Nederlandse beveiligingsexperts pleiten voor collectieve ddos-bestrijding

Vijf Nederlandse beveiligingsexperts pleiten voor een samenwerking tussen bedrijven en de overheid om proactief en collectief ddos-aanvallen te bestrijden. Samen zouden zij een 'nationale ddos-radar' en een anti-ddos-manifest op moeten zetten.

Die ddos-radar is volgens het plan een nog te ontwikkelen systeem dat voortdurend fingerprints maakt van potentiële en actieve ddos-bronnen en die automatisch deelt met de aangesloten bedrijven en instanties. Die fingerprints zijn ip-adressen, identifiers van de netwerken waar ze staan en gedetailleerde verkeerspatronen van het ddos-verkeer dat ze genereren. De fingerprints worden gemaakt op basis van ddos-logs, crawlers die zoeken sites waar ddos-capaciteit kan worden ingekocht en honeypots die besmette iot-apparaten aantrekken en in kaart brengen.

Volgens de initiatiefnemers maakt zo'n ddos-radar een proactieve aanpak van ddos-aanvallen mogelijk, omdat de fingerprints meer inzicht geven in de potentiële aanvallen. Dat zou het mogelijk moeten maken om sneller ddos-aanvallen te herkennen en te filteren, met minder verstoring van dienstverlening als gevolg.

Ook willen de bedenkers dat bijvoorbeeld banken die aangevallen worden door een botnet van besmette apparaten de fingerprintinformatie delen met providers, zodat deze contact op kunnen nemen met klanten om de besmetting ongedaan te maken. Andere bedrijven zouden de informatie kunnen gebruiken om hun detectiesystemen en filters in te stellen. De ddos-radar zou bij extreem grote aanvallen ook helpen om gezamenlijk te besluiten over tijdelijke afkoppeling van 'Nederlandse' netwerken van het mondiale internet.

De ddos-radar moet ook bijdragen aan het verzamelen van gegevens over de dader of daders. Als voorbeeld halen de initiatiefnemers een artikel van Tweakers aan, waarin werd beschreven hoe de ddos'er die begin dit jaar Nederlandse banken en overheidswebsites plat legde, tegen de lamp liep.

De beveiligingsexperts willen hun voorgestelde ddos-bestrijdingsstrategie vastleggen in een anti-ddos-manifest. Daarin staan operationele afspraken over welke gegevens worden verzameld en hoe er wordt samengewerkt met opsporingsinstanties. Een nationale anti-ddos-organisatie, bestuurd door een klein aantal onafhankelijke experts, zou het manifest moeten opstellen, beheren en moeten zorgen voor de naleving ervan.

Als eerste stap roepen de initiatiefnemers op dat de partners uit het Trusted Networks Initiative, de leden van de Dutch Continuity Board, de NaWas, banken, de wetenschap en de overheid met elkaar in gesprek gaan over de haalbaarheid van het manifest.

Het plan voor de ddos-radar en het anti-ddos-manifest is opgesteld door Christian Hesselman, hoofd van het researchteam van SIDN; Jeroen van der Ham, gastonderzoeker bij de Universiteit Twente; Roland van Rijswijk, Innovator Internet Security bij SURFnet; Jair Santanna, assistant professor bij de Universiteit Twente en Aiko Pras, professor op het gebied van Internet security bij de Universiteit Twente.

IT-banen

Reacties (82)

Olaf van der Spek 5 april 2018 08:55

Samen zouden zij een 'nationale ddos-radar' en een anti-ddos-manifest op moeten zetten.

Dit moet toch gewoon op europees of eigenlijk zelfs wereldniveau?

En hosting- en internet-providers moeten ook eens wat pro-actiever worden, onder andere door spoofed source adressen te filteren.

dakka @Olaf van der Spek • 5 april 2018 08:59

is een spoofed source adres altijd per definitie onderdeel van een DDOS?

himlims_ @dakka • 5 april 2018 09:02

zeker niet; stel je hebt een (nieuwe) omgeving, en je wilt testen hoe die in productie reageert (door bijv. 1001 test users met spoofed address requests te laten uitvoeren) en met tools als; HP LoadRunner, WebLOAD kun je er ook een 'response' aan hangen; best realistisch beeld over hoe het werkt wanneer systeem live/in productie genomen wordt.

dakka @himlims_ • 5 april 2018 11:07

dat was idd het punt van mijn opmerking, je kan gewoon niet op die manier het verkeer discrimineren, ISP's moeten eigenlijk zo min mogelijk er aan zitten, hooguit kan ik bedenken dat ze het verkeer flaggen ofzo

Verwijderd @dakka • 5 april 2018 12:22

Dan zitten ze er dus al aan. Flaggen = inspecteren + wijzigen.

NBK @himlims_ • 5 april 2018 17:27

De vraag blijft dan of dat test verkeer het datacenter zou moeten kunnen verlaten.
Datacenters wereldwijd zouden ook de richtlijn kunnen hanteren om in dat geval tijdelijke uitzonderingsregels toe moeten passen op de uitgaande firewall of verplichten met een lokale testserver als oorsprong van het testverkeer te gaan werken.
Bovendien zou je ook kunnen filteren op protocol. Waarom zou een server 100.000 DNS requests moeten kunnen doen met een spoofed IP?

[Reactie gewijzigd door NBK op 23 juli 2024 04:49]

djwice

@NBK • 5 april 2018 20:40

Hoe kun je een publiek DNS+Edge locaties+routing testen zonder geen gebruik te maken van internet?

locke960 @djwice • 5 april 2018 21:45

Hoe kun je dat testen met internet en spoofed adressen? Je pakketten komen misschien wel aan op de bestemming, maar de antwoord pakketten komen niet terug want het afzender adres is gespoofed.

En als dat antwoordpakket voor je test niet belangrijk is, waarom zou je dan je test pakketje met gespoofde adressen op afstand op het internet laten genereren, en niet gewoon op je eigen locaties?

En als het onverhoopt echt niet zonder gespoofde afzender adressen via het internet kan, hoe ga je dan garanderen dat een toevallig tussenliggende ISP of transitprovider jou pakketjes ongemoeid laat? Misschien filtert deze zijn uitgaande pakketje wel netjes.

Wat dan weer vragen doet rijzen over de kwaliteit en betrouwbaarheid van tests die gebaseerd zijn op gespoofde IP adressen via het internet..

Ik ben geen expert, maar ik krijg de indruk dat spoofen in dergelijk gevallen een manier is om geld te besparen door niet een groot aantal echte IP adressen te hoeven gebruiken.

Anyway, is allemaal ook niet zo belangrijk. Spoofen is "not done" en wat mij betreft krijgt elke netwerk dat het toelaat een internet death sentence.

Olaf van der Spek @dakka • 5 april 2018 09:06

is een spoofed source adres altijd per definitie onderdeel van een DDOS?

Nee, maar het is voor zover ik weet nooit normaal verkeer.

[Reactie gewijzigd door Olaf van der Spek op 23 juli 2024 04:49]

Bor Coördinator Frontpage Admins / FP Powermod @Olaf van der Spek • 5 april 2018 09:22

Het kan prima normaal verkeer zijn. Een spoofed adres kun je bijvoorbeeld ook gebruiken om beveiliging te testen. DDOS traffic is niet per definitie "bijzonder" verkeer. In de praktijk zie je echter dat er aanpassingen nodig zijn om de oorsprong van het verkeer te markeren en om misbruik te maken van bepaalde functionaliteit. Er zijn verschillende soorten (D)DOS aanvallen.

[Reactie gewijzigd door Bor op 23 juli 2024 04:49]

Olaf van der Spek @Bor • 5 april 2018 09:27

DDOS traffic is niet per definitie "bijzonder" verkeer.

Dat zeg ik toch ook niet?
Spoofed source IP addresses zijn dat IMO echter wel, zeker op het internet.

84hannes @Bor • 5 april 2018 11:12

Je haalt volgens mij twee vragen door elkaar. @Dakka vraagt

Wordt een spoofed adres alleen maar gebruikt voor DDOS?

en jij beantwoord

Wordt een spoofed adres altijd gebruikt voor DDOS?

Als de eerste vraag met "ja" beantwoord wordt, dan lijkt het me logisch dat een provider dit verkeer blokkeert. Ik wil geen telefoontjes van mensen die zich voortdoen als iemand anders, ik wil geen geld overmaken naar mensen die zich voordoen als iemand anders, en ik wil ook geen IP-pakketjes van mensen die zich voordoen als iemand anders.

the_stickie @Olaf van der Spek • 5 april 2018 09:26

Zelden. Maar zeker niet nooit.
De simpelste vorm van ddos is gewoon heel (te) veel clients op een valide service laten connecteren. Het lastigste daarvan is dat het heel moeilijk wordt onderscheid te maken tussen echte gebruikers en ddos verkeer.
Gelukkig is het (tegenwoordig) meestal en voor de meeste services gemakkelijk om voldoende capaciteit te voorzien, waardoor attackers inderdaad op zoek moeten gaan naar andere manieren om genoeg load of traffic te veroorzaken.

SunnieNL

@Olaf van der Spek • 5 april 2018 12:54

Mijn laptop gaat over intern verkeer naar de servers in Amerika om daar naar buiten te komen. Mijn telefoon doet hetzelfde (start soms de verkeerde browser op de telefoon). Dat komt wel over als een spoofed source address, maar is normaal verkeer.
(wordt ook regelmatig door google tijdelijk geblokkeerd omdat ik binnen een paar minuten van nederland ineens in Amerika zit volgens het uitgaande ip adres).

Olaf van der Spek @SunnieNL • 5 april 2018 13:00

Dat komt wel over als een spoofed source address, maar is normaal verkeer.

Dat heeft niks met spoofed IP adressen te maken..

Kain_niaK @Olaf van der Spek • 5 april 2018 09:52

Het is meer "verkeerd" vermits door het spoofen van het adres de replies niet naar de instigator van het verkeer gaan.

tw_gotcha

@Olaf van der Spek • 5 april 2018 09:02

Wereldwijd: Dat klopt wel maar hoe groter je het maakt, des te langer duurt het en des te meer verwaterd het oorspronkelijke idee. A camel is a racehorse designed by a committee.

Bor Coördinator Frontpage Admins / FP Powermod @tw_gotcha • 5 april 2018 09:13

Wereldwijd: Dat klopt wel maar hoe groter je het maakt, des te langer duurt het en des te meer verwaterd het oorspronkelijke idee.

Dat niet alleen maar het gaat ook niet werken omdat naties belang hebben bij het kunnen uitvoeren van een DDOS als onderdeel van cyber warfare. De kans dat men de boel opzettelijk gaat frustreren is aanwezig.

Grrrrrene

@Olaf van der Spek • 5 april 2018 09:41

[...]

Dit moet toch gewoon op europees of eigenlijk zelfs wereldniveau?

Mee eens, maar hoe groter je dit trekt, hoe lastiger het te realiseren is. Bovendien vraag ik me af hoe snel de response gaat zijn als je met praktische, wereldwijde problemen te maken krijgt als tijdzones, verschillende talen, etc. Laten we het eerst eens in Nederland proberen te regelen, wie weet leert de rest dan wat van ons

Belsameth @Olaf van der Spek • 5 april 2018 14:25

Dit gebeurt al veelvuldig (BCP38). Je kan echter enkel voorkomen dat gespoofed verkeer je netwerk uitgaat.Het is eigenlijk niet vast te stellen of inkomend verkeer gespoofed is of niet, dit gaat dus pas werken als *alle* providers dit wereldwijd gaan doen.

In ieder geval in .nl zijn providers hier al zeer actief mee bezig. Er zijn voldoende providers welke je bijvoorbeeld vriendelijk zullen verzoeken geen Open resolver/SNMP/Memcache/Netbios/Enz. open te zetten naar internet zonder enige filtering, dan wel je verbinding tijdelijk blokkeren als je dat toch doet. Het grootste probleem zit echter ook hier niet in Nederland maar in de rest van de wereld en dat maakt het geheel zo complex.

Het loskoppelen van Nederland van de rest van het internet zoals voorgesteld in het artikel (en wat TNI ook wil bij een aanval) is overigens hilarisch. "Oh, je DDoSsed me. Ik verbreek mijn verbinding maar, dan kan je dat niet meer doen!"

Olaf van der Spek @Belsameth • 5 april 2018 14:31

Dit gebeurt al veelvuldig (BCP38). Je kan echter enkel voorkomen dat gespoofed verkeer je netwerk uitgaat

BCP38 gaat toch echt over ingress..

Er zijn voldoende providers welke je bijvoorbeeld vriendelijk zullen verzoeken geen Open resolver/SNMP/Memcache/Netbios/Enz. open te zetten naar internet zonder enige filtering, dan wel je verbinding tijdelijk blokkeren als je dat toch doet.

Toch doen bedrijven als Leaseweb (vrijwel) niks met abuse@ meldingen van open resolvers.

Belsameth @Olaf van der Spek • 5 april 2018 15:06

Je hebt gelijk, mijn fout!

Zelfs Leaseweb doet iets, wat niet wil zeggen dat er niet nog het nodige te winnen is. Ook zijn providers wat dat betreft verder dan hosters. Er zit echter zeker een goede positive beweging in en we lopen qua proactieve aanpak van dit soort rommel aardig voor, zelfs op de rest van europa.

datakiller @Olaf van der Spek • 5 april 2018 20:21

Telenet in Belgie: oei je krijgt een DDoS van 3 dagen lang binnen das jammer voor jouw, ga maar verder op 10mbps download en 1mbps upload

Zelf doe ik soms non-spoofed DDoS attacks van thuis uit naar een server waar ik eigenaar van ben, de laatste test was op een server in Canada, en de attack kwam aan

Ik doe die testen niet voor mijn plezier maar om te kijken of mijn router/firewall het doorlaat indien er hier iets geinfecteerd word, mijn testen duren maar 5 - 10seconden. (of ik nu 10seconden of een hele week test, het maakt mijn provider toch niet uit, ze vinden inkomende DDoS aanvallen ook leuk)

Als er iets geinfecteerd zou worden zou ik na maximaal 1dag ingrijpen.

hades-2006 5 april 2018 09:01

er is toch al een gezamelijke DDOS oplossing
NaWas: https://www.nbip.nl/nl/nawas/
Dit is een samenwerkingsverband van providers waar je lid van kunt worden.
Deze dienst adverteert je aangevallen /24 en "scrubbed" het verkeer van de ddos en stuurt je schone verkeer door.

smiba @hades-2006 • 5 april 2018 09:42

Waarom je verkeer door een vage partij sturen als je ook gewoon de bron kan aanpakken?

Persoonlijk vertrouw ik NaWas voor geen meter als het om privacy gaat

EDIT voor reacties: Natuurlijk weet ik dat je verkeer sowieso al door verschillende partijen heen gaat, maar laten we er dus maar niet nog een extra aan toevoegen.

En wat ik bedoel met "de bron" bedoel ik natuurlijk de geïnfecteerde apparaten. Als ik naar de doctor ga omdat ik pijn heb verwacht ik toch dat deze de bron geneest en me niet gewoon 24/7 aan de morfine houd

[Reactie gewijzigd door smiba op 23 juli 2024 04:49]

GrooV @smiba • 5 april 2018 09:48

Je verkeer gaat bijna altijd door een “vage” partij, dat is de hele functie van het internet.

Verder zitten achter de nawas gewoon Nederlandse providers die samen in een stichting zitten.

Daarnaast is al het verkeer nog steeds beveiligd dmv SSL/HTTPS

Snow_King

@smiba • 5 april 2018 09:54

Wat @GrooV ook al aan haalt, je verkeer via het internet gaat altijd door/via/langs een andere/3e/vage partij.

Daarom pas je end-to-end encryptie toe door middel van TLS/SSL om er voor te zorgen dat niemand op de route je verkeer kan lezen.

De NaWaS is verder gewoon een prima partij die goede diensten levert, wij als bedrijf hebben er al meerdere keren dankbaar gebruik van gemaakt.

hades-2006 @smiba • 5 april 2018 09:51

de bron? een DDOS is per defenitie niet 1 bron.
En zoals GrooV al zegt; al je verkeer loopt zowie zo via derden van source naar destination.
Iedereen tussen die keten kan meeluisteren als ze dat zouden willen.

Jasper Janssen @smiba • 5 april 2018 12:19

De geinfecteerde apparaten aanpakken is geen optie. Die staan niet in Nederland. Ook niet in Belgie. Althans: maar een paar van de 100.000en die betrokken zijn bij een aanval.

CAPSLOCK2000

Nederland
SIDN
Internet

@smiba • 5 april 2018 13:20

Persoonlijk vertrouw ik NaWas voor geen meter als het om privacy gaat

En wat ik bedoel met "de bron" bedoel ik natuurlijk de geïnfecteerde apparaten. Als ik naar de doctor ga omdat ik pijn heb verwacht ik toch dat deze de bron geneest en me niet gewoon 24/7 aan de morfine houd

Het probleem is wel dat een flink deel van de "pijn" uit het (verre) buitenland komt waar we weinig aan kunnen doen. Maar eigenlijk doen we ook niks tegen de troep die wel van hier komt, dus dat is misschien niet zo'n goed argument.

Ik vertrouw NaWaS ook niet, maar ik vertrouw zelfs mijn eigen ISP niet. Waarom zou ik? Voor die paar tientjes in de maand kan ik niet heel erg veel vertrouwen verwachten. Sterker nog, ik heb meer te vrezen van mijn ISP dan van de nawas want de ISP heeft veel meer informatie over mijn.
Hoe dan ook, voor ik mijn verkeer het internet op stuur zorg ik zelf voor de beveiliging zodat ik mijn ISP niet hoef te vertrouwen.

Bor Coördinator Frontpage Admins / FP Powermod @hades-2006 • 5 april 2018 09:15

Dat is een technische oplossing waar het manifest meer inzet op kennisdeling en procedures als ik het goed lees. Aan een gemeenschappelijke technische DDOS inrichting kunnen ook nadelen kleven; het is een interessante plek om aan te vallen maar ook een plek waar monitoring plaats kan vinden.

hades-2006 @Bor • 5 april 2018 09:19

Niet helemaal correct.
NaWas heeft een collectie apparatuur die voor ene provider een specifieke range adverteert via BGP.
De DDOS verplaatst zich hierdoor naar de apparatuur van NaWas.
Het is wel degelijk een actieve dienst.

GrooV 5 april 2018 09:02

Collectieve ddosbestijding bestaat toch allang? Namelijk de NaWas, https://www.nbip.nl/nawas/

Ik zeg niet dat het 100% werkt maar volgens mij goedgenoeg om enige uptime te houden.

Verder kunnen NL/EU bedrijven natuurlijk ook gewoon een Europees CloudFlare alternatief opzetten, eventueel met een gedeeld AnyCast netwerk maar met eigen edge nodes.

Uiteindelijk is de enige remedie tegen een DDoS gewoon meer bandbreedte hebben dan de aanvallers.

[Reactie gewijzigd door GrooV op 23 juli 2024 04:49]

Bor Coördinator Frontpage Admins / FP Powermod @GrooV • 5 april 2018 09:19

Uiteindelijk is de enige remedie tegen een DDoS gewoon meer bandbreedte hebben dan de aanvallers.

Niet zo zeer, een (D)DOS heeft niet altijd met bandbreedte te maken. Je kunt je ook richten op zware bewerkingen die een service laten bezwijken onder load.

GrooV @Bor • 5 april 2018 09:34

Klopt, die filtering doe je dan in je edge nodes, zoals CF dat doet

hades-2006 @GrooV • 5 april 2018 09:10

Meer bandbreedte klopt voor het core gedeelte, maar je eindklant die word aangevallen heeft geen 10 Gbit gaat dan alsnog down.

CPOMendez 5 april 2018 08:55

Ik vraag me dan toch af wie dit moet gaan beheren.
En delen met bedrijven? Welke bedrijven, hebben bedrijven openlijk toegang?
Wat als zon database gehakkeld wordt?
En wat als je als onschuldige met een besmette pc zit, hoe gaan ze daarmee om?

Lijkt me een prima initiatief, al weet ik niet of het goed uitvoerbaar is.

Jasper Janssen @CPOMendez • 5 april 2018 09:05

Als je als onschuldige met een besmette PC zit wordt je internetverbinding uitgezet tot je het gefixed hebt. Niet onredelijk.

CPOMendez @Jasper Janssen • 5 april 2018 09:14

Maar hoe weet je dan als onschuldige gebruiker dat je besmet bent, en hoe je het moet oplossen? Zeker de oudere generatie zal met dat soort drastische oplossingen erg veel moeite hebben.

veltnet @CPOMendez • 5 april 2018 10:31

Ik denk dat je jongere generatie hier veel meer problemen mee gaat krijgen. De oudere generatie is iets minder afhankelijk van internet omdat ze nog weten hoe je vroeger dingen kon oplossen toen je nog geen internet had.

erwinwernars @Jasper Janssen • 5 april 2018 09:16

je internet wordt niet uitgezet, alleen als je te veel traffic gebruikt en dat is echt heel veel, dan komt er eerst nog een brief op je deurmat terecht en daarna pas als je er niks aan veranderd wordt je afgesloten van het internet.

Dat gaat niet over 1 of 2 weken eerder over een aantal maanden.

Jasper Janssen @erwinwernars • 5 april 2018 12:09

Als de abuse afdeling klachten over je krijgt, wordt je internet echt wel uitgezet. That's how that works.

erwinwernars @Jasper Janssen • 5 april 2018 12:37

mogen ze niet zomaar, ze zijn volgens mij bij wet verplicht je eerst op de hoogte te stellen via een brief.

Jasper Janssen @erwinwernars • 5 april 2018 12:41

Nope. In ieder geval niet toen het mij gebeurde.

erwinwernars @Jasper Janssen • 5 april 2018 13:18

Bij mij stuurde ze wel netjes een brief toen ik te veel verbruikte. (Ziggo)

Jasper Janssen @erwinwernars • 19 april 2018 19:50

Teveel gebruiken is (tenzij het *heel* erg teveel is) niet urgent. Wanneer jij een virus hebt en daardoor deelneemt aan een botnet of spam verstuurt is het wel urgent. Als zij daar namelijk niet onmiddelijk iets aan doen, en het wordt bekend dat dat beleid is, heb je kans dat andere providers de *hele ISP* gaan blokkeren.

Gebruikers die geinfecteerd zijn met malware die daadwerkelijk gekke dingen doen op het internet moet je onmiddelijk afsluiten omdat je anders riskeert dat je als provider buitengesloten wordt en dus onmiddelijk failliet gaat.

jpsch @Jasper Janssen • 5 april 2018 09:09

Hoe weet je dat dan?
Hoe los je dat op zonder internet?
Lijkt me onredelijk.

Jasper Janssen @jpsch • 5 april 2018 09:10

Dat weet je doordat als je naar een site probeert te gaan je een vangpagina krijgt te zien dat je afgesloten bent.

Net zoals wanneer je afgesloten bent voor niet-betaling.

Dit is geen nieuw proces -- abuse afdelingen van iedere ISP doen dit al decennia.

the_stickie @Jasper Janssen • 5 april 2018 09:47

En wie moet dat dan oplossen (betalen)?
De eindgebruiker? Die is toch al slachtoffer? Of ben je van mening dat het per definitie de fout van de eindgebruiker is als z'n apparaten kwetsbaar zijn en misbruikt worden?

Je voorgestelde maatregel is technisch wellicht prima en uitvoerbaar, maar heeft heel wat implicaties die wat mij betreft niet door de beugel kunnen. Oa dat je slachtoffers straft, mogelijk inkomstenderving of imagoschade veroorzaakt, eindgebruikers aan hun lot overlaat,...

Bor Coördinator Frontpage Admins / FP Powermod @the_stickie • 5 april 2018 09:55

Dat je een eindgebruiker straft ben ik niet met je eens. Wat is het alternatief? Het station van dezelfde gebruiker zijn gang laten gaan in het verspreiden van bv malware, het uitvoeren van (D)DOS aanvallen etc? Je kunt het ook als bescherming zien voor de eindgebruiker zelf. Wanneer jouw PC onderdeel is van een DDOS netwerk is er waarschijnlijk meer aan de hand en ben je gehacked en / of besmet met malware.

Inkomstenderving lijkt mij ook wel mee te vallen wanneer je de gebruiker gewoon op de hoogte stelt. De keerzijde is de inkomstenderving die de betreffende PC bij anderen veroorzaakt.

Het afsluiten van een systeem en deze naar een landingspagina leiden gebeurt nu ook al. Malware en andere ongein kun je het beste bij de bron stoppen.

the_stickie @Bor • 5 april 2018 11:05

Internet afsluiten is geen straf dan?
Veel mensen zijn afhankelijk van hun e-mail en internet voor (een deel van) hun inkomen. Als je dat afsluit, is er dus sprake van inkomstenderving.

Ik ben het zeker met je eens dat ISP's de mogelijkheden hebben om impact te beperken. Ze kunnen verkeer filteren, bestemmingen onbereikbaar maken, gebruikers inlichten en hulp aanbieden... maar afsluiten vind ik ongeoorloofd. Het gaat niet op de gebruikers de schuld te geven. Gebruikers zijn ook niet de bron van malware.
In je voorbeeld van een botnet gebruikt voor ddos, is het meestal evengoed mogelijk de c&c onbereikbaar te maken en het ddos verkeer af te vangen. Vervolgens kunnen de gebruikers ingelicht en geholpen worden.

Bor Coördinator Frontpage Admins / FP Powermod @the_stickie • 5 april 2018 11:13

Een maatregel hoeft geen straf te zijn. Dat je het wellicht als straf ervaart is iets anders. Een blokkade wanneer er malware of een DDOS bot actief is zou je simpelweg kunnen oplossen door de oorzaak weg te nemen.

Vergelijk het met een soort APK; wanneer bij controle blijkt dat jou auto niet voldoet mag je de weg niet op maar dat is niet per definitie een strafmaatregel. Een soortgelijke instelling zou je ook kunnen hanteren bij DDOS clients of anders geïnfecteerde machines.

the_stickie @Bor • 5 april 2018 11:29

Voer dan een APK in voor computers.
Een niet APK gekeurde wagen kan de weg gewoon op! Maar als je dat doet, loop je het risico op straf.

Jasper Janssen @the_stickie • 5 april 2018 12:42

Nee, internet afsluiten is geen straf. Het is heel vervelend, maar het is geen straf.

SunnieNL

@the_stickie • 5 april 2018 12:58

Op het moment dat je afhankelijk bent van internet voor je werk, en je machine is opgenomen in een ddos netwerk, dan heb je grote kans dat die agent op je machine meer kan dan dat.
Dan is het wel handig dat je afgesloten wordt, want voor je het weet lek je gegevens naar buiten toe. En als dat naar buiten komt kan het je wel eens een stuk meer kosten.

the_stickie @SunnieNL • 5 april 2018 16:34

Ik volg je wel: als je gegevens laat lekken kan dat zeer problematisch zijn. Als bedrijf heb je een zekere verantwoordelijkheid.
Maar een paar dagen geen e-mail is voor veel kleine zelfstandigen, hobbyisten en bijberoepers met thuiskantoor ook problematisch. En in het genoemde scenario hoeven ze er niks verkéérd voor te doen, alleen pech hebben. (Verkeerde ipcam gekocht, pc paar dagen niet online geweest en dus (nog) niet automatisch up to date, ...)

Jasper Janssen @the_stickie • 5 april 2018 12:12

Ja, de eindgebruiker moet dat oplossen. Die is verantwoordelijk voor zijn apparaten.

Het gaat er niet om dat hij zich schuldig maakt aan iets, en natuurlijk is hij slachtoffer, maar dat is niet relevant. De eindgebruiker is aansprakelijk en zal zijn eigen spullen op orde moeten maken. Wie zou het dan anders moeten doen? Daarna kan hij voor de kosten daarvan een rekening indienen bij degenen die hem gehackt hebben. De abuse afdeling zal hem daar hartelijk good luck mee wensen.

Als je fiets gejat wordt ben je ook nergens schuldig aan, maar heb je *wel* een kostenpost. Shit happens.

Je spreekt alsof het hier gaat over iets dat hypothetisch ingevoerd zou kunnen worden, maar het gaat hier integendeel simpelweg om een omschrijving van de huidige praktijk.

[Reactie gewijzigd door Jasper Janssen op 23 juli 2024 04:49]

Itrme @Jasper Janssen • 5 april 2018 13:18

Ik zie het nu al gebeuren dat fora volgespamd worden door mensen met apparaten die "opeens" geen internet meer hebben.

En aan de ene kant, de eindgebruiker is inderdaad (deels) verantwoordelijk want wie laat er nou een standaard wachtwoord staan. Of wie gebruikt er nou in hemelsnaam 123456 als wachtwoord (En dat zijn er genoeg ;') )
Aan de andere kant, laten we eerlijk zijn. Producenten van smart apparatuur zijn zelf ook niet altijd even smart, of ze zijn gewoon lui. Genoeg issues die al vanuit de fabriek aangepakt hadden moeten worden.

Wat de DDOS aanvallen betreft. Het is eigenlijk ook belachelijk makkelijk. Een middelbaar scholier kan nog uitvogelen hoe hij voor een 10tje een DDOS aanval inkoopt. Bedrijven leveren dit onder het mom van stresstesten. Voor mijn part mogen ze die bedrijven ook even aan gaan pakken. Laat ze op z'n minst even controleren wie het stresstesten aanvraagt en wie gebruiker/eigenaar is van het IP op dat moment.

Jasper Janssen @Itrme • 19 april 2018 19:53

Het zijn niet de apparaten die dan geen internet meer hebben, maar de hele aansluiting. Een provider kan niet (op ipv4 althans) onderscheid maken tussen verschillende apparaten op je netwerk.

Als je met een willekeurig apparaat naar een website probeert te gaan (any website) kom je terecht op een vangpagina waarin staat gemeld waarom je uitgezet bent en wat je moet doen.

the_stickie @Jasper Janssen • 5 april 2018 16:43

Misschien de bedrijven die kwetsbare hard- of sofware aan de man brachten of de kerels die de malware schreven

Zij zijn verantwoordelijk voor de schade...

Ik heb (hier in België) nog nooit geweten dat een internetverbinding werd afgesloten omwille van malware (wel omwille van misbruik of wanbetaling, dat terzijde). Wel heb ik weet van mensen die gecontacteerd werden door hun provider en gehólpen werden om malware uit te schakelen.
Ben wel benieuwd hoe "anders" dat dan bij jou is...

Jasper Janssen @the_stickie • 19 april 2018 19:59

Misschien de bedrijven die kwetsbare hard- of sofware aan de man brachten of de kerels die de malware schreven
Zij zijn verantwoordelijk voor de schade...

Absoluut, en de eindgebruiker kan ze aansprakelijk stellen. Good luck with that. En dat betekent niet dat jouw provider je moet toestaan om via hun internetverbinding blijven spam te versturen totdat je dat gelukt is.

Ik heb (hier in België) nog nooit geweten dat een internetverbinding werd afgesloten omwille van malware (wel omwille van misbruik of wanbetaling, dat terzijde). Wel heb ik weet van mensen die gecontacteerd werden door hun provider en gehólpen werden om malware uit te schakelen.
Ben wel benieuwd hoe "anders" dat dan bij jou is...

Het soort malware waar ik het over heb valt onder misbruik. Het gaat hierbij om malware die spam gaat versturen en/of ddossen gaat uitvoeren (of natuurlijk andere internetters portscannen om zich te vermeerderen). Dat zijn allemaal gedragingen die, als de provider ze het internet oplaat, ervoor kunnen zorgen dat hele IP ranges en soms zelfs de hele provider geblokkeerd kan worden door de slachtoffer-providers.

Ik weet niet of je wel eens meegemaakt hebt hoe het is als de mailservers van een hele provider op de DNSBL van spamhaus bijvoorbeeld komen te staan? En dat alle klanten van een provider dus geen mail meer kunnen versturen naar ongeveer de helft van alle mailservers op het internet?

Tuurlijk zullen de meeste providers je "helpen" om je infestatie kwijt te raken. Maar wees niet verbaasd als dat helpen eruit bestaat dat je alle PCs moet herinstalleren. En als je zegt dat je dat gedaan hebt en ze moeten je nog een keer uitzetten, dan ga je pas weer aan nadat je facturen overlegt dat je het door iemand anders hebt laten doen.

[Reactie gewijzigd door Jasper Janssen op 22 juli 2024 18:47]

the_stickie @Jasper Janssen • 19 april 2018 20:24

Dat strookt niet met mijn ervaringen. Mijn ervaringen zijn niet sluitend en niet gebaseerd op policies de de providers zouden kunnen hanteren, maar wel helemaal anders dan de jouwe. Domweg afsluiten of iets dergelijks heb ik nog nooit weten gebeuren. Mocht dat wel ooit zo zijn, zal ik die mensen adviseren om van provider te wisselen.

_{de enige "onterechte" afsluiting die ik heb meegemaakt was van iemand die elk uur 1000 mailtjes buiten pompte naar "potentiële klanten" adhv een aangekochte mailinglijst... meer dan 24u lang die was binnen de paar uur weer online na een telefonische bevestiging dat hij gestopt was met mailen spammen}

ShellGhost 5 april 2018 09:46

De NOS bericht over een nationale "firewall". Ik denk dat daar een hoop mensen zenuwachtig van worden.

Een wasstraat voor dit is er al, wordt alleen niet ingezet. Lijkt mij handig dat ze daar eerst gaan beginnen.
En uiteraard doet de Nawas mee, want van wie is die wasstraat? Inderdaad.

hades-2006 5 april 2018 09:55

Nog even een puntje over NaWas.
het is dus niet zo dat alle verkeer altijd over NaWas loopt.
Het verkeer gaat alleen over NaWas als de provider een signalering geeft aan NaWas om een bepaalde range te gaan adverteren via BGP.
dus het "afluister" & "china firewall" idee gaat niet zozeer op.

Verwijderd 5 april 2018 10:02

"een nog te ontwikkelen systeem dat voortdurend fingerprints maakt van potentiële en actieve ddos-bronnen en die automatisch deelt met de aangesloten bedrijven en instanties."

lijkt wel veel op een nieuwe "sleepwet"alleen het verzamelen van data noemen ze nu "fingerprints "...

ocf81 5 april 2018 09:17

Yay, de Great Firewall komt naar je toe deze zomer!
Ik dacht het niet hè? Daarmee komt er veel te veel macht bij de overheid te liggen.

burne @ocf81 • 5 april 2018 09:37

Je praat poep. Geen van deze vijf heeft iets met de overheid te maken, en wat ze voorstellen heeft niets te maken met het beperken van jouw vrij gebruik van internet.

ocf81 @burne • 5 april 2018 09:49

Het woordje overheid is er in andere media immiddels al wél opgeplakt. Maar zelfs als dit zonder directe overheidsbemoeienis uitgevoerd gaat worden komt het neer op een maatregel die te makkelijk voor censuur is aan te wenden. De naam Great Firewall is wat mij betreft zeker van toepassing.

Madcat @ocf81 • 5 april 2018 09:37

Dat dacht ik ook al, de enige oplossing is de op Amsterdam Exchange en Enschede Exchange een firewall zetten die “goedgekeurd verkeer” doorlaat. Dat begint inderdaad met een ddos ip blokkeren, maar daarna komen er filters op uitgaand verkeer die aan kinderporno doen en eindigd met complete controle over wat de overheid wel en niet wil dat we ontvangen of versturen.

Gewoon de banken en belangrijke servers een lompe internet verbinding geven die niet zo snel volgedrukt kan worden en daar de juiste firewalls op zetten zodat die een (ddos) aanval kan herkennen en daarop juist reageert.

Jasper Janssen @Madcat • 5 april 2018 12:16

Zo werkt dat helaas niet. "Lompe internet verbindingen die niet zo snel volgedrukt kunnen worden" bestaan niet.

Moderne DDoS aanvallen zitten in de terabit range. Als je iedere 'belangrijke server' een pijp naar het internet geeft die dat aankan kost dat je a) ontzettend veel geld b) je moet dan ook nog al die servers daadwerkelijk de capaciteit geven om dat af te handelen, en dan moet je meerdere complete datacenters gaan neerzetten per server, dat kan helemaal niet.

SunnieNL

@Madcat • 5 april 2018 12:59

Alleen een firewall op de exchanges is niet heel praktisch. Kijk naar Ziggo, dat netwerk is al vrij groot en verkeer van ziggo naar ziggo blijft intern en gaat niet over een exchange heen.

tw_gotcha

5 april 2018 09:03

Jammer dat de topsalarissen van bankiers afgemeten worden aan de gemaakte winst in plaats van aan digitale veiligheid. Dat zou een veel sterker onderdeel van de verantwoordelijkheid moeten zijn. Succesvol gehackt worden? Negatieve aantekening op je arbeidsverleden

[Reactie gewijzigd door tw_gotcha op 23 juli 2024 04:49]

Bor Coördinator Frontpage Admins / FP Powermod @tw_gotcha • 5 april 2018 09:32

Dat lijkt mij een vrij kortzichtige aanpak. Niet alleen creëer je een cultuur van angst wat in de praktijk uiteindelijk altijd contraproductief uitwerkt maar bovendien kun je absolute veiligheid nooit garanderen. Iets wat 100% veilig is bestaat simpelweg niet.

tw_gotcha

@Bor • 5 april 2018 10:35

ja is ook kort door de bocht, 100% veilig is niet mogelijk (maar dat zeg ik ook niet).
Cultuur van angst geloof ik helemaal niets van, het bankwezen heeft meerdere malen laten zien dat ze heel weinig voeling hebben met de maatschappij en ook niet zo veel persoonlijke verantwoordelijkheid nemen voor resultaten, behalve dat winst of verlies gekoppeld kan zijn aan aandelen die ze zelf hebben. Maar goed, dat is volkomen off-topic. Ik heb sterk het idee dat top onaantastbaar is. Als er al koppen rollen zal het van de technici zijn. Een beetje angst op het hoogste niveau lijkt me niet verkeerd.

himlims_ 5 april 2018 08:48

blijft 'bijzonder' een leerling koopt voor 7,- een ddos; en je hebt die dag geen toets

de kosten om zon ddos te kopen zijn 'niets' in vergelijking wat het kost om te herstellen of aan de ontvangende kant te staan.

Huugje @himlims_ • 5 april 2018 09:33

Zo bijzonder is dat niet, aangezien dat een eigenschap van vandalisme is. Iets slopen is altijd al goedkoper geweest dan iets hufterproef maken.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (82)

Sorteer op:

Weergave: