'Afhankelijkheid banken van Akamai is twijfelachtig' update

Pagina: 1
Acties:

Acties:
  • +2 Henk 'm!

  • kodak
  • Registratie: Augustus 2001
  • Laatst online: 17:46

kodak

FP ProMod
Topicstarter
@Olaf
Ik verbaas me over dit gedeelte in het artikel en dan met namen het gebrek aan journalistiek.
Hoogleraar aan de Universiteit Twente Aiko Pras, die onderzoek doet naar ddos-aanvallen, wijst op de risico's: "Amerikaanse bedrijven zoals Akamai krijgen steeds dieper inzicht in ons betalingsverkeer, terwijl wij kennis kwijtraken." Waarschijnlijk doelt hij op de analyse van tls-verkeer door Akamai voor de detectie en mitigatie van aanvallen.
In het bericht is een quote van een hoogleraar blijkbaar belangrijk genoeg om over te nemen, maar niet belangrijk genoeg om te controleren wat de hooglerar daarmee zou bedoelen? Dat vind ik een opmerkelijke keuze. Als niet precies duidelijk is waarop een reactie doelt, waarom dat dan klakkeloos overnemen en het makkelijk afdoen met wat giswerk als schrijver? Het lijkt mij niet de taak van een redactielid om klakkeloos quotes op te schrijven maar om na te gaan waar die quotes werkelijk op slaan en of dat klopt. Dus waarom dan en het niet controleren en er zelf maar wat bij bedenken wat het zou zijn en het dan belangrijk genoeg vinden om te quoten?

Acties:
  • +2 Henk 'm!

  • Olaf
  • Registratie: Maart 2007
  • Laatst online: 23-07-2024
Ik heb Pras om een toelichting gevraagd maar hij heeft nog niet geantwoord. Afhankelijk van zijn toelichting kan ik een update maken of een nieuw bericht publiceren. In dit bericht ging het met name om de marktconcentratie maar de opmerking van Pras is intrigerend genoeg om dieper te duiken.

Acties:
  • +1 Henk 'm!

  • teacup
  • Registratie: December 2008
  • Laatst online: 23:08

teacup

Moderator General Chat

Think First, Write Later

Graag wil ik op dit punt inhaken. Los van dat @kodak dit (tweede) topic over dit nieuwsbericht maakte heb ik ook met iemand op een bankenforum hierover een dialoog gehad. Wij kunnen de statement van de Twentse hoogleraar, die kodak hieronder al quoteerde, ook niet goed plaatsen. Voor ons was dit echter niet de trigger voor een reaktie. Na het lezen van de CPB rapportage betrapten we ons namelijk beiden op onduidelijkheden in dit rapport. Op zich maakt het rapport wel een onderscheid tussen Application Layer Attacks en de voor ons meer in de media komende Volume Attacks. Onderstaande passages slaan met name terug op die Application Layer Attacks:
Inzage in dataverkeer is nodig om goed en fout verkeer tijdens een ApplicationLayer Attack (ALA) zoveel mogelijk te scheiden. Bij versleuteld dataverkeer – zoals betalingsopdrachten – is in het dataverkeer kijken alleen mogelijk indien diegene die de mitigatie uitvoert, decryptiesleutels bezit. Bij mitigatie door derden worden decryptiesleutels afgestaan. Er vindt dus een afweging plaats tussen betere bescherming en de vertrouwelijkheid/het delen van gegevens van klanten. Dit is onder voorwaarden, opgesteld door De Nederlandsche Bank in de regeling outsourcing, toegestaan. Daarnaast moet vanwege inzicht in persoonsgegevens in het kader van de AVG ook een bewerkersovereenkomst worden gesloten.
en
Detectie is noodzakelijk om een DDoS-aanval te kunnen mitigeren. Detectie van volumeaanvallen (zie kader in paragraaf 3.3) is relatief eenvoudig. Zulke aanvallen gaan namelijk gepaard met ongebruikelijk hoge pieken in het dataverkeer. Voor Application Layer Attacks (ALAs) ligt dit ingewikkelder. Bij een dergelijke aanval is het voornamelijk de inhoud van de data – en niet de hoeveelheid – die voor overlast zorgt. Daardoor is het van de buitenkant minder eenvoudig om te zien dat er iets misgaat. Detectie van nog onbekende typen ALAs is daarom lastiger en de kans op uitval aannemelijker.
Met deze twee alinea's kan een globaal lezer in de veronderstelling komen dat voor 3rd party service providers (cloud) het pareren van Application Layer Attacks net als het ondervangen van Volume Attacks aan de orde van de dag is. Dat, zoals hierboven staat, de Nederlandse Bank dit onder voorwaarden toestaat maakt dit verder aannemelijk.

Is het alleen wel zo aannemelijk dat 3rd party service providers deze rol al hebben? Beiden zijn we geen specialisten hierin, maar door onderstaande argumenten lijkt het ons nog niet waarschijnlijk:
  1. Application Layer Attacks vertegenwoordigen bijna geen volume, moeten dus door patronen in de data worden ontdekt. Hiervoor is decryptie nodig. Buiten het bankdomein is dit ingewikkeld omdat banken hun websites al jaren compleet als SSL aangebieden. Dezelfde vertrouwelijkheid aan de 3rd party service providers (cloud) toekennen zou dit cloud domein effectief binnen het bank domein(?) trekken.
  2. De PSD2 richtlijn stelt dat voor het toegankelijk maken van betalingsgegevens voor derden (daarbij reken ik deze serviceproviders) toestemming nodig is van de klanten. De PSD2 richtlijn is in 2018 ingegaan. Is de regeling outsourcing al aangepast aan deze nieuwe werkelijkheid?
  3. Application Layer Attacks zijn gerichte aanvallen op specifieke organisaties en hun specifieke software. Voor het goed pareren van deze aanvallen is grondige kennis van deze software nodig en van de data die haar wordt aangeboden. De schaalvoordelen die een 3rd party service provider (Cloud) biedt hebben hierbij nagenoeg geen betekenis. Volgens ons is te verwachten dat deze ALAs door de eigen IT van de organisatie worden gepareerd. Kwetsbaarheden zijn hierbij zwakheden in een bepaald CMS of een server platform. Dergelijke kennis delen met een derde partij lijkt ons gevoelig
Kortom, wij zien nog weinig reden om aan te nemen dat encrypted informatie in gevaar is bij 3rd party service providers, omdat die hun werk goed zonder decryptie lijken te kunnen doen. Dan is wel de restrictie dat die partijen zich wel bepalen tot de Volume ddos aanvallen. De afhandeling van ALAs outsourcen lijkt ons ingewikkeld, niet alleen vanwege de kennis overdracht van gevoelige kennis, maar ook de issues rond de privacygevoeligheid die door de nieuwe PSD2 richtlijn ook weer op losse schroeven komt te staan.

Zonder de statement van de Twentse hoogleraar zou het item nog kunnen worden afgedaan als dat de CPB alle typen aanvallen voor het gemak op een hoop zou hebben gegooid. Daar de hoogleraar en de CPB het nog heel goed over totaal verschillende onderwerpen kunnen hebben gehad zijn wij vooral benieuwd naar een toelichting van het CPB op haar rapportage. Het CPB heeft voor ons vooralsnog te weinig concreet gemaakt dat de analyse van ALAs door service providers al gangbaar is.

Wil je een EU leger? Teken dan de petitie Protect us with a European ARMY (Volt EU)