DigiD-storing van dinsdag kwam door ddos-aanval

DigiD was dinsdag onbereikbaar door een grootschalige ddos-aanval. Dat zegt DigiD-ontwikkelaar Logius tegen NU.nl. Het overheidsorgaan zegt de aanval en eventuele maatregelen te onderzoeken.

De Logius-woordvoerder zegt dat het om een 'uitzonderlijk hoog volume' aan verkeer ging, schrijft NU.nl. De storing begon dinsdagochtend rond 11.30 uur en duurde tot zo'n 17.00 uur. Door de ddos-aanval konden gebruikers niet inloggen bij overheidsdiensten.

Reacties (115)

masterfragger 15 januari 2025 12:04

ik begrijp dat die geen cloudflare in de stack willen hebben. maar wat dan?

david-v

@masterfragger • 15 januari 2025 12:09

Ik zou verwachten dat DigiD gebruik maakt van de Nationale Wasstraat

jep @david-v • 15 januari 2025 12:31

Daar los je geen intelligente layer-7 aanvallen mee op helaas. De wasstraat werkt vooral voor hele grote stromen dataverkeer zoals amplification attacks. Juist die layer-7 aanvallen komen vaker voor; dus "gewoon" bezoekers op websites met ontelbaar veel ip's, random user agents en referers.

rbr320 @jep • 15 januari 2025 13:20

Volgens hun FAQ hebben ze daar wel degelijk mitigerende maatregelen tegen.

david-v

@rbr320 • 15 januari 2025 13:39

Nawas richt zich blijkbaar voornamelijk op headers

For Layer 7 (application layer), NaWas will mitigate based on header fields and not through (deep) packet inspection.

Ik vermoed dat dat is wat @jep bedoelde met "intelligente" layer-7 aanvallen. Daar zou nawas minder goed in zijn. Deep packet inspection (en IDS, IPS) is ook best wel een aanslag op je resources: CPU en geheugen. Ik heb dat bijvoorbeeld uitstaan op mijn gateway, want dan gaat mijn throughput flink naar beneden. Ik zou een duurdere gateway kunnen nemen, maar dat vond ik niet nodig voor een thuis netwerk.

jep @david-v • 15 januari 2025 14:53

NAWAS kan het versleutelde verkeer ook niet packet inspecten. Zij kunnen onmogelijk bepalen of een request gewenst is of niet omdat het moeilijk opvalt tussen het normale verkeer. Zulke filters maak je in een WAF of webserver configuratie, maar je moet je wel érgens op kunnen baseren. Wat Cloudflare wel goed doet is dat je eenvoudig kunt zeggen dat alles behalve west-Europa even langs een browser check pagina (redirect) moet lopen voor een check. Helaas werkt dat bij automatische koppelingen zoals bij DigID meestal niet. Het is dus allemaal niet zo eenvoudig als het lijkt.

ABC1234 @jep • 15 januari 2025 15:52

Ik zou als gerenomeerd overheidsinstituut geen cloudflare gebruiken. Ergens wringt het, dat een bedrijf wat pretendeert de (virtuele) wereld veiliger te maken, tegelijkertijd onderdak biedt aan exact die mensen en groeperingen die het onveilig maken.

Voorbeeld: https://www.theguardian.c...by-anonymous-helping-isis

Daarnaast zijn er betere oplossingen op het gebied van DDoS en Layer-7 aanvallen, het is dus niet nodig hen te gebruiken. Leuk voor de MKB'er, niet voor enterprise of overheid.

jep @ABC1234 • 15 januari 2025 15:58

I couldn't agree more. Het ging me meer om de technische oplossing om zulke aanvallen te mitigeren. Zij hebben daarnaast het voordeel dat ze pops over de hele wereld hebben en een aanval dus bijna nooit een DDoS kan worden. Verder inderdaad niet gebruiken voor dergelijke diensten.

ABC1234 @jep • 15 januari 2025 16:44

Je hebt er in elk geval veel verstand van, dat viel me direct op. Klasse!

Douweegbertje @ABC1234 • 15 januari 2025 22:58

Dat is wel een erg ongenuanceerde mening als een soort "deugridder"; want ISIS dus: slecht.

Er zijn hier namelijk veel nuances en invalshoeken. Wij, als westerse samenleving, hebben een bepaald perspectief op zaken. Maar is dat de absolute waarheid? Is ons beeld, onze ideologie, dé standaard? ISIS is natuurlijk onacceptabel (voor ons), maar wat wordt er verder nog uitgesloten? En andersom, wat wordt wel toegestaan? Mag een website voor de LGBTQ+-gemeenschap? Moet cloudflare dat bepalen?

Daarbij, alsof de VS altijd het braafste jongetje van de klas zijn. Wij vinden hun normen sociaal acceptabeler, maar dat is vanuit ons perspectief. Afhankelijk van je invalshoek, kan je beargumenteren dat de VS net zo goed een 'slechterik' is.

Ik ben van mening dat het juist heel positief is dat een grote partij probeert neutraal te blijven op het internet. Juist vanwege hun omvang is het cruciaal dat zij zich niet opwerpen als arbiter van wat wel of niet mag. Het verbaast me dat jij dat niet inziet. Begrijp je dan niet dat bijvoorbeeld de VS niet zou mogen bepalen of de Nederlandse overheid Cloudflare kan gebruiken?

Het is de taak van lokale instanties om op te treden tegen zaken die in hun rechtsgebied onwettig zijn. Providers, domeinregistrars, DNS-providers, rechters en lokale autoriteiten zijn degenen die verantwoordelijkheid moeten nemen.

Hoe kun je van een wereldwijd opererend bedrijf verwachten dat zij zelf maar regels gaan verzinnen over wat acceptabel is en wat niet? Dat is niet houdbaar en zou leiden tot willekeur.

Als laatste over je laatste zin; veel enterprises zijn er bij gebaat, ik werk er bij 1. Natuurlijk zijn er links en rechts wat oplossingen maar als je echt een speler in de markt bent dan heb je niets aan diverse oplossingen zonder een enorme hoeveelheid aan bandbreedte. Iets wat domweg niet realistisch zelf op te zetten is. Los van het feit dat je oftewel expertise nodig hebt of alsnog aardig wat kosten moet maken.

Kees BOFH

Ddos

@rbr320 • 15 januari 2025 13:36

Het helpt wel wat, maar uit eigen ervaring weet ik dat ze niet optimaal werken voor de aanvallen die Jep noemt.

PaulHelper @david-v • 17 januari 2025 11:59

Een domme vraag niet direct gerelateerd aan jouw opmerking maar Cloudflare heeft vaak een extra laag wanneer de balans tussen veiligheid en toegang in het geding komt. Specifiek als de kans te groot is dat het een bot betreft of wanneer heel hoog verkeer komt er een extra check. Dat is soms achter de schermen maar als dat niet lukt een recaptcha of iets in die vorm.
Waarom is dat niet mogelijk in dit geval of doen nationale wasstraat hier niet aan?

Ja recaptchas zijn tot op zekere hoogte te automatiseren maar dit maakt de drempel vele malen hoger en zorgt vaak dat er toch een mens interactie zelfs in de DDoS aanval te pas moet komen.
Ik zeg niet dat Cloudflare perfect is of de oplossing maar oprecht benieuwd of hier geen oplossing of in ieder geval verbetering voor mogelijk is. Met Cloudflare sites of diensten heb ik het idee (geen harde data erbij) dat ze minder down zijn (door DDoS in ieder geval). Ik heb wel eens dat ik moet bewijzen een mens te zijn al helemaal met een VPN aan maar dat vind ik oke daar kies ik zelf voor namelijk en vergoot potentie op niet gewenst verkeer.

wica @masterfragger • 15 januari 2025 13:06

Wat dan?
Eerder het blokkeren van IP's uit andere landen. Te beginnen met IP van buiten de EU, helpt dat niet. Dan enkel NL toe staan.

Reden waarom ik dit zeg, is dat het veel gemakkelijker is ISP en hosters van de EU aan te spreken en het te laten oplossen. Dan landen van buiten de EU.

Pech voor de paar mensen, die buiten de EU zitten. En ik kan ook wel een dagje leven zonder digid, als ze besluiten enkel NL IP's te te staan.

pepsiblik @wica • 15 januari 2025 14:02

Een paar buiten de EU? Tuurlijk joh. Sluit ff 400.000 Nederlandse staatsburgers uit van toegang tot overheidsdiensten.

Bron: https://www.joho.org/nl/h...it%20en%20ondernemingszin.
Kijk in de sectie over hoeveel Nederlanders in het buitenland wonen.

Bron: https://nidi.nl/demos/nederlanders-elders-in-europa/

Wanneer je die twee met elkaar combineert, kom je op het getal uit van 400.000 Nederlandse staatsburgers die buiten de EU wonen en nog eens 600.000 binnen de EU, maar buiten Nederland.

thedicemaster @pepsiblik • 15 januari 2025 15:11

als alternatief voor meer dan 18 miljoen afgesloten mensen, is slechts 1 miljoen een grote verbetering.

het is geen permanente oplossing om aanvallen te verkomen, maar een tijdelijke oplossing om de overlast van een aanval flink te verminderen.

pepsiblik @thedicemaster • 15 januari 2025 15:43

Lijkt me dat er vast betere oplossingen zijn dan het afsluiten van grote groepen gebruikers.

Termin8r @pepsiblik • 15 januari 2025 16:15

Welke dan?

Overigens: in relatie tot de groep gebruikers binnen de EU is die buiten de EU niet groot. Het tijdelijk afsluiten van verkeer van buiten de EU (waar ook een groot deel van de aanval vandaan zal komen) lijkt me een proportionele maatregel om de dienst voor verreweg de grootste groep beschikbaar te houden.

wica @pepsiblik • 15 januari 2025 14:58

Tja, 600.000 tijdelijk een dienst ontnemen. Welke eventueel via een VPN naar NL weer toegangelijk is.
Of bijna 18 miljoen de dienst ontnemen, omdat we een DDOS niet kunnen bestrijden...

Ik snap dat het een ingrijpende maatregel is. Daarom dat ik ook zeg, als eerste van buiten de EU te blokkeren tijdens een aanval en als dat niet helpt, pas enkel NL toe te staan.

Binnen de EU, kunnen we gemakkelijker ISP en hosters aanspreken op hun verantwoordelijkheid, wat er uit hun netwerk komt. Doen we dit niet, zullen we altijd last houden van DDOS aanvallen.

borbit @wica • 15 januari 2025 13:33

Er zijn natuurlijk zat mensen buiten de EU die niet even een paar dagen op vakantie zijn en wel bij DigiD moeten kunnen.

wica @borbit • 15 januari 2025 14:50

Deze mensen hebben 99% van de gevallen een Nederlandse Telco. Welke echt wel voor kan zorgen, dat je internet via Nederland geleid wordt. Dit is technisch gezien niet zo moeilijk, ze moeten het enkel willen.

Maar zelfs onder dit, is het jammer genoeg pech voor die enkeling.

david-v

@wica • 15 januari 2025 16:03

Aanvallers kunnen ook geïnfecteerde systemen gebruiken met Nederlandse IP adressen. Bovendien gaat bij een nederlandse telco de verbinding nog steeds via de verbinding/masten van de telcos in het land waar je bent. Het uitsluiten van mensen puur op locatie van je IP adres is een heel slecht idee en voorkomt het probleem niet maar verergerd het voor de mensen die er niks mee te maken hebben.

borbit @wica • 15 januari 2025 15:47

Maar zelfs onder dit, is het jammer genoeg pech voor die enkeling.

Ik weet er zelf niet genoeg vanaf. Maar kan mij prima voorstellen dat je, al dan niet voor werk, tijdelijk in het buitenland woont. Of zelfs off shore werkt. En dat die mensen ook gewoon DigiD moeten kunnen gebruiken. "jammer genoeg, je hebt pech" is denk ik niet iets wat je kan zeggen als overheid.

Cyberpuppy @borbit • 15 januari 2025 17:25

Maar die kunnen er nu ook niet bij. Dus van hun uit gezien veranderd er eigenlijk niks.

Je moet wat als je aangevallen wordt.

david-v

@wica • 15 januari 2025 14:58

Jouw oplossing is een vlieg doodschieten met een kanon en gaat het probleem veel erger maken.

Pech voor de paar mensen, die buiten de EU zitten. En ik kan ook wel een dagje leven zonder digid, als ze besluiten enkel NL IP's te te staan.

Hiermee maak je het probleem vele malen erger dan een paar keer per jaar offline zijn door een DDOS aanval. Alsof dit soort aanvallen niet vanuit EU en Nederlandse IP adressen worden uitgevoerd. Leuk idee, maar IP geo blocking is helaas niet de oplossing.

wica @david-v • 15 januari 2025 15:17

Als je ook dit stukje zou quoten

Reden waarom ik dit zeg, is dat het veel gemakkelijker is ISP en hosters van de EU aan te spreken en het te laten oplossen. Dan landen van buiten de EU.

Waarmee uit einde het probleem, minder zal worden.
Waarom is het toch elke keer weer, als er een RCE bug is, dat er duizenden maanden later pas patchen?
Waarom is toch elke keer weer, dat er iot/smartdevices betrokken zijn bij de DDOS?

Laten we het probleem eens aanpakken, door de beheerder van het netwerk aansprakelijk te gaan stellen.

david-v

@wica • 15 januari 2025 15:20

Veel aanvallen komen vanuit EU IP adressen, dat is al heel lang zo, en toch kunnen we het niet oplossen. IP adressen blokkeren op basis van Geolocatie lost niks op, dat was mijn punt. Het probleem is niet zo simpel helaas.

wica @david-v • 15 januari 2025 15:43

Ik snap je punt.

In het verleden, hadden we veel last van DDOSsen gebaseerd op IP Source Address Spoofing.
Wat voor een groot deel is op gelost met BCP38, waarom kunnen we dit niet een stap verder doen, door de netwerken verantwoordelijk te maken wat er uitkomt?

david-v

@wica • 15 januari 2025 15:59

waarom kunnen we dit niet een stap verder doen, door de netwerken verantwoordelijk te maken wat er uitkomt?

Bij 100.000 geïnfecteerde apparaten heb je te maken met honderden netwerken. Die kunnen ook niet zien dat je "call" naar digid niet legitiem is. Dat maakt het ook zo lastig om dit soort aanvallen tegen te gaan. Je weet niet wat wel of niet echt is. De overstroming van een rivier voorkom je ook niet door de afvoer van water van de honderden gemeentes langs de rivier dicht te draaien en de gemeentes verantwoordelijk te stellen voor het WC doorspoelen gebruik van hun inwoners. Daar moet je andere maatregelen voor nemen. Je wilt ook nuiet het netwerk van KPN sluiten omdat er een deel van de aanvallers uit dat netwerk komt. De oplossing is dan erger dan het probleem.

Het blijft hoe dan ook een lastige situatie om te voorkomen.

wica @david-v • 15 januari 2025 16:25

Ben het met je eens, dat het lastig is te voorkomen. Maar verminderen is wel mogelijk.

We hadden last van spam, oplossing was bepaalde IP's of hele subnets te blokkeren die op een lijst voorkwamen. Dat vonden de netwerkbeheerder niet leuk en hebben maatregelen getroffen. Al is het enkel, dat ze proactief reageren op een melding.

We hadden last van DDOS door middel van IP Source Address Spoofing, daar zijn maatregelen op getroffen.

Er zijn FW die filteren op know bad IP's, die overheid krijgt die lijst van o.a. de NCSC om ze te blokkeren.

Het wordt gewoon tijd, dat we bad networks gaan blokkeren. https://www.spamhaus.org/...tistics/networks/exploit/

Er zijn genoeg oplossingen om dit probleem te verminderen, maar we moeten het wel willen.

Waarom denk je dat drugs afval, in de natuur gedumpt wordt en niet in de WC? Omdat de gemeente dit echt kan herleiden.

david-v

@wica • 15 januari 2025 16:50

Ik denk dat DigiD al behoorlijk wat maatregelen heeft genomen. Dus we doen echt al heel veel om het te voorkomen. Van de meeste DDos aanvallen hoor je ook niks, die worden netjes tegengehouden. Deze was blijkbaar een extreme aanval,, vandaag is bijvoorbeeld surfnet slachtoffer en DigiD weer eventjes. Wie hier achter ziet moeten we nog even afwachten.

Overigens ontvang ik nog steeds enorm veel spam op email adressen die ik bewust gebruik bij plekken waar ik denk dat security niet top geregeld is, dus ook daar zie je nog steeds het probleem. Botnets ontmantelen helpt overigens wel, maar daar waar een botnet verdwijnt komt er na verloop van tijd weer een nieuwe bij. Kat en muis spel.

ABC1234 @wica • 15 januari 2025 15:43

Dat gaat niet gebeuren, veel van die dubieuze partijen verdienen geld aan deze activiteiten.

Frame164 @wica • 15 januari 2025 14:44

Een kenmerk van veel simpele oplossingen is dat ze niet werken of weer andere problemem veroorzaken.

wica @Frame164 • 15 januari 2025 14:53

Welke andere problemen zouden we kunnen verwachten, bij het blokkeren van verkeer van buiten de EU?

pepsiblik @wica • 15 januari 2025 15:45

Dat je 400.000 Nederlandse staatsburgers uitsluit van een dienst die voor hen de enige mogelijkheid is om met de Nederlandse overheid te communiceren.

hcQd @pepsiblik • 15 januari 2025 17:31

De DDOS sluit ze nu toch al uit, de situatie verslechtert voor de mensen buiten Nederland/EU niet.

Cyberpuppy @wica • 15 januari 2025 17:30

Je bent als Nederlander verplicht om bijv. belastingzaken in te dienen. Dan maakt het niet uit waar je op de wereld bent. En aangezien de overheid dan het gebruik van DigiD afdwingt is er geen andere oplossing dan alle wereldwijde IP adressen toe te staan op die dienst.

wica @Cyberpuppy • 15 januari 2025 17:34

Als Nederlander, die in het buitenland woont. Ziet de belastingdienst je als wereldburger en moet je speciale papieren wereldburger aangifte doen.

Ze zijn alles behalve blij met je, als je de normale manier van aangifte doet.

Maar ik zeg verder ook een tijdelijke blokkade, ten tijde van de DDOS.

[Reactie gewijzigd door wica op 15 januari 2025 20:06]

eekhoorn12 @masterfragger • 15 januari 2025 12:06

Ze kunnen gebruik maken van de Nationale Wasstraat voor DDoS-aanvallen

Scribe @eekhoorn12 • 15 januari 2025 12:12

Dacht heel even dat dit een grapje was kijkend naar de naam.

Wel leuk dat dit ook een Nederlands product is, maar dan weer jammer dat onze overheid het niet gebruikt...

CH4OS @Scribe • 15 januari 2025 12:19

Wel leuk dat dit ook een Nederlands product is, maar dan weer jammer dat onze overheid het niet gebruikt...

Omdat het geen overheidsproduct is. Het is niet bij overheid zelf in beheer.

rbr320 @Scribe • 15 januari 2025 13:17

dan weer jammer dat onze overheid het niet gebruikt...

Waar baseer je dat op? Zelf zal ik bevestigen noch ontkennen dat DigiD gebruik maakt van de NaWas service

johnny2000 @eekhoorn12 • 15 januari 2025 12:30

NaWas is volgens mij niet heel erg effectief op L7.

P1nGu1n

@masterfragger • 15 januari 2025 12:04

NaWas? https://www.nbip.nl/nawas/

DiscoNootje @masterfragger • 15 januari 2025 20:11

Waarom geen Cloudflare? De NAVO, verschillende EU instellingen, tientallen gemeentes zitten allemaal op Cloudflare. Maar voor DigiD een brug te ver?

digibaro 15 januari 2025 13:05

Ik word met de dag onrustiger van de Internet-only en cloud-first strategie die breed wordt geadverteerd en ook wordt omarmd. De dagelijkse berichten voeden mijn onderbuikgevoel alleen meer. Tuurlijk kan met een goede security strategie het risico geminimaliseerd worden maar het wordt nooit nul, echter het aanvalsvlak is afgelopen jaren wordt alleen maar groter geworden met de adoptie van die strategie.

Mijn onderbuik zegt dat bij een grootschalig conflict het westen met een aantal gerichten aanvallen tot stilstand gebracht kan worden. Hoeveel bedrijven hebben een back-up plan waarbij zij "analoog" of volledig offline kunnen doordraaien voor XX uren/dagen/weken?

[Reactie gewijzigd door digibaro op 15 januari 2025 13:06]

FrankHe

@digibaro • 15 januari 2025 14:50

Er zijn denk ik heel weinig organisaties die nog met papieren processen door kunnen. Alles is tegenwoordig elektronisch en dat zorgt in beginsel voor een grote efficiëntieslag maar ook een grotere afhankelijkheid van de onderliggende systemen. Alles dubbel uitvoeren met een handmatige switchover is technisch geen probleem maar daar moet je als organisatie wel in investeren. De meesten zitten in 'de cloud' waarmee ze bedoelen, in 'één cloud', waarbij je eigenlijk zou moeten pleiten om alles minimaal in twee volstrekt gescheiden omgevingen te zetten. Dat zie je bijzonder weinig.

david-v

@FrankHe • 15 januari 2025 15:11

De meesten zitten in 'de cloud' waarmee ze bedoelen, in 'één cloud', waarbij je eigenlijk zou moeten pleiten om alles minimaal in twee volstrekt gescheiden omgevingen te zetten. Dat zie je bijzonder weinig.

In cloud termen heet dat availability zones, regions enz.. Bij AWS heb je vergelijkbare termen.

Je kan natuurlijk multicloud gaan doen, maar dat vergt een enorme investering in abstractie voor je hele infra, naast de kosten. Persoonlijk zou ik niet zomaar kiezen voor een multicloud omgeving.

FrankHe

@david-v • 15 januari 2025 15:22

Alles is een risicoafweging. AWS kan natuurlijk ook tegen een configuratiefout aanlopen waarbij meerdere zones tegelijk een dag niet bereikbaar zijn. Dan mis je een dag productie en dat kan een hele hoop geld kosten. Het is aan iedere organisatie om te bepalen hoever ze willen gaan in de investeringen. Multi-zone is al flink ingewikkeld, zelfs met dedicated fibers zit je altijd tegen latency aan te kijken en welke regels hanteer je in het geval van een split brain situatie? Soms is het zelfs erger om twee systemen te hebben die uit sync zijn dan één systeem dat zeer incidenteel een halve dag onbereikbaar is. Bij multicloud wordt latency doorgaans een nog groter probleem en afhankelijk van de situatie wordt het soms een behoorlijke uitdaging op systemen in sync te houden. Het klinkt allemaal een stuk simpeler dan het in werkelijkheid is.

david-v

@FrankHe • 15 januari 2025 15:29

Ik meen me te herinneren dat het bij Azure 1 keer voorgekomen is dat een hele region uitviel door extreme weersomstandigheden. Dus ja, het kan zeker wel voorkomen. De kosten rijzen wel de pan uit als je live over wil schakelen op een andere region. Je hebt dan zoals je zegt een probleem van synchronisatie. Hoeveel ben je bereid te accepteren.

De afstand tussen twee availability zones zijn zodanig dat je een verlies van enkele milliseconden kan realiseren. Er zijn ook bedrijven die een belachelijke eis stellen aan sync verlies en toch replicatie over meerdere regions in de wereld willen hebben. Helaas is (nog) niks sneller dan het licht, maar probeer dat maar eens aan een groep managers uit te leggen

digibaro @david-v • 15 januari 2025 15:42

Ok, maar bij die uitval voorbeelden is dus nog geen grootschalige aanval in meegenomen. Ik blijf persoonlijk van mening dat er te veel op de kosten wordt gestuurd en niet op de nieuwe werkelijkheid.

Tevens de zorg monocultuur (OS, Applicatie) of monopoly qua cloud providers, waarbij verstoring in zo'n domein een steeds grotere land/regio/wereldwijde impact geeft. Cloudstrike en MS mail als voorbeelden laatst.

david-v

@digibaro • 15 januari 2025 15:52

Ik blijf persoonlijk van mening dat er te veel op de kosten wordt gestuurd en niet op de nieuwe werkelijkheid.

Geld kan je maar één keer uitgeven. Alle beslissingen hebben een kosten/baten analyse. Als je iets wilt, dan kost dat geld. Je kan niet alle aanvallen op IT systemen maximaal beveiligen, dat kost simpelweg teveel geld en 100% veilig krijg je het nooit, maakt niet uit hoeveel geld je er tegen aan gooit. DigiD is best wel stabiel. Storingen zoals deze komen zelden voor.

digibaro @FrankHe • 15 januari 2025 14:54

Helemaal eens, daarom denk ik dat de druk wel opgevoerd zou mogen worden zodat er verbeteringen plaats vinden zodat kritische omgevingen door kunnen draaien. Domeinen zoals energie, water, haven maar ook voedselproductie, levering en verkoop.

FrankHe

@digibaro • 15 januari 2025 15:11

De kans dat veel verschillende systeem tegelijk uitvallen acht ik vrij klein. Nutsbedrijven hebben hun zaken over het algemeen vrij goed op orde. Wanneer het online platform wordt aangevallen dan kunnen klanten voor enkele uren hun facturen niet inzien, geen meterstanden of adreswijzigingen doorgeven. Dat is vervelend maar het is geen ramp. Zaken als energieproductie en waterproductie bevinden zich in hele andere systemen. Deze operationele systemen hebben zelden een directe koppeling met het klantensysteem. Er bestaat overigens wel het risico dan systemen in een netwerk worden gecompromitteerd waarna een aanvaller zich toegang kan verschaffen tot andere systemen in hetzelfde of gekoppelde netwerken.

Met sommige low tech oplossingen kun je jezelf daar redelijk goed tegen wapenen. Zo hebben we in Nederland bijvoorbeeld geen mogelijkheid om van afstand een elektriciteitsmeter af te sluiten daar waar andere landen dat nog wel eens hebben. Dit is in der tijd een bewuste keuze geweest, veiligheid boven gemak. Daar hebben ze naar mijn mening goed aan gedaan.

digibaro @FrankHe • 15 januari 2025 15:35

Ik ben op de hoogte van (de scheiding) van IT/OT omgevingen. Ook daar zie je dat er meer apparatuur in kritische omgevingen communiceren naar (en van) de buitenwereld. Ja, zero trust, IT/OT firewall, IDS/IPS, CASB, maar dan nog, voldoende voorbeelden waar het misgaat.

Het energie netwerk verstoren zou via het op/af schakelen van zonnepanelen kunnen, cloud managed. :0

[Reactie gewijzigd door digibaro op 15 januari 2025 15:36]

FrankHe

@digibaro • 15 januari 2025 16:41

Het van afstand aansturen van zonnepanelen is zeker een groot risico. Op een flink zonnige dag kun je met een goed gecoördineerde aanval een groot deel van het Nederlandse net en flinke klap toebrengen ben ik bang.

Volledig 100% beveiliging is onmogelijk, je probeert altijd alles zo veilig mogelijk te maken gegeven het beschikbare budget.

david-v

@digibaro • 15 januari 2025 15:06

In geval van extreme nood zullen de minimale basisvoorzieningen wel na een bepaalde tijd handmatig uitgevoerd worden. Denk aan electra, water en bijvoorbeeld eerste hulp bij een ziekenhuis. Inloggen bij de belastingdienst is geen minimale basisvoorziening en zal dan ook niet mogelijk zijn bijvoorbeeld.

Overigens heb je aan het uitschakelen van electra (zie oorlog in Oekraïne) al genoeg om totale chaos te veroorzaken. Je hebt dan alleen de diensten over die noodaggregaten hebben, en de meeste mensen hebben dat thuis niet.

Frame164 @digibaro • 15 januari 2025 14:47

Dat het jouw onderbuik is precies het doel van deze aanvallen.

digibaro @Frame164 • 15 januari 2025 14:49

Hoe kom je tot de conclusie (of via welke bron) dat het doel van deze aanval is? Plus neem jij die kwetsbaarheid wel/niet serieus?

B_FORCE @digibaro • 15 januari 2025 18:14

Ik word er niet onrustig van.
Maar mijn ogen zijn inmiddels uit de kassen gerold.

Dit was al vele jaren geleden voorspeld toen het hele cloud gebeuren begon.
Vanaf dag 1 was en is het een zwak punt geweest.

Zoals gewoonlijk werd er toen gezegd dat het allemaal wel mee zou vallen.
Inmiddels liggen persoonlijke gegevens van heel veel mensen open (en te koop) op straat.

Dit is gewoon een kwestie van tijd.

Upquark 15 januari 2025 12:11

Het lijkt erop dat de ddos weer aan de gang is, kom er opnieuw niet in.

SomerenV @Upquark • 15 januari 2025 12:47

Hier hetzelfde inderdaad.

IlIlIllII @Upquark • 15 januari 2025 12:53

Jep, inmiddels ook terug te zien op de website van Logius. Storing 15 jan 12:00 begonnen - en nog niet verholpen.

Raymond Deen 15 januari 2025 12:09

Ben benieuwd of we nog te horen krijgen waardoor deze ddos is uitgevoerd.
Is het een script kiddie of een serieuze dreiging?

Zoop @Raymond Deen • 15 januari 2025 12:52

Ik vraag me altijd het nut af van dit soort dingen. Ja, je kan een hoop ellende veroorzaken, maar er valt verder toch niets te halen? Je kan zo'n aanval doorgaans ook niet te lang volhouden, dus het is sowieso tijdelijk van aard. En een botnet inzetten om een staatsdienst plat te leggen, is doorgaans ook niet bepaald gratis. Capaciteit moet worden ingekocht, tenzij je zelf die capaciteit bezit, maar dan gebeurd het toch minder snel voor de "lulz". Dus waarom? Wat probeert men ermee te bereiken?

Frame164 @Zoop • 15 januari 2025 14:45

Als je het genoeg doet ontstaat er onrust onder de bevolking. En daar kan je weer gebruik van maken als vijand.

Zoop @Frame164 • 15 januari 2025 15:05

Hmm, moet je het toch wel wat stelselmatiger doen dan dit, lijkt me, tenzij dit het begin van meer ellende is ...

MarcMK2 @Zoop • 15 januari 2025 13:01

Wat vaak gebeurd is dat een Ddos aanval als afleiding wordt ingezet om een andere aanval niet te laten opvallen/minder resources beschikbaar zijn om dit tegen te gaan.

DigitalExorcist @Raymond Deen • 15 januari 2025 12:44

Ook een scriptkiddie kan een serieuze dreiging zijn of -worden.

Raymond Deen @DigitalExorcist • 15 januari 2025 13:44

Misschien niet duidelijk verwoord, maar doelde op de intenties. En script kiddie doet het waarschijnlijk met de intentie “kijk mij eens! Niemand kan meer inloggen bij de zorgverzekering” terwijl een serieuzere bedreiging zou kunnen zijn “ze zijn druk bezig met oplossen; nu kunnen wij mooi onopgemerkt het netwerk op om DigiD account te stelen voor ongeoorloofd gebruik” om maar wat op te noemen.

Hakker 15 januari 2025 14:14

Ik snap niet dat ze zoiets als geo policies hebben. Of denken ze werkelijk dat er bv miljoenen requests uit China, Rusland of India gaan komen ineens. Of zelfs dichter bij huis als Duitsland, Frankrijk en Belgie. Ja een hoop van die DDOS parken staan ook in Nederland maar tegenwoordig is het wereldwijd en je zou toch wel verwachten dat ze bepaalde geo policies in plaats hebben juist om dit soort dingen makkelijker op te kunnen vangen.

hajee999 @Hakker • 15 januari 2025 17:22

Dat heeft geen enkele zin, geoblocking.
Tegenwoordig worden er nieuwe proxies opgestart in andere geografische regios on the fly opgestart, geautomatiseerd. Daarnaast weten we niet eens hoe de aanval er uit zag dus speculeren over mitigerende maatregelen heeft geen zin….

Kazu

15 januari 2025 12:10

Interessant, daar zou ik wel een uitgebreide post-mortem van willen lezen

aadje93 @Kazu • 15 januari 2025 12:12

of gewoon een configuratie foutje waardoor een deel van de infra niet bereikbaar is, de rest overbelast word en daardoor noemen we het mar een DDOS

dez11de @aadje93 • 15 januari 2025 12:43

Dan zou dit verhaal staatspropaganda zijn. Dat is nogal een flinke beschuldiging, heb je daar bewijzen voor?

The Zep Man

Beveiliging en antivirus

@Kazu • 15 januari 2025 12:13

DigiD is niet dood.

[Reactie gewijzigd door The Zep Man op 15 januari 2025 12:13]

FrankHe

@The Zep Man • 15 januari 2025 14:29

Zo heet een analyse achteraf nu eenmaal, ik heb het ook niet verzonnen.

FrankHe

@Kazu • 15 januari 2025 14:35

Ik ben inderdaad ook benieuwd of er nog lessen uit kunnen worden getrokken die ze met ons willen delen zonder al te veel prijs te geven van de rest van het verdedigingsplan. Soms is de conclusie, gewoon even schuilen tot de storm is gaan liggen en weer verder. Er zit nu eenmaal een limiet aan de hoeveelheid filtering en de dikte van de pijp die er beschikbaar is. Wat dat betreft is het gewoon een wapenwedloop. Je installeert meer hardware en dikkere verbindingen, de aanvaller plakt er een groter botnet tegenaan en je bent vervolgens weer terug bij af.

wildhagen

Cybercrime
storing
Ddos
Beveiliging en antivirus

@PeterDons • 15 januari 2025 12:59

DigiD host zelf geen data (behalve de authenticatie-gegevens zelf uiteraard). Het is een authenticatiemiddel.

De data staat "gewoon" bij de dienst waarbij je (middels DigiD) inlogt, en is dus hier helemaal niet geraakt in deze kwestie.

Nog even los van het feit dat bij een DDoS er doorgaans geen sprake is van datalekken, een DDoS is een overload van de server waardoor die niet bereikbaar is. Het is (normaalgesproken) geen hack in de zin van dat er mensen in het systeem gekomen zijn die daar niet thuishoren.

FrankHe

@wildhagen • 15 januari 2025 14:53

DigiD is inderdaad slechts een stukje authenticatie en autorisatie, verder staat er in DigiD geen data. Die data staat bij alle aangesloten partijen zoals mijn.overheid.nl, je zorgverzekering en je pensioenaanbieder. Als de systemen niet bereikbaar zijn dan kan je niet inloggen. De data is volstrekt veilig.

PeterDons @FrankHe • 15 januari 2025 15:44

Dat data bij overheid, zorgverzekeringen etc volstrekt veilig zijn zou ik niet zo hard stellen.

FrankHe

@PeterDons • 15 januari 2025 16:41

Wie beweert die bewijst.

PeterDons @FrankHe • 15 januari 2025 16:58

Zo maar wat kopjes en dan te bedenken dat ze ook jou medische data binnen Europa willen delen.
Hackers-stelen-medische-data-van-97-miljoen-australiers
Gegevens van zorginstellingen op straat door hack
Cyberaanval bij zorginstelling: gegevens van cliënten gedeeld
11 miljoen Amerikanen getroffen door hack bij zorgverzekeraar

Volstrekt veilig.

FrankHe

@PeterDons • 15 januari 2025 19:55

Volstrekt veilig heeft in dit geval betrekking op de DDos op DigiD, het is met een DDos aanval op DigiD niet mogelijk om via toegang te verschaffen tot aangesloten systemen zoals je zorgverzekeraar.

Hoe verschillende partijen op hun beurt gegevens beveiligen is een ander verhaal. Daarbij is een 100% garantie simpelweg niet te geven, het is altijd een afweging van de beschikbare techniek en hoeveel het mag kosten.

Een zorginstelling is niet hetzelfde als een zorgverzekering en zijn beide geen overheidsinstellingen. Een inbraak in Australië zegt bijzonder weinig over Nederland. Het kan overal gebeuren als je pech hebt. Wie zegt niet dat Nederlandse instellingen hebben geleerd van de lessen die de in Australië hebben opgedaan?

Over het verstekken van medische gegevens:
https://health.ec.europa....pean-health-data-space_nl

"personen de mogelijkheid bieden de controle over hun gezondheidsgegevens op zich te nemen en de uitwisseling van gegevens voor de verstrekking van gezondheidszorg in de hele EU vergemakkelijken (primair gebruik van gegevens)"
...
"secundair gebruik: de tekst bevat regels over een opt-out om een goede balans te treffen tussen het respecteren van de wensen van patiënten, en het waarborgen van de beschikbaarheid van de juiste gegevens voor de juiste mensen in het algemeen belang."

Wederom, een DDos aanval op DigiD is vervelend maar de informatie bij de aangesloten systemen is volstrekt veilig.

mlan 15 januari 2025 12:18

Een ddos van ruim 5 uur? Na 1 minuut weet je toch wel dat het een ddos is en neem je de nodige maatregelen?

david-v

@mlan • 15 januari 2025 12:24

Na 1 minuut weet je toch wel dat het een ddos is en neem je de nodige maatregelen?

Ik denk dat DigiD wel bescherming heeft tegen DDOS aanvallen, maar je kan ze niet allemaal voorkomen helaas. Kat en muis spel. Al helemaal als het "state" aanvallers zijn, die hebben net iets meer middelen dan de gemiddelde script kiddie

dylan_ @mlan • 15 januari 2025 12:26

Dat is niet altijd zo makkelijk. Als het volume groter is dan je kan afslaan dan kan je er vrij weinig aan doen. Ik vermoed dat dit het geval was.

YGDRASSIL

@mlan • 15 januari 2025 14:13

Een ddos is niet even uit te zetten. Er zijn mitigerende maatregelen maar die zijn niet bulletproof. Zolang de ddos doorloopt heb je er last van.

EdwinB @mlan • 15 januari 2025 12:41

Dat kan maar de maatregel is dan om het verkeer op een andere plek te laten landen zolang de aanval duurt. En ja dat is dan ook jouw inlogpoging bij DigiD die verdwijnt in /dev/null

Het is dan niets anders dan wachten tot de aanval voorbij is.

IlIlIllII @mlan • 15 januari 2025 12:41

Bijna 10 uur zelfs. Tweakers baseert zich op hun vorige artikel (''Update 17.25 uur: De storing lijkt voorbij te zijn.''), maar de website van Logius zelf spreekt over 14 jan 23:15 einde storing.

[Reactie gewijzigd door IlIlIllII op 15 januari 2025 12:41]

dez11de @IlIlIllII • 15 januari 2025 12:44

Ik kon zelf rond 20:00 gewoon inloggen.

IlIlIllII @dez11de • 15 januari 2025 12:52

Storing ≠ niet toegankelijk. Waarschijnlijk had Tweakers het over het laatste. Maar een storing is een veel groter begrip dan ''website niet toegankelijk''.

Zoop @dez11de • 15 januari 2025 12:55

Zoiets heeft meestal wel even nasleep. Kan zijn dat het al eerder sporadisch bereikbaar was, de aanval is dan wel al grotendeels over, maar dan heb je een backlog van tig mensen (en diensten, apis en pingers en whatnot) die tegelijk erin proberen te komen nadat het zo lang niet heeft gewerkt. Dus voordat het dan weer beetje kalm is, kan later zijn dan dat je er al in kon komen. Ligt er dus maar net aan wat ze onder "de storing" verstaan.

Ace_010 @dez11de • 15 januari 2025 14:30

Kon rond 13.30 gewoon inloggen. Dus bericht klopt niet helemaal en het statement van Logius ook niet.

FrankHe

@mlan • 15 januari 2025 15:00

Soms moet je de storm gewoon uitzitten. Je kunt er denk ik vergif op innemen dat er dagelijks script kiddies zijn die een DDos op DigiD afvuren, daar merken we verder niets van. Eens in de zoveel tijd komt er een aanval die net even te groot is, daar kun je dan weinig tegen beginnen, focus op het vergaren van forensische informatie en lever dat als mooi gebundeld pakketje aan bij de geheime dienst en anti-terreur eenheid. Wellicht dat het OM op een gegeven moment nog een keer vervolging kan instellen tegen deze of gene. Verder is het een kwestie van wachten tot de storm over is.

tweakkjoost 15 januari 2025 12:24

Door 'slimme apparaten' met slechte beveiliging en routers die Universal Plug n Play gebruiken worden poorten doorgestuurd naar deze apparaten voor hackers om te misbruiken. Die zetten deze apparaten in voor gigantische botnets om o.a. ddos aanvallen uit te voeren. Zet dus UPnP uit op je routers mensen..

GertMenkel

Beveiliging en antivirus

@tweakkjoost • 15 januari 2025 13:01

In de meeste botnetkaarten speelt dit probleem niet meer zoveel in Nederland of eigenlijk de rest van West-Europa. Landen in (Zuid-)Amerika en Azië zijn vaak helaas wel vaak kwetsbaar. Wij hosten alleen de C&C servers die het botnet aansturen

.

Ik vind zelf de aanpak van AVM wel fijn: UPnP is een toggle per apparaat in je routerinstellingen (die standaard uit staat), waarmee je dus je PC of console poorten kan laten openen en alles vloeiend kan laten werken, maar je robotstofzuiger niet bereikbaar is van buitenaf. Ik zou graag zien dat meer fabrikanten dat implementeren.

Overigens heb je geen UPnP nodig om in een botnet te komen, genoeg mensen die handmatig hun €10 FOSCAM camera's op poort 80 forwarden omdat dat zo makkelijk is.

FrankHe

@GertMenkel • 15 januari 2025 15:16

Gecompromitteerde hardware heeft vaak helemaal geen port forward nodig. Die doet alleen aan uitgaand verkeer. Af en toe pollen naar de C&C servers om te zien of er een opdracht is en verder zo min mogelijk aandacht trekken.

De AVM Fritz!Box heeft inderdaad standaardinstellingen die uit de doos gewoon veilig zijn. Wel zo prettig.

GertMenkel

Beveiliging en antivirus

@FrankHe • 15 januari 2025 16:04

Het probleem met veel IoT-troep was altijd dat ze uit zichzelf of zonder duidelijke waarschuwing UPnP aantrapten. Heel handig, maar niet zo handig als de services die open worden gezet zo lek zijn als een mandje en er nooit updates uit zullen komen. Die troep exploiten en toevoegen aan een botnet is heel simpel, maar zonder UPnP had de firewall dat ding beschermd.

Nadat een apparaat is overgenomen gaat UPnP omzetten niet zoveel meer doen nee, zou wel heel mooi zijn

Wat mogelijk wel zou kunnen helpen, maar van wat ik gehoord had geen interesse opwekte bij providers, is zoiets als SPIN wat opgezet is om gestandaardiseerd acceptabele firewallprofielen voor IoT-hardware te specificeren. Dat maakt het mogelijk om de impact van infecties minimaal te houden en om infecties te detecteren. Helaas vereist dat buy-in van zowel IoT-makers als van routerleveranciers (zoals ISP's), en daar is het schip behoorlijk gestrand.

FrankHe

@GertMenkel • 15 januari 2025 20:00

Een hoop IoT rommel komt van vage Chinese bedrijfjes waarvan je totaal niet weet wat hun intenties zijn en of ze wel de kennis en middelen hebben om een veilig apparaat te maken en gedurende de levensduur van veiligheidsupdates te voorzien. Veel apparatuur is nu eenmaal ontworpen op een zeer korte levensduur en dat heeft zo z'n consequenties.

dez11de @tweakkjoost • 15 januari 2025 13:12

Fabeltje.

WhatsappHack

storing
Ddos
Beveiliging en antivirus

15 januari 2025 12:50

Door de ddos-aanval konden gebruikers niet inloggen bij overheidsdiensten.

Niet alleen overheidsdiensten. Ziekenhuizen en verzekeraars moeten tegenwoordig om onverklaarbare redenen ook DigID vereisen om in te loggen. Strontvervelend, je kan helemaal niets als dat spul platligt - veel teveel diensten zijn er (onnodig) afhankelijk van gemaakt.

FrankHe

@WhatsappHack • 15 januari 2025 14:42

Het idee is dat met één digitale identiteit alles gemakkelijker wordt gemaakt. Een nadeel is inderdaad dat met een storing / aanval bij de authenticatie en autorisatie van die digitale identiteit meteen en hele hoop dingen niet werken.

Frame164 @WhatsappHack • 15 januari 2025 14:49

Wat zou jouw oplossing zijn die net zo veilig is?

WhatsappHack

storing
Ddos
Beveiliging en antivirus

@Frame164 • 15 januari 2025 14:51

Ziekenhuizen, verzekeraars, etc. kunnen prima zelf accounts aanbieden. Desnoods op z'n minst als back-up login methode.

fjjl @WhatsappHack • 15 januari 2025 16:23

Nog meer accounts waarbij datalekken kunnen plaatsvinden. Lijkt mij voor gebruikers en onze veiligheid juist geen goed idee om zulk soort partijen aparte accounts te laten maken. Die accounts hebben namelijk slechts een x aantal gegevens nodig die al ergens vastleggen, namelijk centraal bij DigiD. Laat ze niet nog een database aanleggen.

WhatsappHack

storing
Ddos
Beveiliging en antivirus

@fjjl • 15 januari 2025 17:49

“Zulk soort partijen” vind ik wat apart geredeneerd. Dit zijn gewoon bedrijven met technische staff en de overheidsdiensten zijn historisch gezien nou ook niet bepaald perse altijd waterdicht gebleken. Je redundantie danwel onafhankelijkheid is echter gegarandeerd compleet weg door de SPoF. Als DigiD een hele zware aanval of malware te verwerken krijgt kan het rustig zo zijn dat je geruime tijd je medische data niet kan aanroepen, medicatie bestellen lastig kan worden afhankelijk van de apotheek, declaraties indienen niet kan, je online consults niet door kunnen gaan en noem het maar op.

Daarnaast hébben die partijen alle data al - en wel in eigen databases. Het enige dat anders is, is dat enkel en alleen het inloggen niet via een eigen loginportaal gaat maar via het portaal van DigID of E-ID. Daar een single point of failure/attack voor creëeren zie ik niet als een extreme toename in veiligheid, hoewel ik in vele andere settings (vooral in het bedrijfsleven) juist het grote voordeel van SSO wél zie. In dit geval mede niet omdat bij een zwaar lek in DigID (óf een succesvolle phising/SE-aanval) dan ook echt meteen álles privé over je op straat ligt. Het verschaft immers onbeperkte toegang tot alle gevoelige databases en je hebt zelf als persoon geen enkele keuze waarvoor je DigID wel of niet wil inzetten als authenticatiemethode. Je bent immers *verplicht* om het te gebruiken bij al die partijen, dat vind ik wel kwalijk.

Ik zou zelfs een hybride beter vinden, waarbij DigID bij toepassingen anders dan overheidszaken enkel gebruikt wordt voor aanvullende authenticatie. Bijvoorbeeld bij een overstap naar een andere verzekeraar dat je dan met DigID je aanvraag kan bevestigen, zodat je geen kopietjes van je ID-kaart hoeft op te sturen (mits je DigID hebt voorzien van de ID-kaart check). Maar meteen gedwongen afhankelijk voor toegang tot en het regelen van al je zaken; daar ben ik er niet van overtuigd dat deze keuze een significante boost aan de online veiligheid oplevert. Ik onderschrijf zeker dat het voordelen heeft hoor, don’t get me wrong. Maar daar tegenover staan even goed tal van nadelen en is het niet perse een universele win.

Je vertrouwt deze toko’s trouwens niet met het maken van een adequate loginfunctie, maar dat ze al je medische data hebben is fair-game?

Of wil je dat ook centraal bij de overheid op gaan slaan “om het aanleggen van een database te voorkomen”?

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (115)

Sorteer op:

Weergave: