DigiD heeft opnieuw storing door ddos-aanval - update

Logius waarschuwt woensdag opnieuw dat DigiD onbereikbaar is door een ddos-aanval. De organisatie heeft in de afgelopen dagen meer problemen ondervonden door ddos-aanvallen, die tot gevolg hadden dat de dienst niet te gebruiken was.

Op de site van Logius is een melding over een storing te vinden en het Twitter-account van DigiD meldt dat er opnieuw een ddos-aanval plaatsvindt. Daardoor 'is de website niet continu bereikbaar'. Op het moment van schrijven is deze niet te bereiken en werken diensten als Mijn Overheid en Mijn Duo niet.

Het is de derde keer deze week dat DigiD slecht of niet bereikbaar is door ddos-aanvallen. Eerder wilde Logius niet speculeren over de vraag of de aanvallen onderling verband houden. Het is dan ook onduidelijk of dezelfde personen erachter zitten.

Begin juli was ook Tweakers op bepaalde tijdstippen slecht of niet bereikbaar door ddos-aanvallen. Er is vervolgens een samenwerking aangegaan met NBIP, een non-profitorganisatie die de zogenaamde NaWas-dienst aanbiedt.

Update, 11:38: Een woordvoerder van Logius zegt dat er over de aard van de aanval nog niets te zeggen is en dat deze wordt onderzocht. De organisatie neemt bovendien 'diverse maatregelen om de impact zo klein mogelijk te houden'.

digid-ddos

IT-banen

Reacties (161)

Luno 1 augustus 2018 13:07

Wat ik een beetje mis is er alleen focus is op ddos bescherming van digid. Natuurlijk is dat leik, maar wat mij betreft zou er alternatieven moeten zijn die in werking treden als digid onbereikbaar is.

Nu zit de hele overheid en verzekeringsmaatschappijen achter een inlog met digid. Dat is een single point of failure. Nu is dat door ddos, maar het is ook wel gebeurd dat digid zelf offline was.
Gegeven dat de overheid wil dat we alles zelf en digitaal doen moeten ze zorgen dat er geen single point failure is. Maar, bij onbeschikbaarheid van digid andere inlog manieren beschikbaar stellen.
Op z'n minst één methode waarop je kunt aangeven dat je gepoogd hebt via digid in te loggen. Want soms ben je afhankelijk van het opsturen van gegevens op/voor een bepaalde datum. En nu hang je, en denk niet dat backoffice systemen systemen er rekening mee houden dat het niet jouw schuld is. Door een alternatief waarin je liefst volledig de zaken kunt doen, maar in elk geval kun aantonen dat je wilde inloggen kan men er dan wel rekening mee houden. Ook bij aanvragen kan dan die datum gebruikt worden als start datum (bv voor ingang aanvraag paspoort, uitkering).

Verwijderd @Luno • 1 augustus 2018 15:16

Een tweede systeem kan toch ook tegelijk aangevallen worden?
Om nog maar niet te spreken over de extra kosten en rompslomp die een tweede systeem met zich meebrengt: het moet ontwikkeld worden, onderhouden, het moet syncen met DigiD, tegelijk ge-update, mensen moeten twee usernames + wachtwoorden onthouden, en voor wat? Zodat aanvallers twee manieren krijgen om de communicatie plat te leggen.

Luno @Verwijderd • 1 augustus 2018 16:09

Tuurlijk kan een 2de systeem gelijk aangevallen worden, en 3de ook.
Maar wat kost meer: 1e systeem ddos proof maken, of wat simpelere backup systemen, die (hoewel liever niet) een beperkte functionaliteit brengen, zodat (zie post CBHF hieronder), je een bewijs hebt dat jij gepoogd hebt in te loggen. Qua usernamen heb je gelijk, maar mensen hebben ook nog een BSN en geboortedatum. Staat op paspoort/id, dat zou een alternatief kunnen zijn voor het aangeven mislukte digid inlog.
Misschien moet de overheid de pagina waarop jij te zien krijgt dat je inlogpoging mislukt is gelden als bewijs dat jij je best hebt gedaan.

kozue @Luno • 1 augustus 2018 18:10

Dus jij vind het een goed idee om mensen in te laten loggen als het inlog systeem er uit ligt? Zo kun je eenvoudig in iemand’s account komen zeg. Doe een ddos aanval, en een inlog poging met een account dat niet van jou is, en klaar is kees.

Nee hoor, het enige zinnige wat je kunt doen als het inlogsysteem er uit ligt is niemand meer in laten loggen. Dan doe je die overheidszaken toch morgen wanneer alles weer draait?

GroeneThee @kozue • 1 augustus 2018 18:30

Hoewel ik het deels met je eens ben, zijn ee ook mensen die bij het UWV moeten inloggen om zodoende hun geld te krijgen. En in sommige gevallen heeft elke dag vertraging gewoon serieuze consequenties.

kozue @GroeneThee • 1 augustus 2018 23:05

Beter een dag vertraging met geld ontvangen dan dat iemand anders jouw geld ontvangt omdat ie bij jouw account kan

!dragon! @kozue • 2 augustus 2018 10:51

Het gaat niet om geld een dag later ontvangen.
(volgens mij kan dat niet eens want zijn vastgestelde data waarop de gemeentes geld versturen)

Mensen moeten hun afspraken verzetten/afzeggen ,sollicitatie activiteiten etc.. via de website van het uwv doorgeven,doen ze dit niet kunnen ze gekort worden op hun uitkering.

Nu zal daar uiteraard wel coulance voor zijn als digid eruit ligt
maar je hoeft maar 1 pipo te hebben bij het uwv die het allemaal niet snapt
en je uitkering wordt de maand erop gekort.

Je hebt bv ook steeds meer ziekenhuizen waar je in moet loggen met digid om bv vragenlijsten
in te vullen

Soms is het allemaal best wel een probleem voor mensen als digid eruit ligt

sxbrentxs @Verwijderd • 1 augustus 2018 16:28

Kan iemand zich dat project nog herinneren waar een student ervoor wil zorgen dat men zelf de documenten die voor de overheid zijn bewaard. Waar dan de overheid naar jouw "server" gaat en daar de documenten opvraagt (weliswaar zonder enig moeite, maar dat zijn details die makkelijk uit te werken zijn). Of iets in die richting bijvoorbeeld. Kun je nog steeds DigiD gebruiken, maar dan hnagt het in ieder geval niet meer van jouw af om documenten in te leveren. Dan kun je bijvoorbeeld je vlaggetje van de mailbox omhoog zetten (digitaal natuurlijk) zodat een automatisch systeem zelf kan scannen naar "nieuws".

Ik snap dat DigiD helemaal de shit is voor de overheid, maar keer op keer blijkt dat het gewoon problemen levert. Mocht dat met inlog codes of wat dan ook zijn, mocht dat offline situaties zijn, mocht dat hackers/lastpakken (lees DDoS, phishing, etc.) zijn. Noem maar op. Als je ervoor zorgt dat de burger niet de dupe kan zijn, ben je al voor 75% klaar. Laatste 25% ligt dan ook bij de overheid in het hoekje en onwilligen. I.i.g. iets dat niet centraal is en iedereen afhankelijk van is. Bank storing? Kwart van het land in rep en roer. Ov chipkaart storing? Heel ov in rep en roer. DigiD storing? Might as well file for bankruptcy...

[Reactie gewijzigd door sxbrentxs op 22 juli 2024 20:48]

Gymnasiast @Luno • 1 augustus 2018 15:26

Met dat idee is iDIN ontwikkeld. Werkt volgens de site bij o.a. de Belastingdienst.

burne @Gymnasiast • 1 augustus 2018 18:24

Lijkt me van niet. Ruzie met de bank, ze blokkeren je rekening en dus je iDIN en dan zou je geen belastingaangifte kunnen doen? Sowieso, waarom zou een commercieel bedrijf te vertrouwen zijn met persoonsgegevens? Mijn bank hoeft helemaal niet te weten hoe vaak ik inlog op de site van mijn zorgverzekeraar. Straks gaat m'n hypotheekrente en arbeidsongeschiktheidsverzekering omhoog omdat ik blijkbaar gezondheidsproblemen heb.

iDIN is leuk om te winkelen maar hoort op geen enkele wijze thuis in het verkeer tussen de burger en de overheid.

hydex @Luno • 1 augustus 2018 22:19

Er zijn alternatieve inlogmethodes in ontwikkeling.
Zo kun je bij de belastingdienst al inloggen met
idensys en idin. Daarnaast wordt er nu gewerkt aan e-herkenning voor ondernemers en zijn er pilots met inloggen met je bankpas via een bank. DigiD heeft zijn langste tijd gehad, alhoewel daar ook doorontwikkelingen zijn met name rondom de app met twee weg Authenticatie.

Freakie1NL @Luno • 2 augustus 2018 06:41

Bij verschillende verzekeraars (niet zorg) kan je tegenwoordig inloggen met iDIN. Dat even doorrollen naar zorgverzekering en mijn overheid en jouw beargumenteerde alternatief is er. Is dus minder ver weg dan het lijkt.

