DDOS-aanval op Nederlandse banken

Onbekend schreef op dinsdag 23 april 2013 @ 14:54:
En als ze al daarop letten, waarom krijgen we dan (nog steeds) die phishingmails in onze mailboxen? Er worden nu van die leuke reclamespotjes gemaakt, maar de internetproviders die nu al de Pirate Bay blokkeren kunnen op deze manier ook veel phishingmails blokkeren.

Ik gebruik hotmail als primaire e-mail en die gooit 99% van de phishing mails in spamfilter. Dus blijkbaar lukt dat best wel redelijk. Als je provider geen spam/phishing filtering levert, ja dan is het niet hun zaak maar moet je dat lokaal draaien.

SmiGueL schreef op dinsdag 23 april 2013 @ 11:20:

De tekst er onder 'U dient 24 uur niet in te loggen' en 'klik hier om uw gegevens te bevestigen' doen bij mij de belletjes iig wel rinkelen

Nee, stel je voor dat je er te snel achter komt dat je rekening is geplunderd

Perkouw schreef op vrijdag 05 april 2013 @ 21:17:
Klagen lijkt me logisch, het is wel ons geld waar we niet bij kunnen of geld van missen etc.

En als ze zoveel capaciteit kopen dat ze wel bestand zijn tegen dit soort aanvallen, wie denk je dan dat dit gaat betalen? De overheid of de klant van de bank?

Hydra schreef op woensdag 24 april 2013 @ 13:51:
[...]


En als ze zoveel capaciteit kopen dat ze wel bestand zijn tegen dit soort aanvallen, wie denk je dan dat dit gaat betalen? De overheid of de klant van de bank?

Ik denk dat je dit soort dingen alleen kunt aanpakken als alle bedrijven en overheden van de hele wereld samenwerken. Dit soort acties kunnen vanaf ieder bananenland georganiseerd worden, en zolang niet ieder land meewerkt aan het oppakken van dit soort tuig kunnen ze er nog gewoon mee wegkomen.

Alleen jammer dat dit waarschijnlijk nooit zal gaan gebeuren.

Iets wat ik ook in een reactie op nieuws: Ddos-problemen DigiD zijn nog niet voorbij heb gezet:

Kan er niet op een DDOS gefilterd worden aan de ISP kant van de lijn? Dan zou bandbreedte in ieder geval een minder groot probleem zijn lijkt me.
Ik denk dan bvb aan een gelijkaardig product als de RioRey RX1810 die Tweakers heeft/had, maar dan bij de ISP.

Praktisch zie ik het als volgt:
- ISP biedt deze service aan tegen betaling.
- Klant neemt deze service aan.
- ISP maakt anti-DDOS hardware beschikbaar.
- Klant krijgt volledige administratie over deze hardware.
- DDOS packets worden gedropt voordat ze naar de server verstuurd worden.

De bottlenecks die je dan hebt, zijn de beschikbare bandbreedte bij de ISP, en de rekenkracht van de gebruikte anti-DDOS hardware. 100% DDOS proof zal het niet zijn, maar waarschijnlijk wel een stuk beter dan dat het nu is.

Wat denken jullie van dit idee? Zie ik iets over het hoofd?
Ik ben uiteindelijk maar een simple QA tester, en geen network admin.

Wat bedoel je precies met 'aan de ISP kant'? Bedoel je aan de kant vanwaar iemand een DoS aanval uitvoert? Dat zou in theorie vast wel kunnen, maar waarschijnlijk in praktijk niet werken. Omdat er ook legitiem verkeer overheen kan gaan wat misschien op een DoS lijkt. Daar heb je als host een stuk minder last van. Daarnaast is er ook nog zoiets als internetvrijheid en privacy en zijn dingen zoals DPI verboden, waardoor het alweer een stuk moeilijk wordt.

Aan de andere kant, een RioRey of vergelijkbaar product neerzetten is leuk bij de ISP, maar is niet in alle gevallen goed genoeg. Bij ING werd de DDoS namelijk uitgevoerd door malafide inlogpogingen. Dit is legitiem verkeer met een malafide doel, en dus niet te filteren met extra hardware. Daarnaast moet je begrijpen dat zo'n inlogpoging relatief duur is (qua cpu kracht) en je op die manier dus ook een DoS uit kunt voeren.

Let trouwens ook het verschil tussen een DoS en DDoS. Een DoS heeft namelijk één bron, en een DDoS meerdere bronnen.

Welke ISP? De ISP van de PC die in verweggistan in een botnet hangt?

Het is inderdaad zo dat je DDOS idealiter aan de bron tegenhoudt, maar daarbij heb je een aantal uitdagingen:
- Medewerking nodig van al die ISPs. Genoeg ISPs in minder fijne landen die daar helemaal niet aan mee gaan werken.
- Botst mogelijk met netneutraliteit
- Niet elke DDOS aanval zal door de lokale ISP als dusdanig te herkennen zijn. Je zal in veel situaties kennis die alleen beschikbaar is in de omgeving van het slachtoffer moeten delen met ISPs om ze echt effectief te kunnen laten filteren. Dat vereist dus de nodige coördinatie met een enorm aantal ISPs.

Orion84 schreef op donderdag 25 april 2013 @ 15:20:
Welke ISP? De ISP van de PC die in verweggistan in een botnet hangt?
...
- Medewerking nodig van al die ISPs. Genoeg ISPs in minder fijne landen die daar helemaal niet aan mee gaan werken.

Ik was aan het denken aan de ISP van de aangevallen server. Deze zou toch meer bandbreedte hebben dan de server toegewezen krijgt vermoed ik?
Het is inderdaad zelden doenbaar om de ISPs van de aanvallers aan te spreken. Die kiezen wel een landje uit waar men het een worst zal wezen dat een paar Nederlandse bankjes onbereikbaar zijn.

Orion84 schreef op donderdag 25 april 2013 @ 15:20:
- Botst mogelijk met netneutraliteit

Daar heb je waarschijnlijk gelijk in. Dan zou je je kunnen afvragen of deze wet niet aangepast moet worden voor dit soort gevallen, en dat is dan weer een hele andere (waarschijnlijke lange) discussie.

Orion84 schreef op donderdag 25 april 2013 @ 15:20:
- Niet elke DDOS aanval zal door de lokale ISP als dusdanig te herkennen zijn. Je zal in veel situaties kennis die alleen beschikbaar is in de omgeving van het slachtoffer moeten delen met ISPs om ze echt effectief te kunnen laten filteren. Dat vereist dus de nodige coördinatie met een enorm aantal ISPs.

In mijn geval zou er dus enkel coördinatie moeten zijn tussen 1 ISP en de aangevallen klant. Dat lijkt me dus niet ondoenbaar.

alex3305 schreef op donderdag 25 april 2013 @ 15:20:
Bij ING werd de DDoS namelijk uitgevoerd door malafide inlogpogingen. Dit is legitiem verkeer met een malafide doel, en dus niet te filteren met extra hardware. Daarnaast moet je begrijpen dat zo'n inlogpoging relatief duur is (qua cpu kracht) en je op die manier dus ook een DoS uit kunt voeren.

Let trouwens ook het verschil tussen een DoS en DDoS. Een DoS heeft namelijk één bron, en een DDoS meerdere bronnen.

Wat ik hier vertel is idd geen manier om dit soort DoS tegen te houden. Ik was enkel aan het denken aan een DDoS aanval wat enorme hoeveelheden bandbreedte/requests genereren.
Misschien bestaan er voor de DoS dat jij stelt andere oplossingen aan de server kant? (Ik denk aan na 10 gefaalde inlogpogingen het IP blokkeren voor 10 minuten of zo?)

In ieder geval bedankt voor de feedback. Zo leer ik ook wat bij.

[ Voor 0% gewijzigd door fluffy1 op 25-04-2013 15:53 . Reden: typo ]

Allemaal IP-adressen gaan filteren kost veel rekenkracht (en dus geld).

Maar ik bedenk me ineens wel dat het internetverkeer wel wordt gelogged. Loggen die ook elke inlogpoging met een x aantal requests per seconde?

[ Voor 9% gewijzigd door Onbekend op 25-04-2013 16:00 ]

Ah, ok, ja, het is volgens mij vrij normaal dat als een bedrijf wordt aangevallen dat ze dan in samenwerking met hun ISP naar oplossingen zoeken om dat verkeer de nek om te draaien. Zo kan de ISP bijvoorbeeld al het verkeer dat gericht is aan het slachtoffer aan de buitengrens van zijn netwerk naar een 'zwart gat' routeren, waardoor het niet doordringt tot een deel van het netwerk dat onvoldoende capaciteit heeft. Nadeel is dat met die techniek dus het slachtoffer compleet onbereikbaar wordt.

Bedenk ook dat het op het moment dat het bij die ISP aankomt dus al enorme omvang heeft en het natuurlijk niet de core business van die ISP is om uitgebreid dat verkeer te gaan analyseren en opschonen.

Je ziet uiteraard wel dat ISPs (en cloud service providers) hierop inspringen en wel van dergelijke diensten gaan aanbieden. Maar gezien de capaciteit die daarvoor nodig is, is dat niet bijster goedkoop.

Je hebt gelijk, het is absoluut niet core business van een ISP.
Het is inderdaad niet goedkoop, maar ik denk dat het verlies dat een groot bedrijf zoals een bank maakt tijdens een aanval hoger is dan de kost van zo'n systeem. (Dat is natuurlijk een gok van mijn kant)

Het zou ook ontmoedigend kunnen werken als een enorme aanval wordt afgeslagen (of ze nemen het als een persoonlijke uitdaging, moeilijk te zeggen )

Mailtje van een klant:

Ik kan niet inloggen, hebben jullie last van een DDoS?

Onbekend schreef op donderdag 25 april 2013 @ 15:58:
Allemaal IP-adressen gaan filteren kost veel rekenkracht (en dus geld).

Maar ik bedenk me ineens wel dat het internetverkeer wel wordt gelogged. Loggen die ook elke inlogpoging met een x aantal requests per seconde?

ISPs loggen geen internetverkeer. Ze loggen welke klant er met welk IP op welke aansluiting zat en in beperkte mate het e-mail verkeer (geen inhoud).

Wikipedia: Wet bewaarplicht telecommunicatiegegevens

Ik word schijtziek^H^H^H^H^H^H^H^H^H^H een beetje moe van die melkmuilen op TV die zichzelf 'IT-expert' of 'internetkenner' noemen, maar als enige uit kunnen brengen, 'we weten het niet' en 'nee, we kunnen de daders ONMOGELIJK achterhalen', en een beetje lacherig staan doen over kerncentrales, nuts-bedrijven etc. die, 'hihi', ja hoor ook kunnen worden aangevallen. Laat ik als IT-er-met-boeren-verstand (dat past waarsch. niet op de ondertiteling in het NOS-journaal, soit) de 'IT-experts' een voorzetje geven:

https://www.google.com/se...official&client=firefox-a

Wat blijkt: er bestaan verschillende theorien en methodieken om in elk geval enige informatie te verkrijgen; begin daar eens mee, zou ik zeggen.

Misschien toch meer naar de IT experts luisteren, want enige wat ik daar zo snel zie staan is opsporen welke zombie-PCs mee doen aan de botnet. De daadwerkelijke daders heb je dan niet, dan moet je het hele botnet oprollen, en goede kans dat je daarna ook nog moet uitvogelen wie het heeft ingehuurd.

Onmogelijk is dan een groot woord, maar extreem onwaarschijnlijk is het wel, vooral zonder intensieve samenwerking tussen verchillende politiediensten.

Ja, het zal niet enkel een technische aangelegenheid zijn; maar de methodes die gebruikt kunnen worden leveren informatie op waarmee men kan gaan rechercheren. Ik vind de niets-zeggende IT-experts te nadrukkelijk aanwezig en de IT-recherche (of hoe heten die instanties) opvallend stil. Maar ik begreep van die hoogleraar van het Radboud (meen ik) in Nieuwsuur gisteravond dat de IT-recherche al iets op het spoor is.

Dan noem je nog een punt, het schijnt idd dat je die botnets gewoon in kunt horen/kopen; daar mogen ook wel eens wat vraagtekens bij geplaatst worden. Registratie van inhuurder/inkoper lijkt me een eerste stap.

Sissors schreef op vrijdag 26 april 2013 @ 09:42:
Misschien toch meer naar de IT experts luisteren, want enige wat ik daar zo snel zie staan is opsporen welke zombie-PCs mee doen aan de botnet. De daadwerkelijke daders heb je dan niet, dan moet je het hele botnet oprollen, en goede kans dat je daarna ook nog moet uitvogelen wie het heeft ingehuurd.

Onmogelijk is dan een groot woord, maar extreem onwaarschijnlijk is het wel, vooral zonder intensieve samenwerking tussen verchillende politiediensten.

Het hangt van wet- en regelgeving en resources af.. Je kan zo'n zombie-pc natuurlijk 'hacken' en vervolgens pakketjes sniffen of je eigen pc infecteren met dit virus.

Er zijn wel mogelijkheden inderdaad, vroeger werd er nogal eens van elkaar gejat met bots die op IRC joinden in een geheim kanaal.

Ik denk dat de overheid tegen nogal wat problemen zal aanlopen bij het achterhalen van de daders.

dieselb0y schreef op vrijdag 26 april 2013 @ 10:00:
[...]


Het hangt van wet- en regelgeving en resources af..

[...]

Ik denk dat de overheid tegen nogal wat problemen zal aanlopen bij het achterhalen van de daders.

Mja, misschien is dat het ook wel, de machteloosheid en passiviteit die uit de berichtgeving spreekt. Er wordt nu een beetje lacherig gedaan als van, ja het zijn vast een stel pubers in achterkamertjes die handig zijn met computers. Ik zou liever zien dat men van de worst-case uitging, dus dat er criminelen achter zitten. Het blijft nu weliswaar nog bij ddos-aanvallen, maar als ze eenmaal 'binnen' zijn en massaal geld van rekeningen beginnen te halen, zie ik de krantenkoppen al voor me: 'Overheid en IT-sector te laks met beveiligen internet' etc.

Gelukkig kan je met een DDOS niet 'binnen' geraken.
Voor een echte hack te doen heb je toch net iets meer kennis, ervaring, tijd, effort en geluk nodig.
En zelfs als ze al binnen geraken, wat extreem onwaarschijnlijk is, denk ik dat een bank zijn schade wel zal weten te beperken. (Of dat mag ik toch hopen)

dieselb0y schreef op vrijdag 26 april 2013 @ 10:00:
Ik denk dat de overheid tegen nogal wat problemen zal aanlopen bij het achterhalen van de daders.

De machines waar de data vandaan komt zijn onschuldige mensen die een trojan hebben opgelopen. Die trojans krijgen commando's van een centrale computer die hoogstwaarschijnlijk ook niks anders is dan een proxy op een 'gehackte' server. Succes met het achterhalen van informatie die gewoon niet vastgelegd is; een dergelijke trojan gaat echt geen logfiles bijhouden wat betreft waar die data vandaan komt.

CynicRelief schreef op vrijdag 26 april 2013 @ 09:57:
Ja, het zal niet enkel een technische aangelegenheid zijn; maar de methodes die gebruikt kunnen worden leveren informatie op waarmee men kan gaan rechercheren. Ik vind de niets-zeggende IT-experts te nadrukkelijk aanwezig en de IT-recherche (of hoe heten die instanties) opvallend stil. Maar ik begreep van die hoogleraar van het Radboud (meen ik) in Nieuwsuur gisteravond dat de IT-recherche al iets op het spoor is.

Dan noem je nog een punt, het schijnt idd dat je die botnets gewoon in kunt horen/kopen; daar mogen ook wel eens wat vraagtekens bij geplaatst worden. Registratie van inhuurder/inkoper lijkt me een eerste stap.

Heuh, wat? Registratie van huurder/koper? Je begrijpt dat die botnets bestaan uit geïnfecteerde PC's van nietsvermoedende eigenaren en dat de verhuurder/verkoper van een botnet dus een cyber crimineel is? Hoe denk je die zover te gaan krijgen een registratie te overleggen van zijn huurders?

Overigens is het infiltreren en monitoren van de communicatiemiddelen (fora, IRC, etc.) van dergelijke criminele operaties natuurlijk wel een van de opsporingsmiddelen die mogelijk kan helpen bij het vinden en vervolgens oprollen van de bron van een DDoS aanval.

Orion84 schreef op vrijdag 26 april 2013 @ 11:43:
[...]

Heuh, wat? Registratie van huurder/koper? Je begrijpt dat die botnets bestaan uit geïnfecteerde PC's van nietsvermoedende eigenaren en dat de verhuurder/verkoper van een botnet dus een cyber crimineel is? Hoe denk je die zover te gaan krijgen een registratie te overleggen van zijn huurders?

[...]

Naar ik begreep begint zo'n botnet ergens, een applicatie die de zombies verzamelt en infecteert en dat het die software is die openlijk te koop wordt aangeboden; maar ok, het zal geen shrink-wrapped pakketje zijn wat je bij de Dixons koopt

Overigens, en bijvoorbeeld, uit:

http://www.google.com/url...bv.45645796,d.ZWU&cad=rja

"The results of extensive experimental and simulation studies are presented to demonstrate the effectiveness and efficiency of the proposed method. Our experiments show that accurate traceback is possible within 20 seconds (approximately) in a large-scale attack network with thousands of zombies."


http://www.google.com/url...bv.45645796,d.ZWU&cad=rja

"Conclusion: ... We also
presented an efficient algorithm so that a victim site can
accurately determine the bounds of the number of packets
from each router which arrived during the victim’s measurement
interval. Based on this information, the victim can
determine the locations of attackers with dominating flows
no matter the attack packets are spoofed or non-spoofed
within a short measurement interval. We carried out simulations
to show that the proposed traceback methodology
performs efficiently and is able to locate the attackers sending
out large flows. ..."


Om maar eens ergens te beginnen ...

CynicRelief schreef op vrijdag 26 april 2013 @ 09:57:
Ja, het zal niet enkel een technische aangelegenheid zijn; maar de methodes die gebruikt kunnen worden leveren informatie op waarmee men kan gaan rechercheren.

Die informatie hadden ze vast wel.

Ik vind de niets-zeggende IT-experts te nadrukkelijk aanwezig en de IT-recherche (of hoe heten die instanties) opvallend stil. Maar ik begreep van die hoogleraar van het Radboud (meen ik) in Nieuwsuur gisteravond dat de IT-recherche al iets op het spoor is.

In welke wereld levert de recherche actuele updates in de media over wie ze waar op het spoor zijn? Er is iemand aangehouden of ze hebben nog niemand. Ze zijn hooguit iemand op het spoor maar ook dat hoeven ze niet te zeggen. Wat je overhoudt zijn experts die terecht (!) aangeven dat het opsporen van de opdrachtgevers van de DDoS, bijzonder lastig zal zijn. Van de recherche zul je echt zo snel niets horen.

CynicRelief schreef op vrijdag 26 april 2013 @ 10:19:
[...]
Mja, misschien is dat het ook wel, de machteloosheid en passiviteit die uit de berichtgeving spreekt.

Dat is omdat er ook aardig wat machteloosheid bij komt kijken. Er is geen definitieve bescherming tegen DDoS-aanvallen afgezien van je machines simpelweg niet aan internet hangen.

Er wordt nu een beetje lacherig gedaan als van, ja het zijn vast een stel pubers in achterkamertjes die handig zijn met computers. Ik zou liever zien dat men van de worst-case uitging, dus dat er criminelen achter zitten.

Wat doet dat er toe? Ze hebben geen motief kunnen krijgen tot dusverre, dus is 'pesterij' de meest logische conclusie vooralsnog. Ze zullen heus op zoek zijn naar de echte daders, de opdrachtgevers voor de aanvallen.

Het blijft nu weliswaar nog bij ddos-aanvallen, maar als ze eenmaal 'binnen' zijn en massaal geld van rekeningen beginnen te halen, zie ik de krantenkoppen al voor me: 'Overheid en IT-sector te laks met beveiligen internet' etc.

Zelfs op het nieuws hebben ze dit inmiddels wel door: DDoS aanvallen hebben nul komma nul te maken met 'binnen' raken of hacken. Dat zijn twee compleet verschillende dingen. Nofi, maar voor iemand die schijtziek wordt van de IT-experts op tv, mag je wel iets beter naar ze luisteren. Zo gek is het allemaal echt niet wat ze zeggen

CynicRelief schreef op vrijdag 26 april 2013 @ 12:21:
[...]
Naar ik begreep begint zo'n botnet ergens, een applicatie die de zombies verzamelt en infecteert en dat het die software is die openlijk te koop wordt aangeboden; maar ok, het zal geen shrink-wrapped pakketje zijn wat je bij de Dixons koopt

Ook dat is gedeeltelijk een misvatting. Ja er is ongetwijfeld software te koop waarmee botnets gemaakt kunnen worden, ook wel bekend als internet wormen, virussen en trojans. Maar dat is doorgaans niet de manier waarop dit soort aanvallen opgezet worden. Het maken van een botnet met zoveel pc's zal namelijk tijd kosten. Het kán wel maar het kan ook eenvoudiger.

Wat je veel vaker ziet is dat cybercriminelen zélf een botnet optuigen en de kracht van het botnet als 'dienst' te huur aanbieden. Dan kun je namelijk veel sneller aan de slag als 'klant'.

Cloud schreef op vrijdag 26 april 2013 @ 12:29:
[...]

Zelfs op het nieuws hebben ze dit inmiddels wel door: DDoS aanvallen hebben nul komma nul te maken met 'binnen' raken of hacken. Dat zijn twee compleet verschillende dingen. Nofi, maar voor iemand die schijtziek wordt van de IT-experts op tv, mag je wel iets beter naar ze luisteren. Zo gek is het allemaal echt niet wat ze zeggen

Maar wat nu als als gevolg van zo'n DDoS aanval andere security-services uitvallen, en bij wijze van spreken, de poorten wagenwijd openzetten? Bepaald niet ondenkbaar als je de berichtgeving (FUD, mogelijk) over implementatie van IT-security bij sommige banken mag geloven.

Ik denk dat het gevaar eerder zit in dat een eventuele diepere aanval over het hoofd wordt gezien door DDoS dan dat er ineens firewalls en authenticatiemechanismes openspringen of zo.

Orion84 schreef op vrijdag 26 april 2013 @ 12:46:
Ik denk dat het gevaar eerder zit in dat een eventuele diepere aanval over het hoofd wordt gezien door DDoS dan dat er ineens firewalls en authenticatiemechanismes openspringen of zo.

Dit.

DDoS kan zeer goed als afleiding gebruikt worden.

CynicRelief schreef op vrijdag 26 april 2013 @ 12:42:
Maar wat nu als als gevolg van zo'n DDoS aanval andere security-services uitvallen, en bij wijze van spreken, de poorten wagenwijd openzetten?

Je hebt duidelijk niet genoeg kennis van de materie om commentaar te geven op de "IT experts" van justitie.

Als je met een DDOS attack een server onbereikbaar maakt is die niet opeens 'bereikbaarder' voor criminelen, integendeel.

Verwijderd schreef op vrijdag 26 april 2013 @ 12:49:
DDoS kan zeer goed als afleiding gebruikt worden.

En jij denkt dat het een enorme heksenketel is bij zo'n bank? Neuh, ze weten genoeg van DDOS aanvallen om te snappen dat je weinig anders kunt doen dan de upstream provider het e.e.a. te laten blokkeren en verder de rit uit te zitten.

[ Voor 28% gewijzigd door Hydra op 26-04-2013 12:58 ]

Hydra schreef op vrijdag 26 april 2013 @ 12:56:
[...]


Je hebt duidelijk niet genoeg kennis van de materie om commentaar te geven op de "IT experts" van justitie.

Als je met een DDOS attack een server onbereikbaar maakt is die niet opeens 'bereikbaarder' voor criminelen, integendeel.

Klopt helemaal, maar ik heb wel een geinformeerde mening, en ik word bepaald niet gerustgesteld door de meningen van die experts in de media, als ze zelf ook niet veel verder komen dan 'we kunnen ze onmogelijk opsporen', waar enig googlen laat zien dat er wel degelijk mogelijkheden zijn. Overigens twijfel ik er niet aan dat er achter de schermen kennis van zaken is en hard gewerkt wordt aan deze problemen, en dat de informatie-gang tijdens het rechercheren niet al te publiek kenbaar kan worden gemaakt, zoals die hoogleraar in Nieuwsuur gisteravond terecht opmerkte.

Die google resultaten die je gaf gaan vooral over het traceren van de datastromen van DDoS verkeer, niet zozeer over het opsporen van de daadwerkelijk verantwoordelijke persoon / organisatie.

De belangrijkste bronnen van DDoS verkeer lokaliseren en blokkeren is een mooie ad hoc maatregel om een aanval te verzwakken, maar staat tamelijks los van de juridische opsporing en zal ook maar in beperkte mate helpen bij het voorkomen van toekomstige aanvallen.

Een DDoS aanval vereist niet zo veel manuele acties van de ontvanger dat ik verwacht dat je dat succesvol als afleiding kunt gebruiken. Filtering doet het of de filtering wordt bijgesteld. Daarnaast, belangrijker nog, is het aantal toegangspunten via internet meestal vrij beperkt (als het goed is). Dat betekent dat je als met je DDoS-aanval de toegang bemoeilijkt, dat dus inclusief je eigen toegang zal zijn om te hacken. Dat is een beetje als een verkeersopstopping veroorzaken om de politie minder snel bij de bank te laten komen die je berooft maar zelf met de vluchtauto over dezelfde weg moeten rijden

Natuurlijk kan het zijn dat er uitzonderingen hierop te bedenken zijn maar ik denk dat je het jezelf als hacker alleen maar lastiger maakt om in te breken tijdens een DDoS dan buiten die drukte.

CynicRelief schreef op vrijdag 26 april 2013 @ 13:18:
[...]
Klopt helemaal, maar ik heb wel een geinformeerde mening, en ik word bepaald niet gerustgesteld door de meningen van die experts in de media, als ze zelf ook niet veel verder komen dan 'we kunnen ze onmogelijk opsporen', waar enig googlen laat zien dat er wel degelijk mogelijkheden zijn.

Ik heb geen enkele expert het woord 'onmogelijk' horen noemen hoor. Dat lijkt me inderdaad een bijzonder stomme uitspraak. Wat ze wel zeggen is dat het 'bijzonder moeilijk' is. En dat is het ook.

Zelfs als jij de bron weet te vinden van de aanval, zoals die proof of concept waar je naar linkte, weet je meestal nog steeds niet de opdrachtgever. Tenzij dat dezelfde partij is maar dat hoeft absoluut niet. Wat als de opdracht nu via de telefoon gegeven is? Kortom; er komt echt recherchewerk bij kijken.

Nu kun je stellen dat ze ook blij zijn als ze de aanvaller gevonden hebben maar als je de opdrachtgever niet vindt, kan deze gewoon switchen naar een andere 'DDoS-provider' (bij gebrek aan een beter woord) en het gewoon weer doen

Cloud schreef op vrijdag 26 april 2013 @ 13:24:

[...]

Zelfs als jij de bron weet te vinden van de aanval, zoals die proof of concept waar je naar linkte, weet je meestal nog steeds niet de opdrachtgever. Tenzij dat dezelfde partij is maar dat hoeft absoluut niet. Wat als de opdracht nu via de telefoon gegeven is? Kortom; er komt echt recherchewerk bij kijken.

Nu kun je stellen dat ze ook blij zijn als ze de aanvaller gevonden hebben maar als je de opdrachtgever niet vindt, kan deze gewoon switchen naar een andere 'DDoS-provider' (bij gebrek aan een beter woord) en het gewoon weer doen

Je krijgt denk ik uitsluitsel over de dader, want, even aangenomen dat de bron van de botnet kan worden getraceerd, en er zitten verveelde pubers achter, kan ik me niet voorstellen dat die hun zolderkamer in de hens steken om sporen uit te wissen, waar een criminele organisatie dat wel zou doen, of idd gewoon zou switchen van 'DDos-provider' ... dan ben je nog niet veel verder, maar je kan in elk geval je volgende actie bepalen: verder recherchewerk of pubers oppakken en middagje laten schoffelen

Echter kan het tijdens een DDoS wel gemakkelijker zijn een eventuele man-in-the-middle aanval uit te voeren. Alhoewel nog steeds erg moeilijk, wordt het wel wat makkelijker.

Zelf stoor ik me ook regelmatig aan de experts, alleen moeten die natuurlijk ook een verhaal kunnen vertellen wat zowat iedereen begrijpt. 99.9% van de mensen weet niet eens wat een DDoS is namelijk. En qua opsporing en tracering hebben ze weldegelijk gelijk. Een of meerdere personen achter een DDoS opzoeken is technisch en politiek erg lastig. Meestal is het namelijk internationaal.

Wel vraag ik me af of een bank niet tijdelijk verkeer of inlogpogingen uit het buitenland kan blokkeren wanneer er een DDoS plaatsvind. Zou misschien een flink stuk van de aanvallen afwenden.

Zo maar even een gedachtenspinsel hoor, maar zou er ook niet iets als afpersing/chantage in het spel kunnen zijn? Ik zeg tegen de bank, doe me 10 miljoen anders leg ik je site plat. Bank gaat daar niet in mee en ik leg hun site plat. Bank brengt het afpersingsverhaal natuurlijk niet naar buiten om niet meer mensen op het idee te brengen. Of is dit heel stom gedacht?

BreadFan schreef op vrijdag 26 april 2013 @ 16:42:
Zo maar even een gedachtenspinsel hoor, maar zou er ook niet iets als afpersing/chantage in het spel kunnen zijn? Ik zeg tegen de bank, doe me 10 miljoen anders leg ik je site plat. Bank gaat daar niet in mee en ik leg hun site plat. Bank brengt het afpersingsverhaal natuurlijk niet naar buiten om niet meer mensen op het idee te brengen. Of is dit heel stom gedacht?

Lijkt me heel sterk. Het moment dat je roept "geld of je site plat" gaat de bank wel naar de politie, verspreid een bericht hoe de fork in de steel zit en bereidt zich voor op de shitstorm aan data die er aan gaat komen.

Het is in het verleden weleens gebeurd hoor, dat er zulke dreigementen werden geuit. Bij DoS-aanvallen was dit echter altijd ineffectief omdat, net zoals Firesphere zegt, er gewoon aangifte wordt gedaan en maatregelen werden getroffen.

Wanneer systemen al geïnfiltreerd zijn (door een hacker, trojan, virus, etc) dan is het een ander verhaal en kan het voor een bank (of ander kwetsbaar orgaan) gevaarlijk worden om eerst aangifte te gaan doen. Je hebt op dat moment als security expert (bij het bedrijf) geen weet van op welke schaal het zich allemaal plaatsvind.

alex3305 schreef op vrijdag 26 april 2013 @ 18:05:
[...]

Wanneer systemen al geïnfiltreerd zijn (door een hacker, trojan, virus, etc) dan is het een ander verhaal en kan het voor een bank (of ander kwetsbaar orgaan) gevaarlijk worden om eerst aangifte te gaan doen. Je hebt op dat moment als security expert (bij het bedrijf) geen weet van op welke schaal het zich allemaal plaatsvind.

Op dat moment moet je je, zelfs als security-expert, verlaten op bedrijfspolicies, welke normaliter, hopelijk dan toch, een directe aangifte zullen voorstaan.

Groep dreigt met 'grootste aanval ooit' om arrestatie hacker

Is dus naar aanleiding van nieuws: Nederlander opgepakt voor ddos-aanvallen Spamhaus

Zal dus nog flink wat overlast gaan opleveren als deze groep (waarschijnlijk Anonymous, gok ik zo) dit dreigement gaat waarmaken.

wildhagen schreef op vrijdag 26 april 2013 @ 18:42:
Groep dreigt met 'grootste aanval ooit' om arrestatie hacker

Is dus naar aanleiding van nieuws: Nederlander opgepakt voor ddos-aanvallen Spamhaus

Zal dus nog flink wat overlast gaan opleveren als deze groep (waarschijnlijk Anonymous, gok ik zo) dit dreigement gaat waarmaken.

Nou ja, blij word ik er niet van.. Maar extra aandacht aan het waanidee dat alles wel veilig zou zijn vind ik dan wel mooi meegenomen.

Ik merk in ieder geval dat de mensen om mij heen iets meer beseffen dat het allemaal niet rozengeur en maneschijn is.. en dat de infra van hun belangrijke diensten er zo uit kan liggen.

Dus nee... niet doen want dan krijg ik allemaal weer telefoon... En ja, wel doen want dan blijven de domme opmerkingen "doe niet zo raar, de overheid is echt wel 100% veilig" en "jaja banken kunnen echt niet plat gelegd worden.. je bent paranoia" achterwegen...

prima, laat het maar gebeuren, en dan, aanpakken die gasten

ik bedoel, nu ze niet veel verder lijken te komen dan ddos-aanvallen, speel ze dan nu uit

overigens onderstreept de reactie hierboven de, ik heb het tot noch toe niet willen noemen, incompetentie op dit vlak, waar we mee te maken hebben; ik haal nog maar even een quote aan uit Nieuwsuur van gisteravond: 'ja hoor, er is contact onderling, de beheerder belt een andere beheerder met de vraag: probeer dit es, of dat'

[ Voor 84% gewijzigd door CynicRelief op 26-04-2013 20:03 ]

Ik kan me niet indenken dat het DDoSsen iets te maken heeft met maskeren van hacks. Dan had het zich niet bij zoveel partijen voorgedaan die ieder voor zich een compleet andere infrastructuur hebben. Je breekt niet eerst bij de rabo in om het kunstje doodleuk een week later bij de ING te flikken.

Ik vermoed meer dat er een aantal occupy-achtige lieden een andere manier gevonden hebben om de gevestigde orde te pesten. (gezien de getroffen diensten bij overheid/banken)

alex3305 schreef op donderdag 25 april 2013 @ 15:20:
Aan de andere kant, een RioRey of vergelijkbaar product neerzetten is leuk bij de ISP, maar is niet in alle gevallen goed genoeg. Bij ING werd de DDoS namelijk uitgevoerd door malafide inlogpogingen. Dit is legitiem verkeer met een malafide doel, en dus niet te filteren met extra hardware. Daarnaast moet je begrijpen dat zo'n inlogpoging relatief duur is (qua cpu kracht) en je op die manier dus ook een DoS uit kunt voeren.

Dat is niet waar. Er is ook apparatuur die dat soort zaken kan detecteren. Een Riorey zal dat niet oppikken omdat deze alleen naar netwerk-gebaseerde aanvallen kijkt maar bijvoorbeeld een Arbor of Radware zal dit wel kunnen filteren.

Zou het eigenlijk niet een goede oplossing zijn om het eigenlijke betaal gedeelte van een bank achter een vpn te zetten?
Een ddos word dan onmogelijk.

Waarom wordt een ddos dan onmogelijk? Je kan dan nog steeds de VPN-endpoint ddos-en.... als je maar genoeg nep-handshakes opzet valt de VPN-server ook om door te hoge CPU-load.

VPN zorgt voor encrypted dataverkeer, het is niet bedoeld als anti-ddos maatregel...

Simpel: die dingen zijn duur. Heel duur. Denk, inclusief support/maintenance contracten, licenties etc, al snel aan 100.000 euro tot een veelvoud daarvan, afhankelijk van de uitvoering.

En dat is dus per stuk. Sowieso heb je er 2 nodig voor redundancy. En elke bank heeft minimaal 2 lokaties, dus je hebt er al minimaal 4 nodig (2 op elke lokatie).

Daarnaast hebben die dingen ook een maximum capaciteit. Zoals je kan lezen in de review die je linkt kan het ding theoretisch DDOS-attacks tot 3.6 Gbps aan. Leuk, maar de laatste aanvallen op de banken (iig die in de VS) zaten op 300 Gbps, net als die op Spamhaus. Da's dus een factor 100 meer dan dat het apparaat aan kan.... zul je ze dus moeten clusteren (als ze dat aan kunnen), maar als je ziet dat ze per stuk al minimaal 100.000 euro kosten, en je dus enorme aantallen nodig hebt, kan je zien dat dat niet realistisch is.

Daarnaast houdt een RioRey (of een FortiGate, of een ander merk) lang niet alle soorten DDOS (ja, er zijn meer soorten) even goed tegen, zoals de test ook al aangaf. In het ergste geval heb je dus miljoenen uitgegeven en heb je er nog niks aan...

---

Overigens heb ik zelf bij de IT van een bank gewerkt (nee, ik ga geen namen noemen), en weet ik dat er al best wel een en ander tegen attacks (niet alleen tegen ddos, ook andere vormen) gedaan wordt. En nee, ik ga geen details geven (iets met NDA's etc ).

Maar ergens houdt zoiets op. Op een gegeven moment wordt het een kosten/baten-analyse. Die kosten moeten immers wel worden doorberekend naar de klanten, en dat kan je niet oneindig blijven doen.

[ Voor 17% gewijzigd door wildhagen op 29-04-2013 14:03 ]

Kan iemand ABN bereiken?
Volgens mij hebben ze een probleem... Ik kan niets bereiken.

Jup het is volgens mij weer zo ver, vraag me echt af wat mensen hiermee willen bereiken

Ze zijn bijna een half uur onbereikbaar geweest, nu lijkt alles weer te werken.

* Firesphere heeft z'n rekeningen weer betaald