zal het onderzoek ook snel op een dood spoor zitten.
Kwestie van Amnesty bellen en vragen wie er volgende week als 'vrijwilliger' van start gaan. Vervolgens zoek je een jonge wiens naam begint met een J.
Hier hoef je echt geen Sherlock voor te heten. Beetje deduceren en je hebt 'm zo.
Er was geen hack of datalek. Er is geen informatie ontvreemdt of gelekt. Waar heb je gelezen dat een aanval op technologisch gebied gemeld moet worden?
Ik zat me dit ook al af te vragen: rechters in Nederland zijn niet bepaald blij met mensen die het recht in eigen hand nemen. Ook het OM zit daar niet echt op te wachten. Dus vraag ik me af of dit niet alsnog een juridisch staartje gaat krijgen? Of zou Bunq dit afgestemd hebben met Justitie? :?

begrijp me niet verkeerd: ik ben er niet op uit dat die jongen vervolgd gaat worden, ik vind deze oplossing eigenlijk wel netjes!
Dit is niet het recht in eigen hand nemen, dit is besluiten dat je niet over gaat tot aangifte, net als dat je ook mag besluiten om geen aangifte te doen tegen iemand die je een dag geleden het ziekenhuis in heeft gemept. Word er geen aangifte gedaan, dan is het in veel gevallen zo dat justitie redelijk weinig zal kunnen uitrichten met eigen onderzoek.
Zelfs dan kan het OM nog over gaan tot vervolging wegens openbare geweldpleging. Gebeurt nagenoeg nooit, behalve bij voetbalrellen: dan is er ook geen specifieke aangifte tegen een persoon, maar worden daders vervolgd op basis van herkenning, videobeelden, enzovoort.
En dan is er meestal schade aan publieke eigendommen
Hoe kan men in hemelsnaam zonder aangifte iets doen wanneer iets van je gestolen wordt? Tenzij men de dief op heterdaad betrapt weet men niet eens van iets. Hetzelfde met een aanranding: geen aangifte (door slachtoffer of getuigen) en dan ga jij verwachten dat de opsoringsdiensten dit toch weten en een onderzoek starten? Denk je dat zij een glazen bol hebben ofzo?
Als je zwaar toegetakeld het ziekenhuis binnen strompelt of gereden word omdat je zojuist in elkaar bent geslagen, dan zal je de mogelijkheid krijgen om aangifte te doen, doe je dit niet dan is dit je eigen keuze en dan word het voor justitie lastig om hier zelf nog iets uit te kunnen halen.
Ik zie de lol er niet van in. Puur omdat iets kan doe je iets geweldadigs. Ik ga toch ook geen steen ergens naar binnen gooien om te kijken hoe lang het duurt voordat de beveiliging komt?
Wel als je jezelf een physical pentester noemt. Ik heb wel eens een filmpje gezien van mensen die bij bedrijven langs gaan om de beveiliging te testen - naar binnen komen, foto's en video's maken, en de volgende dag bij het bedrijf langsgaan om hun bevindingen te laten zien (en dan geld vragen). White hat hackers maar dan in het echt. Gaat van gewoon open deuren tot eenvoudig te kraken sloten, verkeerd gemonteerde deuren, etc.
Dat is toch al behoorlijk grey hat, hoor, om ongevraagd langs te komen en dan ook nog geld te vragen.
Inderdaad, als zo'n kerel gepakt wordt tijdens het inbreken mag ie gewoon met het busje mee.

Sterker nog, je komt de volgende dag op je kantoor en komt erachter dat er ingebroken is (slot verrot bijv), daarna komen er van die jokers aan je balie uitleggen dat ze gister ingebroken hebben en dit zijn de bevindingen ... Goh, mag ik je ID kaart even hebben? Ga ik even met de politie bellen ...

Ik mag toch hopen dat er altijd wel iemand goedkeuring moet geven voordat ze zoiets doen.
Inderdaad, als zo'n kerel gepakt wordt tijdens het inbreken mag ie gewoon met het busje mee.

Sterker nog, je komt de volgende dag op je kantoor en komt erachter dat er ingebroken is (slot verrot bijv), daarna komen er van die jokers aan je balie uitleggen dat ze gister ingebroken hebben en dit zijn de bevindingen ... Goh, mag ik je ID kaart even hebben? Ga ik even met de politie bellen ...

Ik mag toch hopen dat er altijd wel iemand goedkeuring moet geven voordat ze zoiets doen.
Zonder goedkeuring is het inderdaad een overtreding.
Wij hebben vorig jaar zo'n test gehad, alleen had hoofdkantoor geen rekening gehouden met onze 24u meldkamer, en dat het allemaal beveiligers zijn.
Dus een goedgekeurde inbraak ( het doel was één van de servers van de administratie, minimaal een (lege) usbstick er in, of anders de spare loskoppelen.
Maar wij hadden ze al gezien toen ze de terreinen opgegaan waren, en stonden met twee op te wachten.
De toegangs-hal heeft een noodsluiting die in de nacht op 2 kanten doorloop staat, maar toen ze dus deur één ingegaan waren, gingen via de controle beide deuren op slot, zaten ze dan, in een sluis :+
Politie was er na een kwartier, en ondertussen waren ze maar aan het roepen 'het mag ... het mag ..' :+

Test geslaagd, tenminste, voor ons :)
Die gasten hebben de halve dag op het politieburo gezeten, tot de betreffende manager te bereiken was om het ook uit te leggen, in persoon ... vanuit het noorden des land, helemaal naar Roosendaal :+
Een spare lostrekken? Om te bewijzen dat ze ergens binnen zijn gekomen? Was het niet mogelijk om gewoon een briefje neer te leggen?

Een vreemd verhaal....
Er was een 'honeypot' aangewezen, die moest worden "ontmanteld"
( en weer moet het hele script inclusief rugnummers gegeven worden kennelijk )
Maar zij hadden een doelwit gekregen, om aan te tonen dat de beveiliging niet op orde zou zijn ( wat het dus wel was )
Het is gewoon huis danwel lokaalvredebreuk en strafbaar. Ook als het met goede bedoelingen gebeurt.
Dit zijn dezelfde lui als die lockpicking doen en dan zelf niet de lockpicking sets gebruiken maar ze wel verkopen onder het mom van "ik ben niet verantwoordelijk voor wat er met die spullen gebeurd". Dubbele moraal noem je dat.
Je bedoelt dezelfde dubbele moraal die Blokker heeft, of HEMA, of eigenlijk de meeste winkels wel?

Ik bedoel eigenlijk dat je vergelijking misgaat, want voor lockpickingsets kun je elk voorwerp invullen waar je misdrijven mee zou kunnen plegen. A.k.a. elk voorwerp (okay, het ene voorwerp wat meer dan het andere, maar de zaken die ik noem verkopen bijvoorbeeld scherpe messen).

[Reactie gewijzigd door mae-t.net op 16 september 2017 00:51]

Ik vind een keukenmes wat anders dan een botnet of een lockpickingset.

Primair nut versus secundair.
Die mensen doen dit altijd onder contract.
op Nu.nl staat het ook,

de jongen was boos om de prijsverhoging van aanvragen voor extra functies.
https://www.nu.nl/interne...itvoeren-ddos-aanval.html
De jongen was boos vanwege de tarief verhogingen. Ondanks dat de bank die grotendeels had terug gedraaid, was de kerel zo boos dat ie een botnet heeft gehuurd.

Bunq vond de straffen voor deze 18 jarige zo buiten proporties dat ze gekozen hebben geen aangifte te doen.

Top opgelost door bunq, hopen dat de puber er wat van opsteekt.

https://www.nu.nl/interne...itvoeren-ddos-aanval.html
Op zich is dat wel vrij gebruikelijk voor jongens van 18 om een keer te doen.
Ja, als je uit een probleemwijk komt...
Inderdaad, ik heb die neiging nooit gehad, mijn kinderen ook niet, en dat terwijl ik in Spangen, Rotterdam ben opgegroeid, toen het ECHT een probleemwijk geworden was ( laat jaren 80 )
Dat heeft dan ook niets met probleemwijken te maken, maar meer met grenzen verkennen. Bij de een gaat dat wat heftiger dan bij de ander, maar je hoeft daarvoor echt geen fysiek geweld (das opzich wel vaker iets voor achterstandswijken als het daar misgaat) te plegen. Je kunt ook gewoon je boord wit houden. Was er niet een zekere Bevenlader die in zijn jeugdige jaren in de spamhosting zat? Nu organiseert hij o.a. een jazzfestival. Het is geloof ik nog steeds een bal, maar zijn grenzen kent hij wel. Zo zijn er talloze andere voorbeelden van grenzen verkennen zonder vuile handen te maken. Misschien heb jij dat veel milder gedaan, maar je hebt het op zeker gedaan.

[Reactie gewijzigd door mae-t.net op 17 september 2017 14:35]

Het is een beetje een kat en muis spel geworden de laatste jaren, voor een paar tientjes heb je online al heel veel botnets tot je beschikking om DDoS aanvallen uit te voeren. Een bedrijf in dit geval Bunq kan zich hier tegen wapenen maar in hoeverre is dit mogelijk? Een aanvallen kan gewoon een paar tientjes extra uitgeven en heeft vervolgens het dubbele kwa power dan wat die bij zijn eerste aanval had.

Terwijl bedrijven honderd duizenden moeten investeren in hardware en de software / applicatie die de aanval afweert koopt iemand online voor een paar tientjes genoeg power om daar door heen te breken.

Ik denk dat er meer actie moet komen tegen bedrijven mensen die online booters aanbieden, als je die heel streng aanpakt zullen steeds meer bedrijven of mensen misschien eieren voor hun geld kiezen en z'n dienst niet aanbieden.

Ook mogen ze al op de basisschool in groep 8 beginnen met dit soort onderwerpen dat het heel veel gevolgen kan hebben voor de rest van je toekomst.

Is het tevens niet zo dat stel deze jonge zou een boete krijgen dat deze op de ouders verhaal kan worden omdat deze nog geen 21 is? Wel een beetje krom... Je kunt niet goed als ouder controleren wat jouw kind allemaal doet achter de computer..
De laatste DDOS aanval die een andere Nederlandse bank door zijn hoeven liet zakken was in 2013. Helemaal 100% bescherming is nooit mogelijk. Maar je beschermen tegen een simpele DDOS aanval van een 18 jarige klant hoeft niet heel onmogelijk te zijn.

Ook in 2013 legde Eurocommissaris Kroes al de vinger op de zere plek bij de banken: nieuws: Neelie Kroes: ddos-aanvallen mogelijk door slechte beveiliging banken . Je verwacht van een bank die de markt in kwam met verhaaltjes van 'we gaan alles anders doen dan andere banken' dat ze niet in dezelfde valkuilen vallen als die andere banken 5 jaar terug.

Ik deel wel met je dat het heel goed is kinderen digitaal te onderwijzen. Niet alleen op het gebied van veiligheid maar ook van privacy. De manier waarop Bunq dit oplost met hun DDOS'ende klant is netjes, tegelijkertijd kun je de straf ook als heel licht zien voor de andere klanten van bunq die misschien wel 3 dagen zonder financiële toegang hebben gezeten.
Is dat buiten de IT zo andes dan?

Voor duizenden euros aan beveiliging kopen, cameras, bewegingmelders etc.

Maar trek een gratis stoeptegel uit de grond en je bent binnen.
Bij ons op het werk ook gebeurd. We kregen serieuze DDoS aanvallen binnen (>10Gbit) en hadden daar op momenten best moeite mee.

Uiteindelijk bleek het een stagair te zijn die bij ons werkte. Ook net 18.

In overleg met zijn ouders en school geen aangifte gedaan, wel moest hij zijn stage (ergens anders!) opnieuw doen, die is wel afgekeurd.

Ik denk dat dit best vaak gebeurd. Jongere IT'ers die het wel leuk vinden en stoer, maar totaal geen idee hebben wat de schade is. Hen vanaf hun 18e opzadelen met een strafblad gaat ze direct buiten spel zetten terwijl ze vaak kundig zijn als ze die kennis op de juiste manier in zetten.
Als je als stagaire al zoiets van plan bent ben je geen echte ITer.
Toen ik nog op de laagste niveau van mijn IT opleiding zat kreeg ik al te horen wat de straffen zijn van een "hack" plegen.

als hun dit stoer vinden, doe dit dan lekker thuis bij je eigen routertje of virtuele server.
Zeker, maar iemand is nog jong en kan rare dingen doen. Ik praat het gedrag zeker niet goed, maar wij vonden het op dat moment niet nodig hem al met een strafblad op te zadelen. Ookal had hij dit aan zichzelf te danken!
ik snap het ook best wel, het zou jammer zijn als hij dit gewoon eens wou proberen voor een test of wat voor onschuldige reden dan ook om dan heel zijn toekomst te verpesten, zelf zou ik het ook niet fijn vinden als mijn carriere meteen beeindigt is naar een domme actie. en ik zou hem zeker als baas zijnde hem op staande voet ontslaan.
Zijn stage heeft hij ook bij een ander bedrijf mogen herhalen, niet bij ons. Was een direct 'ontslag' wat dat betreft.
Mja, vroeger boog je een hekje om of maakte je met je stift stoer een plaatje op een muur in de fietsenkelder. Met evenveel moeite en evenveel slecht inzicht en baldadigheid doe je nu een DDOS.
Ik deed dat toen ik een jaar of 15 was, bij vrienden op skype, om ze even een paar minuutjes down te hebben. Was toen wel grappig, (gebeurde ook over en weer) maar zie daar nu 5 jaar later de humor niet meer van in.
Ik ben niet heel erg thuis in deze materie, maar hoort een beetje profi banksite dit niet op te kunnen vangen?
Bunq heeft het ook opgevangen (de operationele aspecten van de bank bleven werken) en de impact voor klanten is daardoor minimaal gebleven.

Op dit item kan niet meer gereageerd worden.


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*