Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

'Afhankelijkheid banken van Akamai is twijfelachtig' - update

Het Amerikaanse Akamai is dominant op de financiële markt met zijn bescherming tegen ddos-aanvallen, blijkt een rapport van het CPB. De Nederlandse banken ING, ABN Amro en Rabobank ontkennen afhankelijk te zijn van het bedrijf.

Van de dertig grootste banken wereldwijd nemen er zestien de ddos-bescherming van Akamai af, schrijft het FD naar aanleiding van de Risicorapportage Cyberveiligheid van het Centraal Planbureau. Dat rapport verschijnt maandag. Het CPB stelt dat het de vraag is of de marktconcentratie gewenst is: "Immers, valt in dit geval Akamai om, door bijvoorbeeld een grote ddos-aanval, dan heeft dit potentieel een keteneffect. Dit hoeft zich niet te beperken tot uitval in de bankensector alleen."

De drie grote Nederlandse banken ING, ABN Amro en Rabobank stellen tegenover het FD ook andere diensten af te nemen om ddos-aanvallen af te weren en dus niet afhankelijk te zijn van Akamai. In de afgelopen jaren lagen de online diensten van banken regelmatig onder vuur van ddos-aanvallen, waar klanten hinder van ondervonden.

Hoogleraar aan de Universiteit Twente Aiko Pras, die onderzoek doet naar ddos-aanvallen, wijst op de risico's: "Amerikaanse bedrijven zoals Akamai krijgen steeds dieper inzicht in ons betalingsverkeer, terwijl wij kennis kwijtraken." Waarschijnlijk doelt hij op de analyse van tls-verkeer door Akamai voor de detectie en mitigatie van aanvallen.

Update, 13.00: Link naar Risicorapportage Cyberveiligheid aangebracht, verduidelijkt wat er in dat rapport staat en fouten verbeterd. Onder andere stond foutief in het FD-bericht dat achttien in plaats van zestien banken Akamai afnamen.

Door Olaf van Miltenburg

Nieuwscoördinator

15-10-2018 • 07:26

150 Linkedin Google+

Reacties (150)

Wijzig sortering
Toen ik voor bekende bank een analyse maakte van de beschikbare Ddos scrubbers, hebben wij verschillende oplossingen vergeleken. Akamai is niet de beste oplossing en zeker niet de enige, dus is de bewering van de banken heel waarschijnlijk ook juist.

Er is ruime keuze en daarnaast gebruiken de meeste banken en online betalingsproviders een mix van verschillende oplossingen tegelijk zoals Imperva (Cloudflare), F5, Barracuda op verschillende lagen van infrastructuur en applicatie.

Akamai wordt zoals eerder vermeld in deze blog, enkel gebruikt als paraplu op een moment dat men al weet dat de bui wereldwijd zwaar tekeer gaat. Het paraplu-systeem suggereert dat het gebruikt moet worden tegen zwaar geschut, maar of het daarom veiliger is en meer up-time oplevert, blijft maar zeer de vraag. In de praktijk knijpt Akamai de bandbreedte zodanig dicht, dat maar zeer gelimiteerd betaalverkeer doorgaat... dus geen oplossing tijdens een koopjesperiode.

bvb. Cloudflare in vergelijking staat altijd online en grijpt automatisch en onmiddelijk in zonder menselijke activatie. Bovendien tracht Cloudflare automatisch via een soort van load-balancing datacenters en bandbreedte te bereiken waar het netwerk de eindklant beter kan bedienen.
Wat wil je precies met dat cloudfare stuk zeggen? Is dat juist goed of slecht?
Ik maak hier geen reclame voor Cloudflare, maar hoe sneller de Ddos wordt afgeweerd, hoe beter. Beeld je in hoeveel schade een Ddos kan aanrichten terwijl iemand van Akamai Security aan de lijn krijgt met de opdracht om de proxy aan te zetten...

[Reactie gewijzigd door blackbaby op 15 oktober 2018 16:34]

Ook al zou je dat wel doen, ik wilde gewoon weten of het goed of slecht was. Ben namelijk niet echt thuis daarin
Weet je nog welke Europese aanbieders je destijds op je lijstje van DDOS scrubbers had staan?

[Reactie gewijzigd door Maurits van Baerle op 15 oktober 2018 11:37]

Ik herinner mij alvast dat het niet ging over Europees of niet-Europees, doch welke van die bedrijven de Patriot Act hebben niet hebben getekend. Helaas kan ik de info niet meer opzoeken, bovendien twijfel ik of dit na 2 jaar nog correct zou zijn.
Vraagje - krijg je altijd met CloudFlare dat irritante laad/checkscherm of is het een optie die je (tegen betaling?) uit kan zetten? Dat scherm (en de lange tijd die het nodig lijkt te hebben) is de primaire reden waarom ik zelf een afkeer van CF heb.

[Reactie gewijzigd door MicBenSte op 15 oktober 2018 19:08]

Ik betwijfel of het weglaten van één of ander laad/check scherm een betalende optie zou zijn. Neem contact op met een vertegenwoordiger.
Dat scherm verschijnt alleen als CloudFlare twijfelt of je request wel legitiem is op basis van een 'threat-score'. Bezoek met een lage score krijgt dat scherm niet te zien en mag zo door.

Je kunt het uitzetten ja, natuurlijk wel ten koste van de beveiliging waarvoor je CloudFlare in de eerste plaats inschakelt. Zet het Security Level op 'Essentially Off' in je dashboard (https://support.cloudflar...ptcha-challenge-page-off-)
Maar ze kunnen toch alleen het tls verkeer inzien als het ip-adres waar het vandaan komt en meer niet. Het is tenslotte versleuteld verkeer.

Het lijkt mij sterk dat de ING, ABN Amro en Rabobank SSL certificaten van akamai heeft geïntegreerd. Dat zou een mega beveiligings lek zijn namelijk omdat akamai dan inderdaad de inhoud van het verkeer geheel kan lezen. Of ik moet het verkeerd begrijpen.
Dat is exact wat er gebeurd. Als jij een verbinding opzet met rabobank.nl, dan zet je bijvoorbeeld een verbinding op met '104.64.33.22'. De beveiligde verbinding loopt dus vanaf jouw computer tot aan dat ip.

Dat ip is van akamai, dus akamai heeft het SSL certificaat van de rabobank. Hiermee kan akamai alle verbindingen naar rabobank.nl inzien en decrypten. Dat doen ze om ddosbescherming aan te kunnen bieden. Een cloudflare doet hetzelfde.

Daarom vind ik die partijen ook geen oplossing, en is iets al NaWas veel beter imo

[Reactie gewijzigd door Kees op 15 oktober 2018 07:53]

Dit is alleen het geval bij Rabobank. ING en ABN AMRO laten hun TLS verkeer niet decrypten door Akamai.
Ing.nl = 23.34.183.37 = akamai
Abnamro.nl = 167.202.214.30 = abn amro, dat klopt

Je reactie klopt voor 50% ;)
dat het verkeer via een ip loopt, betekend nog niet direct dat hun TLS kunnen lezen. Het kan ook simpelweg blind doorgezet worden naar de ing? Zoiets als dat je provider ook braaf de pakketjes door zet zonder dat ze TLS kunnen (in)zien.
Klopt op basis van de SNI kunnen TLS sessie pakketjes naar de juiste instantie worden doorverwezen.
Ja, maar blind doorzetten zou een aantal beveilligingen niet effectief zijn, waar akamai in het verkeer kijkt. In theorie zou het kunnnen.

De standaard configuratie die ik kan vinden is dat akamai, het decodeerd, en er vervolgens een certificaat op zet dat de klant weer op zijn server moet zetten. (dat zou dezelfde kunnen zijn). Echter de handleidingen staan al achter een login, en dat bepaald klanten een afwijkende opzet hebben zou me ook niet verbazen.

Maar ook als het "blind" zou worden doorgezet krijgt akamai best wat verkeersinformatie die dan in het buitenland verwerkt wordt.

/edit: en het hoofd artikel heeft het er ook over dat er een SPOF is voor meerdere banken. Als akaimai plat gaat, gaat er dus een meerderheid van de banken ook (tijdelijk) ofline.

[Reactie gewijzigd door leuk_he op 15 oktober 2018 14:27]

-

[Reactie gewijzigd door CurtPoindexter op 15 oktober 2018 09:52]

Het staat letterlijk in het artikel:
[...] Waarschijnlijk doelt hij op de analyse van tls-verkeer door Akamai voor de detectie en mitigatie van aanvallen.

[Reactie gewijzigd door Mocro_Pimp® op 16 oktober 2018 01:51]

Maar nu geef je gewoon de websites aan van die banken, wat is het veiligheidsrisico daar dan?

Het gaat hier toch over de online banking omgevingen, die draaien echt niet op hetzelfde ip als de website.
Inderdaad, niemand klikt vanaf de homepage van zijn bank naar de online banking omgeving.
Het risico is tweeledig, 1, akamai gaat het geen snars aan wie er wel en niet bankiert bij de bank., 2. Akamai kan de link natuurlijk vrij simpel aanpassen en alle content van de banking omgeving routen via een door hen gehoste proxy op het rabobank / abnamro domein om zo vrijwel onzichtbaar toch mee te kunnen kijken met het online bankieren. Dit is natuurlijk alleen mogelijk voor mensen die via de vanaf de hoofd-site gehoste link inloggen.
Inderdaad, niemand klikt vanaf de homepage van zijn bank naar de online banking omgeving.
:? Dit zijn er meer dan jij denkt...
ik doe dit wel gewoon ja...
Dat was sarcastisch bedoeld, inderdaad het zijn er heel erg veel gok ik zo.
Ik doelde op de online bankomgeving (mijn.ing.nl = 145.221.181.241 / 145.221.213.241) :)
Ik ben benieuwd hoe wordt aangekeken tegen een cloud georienteerde ddos oplossing wanneer banken zich moeten gaan conformeren aan het PSD2 regiem (AFM)(PSD2 regelt de uitwisseling van bankgegevens tussen verschillende partijen na instemming van de rekeninghouder).

Banken zijn druk doende allerlei API interfaces op te zetten tussen hun respectievelijke databases, dat lijkt mij al een rotklus. Maar als ik het goed begrijp moeten wij deze akamai ook als een soort derde partij beschouwen waarmee informatie wordt gedeeld. En dit is dan iets waarvoor een bank met ingang van het PSD2 aan ons klanten toestemming moet gaan vragen. PSD2 is trouwens al life, maar bevindt zich nog wat in een schemerzone. Betrokkenen hebben nog wat respijt gekregen om de richtlijn goed te implementeren.

Ik moet zeggen, zonder de implicaties van deze cloud based ddos oplossingen duizelt het mij al als ik over PSD2 nadenk en wat deze richtlijn voor ons betalingsverkeer moet gaan betekenen.

[Reactie gewijzigd door teacup op 15 oktober 2018 16:51]

Alleen als de bank hun certificaat gedeeld heeft met Akamai. Het IP kan wel gehost worden door Akamai maar dat hoeft nog niet te betekenen dat zij ook het certificaat hebben om het verkeer te decrypten.

Hangt met name af van welke modules de klant afneemt van Akamai.
NaWas - Klinkt leuk maar denk je niet dat een internationale bank liever een internationale oplossing koopt?

Ik kan me zo voorstellen dat je als kleine lokale internet website hier mee aan de haal gaat ik kan me zelfs voorstellen dat je als politieke partij of overheids orgaan hier gebruik van maakt maar ik kan me niet helemaal voorstellen dat je dit als internationaal bedrijf doet. Want een website die in het buiten land ook beschikbaar moet zijn moet daar of heel dicht daarbij gehost worden en dan is het toch wel handig als je een internationale dienst gebruikt, waar je in een keer klaar bent en niet alles lokaal gebruikt en dus de site op 100 verschillende manieren moet deployen etc...

Schattige oplossing maar niet echt handig voor een internationaal bedrijf.
Wordt het dan niet tijd dat we meer gaan investeren in NaWas als het idee goed is, maar op dit moment slechts nog een 'schattige oplossing' ?
Vanuit het oogpunt van de banken ben ik het eens met je standpunt, die willen niet afhankelijk zijn van de regering van 1 land, zeker niet als techniek en regelgeving dan door elkaar gaat lopen, dan zitten ze liever bij Akamai waar ze een puur zakelijke relatie mee hebben.

Van de andere kant zijn er ook nog de klanten van de banken. Ik ben vooral geïnteresseerd in mijn eigen belangen, niet die van de bank. Ik vind het niet onredelijk dat landen controle eisen over vitale infrastructuur zoals het betalingsverkeer.

De simpele oplossing is om het allebei te doen. Het lijkt mij dat je meerdere "wasstraten" naar dezelfde backend kan laten kijken. Ieder land mag dan z'n eigen nationale proxy/wasstraat/whatever aan die backend server koppelen. En eentje extra als backup.

Voor zover ik het van buitenaf kan beoordelen lijkt het er op dat de meeste banken een aparte, onafhankelijk website hebben voor ieder land waar ze actief zijn. Waarschijnlijk hebben ze ook per land een backend-systeem, dat zou het makkelijker en overzichtelijker moeten maken.

Afgezien van technische aspecten zou je je ook nog kunnen afvragen wat er zou gebeuren als Akamai zou worden opgekocht door bv de Russische of Chinese staat. Niet dat dat nu zo waarschijnlijk is, maar als we onze vitale infrastructuur er aan hangen moeten we er toch over nadenken.

[Reactie gewijzigd door CAPSLOCK2000 op 15 oktober 2018 10:46]

Wisseling van eigenaar is vaak in de contracten meegenomen als ontbindende voorwaarde.
Deze volgens jou "schattige oplossing" beschermt al zo'n 43% van alle NL domeinen volgens onderzoek van SIDN: https://www.nbip.nl/2018/...domeinen-beschermd-nawas/

Wordt ook door heel veel internationale bedrijven gebruikt. Alleen de banken willen er nog niet aan, die geven liever tienduizenden euro's per maand uit aan een internationale oplossing want "als het minder kost zal het wel niks zijn". Nou ja, wat maakt het uit, ze verhogen gewoon de kosten van het betaalpakket weer een beetje, toch?
Ik zou zeggen oriënteer je eerst even voordat je stelt dat de kosten worden afgewenteld. De kosten van het Nederlands betalingsverkeer behoren tot de laagste in de EU. Dit is al vaker door de DNB onderzocht en is al jaren het geval.

Waar de banken wel over klagen is de zeer uitgebreide controles op onderduiken van de wet die zij gratis moeten uitvoeren. Net zoals alle ondernemers als gratis belastinginner mogen optreden. Kan mij voorstellen dat dit op den duur een keer doorbelast mag gaan worden.
Het lijkt mij stug, dat Akamai het verkeer van deze banken decrypt en vervolgens door zet, naar de betreffende bank.

Het is heel goed mogelijk om een verbinding te accepteren en deze 1 op 1 door te zetten naar de backend zonder ooit maar iets van het verkeer te ontcijferen.

Enige wat Akamai doet, is verdacht verkeer tegen houden, dus verkeer wat geen geldige tcp, https request is. IP's van bepaalde landen of IP's die boven gemiddeld veel data generen.

Als Akamai een Amerikaans bedrijf, daad werkelijk het verkeer ontcijferd, dan hebben we idd een heel groot probleem.

Verder is het wel verontrustend, als het klopt dat de Nederlandse banken zo afhankelijk zijn van 1 Amerikaans bedrijf.
Het mag jou stug lijken, maar het is wel degelijk wat er gebeurt. Of Akamai ook daadwerkelijk iets doet met dat ontsleutelde verkeer, of het inderdaad zonder er naar te kijken doorzet, is een andere vraag. Maar de mogelijkheid om het in te zien hebben ze zonder meer en dat is best eng.
Nou niet helemaal,

ik heb zelf uitvoerig gewerkt met de DDos oplossingen van Akamai, wat voorheen Prolexic was,
in ons geval adverteerde zij onze network addresses uit VIA BGP. Wat zij vervolgens doen is verkeer op tcp / udp level monitoren en als er verdacht verkeer voorbij komt, middels ACL/andere truukjes het verkeer filteren en het schone verkeer wordt gewoon netjes via een GRE tunnel door gestuurd naar ons. Er is nooit maar dan ook nooit netwerk verkeer onderschept, gedecrypt en doorgestuurd.

Ze hebben ook een CDN platform / oplossing waarbij dit volgens mij wel gebeurt, maar om nou te zeggen dat het altijd ontsleuteld wordt is pertinent niet waar :)

zie ook: https://www.akamai.com/uk...ty/prolexic-solutions.jsp

[Reactie gewijzigd door xelnaha op 15 oktober 2018 13:13]

Wat jij beschrijft is puur bescherming op de netwerk- en transport niveau. Aanvallen in deze lagen zijn doorgaans volumetrisch en dan zal je uiteindelijk je netwerk verkeer via BGP prefix moeten off-rampen naar een datacenter, want bij een volle uplink van je eigen hosting provider kan een in-line appliance de boel niet meer redden.
Als je application-layer (L7) bescherming wilt via een cloud-based aanbieder, dan zullen ze wel in je verkeer moeten kunnen kijken en dus je versleutelde verbindingen terminaten. Doorgaans zijn L7 attacks overigens niet volumetrisch maar semantisch, dus dan hoef je in principe je verkeer niet eens via BGP te off-rampen.
Als het niet volumetric is kun je natuurlijk ook zeggen dat het geen echte Ddos Is want laten we wel zijn Dat wordt meestal met Ddos bedoeld (en zeker het geval waar ik mee werk). Wat we wel zien is dat mensen een verkenninsaanval uitvoeren met het idee om URLS te vinden die op backend veel CPU power vergen. Als men deze gevonden heeft worden er nogwel eens aanvallen op die specifieke ULRs afgevoerd. Dit ondervangen ze ook gedeeltelijk door randomisation: als de aanval 1 ip betreft wordt dat ook vaak afgevangen.

ik geloof dat het ook mogelijk is om netflow data door te sturen naar hun, waarna ze meer gericht kunnen filter

De l7 is meestal prima af te vangen intern nadat de volume meuk weggefilterd is, maar uiteraard zal dit in hun netwerk ook op grotere volumes kunnen.

[Reactie gewijzigd door xelnaha op 15 oktober 2018 14:20]

Heb je een url voor mij met meer informatie?
Want hier ben ik dus echt zeer benieuwd naar.
https://en.wikipedia.org/wiki/HTTPS

Het wordt al snel een beetje technisch. Maar HTTPS versleutelt verkeer tussen jou en het IP-adres wat je bezoekt. Wat er daarna mee gebeurt, kun je slecht naar raden.

Als dat IP-adres van Akamai is en niet van je bank, betekent het dat vanaf dat punt inzage door een 3e partij (Akamai dus) mogelijk is.
Ik weet hoe HTTPS werkt, en ik heb genoeg load balancers opgezet, die het HTTPS verkeer direct doorzetten naar de backend, welke vervolgens het verkeer decrypt.

Dus ik wil heel graag informatie, van dat de Nederlandse banken, gebruik maken van een optie SSL ofloading bij Akamai.
Rabobank maakt permanent gebruik van Akamai en het verkeer wordt door hen geïnspecteerd, dus ja het cert + key is bij hen bekend.

Ik geloof echter niet dat dit ergens uitdrukkelijk is gedocumenteerd..
Ik geloof echter niet dat dit ergens uitdrukkelijk is gedocumenteerd..
Jammer, want nu is het alleen maar een aannamen.

Mijn website gaat ook via een CDN, maar die doen niet aan SSL offloading voor mij.
Als inhoud gecontroleerd moet worden (HTTP verkeer) dan is decryptie noodzakelijk.
Als het alleen gaat om rate limiting dan is het voldoende om alleen connecties naar een bepaald IP addres in de gaten te houden en evt. te beperken.

Op basis van SNI kan nog altijd de juiste richting bepaald worden. (De hostname die bedoeld was als connectie partner staat unencrypted in het eerste TLS HELLO packet.
En waarom is dat verontrustend? Er zijn niet veel wereldwijde aanbieders van deze diensten dus wat moet je als bedrijf als je toch een redelijk betrouwbare internet dienstverlening wil hebben en de klanten geen euro extra willen betalen?

Lijkt mij echt een mooi dilemma voor een discussie. Stel er is een NL of EU aanbieder in land X dat dit ook kan aanbieden. Kosten zijn echter 12 euro per jaar meer. Een bank biedt je de optie aan, 60 € per jaar via Akemai of 72€ per jaar via een EU provider. Wat kies jij?
Dat klopt. Echter is Akamai de beste ddos preventie die er op dit moment is. Als je helemaal geen betaalverkeer kan doen meer is het echt een groot probleem. Ook alle afhankelijke webshops kunnen dan niets meer (als je bijvoorbeeld ideal afneemt van ING).

In Nederland zijn zeker wel bedrijven die dit ook kunnen, maar ze kunnen niet meer die grote aanvallen aan van tegenwoordig. Je kunt er nog tegen autoscalen, alleen het nadeel hiervan dat dit nie instant is en dus is je service niet betrouwbaar genoeg meer.

Voor anti ddos heb je meer nodig dan alleen slimme software, maa een bak met infrastructuur. Ik geloof niet dat NL daar op zulke schaal daar wat mee kan (al zijn we ook zeker niet de slechtste)
Er zijn in NL echt wel partijen die dit kunnen hoor, alleen zijn die niet zo groot als een Akamai of CloudFlare

Verder is Akamai echt niet de beste ddos preventie die er is, er zijn zat alternatieven die vaak beter of goedkoper zijn. Ik snap ook niet hoe je wil autoscalen met een CDN? Ik denk dat je dan een cloud bedoeld, dat doet akamai niet, dan moet je naar een Amazon of Azure (en nee, daar zijn voor deze schaal geen vergelijkbare NL alternatieven voor)
Sterker nog AWS en Azure leunen zelf sterk op het Akamai netwerk.
Akamai staat wel bekend als de betere DDOS preventie.

Ik had het niet per se over een CDN, maar over een proxy die DDOS prevent. Maar als je een webserver direct achter een load balancer gooit met autoscaling op basis van X requests, kunnen die een DDOS vaak niet outscalen (web-scale :9 ), simpelweg omdat de meeste niet snel genoeg scalen daarvoor, en je alsnog downtown hebt.

En ja, scaling was een alternatief waarvoor je akamai niet nodig hebt. Akamai doet meer dan alleen CDN natuurlijk. Dat is vaak ook hetgeen wat het meeste wordt afgenomen, omdat AWS daar weer goedkoper mee is, en niet nodig is om te scalen (afhankelijk wel deel van CDN natuurlijk, meeste kun je cachen tot in de oneindigheid).
Aha, de betere is niet het zelfde als de beste :) Maar deze WAF's filteren al een heel groot deel van de requests, hierdoor wordt juist je webserver ontzien
Een aantal jaren geleden toen er een DDoS aanval werd gedaan wereldwijd op banken, werden de NL banken lager geprioriteerd door Akamai dan de US banken. Ze konden het niet aan, dus weg was de dienst voor NL. Dat was een pijnlijke situatie.
Dat is natuurlijk wel een kwalijke zaak.
Volgens mij loopt het verkeer van de Rabobank standaard niet via Akamai, maar als er een Ddos aanval gedetecteerd wordt, schakelen ze over naar Akamai
Het voordeel daarvan is ook als je zoiets hebt dat het waaschijnlijk niet meer nodig is. Als aanvallers zien dat het geen zin meer heeft of teveel moeite kost zullen ze snel opgeven. Zeker 99% van de DDoS kiddies.

Dus ja als je dat eenmaal bereikt hebt zal je verkeer in principe vrijwel nooit meer via akamai lopen.
Dat lijkt me intens onhandig, want waarom zou een aanvallen dan niet gewoon het originele ip blijven aanvallen? Tuurlijk kun je alles behalve communicatie met akamai op dat moment firewallen, maar het probleem van dit soort aanvallen is dat de volumes zo intens groot zijn dat dat niet werkt.
Het originele IP hoeft niet te veranderen? Het netwerk verkeer wordt via BGP prefix announcements ge off-ramped naar de datacenters van je cloud-based beschermingsdienst. Al het aanvalsverkeer wordt dan vrolijk die kant op geroute (en het schone verkeer krijg je via een tunnel weer terug bij je eigen hosting provider).
Correct, maar hoe gaat die anti-ddos partij dan precies het vuile verkeer er uit filteren? Als het puur een ip based firewall was, dan was er niet zo veel aan de hand, maar ze doen natuurlijk veel meer dan dat.
Ik heb geen idee wat ze precies doen en volgens mij zijn veel algoritmen ook proprietair. Ze zullen er ongetwijfeld een heleboel wiskunde tegenaan gooien. Source IP-adres reputatie modellen, voorspelbaarheid van spoofed source-IP adres keuze, bogon filtering, TCP-sequence nr. analyse, etc. Tevens stelt het feit dat ze over de hele wereld data centra hebben ze ook in staat om karakteristieken van het verkeer te overwegen die je bij slechts de reguliere hosting provider niet hebt.
Dat kan maar het hoeft niet, als akamai beveiliging in de vorm van een reverse proxy aanbiedt, dan kan je het certificaat gewoon op je eigen servers houden.

Het geeft echter, naast de voordelen, ook een hoop nadelen, waaronder het niet langer zien van het IP van de client, geen bescherming voor applicatie level ddos etc.
Je hoeft niet je private key af te geven om van de anti-DDoS diensten van Akamai gebruik te maken. Dat is natuurlijk wat anders als je de WAF etc wil gebruiken.
Correctie: Cloudflare verplicht bedrijven niet om hun SSL certificaat te uploaden. Zij hebben een manier bedacht om het basis SSL certificaat on-premise te houden.
De laatste keer dat ik bij Akamai iets dergelijks moest opzetten, liet Akamai een http verbinding naar de origin niet toe, het moest perse https zijn.
Mwah, NaWas is een dikke tegenvaller, naast wat basic scrubbing kan het niks, de pijp is te klein, en het werkt eigenlijk voor geen donder als je niet a la 1980 in een fysiek datacenter zit. Het is bijna zo erg als Akamai.
ik heb de akamai op gezet bij ING. Dus ik denk dat ik een goed idee heb hoe het is. En laten we het houden op: je bent verkeerd. Maar de details ga ik hier om evidente redenen niet geven. ING heeft akamai bescherming en betalingsverkeer wordt NIET gedecrypteerd. Maar niet om redenen die jullie hier verkondigen. Ben je "goed genoeg" kan je zelf ook wel uitmaken hoe het in elkaar zit... If not, dan heb je er ook geen nood aan dat ik het uitleg.
Wie zegt dat er geen extra encryptielaag wordt gebruikt voor de gegevens die gevoeliger zijn dan de homepage van de bank?
Nou, als ze een ddos doen raken ze een bank niet echt met de homepage. Dus zullen ze hier vast en zeker de inlogpagina ddossen.
Dat is niet hoe https werkt, of hoe browsers werken.
Kritiek geven is eenvoudig, maar heeft deze beste man ook oplossingen? Beschermen tegen DDOS is zeer moeilijk terwijl een aanval zeer eenvoudig op te zetten is. Dat banken daarom naar diensten kijken die goed werken mag niet verbazen. Het is niet aan de banken om aan politiek te doen.
Maar het is wel aan de politiek om te zorgen dat alles blijft werken, ook als onze vriend trump een keer met het verkeerde been uit bed stapt.

Kunnen internet)bankieren is in een economie gewoon kritisch dus moet je zo goed mogelijk afschermen.

En de oplossing is niet zo moeilijk, hier een vergelijkbaar systeem opzetten en dat gaan gebruiken. Dat bureau zal daar heus wel in adviseren alleen misschien niet peese openbaar...

[Reactie gewijzigd door watercoolertje op 15 oktober 2018 08:07]

Maar het is wel aan de politiek om te zorgen dat alles blijft werken, ook als onze vriend trump een keer met het verkeerde been uit bed stapt.
Je wordt hierom gemind, maar het is helemaal niet zo'n gekke uitspraak.

De VS is vrij drastisch met het opleggen van sancties aan landen die iets doen wat de VS niet goed uit komt. Onderdeel van die sancties kan zijn dat landen of buitenlandse bedrijven die geen rekening houden met die sancties (logisch, want die sancties gelden in principe alleen voor de VS en Amerikaanse bedrijven) op een zwarte lijst komen te staan waar de Amerikaanse overheid en Amerikaanse bedrijven niet meer mee mogen handelen.

Zo kwam onlangs het Chinese ZTE in de problemen omdat het Amerikaanse bedrijven verboden werd om aan ZTE te leveren, omdat ZTE producten aan Iran geleverd had. Tweakers.net: ZTE Amerikaanse sancties bedreigen voortbestaan bedrijf
Om vergelijkbare redenen kunnen ook andere bedrijven op de zwarte lijst terecht komen. Bv. een Nederlandse bank die betalingen naar een Iraans bedrijf (of een Koreaans, Russisch of Chinees bedrijf op de Amerikaanse shitlist) heeft afgehandeld. De VS kan dan Akamai verbieden verder diensten voor die Nederlandse bank te verrichten. Dat maakt die bank dan vogelvrij voor ddos-ers.

De ING heeft net een mega-boete gekregen omdat ze grote betalingen naar het buitenland niet goed screenden. Wat als daar een betaling tussen zat naar een bedrijf of persoon die op de Amerikaanse zwarte lijst staat? Wanneer de VS vindt dat de ING of Nederland een lesje nodig heeft in het volgen van de Amerikaanse normen en waarden, kan de ING van Akamai afgesloten worden. Dan heeft Nederland een probleem.
Daar komt bovenop dat Amerikanen nogal eens menen dat zij jurisdictie hebben over transacties uitgevoerd in dollars, ook als er geen Amerikanen of Amerikaans grondgebied bij betrokken is. Zo was de reden dat SWIFT een extra Europese vestiging in Zwitserland opende het beslag dat Amerikaanse justitie had gelegd op een grote betaling, in dollars, door een Duitser vanaf Duits grondgebied. Er is een SWIFT vestiging in de VS en het is bekend dat de NSA dat tapt 1 2. Toen is er dus besloten om een extra Europees datacenter te bouwen zodat er redundancy was zonder dat Europese data naar de VS zou vloeien.

Nou doet de man/vrouw in de straat nauwelijks dollar transacties maar onder bedrijven is het niet ongebruikelijk. Ik doe regelmatig dollar transacties tussen Europa en Azie en daar horen Amerikanen buiten te blijven.

Gelukkig wordt er inmiddels gewerkt aan een internationaal financieel transactiesysteem waar de Amerikanen helemaal buiten staan. Dat zou ook betekenen dat de euro veel meer gebruikt zou worden in internationaal verkeer. En dat sluit weer aan bij het recente verhaal van Juncker dat het absurd is dat als een Europees bedrijf als Lufthansa vliegtuigen koopt van een Europees bedrijf als Airbus dat die transactie dan in dollars gebeurt.

[Reactie gewijzigd door Maurits van Baerle op 15 oktober 2018 11:32]

De Amerikaanse overheid kan ING van dollar transacties afsluiten. Dan blijft er van ING weinig meer over. (Het is dan nog wel een forse Nederlandse bank).
Nee, het is dan failliet...
Kritiek geven is eenvoudig, maar heeft deze beste man ook oplossingen? Beschermen tegen DDOS is zeer moeilijk (...).
Pardon? Als, en dat is als, al jouw betalingsgegevens in de hadden van een Amerikaanse bedrijf worden geworpen, dan is jouw verweer: "niets van zeggen, want straks kan ik weer een dag geen overboekingen doen?".

Ik ben van de omstreden mening dat ook als je geen betere oplossing weet, je kritiek mag hebben op slechte oplossingen. Zo vind ik gazpacho heel vies, zonder dat ik een beter recept weet voor koude tomatensoep. Het huidige vliegverkeer is veel te vervuilend, zonder dat ik met een schoon vliegtuig op de proppen kom. De afschaffing van dividendbelasting vind ik een buitenproportionele maatregel, zonder dat ik zelf een beter plan heb op de banenmarkt in Nederland te laten groeien.

[Reactie gewijzigd door 84hannes op 15 oktober 2018 08:39]

Niet al je betaalgegevens worden ingezien. Er zijn relatief weinig gegevens nodig om een transactie te maken.

Ik zou me minder druk maken om een partij als Akamai. Die worden goed in de gaten gehouden en moeten ook aan europese richtlijnen voldoen willen ze banken mogen beschermen. Er is altijd natuurlijk moeten en het daadwerkelijk ook doen, natuurlijk.

Ik zou me drukker maken om bedrijven als Google, Facebook en LinkedIn...

Overigens, is een afhankelijkheid als Akamai gemakkelijk om te zetten. Het zijn geen gigantisch moeilijke wijzigingen die gedaan hoeven te worden als je naar een andere provider moet.
Deze onderzoeker maakt zich druk om de banken, die ook aan Europese regels moeten voldoen met betrekking tot onafhankelijkheid, maar dat wuif je weg?
Ik wuif helemaal niets weg. Ik wil alleen argumentatie geven dat een DDOS preventie en implementatie van Akamai betreft afhankelijkheid wel meevalt. Het papierwerk en een andere provider (hetzij henzelf) is lastiger.
Het CPB is degene die hier kritiek levert. De onderzoeker draagt alleen een mogelijk risico aan.
Waar denk je dat het CPB deze informatie vandaan haalt? Mogelijk bij onderzoekers en operationele experts? ;-)
Als iemand die niet bekend is met dit onderwerp, kan iemand mij uitleggen wat dit dan betekent voor de banken en de consumenten?
Akamai is een man-in-the-middle. Zij kunnen al het beveiligde verkeer tussen jou en de bank lezen, en zelfs veranderen.
Verder heeft Akamai een machtspositie over de banken met de DDoS beveiliging. Als deze kennis en competentie niet ook bij een andere partij is, dan zijn de banken overgelaten aan de wil van Akamai.
Het zou beter zijn als de Nederlandse banken, samen met misschien Nederlandse ISPs, eenzelfde service provider zouden opzetten en gebruiken. Een soort van nationale anti DDoS wasstraat.
Is het wel zo dat zij het kunnen inzien. Is het niet juist het idee dat de banken een IP-adres van (in dit geval) Akamai krijgen in hun eigen netwerk, en dat dat altijd gerouteerd wordt door de centrale anti-ddos systemen van Akamai?

Dus bijvoorbeeld: Ik zet als bank op mijn webdienst (server/firewall/loadbalancer/whatever) een publiek IP-adres van Akamai dat middels de routeringstabellen op het grote boze interpret altijd wordt gerouteerd via de centrale systemen van Akamai.
Met die opzet zouden zij natuurlijk de boel ook (deels) kunnen omrouteren naar een 'kwaadaardige webserver' voor phishingdoeleinden, maar dan kunnen ze in elk geval niet zomaar alles meekijken wat er gebeurd.
Ik weet niet hoe het technisch gezien zit met Akamai, maar CloudFlare decrypt zeker de data in sommige van zijn diensten:

https://bugs.chromium.org...ero/issues/detail?id=1139
Je kan vast voor een meerprijs je eigen ip space beschikbaar stellen aan Akamai, dat kan bijv. bij Cloudflare ook
Akamai is een man-in-the-middle. Zij kunnen al het beveiligde verkeer tussen jou en de bank lezen, en zelfs veranderen.
Ook met end-to-end encryptie?
tls is end to end, maar het is voor de browser niet te controleren wie hier de andere 'end' is.
Als ik in m'n browser https://www.rabobank.nl heb staan, kan het dus zijn dat ik niet met de Rabobank verbonden ben?
Als iemand een certificaat heeft dat je browser accepteert dan kan dat prima. Veel cdn en ddos oplossingen werken door alle verbindingen te accepteren, de data te serveren en indien gewenst / nodig het verkeer door te sturen naar de daadwerkelijke webserver. Voor die zaken is veelal technisch vereist dat het cdn / anti-ddos-bedrijf een geldig certificaat heeft.

Binnen veel grotere bedrijven worden er extra root certs toegevoegd aan alle werknemer-pc's welke de proxy van het bedrijf in staat stelt op een Mitm uit te voeren zodat ze verkeer kunnen aftappen, blokkeren en inspecteren.

[Reactie gewijzigd door killercow op 15 oktober 2018 11:44]

NaWas is leuk maar werkt alleen voor NL en gaat maar tot level 3, de routing. Diensten zoals Akamai en CloudFlare bieden echt applicatie beveiliging aan tot op http niveau.

En ja, onze banken zijn internationaal actief, en moeten dus ook buiten NL blijven werken

[Reactie gewijzigd door GrooV op 15 oktober 2018 09:36]

Klopt niet. NaWas werkt ook in het buitenland, er zijn providers in Belgie en Oostenrijk die er ook al gebruik van maken. Het NaWas biedt ook bescherming t/m laag 7, dus ook http/slow-attacks.

Het feit dat een partij internationaal actief is heeft niet zoveel te maken met waar je de bescherming doet, aangezien de meest essentiele delen gewoon in NL gehost worden. Dat er een partij plaatjes van de openbare website door een CDN worden geleverd zegt niks over het beschikbaar zijn van de betaalfuncties/app van de banken.
Maar dan zijn ze opeens afhankelijk van deze, gezamenlijke, dienst. En wie garandeert dat daar geen verkeerde mensen werken?

Soms moet je gewoon met een beetje onveiligheid omdat het alternatief er niet is.
Wie gaat er zorgen dat er geen verkeerde mensen bij de bank gaat werken? ;)
Beide, de bank, als dit soort dienstproviders, moeten aan dezelfde regelgeving en certificeringen voldoen.
Bovendien is dit een schijn afhankelijkheid, want switchen van dit soort providers kan vrij makkelijk gedaan worden.
Akamai verzorgt de bescherming van banken tegenover DDOS aanvallen. Een redenatie is dat als de Verenigde Staten het wil, het de DDOS bescherming kan "uitschakelen" om vervolgens de banken in onder andere Nederland aan te vallen.
Ik vermoed dan ook een politiek-strategische agenda. Een te afhankelijke positie van de banken richting een Amerikaanse Anti-DDoS dienstverlener is dan in de ogen van het CPB niet goed.
Kijken we naar de markt van Anti-DDos dienstverleners, dan heeft Akamai een marktaandeel van 53%, bestaat 7% uit andere dienstverleners (oa CloudFlare) en is 40% onbekend. Erg veel andere keuzes om te switchen naar een Europese aanbieder hebben de banken dus niet.
Ze zijn met zn 4en, mischien dat het zelf opzetten van een Nederlands platform een optie is? We hebben daarnaast ook Nederlandse alternatieven die prima kunnen worden opgeschaald.
Nederland is helaas niet een stuk van de aardbol waar de NSA en CIA niet aftappen. In Eindhoven staat sinds de jaren '70 een Amerikaanse legerbasis niet ver weg van wat vandaag een van de belangrijkste internet knooppunten van centraal Europa is geworden.
https://dutchreview.com/l...e-netherlands-spy-vs-spy/
Lijkt me een omslachtige manier. De VS beheert immers het root tld.
Dat is niet juist:

http://www.root-servers.org/

er zijn meerdere organisaties over de hele wereld welke de root servers (en anycast servers) beheren.
Dat zijn de root servers. Het root tld is onder beheer van het ICANN.
ICANN is echter niet Amerikaans 'bezit' al een tijdje officieel, en onofficieel waren ze dat ook al niet voor meerdere decennia.
Er zijn twee soorten ddos protectie, volumetrisch en apllicatief. De eerste blocked hoge volumes, de tweede decrypteert de data en interpreteert. Je begrijpt meteen welk risico je loopt door al je data te delen.
Je mag toch hopen dat banken niet de private keys hebben afgegeven aan een externe partij?
Daar zit een risico-afweging achter om de beschikbaarheid te garanderen..
Het feit dat ABNAMRO mijn adresboek en transactiedata spontaan deelt met Adobe, dat immers omrtc bezit, geeft mij het vermoeden dat ze zich over die data niet zo'n zorgen maken.
Gelukkig heb ik alle omtrc adressen in m'n hosts file naar één groot zwart gat doorverwezen.
Order of the Temple of the Rosy Cross
:?

Kun je je wat beter duiden?
Voor de consument betekent dit een snelle website / app. Voor bedrijven betekent dit offloading van traffic waarbij akamai naast DDOS bescherming ook veel statische content preload (het bedrijf waar ik werk gebruikt het om de publieke websites wereldwijd fatsoenlijk te laten functioneren).

Het zou me wel verbazen als het stukje "achter de login" veel doet met akkamai maar ik kan het fout hebben. Het meest logische zou zijn dat dit verkeer rechtstreeks zal verlopen.

[Reactie gewijzigd door Mellow Jack op 15 oktober 2018 07:46]

Maar waarom is het dan geen probleem dat vrijwel al het betaalverkeer met bankpassen via maestro/vpay verlopen ? Dat is van respectievelijk mastercard/visa. Beiden zijn van Amerikaanse makelij :/
Ik heb hier te weinig kennis over om echt inhoudelijk te reageren. Maar ik zou mij zomaar kunnen voorstellen dat je een visa/mastercard enkel toegang geeft tot de componenten die betaalberichten versturen. Een akamai zit wat dieper verweven in de infra.

Daarnaast, worden Nederlandse betalingen niet door equens verwerkt?
Maar waarom is het dan geen probleem dat vrijwel al het betaalverkeer met bankpassen via maestro/vpay verlopen ? Dat is van respectievelijk mastercard/visa. Beiden zijn van Amerikaanse makelij :/
Wie zegt dat het geen probleem is?
Het is ook een probleem, maar we kunnen niet zonder.
Er zijn verschillende redenen te bedenken waarom het geen goed idee is. Het systeem vervangen door een alternatief dat significant beter is echter makkelijker gezegd dan gedaan. Dusver heeft niemand genoeg drukte gemaakt om de miljarden te investeren die daar voor nodig zijn.

Overigens is het ook weer niet zo dat er helemaal geen controle of toezicht op al dit betaalverkeer is. We weten hoe het zit en dat het belangrijk is. Of de getroffen maatregelen voldoende zijn is een andere vraag, maar ook hier bemoeit de overheid zich er mee om te zorgen dat de boel veilig en betrouwbaar is.

[Reactie gewijzigd door CAPSLOCK2000 op 15 oktober 2018 11:16]

Het verbaasd mij dat zijn blijkbaar het Nederlandse initiatief NaWas niet gebruiken, maar hun verkeer door Amerikaanse servers lijdt.
Dit soort servers staan uiteraard overal, dus geografisch gaat het uiteraard niet door Amerikaanse servers.

Hoeveel details de banken vrijgeven weten we niet, er zijn veel manieren waarop dit soort systemen werken.
Dat maakt geen zak uit. Tenzij je zelf je hardware en firmware en PCB's maakt zal je van contracten en afspraken uit moeten gaan. Dat je servers van een NL B.V. of N.V. zijn, en je een contract in NL hebt zegt geen klap. Het gaat nog steeds over amerikaanse producten die in azie gemaakt zijn. Denk aan Cisco, HP, Juniper.

[Reactie gewijzigd door johnkeates op 15 oktober 2018 20:28]

Ik doel op onder welke rechtspraak de eigenaar van die servers valt.
Die data die er op staat, en er door heen gaat, kan nu gevorderd worden (PatriotFreedom Act).

[Reactie gewijzigd door frickY op 15 oktober 2018 21:33]

Tsja, en dan nog is het niet zo spannend om dat er ook zonder die act gewoon data gedeeld wordt, zowel op politie niveau als op geheime dienst niveau. De act is niet leuk, maar ook weer niet zo speciaal dat het de eerste of enige manier is waarop data van NL in USA terug te vinden is.

Dat maakt trouwens ook minder uit dan je denkt, AMS-IX heeft een afdeling in USA en is daarmee dus ook gewoon volgens USA onder hun recht om bevelen uit te delen.
[...]"Amerikaanse bedrijven zoals Akamai krijgen steeds dieper inzicht in ons betalingsverkeer, terwijl wij kennis kwijtraken." [...]
Hier is dus de nieuwe privacy-wetgeving (AVG) voor opgesteld. Bedrijven zoals Akamai worden hierdoor beteugeld in welke informatie er bewaard mag worden en wat ze met de ingewonnen informatie mogen doen. Akamai is in dit geval een gegevensverwerker en dient een verwerkersovereenkomst met Rabobank te hebben afgesloten. Zowel deze overeenkomst als de opgeslagen gegevens kunnen opgevraagd worden door de eigenaar van de gegevens (de Rabo klant). Deze informatie moet ook nog eens gewijzigd of verwijderd kunnen worden door de Rabo klant.

Er is dus een "tool" om die mogelijke grootschalige datamining en de daarmee te bereiken machtspositie tegen te gaan. Dit is het antwoord van Europa op complexe dataverhoudingen. Als blijkt dat dit niet werkt, dan is dat een enorme deuk in de AVG/GDPR as we know it. Dit is namelijk precies zo'n scenario dat we met de nieuwe wetgeving willen voorkomen.
De AVG voelt voor veel mensen als "ondernemertje pesten". Het kost bedrijven ontzettend veel geld en moeite om de AVG goed te implementeren en ook de sancties liegen er niet om. Maar als nu zou blijken dat dit scenario niet door de wetgeving wordt gedekt en/of gehandhaafd (de too-big-to-fail banken doen geen audits en security checks bij de verwerker, de mogelijkheid om de informatie te wijzigen bieden ze niet en er wordt toch privacygevoelige informatie opgeslagen en verwerkt voor andere doeleinden dan strikt overeengekomen) dan is dat het einde van de geloofwaardigheid van die wetgeving en is het niet meer gebleken dan bühne-politiek.

Er staat dus veel op het spel. Ik ga er vooralsnog van uit dat banken de wetgeving hierop strikt naleven en dat de AVG toezichthouders hier met argusogen naar kijken. Nog een bankenschandaal, daar zit niemand op te wachten (hopelijk).

[Reactie gewijzigd door lekorque op 15 oktober 2018 13:40]

Inderdaad, er moet volgens de AVG een verwerkersovereenkomst worden afgesloten.
Een interessante ontwikkeling is wel dat de recent ingevoerde CLOUD-act Amerikaanse bedrijven verplicht om data die zijn opgeslagen in het buitenland, op verzoek, met de Amerikaanse autoriteiten te delen.

Op dit moment is het nog onduidelijk hoe deze CLOUD -act zich tot de AVG verhoudt.
Zie o.a. ook https://deboeregberts.nl/...oers-cloud-act-en-avggdpr
Lijkt me dat dit niet opgelost gaat worden totdat er afspraken over komen a la Privacy Shield. Alleen de kans dat die afspraken er gaan komen lijkt me erg klein, ongeacht de president en regerende partij in de VS, omdat de druk vanuit de geheime diensten en de FBI etc te groot is wat dat betreft. Privacy Shield is al erg gebrekkig qua uitvoering, en daar zagen beide partijen nog het belang om tot overeenstemming te komen. Voor zoiets als dit? Ben bang van niet, Europa zal de boete voor niet meewerken groter moeten maken dan de Amerikanen.
Zijn er dan nederlandse alternatieven die net zo 'betrouwbaar' werken/zijn? Zo niet, dan zijn er blijkbaar geen nederlandse bedrijven die daar de kennis of financiele interesse in hebben.
NaWas, maar die hebben nog niet de capaciteit om alles in 1 hap van de banken door te zetten.
Waar haal je die informatie? Inmiddels zit 43% van alle NL domeinen achter de NaWas, die paar banken kunnen er makkelijk bij hoor!

https://www.nbip.nl/2018/...domeinen-beschermd-nawas/
Ik begrijp het wel dat grote banken hier massaal voor kiezen, Akamai is al jaren "leader" in de Gartner Quadrant voor WAF. (Dit bevat meer dan alleen een Web Application Firewall maar ook DDoS en API/Bot management en CDN).

Volgens Gartner zijn ze dus ook gewoon de beste in hun markt segment, bovendien is er geen alternatief wat dezelfde dekkingsgraad en functionaliteiten bied. Er zijn wel spelers zoals F5 of Imperva maar die bieden of maar een van de oplossingen maar niet " het hele pakket".
Nu kan een DDOS aanval door iedereen worden gedaan. Maar is in het licht van onze 'cyberoorlog' ( *kuch techno babbel ) het niet zo dat DDOS bescherming van bepaalde instanties en organisaties niet gewoonweg een verdediging is?
Het zou in die zin beter zijn als Nederland zijn eigen bedrijf (of overheidsding) zou hebben die de DDOS bescherming op zich neemt van de wat belangrijkere Nederlandse digitale domeinen. Bijvoorbeeld overheidsorganen die versleuteld communiceren maar wellicht ook de verzending van medische gegevens en bankgegevens.

Op dit item kan niet meer gereageerd worden.


Apple iPhone 11 Nintendo Switch Lite LG OLED C9 Google Pixel 4 FIFA 20 Samsung Galaxy S10 Sony PlayStation 5 Cartech

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True