Rijksoverheid.nl is 'ddos-aanval' na zes uur meester

Rijksoverheid.nl had donderdagavond te maken met dermate hoge pieken in het inkomende internetverkeer uit het buitenland dat vermoed wordt dat het om een ddos-aanval gaat. De site van onder andere de ministeries lag geregeld plat.

"Het is nog niet zeker, maar we hebben het sterke vermoeden dat het om een ddos-aanval gaat", vertelt Fred Steinweg, woordvoerder van Algemene Zaken. Volgens hem was er bij vlagen sprake van enorme toenames in het verkeer, maar cijfers kon hij nog niet noemen. Wel is duidelijk dat het verkeer vooral uit het buitenland afkomstig was. "We waren af en toe in de lucht en lagen er regelmatig uit", aldus Steinweg. Hierdoor waren de sites van alle ministeries slechts mondjesmaat te bereiken, terwijl volgens Steinweg ook Rijkswaterstaat.nl er even last van had.

"Het begon om ongeveer 18.00 en om 24.00 begon de situatie weer normaal te worden, nadat we buitenlands verkeer gingen blokkeren", vertelt Steinweg. Voor die tijd werd druk overleg gevoerd met Centric, de hostingpartner van Rijksoverheid.nl. Bij Centric was niemand bereikbaar om meer informatie over het voorval te geven. Overigens heeft Centric de hosting uitbesteed aan NXS.

Steinweg sprak van de hevigste aanval sinds lange tijd en liet weten dat Rijksoverheid.nl zelden te maken heeft met ddos-aanvallen. In 2004 vond de tot nu toe hevigste aanval plaats, door vijf Nederlanders die met behulp van een botnetwerk van ongeveer 190.000 computers de overheidssites vier dagen lang wisten plat te leggen.

Zes uur is geen bijzonder lange tijd om een ddos-aanval de baas te zijn. Eerst moet worden geconstateerd dat de toename van verkeer trekken van een aanval heeft, vervolgens moet het verkeer geanalyseerd worden en ondertussen moet er overleg tussen verschillende partijen plaatsvinden, waarbij de beslissing om verkeer te weren bij een site als Rijksoverheid.nl moeilijker te nemen is dan bij een gemiddelde site. Er zijn speciale firewalls, die onder andere Tweakers.net inzet, om ddos-aanvallen te weerstaan en die meteen in actie komen bij ongewoon hoge pieken in het verkeer. Onduidelijk is of die in het geval van Rijksoverheid.nl hulp hadden kunnen bieden.

Steinweg zegt dat pas meer duidelijkheid gegeven kan worden als het incidentenrapport van Centric verschijnt. Die verwacht hij op korte termijn. Daarnaast is overheidsbeveiligingsorganisatie Govcert ingeschakeld om de aanval te analyseren.

Update 18.00: Verduidelijkt dat incidentenrapport van Centric komt en los staat van het onderzoek van Govcert en dat de daadwerkelijke hosting door NXS verricht wordt.

IT-banen

Reacties (73)

TvdW 18 februari 2011 16:27

Direct eventjes melden dat Tweakers niet getroffen zal worden door dit soort simpele attacks,

OT:
Waarom zou iemand rijksoverheid.nl willen ddos'en? En waarom iemand uit het buitenland?

Verwijderd @TvdW • 18 februari 2011 16:49

Omdat we een stuk of 20 missies hebben in het buitenland?
Defensie valt niet onder de sector Rijk, maar de website valt toch onder rijksoverheid.nl. Vraag me niet waarom, maar zal wel uit oogpunt van overzichtelijkheid gedaan zijn.
Ik lees echter niet dat defensie.nl ook aangevallen was, en hij was in de lucht.

Verwijderd @Verwijderd • 18 februari 2011 17:03

Meerdere sites worden redelijk centraal gehost...

Best handig, maar als er dus eentje aangepakt wordt, merkt de rest dat ook!

Ik denk ook dat dit gewoon een dry run was; 6 uur lijkt me nogal kort, dus dit zal geen sterk opgezette aanval zijn, eerder een test van wat de aanvaller kan/nieuwsgierigheid wat het rijk aan kan.

Wat een ontiegelijke "sluik" reclame trouwens! Eventjes een halve alinea wijden aan de firewall + merk&type...

FragNeck @TvdW • 18 februari 2011 16:28

Misschien is het op basis van trial & error gedaan, en is dit gewoon toeval geweest.
Niet alles is in de eerste instantie doelbewust gericht.

Maarten21

@TvdW • 18 februari 2011 16:30

Waarom rijksoverheid.nl weet ik niet.
Waarom uit het buitenland? Als het een botnet betreft, en deze verspreid is over de hele wereld, dan is het logisch dat het meeste verkeer uit het buitenland komt.

Verwijderd @TvdW • 18 februari 2011 16:31

Zou een "dry run" kunnen zijn om te toetsen hoe stabiel overheid sites in NL zijn. Doen terroristen ook voor de daadwerkelijke aanval wordt uitgevoerd.

Verwijderd @TvdW • 19 februari 2011 13:26

Misschien is het een softwarebedrijf dat licenties van zijn firewall software will slijten aan de overheid?

Elmo_nl @TvdW • 18 februari 2011 16:34

Om de response tijden / effectiviteit te checken i.v.m een toekomstige aanval? Vanuit de overheid zelf om te testen? Om meer geld vrij te krijgen voor de beveiliging? Hoogstwaarschijnlijk gaat het niet om een ddos maar een verstoring in het satteliet(internet) verkeer vanwege de zonnewind. Dat veroorzaakt veel storing = onzin verkeer.

*edit: Of Japan? http://www.nu.nl/buitenla...and-walvisactivisten.html

[Reactie gewijzigd door Elmo_nl op 23 juli 2024 00:33]

Dreamvoid @Elmo_nl • 18 februari 2011 16:47

Hoogstwaarschijnlijk gaat het niet om een ddos maar een verstoring in het satteliet(internet) verkeer vanwege de zonnewind. Dat veroorzaakt veel storing = onzin verkeer

jaja, en dan toevallig heeft alleen rijksoverheid.nl daar last van?

Ik denk dat het de Belgen waren, die willen al maanden een regering en wat is makkelijker dan dan maar de Nederlandse overheid te kapen?

[Reactie gewijzigd door Dreamvoid op 23 juli 2024 00:33]

Elmo_nl @Dreamvoid • 18 februari 2011 17:45

jaja, en dan toevallig heeft alleen rijksoverheid.nl daar last van?

Hmm, net even gekeken op ripe.net en overheid.nl wordt gehost op http://www.asp4all.nl/
Is dat niet dezelfde club waar de calamiteitensite er laatst uit lag omdat de beheerder op school zat of iets? Yep, even opgezocht: http://tweakers.net/nieuw...aakt-door-vergissing.html

Tijd voor de overheid om a) over te stappen op een andere hosting b) mijn in dienst te nemen i.p.v telkens te bedanken als ik solliciteer c) iets anders...

*edit: foutje, bedankt...

[Reactie gewijzigd door Elmo_nl op 23 juli 2024 00:33]

Kevjoe @Dreamvoid • 18 februari 2011 17:05

Wij willen nog geen regering, we gaan voor de 500 dagen zonder regering ^^

Verwijderd @Kevjoe • 19 februari 2011 20:20

Als onze regering zo doorgaat, dan is die binnen 500 dagen weer ontbonden!!

Nielson 18 februari 2011 16:48

Duidelijk is wel dat Rijksoverheid.nl geen gebruikmaakt van de RioRey RX1810-firewall, die Tweakers.net inzet om ddos-aanvallen te weerstaan en die meteen in actie komt bij ongewoon hoge pieken in het verkeer.

Beetje rare tekst, aangezien tweakers enige tijd geleden door een ddos ondanks dat ding nog steeds nauwelijks bereikbaar was.

melcon @Nielson • 18 februari 2011 16:58

Is gewoon reclame, en waarom dat zo in een nieuwsbericht vermeld moet worden?
Ik ga er vanuit dat een site als de rijksoverheid.nl zelf wel kan beslissen of zij een dergelijke oplossing nodig achten. Daar hebben ze geen reclame voor nodig in een nieuwsbericht van tweakers.net.

dcm360

@Nielson • 18 februari 2011 17:22

Ik kan me de afgelopen tijd toch echt geen ddos aanval op tweakers herinneren waarvan de gevolgen urenlang hinderlijk merkbaar waren. Dat apparaat kan overigens niet meteen een ddos afweren, maar is een soort van zelflerend: de software erop analyseert vreemde patronen in het dataverkeer en gaat deze eruit filteren, maar dat patroon is nog niet meteen duidelijk in de eerste seconden. Ik meen me zelfs een keer te herinneren dat moto-moi of kees vertelde dat toen de site weer normaal bereikbaar was de ddos eigenlijk nog bezig was maar de Riorey zn werk goed deed.

SchizoDuckie 18 februari 2011 19:49

Ik begrijp echt niet dat ze niet gewoon standaard overheidssites als politie.nl, crisis.nl, rijksoverheid.nl en de hele meuk op een Content Delivery Network als Akamai draaien...

Als je zo giga veel dataverkeer hebt en ook nog kans op pieken als DDOSen en *kuch*nationale crisissen*kuch* moet je dat niet zelf willen managen, maar aan de pro's overlaten. Scheelt gigantisch in de hardware kosten, en je betaalt tenminste voor de traffic die je echt hebt ipv dat je een extreem systeem moet onderhouden 'just in case'

[Reactie gewijzigd door SchizoDuckie op 23 juli 2024 00:33]

wica @SchizoDuckie • 18 februari 2011 20:32

uhh, Data van de Nederlandse overheid mag niet op servers opgeslagen worden die niet op het Nederlands grond gebied staan.

Dit omdat ze dan de controle over deze data kwijt zijn.

wkb @wica • 18 februari 2011 22:02

uhh, Data van de Nederlandse overheid mag niet op servers opgeslagen worden die niet op het Nederlands grond gebied staan.

Dit omdat ze dan de controle over deze data kwijt zijn.

[quote]

Lijkt me niet zo'n probleem gegeven dat dit informatie is die ze nu juist met alle burgers *willen* delen.

Verwijderd @wkb • 19 februari 2011 08:16

Maar kwaadwillenden zouden dan informatie kunnen veranderen waardoor de verkeerde informatie bij de burgers aan komt.

wica 18 februari 2011 21:23

overigens zou het iets te maken kunnen hebben met deze bug?
http://www.oracle.com/tec...cve-2010-4476-305811.html

Aangezien rijksoverheid.nl zwaar gebruik maakt van java.

@HoppyF: Ik weet wel een paar zinvolle reden, maar die zullen we hier maar niet melden

Aangezien het alleen gebaseerd is op geruchten.

[Reactie gewijzigd door wica op 23 juli 2024 00:33]

HoppyF @wica • 18 februari 2011 22:54

Wie weet.
Daarom is Govcert er ook bij betrokken.
Govcert is ook de distributeur van dit soort alerts naar overheidsinstellingen.

Maar vergeet niet dat de rijksoverheid.nl niet bij de overheid zelf gehost wordt maar elders. Een derde partij (Centric/NXS) is verantwoordelijk voor de hosting.
De klant is dus de overheid in dit geval.
Dat wil niet zeggen dat de overheid niet eindverantwoordelijk is want dat zijn ze wel.

De rijksoverheid website is informatief, dus het platleggen is weinig zinvol.
Het zou wat anders zijn als hacker het gemunt zouden hebben op DigiD.

flossed @HoppyF • 19 februari 2011 07:05

Als je Digid wilt hacken dan moet je Digid DDossen. DigiD is een compleet gescheiden systeem wat weer op een compleet andere omgeving bij een andere partij gehost wordt.
Dit soort omgevingen zijn virtueel en fysiek vaak van elkaar gescheiden en zelfs al was het bij dezezelfde partij gehost op hetzelfde fysieke lan. dan zou je eerst binnen moeten komen, wllicht met een succesvolle SSH attack of een exploit op de draaiende software stack, vervolgens het netwerk hacken, wat een hele andere orde van grote is. en dan je ding doen. Eer dat je dat lukt heeft iedere mogelijke IDS al lang en breed alarm geslagen, en zijn alle security officers van hier tot china bezig om jouw fysieke adres te achterhalen. Ddossen is niet zo handig voor hacken, in mijn opinie alleen handig voor denial of service, of wellicht een bruteforce attempt.

burne @flossed • 19 februari 2011 16:28

Reken maar dat de security-officer van NXS wica goed in de gaten houdt.

wica @burne • 19 februari 2011 19:43

Hij doet maar

Verwijderd 18 februari 2011 16:27

Ik mag toch aannemen dat de hierboven genoemde firewall niet de enige is die deze functionaliteit heeft ?

Verwijderd @Verwijderd • 18 februari 2011 16:54

Klopt, tippingpoint solutions bijvoorbeel van juniper, hp tippingpoint, Radware apsolute,
Cohesion network solutions, Cisco, etc ,etc.

erik23 18 februari 2011 16:41

oeps, had ik toch te veel pagina's geopend gisteren.
ik zat te kijken ''

, zijn ze weer aan het aanvallen''
kijk ik vandaag op tweakers zie ik opeens dat ze echt aangevallen zijn

.
lang leven google cache $_/-\o_$

het lijkt me ook wel tijd dat zo'n site beveiliging mag hebben tegen zoiets.
al helemaal als het eerder gebeurd is.
''een ezel stoot zich geen 2 keer aan de zelfde steen'' maar de nederlandse overheid wel

Dreamvoid @erik23 • 18 februari 2011 16:48

De techniek staat niet stil he, de ddos aanval in 2004 was ongetwijfeld heel anders opgezet dan die van nu.

xmenno 18 februari 2011 17:07

Gelukkig hebben ze in ieder geval geen amateuristische firewall.

meneer-ei @xmenno • 18 februari 2011 17:26

Het ligt niet alleen maar aan de firewall, maar de mate waarin deze geconfigureerd wordt... een tip-top-top-of-the-notch firewall kan heel amateuristisch geconfigureerd zijn

Beetje jammer dat die laatste alinea er zo nodig bij moest... het doet wel wat met de objectiviteit van nieuwsbericht(en).

regmaster 18 februari 2011 18:45

Weleens van een risico- + kostenanalyse gehoord jongens? Wat is de waarde van de informatie, hoe moet deze beschikbaar zijn en wat voor schade wordt er gelopen indien informatie onbeschikbaar is Ik gok zomaar dat je dan op een lage, zeer acceptabele, schade uitkomt waarbij je voor een oplossing nogal diep in de buidel moet tasten. Tja, dan is de keuze vrij snel gemaakt.
En daarnaast, er zijn wel meer sites de afgelopen maanden aanvallen en soms platgelegd waarbij er wel enige reputatie schade werd geleden maar die zijn mensen nu eenmaal vrij snel vergeten.
En je bent wel een beetje kansloos om een informatieve site als Rijksoverheid.nl aan te vallen. Komt een beetje over als een bushokje van een opgeheven lijn in the middle of nowhere opblazen, ook bijzonder kansloos.

stresstak @regmaster • 19 februari 2011 15:53

En je bent wel een beetje kansloos om een informatieve site als Rijksoverheid.nl aan te vallen. Komt een beetje over als een bushokje van een opgeheven lijn in the middle of nowhere opblazen, ook bijzonder kansloos.

Hoewel het een goede repetitie is om voor het echie te doen op aanstaande koninginnedag te Amsterdam.? 's Avonds een weinig belangrijke site aanvallen is een goede oefening.

Luukje01 18 februari 2011 16:27

heeft rijksoverheid.nl geen DDoS bloker zoals Tweakers.net dat heeft? dat is toch normaal bij dermate 'belangrijke' sites...

cyboria @Luukje01 • 18 februari 2011 16:29

Lees het artikel eventjes grondig door:

"Duidelijk is wel dat Rijksoverheid.nl geen gebruikmaakt van de RioRey RX1810-firewall, die Tweakers.net inzet om ddos-aanvallen te weerstaan en die meteen in actie komt bij ongewoon hoge pieken in het verkeer."

vgroenewold @cyboria • 18 februari 2011 17:11

Waarom gebruikt niet iedereen zo'n firewall (gezien anonymous zo succesvol is), zal vast een nadeel aan kleven dan.

Verwijderd @vgroenewold • 18 februari 2011 17:43

Mischien dat de rijksoverheid deze hardware niet ondersteund en meer op Cisco leunt?

Tweakers heeft de RioRey RX1810-firewall gekregen en niet gekocht, en als tweaker is dat en stuk makkelijker te accepteren dan dat je via een orgaan je supplen moet komen en beheren

Sinned123 @Verwijderd • 18 februari 2011 19:51

europese aanbesteding.
Het gebeurt veelal dat je het moet doen met hardware van een minder merk omdat dit door de europese aanbesteding zo bepaald is.

Verwijderd @Sinned123 • 19 februari 2011 20:14

Zulke aanbestedingen zouden niet moeten mogen, want je ziet wat er van komt. Maar goed... We schreeuwen in de duisternis

Cronax @Sinned123 • 21 februari 2011 11:47

Dit heeft niets te maken met het feit dat het een europese aanbesteding betreft, het probleem is dat er niet altijd iemand met kennis van zaken betrokken wordt bij de aanbesteding om te waarborgen dat de juiste aankoop gedaan wordt.

Keypunchie

Internettoegang

@vgroenewold • 19 februari 2011 00:09

Waarom gebruikt niet iedereen zo'n firewall (gezien anonymous zo succesvol is), zal vast een nadeel aan kleven dan.

Zo'n ding is niet gratis. Dat kost al snel duizenden, zo niet een paar tienduizend euro. Van het high-end spul (wanneer je echt veel verkeer te fiteren hebt) heb ik begrepen dat je daar rustig een zeer fraaie auto, of een zelfs een leuk klein huisje van kunt kopen.

En dat voor een aanval die misschien wel nooit komt. En dat zo'n aanval ook wel weer kan overwaaien. En omdat je ook minder slim kunt blocken. Veel Nederlandse sites zouden bijvoorbeeld simpelweg alleen Nederlandse IP's kunnen accepteren voor een paar dagen. Zoals gezegd is DDoS-verkeer vaak internationaal, terwijl een Nederlandse website in veel gevallen 90+% klanten in Nederland heeft.

burne @Keypunchie • 19 februari 2011 00:35

Zo'n ding is niet gratis. Dat kost al snel duizenden, zo niet een paar tienduizend euro. Van het high-end spul (wanneer je echt veel verkeer te fiteren hebt) heb ik begrepen dat je daar rustig een zeer fraaie auto, of een zelfs een leuk klein huisje van kunt kopen.

Voor je context: het instapmodelletje begint bij 100.000 euro. Dat is zeker een leuke kar. Als je meer wilt moet je gaan denken aan Lambo's of villa's in zuid-Frankrijk.

Verwijderd @Luukje01 • 18 februari 2011 17:09

Ach, zo'n "DDoS bloker" (firewall?) kan ook maar bepaalde aanvallen opvangen. En dan voornamelijk DoS-aanvallen (SYN flood, etc).
Een DDoS is veel moeilijker om tegen te houden als er van veel verschillende locaties wordt aangevallen (zoniet onmogelijk), zoals bv. een botnet. Zeker als het om een publiek toegankelijke server gaat.

mschol @Verwijderd • 18 februari 2011 19:16

zo'n firewall kan je toch "aanleren" dat bij X connectie's in Y tijd de verbinding voor Z minuten wordt geblokkeerd?
het komt weliswaar van misschien 10.000 systemen, maar die vragen de site ook nog eens een miljoenkeer op, binnen een uur oid...

Verwijderd @mschol • 18 februari 2011 19:35

En wat win je dan ten opzichte van onbereikbaar zijn door een aanval?

Verwijderd @Verwijderd • 19 februari 2011 20:17

Je richt je blokkade natuurlijk niet op tegen de hele buitenwereld, maar het aanvallende spectrum van IP nr's of iets dergelijks (waar ongetwijfeld wat loze gevallen bij zitten). Zo is in dit geval gekozen om verkeer vanuit Nederland niet te blokkeren (handig als je botnet grotendeels in Nederland draait

humbug @Luukje01 • 18 februari 2011 17:35

ik weet niet of het aan de ddos blokker ligt maar vanuit china is juist tweakers vrij slecht bereikbaar en dan met name wanneer het nacht is in nederland. Blij roepen "wij hebben een ddos blocker" helpt niet als je gebruikers niet bij de site kunnen.

leeke1984 18 februari 2011 16:39

@ODF Misschien de Japanners vanwege de walvissenjacht die gehinderd wordt door de Seashepherd...

Nee ik denk niet dat er direct politieke redenen achter zitten, meer gewoon overheidje pesten ofzo. Ik zie niet in wat voor baat iemand heeft bij het platleggen van rijksoverheid.nl... Feel free to enlighten me!

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (73)

Sorteer op:

Weergave: