Mijndomein lijkt langdurige ddos-aanvallen afgeweerd te hebben

Hostingprovider Mijndomein heeft sinds maandagochtend last van ddos-aanvallen. Omdat de servers van het bedrijf overbelast zijn door het overtollige verkeer, waren websites van Mijndomein-klanten moeilijk of niet bereikbaar, maar inmiddels komen de diensten terug online.

Mijndomein publiceerde de eerste melding over de ddos-aanvallen op maandagochtend en gedurende de dag plaatste het bedrijf updates waarin het moest erkennen dat de aanvallen niet afgeslagen konden worden. Gedurende de nacht van maandag op dinsdag duurden ze voort en dinsdagochtend waren de problemen nog niet voorbij.

"Dit is een aanval van een zeldzaam lange duur", meldt het bedrijf. Websites en mail van klanten waren niet of bijna niet bereikbaar gedurende de aanvallen. Mijndomein heeft 200.000 klanten en beheert 600.000 domeinen. Niet bekend is wat het motief van de aanvallers is. Veel internetdiensten liggen regelmatig onder vuur van ddos-aanvallen. Soms is het doel simpelweg om de dienst offline te krijgen uit persoonlijke motieven of 'voor de sport'. In andere gevallen willen betaalde ddos-diensten laten zien wat ze kunnen, als een soort reclame.

Lees meer

IT-banen

Reacties (85)

jimbo123 5 december 2017 10:50

Hoe zou dit uiteindelijk zijn afgeslagen? Heeft MijnDomein hier zelf dure apparatuur voor staan? Of zetten ze dit door naar Nawas?

Anonymoussaurus @jimbo123 • 5 december 2017 10:56

Er zijn meerdere manieren om DdoS-aanvallen af te slaan, door gebruik te maken van aparte servers die de DdoS 'opvangen' zodat bijvoorbeeld de webservers niet meer zo zwaar belast worden. Onder andere Cloudflare biedt deze oplossing: https://www.cloudflare.com/

Verder kun je veel aan loadbalancing doen, maar dat helpt lang niet zo goed als bovenstaande.

No_Identity @Anonymoussaurus • 5 december 2017 12:22

Als ze je uplink vol knallen met rommel heb je niets aan load balancing. Je moet het verkeer al scrubben / wassen voor het je netwerk in komt. Zelfs iets simpels als ratelimiting op de router kan al de piek uit het verkeer nemen zodat de boel bereikbaar blijft.

Verwijderd @No_Identity • 5 december 2017 14:39

Met een simpele ping kom je er achter dat ze aws gebruiken.

Persoonlijk zou ik het AS laten overnemen door een scrubber of hun provider en daar laten scrubben van het verkeer.
(voorkom je meteen het probleem wat je beschrijft "dat alle rommel nog steeds op je eigen apparatuur komt")

Maar dit zou misschien wel een te kostbare oplossing zijn.

Goed om te horen dat het nu weer onder controle is

WhatsappHack

Websites en community's
Hosting

@Anonymoussaurus • 5 december 2017 13:02

Voor professionelere en cruciale diensten is CloudFlare echter weer ongeschikt, daar het de server zelf niet direct beschermt maar als een soort reverse proxy fungeert. Bedrijven die vaak last hebben van DDoS-aanvallen gaan derhalve in een netwerk zitten met DDoS-protected IP-adressen zodat je al dat gelazer niet hebt en niet bang hoeft te zijn dat het IP van de server een keer lekt/gevonden wordt waarna je volkomen machteloos staat als je enkel CloudFlare hebt en enkel nog kan null-routen waardoor de aanval alsnog zijn doel bereikt.

Voor huis, tuin en keukenwebsites en om scriptkiddies proberen tegen te gaan is cloudflare natuurlijk prima (als extra laag) mits je het goed instelt. (Wat veel mensen niet doen.)

Evianon @WhatsappHack • 5 december 2017 14:35

Waarom zou CloudFlare niet werken voor cruciale diensten? CloudFlare leeft juist op grote commerciële klanten en ze routen meer dan 10% van het wereldwijde internetverkeer. Dat komt niet van de kleine websites die ze gratis beschermen.

Juist de grote websites komen niet weg met een "DDoS protected IP" aangeboden door 1 host op 1 locatie, die alsnog plat gaat bij een grote DDoS omdat het hele netwerk of hun "anti-DDoS firewall" volstroomt. Die hebben baat bij de 100+ edge locaties en het mega grote netwerk van CloudFlare met anycast. Dat het ook bruikbaar is als CDN is een extra bonus.

Je moet inderdaad je oorspronkelijke IP niet uit laten lekken, maar dat is niet zo moeilijk. Mocht het toch gebeuren, dan drop je gewoon al het verkeer wat niet van CloudFlare IP ranges vandaan komt. Zou je sowieso al moeten doen als je CloudFlare gebruikt.

supersnathan94 @Anonymoussaurus • 5 december 2017 11:08

Het probleem met loadbalancing is dan wel dat de loadbalancer het volledige spreekwoordelijke vuur aan de schenen krijgt en deze alle requests af moet handelen. Als deze onderuit gaat heb je alsnog een probleem.

Anonymoussaurus @supersnathan94 • 5 december 2017 11:10

Daarom heb je ook meerdere loadbalancers in je netwerk, zodat niet 1 loadbalancer alles voor z'n kiezen krijgt. Sowieso is het niet verstandig om alleen aan load-balancing te doen als je zoveel up-time moet hebben.

ceesiebo1 @Anonymoussaurus • 5 december 2017 11:22

Dat heb ik me altijd afgevraagd. Je zou denken dat er een single point of failure is. Die meerdere loadbalancers moeten toch ook weer geloadbalanced worden? Of wordt dit netwerk-technisch zo geregeld dat het een soort active-standby is?

Anonymoussaurus @ceesiebo1 • 5 december 2017 11:26

Mij lijkt het logisch dat de load over meerdere loadbalancers wordt verspreid. Zie ook hier: http://www.loadbalancer.org/blog/load-balancing-methods/

ceesiebo1 @Anonymoussaurus • 5 december 2017 15:34

Dat snap ik en ik zal je link eens gaan doornemen. Maar goed, een DNS hangt aan 1 IP. Dit IP hoort bij 1 apparaat. En dat kan een loadbalancer zijn. Meerdere loadbalancers is meerdere IP's. Dus blijf je een SPOF houden omdat het DNS aan die ene loadbalancer hangt. Anyway, ik ga het linkje lezen. Daar staat waarschijnlijk het antwoord in

Mellow Jack @ceesiebo1 • 5 december 2017 16:47

Een site kan je dan weer koppelen aan meerdere IP's

thenob @ceesiebo1 • 5 december 2017 19:14

Dat hoeft niet hoor.
De dns-servers van google 8.8.8.8 staan echt op meer dan 1 locatie.
https://nl.wikipedia.org/wiki/Anycast

supersnathan94 @Anonymoussaurus • 5 december 2017 11:16

Klopt. Het probleem is dan alleen dat je weer loadbalancing voor je loadbalancing moet gaan implementeren. Een loadbalancer vraagt niet heel veel resources gelukkig. Alleen requests doorsturen vraagt veel minder rekenkracht dan wat je applicatieserver moet leveren, maar dan nog heb je al gauw een SPOF

telskamp @supersnathan94 • 5 december 2017 14:16

Als de ddos meer bandbreedte heeft dan de uplink die aangevallen wordt, maakt het niet uit wat voor scrubbing/loadbalancing/firewall/reverse proxy je hebt. De uplink raakt verzadigd en al het eerdergenoemde (en de dientsen er achter) zijn niet meer bereikbaar.
Als het ddos verkeer vanuit een specifiek adres/netwerk komt kun je de internet of peering provider vragen of zij het aanvallende netwerk(adres) willen null-routen(black-hole-routen). Hiermee voorkom je dat het verkeer uberhaupt de uplink bereikt. Het hangt echter af van de gewilligheid van de internet provider/upstream provider. sommige providers doen dit simpelweg niet.

Mellow Jack @telskamp • 5 december 2017 16:49

Natuurlijk kan het maar komt een DDOS niet vaker vanaf verschillende machines/netwerken/landen/continenten? Het blokken van verkeer is daardoor vaak onmogelijk/heel lastig

Existens @Mellow Jack • 5 december 2017 17:41

Er zijn filters om bijvoorbeeld alles buiten een bepaalde straal te blokkeren. Denk aan alleen Nederland, 500km om Nederland heen, of 1000KM om Nederland heen. Daarmee ondervang je al redelijk wat.

Mellow Jack @Existens • 5 december 2017 21:06

Dat is idd een goede, lastig voor mijn-domein om te doen omdat ze wereldwijde domeinen ondersteunen maar sites als Tweakers zijn zo prima te beschermen

ep667

@jimbo123 • 5 december 2017 10:54

De netwerkleverancier van MijnDomein (ProServe, dat weer onderdeel is van It-ernity) heeft inderdaad een overeenkomst met de NBIP. Kans is dus groot dat dit door wordt gezet naar de NaWas.

Gwaihir @jimbo123 • 5 december 2017 12:04

Zijn ze afgeslagen dan? Dat mag er dan wel bij gezet worden, inclusief hoe. Ik lees in het artikel geen enkele onderbouwing voor de titel. Ze hebben zelfs erkend dat ze de aanval niet konden afslaan. Het lijkt erop dat ze simpelweg gewacht hebben tot de aanvaller het welletjes vond.

GEi 5 december 2017 10:54

Quote: "In andere gevallen willen betaalde ddos-diensten laten zien wat ze kunnen, als een soort reclame."
Deze roept bij mij de vraag op of hier wordt gedoeld op dienstverleners die adverteren met het kunnen (af)weren van ddos-aanvallen? Ben wel benieuwd naar voorbeelden. Zou wel heel kwalijk zijn wanneer dit zo is. Deze diensten zullen dan ook niet meer bestaan, neem ik aan? Kan mij zo geen dienstverleners voor de geest halen die een ddos-aanval als dienst aanbieden, en aanvallen doen 'als een soort reclame'.

Yoshi @GEi • 5 december 2017 10:58

Op het darknet anders genoeg te vinden

Anonymoussaurus @Yoshi • 5 december 2017 11:02

Ik kan je vertellen dat je daar het darknet helemaal niet voor nodig hebt. Er zijn namelijk ook genoeg bedrijven die het legitiem willen doen. Bijvoorbeeld om te kijken of hun eigen netwerk bestand tegen DdoS-aanvallen is. Kan je gewoon op Google vinden hoor.

[Reactie gewijzigd door Anonymoussaurus op 23 juli 2024 02:06]

Gepetto @Anonymoussaurus • 5 december 2017 11:10

Die leggen niet mijndomein een paar dagen plat.
En mocht dit wel zo zijn, dan kunnen ze binnenkort een flinke factuur tegemoet zien.

Anonymoussaurus @Gepetto • 5 december 2017 11:12

Deze niet nee, maar 'normale' DdoS-diensten wel.

NLsandman @Anonymoussaurus • 6 december 2017 08:09

Ze doen zich voor als bedrijven maar zijn het niet en ze doen het ook niet legitiem, tegen een vergoeding stress testen ze elk netwerk dat je ingeeft, vaak maken ze gebruik van hosting bedrijven omdat die vaak genoeg bandbreedte hebben, ze gebruiken scanners om slecht geconfigureerde servers te vinden en misbruiken die dan voor hun botnet.

Verwijderd @GEi • 5 december 2017 11:06

Nee, dienstverleners die DDoS aanvallen uitvoeren. Stel ik heb een hekel aan een bepaalde club en wil hun website DDossen om die offline te krijgen, dan kan ik die dienst gewoon inkopen op het dark web. Uiteraard hangt de prijs en het succes van de site af, de persoonlijke homepage van tante Truus is goedkoper te ontregelen dan google.com.

Gepetto @GEi • 5 december 2017 11:01

Die ddos-diensten zijn natuurlijk geen reguliere aanbieders. Het gaat hier om groepjes van van bedenkelijk allooi. Waarschijnlijk adverteren ze alleen op het dark-web.

supersnathan94 @Gepetto • 5 december 2017 11:14

Zo waarschijnlijk is dat niet. Genoeg bedrijven die dit als DDOSaaS aanbieden zodat je zelf je netwerk kan testen. Capgemini kan dit bijvoorbeeld demonstreren in samenwerking met FortiNets FortiDDOS.

Gepetto @supersnathan94 • 5 december 2017 11:21

Dat zal best, maar dat is toch totaal niet wat in het artikel wordt bedoeld.
Je wilt toch niet beweren dat de aanval op Mijndomein mogelijk door Capgemini is gedaan?

supersnathan94 @Gepetto • 5 december 2017 11:38

Nee uiteraard, Voor deze variant zal het van dark-web komen. Punt is meer dat er ook legitieme adverteerders zijn.

Mellow Jack @Gepetto • 5 december 2017 16:56

Het is niet dat je een KvK registratie moet hebben om DDOS diensten te verkopen. Je kan alles als dienst afnemen, er worden complete botnets verhuurd voor een bepaalde duur (en doel)

virtualite @GEi • 5 december 2017 11:32

Denk niet direct dat dat bedoeld wordt. Het gaat hier om de groep die wilt aantonen wat ze kunnen en dat het dus ook geen loze beloftes zijn.

GrooV @GEi • 5 december 2017 11:36

Zoek maar op het internet op anti-ddos provider + review, zat promotie materiaal te vinden.

IPrange.net 5 december 2017 10:43

Volgens de berichten op Twitter zijn de ddos-aanvallen al het hele weekend aan de gang.

Anonymoussaurus @IPrange.net • 5 december 2017 10:48

Nee hoor, dat ging over een e-mailstoring. Toen is er nog niet expliciet gesproken over een DdoS:

IPrange.net @Anonymoussaurus • 5 december 2017 11:02

Volgens Nu.nl: "De aanvallen zouden in de nacht van vrijdag op zaterdag zijn begonnen."

Er vanuit gaande dat dit ook zo is dan hebben ze er wel lang overgedaan om deze af te slaan.

Anonymoussaurus @IPrange.net • 5 december 2017 11:05

Ik denk dat nu.nl dit fout heeft dan, want op de site van MijnDomein kan ik ook nergens vinden dat het sinds dit weekend is. Wellicht dat die storingen zoals de FTP-storing en e-mailstoring door DdoS-aanvallen zijn gekomen, maar daar zie ik niets van terug.

Becquerel @IPrange.net • 5 december 2017 11:30

Nu.nl is dan ook niet echt betrouwbaar...

skabouter @IPrange.net • 5 december 2017 15:16

Een website die ik beheer had problemen sinds zondag:

Sunday, December 3, 1:24 pm

Toen is het plat gegaan en tot aan vanmorgen steeds met enkele uren down/up.

Verwijderd 5 december 2017 15:16

Ik vind één dag niet lang voor een aanval. Als het bedrijf een week plat ligt dan zou ik zeggen dat het ernstig is.

Nokian95dude @Verwijderd • 5 december 2017 18:44

Elke dag is er 1 teveel.... En zeker als het niet hoeft. Dit ook weer, had voorkomen kunnen worden en kan zeker bestreden worden...

[Reactie gewijzigd door Nokian95dude op 23 juli 2024 02:06]

Rob @Nokian95dude • 6 december 2017 10:56

Elke dag is er 1 teveel.... En zeker als het niet hoeft. Dit ook weer, had voorkomen kunnen worden en kan zeker bestreden worden...

Hoe voorkom je een DDOS aanval?

jellepepe @Verwijderd • 6 december 2017 02:45

voor een ddos aanval wel, deze zijn meestal enkele minuten lang, meer dan een paar uur is zeldzaam

joopykoopy 5 december 2017 10:47

Kijkend naar de twitter feed, vind ik het netjes dat ze klanten op de hoogte houden dat er nogsteeds een storing gaande is. Ik heb in het verleden wel storingen gehad waar je dan uren niets van hoort, of het opgelost is of niet, kan je dan alleen maar proberen.

robbinwehl 5 december 2017 10:54

Mijndomein host zelf toch geen websites dit is uitbesteed ?
Je hebt er zelfs niet de mogelijkheid (als je reseller bent) verschillende ftp accounts per domein aan te maken, er is 1 masteraccount waarbij je alle domeinen ziet.
Hele discussies over gehad, maar zij 'kunnen' het niet zeggen ze zelf.

Ander voorbeeld:
Wanneer je bijvoorbeeld het control panel van je domein opent word er een iframe geopend van een andere leverancier .
Ik heb zo even geen namen omdat ik (gelukkig) al enige tijd geen klant meer ben van mijndomein.

Daarnaast erg slechte helpdesk, niet telefonisch bereikbaar alleen via email binnen kantoor tijden. Ook word er niet of erg laat (soms dagen) pas gereageerd op email.

deorder @robbinwehl • 5 december 2017 11:06

Dat is zo ver ik weet niet een andere leveracier, maar hun oude systeem / stijl.

PeterElzinga @deorder • 5 december 2017 11:58

Die lijken inderdaad op hun oude dashboard. Kom de laatste tijd wel steeds meer nieuwe pagina's tegen op het dashboard.

Ventieldopje @robbinwehl • 5 december 2017 11:17

Tsja, je krijgt waar je voor betaald, niet waar?

Vind het al heel wat dat ze moeite doen om de DDoS af te weren.

PeterElzinga @robbinwehl • 5 december 2017 11:56

> alleen via email binnen kantoor tijden

Daar heb ik andere ervaringen mee. Ook in het weekend heb ik reactie van ze gehad.
Aldus Google zijn de openingstijden:

maandag-vrijdag: 08:00–22:00
zaterdag & zondag: 09:00–21:00

robbinwehl @PeterElzinga • 5 december 2017 13:53

Wij hadden 30+ domeinen bij ze.. regelmatig vielen verschillende mysql servers weg.. nam je contact op en dan uren soms dagen geen reactie. vind ik erg slechte support.

Toevoeging op vorige bericht:
Wanneer je trouwens via sidn de domeinnaamservers van mijndomein pingt -a zie je dat de servers niet toebehoren aan mijndomein maar aan metaregistrar.com.

TheNephilim

5 december 2017 11:21

Misschien kan Tweakers informeren voor een achtergrond artikel? Er zal vast een boel te vertellen zijn over welke apparatuur er ingezet is, waar de aanval vandaan kwam, etc.

raymonvdm @TheNephilim • 5 december 2017 15:15

Ze lijken gewoon de NAWAS te gebruiken voor de scrubbing

traceroute 37.16.0.1

(37.16.0.1), 30 hops max, 60 byte packets
5 * * *
6 party16.nawas.net (212.114.112.16) 46.819 ms 2.992 ms 3.153 ms
7 te1-4.cr1.eun.proserve.nl (80.84.254.114) 6.576 ms 7.383 ms 7.399 ms
8 ip-space.by.proserve.nl (83.96.225.249) 10.453 ms 11.182 ms 11.199 ms^C

Looking Glas van HE.net geeft dit ook aan

BE 37.16.0.0/24 80.249.211.82 0 100 0 200020, 21155 IGP

[Reactie gewijzigd door raymonvdm op 23 juli 2024 02:06]

darkdeathrip 5 december 2017 16:11

Nawas is maar bestemd tegen 80gbps. Ik zie dat ze deze al gebruiken:
8 party16.nawas.net (212.114.112.16) 5.968 ms 5.245 ms 5.231 ms

Ik zou eerder voor een tunnel naar ovh gaan die zijn inmiddels bestemd tegen 1tbps meer als amazon die ze nu gebruiken voor mitigatie op hun hoofd site mijndomein.nl.

Ik merk dat ze de aanvallen nog niet afgeweerd hebben zie:
webmail.mijndomein.nl

En hun nieuwe twitter bericht:
https://twitter.com/MD_Actueel/status/938064488326160384

[Reactie gewijzigd door darkdeathrip op 23 juli 2024 02:06]

Seth_Chaos 5 december 2017 10:55

Ik blijf me erover verbazen dat er zo weinig gedaan wordt aan die geïnfecteerde pc's. Loggen en laten afsluiten van het www en verplicht aansluitkosten opleggen.

servicedb @Seth_Chaos • 5 december 2017 11:29

Helaas is het niet zo eenvoudig. Je moet nagaan dat het vaak om honderd duizenden tot wel miljoenen apparaten gaat die elk een kleine hoeveelheid verkeer sturen. Je kan op tot zeker niveau bepalen welke IP adressen legitiem verkeer sturen (dit is ook afhankelijk van de type aanval) maar de kans dat je een IP adres laat blokkeren die helemaal niks met de aanval te maken heeft is ook bijzonder groot. Komt daarbij: hoe voorkom je “fake” rapportages?

Begrijp mij niet verkeerd: ik zie graag een oplossing. Maar direct blokkeren is dat helaas niet. Ander voorbeeld is een amplification attack: je stuurt een udp pakketje naar de dns of snmp server en die servers antwoorden met de gevraagde data, met een factor 650. Dat betekend dat je 1 Gbit aan uitgaand verkeer kan omzetten naar 650 Gbit (in theorie). Alleen bij udp kan je het bron IP adres faken en je kan dus het IP adres van je doel server opgeven. Met de actie die jij adviseert veroorzaak je dat DNS servers en tijdservers plat gaan en daarmee kan je dus een deel van het internet slopen.

hackerhater @servicedb • 5 december 2017 11:52

De ISP's kunnen wel scannen erop.
Afzender IP's in de headers die niet van hen zijn, spammen, etc.
En die gebruikers dan tijdelijk afsluiten.

servicedb @hackerhater • 5 december 2017 13:05

Hier zijn inderdaad technieken tegen beschikbaar (fake IP meesturen in UDP) maar het wordt beperkt ingezet helaas. Bovendien kan je als ontvanger van dergelijke aanvallen niet het originele IP adres achterhalen.

hackerhater @servicedb • 5 december 2017 19:09

Als slachtoffer niet, maar als ISP van de bots wel...........

Pinkys Brain @servicedb • 5 december 2017 16:38

Het is heel eenvoudig, een IP eigenaar moet gewoon tegen ISPs kunnen zeggen "blokkeer eens alle traffic naar mij van een van jou IPs bij de bron". Dit vereist natuurlijk wel een hele hoop nieuwe hardware, maar dat is echter maar een kleine fractie van de extra hardware die nu ingezet word om DDOSs te doorstaan.

ISPs moeten ook verplicht aan ingress/egress filtering gaan doen.

Eenvoudig, technisch duidelijk de juiste oplossing ... onmogelijk af te dwingen.

[Reactie gewijzigd door Pinkys Brain op 23 juli 2024 02:06]

4Lph4Num3r1c @Seth_Chaos • 5 december 2017 11:38

Het probleem is denk ik de enorme wildgroei aan connected apparatuur. Het zijn lang niet alleen maar bejaarden of andere mensen zonder uitgebreide kennis van IT.

Laatst thuis eens gaan tellen, toen kwam ik op 29 apparaten die op enige manier aan een netwerk (en potentieel dus indirect aan het internet) verbonden zaten. Goed, hierbij heb ik ook alle homeautomation devices meegerekend. (en het merendeel staat doorgaans uit, maar kan wel online).

Maar het geeft wel even aan dat het zo maar, heel veel devices kunnen worden. En dan is het voor mij als Tweaker nog hobby, dus ben ik er veel mee bezig. Maar ook ik werk lang niet al deze devices constant bij naar de laatste versie. (als er uberhaupt al update voor beschikbaar zijn - meestal is het op de markt brengen en niet meer naar omkijken door de leveranciers).

Ik denk dat menig printer in de wereld nog nooit bijgewerkt is naar een nieuw firmware, maar wel een webinterface heeft, of telefooncentrales, koelkasten, mediaplayers, oude consoles, netwerkapparatuur etc. Allemaal devices die potentieel betrokken kunnen worden bij een zombienetwerk.

Of devices van kleinere hardware producenten, die automatisch updaten. Maar waar al jaren niet meer naar omgekeken wordt, door de producent. Een malafide firmware wordt zo eenvoudig naar vele devices gepusht.

[Reactie gewijzigd door 4Lph4Num3r1c op 23 juli 2024 02:06]

mashell @Seth_Chaos • 5 december 2017 16:22

Hé, hé we hebben netneutraliteit. Elke PC mag dus in principe zoveel zinloze pakketjes over het internet versturen als het wil. Wat jij een infectie noemt, dat noemt iemand anders een hobby. Het is primair een probleem van de techniek (bijvoorbeeld achterhaalde internetprotocollen die dit soort aanvallen mogelijk maken).

Seth_Chaos @mashell • 5 december 2017 19:34

Dat is er inderdaad. Maar inbreken op iemand zijn pc en ddos'en zijn strafbare feiten. En bewust of onbewust meewerken aan strafbare feiten ook.

Pinkys Brain @Seth_Chaos • 5 december 2017 16:31

ISPs zijn nog geeneens verplicht spoofen tegen te gaan, laat staan dat ze betalende klanten moeten blocken die meedoen aan een aanval.

Wat we nodig hebben is een heel nieuw internet, waar de ISPs verplicht zijn best practices te gebruiken, apparatuur moeten installeren om in opdracht van een IP eigenaar al het verkeer naar dat IP van een of meer subnets van de ISP te blokken, en de verplichting om langdurig kwaadwillende klanten van het nat af te schoppen.

Op het bestaande internet is er gewoonweg niet de mogelijkheid dit op te lossen.

RoestVrijStaal @Gepetto • 5 december 2017 11:11

Dan pleit je voor Noord-Koreaanse toestanden, want dan kan de overheid bepalen of je op het internet op mag of niet. Dat moeten we absoluut niet willen.

Gepetto @RoestVrijStaal • 5 december 2017 11:16

Hoezo? De overheid bepaalt toch ook niet of je met je auto de openbare weg op mag? Iedereen die slaagt voor het examen mag een auto besturen, dus ook een "internet-examen" zal voor iedereen gelijk zijn.

Het gaat hierbij niet om je politieke voorkeur of geloofsovertuiging hoor, het gaat er alleen om, of je je bewust bent van de veiligheidsrisico's.

RoestVrijStaal @Gepetto • 5 december 2017 11:26

Dat doet die wel. Aan de hand van regelgeving.

Werken alle lichten? Heb je een linker buitenspiegel? Is je kenteken goed zichtbaar?

Als je niet gesnapt wordt door de politie, heb je geluk. Anders kan de auto inderdaad langs de weg worden gezet.

Tot op heden zijn het vooral logische regels. Al begint het nu met het verbieden van de smartphonehouder ook te wringen.

Maar het zal me niet verbazen dat de overheid doorschiet met de "veiligheid"-drogreden en mensen die de salafistische stroming van de islam belijden niet mogen rijden omdat motorvoertuigen ook als wapen worden ingezet voor terroristische acties.

[Reactie gewijzigd door RoestVrijStaal op 23 juli 2024 02:06]

Gepetto @RoestVrijStaal • 5 december 2017 11:31

Werken alle lichten? Heb je een linker buitenspiegel? Is je kenteken goed zichtbaar?

Als je niet gesnapt wordt door de politie, heb je geluk. Anders kan de auto inderdaad langs de weg worden gezet.

Dat is op internet al lang hoor, daar hebben we in Nederland iets voor dat het Burgerlijk Wetboek wordt genoemd.

Ben je niet illegaal aan het downloaden? Ben je niet bezig andere systemen te hacken? Heb je geen kiddyporn op je systeem?

Als je niet gesnapt wordt door de politie, heb je geluk. Anders kun je van je bed worden gelicht en een gevangenisstraf tegemoet zien.

Verwijderd @Gepetto • 5 december 2017 12:18

Hoezo? De overheid bepaalt toch ook niet of je met je auto de openbare weg op mag?

Klopt, je krijgt een rijbewijs gewoon als je erom vraagt en kunt 't kopen op iedere hoek van de straat en de supermarkt

Natuurlijk bepaalt de overheid of jij met je auto de openbare weg op mag. Heb je geen rijbewijs, mag jij geen auto besturen op de openbare weg. Voldoet je auto niet aan de minimum gestelde eisen, mag jij met je auto niet op de openbare weg.

Het is de overheid die dat bepaalt, niet een CBR, ANWB of rijschool.

edereen die slaagt voor het examen mag een auto besturen, dus ook een "internet-examen" zal voor iedereen gelijk zijn.

Dat is k*t laat kinderen vanaf het basis onderwijs dan maar hun spullen inpakken. Tegenwoordig moeten ze naast zaken uit de boeken ook dingen middels internet opzoeken. Sja, geen internet-rijbewijs... dan maar stoppen met school/studie/opleiding :-/

Gepetto @Verwijderd • 5 december 2017 12:56

Klopt, je krijgt een rijbewijs gewoon als je erom vraagt en kunt 't kopen op iedere hoek van de straat en de supermarkt Natuurlijk bepaalt de overheid of jij met je auto de openbare weg op mag.

Je haalt hier een aantal zaken door elkaar. Bepalen is namelijk niet hetzelfde als de mogelijkheid bieden.

Bepalen wil zeggen dat er gekeken wordt naar wie een persoon is en dat gebeurt simpelweg niet.

Iemand die bijvoorbeeld 20 jaar voor moord in de gevangenis heeft gezeten, heeft nog steeds evenveel recht zijn rijbewijs te halen als iemand van 18 die net van school komt.
Uiteindelijk is het een examinator van het CBR die beslist of je vaardigheden groot genoeg zijn om zelfstandig te mogen rijden.

Het intrekken van je rijbewijs kan wel door de overheid (officier van justitie), maar dit gebeurt alleen maar nadat iemand zich ernstig heeft misdragen, bv door dronken te gaan rijden).

[edit]
Daarom krijgen basisschool-leerlingen hier in de omgeving ook ipads die door de school worden beheerd. Er zit bv een filter o,p die er voor zorgt dat ze niet zomaar elke site kunnen bezoeken. Zal nooit voor 100% werken natuurlijk, maar het is wel een goede zaak, dat men jonge kinderen probeert te beschermen tegen de duistere kant van het internet.

[Reactie gewijzigd door Gepetto op 23 juli 2024 02:06]

litebyte @Gepetto • 5 december 2017 11:26

Lijkt me geen haalbare zaak. Veel beter zou het zijn als er in het onderwijs verplichte vakken komen over ICT en online veiligheid.

Gepetto @litebyte • 5 december 2017 11:34

Eens, eigenlijk was dat ook een beetje wat ik bedoelde.

telskamp @litebyte • 5 december 2017 14:22

Ik denk niet dat dit iets uithaald, je kunt wel een internet rijbewijs instellen echter houd dit niet in dat je gelijk een beveiliginsexpert bent die kan (en wil) monitoren of een van de devices in je thuisnetwerk compromised is. Tuurlijk zal het stukje phising/virus minder voorkomen, maar kan jij zien of je (smart)thermostaat/tv/ipcamera/speakers/router/accespoint/telefoon/tablet stiekem onderdeel uitmaakt van een botnet?

litebyte @telskamp • 5 december 2017 14:30

Ik had het niet zo zeer over een rijbewijs. Ik had het over scholing. En wel als verplicht vak of verplicht onderwijs onderdeel in het onderwijs...rijbewijs is het verhaal van Gepetto.

telskamp @litebyte • 5 december 2017 14:35

Verplichte les die afgerond moet worden voor je het internet op mag zal toch resutleren in een soort van diploma/certificaat/bewijs.. Hoe je het ook noemt het zal een beetje helpen maar geen definitieve oplossing zijn
Net zoals goede sloten, altijd ramen en deuren op slot doen helpt tegen inbraak maar ook geen garantie is dat er niet ingebroken word. Er bestaat geen 100% veilig internet en dat zal er ook niet komen behalve als het internet een gesloten netwerk word waar 1 authoritiet volmacht over heeft (die niet corrupt is)

litebyte @telskamp • 5 december 2017 14:42

Nou nee, zie het meer als een vak(onderdeel) net als seksuele voorlichting of maatschappijleer. Het gaat er niet om dat je 100% veiligheid kan of wil garanderen. Het gaat om het enorme lage niveau bij veel leerlingen als het gaat om bassale internet en veilig(er) internet kennis.

Nu heb ik mijn kinderen zelf wat bijgebracht, maar als je dan ziet dat hun vriendjes en vriendinnetjes (overigens niet alleen die uit NL) die dan niet eens weten waar een firewall voor dient, of hoe deze goed in te stellen.

telskamp @litebyte • 5 december 2017 14:54

Halve voorlichting zie ik helemaal niet als een verbetering. als je iemand uitlegt hoe die een auto moet bedienen maar hem niet het hele verhaal over veiligheid en weggedrag aanleert vergroot dit niet bepaald de verkeersveiligheid. Als je iemand basaal uitlegd dat een firewall je beschermd tegen aanvallers/virussen/malware maar daar niet bij verteld dat de firewall wel goed ingesteld/up-to date moet zijn creeer je alleen maar schijnveiligheid/naiviteit. Ik hoor het geregeld: ik kan geen virus hebben want ik heb een firewall/"beveiligde internet verbinding"

virtualite @Gepetto • 5 december 2017 11:34

Hoe zie je dit voor je dan? Elke maand een herkeuring? Dingen in it land veranderen zo snel dat het niet bij te houden is.

Gepetto @virtualite • 5 december 2017 11:44

Handhaven is iets dat altijd een probleem zal blijven, maar dat mag wetgeving nooit in de weg staan.

Het feit dat er veel fietsers door rood licht rijden zal er nooit voor zorgen dat het voortaan voor fietsers is toegestaan om door te fietsen bij rood.

Verwijderd @Gepetto • 5 december 2017 12:22

Ik pleit al jaren voor het halen van een internet-rijbewijs voor men de digitale snelweg op mag. Zolang iedereen zomaar een apparaat op het net aan kan sluiten zul je dit blijven houden.

Je bedoelt; je pleit al jaren voor een nieuwe melkkoe "internet-rijbewijs" waartegen geen enkele vorm van controle mogelijk is tenzij ieder device wordt voorzien van een kaartlezer waartegen je, je internet-rijbewijs moet houden alvorens je de digitale weg op kunt.

Maar wacht, dit is nog fraude gevoeliger dan een auto rijbewijs! Als jij mij jou auto rijbewijs geeft, heb ik nog steeds geen rijbewijs en is dit te zien aan o.a. de foto. Hoe ga jij mensen thuis controleren of niet iemand anders op dat rijbewijs de digitale snelweg opgaat?

Daarnaast, wie gaat dit controleren denk je en nog belangrijker, denk je dat je dat internet-rijbewijs gratis krijgt. Alsof mensen voor hun kinderen een internet-rijbewijs zouden gaan betalen om maar te zorgen dat ze het internet op kunnen.

Nee hoor; leuk idee maar de mensen die dit roepen hebben totaal niet nagedacht over de haalbaarheid van een dergelijk idee.

Gepetto @Verwijderd • 5 december 2017 13:12

Het is natuurlijk al lang zo dat iedereen verantwoordelijk is voor zijn eigen internetverbinding.

Denk je dat je er mee wegkomt als jou pc vol staat met illegaal gedownloade films, door te zeggen dat je zoontje van 10 dat wel gedaan zal hebben? Daar hebben organisaties als Brein en Buma al lang geen boodschap meer aan hoor, jij blijft gewoon verantwoordelijk.

Natuurlijk kun je niet iedereen controleren en kan er altijd gefraudeerd worden, dat is met alles.

Ik zeg alleen dat zolang je de oorzaak niet aanpakt, er altijd botnets en dus ook ddos aanvallen zullen blijven bestaan.

Verwijderd @Gepetto • 5 december 2017 14:03

Het is natuurlijk al lang zo dat iedereen verantwoordelijk is voor zijn eigen internetverbinding.

Juist, en dus heeft een internet-rijbewijs ook helemaal geen zin.

Denk je dat je er mee wegkomt als jou pc vol staat met illegaal gedownloade films, door te zeggen dat je zoontje van 10 dat wel gedaan zal hebben? Daar hebben organisaties als Brein en Buma al lang geen boodschap meer aan hoor, jij blijft gewoon verantwoordelijk.

Natuurlijk kun je niet iedereen controleren en kan er altijd gefraudeerd worden, dat is met alles.

Niemand wordt gecontroleerd omdat het niet te handhaven is. Niet voor is er geen actieve controle op het downloaden van films uit illegale bron (lees; het in het bezit hebben of krijgen van films door het downloaden ervan).

Ik zeg alleen dat zolang je de oorzaak niet aanpakt, er altijd botnets en dus ook ddos aanvallen zullen blijven bestaan.

Ah de oorzaak is de eind-gebruiker, ik zou het verder zoeken in het web... de oorzaak is niet de gebruiker maar de geen die misbruik maakt van de goedgelovigheid van de gebruiker c.q. het misbruiken van gaten. Het is een zwakte om de eind-gebruiker verantwoordelijk te houden voor het geen wat anderen veroorzaken "die het werkelijke oorzaak zijn". En dan nog voorkom je helemaal niets met een internet-rijbewijs, het toont hooguit dat je iets weet ... maar wat moet je precies weten en wie gaat dit bepalen?

Een internet-rijbewijs zou dan inhouden dat de betreffende burger/gebruiker ook direct kennis van zaken krijgt en ieder device nauwlettend in de gaten houdt en voorziet van nieuwe firmwares en het device direct in de prullenbak gooit wanneer ondersteuning van de fabrikant eindigt. Want hé, geen ondersteuning is per definitie al een veiligheidsrisico.

Nokian95dude @Gepetto • 5 december 2017 18:43

Dat is het hele probleem ook. Het is veel te makkelijk om diensten te huren om vervolgens aanvallen op servers uit te voeren, een kind kan bijna de was doen. EN hoe meer je eraan uitgeeft, hoe harder/zwaarder de aanvallen worden. En juist dat soort diensten moeten aan banden gelegd worden. Want gok dat 80% van de ddos aanvallen hierdoor komten die zijn dus te voorkomen. Alsje dat wegneemt zal het een groot deel klaar zijn. Want dan is er voor het gros geen hol meeraan.

Maar daar stuit je gelijk op het gehele issue, ze doen er niks aan. Bij zogezegde illegale downloads ook niet. Ja ze halen sites offline maar daar lossen zze het probleem niet mee op omdat het langs de andere kant net ze hard aangroeit. En zolanag ze dat niet inzien zal het niet stoppen ook...

Ik roep al jaaaaren, bij de wortel aanpakkenanders kansloos. En wat ze doen is niet bij de wortelaan pakken. Bovendien heeft het "illegale" downloaden een reden waarom dat gebeurd. Een reden die ze niet willen zien maar waar ze toch echt aan moeten geloven. Los je dat probleem op, dan heb je een kans. ZO niet is elke aanpak waardeloos/kansloos. EN er komen steeds meer geavanceerdere systemen zodat ze straks NIKS meer kunnen tracken wat er op het net gebeurd...

Ancoo @Gepetto • 5 december 2017 14:47

In een tijd waar internet bijna als een primaire levensbehoefte word gezien niet echt haalbaar. (en of je als wel/niet levensbehoefte ziet, om veel dingen te regelen heb je internet nodig of het kost veel moeite / extra geld).

Daarnaast kan iedereen wel braaf papiertje halen. Maar ik geloof er niet in dat daarna de problemen echt veel minder gaan worden. Maar iets weten is wat anders dan iets daadwerkelijk toepassen.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (85)

Sorteer op:

Weergave: