OM begint onderzoek naar ddos-aanval op Spamhaus

Het Openbaar Ministerie is een onderzoek begonnen naar de ddos-aanval op spambestrijder Spamhaus. De Nederlandse hoster Cyberbunker zou achter die aanval zitten. Of Cyberbunker officieel verdachte is in de zaak, is op dit moment nog niet bekend.

Het onderzoek naar de ddos-aanval op Spamhaus loopt al langer, maar pas nadat vaksite ISPam bij het Openbaar Ministerie informeerde, kwam het onderzoek in de publiciteit. Woordvoerder Paul van der Zanden bevestigt dat er een onderzoek loopt naar de aanval. Eerder op maandag bleek dat de Nederlandse hostingprovider Cyberbunker achter die aanval zit. De provider zette de aanval op touw nadat Spamhaus, die spammende mailservers in kaart brengt, Cyberbunker op zijn blacklist had gezet.

Of de werknemers van Cyberbunker, een hoster met een schimmig imago, officieel verdachten zijn in de zaak, kan Van der Zanden niet aangeven. "Dan loop je echt op de zaken vooruit", zegt hij. "Het onderzoek richt zich eerst op het in kaart brengen van de feiten." In welk stadium het onderzoek zich precies bevindt en hoe lang het al loopt, is onduidelijk, maar sowieso wordt er weinig informatie naar buiten gebracht over onderzoeken die nog lopen. Duidelijk is wel dat de zaak volgens het OM een connectie met Nederland heeft.

Welke straf de aanvallers boven het hoofd hangt, is nog niet te zeggen. Dat hangt volgens Van der Zanden af van de 'feiten en de concrete verdenking die op basis daarvan worden geformuleerd', zegt hij. In het verleden kregen Nederlandse ddos'ers vooral taakstraffen, maar dat waren vaak jongeren. Bovendien zou de ddos-aanval op Spamhaus, een zogenoemde dns amplification attack, een van de grootste ooit zijn: volgens Akamai had deze een omvang van 300 gigabit per seconde.

De dns amplification-aanval leunt op twee zwakheden in de structuur van het internet. Veel dns-resolvers accepteren verzoeken van alle inkomende ip-adressen, en veel providers controleren niet of uitgaand ip-verkeer wordt gemanipuleerd. In dit geval zou Cyberbunker ip-adressen van Spamhaus hebben gespoofd bij dns-requests aan verschillende dns-resolvers. Die dns-resolvers stuurden daarop het antwoord naar de servers van Spamhaus.

Een dns-reply bevat doorgaans veel meer data dan een dns-request, waardoor de aanvaller door relatief weinig data te versturen richting de dns-resolver een grote aanval kan opzetten. Toen Spamhaus het bedrijf Cloudflare inschakelde om zijn servers te beschermen tegen de aanval, werden de servers van dat bedrijf aangevallen. Ook andere providers zouden last hebben van de druk die de aanval legt op het dns-systeem.

IT-banen

Reacties (39)

nieternie 27 maart 2013 17:22

Spamhous is al minstens even louche als cyberbunker, maar omdat ze 'anti spam' zijn durven er minder mensen kritiek geven. Hun favoriete taktiek is om een heel bedrijf / ISP/ subnet te blacklisten, ook als er maar van 1 IP (klant) spam wordt verzonden. Een soort blackmail dus.
Enkele voorbeelden:
http://edpnetissues.blogspot.be/2012/10/22-october-2012.html
http://paulgraham.com/spamhausblacklist.html
http://paulgraham.com/spamhaussbl.html

[Reactie gewijzigd door nieternie op 23 juli 2024 19:23]

MPAnnihilator @nieternie • 27 maart 2013 17:50

Wij werken voor genoeg verschillende klanten, waaronder banken en Europeese instellingen die op dezelfde manier werken , 1 IP uit het Oostblok van waaruit aanvallen komen en dat resulteert binnen een paar uur in een RFC van de klant om het ganse subnet preventief te blokkeren. Niks uitzonderlijk aan in de huidige IT wereld naar mijn ervaring.

Ze 'louche' noemen getuigt van het lezen van enkele forum posts waarin spammers steen en been gebinnen klagen en spamhaus proberen zwart maken.

"De pot verwijt de ketel dat hij zwart ziet" noem ik dat.

Spamhaus hun technische regels zijn duidelijk en ze vragen tenminste geen geld om the whitelisten. Als een domain admin niet wil luisteren , pech voor hem , maar de schuld daarom bij Spamhaus leggen is de wereld op zijn kop.

Volgens mij komt men bij Spamhaus enkel op hun lijsten als men recidiveert en geen goede technische argumentatie kan geven wat je hebt gedaan om het probleem op te lossen.

Geen enkele RBL werkt zonder false positives , net zoals geen enkel anti virus 100% correct werkt. De kwaliteit van een dienst komt pas naar boven bij het behandelen van problemen.

Klanten van ons zijn er meer dan een jaar ook 2 keer na mekaar inverschenen , maar niks dan lof toen over de manier van werken met Spamhaus. We zijn al ergere gevallen tegengekomen !

Kalief @MPAnnihilator • 27 maart 2013 18:03

Spamhaus hun technische regels zijn duidelijk en ze vragen tenminste geen geld om the whitelisten.
Dan had jij blijkbaar mazzel, maar de klacht over Spamhaus was nou net dat ze dat wel deden.

En verder vind ik het niet zo netjes dat Tweakers bij voorbaat Cyberbunker consequent 'schimmig' noemt terwijl ze nog nergens voor veroordeeld zijn. Helemaal als die schimmigheid eruit bestaat dat ze TPB en Wikileaks hostten.

edit:typo

[Reactie gewijzigd door Kalief op 23 juli 2024 19:23]

TDeK @r.elu • 27 maart 2013 19:17

Wat houd je tegen om ze zelf aan te klagen? Als je zeker weet dat je een sterke case hebt kun je er mogelijk nog wat aan overhouden.

MPAnnihilator @r.elu • 27 maart 2013 20:58

Als het een reactie is op mijn post , dan kan je duidelijk niet lezen vandaag. We hebben al verschillende keren onze IP's op hun lijsten gehad. Nog geen onterrechte vermeldingen gehad na ons onderzoek. Hoezo afpersingspraktijken, ben wel nieuwd naar wat die dan zouden geweest zijn ?

Verwijderd @nieternie • 27 maart 2013 17:42

Niemand verplicht je om spamhaus te gebruiken. Ze bieden een gratis service aan voor particulieren en voor KMO's. Ze zijn erg strikt in wat ze blokkeren dus voor de meeste mensen die houden van veilige verbinding zijn er weinigen die een betere service leveren.
Als cyberbunker (indien schuldig) er een probleem mee heeft dat ze geblokkeerd zijn, zijn er beschaafdere vormen dan een ddos aanval. Indien dit waar is kan cyberbunker wel opdoeken.

mkools24 @Verwijderd • 27 maart 2013 19:30

En als je dan een ddos aanval doet, maar waarom eentje van 300 gbps? Spamhaus gaat met een aanval van 10 - 20 gbps ook echt wel plat hoor. Dit is wel heel erg overdreven.

Hoe dan ook, steeds als ik over ddos aanvallen lees de laatste tijd zijn het DNS amplification attacks. Ik host zelf ook wat game servers en heb er ook last van gehad, niet in die orde van grootte maar voldoende om 1 gbps volledig dicht te knijpen.

Mijn hoster zei dat dat soort aanvallen razendsnel aan populariteit toenemen en dat het komt sinds de introductie van DNSSEC een aantal jaar geleden, hiierdoor zijn de ''antwoorden'' die DNS servers geven een stuk groter geworden. Ook heb je dus geen botnet meer nodig om aanvallen uit te voeren, alleen maar open resolvers en zelf blijf je volledig anoniem.

Microsoft heeft er destijds zelfs een interessant artikel over geschreven:

http://technet.microsoft.com/en-us/security/hh972393.aspx

DNSSEC adds security to DNS responses by providing the ability for DNS servers to validate DNS responses. DNSSEC prevents cache-poisoning attacks, but adds cryptographic signatures resulting in larger DNS message sizes. As a consequence, DNSSEC also requires EDNS0 support; therefore a server that supports DNSSEC will also support large UDP packets in a DNS response. Because of these reasons, DNSSEC has been criticized for contributing to DNS amplification attacks.

Hier het artikel van cloudflare, zij zagen de aanval oplopen tot 75 gbps:

http://blog.cloudflare.co...d-spamhaus-offline-and-ho

[Reactie gewijzigd door mkools24 op 23 juli 2024 19:23]

Karloe @nieternie • 27 maart 2013 17:38

Spamhaus beheert een aantal Blocklists, van soft tot extreem.
ISP kiezen er zelf voor een Spamhaus BL te gebruiken om de grootste rotzooi te blokken, en doen dit dus volledig vrijwillig.
Spaumhaus "louche" noemen vind ik overdreven, als een "louche" Hoster weigert iets aan een spamhost te doen wordt de druk door vrijwillige gebruikers opgevoerd.
Dat een schimmig Cyberbunker samen met CB3rob gaat DDossen, dat is pas "louche"

En ooit van SORBS gehoord? dat was Spamhaus^12

[Reactie gewijzigd door Karloe op 23 juli 2024 19:23]

Blokker_1999

Politiek en recht

@Karloe • 27 maart 2013 17:58

Je moet zeker die onderste link eens lezen. Dat is echt gedrag dat niet hoort voor iemand die zulks een service aanbied. Ik heb ondertussen ook een dienst achter mij aan die mij overal achtervolgt. En ik als kleine vrijwiliger kan er niets aan doen. Heb hen zelfs al een aangetekend schrijven gestuurd maar het haalt niets uit. Heb al 2x een VPS mogen opgeven vanwege die klootzak en heb uiteindelijk de handdoek in de ring moeten gooien. Zulke diensten kunnen evenwel ook bedrijven ten gronde richten als ze dat willen, en dat doen ze dus ook, allemaal in de naam van een beter internet.

Karloe @Blokker_1999 • 27 maart 2013 18:11

Na de inleiding struikel ik meteen al over de eerste zin:

"We recently leased IPs off of our network to opt-in marketers."
Eigen schuld, dikke bult, geen "due dilligence" toegepast.
opt-in marketers is toch al vanaf '98 een uitroepteken voor een Hoster / IP verstrekker!

En het is al een oud stuk (2005 of zo), heb hier jaren geleden al over gelezen.
(toen ik nog op Usenet in nl.internet.email.abuse (ofzo) mee las/reageerde)

Kees BOFH @nieternie • 27 maart 2013 17:26

Dat geeft je nog niet het recht om hem maar te ddossen en hen en vele andere onschuldige mensen op hoge kosten te jagen.

Verwijderd @nieternie • 27 maart 2013 19:07

- Die eerste link gaat over een blacklisting die de dag erop al ongedaan was gemaakt.
- Link twee is het meest geloofwaardige verhaal, maar ondersteunend bewijs (emails van en naar spamhaus bijvoorbeeld) ontbreekt. Ik vraag me af waarom.
- De derde link betreft een anonieme klacht, gepost op de site van de klager uit link 2. Volkomen oncontroleeerbaar dus.

Al met al niet erg overtuigend.

leuk_he @nieternie • 27 maart 2013 19:46

Dus als reactie van het eigen rechter spelen van spamhaus, mogen anderen dus ook eigen rechter spelen?

Met dat standpunt maak je je niet echt populair bij het om. De staat dult geen concurentie.

Karloe @leuk_he • 27 maart 2013 20:32

Spamhaus speelt geen eigen rechter, het publiceert een Opinie op basis van waarnemingen in de praktijk.

Nogmaals, Spamhaus zelf blokkeert niets, zou een groot deel van hun Honeypots (email) uitschakelen. Het zijn de ISP's, die de BL's van Spamhaus gebruiken en nuttig vinden, die blokkeren. En een "minder adequaat" reagerende Hoster of ISP die daar "last" van heeft (klagende klantjes) heeft dat aan zichzelf / z'n voorwaarden te danken.

Wijnands @leuk_he • 27 maart 2013 22:40

Zo, jij hebt het nog steeds niet begrepen!

Er is geen sprake van rechter. Als jij als ISP je spammers niet aanpakt dan zullen er mensen zijn die geen mail meer van je willen ontvangen. Ze vertrouwen je niet dat je je spammer niet een ander adresje geeft en blocken meteen een /24.

RoestVrijStaal 27 maart 2013 17:37

Als CyberBunker nou 'gewacht' had totdat SpamHaus weer een fout had begaan waardoor een strafrechtelijke onderzoek naar SH onvermijdelijk was, dan was CB's situatie als 'vorig slachtoffer' in hun voordeel.

Vergelijk het maar met de DDoS-acties van Anonymous. Motivatie van de actie is begrijpelijk, maar door de actie zijn ze zelf de agressor geworden en dus de fout in gegaan.

Karloe @RoestVrijStaal • 27 maart 2013 18:14

Waar haal je die strafrechterlijk vandaan? (ja, ik weet dat het geprobeerd is, maar gruwelijk heeft gefaald.)

Spamhaus publiceert een Opinie, niet meer en niet minder.
Iets met vrijheid van meningsuiting.

RoestVrijStaal @Karloe • 27 maart 2013 18:27

Daar wringt de schoen nou juist

Een DDoS kan gezien worden als een moderne vorm van demonstreren / staken tegen een entiteit of persoon. Bij een demonstratie en staking wordt er namelijk ook een opinie uitgedragen door meerdere entiteiten.

Maar, een IRL demonstratie / staking kan enkel legaal zijn als het eerst wordt aangekondigd en/of toestemming gekregen heeft van gemeente / rechter, anders is het een wilde staking / verstoring van de openbare orde en die twee laatste dingen zijn strafbaar.

Daar komt nog bij dat er tot een bepaalde hoogte een vrijheid van meningsuiting is. De vrijheid en veiligheid van een ander persoon mag niet in het geding zijn. Ieder mens heeft namelijk dezelfde rechten als ieder ander.

[Reactie gewijzigd door RoestVrijStaal op 23 juli 2024 19:23]

Verwijderd @RoestVrijStaal • 27 maart 2013 19:15

Op basis van welke bron meen jij dat een strafrechtelijk onderzoek naar Spamhaus gerechtvaardigd zou zijn?

the-dark-force @RoestVrijStaal • 27 maart 2013 19:28

cyberbunker heeft een privacy policy http://cyberbunker.com/web/privacy-policy.php
er zal vast wel een ddos aanval gestart zijn vanaf de servers van cyberbunker maar dankzij hun privacy policy zou je nooit hard kunnen maken dat de eigenaars erachter zitten.
misschien een van de klanten die dacht even een helpende hand te bieden ?

door die policy krijgen ze veel vreemde klanten hackers,oplichters, spammers en ga zo maar door maar zij zijn wel een van de weinige providers die een open internet aanbieden en ook echt uptime garanderen http://cyberbunker.com/web/stay-online-policy.php.
begint een ip te spammen dan kan dat ip toch geblokkeerd worden, wat spamhaus heeft gedaan is hetzelfde als bij kpn alle server racks leegtrekken als er op 1 site malware word gehost dat iemand spamhaus even terugpest is dan ook niet meer als logisch.

Bosmonster 27 maart 2013 17:42

Bij Cyberbunker moet ik altijd aan dit artikel van TheDailyWTF denken:
http://thedailywtf.com/Articles/Bunker_Buster.aspx

Verwijderd @Bosmonster • 27 maart 2013 17:56

Wtf, zou dat echt zijn, of verzonnen? Mooi verhaal iig

Verwijderd @Verwijderd • 27 maart 2013 19:22

Er staan genoeg aanwijzingen in om dat gebouw te kunnen vinden als je in die buurt woont., o.a.
“The facility is about forty minutes from the office,” Jack’s boss replied, “it’s in the middle of a forest outside Conroe. I’ll call them up and have someone meet you at a gas station off of I45.”

Maar ook met google maps zou het moeten lukken als je er wat tijd in stopt. Eerst wegen zoeken die niet op de wegenkaart staan en dan op zoek naar 1 die eindigt in een blur

@hieronder
Ah, je hebt gelijk.
En ik dus ook ;-)

[Reactie gewijzigd door Verwijderd op 23 juli 2024 19:23]

Dreamvoid @Verwijderd • 27 maart 2013 19:25

Lees de comments, heeft iemand al gedaan

pe1dnn @Verwijderd • 27 maart 2013 19:33

Bij dit soort verhalen hoop je dat het verzonnen is maar vrees je dat het niet zo is. En helaas is dat laatste waarschijnlijk geen utopie.

Overigens heb ik me ook wel eens afgevraagd of die commerciële blade servers nu in de praktijk echt zoveel betrouwbaarder zijn dan gewone huiskamer pc's. Natuurlijk maakt de form factor ze veel geschikter maar de vraag is of de prijs dat verschil rechtvaardigt. Het is een beetje zoals de professionele SCSI disk v.s. IDE; die laatste had Google en hun uitval en betrouwbaarheid was vergelijkbaar met reguliere data centers die SCSI disks gebruikten.

Hoewel de schaal in dit verhaal veel kleiner is, doet het ook wel een beetje denken aan Google in 2001. Geen idee of Google nog zo werkt maar er is geen twijfel dat dit heeft gewerkt. http://features.techworld...googles-storage-strategy/

Verwijderd 27 maart 2013 18:37

Beter trekt het OM eerst even de stekker eruit bij die bunker.
Dit omdat die bunker toko zelf toegeeft dit geintje te flikken.
Imho een soort webterreur: ik krijg mijn zin niet dus ga ik jou aanvallen, met als doel je plat te leggen.
Van een scriptkiddie kun je dat soort pubergedrag verwachten, een ISP zou beter moeten weten.
Helaas een trend van de afgelopen jaren dat webmasters / beheerders zich zwaar gaan misdragen.

[Reactie gewijzigd door Verwijderd op 23 juli 2024 19:23]

RoestVrijStaal @Verwijderd • 27 maart 2013 19:23

Gaat niet lukken op de korte duur. Ze hebben daar dieselgeneratoren in de bunker. Erfenis van de NAVO. Ik weet niet hoeveel liter diesel ze hebben, maar ze zullen wellicht niet worden tegengehouden om bij de benzinepomp een paar nieuwe tanks te vullen

En tja onvolwassen gedrag bij volwassenen is niet strafbaar, enkel moreel verwerpelijk. Laat staan dat er een volledig sluitende definitie van volwassen gedrag is; ieder heeft een andere definitie van volwassen gedrag dan de ander.

Dreamvoid @RoestVrijStaal • 27 maart 2013 19:26

De stekker van de datakabel dan, tenzij ze via WiFi hosten.

RoestVrijStaal @Dreamvoid • 27 maart 2013 19:58

Geen idee of dat wel zomaar kan.

De bunker was in beginne van de NAVO, dus op zekere hoogte ook de data-kabels. Of misschien pikanter nog, CyberBunker gebruikt nog deels een datakabelnetwerk dat nog steeds in gebruik is door de NAVO.

Joerdgs 27 maart 2013 17:27

Een dns-reply bevat doorgaans veel meer data dan een dns-request, waardoor de aanvaller door relatief weinig data te versturen richting de dns-resolver een grote aanval kan opzetten.

Doet me denken aan de devnull ddos tool. Deze maakte misbruik van het feit dat je bij gameservers (CoD 4 in dit geval) met een kleine request een hoop data kon opvragen. Door de IP van je pakket te spoofen kon je zo het hele CoD 4 server netwerk replies naar een enkel adres laten terug sturen, zonder rate limit. De Garry's Mod game community heeft hier tijden last van gehad, elke script kiddie met de tool kon een server platleggen.

[Reactie gewijzigd door Joerdgs op 23 juli 2024 19:23]

azerty

@Joerdgs • 27 maart 2013 17:38

Wolfenstein Enemy Territory heeft ook een gelijkaardige bug gekend, onze clan heeft daar nog last van gehad.

Ik vind het verder wel goed dat ze er achter gaan, wat mij betreft mogen ze die hoster lekker hard aanpakken.

coretx 27 maart 2013 19:32

Eerder op maandag bleek dat de Nederlandse hostingprovider Cyberbunker achter die aanval zit.

Druk op je op de link bij het woord "bleek", staat er in de link het volgende.

De Nederlandse provider Cyberbunker wordt ervan verdacht met een ddos-aanval spambestrijder Spamhaus te hebben aangevallen.

Mooi staaltje laster of smaad van Tweakers.net / De Persgroep.
In iedergeval geen journalistiek.

arthur-m @coretx • 27 maart 2013 19:48

Dit is niet correct, getuige het eerdere nieuwsbericht van tweakers. Hierbij is een woordvoerder van het bedrijf aan het woord geweest, die de aanval bevestigde.
Afgaande op de link gezien heb je gelijk, toch is het in het grotere geheel, niet correct.

Koetsie 27 maart 2013 22:17

John Dvorak van PC Magazine komt met een heel andere kijk op de situatie... http://www.pcmag.com/article2/0,2817,2417142,00.asp

En wie op dit moment probeert de CyberBunker site te bereiken... Het lijkt erop dat ze nu zelf geDDoSt worden. Met de Spamhaus website is niets aan 't handje.

Zero-cool @Koetsie • 27 maart 2013 22:45

Ja inderdaad ik dacht zal eens even op die site kijken wat allemaal te lezen is maar inderdaad site ligt er uit toevallig ??

nanoChip 27 maart 2013 19:15

Een dergelijk onderzoek kan nog wel eens lastig gaan worden. Op de site van Cyberbunker valt namelijk te lezen dat je volledige anoniem dedicated server kan afnemen. Verder kan betaling via een envelop met een factuurnummer aan een beveiligingsmedewerker bij de deur van het datacenter worden overhandigd. Zeer vreemd dat z'n bedrijf met dit soort voorwaarden in Nederland mag opereren.

Meer info:
http://cyberbunker.com/web/faq-payment.php

Verwijderd 27 maart 2013 21:08

Cyberbunker al jaren klant, mijn site is nog nooit down geweest, facturen kloppen altijd, en ze zijn zeer behulpzaam als ik weer iets speciaals wil.

+1 voor het bunker

Koetsie 27 maart 2013 22:55

Uiteindelijk laadt de pagina, maar ontzettend traag. Trek gerust een kwartiertje uit..

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (39)

Sorteer op:

Weergave: