Staatssecretaris: ddos-aanvallen zijn niet te voorkomen

Ddos-aanvallen op bedrijven en providers zijn niet te voorkomen, maar het is wel mogelijk de impact ervan te verkleinen. Dat zegt staatssecretaris Mona Keijzer van Economische Zaken. Ze ziet daarin een belangrijke rol weggelegd voor publiek-private samenwerkingen.

Keijzer reageert in een Kamerbrief op vragen van de VVD over de ddos-aanvallen die recent plaatsvonden op Nederlandse providers. De staatssecretaris zegt dat door samenwerkingen tussen overheidsinstanties en bedrijven de impact kleiner kan en de weerbaarheid groter. Keijzer verwijst specifiek naar het Digital Trust Center en het Nationaal Cyber Security Centrum, en de bedrijven met wie zij samenwerken om het 'Landelijk Dekkend Stelsel' van cybersecurityorganisaties te vormen. "Binnen dit stelsel kan informatie over bijvoorbeeld digitale kwetsbaarheden en ddos-aanvallen worden gedeeld tussen publieke en private partijen, met als doel de slagkracht van de partijen te vergroten", schrijft Keijzer.

De VVD wilde van de staatssecretaris weten hoe groot de schade van ddos-aanvallen is, en dan specifiek op het midden- en kleinbedrijf. Dat kan Keijzer niet beantwoorden. De beschermende organisatie NaWas van de Nationale Beheersorganisatie Internet Providers maakt geen onderscheid in ddos-aanvallen op grote en kleine bedrijven of overheden. Ook de totale schadepost is niet bekend. Keijzer: "Een inschatting van de economische schade als gevolg van een verstoring van het internet als gevolg van een ddos-aanval is niet te maken omdat het afhangt van een groot aantal factoren zoals de omvang van de verstoring, de duur van de verstoring en welke diensten worden getroffen."

Reacties (70)

theduke1989 27 oktober 2020 09:16

tja het is maar hoe je de infrastructuur hebt ingedeeld. En hoe groot het is.

Microsoft, Google, Facebook, Apple krijgen ongetwijfeld ook dagelijks dit soort aanvallen. Maar die zijn dus zodanig groot, dat jij als consument er dus niks van merkt omdat alle verkeer altijd doorgelust wordt naar andere knooppunten.

Al gaan super veel bedrijven nu naar de cloud, in mijn optiek echt jammer. Moeten de cloud beheerders dit allemaal goed regelen. AWS, Azure zou je een DDos aanval nooit moeten merken. Vooral niet als je kijkt hoeveel soms er voor gevraagd wordt om een compleet bedrijf naar hun toe te brengen.

[Reactie gewijzigd door theduke1989 op 22 juli 2024 22:46]

Niemand_Anders @theduke1989 • 27 oktober 2020 09:36

Een tijd geleden zag zag ik volgens mij een tech9 filmpje waarbij ze aangaven dat als Microsoft en ddos attack herkent, het de services rouleert over al zijn hosts. Voor het rouleren wordt een tweede service geactiveerd, in sync gebracht en daarna stuurt de loadbalancer het verkeer naar de tweede service en kan de eerste weer herstart worden..

Hierdoor kunnen al veel ddos aanvallen gemitigeerd worden. Ook doen ze aan session herkenning en resource counting en op basis hiervan de QOS instellen. Bestaande clients hebben dus een iets hogere prioriteit dan nieuwe clients en op basis van de distributie van resources kan men ook zien of een client bijvoorbeeld continue de index.html opvraagt, maar vervolgens niet de images, css en js bestanden ervan opvraagt. Zo'n client krijgt dan een nog lagere QOS..

Daarnaast hebben Azure, AWS en Google het voordeel van schaling waardoor hun AI veel beter in staat is om aanvallen te herkennen..

In de video hielden ze het vrij algemeen, het was op zich wel een leuke maar beperkt inkijkje in de keuken van Microsoft Azure. Kun of mag je niet naar de cloud, dan kun je nog altijd een cloud proxy dienst als CloudFlare gebruiken waarbij je eigen machines vanaf een beperkt aantal internet addressen beschikbaar is. CloudFlare gebruikt vaak captcha technieken om de authenticiteit van een client bevestigd te krijgen..

RobbieB @Niemand_Anders • 27 oktober 2020 10:17

Er zijn een legio aan mogelijkheden om DDOS aanvallen te mitigeren, maar volledig voorkomen ga je ze nooit. Ook DDOS'ers zijn continu bezig om de maatregelen te omzeilen en zo nu en dan vinden ze weer een nieuw trucje...

Het blijft een whac-a-mole exercitie waarin de grote partijen gelukkig ook steeds beter worden. Maar het statement van de staatssecretaris is wel correct: ze zijn niet te voorkomen. alleen te mitigeren.

Verwijderd @RobbieB • 27 oktober 2020 10:39

Er zijn een legio aan mogelijkheden om DDOS aanvallen te mitigeren, maar volledig voorkomen ga je ze nooit.

Je kan ze als bedrijf zelfs niet een heel klein beetje voorkomen.... Wat je bedoelt is dat je de negatieve gevolgen deels kan voorkomen. Keijzer heeft geheel gelijk met haar conclusies.

Het enige wat gaat helpen is dat ISPs dit eerder detecteren en die informatie meteen delen met andere ISP's. Alleen samen kunnen ze verbindingen afsluiten omdat je in je eentje wellicht niet voldoende traffic op je netwerk hebt om het te detecteren.

RobbieB @Verwijderd • 27 oktober 2020 10:57

Day doen ISP’s al: https://www.nbip.nl/nawas/

djwice

@Verwijderd • 27 oktober 2020 14:02

[...]
Je kan ze als bedrijf zelfs niet een heel klein beetje voorkomen....

Soms heb ik de illusie dat iemand die een DDoS uitvoerd een motivatie heeft om het te doen bij partij X.
Als die motivatie merk gericht is, is voorkomen inderdaad scheer onmogelijk.

Als de motivatie zich richt op industrie Y of zelf alleen maar 'omdat het kan' of 'zien wat het doet', kan het zijn dat een partij maatregelen kan treffen waardoor een ander boven hen verkozen zal worden.

Je verplaatst het doelwit / de focus van de aanval.
Je verkomt hem dan als het ware voor bedrijf X.

[Reactie gewijzigd door djwice op 22 juli 2024 22:46]

the_stickie @RobbieB • 27 oktober 2020 10:36

Dat geldt jammer genoeg voor alle vormen van criminaliteit.

Stoney3K

Nederland

@RobbieB • 27 oktober 2020 16:44

Er zijn een legio aan mogelijkheden om DDOS aanvallen te mitigeren, maar volledig voorkomen ga je ze nooit. Ook DDOS'ers zijn continu bezig om de maatregelen te omzeilen en zo nu en dan vinden ze weer een nieuw trucje...

Het is natuurlijk een kwestie van tijd tot de DDoS'ers zelf AI-systemen in gaan zetten en je dus een 'cloud vs cloud' type aanval krijgt.

kodak

Beveiliging en antivirus
Nederland

@Niemand_Anders • 27 oktober 2020 10:35

De voorbeelden die je noemt gaan niet over voorkomen maar de gevolgen proberen te beperkenen. Als ze een aanval detecteren is die er namelijk al.
Dat de aanval dan misschien nog niet veel effect heeft maakt bijvoorbeeld iets uit om grotere gevolgen te kunnen beperken met veel meer mogelijkheden dan je noemt, maar het voorkomt dus niet dat iemand een aanval zal uitvoeren en ook niet perse dat die niet succesvol is.

kimborntobewild @Niemand_Anders • 27 oktober 2020 18:42

CloudFlare gebruikt vaak captcha technieken om de authenticiteit van een client bevestigd te krijgen..

Als er iets irritant is, dan zijn 't wel captcha's... En de Google-captcha's zijn zeer traag, als Google denkt dat je een bot bent.
Ik heb eens gelezen dat er technieken bestaan waardoor het te herkennen is of de communicatie van een persoon of van een bot afkomstig is. Waarom wordt die dan niet gebruikt? Ik zie die captcha's overal. Bovendien is dat captcha-systeem van bijv. Google een paar jaar geleden al gekraakt; een script kon ze net zo goed beantwoorden als een persoon. (Is ergens een youtube-filmpje van.)

[Reactie gewijzigd door kimborntobewild op 22 juli 2024 22:46]

mkools24 @theduke1989 • 27 oktober 2020 09:32

DDoS bescherming bij Azure moet je afnemen en dat kost echt klauwen met geld.

$3000 per maand voor 100 resources. Voor MKB-tjes die een paar desktopjes draaien in de cloud is dat onbetaalbaar. AWS shield kost overigens vrijwel hetzelfde.

Delay @mkools24 • 27 oktober 2020 10:34

$3000 per maand is ongeveer 0.36 FTE aan beheerders. Lijkt mij zeker goedkoper dan het zelf doen.

blinchik @Delay • 27 oktober 2020 11:21

Wij betalen een stukje aan ons datacenter voor migitation (ongeveer 3% van de prijs van Azure als ik het zo zie) en voor de rest zijn onze firewalls automated ingesteld om attacks in af te slaan. Daar krijgen we ook steeds rapportjes van.

We hebben de laatste tijd wel wat DDOS attacks gehad, die zijn allemaal afgeslagen, behalve zo'n grote overvloed aan data die we niet (en ons datacenter) aankonden, waardoor we die extra service hebben afgenomen (de 3% waar ik over sprak) waardoor we sindsdien ook wel goed zitten. Aan firewalbeheer spenderen we echt geen 0.36 FTE in DDOS profiles. En firewall regels moet je toch beheren - het wordt natuurlijk verkocht dat er niets meer moet gebeuren, maar het is niet omdat je naar de cloud gaat, dat je geen beheer meer moet doen.

Sorry, maar $3000 dollar per maand voor 100 resources vind ik echt wel klauwen met geld als ik dat vergelijk.

EraYaN @blinchik • 27 oktober 2020 11:49

Voor die 3000 dollar krijg je dan ook wel een stuk hogere capaciteit (vooral voor volume). Want als je gemiddelde datacenter firewall de aanval af kan slaan is hij niet zo groot.

blinchik @EraYaN • 27 oktober 2020 13:03

Het is niet het datacenter, maar een upstream provider die de DDOS opvangt en filtert en waar in geval van onregelmatigheden naar wordt overgeschakeld door BGP. Het datacenter biedt die dienst wel aan.
Of je dus voor 3000 dollar zoveel meer krijgt, weet ik nog zo niet.

Als je begint te rekenen en het kost meer, dan komt inderdaad vaak de tweede reactie "je krijgt er zoveel meer voor". Maar heb je dat ook nodig ?

IT'ers maken vaak de vergelijking met auto's. Ik kan ook een Bugatti vragen als bedrijfswagen. Ik kan er veel sneller mee rijden dan mijn huidige wagen. Maar geen enkele baas die zo gek is om een Bugatti te kopen voor mij, want ik heb dit niet nodig. Terwijl je voor het geld van de Bugatti echt wel veel meer snelheid krijgt.

EraYaN @blinchik • 27 oktober 2020 14:54

Hangt allemaal van je threat model af en de SLAs die je afgegeven hebt aan je klanten. Daarom komen de meeste bedrijven prima weg zonder enige vorm van DDoS mitigatie, maar als je eenmaal een target bent, dan moet je een vrij grote partij hebben om de services goed te laten werken met een Layer 7 aanval of zo.

Loekie

@blinchik • 27 oktober 2020 16:48

Prolexic?

blinchik @Loekie • 27 oktober 2020 18:06

Nee, ons datacenter gebruikt een oplossing van Colt.

kodak

Beveiliging en antivirus
Nederland

@Delay • 27 oktober 2020 12:27

Met dit soort beweringen over goedkoop of duur mag je wel uitleggen waarop je dat bedrag van 1fte baseert en waarom dat redelijk is om mee te vergelijken. Beheerders zijn er in verschillende vormen en kosten. Dat is niet zomaar om te rekenen naar goedkoop of duur in verhouding tot wat ingekochte bescherming tegen ddos kost.

[Reactie gewijzigd door kodak op 22 juli 2024 22:46]

svenM @mkools24 • 27 oktober 2020 09:43

Basic bescherming is inbegrepen. Wil je meer moet je inderdaad betalen.
https://docs.microsoft.co...ntals/ddos-best-practices
Genoeg voor kleine bedrijfjes .

[Reactie gewijzigd door svenM op 22 juli 2024 22:46]

mkools24 @svenM • 27 oktober 2020 09:48

Dat zijn vooral de Layer 4/volume attacks, ze moeten die wel mitigaten want anders hebben alle klanten en zij zelf daar last van bij een aanval.

Maar die volumetric attacks zijn tegenwoordig wel redelijk goed onder controle. Je ziet steeds meer providers met meerdere pops die attacks al lokaal afvangen en omleiden en/of filteren. Cloudflare bijv doet hetzelfde en verdeelt een aanval over al hun DC's waardoor de capaciteit enorm is.

Daarom zie je dat aanvallers steeds meer overschakelen naar application layer attacks (Layer 7) en zo goed mogelijk legitiem verkeer na proberen te bootsen om de ddos protectie te proberen omzeilen. Dat is echt een kat en muisspel en zal het altijd blijven.

kodak

Beveiliging en antivirus
Nederland

@svenM • 27 oktober 2020 10:43

Of inbegrepen maatregelen genoeg zijn hangt niet af van wat een dienstverlener basis noemt of hoe klein je bedrijf is maar waar je last van krijgt. Criminelen die ddos uitvoeren zijn er in alle soorten maten en aantallen. Ze maken bijvoorbeeld ook fouten of het kan ze niets schelen of andere bedrijven last hebben. Zo kan die standaard bescherming voor vele kleine bedrijven dagelijks weinig waard zijn.

Rob Coops @mkools24 • 27 oktober 2020 12:14

Dat is een raar verhaal met een desktop die je draait bij een cloud provider heb je echt geen DDoS bescherming nodig. Waarom dan? Omdat mensen de individuele desktops aanvallen? Gewoon even de desktop uit en weer aan en je hebt waarschijnlijk een nieuw IP waarna de aanvaller weer fijn opnieuw kan gaan proberen jouw desktop te vinden.

Daarnaast is er een bepaalde mate van bescherming voor je bedrijf je en echt als MKB bedrijfje zul je niet snel een aanval zien die groot genoeg is om daar niet genoeg aan te hebben.

kodak

Beveiliging en antivirus
Nederland

@Rob Coops • 27 oktober 2020 12:38

Dit soort beweringen is leuk voor in de kroeg maar niet als je echt zekerheid wil tegen ddos. Het hangt er heel erg vanaf hoe de configuratie is, hoe makkelijk je systeem of applicatie te vinden en bereiken is, met wat voor soort ddos je te maken hebt en met wat voor soort crimineel. Een van de problemen met ddos is dat dit soort makkelijke beweringen zorgt dat er alsnog overlast of erger is. Als je wagenpark last heeft van inbraak of vernieling zeg je ook niet dat je de wagens dan maar ergens moet zetten waar ze minder makkelijk gevonden worden. Security by obscurity is geen sterke oplossing. Meestal is er dan meer nodig.

Rob Coops @kodak • 28 oktober 2020 14:18

Hoe vaak heb jij gehoord van een desktop die niet meer te gebruiken was door een DDoS aanval van buiten af?

Als het al gebeurt dan is even een nieuw IP gebruiken echt ver uit de makkelijkste en goedkoopste oplossing. Natuurlijk niet obscurity maar wel een probleem dat zo hypothetisch is dat als je het al tegenkomt je makkelijk binnen een paar seconde er iets aan kan doen en dus echt geen dure extra bescherming nodig hebt.

djwice

@mkools24 • 27 oktober 2020 14:07

Is dat bedrag niet ook incl. financiële bescherming?
Dat dat je niets extra betaald als jouw infra op Azure opschaalt als gevolg van de aanval.

Dus als je normaal 3 webservers draait en het worden er 20 dat je er gewoon maar 3 betaald.

Henk Poley @theduke1989 • 27 oktober 2020 10:00

Als je een snelle communicatie hebt om aanvallende IP adressen upstream te blokkeren naar jou toe, en bekende 'goede' IP adressen voorrang te geven, dan kan je daar veel mee winnen.

Verwijderd @theduke1989 • 27 oktober 2020 11:38

Als klein/middelgroot bedrijf moet je wel naar een publieke cloudprovider voor anti-DDOS. Zelf netwerkapparatuur/servers kopen om een degelijke DDOS tegen te gaan is veel te duur voor dit segment.

djwice

@theduke1989 • 27 oktober 2020 13:54

Vergeet https://www.cloudflare.com/ niet in je rijtje. Wordt veel gebruikt voor DDoS bescherming en Edge cache.

Sorcerer8472 @theduke1989 • 27 oktober 2020 09:23

Als je kijkt naar de kosten om zelf servers te beheren dan is het vaak toch echt gunstiger om naar de cloud te gaan, mits je het daar efficiënt inricht, want da's weer een heel ander verhaal dan op fysieke servers.

Hangt natuurlijk enorm af van het type bedrijf, gebruikspatroon (24/7 of vooral overdag), hoeveelheid storage/traffic, enzovoorts enzovoorts.

En on-topic: dDoS wordt vaak ook gewoon geregeld en afgewend als onderdeel van de dienst. Succes om dat met je eigen hardware te doen.

[Reactie gewijzigd door Sorcerer8472 op 22 juli 2024 22:46]

Blokker_1999

Ddos
Beveiliging en antivirus
Nederland

@Sorcerer8472 • 27 oktober 2020 09:33

Dat is een claim die je echt niet zomaar kunt maken. Elke situatie is uniek. En waar voor de ene de cloud gunstiger zal zijn zal voor een ander toch echt on-prem de betere optie zijn.

Over tijd zal zowat alles naar de cloud verhuizen, daar is iedereen het over eens. Maar tot het zover is moeten we vooral kiezen voor de beste optie, ongeacht of dat cloud of on-prem is.

Pumbaa82 @Blokker_1999 • 27 oktober 2020 10:36

Over tijd zal zowat alles naar de cloud verhuizen

Ik ben het daar niet mee eens.
Het is niet een zwart of wit verhaal, geen cloud of on-prem verhaal.
Er zit een heel groot grijs/hybride gedeelte tussen in.

Kan me nog een expertslive herinneren waarin alles de cloud in moest gaan, een jaar later was de boodschap toch echt weer meer gericht op hybride.

Want wat is 'de cloud' nu precies ?
Als je het mij vraagt een hoop servers (fysieke resources) die in datacenters staan waarop alles (virtueel) draait. Al dan niet verspreid in het land, continent of over de wereld.

Ik denk dat je eerste opmerking 'Elke situatie is uniek' meer waar is.

En dat veel (met name grotere) bedrijven 'de private cloud' wel zelf (blijven) hosten met hun eigen datacenter engineers, al dan niet in datacenters waar de grotere (publieke) cloud providers ook staan. Waarbij die cloud providers een flexibele uitbreiding kunnen zijn van je private cloud.
Alleen is het server concept van vroeger verandert.

Vele andere kleine en middelgrote bedrijven zullen nog steeds hun data hybride hebben staan, al is het maar dat er een lokale backup naar een NAS wordt weggeschreven.
En tja, die server is dan nog maar een simpele NAS geworden, maar wat is het verschil tussen een full blown server en een stukje intelligente hardware met een specifieke functie ?

Sorcerer8472 @Blokker_1999 • 27 oktober 2020 11:45

Zelf zeg ik ook al dat het afhankelijk is van de situatie. Echter vaak is het wel gunstig, iig in heel veel situaties die ik heb meegemaakt.

Dan gaat het o.a. ook om kosten, technische kennis die niet meer nodig is, reserve-onderdelen, noodstroom, energiezuinigheid in het algemeen, mogelijkheid om op en af te schalen, netwerkconnectiviteit op locatie die kan uitvallen, risico op downtime, migraties bij verhuizingen van hardware, enzovoorts.

De voordelen zijn enorm groot in veel gevallen. En ja, hybride setups kunnen ook heel gunstig zijn, maar het hangt echt af waar het om gaat, en een probleem waar je mee zit is dat je daar zowel de "moderne" skills nodig hebt die je in een cloudomgeving ook nodig hebt, als dat je hardware moet onderhouden. Dat kan alleen als je de juiste mensen hebt, of het beheer uitbesteedt.

Qua efficiëntie rondom schalen en kosten daarvan zijn de verschillen groot. En ja, er zijn zeker ook nadelen. Je software moet ervoor geschreven zijn en je moet de kennis hebben om het efficiënt in te richten. Ook zijn bepaalde zaken rondom storage en traffic erg prijzig dus moet je een goede strategie daarvoor hebben. Da's ook de reden dat het zeker niet bij iedere use-case past. Verschilt trouwens ook nog enorm per aanbieder. Ga je naar een AWS, of ga je bijv. clouddiensten bij TRUE in Nederland afnemen?

x86dev @Sorcerer8472 • 27 oktober 2020 09:27

En dan nog blijft; "Not your hard disk, not your data".

Verwijderd @x86dev • 27 oktober 2020 10:45

Dat is tegenwoordig zo'n dooddoener..... Wij gebruiken cloud voor vele services, distributie (je bent wel gek om dat zelf te doen tegenwoordig), support, project management, bug tracking.... en wie de eigenaar van de harddisk is doet amper ter zake.

Ik heb mijn medewerkers liever aan het werk met wat we doen. Niet met het beheren van 10 servers met 130 disks. We maken ook niet onze eigen stroom (mmmm eigenlijk wel, op het dak), asfalteren de oprijlaan ook niet zelf en als er tapijt gelegd moet worden gebruik ik ook een extern bedrijf.

Sorcerer8472 @x86dev • 27 oktober 2020 11:36

De Nederlandse wet is het absoluut niet met je eens.

blinchik @Sorcerer8472 • 27 oktober 2020 10:38

Misschien als je een heel klein bedrijf bent en het niet de moeite loont om zelf servers op te zetten, of je een bedrijf bent dat soms echte piekmomenten nodig heeft.

Maar bijvoorbeeld zeker niet in ons geval. Wij kunnen onze servers redelijk goed belasten, en hebben niet echt een groeicurve die je niet kan inschatten. We hebben al 2x eens cloud specialisten laten komen en dingen laten uitwerken, als je technisch begint verder te vragen zjin we steeds tot 3x a 4x zo duur uitgekomen in de cloud. En dan moesten we nog development servers afzetten 's nachts om minder resources terwijl daar 's nachts soms testverwerkingen op draaien....

Daarenboven gaat niet alles over kosten. Het gemak van eigen beheer, geen verplichte updates tijdens jouw deadlines, etc, is toch ook vaak belangrijk.

Rob Coops @theduke1989 • 27 oktober 2020 11:59

De kosten van een overstap naar de cloud hoeven niet meer te zijn dan de ontwikkeling van een nieuwe versie van de software van het bedrijf. Bestaande software van een derde partij zou al lang moeten draaien op een cloud service als dat niet zo is kun je inmiddels echt wel een concurrent vinden die dat al wel doet.
In veel gevallen als een bedrijf groot genoeg is wil bijvoorbeeld Microsoft (en some ook AWS) een flinke korting bieden of allerlei diensten gratis leveren als een bedrijf nu maar naar hun cloud over stapt. Startups konden (misschien kunnen geen idee of dat nog zo is) bij Microsoft tot 1M aan gratis resources krijgen als ze nu maar hun software bouwden op de Azure cloud. Vaak willen ze ook heus wel een architect aan een bedrijf lenen om hen te helpen met hoe ze het beste hun services kunnen verhuizen zonder dat er extra kosten aan verbonden zijn. Dat heeft heel veel te maken met hoe veel je uitgeeft bij deze bedrijven. als je 3 VM's en een RDS database zij ze afneemt is dat natuurlijk een ander verhaal maar als je bijvoorbeeld een contract tekent dat je de komende 3 jaar minimaal 1.000.000 per jaar aan ze overmaakt dan kunnen ze heus wel wat voor je doen.

Dat je het als consument niet merkt is niet helemaal waar zeker bij de cloud providers met mindere netwerken wil je nog wel eens last hebben van een aanval. Zelfs AWS veruit de grootste server beheerder op deze planeet wil nog wel eens last hebben van een aanval en ondanks dat je het als consument misschien niet direct merkt kun je er als klant van de dienst toch echt wel iets van merken. Vaak is dat in de vorm van netwerk blips omdat men dingen anders configureert of andere veel al subtiele dingen waar een beetje could applicatie automatisch rekening mee houd. Maar toch je kunt wel degelijk zien als ze een flinke aanval te verwerken krijgen. En dat kan ook niet anders zo'n aanval knalt een of een aantal interfaces vol met verkeer en dat verkeer moet ergens afgehandeld worden zelfs als het gewoon wordt gedropt dan nog moet dat ergens gebeuren en als er nu maar genoeg verkeer is zul je dat merken als jouw verkeer over die zelfde interface loopt.
Maar zo als ik al zei een beetje cloud service kan heel goed omgaan met een verandering in het netwerk een tijdelijke (vaak een paar ms) disconnect of flinke vertraging/error rate. Dus het is niet alleen aan de cloud service providers om hun netwerken zo in te richten dat je als consument er niets van merkt het is ook aan de klant van de cloud provider om de services zo te maken dat zij er geen overmatige problemen mee hebben als de cloud provider wat aanpassingen moet maken om de aanval af te slaan.

TheekAzzaBreek @theduke1989 • 27 oktober 2020 13:45

tja het is maar hoe je de infrastructuur hebt ingedeeld. En hoe groot het is.

Microsoft, Google, Facebook, Apple krijgen ongetwijfeld ook dagelijks dit soort aanvallen. Maar die zijn dus zodanig groot, dat jij als consument er dus niks van merkt omdat alle verkeer altijd doorgelust wordt naar andere knooppunten.

Die bedrijven weten de schade te beperken, dat is mooi. Maar dat ddos aanvallen niet te voorkomen zijn is toch gewoon een feit?

theduke1989 @TheekAzzaBreek • 27 oktober 2020 14:34

Maar dat maakt toch niks uit. Ze kunnen het beperken ze kunnen het zo verspreiden. Of de ddos aanvallen moetrn groter zijn dan de genoemde bedrijven wat ik niet zie gebeuren

Risce 27 oktober 2020 09:27

Het blijft toch vreemd dat cybercriminaliteit op allerlei manieren niet gezien wordt als criminaliteit.

Je zegt als minister toch ook niet 'Diefstal is niet te voorkomen, maar de effecten ervan kunnen we wel verminderen'? Nee, dan zeg je 'We moeten er alles aan doen om diefstal te ontmoedigen', bijvoorbeeld door beveiliging, hoge straffen, grotere focus van het opsporingsapparaat, etc.

Het is niet onjuist om te zeggen dat je de aanval niet kan voorkomen, maar om meteen te gaan schermen met private partijen en je niet te focussen op repressie en voorkomen, vind ik toch erg vreemd hoor. Zie je vaak bij dit soort 'abstracte' criminaliteit waarvan het motief niet altijd meteen helder is.

Tha_Butcha @Risce • 27 oktober 2020 09:31

Omdat er nog steeds hordes mensen zijn die het een acceptabel excuus vinden om te zeggen: "Ja dat doe ik niet hoor. Computers en internet, da's niet zo mijn ding, dus dat doe ik niet."

Blokker_1999

Ddos
Beveiliging en antivirus
Nederland

@Risce • 27 oktober 2020 09:40

Je moet kijken naar de context. Hier heeft iemand een hoop specifieke vragen gestelt en daarop zijn antwoorden gegeven. Je gaat niet zomaar even een stukje proza in die antwoorden steken om een punt te maken over het aanpakken van cybercriminaliteit. Je blijft on-topic en beantwoord de gestelde vragen.

M2M @Risce • 27 oktober 2020 09:41

cybercriminaliteit is een wat lastiger aan te pakken vorm van criminaliteit. De aanval wordt door een individu of een groep mensen uitgevoerd, die niet perse in het land hoeven te wonen/leven waar de aanval plaatsvindt. Bovendien is het bijzonder eenvoudig om jezelf als cybercrimineel onvindbaar te maken.

En als je de juiste persoon gevonden hebt, moet het betreffende land nog meewerken aan uitlevering. Erg leuk als het een noord-koreaanse staatshacker blijkt te zijn.

Dus tenzij we een great firewall of the hollands bouwen, al het verkeer in en uit het land door een filter trekken en elk apparaat dat aan een internet verbinding hangt, van minimale security-vereisten voorzien (of afkoppelen als een vulnerability door een softwareupdate niet te patchen is), is er weinig te doen aan een DDOS aanval.

Douweegbertje @Risce • 27 oktober 2020 09:42

Net zo goed wordt er heel erg preventief gepushed om diefstal tegen te gaan. Denk hierbij aan huisbeveiliging, bordjes dat je je meuk uit je auto moet halen, detectiepoortjes, etc. Ik weet niet waar je nu alles op baseert want net zo goed wordt er wel degelijk gereageerd op ddos aanvallen maar is de pakkans gewoon soms heel laag. Niet te vergeten vaak wereldwijd en dus juridisch gezien pittig lastig.
Derhalve is het prima om de weerbaarheid te vergroten.

timo_m

@Risce • 27 oktober 2020 10:49

Goed punt.

Gelukkig zie ik af en toe wel initiatieven opduiken om het 'updatebeleid van apparatuur te publiceren bij aanschaf.’ Ik vraag me alleen af of er ooit iemand aangepakt omdat ‘ie medeplichtig is aan een DDOS, omdat zijn ‘onveilige over-datum zijnde apparaat’, onderdeel is van een botnet.

Ook vraag ik me af hoeveel mensen het zouden accepteren als een bedrijf, wat offline is door een DDOS, in het persbericht zet “De overheid doet z’n best om de daders op te sporen en te berechten. Helaas is dat nog niet gelukt, de aanval gaat door en wij doen wat we kunnen.”

kodak

Beveiliging en antivirus
Nederland

@Risce • 27 oktober 2020 10:55

De reactie toont eerder aan dat ze het wel als criminaliteit zien. Een kenmerk van criminaliteit is namelijk dat het niet 100% is te voorkomen in onze rechtsstaat waarin we ook veel vrijheid kennen.

Met een uitspraak die de waarheid is is er nog niet gezegd dat het geen criminaliteit zou zijn. Stel het ging over een zwaar misdrijf als moord en iemand zou antwoorden dat dat niet te voorkomen is dan is dat realistisch. Het zegt verder niets of het geen criminaliteit zou zijn, het zegt ook niet dat we het maar moeten accepteren. Dat jij daarbij liever iets anders hoort maakt niet het verschil. Dat lijkt meer te gaan om hoe duidelijk anderen afstand nemen en dat je verwacht dat anderen meer doen om het op te lossen.

Ddos gaat vaak om problemen doordat een bedrijf of persoon last heeft van een ander persoon. De gevolgen kunnen voor veel mensen zijn maar wie het meeste inzicht heeft en actie kan ondernemen zijn dus meestal die bedrijven of personen zelf. Dat heeft bijvoorbeeld te maken met de vrijheden die we hebben dat de politie of overheid niet zomaar overal iets mee te maken heeft. Dan kan je wel graag horen dat de politiek zegt dat ze meer gaan doen maar dan zal toch eerst duidelijk moeten zijn dat dat niet zomaar kan. Want opsporen of voorkomen en stoppen heeft meestal veel informatie en kennis nodig om wettelijk mogelijk te maken. Of bijvoorbeeld andere wetgeving die niet iedereen zal bevallen omdat het misschien verplichtingen en kosten meebrengt.

[Reactie gewijzigd door kodak op 22 juli 2024 22:46]

Maurits van Baerle @Risce • 27 oktober 2020 11:05

Je moet het een beetje uitsplitsen. Bijvoorbeeld dat diefstal het resultaat is van een inbraak. De inbraak is de actie, de diefstal is de schade. Bovendien gaat het hier om "DDoS aanvallen", niet om geslaagde DDoS acties. De staatssecretaris zegt nu eigenlijk "We kunnen niet voorkomen dat mensen proberen in te breken maar we kunnen wel zoveel mogelijk voorkomen dat er dingen worden gestolen."

Zolang het internet bestaat zullen er mensen zijn die DDoS aanvallen uit kunnen voeren. Of die ook succesvol zijn in het berokkenen van schade is een tweede en daar zijn wel een reeks maatregelen in te nemen. Zoals die NaWas "wasstraat" laat zien.

[Reactie gewijzigd door Maurits van Baerle op 22 juli 2024 22:46]

Delay @Risce • 27 oktober 2020 11:13

Repressie is in zekere zin tijdelijk. Je beschermt dan oude en onveilige dingen die je uiteindelijk toch niet droog houdt. In die zin vervult Cybercriminaliteit een nuttige functie door het zichtbaar maken van zwakheden.

En je hebt ook belang bij goede kwaliteit cybercriminelen. Toen Garmin werd aangevallen, konden ze het Russische bedrijf "Evil Corp" betalen en kregen ze het wachtwoord om de ransomware weg te halen. Je wilt wel dat die betaling en het uitleveren van het wachtwoord betrouwbaar werken. Als daar iets mis gaat, b.v. omdat "Evil Corp" te wantrouwend is, loop je risico op miljarden i.p.v. miljoenen schade.

kodak

Beveiliging en antivirus
Nederland

@Delay • 27 oktober 2020 13:11

Repressie is proberen te voorkomen dat een crimineel aanvallen doet. Een hogere straf in vooruitzicht stellen of uitvoeren of niet belonen voorkomt niet zomaar alleen oude of bekende aanvallen. Het is niet alsof een crimineel altijd een one trick pony is of dat repressie alleen zou gaan om wat oud of bekend is. Hooguit bepaalde vormen van repressie zijn dat.

Belang van kwaliteit van criminaliteit goed praten lijkt me ook niet redelijk. Dat is leuk voor bedrijven die geld en tijd willen besparen als het te laat is maar niet om ddos te voorkomen. Als een organisatie liever een crimineel betaald omdat het op dat moment goedkoper of sneller lijkt te zijn hoort de eerste vraag te zijn of er te weinig geinvesteerd is in het voorkomen en kunnen herstellen. Niet omdat het achteraf makkelijk praten is maar omdat criminaliteit voorkomen in de maatschappij nog altijd hoger staat dan het in stand houden of belonen.

cappie 27 oktober 2020 09:18

Wat 'ie zegt klopt als een bus.. maar gelukkig heb je tegenwoordig genoeg mitigatie mogelijkheden en komen er elke zoveel maanden nieuwe bij.

Ik vraag me af of een versnelde invoering van IPv6 (en eventuele afschaffing van IPv4 op internet) DDOS-aanvallen tegen zal gaan; zijn er experts die hier iets zinnigs over kunnen zeggen?

[Reactie gewijzigd door cappie op 22 juli 2024 22:46]

Yariva Moderator internet & netwerken @cappie • 27 oktober 2020 09:26

Je laag 3 (IPv4 / IPv6) heeft niks te maken met de (hoeveelheid) data die je verstuurd.

Mogelijk kan anycast je nog een beetje helpen mbt load balancing maar die balancers hebben we ook al met IPv4.

Zolang je maar genoeg data blijft pompen / sessies laat open staan gooi je vrijwel iedere setup plat. En het is de pest dat het zo eenvoudig is.

[Reactie gewijzigd door Yariva op 22 juli 2024 22:46]

Blokker_1999

Ddos
Beveiliging en antivirus
Nederland

@Yariva • 27 oktober 2020 09:36

Nee, maar als je NAT gaat tegenhouden dan heb je een veel beter idee van welk apparaat op je netwerk getroffen is met IPv6 omdat elk apparaat met een eigen adres het internet op kan gaan.

Yariva Moderator internet & netwerken @Blokker_1999 • 27 oktober 2020 10:28

Eens, met IPv6 zal je meer inzicht krijgen in welk IP adres daadwerkelijk de boosdoener is i.p.v. een intern adres achter een Ziggo lijntje.

kodak

Beveiliging en antivirus
Nederland

@Yariva • 27 oktober 2020 12:50

Veel boosdoeners doen nog aan spoofen. Het ip adres is dan dus vals, afkomstig van netwerken die spoofing mogelijk maken maar niemand van het internet af kan houden. Ipv6 voorkomt spoofing niet. Dus als jou aanvaller gebruik maakt van spoofed verkeer gaat dat alsnog de ddos niet voorkomen of opsporen veel makkelijker maken. En zelfs als het niet spoofed is hangt het er maar vanaf hoe je je netwekt hebt ingericht hoe die ipv6 adressen gebruikt worden.

Yariva Moderator internet & netwerken @kodak • 27 oktober 2020 12:53

Zekers! Ik kan mij herinneren dat je source IP wijzigen naar een adres dat moet worden ge-DOS'ed en deze sturen naar een neutrale partij in het midden ook een "leuk" trucje was

Uiteraard zelf geprobeerd in een lab

Brahiewahiewa @Blokker_1999 • 27 oktober 2020 12:34

Zeker nooit van address randomization gehoord? Even een ander ipv6 adres nemen is kinderlijk eenvoudig; daar is een API voor, tbv van privacy extensions. Met jouw redenering zou het opsporen van criminelen ook geen probleem zijn, want je hebt toch identificatieplicht

Pumbaa82 @cappie • 27 oktober 2020 10:45

Zal om het even zijn als je het mij vraagt.

Je hebt minstens 1 host die bereikbaar is op een IP adres.
Dus je attack surface wordt er wat dat betreft niet minder om.

DDOS aanvallen moeten bij internet providers afgevangen worden.

Cobalt 27 oktober 2020 09:26

Het zou toch helpen wanneer ze fabrikanten verplichten software te updaten wanneer hun product aan het internet hangt en de gebruiker niet zelf het product kan updaten. Smart tv's met verouderde android/linux/windows versies, mobiele telefoons met verouderde android versies, digitale reclame borden opstraat, etc.

[Reactie gewijzigd door Cobalt op 22 juli 2024 22:46]

Blokker_1999

Ddos
Beveiliging en antivirus
Nederland

@Cobalt • 27 oktober 2020 09:35

Alleen heb je als fabrikant geen enkele zeggenschap over hoe of hoe lang je klanten je producten gebruiken. Je hebt een ontworpen levensduur. Maar als sommige mensen die producten veel langer blijven gebruiken dan heb je daar geen controle over; Aan de andere kant is het economisch niet haalbaar om updates te blijven ontwikkelen voor systemen die al heel lang niet meer geproduceerd worden gewoon omdat mogelijks ergens iemand op een dag weer eens eentje gaat verbinden met het internet voor de lol.

bush @Blokker_1999 • 27 oktober 2020 10:08

correct, maar een langere verplichting om security updates te distribueren zou toch wel mogen. 2 jaar sinds de introductiedatum is tegenwoordig zo'n beetje de standaard, en dat is toch wel erg kort, zeker voor smart tv's etc. Zelfs voor Android smartphones is het niet meer zo dat je die elke 2 jaar moet vervangen.

Olaf van der Spek @Blokker_1999 • 27 oktober 2020 09:43

Alleen heb je als fabrikant geen enkele zeggenschap over hoe of hoe lang je klanten je producten gebruiken.

Logica toevoegen om internet toegang te beperken (op het device zelf) als het device out-of-date is lijkt mij geen rocket science..

coolkil @Olaf van der Spek • 27 oktober 2020 09:56

Het is misschien geen rocket science. Maar het is wel vreemd dat een fabrikant voor jou bepaald dat apparatuur niet meer voldoet en daarom functionaliteit uitschakelt in het kader van security. Dat geeft weer hele ander discussies. Wat eventueel wel een optie zou zijn is als de consument hiervoor zelf de security van het apparaat zou kunnen aanscherpen door ongebruikte functionaliteit zelf uit te schakelen.

Cobalt @coolkil • 27 oktober 2020 09:59

Zou wel goed zijn. Vooraf wordt nu al heel vaag in de voorwaarden gezet 2 jaar na productie datum geen updates meer. Maar dan wordt het duidelijker gecommuniceerd. En dan kiest de consument wel een andere tv die langer mee gaat.

PCG2020 @Olaf van der Spek • 27 oktober 2020 10:45

Geen raketwetenschap, wel ongewenst. Want dan zou de fabrikant bijvoorbeeld na een jaar kunnen zeggen:

Uw telefoon is niet meer veilig omdat u geen updates meer van ons krijgt! Wij blokkeren de boel! Wilt u nog internetten? Hier is een kortingsvoucher voor een nieuw toestel!

Wij garanderen bij onze goedkope modellen A, B en C 6 maanden internetplezier door updates. Wilt u langer internetplezier, koop dan model X, Y of Z, met 18 tot 24 maanden updates!

Uiteraard is het voorgaande wel enigszins gechargeerd

[Reactie gewijzigd door PCG2020 op 22 juli 2024 22:46]

Olaf van der Spek @PCG2020 • 27 oktober 2020 11:42

Duidelijkheid over de te verwachten supporttermijn zou goed zijn inderdaad.
Een duidelijk signaal dat een device out-of-date is zou ook goed zijn, nu staat er vaak simpelweg ergens: geen updates beschikbaar of zelfs up-to-date.

Uiteraard is het voorgaande wel enigszins gechargeerd

Dat laatste is zoals het nu gaat toch, behalve dan dat niemand er echt duidelijk over is.

[Reactie gewijzigd door Olaf van der Spek op 22 juli 2024 22:46]

PCG2020 @Olaf van der Spek • 27 oktober 2020 15:06

Ik ben het zeker met je eens dat er duidelijkheid moet zijn over de te verwachten supporttermijn. Maar een fabrikant die jouw apparaat onbruikbaar maakt omdat de supporttermijn verlopen is, is weer het andere uiterste

Olaf van der Spek @PCG2020 • 27 oktober 2020 16:27

Safety first.. of toch niet?

Banath

27 oktober 2020 09:40

Stuurt de vvd weer aan op nog meer overheids spionage achter de voordeur? Want de volgende stap is natuurlijk willen weten wie de ddossers zijn. Lijkt alsof de vvd uiteindelijk volledige controle wil hebben over alles wat met computers te maken heeft.

PCG2020 @Banath • 27 oktober 2020 10:50

Hoe je dat concludeert uit de inhoud van het artikel is mij eerlijk gezegd een raadsel.

Op dit item kan niet meer gereageerd worden.

Staatssecretaris: ddos-aanvallen zijn niet te voorkomen

Lees meer

De destructiviteit van ddos-aanvallen

Reacties (70)

Sorteer op:

Weergave: