DDOS-aanval op Nederlandse banken

Bastien schreef op woensdag 17 april 2013 @ 18:27:
Wel zo fijn toch dat ze de overlast een beetje spreiden? Zo wordt hopelijk de verdediging overal op scherp gezet en dat is wel zo fijn voor de rekeninghouders.

Ja het is wel fijn dat dit op deze manier onder de aandacht wordt gebracht! Maar ik vraag mij af wat er tijdens deze ddos allemaal voor handelingen worden uitgevoerd..

Daarnaast vraag ik me af in hoeverre de AIVD zich inmiddels hiermee bezig houdt, dit volgens mij de enige organisatie welke zichzelf toegang mag verschaffen tot computers, en dat is wel iets wat je nodig hebt om bij de bron te komen in dit geval. Bovendien is de staatsveiligheid wel in het geding imo.

De staatsveiligheid is in geding omdat je je bestelling van thuisbezorgd niet via ideal kan betalen, en je geen cash meer hebt liggen thuis?

Als jouw energieboer een storing heeft, en je kan thuis niet eens meer internetten, is dat ook een staatsveiligheid probleem? Je kan dan ook bar weinig internetbankieren dan (als je geen smartphone met internet hebt).

Internetbankieren is handig, maar behalve dat, zijn er nog genoeg andere betaalmogelijkheden..

Daarbij zijn zaken die je via internetbankieren regelt over het algemeen niet anders dan luxe probducten. Maar als je niet met een automaische incasso je financiele verplichtingen hebt lopen, en dat handmatig moet doen (wat een keuze is over het algemeen) kies je zelf voor het risico dat je een probleem hebt als de bank een storing heeft (of een aanval, of welke andere vorm van niet bereikbaar zijnd an ook ).

En voor ondernemers hoef je geen medelijden te hebben omdat ze maar 1 systeem willen hanteren. Zelf ook ondernemer geweest, en je moet gewoon zorgen dat je klanten kunnen betalen, en je niet specifiek van 1 systeem afhankelijk bent.

Iets met redundancy en back-ups. Iets wat voor tweakers niet geheel rocket sciense is mag ik hopen.

Edit:
Ik vind die DDoS-aanvallen enigsinds een prima praktijk-test voor als we echt in een digitale oorlog terecht komen. Behalve dat zitten wij ook in landen waar we niks te zoeken hebben, en zijn wij ipv de agressor nu ook eens het slachtoffer.

Puur kijkend naar bijvoorbeeld Iran, die een eigen landelijk seperaat netwerk wil hebben, dat niet eens zo'n gek idee is.

Ik vermoed dat de aanvallen van servers van buiten Nederland komen, en voor financiele diensten zoals de banken, en DigiD, zouden in mijn ogen met 1 druk op de knop offline gegooid moeten worden voor IP-adressen van buityen Nederland, zodat het binnenlandse systeem gewoon kan blijven doordraaien, terwijl het dan van buiten Nederland tijdelijk niet bereikbaar is.

[ Voor 23% gewijzigd door RaZ op 17-04-2013 20:24 ]

RaZ schreef op woensdag 17 april 2013 @ 20:17:
...

Dat je een tijdje online niet kan bankieren dat is niet zo erg, mijn punt is dat je niet weet wat er verder wordt uitgevoerd of gepland, is dit een test van een ander land? is dit een groep uit de scene die een weddenschap heeft? Je weet het niet.. Maar het zijn klaarblijkelijk wel personen die schade aan NL kunnen veroorzaken op grote schaal als ze de juiste plekken raken.

Die DDOS-aanval zal niet zo gemakkelijk af te slaan te zijn. (Jawel, maar dat kost veel rekenkracht en dus veel geld. )

Maar het internetverkeer hier wordt toch netjes allemaal gelogged? A.d.h. van de ip-adressen en tijdstip leidt dat toch vaak naar computers? Of mis ik iets?

As we speak ligt ABN Amro eruit.

De officiële informatie is dat alleen de zakelijke site is geraakt, maar de gehele site (dus ook consumenten) lijkt affected.

Oorzaak nog onbekend maar in het licht van afgelopen dagen...
(echter van mijn kant vooralsnog speculatie).

Vanochtend gaf ABN wel aan een storing te hebben: https://twitter.com/ABNAMRO/status/324855813619449856.

[ Voor 16% gewijzigd door Eagle Creek op 18-04-2013 14:59 ]

Kan inderdaad al een half uurtje niet op de site van de ABN komen

http://www.ideal-status.nl

Bevestigd.

http://www.nucia.eu/nieuw...achtoffer-van-ddos-aanval

Zo, nu zijn dus alle grote banken onderhanden genomen door Anonymous (neem ik dan aan).

Volgen nu de kleinere banken, of gaan we de cyclus weer opnieuw beginnen, en is nu ING weer aan de beurt?

Reken maar dat de grote banken inmiddels de maatregelen flink hebben aangescherpt. Dat wil niet automatisch zeggen dat ze niet meer aan te vallen (en om te laten vallen) zijn maar wel dat er flink wat antiDDos-partijen de laatste dagen goede zaken aan het doen zijn.

Het is inderdaad wel wachten op wat we de komende dagen/weken zullen gaan zien.. En nog steeds: wat het motief erachter is. Zolang dat volledig onduidelijk is, is ook de voorspelling ver te zoeken.

[ Voor 8% gewijzigd door Eagle Creek op 18-04-2013 16:18 ]

pff het is weer goed raak, RABO, ING, SNS en ABN allemaal hebben ze problemen.

http://www.ideal-status.nl/

[ Voor 22% gewijzigd door architok op 18-04-2013 19:48 ]

Inderdaad, bestelde net iets, werd wel afgeschreven maar volgens de website was de transactie gefailed. Fijn..

architok schreef op donderdag 18 april 2013 @ 19:46:
pff het is weer goed raak, RABO, ING, SNS en ABN allemaal hebben ze problemen.

http://www.ideal-status.nl/

iDeal is dan ook een externe partij

en daarmee wil je zeggen, dat ze absoluut niets met elkaar te maken (kunnen) hebben?

[ Voor 55% gewijzigd door architok op 19-04-2013 02:01 . Reden: typo + add ]

architok schreef op donderdag 18 april 2013 @ 20:41:
en daarmee wil je zeggen, dat ze absoluut niets met elkaar te maken (kunnen) hebben?

Absoluut niet is dan weer geheel de verkeerde kant op geredeneerd. Als het bij een externe partij is belegd is de kans groot dat indien iDeal niet meer goed functioneerd voor meerdere banken.

point taken, ik kon op dat moment echter bij zowel de ABN als bij de ING maar met moeite de website bezoeken, en ideal-status geeft dan een heel aardige indicatie waar de problemen zich voordoen.

Hier staat de site van de ING gewoon binnen 1 seconde op het scherm. Inloggen gaat ook normaal snel zoals ik gewend ben.. Nergens last van hier..

architok schreef op vrijdag 19 april 2013 @ 08:04:
point taken, ik kon op dat moment echter bij zowel de ABN als bij de ING maar met moeite de website bezoeken, en ideal-status geeft dan een heel aardige indicatie waar de problemen zich voordoen.

De algemene website is dan weer een ander geval. In het geval dat iDeal eruit ligt zou het geen directe invloed moeten hebben op de algemene website. Indirect wordt de belasting wel vergroot doordat men op die website gaat kijken wat er met iDeal aan de hand is.

RaZ schreef op vrijdag 19 april 2013 @ 08:07:
Hier staat de site van de ING gewoon binnen 1 seconde op het scherm. Inloggen gaat ook normaal snel zoals ik gewend ben.. Nergens last van hier..

Op dat moment, ergo niet nu.

[ Voor 20% gewijzigd door Napo op 19-04-2013 08:09 ]

Napo schreef op vrijdag 19 april 2013 @ 08:08:

Op dat moment, ergo niet nu.

inderdaad

Napo schreef op vrijdag 19 april 2013 @ 08:08:

De algemene website is dan weer een ander geval. In het geval dat iDeal eruit ligt zou het geen directe invloed moeten hebben op de algemene website. Indirect wordt de belasting wel vergroot doordat men op die website gaat kijken wat er met iDeal aan de hand is.

EDIT:

Als echter het netwerk van een specifieke bank wordt aangevallen, is het zeer goed mogelijk dat IDeal betalingen via die bank ook hinder ondervinden. Aangezien zowel de banken als het IDeal netwerk de laatste tijd aangevallen zijn, kan je dan via IDeal status een aardige indicatie krijgen welke banken nog meer onder aanval liggen, maar zoals jij inderdaad al aangaf, heb je gelijk dat een storing bij IDeal niet automatisch betekent dat het desbetreffende bank netwerk ook wordt aangevallen, maar met het oog op afgelopen gebeurtenissen is het zeker niet vergezocht.

[ Voor 24% gewijzigd door architok op 19-04-2013 08:33 . Reden: typo +tekst toegevoegd ]

architok schreef op vrijdag 19 april 2013 @ 08:24:
[...]


inderdaad


[...]


Als echter het netwerk van een specifieke bank wordt aangevallen, is het zeer goed mogelijk dat IDeal betalingen via die bank ook hinder ondervinden.

Het ene sluit het andere natuurlijk niet uit. Al is de kans natuurlijk vrij groot als iDeal voor N > 3 banken uitvalt dat de banken daar vrij weinig invloed op heeft dan wel kunnen hebben. Al blijft natuurlijk wel het imago van de bank voornamelijk beschadigd en niet van de iDeal faciliterende partij.
Al zou het voor mij onbegrijpelijk zijn dat indien de website niet meer functioneerd dat het betalingsverkeer dat via iDeal binnenkomt er last van heeft. Dat lijkt me wel iets dat je in een omgeving wil hebben draaien die blijft functioneren indien je publieke website onfortuinelijk genoeg niet meer functioneerd.

Bij goede, fatsoenlijke uitleg op de sites zelf en met wat goed, geïnformeerde uitleg in de media (het nieuws) valt die imago-schade ook wel weer mee hoor.

Het wordt nu een beetje een slow-chat (niet dat het niet gezellig is ) dus hier mijn afsluiter op dit punt:

Het is natuurlijk niet onmogelijk om meerdere gedeeltes van het netwerk, dan enkel en alleen de frontpage tegelijk aan te vallen, als het netwerk van de bank overbelast is en dus onbereikbaar, zullen IDeal betalingen logischerwijs ook niet voltooid kunnen worden.

maar om maar even op gelijke voet af te sluiten, kunnen we het er hopelijk over eens zijn dat het hoogst irritant begint te worden.

Wat zorgelijk is aan de situatie is dat niemand het op eist en men het wel aan durft om de financiele sector direct aan te vallen. Je weet dat als je dat doet, de consequenties groot zijn. Helemaal nu het internationaal lijkt te zijn. Een soort zinloze en kansloze wraakactie op banken is niet onlogisch, maar het effect bij goede communicatie vanuit deze sector is eerder dat burgers sympathie krijgen met de slachtoffers van de aanvallen (waaronder winkelsector en dus de gewone burgers). Je moet wel haast extreem links en anarchistisch van aard zijn wil je dit nog kunnen legitimeren.

het is inderdaad zorgelijk te noemen, dat ze dit schijnbaar ongemoeid voor langere tijd vol kunnen houden, zonder dat publiekelijk bekend is uit welke hoek de aanval komt, en wat de beweegredenen achter deze aanval zijn.
Er wordt zo wel een stevige indruk achter gelaten, dat je grote financiële storingen in een heel land, van achter je PC'tje kan veroorzaken zonder dat iemand je ook maar iets ten laste kan leggen, laat staan je kan stoppen.

Zorgelijk vind ik het niet trouwens. Maar ik kom dan niet uit het digitale tijdperk. Pinnen bestond nog niet toen ik jong was. Alles moest je regelen bij de filialen zelf. Ik zie het internet dan als een leuke extra optie, maar zeker niet als primaire dienstverlening.

Als een bank niet bereikbaar is online, dan zijn er altijd nog zaken als een telefoon waarmee je de bank kan bellen, en zijn er ook filialen waar je terecht kan.

Maar we willen netneutraliteit, anoniem online kunnen zijn, privacy en zo. Dan is dit simpelweg inherent aan die privacy. Net als dat alle ongelukken op de weg ook inherent zijn aan de luxe van het autorijden.. Zolang de voordelen nog ver boven de nadelen uitkomen, is het jammer dat de nadelen er zijn, maar zorgen er niet voor dat men het afschaft.

architok schreef op vrijdag 19 april 2013 @ 08:24:
[...]
Als echter het netwerk van een specifieke bank wordt aangevallen, is het zeer goed mogelijk dat IDeal betalingen via die bank ook hinder ondervinden. Aangezien zowel de banken als het IDeal netwerk de laatste tijd aangevallen zijn, kan je dan via IDeal status een aardige indicatie krijgen welke banken nog meer onder aanval liggen, maar zoals jij inderdaad al aangaf, heb je gelijk dat een storing bij IDeal niet automatisch betekent dat het desbetreffende bank netwerk ook wordt aangevallen, maar met het oog op afgelopen gebeurtenissen is het zeker niet vergezocht.

Op donderdag 18 april tussen 19:30 en 21:30 uur ondervonden klanten problemen met betalen via iDEAL Oorzaak was een DDOS-aanval op de SNS-bank waardoor verstoringen bij iDEAL optraden. Hiervan ondervonden ook andere banken hinder.

IDEAL wordt beheerd door Atos Origin. Althans, de technische infrastructuur.
Betaalverkeer gaat in NL via Currence Equens. Currence zorgt voor de licenties ed volgens mij en is volgens mij niet actief betrokken bij de technische exploitatie.

Aangezien alles aan elkaar geknoopt zit is het (blijkbaar) zo dat één bank, alle banken kan raken.

Het zou me dan ook niet verbazen als men daar ook eens naar gaat kijken, hoewel ik niet bekend ben met hoe deze netwerken aan elkaar hangen.

[ Voor 5% gewijzigd door Eagle Creek op 19-04-2013 09:48 ]

RaZ schreef op vrijdag 19 april 2013 @ 09:22:
Zorgelijk vind ik het niet trouwens. Maar ik kom dan niet uit het digitale tijdperk. Pinnen bestond nog niet toen ik jong was. Alles moest je regelen bij de filialen zelf. Ik zie het internet dan als een leuke extra optie, maar zeker niet als primaire dienstverlening.

Dan heb ik slecht nieuws voor je. Als een DDOS echt lang duurt en effectief is dan:

- doen pinautomaten het niet meer, of beperkt.
- gaan transacties die je wel hebt gemaakt, niet door (is ook digitaal)
- gaan transacties tussen bedrijven, loonverwerkers en dat soort basale dingen niet door.

Stel dat een DDOS een volle maand duurt en effectief is, dan zal Brinks heel wat USB sticks met betalingsgevens heen en weer moeten slepen om de zaak draaiende te houden.

Overigens is het in de tussentijd geen slecht idee om een bescheiden contant geld bedrag bij de hand te hebben voor het geval je boodschappen niet gepind kunnen worden als je bij de kassa staat.

Beschermen tegen dit soort aanvallen kan op zich wel beter als bedrijven de kosten maken om allerlei diensten over allerlei verschillende netwerken te koppelen. Probleem is alleen dat je dat scheiden bijna fysiek moet doen, het gebeurt nu al dat als jouw provider een DDOS ondervindt gericht op een andere klant dat andere gebruikers van dezelfde infrastructuur hier ook hinder van ondervinden. DDOS maakt gewoon flauw gebruik van een knap irritante 'feature' van TCP/IP.

NiGeLaToR schreef op vrijdag 19 april 2013 @ 10:45:
[...]


Dan heb ik slecht nieuws voor je. Als een DDOS echt lang duurt en effectief is dan:

- doen pinautomaten het niet meer, of beperkt.
- gaan transacties die je wel hebt gemaakt, niet door (is ook digitaal)
- gaan transacties tussen bedrijven, loonverwerkers en dat soort basale dingen niet door.

- Waarom zou een PIN-automaat plat gaan, wanneer de WEBSITE van een bank wordt aangevallen?
- Waarom zouden transacties die zich al in het transactieverwerkende banksysteem bevinden, niet doorgaan?
- Waarom zouden bedrijven niet telefonisch over kunnen maken?

DDOS maakt gewoon flauw gebruik van een knap irritante 'feature' van TCP/IP.

En welke feature is dat dan?

[ Voor 8% gewijzigd door Eagle Creek op 19-04-2013 11:59 ]

Eagle Creek schreef op vrijdag 19 april 2013 @ 11:57:
[...]

- Waarom zou een PIN-automaat plat gaan, wanneer de WEBSITE van een bank wordt aangevallen?

PIN-automaten zullen echt niet down gaan, is een compleet gescheiden systeem. Heeft idd totaal niks te maken met de systemen die nu onder vuur liggen.

- Waarom zouden transacties die zich al in het transactieverwerkende banksysteem bevinden, niet doorgaan?

Die gaan ook gewoon door, zeker voor bank-interne transacties (dus binnen dezelfde bank). Naar andere banken zou, in theorie, de zaak wel vertraagd kunnen worden als de onderlinge lijnen verbroken zouden worden door bijvoorbeeld een ddos-attack.

Maar dat is puur theorie, aangezien die lijnen los staan van de lijnen die momenteel onder ddos-vuur liggen.

No reason to panic.

---

KLM ligt nu ook onder een DDOS-attack: http://www.nu.nl/internet...-cyberaanval-bij-klm.html

[ Voor 6% gewijzigd door wildhagen op 19-04-2013 13:00 ]

Nou, zover zijn we nog niet.

Het bedrijf kan niet zeggen of er meer verkeer wordt waargenomen en waarop de uitspraak 'we sluiten een cyberaanval niet uit' dan wel gebaseerd is.

Kan dus wel, hoeft nog niet.

Blijkt dus wel degelijk om een DDOS-attack te gaan op KLM: http://www.nu.nl/tech/340...zaak-van-storing-klm.html

Zie ook de FP: nieuws: Ddos-aanval veroorzaakt storing bij KLM

[ Voor 37% gewijzigd door wildhagen op 19-04-2013 18:07 ]

Eagle Creek schreef op vrijdag 19 april 2013 @ 11:57:
[...]

- Waarom zou een PIN-automaat plat gaan, wanneer de WEBSITE van een bank wordt aangevallen?
- Waarom zouden transacties die zich al in het transactieverwerkende banksysteem bevinden, niet doorgaan?
- Waarom zouden bedrijven niet telefonisch over kunnen maken?

1 verbinding, 1 netwerk, 1 isp. Internationale transacties gaan vaak via email nota bene. Daarom dus.
Telefoonlijnen zijn ideaal, maar niet overal geschikt (meer) voor.

En welke feature is dat dan?

Wikipedia: Denial-of-service attack

wildhagen schreef op vrijdag 19 april 2013 @ 12:26:
[...]


PIN-automaten zullen echt niet down gaan, is een compleet gescheiden systeem. Heeft idd totaal niks te maken met de systemen die nu onder vuur liggen.

Ah, dus ze zijn niet gewoon verbonden via adsl, je weet wel, via internet?

Die gaan ook gewoon door, zeker voor bank-interne transacties (dus binnen dezelfde bank). Naar andere banken zou, in theorie, de zaak wel vertraagd kunnen worden als de onderlinge lijnen verbroken zouden worden door bijvoorbeeld een ddos-attack.

Maar dat is puur theorie, aangezien die lijnen los staan van de lijnen die momenteel onder ddos-vuur liggen.

No reason to panic.

Ik zeg ook niet dat er paniek moet zijn, ik zeg alleen dat er nu problemen zijn omdat het niet is zoals je schetst. Anders zou alleen de website van de bank in kwestie er last van moeten hebben. Toch?
Bij ING konden mensen laatst tijdens een aanval/storing in ene niet pinnen weet je nog?
Scheiden van netwerken maakt overigens de DDOS lastiger te organiseren, maar nog steeds niet onmogelijk.
Is er eigenlijk nog iemand op zoek naar dader(s)?

[ Voor 4% gewijzigd door NiGeLaToR op 19-04-2013 22:11 ]

NiGeLaToR schreef op vrijdag 19 april 2013 @ 22:08:
[...]


Ah, dus ze zijn niet gewoon verbonden via adsl, je weet wel, via internet?

Soms wel, maar vaak werken ze via X.25 packetswitch lines. Geen internet dus. Ook separate ISDN-lijnen (dus dedicated lijnen, los van gewoon Internet) worden nog wel eens gebruikt. Enige manier om die met een DDOS plat te krijgen is als je dan van binnenuit de organisatie doet. Knap als je dat lukt

Dat was iig zo toen ik voor het laatst bij een bank werkte (paar jaar geleden), gok dat het niet opeens wereldschokkend anders is geworden

Betaalautomaten (in winkels enzo) lopen vaak wel via ADSL (ook niet altijd overigens). Maar als die niet werken is dat minder erg, omdat je dan alsnog kunt pinnen in een pin-automaat en dan contant betalen. Onhandig? Zeker. Een ramp? Neuh.

[...]

Ik zeg ook niet dat er paniek moet zijn, ik zeg alleen dat er nu problemen zijn omdat het niet is zoals je schetst. Anders zou alleen de website van de bank in kwestie er last van moeten hebben. Toch?
Bij ING konden mensen laatst tijdens een aanval/storing in ene niet pinnen weet je nog?

Dat niet konden pinnen was tijdens de eerste ING-storing, en lag aan de verkeerde saldo's. Die storing had niks met DDOS-en te maken.

Tijdens de DDOS-acties kon er 'gewoon' gepind worden. Ook bij betaalautomaten enzo, dat gaat namelijk niet via ING (of welke bank dan ook), maar via Equens.

Wat *niet* (of iig, niet goed) werkte was iDeal, maar dat heeft niks met pinnen te maken.

[ Voor 9% gewijzigd door wildhagen op 20-04-2013 05:03 ]

Feit blijft dat banken van oudsher zijn ingericht op bestendigheid tegen calamiteiten zoals kabelbreuk, brand, kapotte apparatuur, etc. maar nog maar weinig tegen lamleggen van infra door bijvoorbeeld een DDOS. Ook is de vraag hoe er miiljoenen in bescherming tegen dit soort aanvallen gestoken kan worden terwijl er geen geld is, klanten boos zijn over hoge kosten, toezichthouders meer buffers willen en werknemers massaal ontslagen worden om kosten te drukken.

Elke DDOS aanval maakt financiele producten duurder en laat banen verloren gaan. Er staat immers geen extra inkomsten tegenover.

Dus ondanks dat een DDOS een beperkte impact op primaire infrastructuur heeft, is de impact op het gehele systeem groter dan je denkt. Dus, wie heeft hier belang bij en de middelen om dit te veroorzaken?

NiGeLaToR schreef op vrijdag 19 april 2013 @ 22:08:
1 verbinding, 1 netwerk, 1 isp. Internationale transacties gaan vaak via email nota bene. Daarom dus.
Telefoonlijnen zijn ideaal, maar niet overal geschikt (meer) voor.

Uiteraard zitten de PIN-automaten gewoon aangesloten op dezelfde router als die van de publieke webserver. Lijkt me een volledig logische redenering.

NiGeLaToR schreef op vrijdag 19 april 2013 @ 22:08:
Wikipedia: Denial-of-service attack

"Denial-of-service_attack" is geen feature, een Wikipediapagina neerplompen is geen vraag beantwoorden.

NiGeLaToR schreef op vrijdag 19 april 2013 @ 22:08:Is er eigenlijk nog iemand op zoek naar dader(s)?

Nee, helemaal niemand. Alle betrokkenen zijn gewoon lekker in het zonnetje gaan zitten .

[ Voor 14% gewijzigd door Eagle Creek op 21-04-2013 17:06 ]

Eagle Creek schreef op vrijdag 19 april 2013 @ 09:43:
[...]

Op donderdag 18 april tussen 19:30 en 21:30 uur ondervonden klanten problemen met betalen via iDEAL Oorzaak was een DDOS-aanval op de SNS-bank waardoor verstoringen bij iDEAL optraden. Hiervan ondervonden ook andere banken hinder.

IDEAL wordt beheerd door Atos Origin. Althans, de technische infrastructuur.
Betaalverkeer gaat in NL via Currence Equens. Currence zorgt voor de licenties ed volgens mij en is volgens mij niet actief betrokken bij de technische exploitatie.

Aangezien alles aan elkaar geknoopt zit is het (blijkbaar) zo dat één bank, alle banken kan raken.

Het zou me dan ook niet verbazen als men daar ook eens naar gaat kijken, hoewel ik niet bekend ben met hoe deze netwerken aan elkaar hangen.

Atos beheert niet alle ideal platformen van alle banken. En ook zeker niet alle schakels uit deze keten. Er is immers een directe koppeling tussen backend van de bank en de ideal frontend. Bedenk daarnaast ook dat er 4 functionerende systemen/partijen (eigenlijk 5, en vaak zelfs 6!) nodig zijn voor 1 succesvolle ideal betaling.
1) de klant
2) de webwinkel
3) Bij veel kleinere winkels de Payment Service provider zoals Buckaroo, Ogone, etc .etc. die het kassa onderdeel van de webwinkel regelt tegen een gunstiger tarief.
4) de bank van de klant
5) de bank van de webwinkel (of van de PSP)
En tot slot 6) equens (al komt die pas later aan de orde als de betalingsbatch tussen banken wordt uitgevoerd.)

ING weer gedeeltelijk plat ?
Kon eerst niet op de site komen dat lukt nu weer wel.
Inloggen bij bankieren levert mij een "Fout 118 (net::ERR_CONNECTION_TIMED_OUT): Er heeft een time-out voor de bewerking plaatsgevonden."op.

ING heeft iig een storing ja, het is nog niet bekend of het een DDOS-attack betreft.

Ook ABN AMRO lag vanochtend plat, maar daar zou het om een "gewone" storing gaan, niet om een ddos.

Here we go.

LOL.... iig is het taalgebruik redelijk, zie zo 1-2-3 zelfs niet één spelfout...

Laat me raden, de url onder de link verwijst naar. www.pleaseiwanttobephished.ru of .cn oid?

wildhagen schreef op dinsdag 23 april 2013 @ 11:03:
LOL.... iig is het taalgebruik redelijk, zie zo 1-2-3 zelfs niet één spelfout...

Laat me raden, de url onder de link verwijst naar. www.pleaseiwanttobephished.ru of .cn oid?

Geen idee, screenshot is niet van mij

De officiele URL van de Rabobank is volgens mij:
hxxps://bankieren.rabobank.nl/klanten/ (dus zonder 'online' ervoor)

Maar wat zou hier dan mogelijk onveilig aan zijn? de URL, zoals die vermeld staat (dus zonder dat de achterliggende klikbare URL anders is) zou toch alleen naar een pagina op de rabobank.nl kunnen leiden?..

De tekst er onder 'U dient 24 uur niet in te loggen' en 'klik hier om uw gegevens te bevestigen' doen bij mij de belletjes iig wel rinkelen

[ Voor 11% gewijzigd door SmiGueL op 23-04-2013 11:27 ]

Maar wat zou hier dan mogelijk onveilig aan zijn? de URL, zoals die vermeld staat (dus misschien dat de achterliggende klikbare URL anders is?)

Dat idd. Bij veel ING-phishings die ik gezien heb is de echte link die onder de URL zit heel anders (en vaak eindigend op .cn of .ru) dan de tekst doet voorkomen. Maar dat hebben de meeste (niet-technische) mensen uiteraard niet zomaar door.

SmiGueL schreef op dinsdag 23 april 2013 @ 11:20:
De officiele URL van de Rabobank is volgens mij:
hxxps://bankieren.rabobank.nl/klanten/ (dus zonder 'online' ervoor)

https://bankieren.rabobank.nl/klanten/

Verwijderd schreef op dinsdag 23 april 2013 @ 11:24:
[...]



https://bankieren.rabobank.nl/klanten/

Mijn vraag was gewoon of een link http://onlinebankieren.rabobank.nl/klanten/ op een of andere manier je kan lijden naar een site anders dan rabobank.nl.

Dat de onderliggende URL anders kan zijn lijkt me wel duidelijk idd

Een adres wat je in de adresbalk van jouw browser invult gaat altijd naar het adres toe wat eerste "/" na "https://" of "http://" staat.
De eerste stap is kijken in de statusbalk of de link ook daadwerkelijk ook naar de url verwijst wat ook in de e-mail staat.
Verder moet je dit "http://onlinebankieren.rabobank.nl/" kunnen onderscheiden van "http://onlinebankieren.rabobank.nl.ru/".


E-mails met de htmlcode <a href="AdresA">AdresB</a> kunnen gemakkelijk gefilterd worden. Als AdresB begint met "http://" of "https://", zou AdresA identiek aan AdresB moeten zijn.
Ik heb bij verschillende providers al gevraagd of het mogelijk is om e-mails die hier niet aan voldoen vooraf te kunnen verwijderen maar o.a. bij Hotmail en bij Ziggo heb ik hier totaal geen reactie op gehad. Laat staan dat ze deze e-mails vooraf gaan verwijderen.

Dat vooraf gaan verwijderen zullen ze sowieso nooit gaan doen, dan gaan ze mails van gebruikers deleten, ook al is de mail nog zo dubieus. Lijkt me juridisch niet geheel in de haak

Redelijke kans dat dat ook al één van de dingen is waar hun phishing filters op letten, maar daar willen ze uiteraard niet al teveel uitspraken over doen.

Het idee van een hyperlink is ook helemaal niet dat wat tussenin de tags staat, gelijk is aan href...

Vandaar die controle. Als er een tekst staat van "Log hier in", dan is een controle lastiger. Maar als er als tekst een webadres staat, dan moet die daar ook naar toe verwijzen, en niet naar een ander adres.

En als ze al daarop letten, waarom krijgen we dan (nog steeds) die phishingmails in onze mailboxen? Er worden nu van die leuke reclamespotjes gemaakt, maar de internetproviders die nu al de Pirate Bay blokkeren kunnen op deze manier ook veel phishingmails blokkeren.

SmiGueL schreef op dinsdag 23 april 2013 @ 11:26:
[...]


Mijn vraag was gewoon of een link http://onlinebankieren.rabobank.nl/klanten/ op een of andere manier je kan lijden naar een site anders dan rabobank.nl.

Dat de onderliggende URL anders kan zijn lijkt me wel duidelijk idd

Zo lang het geheel van communicatie van jouw browser tot de server niet beïnvloedt wordt door de aanvaller dan niet. Maar als de aanvaller bijvoorbeeld het DNS antwoord kan beïnvloeden, of gewoon het verkeer kan aanpassen tussen jou en de server, dan zou dat wel kunnen ja.

Bij een pure phishing aanval, zonder verdere ingrepen in jouw PC of het netwerk kan een linkje niet zomaar ergens anders uitkomen.

Onbekend schreef op dinsdag 23 april 2013 @ 14:54:
En als ze al daarop letten, waarom krijgen we dan (nog steeds) die phishingmails in onze mailboxen? Er worden nu van die leuke reclamespotjes gemaakt, maar de internetproviders die nu al de Pirate Bay blokkeren kunnen op deze manier ook veel phishingmails blokkeren.

Ik gebruik hotmail als primaire e-mail en die gooit 99% van de phishing mails in spamfilter. Dus blijkbaar lukt dat best wel redelijk. Als je provider geen spam/phishing filtering levert, ja dan is het niet hun zaak maar moet je dat lokaal draaien.

SmiGueL schreef op dinsdag 23 april 2013 @ 11:20:

De tekst er onder 'U dient 24 uur niet in te loggen' en 'klik hier om uw gegevens te bevestigen' doen bij mij de belletjes iig wel rinkelen

Nee, stel je voor dat je er te snel achter komt dat je rekening is geplunderd

Perkouw schreef op vrijdag 05 april 2013 @ 21:17:
Klagen lijkt me logisch, het is wel ons geld waar we niet bij kunnen of geld van missen etc.

En als ze zoveel capaciteit kopen dat ze wel bestand zijn tegen dit soort aanvallen, wie denk je dan dat dit gaat betalen? De overheid of de klant van de bank?

Hydra schreef op woensdag 24 april 2013 @ 13:51:
[...]


En als ze zoveel capaciteit kopen dat ze wel bestand zijn tegen dit soort aanvallen, wie denk je dan dat dit gaat betalen? De overheid of de klant van de bank?

Ik denk dat je dit soort dingen alleen kunt aanpakken als alle bedrijven en overheden van de hele wereld samenwerken. Dit soort acties kunnen vanaf ieder bananenland georganiseerd worden, en zolang niet ieder land meewerkt aan het oppakken van dit soort tuig kunnen ze er nog gewoon mee wegkomen.

Alleen jammer dat dit waarschijnlijk nooit zal gaan gebeuren.

Iets wat ik ook in een reactie op nieuws: Ddos-problemen DigiD zijn nog niet voorbij heb gezet:

Kan er niet op een DDOS gefilterd worden aan de ISP kant van de lijn? Dan zou bandbreedte in ieder geval een minder groot probleem zijn lijkt me.
Ik denk dan bvb aan een gelijkaardig product als de RioRey RX1810 die Tweakers heeft/had, maar dan bij de ISP.

Praktisch zie ik het als volgt:
- ISP biedt deze service aan tegen betaling.
- Klant neemt deze service aan.
- ISP maakt anti-DDOS hardware beschikbaar.
- Klant krijgt volledige administratie over deze hardware.
- DDOS packets worden gedropt voordat ze naar de server verstuurd worden.

De bottlenecks die je dan hebt, zijn de beschikbare bandbreedte bij de ISP, en de rekenkracht van de gebruikte anti-DDOS hardware. 100% DDOS proof zal het niet zijn, maar waarschijnlijk wel een stuk beter dan dat het nu is.

Wat denken jullie van dit idee? Zie ik iets over het hoofd?
Ik ben uiteindelijk maar een simple QA tester, en geen network admin.

Wat bedoel je precies met 'aan de ISP kant'? Bedoel je aan de kant vanwaar iemand een DoS aanval uitvoert? Dat zou in theorie vast wel kunnen, maar waarschijnlijk in praktijk niet werken. Omdat er ook legitiem verkeer overheen kan gaan wat misschien op een DoS lijkt. Daar heb je als host een stuk minder last van. Daarnaast is er ook nog zoiets als internetvrijheid en privacy en zijn dingen zoals DPI verboden, waardoor het alweer een stuk moeilijk wordt.

Aan de andere kant, een RioRey of vergelijkbaar product neerzetten is leuk bij de ISP, maar is niet in alle gevallen goed genoeg. Bij ING werd de DDoS namelijk uitgevoerd door malafide inlogpogingen. Dit is legitiem verkeer met een malafide doel, en dus niet te filteren met extra hardware. Daarnaast moet je begrijpen dat zo'n inlogpoging relatief duur is (qua cpu kracht) en je op die manier dus ook een DoS uit kunt voeren.

Let trouwens ook het verschil tussen een DoS en DDoS. Een DoS heeft namelijk één bron, en een DDoS meerdere bronnen.

Welke ISP? De ISP van de PC die in verweggistan in een botnet hangt?

Het is inderdaad zo dat je DDOS idealiter aan de bron tegenhoudt, maar daarbij heb je een aantal uitdagingen:
- Medewerking nodig van al die ISPs. Genoeg ISPs in minder fijne landen die daar helemaal niet aan mee gaan werken.
- Botst mogelijk met netneutraliteit
- Niet elke DDOS aanval zal door de lokale ISP als dusdanig te herkennen zijn. Je zal in veel situaties kennis die alleen beschikbaar is in de omgeving van het slachtoffer moeten delen met ISPs om ze echt effectief te kunnen laten filteren. Dat vereist dus de nodige coördinatie met een enorm aantal ISPs.

Orion84 schreef op donderdag 25 april 2013 @ 15:20:
Welke ISP? De ISP van de PC die in verweggistan in een botnet hangt?
...
- Medewerking nodig van al die ISPs. Genoeg ISPs in minder fijne landen die daar helemaal niet aan mee gaan werken.

Ik was aan het denken aan de ISP van de aangevallen server. Deze zou toch meer bandbreedte hebben dan de server toegewezen krijgt vermoed ik?
Het is inderdaad zelden doenbaar om de ISPs van de aanvallers aan te spreken. Die kiezen wel een landje uit waar men het een worst zal wezen dat een paar Nederlandse bankjes onbereikbaar zijn.

Orion84 schreef op donderdag 25 april 2013 @ 15:20:
- Botst mogelijk met netneutraliteit

Daar heb je waarschijnlijk gelijk in. Dan zou je je kunnen afvragen of deze wet niet aangepast moet worden voor dit soort gevallen, en dat is dan weer een hele andere (waarschijnlijke lange) discussie.

Orion84 schreef op donderdag 25 april 2013 @ 15:20:
- Niet elke DDOS aanval zal door de lokale ISP als dusdanig te herkennen zijn. Je zal in veel situaties kennis die alleen beschikbaar is in de omgeving van het slachtoffer moeten delen met ISPs om ze echt effectief te kunnen laten filteren. Dat vereist dus de nodige coördinatie met een enorm aantal ISPs.

In mijn geval zou er dus enkel coördinatie moeten zijn tussen 1 ISP en de aangevallen klant. Dat lijkt me dus niet ondoenbaar.

alex3305 schreef op donderdag 25 april 2013 @ 15:20:
Bij ING werd de DDoS namelijk uitgevoerd door malafide inlogpogingen. Dit is legitiem verkeer met een malafide doel, en dus niet te filteren met extra hardware. Daarnaast moet je begrijpen dat zo'n inlogpoging relatief duur is (qua cpu kracht) en je op die manier dus ook een DoS uit kunt voeren.

Let trouwens ook het verschil tussen een DoS en DDoS. Een DoS heeft namelijk één bron, en een DDoS meerdere bronnen.

Wat ik hier vertel is idd geen manier om dit soort DoS tegen te houden. Ik was enkel aan het denken aan een DDoS aanval wat enorme hoeveelheden bandbreedte/requests genereren.
Misschien bestaan er voor de DoS dat jij stelt andere oplossingen aan de server kant? (Ik denk aan na 10 gefaalde inlogpogingen het IP blokkeren voor 10 minuten of zo?)

In ieder geval bedankt voor de feedback. Zo leer ik ook wat bij.

[ Voor 0% gewijzigd door fluffy1 op 25-04-2013 15:53 . Reden: typo ]

Allemaal IP-adressen gaan filteren kost veel rekenkracht (en dus geld).

Maar ik bedenk me ineens wel dat het internetverkeer wel wordt gelogged. Loggen die ook elke inlogpoging met een x aantal requests per seconde?

[ Voor 9% gewijzigd door Onbekend op 25-04-2013 16:00 ]

Ah, ok, ja, het is volgens mij vrij normaal dat als een bedrijf wordt aangevallen dat ze dan in samenwerking met hun ISP naar oplossingen zoeken om dat verkeer de nek om te draaien. Zo kan de ISP bijvoorbeeld al het verkeer dat gericht is aan het slachtoffer aan de buitengrens van zijn netwerk naar een 'zwart gat' routeren, waardoor het niet doordringt tot een deel van het netwerk dat onvoldoende capaciteit heeft. Nadeel is dat met die techniek dus het slachtoffer compleet onbereikbaar wordt.

Bedenk ook dat het op het moment dat het bij die ISP aankomt dus al enorme omvang heeft en het natuurlijk niet de core business van die ISP is om uitgebreid dat verkeer te gaan analyseren en opschonen.

Je ziet uiteraard wel dat ISPs (en cloud service providers) hierop inspringen en wel van dergelijke diensten gaan aanbieden. Maar gezien de capaciteit die daarvoor nodig is, is dat niet bijster goedkoop.

Je hebt gelijk, het is absoluut niet core business van een ISP.
Het is inderdaad niet goedkoop, maar ik denk dat het verlies dat een groot bedrijf zoals een bank maakt tijdens een aanval hoger is dan de kost van zo'n systeem. (Dat is natuurlijk een gok van mijn kant)

Het zou ook ontmoedigend kunnen werken als een enorme aanval wordt afgeslagen (of ze nemen het als een persoonlijke uitdaging, moeilijk te zeggen )

Mailtje van een klant:

Ik kan niet inloggen, hebben jullie last van een DDoS?

Onbekend schreef op donderdag 25 april 2013 @ 15:58:
Allemaal IP-adressen gaan filteren kost veel rekenkracht (en dus geld).

Maar ik bedenk me ineens wel dat het internetverkeer wel wordt gelogged. Loggen die ook elke inlogpoging met een x aantal requests per seconde?

ISPs loggen geen internetverkeer. Ze loggen welke klant er met welk IP op welke aansluiting zat en in beperkte mate het e-mail verkeer (geen inhoud).

Wikipedia: Wet bewaarplicht telecommunicatiegegevens

Ik word schijtziek^H^H^H^H^H^H^H^H^H^H een beetje moe van die melkmuilen op TV die zichzelf 'IT-expert' of 'internetkenner' noemen, maar als enige uit kunnen brengen, 'we weten het niet' en 'nee, we kunnen de daders ONMOGELIJK achterhalen', en een beetje lacherig staan doen over kerncentrales, nuts-bedrijven etc. die, 'hihi', ja hoor ook kunnen worden aangevallen. Laat ik als IT-er-met-boeren-verstand (dat past waarsch. niet op de ondertiteling in het NOS-journaal, soit) de 'IT-experts' een voorzetje geven:

https://www.google.com/se...official&client=firefox-a

Wat blijkt: er bestaan verschillende theorien en methodieken om in elk geval enige informatie te verkrijgen; begin daar eens mee, zou ik zeggen.

Misschien toch meer naar de IT experts luisteren, want enige wat ik daar zo snel zie staan is opsporen welke zombie-PCs mee doen aan de botnet. De daadwerkelijke daders heb je dan niet, dan moet je het hele botnet oprollen, en goede kans dat je daarna ook nog moet uitvogelen wie het heeft ingehuurd.

Onmogelijk is dan een groot woord, maar extreem onwaarschijnlijk is het wel, vooral zonder intensieve samenwerking tussen verchillende politiediensten.

Ja, het zal niet enkel een technische aangelegenheid zijn; maar de methodes die gebruikt kunnen worden leveren informatie op waarmee men kan gaan rechercheren. Ik vind de niets-zeggende IT-experts te nadrukkelijk aanwezig en de IT-recherche (of hoe heten die instanties) opvallend stil. Maar ik begreep van die hoogleraar van het Radboud (meen ik) in Nieuwsuur gisteravond dat de IT-recherche al iets op het spoor is.

Dan noem je nog een punt, het schijnt idd dat je die botnets gewoon in kunt horen/kopen; daar mogen ook wel eens wat vraagtekens bij geplaatst worden. Registratie van inhuurder/inkoper lijkt me een eerste stap.

Sissors schreef op vrijdag 26 april 2013 @ 09:42:
Misschien toch meer naar de IT experts luisteren, want enige wat ik daar zo snel zie staan is opsporen welke zombie-PCs mee doen aan de botnet. De daadwerkelijke daders heb je dan niet, dan moet je het hele botnet oprollen, en goede kans dat je daarna ook nog moet uitvogelen wie het heeft ingehuurd.

Onmogelijk is dan een groot woord, maar extreem onwaarschijnlijk is het wel, vooral zonder intensieve samenwerking tussen verchillende politiediensten.

Het hangt van wet- en regelgeving en resources af.. Je kan zo'n zombie-pc natuurlijk 'hacken' en vervolgens pakketjes sniffen of je eigen pc infecteren met dit virus.

Er zijn wel mogelijkheden inderdaad, vroeger werd er nogal eens van elkaar gejat met bots die op IRC joinden in een geheim kanaal.

Ik denk dat de overheid tegen nogal wat problemen zal aanlopen bij het achterhalen van de daders.

dieselb0y schreef op vrijdag 26 april 2013 @ 10:00:
[...]


Het hangt van wet- en regelgeving en resources af..

[...]

Ik denk dat de overheid tegen nogal wat problemen zal aanlopen bij het achterhalen van de daders.

Mja, misschien is dat het ook wel, de machteloosheid en passiviteit die uit de berichtgeving spreekt. Er wordt nu een beetje lacherig gedaan als van, ja het zijn vast een stel pubers in achterkamertjes die handig zijn met computers. Ik zou liever zien dat men van de worst-case uitging, dus dat er criminelen achter zitten. Het blijft nu weliswaar nog bij ddos-aanvallen, maar als ze eenmaal 'binnen' zijn en massaal geld van rekeningen beginnen te halen, zie ik de krantenkoppen al voor me: 'Overheid en IT-sector te laks met beveiligen internet' etc.

Gelukkig kan je met een DDOS niet 'binnen' geraken.
Voor een echte hack te doen heb je toch net iets meer kennis, ervaring, tijd, effort en geluk nodig.
En zelfs als ze al binnen geraken, wat extreem onwaarschijnlijk is, denk ik dat een bank zijn schade wel zal weten te beperken. (Of dat mag ik toch hopen)

dieselb0y schreef op vrijdag 26 april 2013 @ 10:00:
Ik denk dat de overheid tegen nogal wat problemen zal aanlopen bij het achterhalen van de daders.

De machines waar de data vandaan komt zijn onschuldige mensen die een trojan hebben opgelopen. Die trojans krijgen commando's van een centrale computer die hoogstwaarschijnlijk ook niks anders is dan een proxy op een 'gehackte' server. Succes met het achterhalen van informatie die gewoon niet vastgelegd is; een dergelijke trojan gaat echt geen logfiles bijhouden wat betreft waar die data vandaan komt.

CynicRelief schreef op vrijdag 26 april 2013 @ 09:57:
Ja, het zal niet enkel een technische aangelegenheid zijn; maar de methodes die gebruikt kunnen worden leveren informatie op waarmee men kan gaan rechercheren. Ik vind de niets-zeggende IT-experts te nadrukkelijk aanwezig en de IT-recherche (of hoe heten die instanties) opvallend stil. Maar ik begreep van die hoogleraar van het Radboud (meen ik) in Nieuwsuur gisteravond dat de IT-recherche al iets op het spoor is.

Dan noem je nog een punt, het schijnt idd dat je die botnets gewoon in kunt horen/kopen; daar mogen ook wel eens wat vraagtekens bij geplaatst worden. Registratie van inhuurder/inkoper lijkt me een eerste stap.

Heuh, wat? Registratie van huurder/koper? Je begrijpt dat die botnets bestaan uit geïnfecteerde PC's van nietsvermoedende eigenaren en dat de verhuurder/verkoper van een botnet dus een cyber crimineel is? Hoe denk je die zover te gaan krijgen een registratie te overleggen van zijn huurders?

Overigens is het infiltreren en monitoren van de communicatiemiddelen (fora, IRC, etc.) van dergelijke criminele operaties natuurlijk wel een van de opsporingsmiddelen die mogelijk kan helpen bij het vinden en vervolgens oprollen van de bron van een DDoS aanval.

Orion84 schreef op vrijdag 26 april 2013 @ 11:43:
[...]

Heuh, wat? Registratie van huurder/koper? Je begrijpt dat die botnets bestaan uit geïnfecteerde PC's van nietsvermoedende eigenaren en dat de verhuurder/verkoper van een botnet dus een cyber crimineel is? Hoe denk je die zover te gaan krijgen een registratie te overleggen van zijn huurders?

[...]

Naar ik begreep begint zo'n botnet ergens, een applicatie die de zombies verzamelt en infecteert en dat het die software is die openlijk te koop wordt aangeboden; maar ok, het zal geen shrink-wrapped pakketje zijn wat je bij de Dixons koopt

Overigens, en bijvoorbeeld, uit:

http://www.google.com/url...bv.45645796,d.ZWU&cad=rja

"The results of extensive experimental and simulation studies are presented to demonstrate the effectiveness and efficiency of the proposed method. Our experiments show that accurate traceback is possible within 20 seconds (approximately) in a large-scale attack network with thousands of zombies."


http://www.google.com/url...bv.45645796,d.ZWU&cad=rja

"Conclusion: ... We also
presented an efficient algorithm so that a victim site can
accurately determine the bounds of the number of packets
from each router which arrived during the victim’s measurement
interval. Based on this information, the victim can
determine the locations of attackers with dominating flows
no matter the attack packets are spoofed or non-spoofed
within a short measurement interval. We carried out simulations
to show that the proposed traceback methodology
performs efficiently and is able to locate the attackers sending
out large flows. ..."


Om maar eens ergens te beginnen ...

CynicRelief schreef op vrijdag 26 april 2013 @ 09:57:
Ja, het zal niet enkel een technische aangelegenheid zijn; maar de methodes die gebruikt kunnen worden leveren informatie op waarmee men kan gaan rechercheren.

Die informatie hadden ze vast wel.

Ik vind de niets-zeggende IT-experts te nadrukkelijk aanwezig en de IT-recherche (of hoe heten die instanties) opvallend stil. Maar ik begreep van die hoogleraar van het Radboud (meen ik) in Nieuwsuur gisteravond dat de IT-recherche al iets op het spoor is.

In welke wereld levert de recherche actuele updates in de media over wie ze waar op het spoor zijn? Er is iemand aangehouden of ze hebben nog niemand. Ze zijn hooguit iemand op het spoor maar ook dat hoeven ze niet te zeggen. Wat je overhoudt zijn experts die terecht (!) aangeven dat het opsporen van de opdrachtgevers van de DDoS, bijzonder lastig zal zijn. Van de recherche zul je echt zo snel niets horen.

CynicRelief schreef op vrijdag 26 april 2013 @ 10:19:
[...]
Mja, misschien is dat het ook wel, de machteloosheid en passiviteit die uit de berichtgeving spreekt.

Dat is omdat er ook aardig wat machteloosheid bij komt kijken. Er is geen definitieve bescherming tegen DDoS-aanvallen afgezien van je machines simpelweg niet aan internet hangen.

Er wordt nu een beetje lacherig gedaan als van, ja het zijn vast een stel pubers in achterkamertjes die handig zijn met computers. Ik zou liever zien dat men van de worst-case uitging, dus dat er criminelen achter zitten.

Wat doet dat er toe? Ze hebben geen motief kunnen krijgen tot dusverre, dus is 'pesterij' de meest logische conclusie vooralsnog. Ze zullen heus op zoek zijn naar de echte daders, de opdrachtgevers voor de aanvallen.

Het blijft nu weliswaar nog bij ddos-aanvallen, maar als ze eenmaal 'binnen' zijn en massaal geld van rekeningen beginnen te halen, zie ik de krantenkoppen al voor me: 'Overheid en IT-sector te laks met beveiligen internet' etc.

Zelfs op het nieuws hebben ze dit inmiddels wel door: DDoS aanvallen hebben nul komma nul te maken met 'binnen' raken of hacken. Dat zijn twee compleet verschillende dingen. Nofi, maar voor iemand die schijtziek wordt van de IT-experts op tv, mag je wel iets beter naar ze luisteren. Zo gek is het allemaal echt niet wat ze zeggen

CynicRelief schreef op vrijdag 26 april 2013 @ 12:21:
[...]
Naar ik begreep begint zo'n botnet ergens, een applicatie die de zombies verzamelt en infecteert en dat het die software is die openlijk te koop wordt aangeboden; maar ok, het zal geen shrink-wrapped pakketje zijn wat je bij de Dixons koopt

Ook dat is gedeeltelijk een misvatting. Ja er is ongetwijfeld software te koop waarmee botnets gemaakt kunnen worden, ook wel bekend als internet wormen, virussen en trojans. Maar dat is doorgaans niet de manier waarop dit soort aanvallen opgezet worden. Het maken van een botnet met zoveel pc's zal namelijk tijd kosten. Het kán wel maar het kan ook eenvoudiger.

Wat je veel vaker ziet is dat cybercriminelen zélf een botnet optuigen en de kracht van het botnet als 'dienst' te huur aanbieden. Dan kun je namelijk veel sneller aan de slag als 'klant'.

Cloud schreef op vrijdag 26 april 2013 @ 12:29:
[...]

Zelfs op het nieuws hebben ze dit inmiddels wel door: DDoS aanvallen hebben nul komma nul te maken met 'binnen' raken of hacken. Dat zijn twee compleet verschillende dingen. Nofi, maar voor iemand die schijtziek wordt van de IT-experts op tv, mag je wel iets beter naar ze luisteren. Zo gek is het allemaal echt niet wat ze zeggen

Maar wat nu als als gevolg van zo'n DDoS aanval andere security-services uitvallen, en bij wijze van spreken, de poorten wagenwijd openzetten? Bepaald niet ondenkbaar als je de berichtgeving (FUD, mogelijk) over implementatie van IT-security bij sommige banken mag geloven.

Ik denk dat het gevaar eerder zit in dat een eventuele diepere aanval over het hoofd wordt gezien door DDoS dan dat er ineens firewalls en authenticatiemechanismes openspringen of zo.

Orion84 schreef op vrijdag 26 april 2013 @ 12:46:
Ik denk dat het gevaar eerder zit in dat een eventuele diepere aanval over het hoofd wordt gezien door DDoS dan dat er ineens firewalls en authenticatiemechanismes openspringen of zo.

Dit.

DDoS kan zeer goed als afleiding gebruikt worden.

CynicRelief schreef op vrijdag 26 april 2013 @ 12:42:
Maar wat nu als als gevolg van zo'n DDoS aanval andere security-services uitvallen, en bij wijze van spreken, de poorten wagenwijd openzetten?

Je hebt duidelijk niet genoeg kennis van de materie om commentaar te geven op de "IT experts" van justitie.

Als je met een DDOS attack een server onbereikbaar maakt is die niet opeens 'bereikbaarder' voor criminelen, integendeel.

Verwijderd schreef op vrijdag 26 april 2013 @ 12:49:
DDoS kan zeer goed als afleiding gebruikt worden.

En jij denkt dat het een enorme heksenketel is bij zo'n bank? Neuh, ze weten genoeg van DDOS aanvallen om te snappen dat je weinig anders kunt doen dan de upstream provider het e.e.a. te laten blokkeren en verder de rit uit te zitten.

[ Voor 28% gewijzigd door Hydra op 26-04-2013 12:58 ]

Hydra schreef op vrijdag 26 april 2013 @ 12:56:
[...]


Je hebt duidelijk niet genoeg kennis van de materie om commentaar te geven op de "IT experts" van justitie.

Als je met een DDOS attack een server onbereikbaar maakt is die niet opeens 'bereikbaarder' voor criminelen, integendeel.

Klopt helemaal, maar ik heb wel een geinformeerde mening, en ik word bepaald niet gerustgesteld door de meningen van die experts in de media, als ze zelf ook niet veel verder komen dan 'we kunnen ze onmogelijk opsporen', waar enig googlen laat zien dat er wel degelijk mogelijkheden zijn. Overigens twijfel ik er niet aan dat er achter de schermen kennis van zaken is en hard gewerkt wordt aan deze problemen, en dat de informatie-gang tijdens het rechercheren niet al te publiek kenbaar kan worden gemaakt, zoals die hoogleraar in Nieuwsuur gisteravond terecht opmerkte.

Die google resultaten die je gaf gaan vooral over het traceren van de datastromen van DDoS verkeer, niet zozeer over het opsporen van de daadwerkelijk verantwoordelijke persoon / organisatie.

De belangrijkste bronnen van DDoS verkeer lokaliseren en blokkeren is een mooie ad hoc maatregel om een aanval te verzwakken, maar staat tamelijks los van de juridische opsporing en zal ook maar in beperkte mate helpen bij het voorkomen van toekomstige aanvallen.

Een DDoS aanval vereist niet zo veel manuele acties van de ontvanger dat ik verwacht dat je dat succesvol als afleiding kunt gebruiken. Filtering doet het of de filtering wordt bijgesteld. Daarnaast, belangrijker nog, is het aantal toegangspunten via internet meestal vrij beperkt (als het goed is). Dat betekent dat je als met je DDoS-aanval de toegang bemoeilijkt, dat dus inclusief je eigen toegang zal zijn om te hacken. Dat is een beetje als een verkeersopstopping veroorzaken om de politie minder snel bij de bank te laten komen die je berooft maar zelf met de vluchtauto over dezelfde weg moeten rijden

Natuurlijk kan het zijn dat er uitzonderingen hierop te bedenken zijn maar ik denk dat je het jezelf als hacker alleen maar lastiger maakt om in te breken tijdens een DDoS dan buiten die drukte.

CynicRelief schreef op vrijdag 26 april 2013 @ 13:18:
[...]
Klopt helemaal, maar ik heb wel een geinformeerde mening, en ik word bepaald niet gerustgesteld door de meningen van die experts in de media, als ze zelf ook niet veel verder komen dan 'we kunnen ze onmogelijk opsporen', waar enig googlen laat zien dat er wel degelijk mogelijkheden zijn.

Ik heb geen enkele expert het woord 'onmogelijk' horen noemen hoor. Dat lijkt me inderdaad een bijzonder stomme uitspraak. Wat ze wel zeggen is dat het 'bijzonder moeilijk' is. En dat is het ook.

Zelfs als jij de bron weet te vinden van de aanval, zoals die proof of concept waar je naar linkte, weet je meestal nog steeds niet de opdrachtgever. Tenzij dat dezelfde partij is maar dat hoeft absoluut niet. Wat als de opdracht nu via de telefoon gegeven is? Kortom; er komt echt recherchewerk bij kijken.

Nu kun je stellen dat ze ook blij zijn als ze de aanvaller gevonden hebben maar als je de opdrachtgever niet vindt, kan deze gewoon switchen naar een andere 'DDoS-provider' (bij gebrek aan een beter woord) en het gewoon weer doen

Cloud schreef op vrijdag 26 april 2013 @ 13:24:

[...]

Zelfs als jij de bron weet te vinden van de aanval, zoals die proof of concept waar je naar linkte, weet je meestal nog steeds niet de opdrachtgever. Tenzij dat dezelfde partij is maar dat hoeft absoluut niet. Wat als de opdracht nu via de telefoon gegeven is? Kortom; er komt echt recherchewerk bij kijken.

Nu kun je stellen dat ze ook blij zijn als ze de aanvaller gevonden hebben maar als je de opdrachtgever niet vindt, kan deze gewoon switchen naar een andere 'DDoS-provider' (bij gebrek aan een beter woord) en het gewoon weer doen

Je krijgt denk ik uitsluitsel over de dader, want, even aangenomen dat de bron van de botnet kan worden getraceerd, en er zitten verveelde pubers achter, kan ik me niet voorstellen dat die hun zolderkamer in de hens steken om sporen uit te wissen, waar een criminele organisatie dat wel zou doen, of idd gewoon zou switchen van 'DDos-provider' ... dan ben je nog niet veel verder, maar je kan in elk geval je volgende actie bepalen: verder recherchewerk of pubers oppakken en middagje laten schoffelen

Echter kan het tijdens een DDoS wel gemakkelijker zijn een eventuele man-in-the-middle aanval uit te voeren. Alhoewel nog steeds erg moeilijk, wordt het wel wat makkelijker.

Zelf stoor ik me ook regelmatig aan de experts, alleen moeten die natuurlijk ook een verhaal kunnen vertellen wat zowat iedereen begrijpt. 99.9% van de mensen weet niet eens wat een DDoS is namelijk. En qua opsporing en tracering hebben ze weldegelijk gelijk. Een of meerdere personen achter een DDoS opzoeken is technisch en politiek erg lastig. Meestal is het namelijk internationaal.

Wel vraag ik me af of een bank niet tijdelijk verkeer of inlogpogingen uit het buitenland kan blokkeren wanneer er een DDoS plaatsvind. Zou misschien een flink stuk van de aanvallen afwenden.

Zo maar even een gedachtenspinsel hoor, maar zou er ook niet iets als afpersing/chantage in het spel kunnen zijn? Ik zeg tegen de bank, doe me 10 miljoen anders leg ik je site plat. Bank gaat daar niet in mee en ik leg hun site plat. Bank brengt het afpersingsverhaal natuurlijk niet naar buiten om niet meer mensen op het idee te brengen. Of is dit heel stom gedacht?

BreadFan schreef op vrijdag 26 april 2013 @ 16:42:
Zo maar even een gedachtenspinsel hoor, maar zou er ook niet iets als afpersing/chantage in het spel kunnen zijn? Ik zeg tegen de bank, doe me 10 miljoen anders leg ik je site plat. Bank gaat daar niet in mee en ik leg hun site plat. Bank brengt het afpersingsverhaal natuurlijk niet naar buiten om niet meer mensen op het idee te brengen. Of is dit heel stom gedacht?

Lijkt me heel sterk. Het moment dat je roept "geld of je site plat" gaat de bank wel naar de politie, verspreid een bericht hoe de fork in de steel zit en bereidt zich voor op de shitstorm aan data die er aan gaat komen.

Het is in het verleden weleens gebeurd hoor, dat er zulke dreigementen werden geuit. Bij DoS-aanvallen was dit echter altijd ineffectief omdat, net zoals Firesphere zegt, er gewoon aangifte wordt gedaan en maatregelen werden getroffen.

Wanneer systemen al geïnfiltreerd zijn (door een hacker, trojan, virus, etc) dan is het een ander verhaal en kan het voor een bank (of ander kwetsbaar orgaan) gevaarlijk worden om eerst aangifte te gaan doen. Je hebt op dat moment als security expert (bij het bedrijf) geen weet van op welke schaal het zich allemaal plaatsvind.

alex3305 schreef op vrijdag 26 april 2013 @ 18:05:
[...]

Wanneer systemen al geïnfiltreerd zijn (door een hacker, trojan, virus, etc) dan is het een ander verhaal en kan het voor een bank (of ander kwetsbaar orgaan) gevaarlijk worden om eerst aangifte te gaan doen. Je hebt op dat moment als security expert (bij het bedrijf) geen weet van op welke schaal het zich allemaal plaatsvind.

Op dat moment moet je je, zelfs als security-expert, verlaten op bedrijfspolicies, welke normaliter, hopelijk dan toch, een directe aangifte zullen voorstaan.

Groep dreigt met 'grootste aanval ooit' om arrestatie hacker

Is dus naar aanleiding van nieuws: Nederlander opgepakt voor ddos-aanvallen Spamhaus

Zal dus nog flink wat overlast gaan opleveren als deze groep (waarschijnlijk Anonymous, gok ik zo) dit dreigement gaat waarmaken.

wildhagen schreef op vrijdag 26 april 2013 @ 18:42:
Groep dreigt met 'grootste aanval ooit' om arrestatie hacker

Is dus naar aanleiding van nieuws: Nederlander opgepakt voor ddos-aanvallen Spamhaus

Zal dus nog flink wat overlast gaan opleveren als deze groep (waarschijnlijk Anonymous, gok ik zo) dit dreigement gaat waarmaken.

Nou ja, blij word ik er niet van.. Maar extra aandacht aan het waanidee dat alles wel veilig zou zijn vind ik dan wel mooi meegenomen.

Ik merk in ieder geval dat de mensen om mij heen iets meer beseffen dat het allemaal niet rozengeur en maneschijn is.. en dat de infra van hun belangrijke diensten er zo uit kan liggen.

Dus nee... niet doen want dan krijg ik allemaal weer telefoon... En ja, wel doen want dan blijven de domme opmerkingen "doe niet zo raar, de overheid is echt wel 100% veilig" en "jaja banken kunnen echt niet plat gelegd worden.. je bent paranoia" achterwegen...

prima, laat het maar gebeuren, en dan, aanpakken die gasten

ik bedoel, nu ze niet veel verder lijken te komen dan ddos-aanvallen, speel ze dan nu uit

overigens onderstreept de reactie hierboven de, ik heb het tot noch toe niet willen noemen, incompetentie op dit vlak, waar we mee te maken hebben; ik haal nog maar even een quote aan uit Nieuwsuur van gisteravond: 'ja hoor, er is contact onderling, de beheerder belt een andere beheerder met de vraag: probeer dit es, of dat'

[ Voor 84% gewijzigd door CynicRelief op 26-04-2013 20:03 ]

Ik kan me niet indenken dat het DDoSsen iets te maken heeft met maskeren van hacks. Dan had het zich niet bij zoveel partijen voorgedaan die ieder voor zich een compleet andere infrastructuur hebben. Je breekt niet eerst bij de rabo in om het kunstje doodleuk een week later bij de ING te flikken.

Ik vermoed meer dat er een aantal occupy-achtige lieden een andere manier gevonden hebben om de gevestigde orde te pesten. (gezien de getroffen diensten bij overheid/banken)

alex3305 schreef op donderdag 25 april 2013 @ 15:20:
Aan de andere kant, een RioRey of vergelijkbaar product neerzetten is leuk bij de ISP, maar is niet in alle gevallen goed genoeg. Bij ING werd de DDoS namelijk uitgevoerd door malafide inlogpogingen. Dit is legitiem verkeer met een malafide doel, en dus niet te filteren met extra hardware. Daarnaast moet je begrijpen dat zo'n inlogpoging relatief duur is (qua cpu kracht) en je op die manier dus ook een DoS uit kunt voeren.

Dat is niet waar. Er is ook apparatuur die dat soort zaken kan detecteren. Een Riorey zal dat niet oppikken omdat deze alleen naar netwerk-gebaseerde aanvallen kijkt maar bijvoorbeeld een Arbor of Radware zal dit wel kunnen filteren.

Zou het eigenlijk niet een goede oplossing zijn om het eigenlijke betaal gedeelte van een bank achter een vpn te zetten?
Een ddos word dan onmogelijk.

Waarom wordt een ddos dan onmogelijk? Je kan dan nog steeds de VPN-endpoint ddos-en.... als je maar genoeg nep-handshakes opzet valt de VPN-server ook om door te hoge CPU-load.

VPN zorgt voor encrypted dataverkeer, het is niet bedoeld als anti-ddos maatregel...

Simpel: die dingen zijn duur. Heel duur. Denk, inclusief support/maintenance contracten, licenties etc, al snel aan 100.000 euro tot een veelvoud daarvan, afhankelijk van de uitvoering.

En dat is dus per stuk. Sowieso heb je er 2 nodig voor redundancy. En elke bank heeft minimaal 2 lokaties, dus je hebt er al minimaal 4 nodig (2 op elke lokatie).

Daarnaast hebben die dingen ook een maximum capaciteit. Zoals je kan lezen in de review die je linkt kan het ding theoretisch DDOS-attacks tot 3.6 Gbps aan. Leuk, maar de laatste aanvallen op de banken (iig die in de VS) zaten op 300 Gbps, net als die op Spamhaus. Da's dus een factor 100 meer dan dat het apparaat aan kan.... zul je ze dus moeten clusteren (als ze dat aan kunnen), maar als je ziet dat ze per stuk al minimaal 100.000 euro kosten, en je dus enorme aantallen nodig hebt, kan je zien dat dat niet realistisch is.

Daarnaast houdt een RioRey (of een FortiGate, of een ander merk) lang niet alle soorten DDOS (ja, er zijn meer soorten) even goed tegen, zoals de test ook al aangaf. In het ergste geval heb je dus miljoenen uitgegeven en heb je er nog niks aan...

---

Overigens heb ik zelf bij de IT van een bank gewerkt (nee, ik ga geen namen noemen), en weet ik dat er al best wel een en ander tegen attacks (niet alleen tegen ddos, ook andere vormen) gedaan wordt. En nee, ik ga geen details geven (iets met NDA's etc ).

Maar ergens houdt zoiets op. Op een gegeven moment wordt het een kosten/baten-analyse. Die kosten moeten immers wel worden doorberekend naar de klanten, en dat kan je niet oneindig blijven doen.

[ Voor 17% gewijzigd door wildhagen op 29-04-2013 14:03 ]

Kan iemand ABN bereiken?
Volgens mij hebben ze een probleem... Ik kan niets bereiken.

Jup het is volgens mij weer zo ver, vraag me echt af wat mensen hiermee willen bereiken

Ze zijn bijna een half uur onbereikbaar geweest, nu lijkt alles weer te werken.

* Firesphere heeft z'n rekeningen weer betaald