Verwijderd @Luno • 1 augustus 2018 15:50

Inderdaad. Die sneue zichzelf vervelende scriptkindjes die ddossen mogen van mij stevig worden aangepakt maar zo'n webstie als Digid maakt het blijkbaar ook wel heel erg gemakkelijk om te ddossen en heeft geen backup-plan voor wat er gebeurt. Een voorbeeldje, je moet je inschrijven voor een studiejaar voor 1 augustus, leuk als dat niet kan omdat een kindje aan het ddossen is.

blazez @kozue • 1 augustus 2018 20:31

Mensen met een ww of ziektewet uitkering moeten op de eerste dag van de maand een inkomstenopgave doen. Dat gaat op de uwv site met digid.
Later je inkomstenopgave doen betekend ook later je uitkering. En precies op die eerste dag voeren eikels een ddos aanval uit op digid.
Dat kan voor mensen die daarvan afhankelijk zijn best wel serieuze consequenties hebben ja.
Het is niet altijd iets wat je “dan maar op tijd had moeten doen”.

Edit, bijzonder. Lijkt me toch een duidelijk probleem voor het moment voor zo een doos aanval. En dan geven mensen toch een -1. Hoezo is dat dan ongewenst? Omdat je zelf daar niet mee te maken hebt?

[Reactie gewijzigd door blazez op 22 juli 2024 20:48]

kozue @blazez • 1 augustus 2018 23:08

Dan is niet het er uit liggen van digid het probleem maar het systeem dat de overheid heeft bedacht voor het opgeven van inkomsten. Alles wat je perse op 1 bepaalde dag moet doen is al bij voorbaat kansloos. Wat als je die dag iets hebt waardoor je het niet in kan voeren? Lijkt me niet zo moeilijk om mensen het al eerder in te laten voeren toch?

mjansen2016 @kozue • 2 augustus 2018 05:24

Je hoeft niet alles op 1 bepaalde dag te doen, maar elke dag later duurt het ook langer voor je het op je rekening hebt. Het verwerkingsysteem(wat eigenlijk rente spekken door de overheid is IMHO) werkt als volgt.

Sinds 1 Juli 2015:
Vanaf de 1e van de maand, 00:00 mag je je inkomsten opgeven bij het UWV, om de een of andere manier heeft het systeem dan standaard 3 werkdagen nodig op je uitkering te berekenen, waarna er een automatisch gegenereerd mailtje van de rekensom, in een vorm van een afschrift naar je toe word gemaild. Hierna is het standaard nog een werkdag(sommige banken zelfs 2). Dit "volautomatische systeem" werkt ook niet in het weekend. Er is geen enkele reden waarom dit systeem er zo lang over moet doen.

Voor 1 Juli 2015:
Elke 28 dagen kreeg je 70% van het gemiddelde wat je de afgelopen 5 jaar per 28 dagen verdiende gewoon bijgeschreven op je rekening, had je extra inkomsten, moest je die handmatig doorgeven en werden ze later verrekend, en hier kreeg je dan bericht over als ze dat gingen doen, wanneer en hoeveel. HELDERDER KON NIET!.

Er is geen enkele logische reden waarom het UWV, na al die beperkingen en bezuinigingen van de afgelopen jaren er zo'n enorme poppekast van heeft gemaakt.

[Reactie gewijzigd door mjansen2016 op 22 juli 2024 20:48]

ALRD @mjansen2016 • 2 augustus 2018 08:24

Er is geen enkele logische reden waarom het UWV, na al die beperkingen en bezuinigingen van de afgelopen jaren er zo'n enorme poppekast van heeft gemaakt.

Behalve dan het feit dat de fraude met ww uitkeringen hierdoor gehalveerd is.

mjansen2016 @ALRD • 2 augustus 2018 09:25

Met nieuwe systeem kan je net zo makkelijk frauderen als het oude. Binnen het oude systeem kon je nog wel eens "per ongeluk" vergeten om dingen door te geven, en in het nieuwe pleeg je dan moedwillig valsheid in geschriften, dat klopt.

Alsnog, de belastingdienst en het UWV werken samen, en die boete komt dan achteraf wel op de mat vallen. Het lijkt me sterk dat minder fraude in dit geval tot minder financieel verlies heeft geleden, hooguit minder onderzoekjes en nazorg voor de ambtelijke molen die het toch al zo verschrikkelijk druk hadden.

Verwijderd @kozue • 2 augustus 2018 00:50

Dat heeft er niets mee te maken!

GreatDictator @Luno • 1 augustus 2018 17:03

Je dient er natuurlijk wel zelf voor te zorgen dat je met dergelijke aanvragen op tijd bent. En dat betekent niet op het allerlaatste moment nog zo'n rekening willen betalen. Doe dat met minimaal een paar dagen marge want dit soort dingen kunnen gebeuren. Dat was in het pre-digitale tijdperk ook gewoon zo.

Annihlator @GreatDictator • 1 augustus 2018 18:32

Leuke verwoording, maar niets waard zonder storingen en zelfs onderhoud(!) duidelijker te communiceren (zijnde pro-actief in plaats van als je toevallig een paar dagen ervoor ingelogd was).

Vaker van werk.nl gebruik moeten maken en dan wil je een taak inleveren die over 2 dagen binnen moet zijn, maar je de rest van het weekend niet bij een internetlijntje zit... natúúrlijk zal op die vrijdagavond er gepland onderhoud zijn en alleen uitstel gegeven worden tot de volgende dag.

Op het moment dat hun systemen plat liggen en dat is mij niet vooraf bekend, is dat niet meer dan een overmachtssituatie voor mijn part. om dat tegen te kunnen spreken zou er minstens een daadwerkelijke mitigatiemethode/alternatief voorhanden mogen zijn; en die is er botweg al járen niet, en de problemen wél.

blazez @Annihlator • 1 augustus 2018 20:33

Ook ooit een inkomstenopgave moeten doen? Die op de eerste dag vd maand binnen moet zijn of anders komt je uitkering ook later? Daar kan je niet vooraf aan doen.

mphilipp 1 augustus 2018 11:37

Misschien moet iemand van Digid hier eens kijken?

Batiatus @mphilipp • 1 augustus 2018 12:26

Volgens mij gebruikt DigiD de DDOS wasstraat van Equinix al (Datacenter voor rijksoverheid).

mphilipp @Batiatus • 1 augustus 2018 12:32

Met veel succes merk ik...

Glashelder

@mphilipp • 2 augustus 2018 11:58

Je weet dat je met genoeg bandbreedte _alles_ plat krijgt..?

RGAT @mphilipp • 1 augustus 2018 12:06

Het is denk ik niet echt wenselijk om de NaWas DigID te laten doorzoeken...

AW_Bos

@RGAT • 1 augustus 2018 12:17

NaWas is anders behoorlijk transparant, Nederlands en zeer legit.
Ik weet niet of een overheidsorganisatie zoals DigiD wettelijk zo'n dienst als Nawas mag gebruiken, maar het is beter dan Cloudflare. Vooral omdat het scrubben van de packets op Nederlandse bodem plaatsvindt.

wica @AW_Bos • 1 augustus 2018 12:37

Wil je dat NaWas, het encrypte verkeer van digid gaat decrypten ?
Anders is er namelijk geen mogelijkheid voor NaWas om het verkeer schoon te maken.

AW_Bos

@wica • 1 augustus 2018 12:44

Encrypt op welke manier, bedoel je?
SSL?

wica @AW_Bos • 1 augustus 2018 12:59

Ja, SSL. Is er een andere gangbare manier op https verkeer te encrypten?

AW_Bos

@wica • 1 augustus 2018 13:12

Tweakers had ook NaWas aangezet, en zij hebben ook alles achter SSL.

RGAT @AW_Bos • 1 augustus 2018 13:14

Tweakers host echter niet informatie die zo gevoelig is als wat er aan DigID hangt...

AW_Bos

@RGAT • 1 augustus 2018 13:25

Ja, maar SSL wordt toch niet ge-decrypted door een dienst zoals NaWas?

RGAT @AW_Bos • 1 augustus 2018 13:57

Ik weet de exacte technische werking van Nawas niet, maar het lijkt erop van wel.
Als ze alleen filtering doen op basis van IP had een 'simpele' firewall dat ook wel gekund, dan zou Nawas niet veel nut hebben anders dan een hoop bandbreedte. Nawas benadrukt zelf vaak dat verkeer gereinigd wordt wat in ieder geval de suggestie wekt dat het inderdaad grondig doorzocht wordt op zaken die er niet in horen.
Ik neem aan dat Nawas niet met verkeer zou rommelen, maar aangezien ze ook aftap mogelijkheden leveren is dat wat gevoeliger om die te combineren

Annihlator @AW_Bos • 1 augustus 2018 18:39

Hoe zou je anders de inhoud van die SSL-verbinding moeten kunnen wassen? daarvoor moet natuurlijk wel de inhoud zichtbaar zijn... daarvoor zal je MITM-achtige praktijken moeten uitvoeren wat moeilijker te verantwoorden is bij (inderdaad) gegevens met een dergelijke privacygevoeligheid.

Aardedraadje

@wica • 1 augustus 2018 13:10

TLS. SSL is niet meer.

PizZa_CalZone @wica • 1 augustus 2018 13:04

Je hoeft toch geen inhoud van pakketten te lezen om erachter te komen of het legitiem verkeer betreft?

Yariva Moderator internet & netwerken @PizZa_CalZone • 1 augustus 2018 13:19

Hangt van het type aanval af. Bij een simpele udp flood is dit niet noodzakelijk maar zodra je op laag 7 trucs gaat uithalen zal die encryptie er eerst af moeten.

PizZa_CalZone @Yariva • 1 augustus 2018 15:20

Dat is precies waar ik op doel. Het zal me overigens wel verbazen als het gemeengoed is dat private key's naar een DDOS-wasstraat worden gestuurd om deze filtering te kunnen uitvoeren op laag 7.

timvisee @AW_Bos • 2 augustus 2018 06:14

Er zijn wel meer overheidssites die hier gebruik van maken als een aanval dreigt. Bovendien voldoet NaWas naar mijn weten aan alle benodigde certificaten vereist voor websites die gebruik maken van DigiD zoals door hun is voorgeschreven. Ik denk dat dit geen probleem zou moeten zijn, zelf blijken ze het een iedergeval niet op te kunnen lossen.

mphilipp @RGAT • 1 augustus 2018 12:32

Dat is inderdaad een goede reden

jdverolme @mphilipp • 1 augustus 2018 13:44

Lijkt erop dat dit al eens via de Nawas heeft gelopen
https://radar.qrator.net/...te=2018-08-01&tab=current

AS16243

Scraxxy @mphilipp • 1 augustus 2018 13:18

Daar mogen banken geen gebruik van maken.

bartgymnast 1 augustus 2018 12:22

Aangezien dit nu voor de 3e dag gebeurt, waarom gooien ze de deur vanaf buitenlandse providers (AS codes) niet dicht?

Het enige nadeel is dat men vanuit het buitenland tijdelijk niet kan inloggen.

Mocht de aanval dan nog bezig zijn, ben je er iig zeker van dat het vanuit Nederlandse IP's komt

jimmy_dg @bartgymnast • 1 augustus 2018 13:11

"Mocht de aanval dan nog bezig zijn, ben je er iig zeker van dat het vanuit Nederlandse IP's komt"
Hoe is dit relevante informatie?

useruser @jimmy_dg • 1 augustus 2018 13:24

"Mocht de aanval dan nog bezig zijn, ben je er iig zeker van dat het vanuit Nederlandse IP's komt"
Hoe is dit relevante informatie?

Omdat je dan sneller actie kunt ondernemen. Je kunt als politie zijnde vrij eenvoudig in Nederland ergens even aanbellen. Als het gaat om een Chinees/Russisch IP adres van een VPS provider wordt het een stuk ingewikkelder.

Scraxxy @useruser • 1 augustus 2018 13:28

Zijn punt is dat je daar extern en potentieel legitiem verkeer niet voor hoeft te blokkeren. Aldus niet relevant.

johnkeates @useruser • 1 augustus 2018 14:03

De illusie dat je bij een DoS aanval altijd even de source kan vinden en aanpakken moet je kwijt zien te raken; het is extreem eenvoudig om een DoS of DDoS aanval te doen zonder als aanvaller zichtbaar te zijn, bijvoorbeeld door reflection + amplification attacks of botnets met Nederlandse adressen.

RGAT @bartgymnast • 1 augustus 2018 13:16

Maar je kan nu al zien van welke IP's het komt?...

PolarBear @bartgymnast • 1 augustus 2018 13:17

Omdat een DDoS ook prima van Nederlandse adressen kan komen? Omdat er ook vanuit het buitenland wordt ingelogd? Omdat AS codes niet failsafe zijn (ik heb echt een Nederlandse zakelijke glasvezelverbinding maar de NOS denkt dat ik in het buitenland zit).

Verwijderd @PolarBear • 1 augustus 2018 18:34

De NOS gebruikt dan dus ook niet de AS-nummers maar gebruikt een database zoals dat van Maxmind en laten ze deze databases nou net niet realtime updaten met alle gevolgen van dien.

Dat zelfde heb ik trouwens met diverse IP-Adressen bij mijn OVH Dedicated Servers. Frankrijk, Polen, Nederland, Spanje.... het is te selecteren. Volgens RIPE behoren die adressen ook tot die landen maar volgens Maximind is en blijft het gewoonweg Frankrijk.

Scraxxy @bartgymnast • 1 augustus 2018 13:21

Waarom zou men nu nog niet kunnen zien of het wel of niet verkeer vanuit Nederland betreft?

mjz2cool @bartgymnast • 1 augustus 2018 14:56

en wat kun je met die informatie? dat je niet vanuit het buitenland rechtstreeks kunt aanvallen wil niet zeggen dat de aanval niet uit het buitenland kan komen.

dj_ryow 1 augustus 2018 12:02

Is het tegenwoordig nog steeds zo dat ddos-aanvallen mogelijk zijn door de vele besmette oude windows-computers van over de hele wereld? Zo ja, dan zou het aantal geïnfecteerde systemen na verloop van tijd toch wel stap voor stap af moeten gaan nemen door de verbeterde beveiliging van Windows 10, Android en IOS en sowieso door het steeds dalende aantal desktops en laptops. Of zie ik iets over het hoofd?

eric.1

@dj_ryow • 1 augustus 2018 12:10

Het gaat zeker niet alleen om (ver)oude(rde) windows PCs. Verkeerd ingestelde Web- en DNS(-relay)-servers worden bijvoorbeeld ook nog wel eens misbruikt, naast de zeer zwak beveiligde IoT-apparaatjes die allemaal mooi met het internet verbonden zijn

(en zo kan je nog even bezig blijven

[Reactie gewijzigd door eric.1 op 22 juli 2024 20:48]

SinergyX @dj_ryow • 1 augustus 2018 12:57

Het verplaatst zich allemaal, van oude Windows PCs hebben we nu een compleet nieuw segment, IoT's. Van IP camera's tot default-wachtwoord routers, alles wat is aan te passen, kan worden aangepast en toegang tot kan worden gekregen, kan onderdeel worden van een botnet.

Zelfs je smart-TV (als die gaten heeft) zou zelfs hiervoor gebruikt kunnen wordne.

Loggedinasroot @dj_ryow • 1 augustus 2018 12:59

Voor elke "oude windows bak" heb je nu 20 brakke IoT apparaten.
In 2020 zullen er zo'n 40miljard IoT devices zijn.
En dan te bedenken dat de S in IoT voor security staat.

Annihlator @dj_ryow • 1 augustus 2018 18:45

over het algemeen zijn tegenwoordig reflectie- en amplificatie- aanvallen populairder dan pingfloods, hoofdzakelijk omdat je fouten in andermans resources gebruikt ipv zelf meer resources te moeten hebben.
(met DNS-amplificatie-aanvallen is het bijvoorbeeld mogelijk om met een vrij klein request een vele male grotere respons te krijgen, tot-aan wel 50:1 of 100:1 factoren.)

johan501 1 augustus 2018 11:41

Misschien een gekke vraag, maar is er niet een beveiligd tegen DDOS? Weet wat DDOS is, maar ik vraag het me af.

mcDavid @johan501 • 1 augustus 2018 11:57

Helaas is er niet heel veel wat je er tegen kunt doen. Uiteindelijk komt het neer op een wedstrijdje wie de grootste bandbreedte heeft. Er zijn "anti-DDOS" diensten (zoals cloudflare, akamai), die hun wereldwijde netwerk met praktisch onbeperkte bandbreedte hiervoor lenen. Het probleem is alleen, dat je om zo'n dienst te gebruiken, al je verkeer moet proxy'en via hun servers. En dat is nou net iets wat je voor iets kritisch als DigiD natuurlijk niet wilt doen.

Rest dus de enige andere optie: Het kat-en-muis spelletje spelen waarbij je slimme blokkades instelt om kwaadwillend verkeer van het legitieme te scheiden. Dat is niet altijd makkelijk bij DDOS aanvallen, en werkt eigenlijk alleen reactief omdat je eerst het verkeer moet analyseren.

AW_Bos

@mcDavid • 1 augustus 2018 12:23

Je kan het ook op datacenter layer uitvoeren, zoals Nawas. Bij kom dan gewoon op hun server uit, echter zie je de NaWas anti-DDOS dienst ertussen. Je hoeft niet eens te proxiën. het is echter alleen eenvoudig te doen als je een eigen AS-number hebt.of minimaal een eigen colo. Cloudflare is ook wel leuk, maar dat is mer voor mensen die zich niet bekommeren om proxy'en en die minimaal de nameserver kunnen aanpassen van hun domein.

[Reactie gewijzigd door AW_Bos op 22 juli 2024 20:48]

burne @AW_Bos • 1 augustus 2018 18:34

Cloudflare is ook wel leuk

Door een proxy heen authenticeren.

Ik hoop dat je weet hoe slecht dat idee is. Cloudflare is een Man In The Middle-attack die je zelf installeert. Het bijna nog slechter dan al het verkeer decrypten zodat het door nawas kan.

AW_Bos

@burne • 1 augustus 2018 19:07

Of je leest de rest na die zin nog even.

Verwijderd @johan501 • 1 augustus 2018 12:18

De verbinding naar jou server is een soort autoweg tunnel, jij bent eigenaar van de tunnel en hebt belang bij de juiste doorstroming van die tunnel maar je kan er eigenlijk geen reet aan doen als er in één keer 4x meer auto's aan komen dan jou tunnel kan verwerken in een acceptabel tijdsbestek en dus gaat dat ding op slot.

Er is wel wat tooling waar je wat mee kan doen en dure firewall oplossingen die daar misschien heel slim in zijn tegenwoordig maar het komt er eigenlijk gewoon op neer om meer capaciteit te hebben dan ze neer kunnen halen.
Als je gewoon een specifiek ding hebt wat op een specifiek budget werkt is dat eigenlijk altijd een uitdaging. Zeker bij zo'n digid met beveiligings implicaties stuur die die niet even via een boer zoals cloudfare die hier mee kan om gaan zoals mcDavid terecht opmerkt.

[Reactie gewijzigd door Verwijderd op 22 juli 2024 20:48]

JHas 1 augustus 2018 11:27

Wachten nu al maanden op een alternatief privaat alternatief. Accepteer IDIN gewoon.

Verwijderd @JHas • 1 augustus 2018 11:41

Grappig: als er wat in het private domein fout gaat wordt er hier geroepen dat de overheid het moeten doen andersom gebeurt hetzelfde. Wat willen we nou?

stresstak @Verwijderd • 1 augustus 2018 12:20

Wat willen we nou?

We willen dat het werkt. Altijd en zo goed mogelijk. Hoe dat moet boeit me niet echt, ik heb het niet bedacht.

Het feit dat het nu al drie dagen speelt suggereert dat het gewoon kan voortgaan. Sterkte aan allen die het nu even nodig hebben. Mij zien ze pas weer ergens in het volgend voorjaar.

walteij @stresstak • 1 augustus 2018 12:44

Dan bedenk eerst maar eens aan welke regels een dergelijk systeem moet voldoen;

Veilig
Snel
Altijd beschikbaar
Gebruikersvriendelijk
Flexibel, zodat alle overheidsinstanties het gebruiken
Overzichtelijk
Beheerbaar
Makkelijk te upgraden indien er een lek gevonden wordt
Stabiel
DDOS bestendig
Betaalbaar

En dit is een lijstje dat ik in 3 minuten heb kunnen verzinnen, de overheid zal vast nog wel wat meer eisen hebben.
Ik kan uit deze lijst zo al 4*2 items pakken die elkaar bijten (veilig en gebruikersvriendelijk, flexibel en beheerbaar, stabiel en makkelijk te upgraden, altijd beschikbaar en betaalbaar). Er zal dus altijd een afweging en een juiste beslissing gemaakt moeten worden.

DigID is geen geweldig product en het heeft zeker de nodige tekortkomingen (geen verplichte MFA bijvoorbeeld, zelfs als je dat wel hebt ingesteld in je accountinstellingen), maar het doet wel wat het behoort te doen, namelijk de burger op een eenduidige manier laten inloggen bij overheidsdiensten.

Ga maar eens voorzichtig denken hoe jij dit zou doen.
Daarnaast vind ik IDIN dus weer geen passende oplossing, IDIN is voor commerciele doeleinden ideaal, maar bij mij gaat de schoen wringen als ik een bank-login moet gaan gebruiken voor zaken doen met de overheid. Die twee zijn gescheiden en dat hoort ook zo te blijven (naar mijn niet al te bescheiden mening).

stresstak @walteij • 1 augustus 2018 12:56

Ga maar eens voorzichtig denken hoe jij dit zou doen.

Neen. Zoals gezegd, ik heb het niet bedacht. Ik wil dat het werkt.
Het grootste deel van mijn leven hadden overheden geen Digid en internet. Nu het gebruik ervan mij wordt opgedrongen wil ik dat het werkt. En goed. En altijd.

walteij @stresstak • 1 augustus 2018 13:38

En meestal werkt het dus. Nu werkt het minder, omdat er een stelletje idioten zijn die het leuk vinden om een DDOS aanval te doen op DigID. Ja er zijn beschermingen voor mogelijk, maar ook deze zijn niet zomaar neergezet, daarnaast is het ook nog eens de vraag wat deze beschermingen voor effect hebben op normaal verkeer, dus niet alleen het inloggen op DigID, maar ook de koppellingen met andere overheidsdiensten en -websites.
Je wil gewoon dat het werkt, het probleem is alleen dat DigID met alles er omheen een heel stuk gecompliceerder is dan het login formulier op tweakers, maar ook gecompliceerder is dan IDIN (puur vanwege het grote aantal organisaties en diensten waar DigID mee moet communiceren).

De eisen die je stelt, zorgen gewoon voor een verveelvuldiging van de kosten voor DigID (die al niet te flauw zijn). Wie gaan die extra kosten betalen? Uiteindelijk ben jij dat als burger.

Verder is de opmerking van @Dwarlorf ook erg treffend. Brieven konden natuurlijk niet verloren gaan, belasting aangiftes per post gingen ook altijd goed en duidelijk, het aanvragen van vergunningen, inzien van je pensioen, de WOZ waarde van je huis, het aanpassen van gemeentebelastingen (voor je hond bijvoorbeeld), dat ging natuurlijk allemaal veel sneller, beter en eenvoudiger toen het nog niet digitaal kon of wel?

Verwijderd @walteij • 1 augustus 2018 15:54

De ouderwetse post is inderdaad ook een ellende (vertraging, niet aankomen) maar laten we wel wezen, je kan beschermingen inbouwen tegen DDOSen die het in ieder geval veel moeilijker maken voor sneue scriptkindjes om dit te doen. Verder mogen de mensen die de software schrijven die deze kindjes hiervoor gebruiken ook wel wat meer verantwoordelijkheid nemen en die software minder n00bvriendelijke maken zodat ze het niet kunnen gebruiken. Je gaat toch niet een pistool aan een peuter geven, dit is hetzelfde. Mensen die geen enkele programmeervaardigheid hebben geef je middelen waarmee ze veel schade kunnen aanrichten, in ieder geval kan je bij goede programmeurs nog hopen dat ze voldoende verstandig zijn dat ze het niet misbruiken voor zoiets maar enkel voor activisme inzetten (tegen oliebedrijven, ondemocratische regimes, een FCC die de netneutraliteit afschaft of zo), met het DDOS'en van DigiD benadeel je enkel de gewone burgers.

[Reactie gewijzigd door Verwijderd op 22 juli 2024 20:48]

Dwarlorf @stresstak • 1 augustus 2018 13:17

Want vroeger met bellen en brieven sturen werkte alles natuurlijk vlekkeloos en vooral ook sneller. Als digid er 3 dagen uit ligt is het nog sneller dan wachten op een antwoord op een brief die je verstuurd hebt naar een overheids instantie.

[Reactie gewijzigd door Dwarlorf op 22 juli 2024 20:48]

Annihlator @Dwarlorf • 2 augustus 2018 11:40

Behalve dat de processen via DigiD er tegenwoordig vaak ook op ingespeeld worden om binnen 1 dag uitgevoerd te laten worden... beetje jammer als op die dag dus een DDOS plaats vindt (zoals gister, de 1e van de maand mogen mensen die een WW ontvangen hun inkomstenopgave doen en als zij dit later doen, is de uitkering ook al later, die op het moment van invullen eigenlijk al te laat is.)

eelco74 @JHas • 1 augustus 2018 11:44

Alsof idin niet vatbaar is voor een dos aanval. Idin is een alternatief gedragen door de banken en ook die zijn regelmatig onbereikbaar door een dos aanval.

Djordjo @JHas • 1 augustus 2018 12:08

Of Idensys, hiermee kun je je authenticeren bij meerdere private partijen. (Het gebruik van iDIN bij Mijn Belastingdienst is op dit stelsel gebaseerd)

SKiLLa @JHas • 1 augustus 2018 13:37

"Accepteer IDIN gewoon".

Nee, IDIN is een heel slecht alternatief:
- Gebaseerd op - inmiddels verouderde - iDEAL ontwerpen.
- Privacy van de eindgebruiker is - by design - niet geborgd (zie ook voorgaande punt).

Tweakez 1 augustus 2018 12:07

Vervelende tieners incoming... moet echt eens klaar zijn met die makkelijke wegen om een DDOS uit te voeren.. Bestaan nog teveel websites waar je voor een klein bedrag een aanzienlijke hoeveelheid connecties kunt inkopen om daarmee een "DDOS" uit te voeren.. Enige wat je doet is de server stressen want meer dan poort 80 doen ze vaak niet die scriptkiddo's.. Doe het goed, of doe het niet..

Verwijderd @Tweakez • 1 augustus 2018 13:04

Doe het goed, of doe het niet..

Dus jij wilt dat alleen pubers ophouden maar je vind meer geavanceerde aanvallen wel okay?

En zolang er landen zijn waar wetgeving niet bestaat of gewoon niet gehandhaafd word is het idee om dit soort services te verbieden natuurlijk niet erg mogelijk.

Annihlator @Tweakez • 1 augustus 2018 18:49

Je kan een heleboel verschillende soorten aanvallen kopen, de pingflood is zelfs relatief impopulair omdat die duurder is (door de grotere hoeveelheid benodigde bandbreedte). Dit lijkt mee te werken in de trend dat er meer repli- en amplificatieaanvallen lijken te gebeuren dan simpele ping/echofloods.

dubbeldekkert 1 augustus 2018 11:27

Fijn als je de parkeeractie van een gast in Amsterdam wilt stopzetten maar al uren niet kan inloggen.
Nu kost het nodeloos geld. Gisteravond was DigiD ook al erg slecht bereikbaar.

robbinwehl 1 augustus 2018 12:20

en het is weer zomervakantie... ieder jaar terugkerend

SSDtje

1 augustus 2018 13:37

En ondertussen zit de verveelde tiener die hier misschien wel voor verantwoordelijk is, lekker op zijn zolderkamertje hier op Tweakers ondertussen in alle rust dit artikel door te lezen, en zit zich wellicht wel helemaal kapot te lachen, op de ideeën die hier in de reacties zoal in de groep worden gegooid, over wat en wie het wel eens zou kunnen zijn die dit veroorzaakt.

Ik zou er werkelijk waar nog niet eens raar van opkijken ook, wanneer dit zo zou blijken, weten jullie dat, echt werkelijk.

MiesvanderLippe @SSDtje • 1 augustus 2018 20:04

Dat was toch met die gast van Bunq? Die kreeg niet eens een zaak omdat Bunq het zielig vond. Die jongen is uiteindelijk door z'n sensatie zoeken op Tweakers nog ontdekt ook.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (161)

Sorteer op:

Weergave: