Waarom doe je de foutieve aanname dat die diensten niet achter een ddos bescherming zitten? En cloudflare is in deze uit den boze omdat ze de https sessie willen afhandelen, oftewel ze willen de verbinding termineren met het certificaat van de bank... Dat zou een hele slechte keuze zijn, ook in verband met de 25e mei (AVG).

Wat ik maar niet begrijp is dat die jochies daar mee doorgaan terwijl ze toch weten dat er vroeg of laat een paar
agenten de deur komen inrammen om 5 uur s'ochtends...

Liability / Aansprakelijkheid dingetje. Een bank wil niet zijn certificaten delen met derden (althans niet zomaar).

Type gegevens? Security? Zou eigenlijk al voldoende moeten zijn om cloudflare meteen niet te gebruiken.

Vergelijk https://tls.imirhil.fr/https/abnamro.nl eens met https://tls.imirhil.fr/https/cloudflare.com

Is het je duidelijk het kritieke DES3 protocol bij cloudflare! DES-CBC3-SHA onveilig!

Niet alles in de cloud is een veiligheidsverbetering. Het blijft altijd afwegen en her-overwegen.

luntrus

Men zou iets op nationaal of Europees niveau kunnen regelen of samenwerken met exchanges en providers om iets goeds op te zetten. Probleem: dit kan heel lang duren of veel geld kosten. Tevens blijft men vatbaar voor DoS op applicatie niveau. Omdat er weinig gedaan lijkt te worden zijn de preventie kosten wellocht hoger dan de effecten van de aanval.

Daarom dus. Overigens gebruiken banken genoeg mitigatie middelen zoals Akamai en Verizon anti DDoS. DDoS aanvallen worden echter steeds gecompliceerder en zwaarder.

De banken zouden ook zelf een soort cloudflare op kunnen zetten zodat ze die zelf onder beheer hebben.

Gezien de maatschappelijke impact, een middag geen Internet bankieren, Ideal of digitaal afrekenen in een winkel voor een hele natie bij een bepaalde bankinstelling afstraffen met een taakstrafje van 120 uur, zet natuurlijk geen zoden aan de dijk ter ontmoediging van eventuele daders.

Even buiten het feit van hoe staatshackers van vreemde mogendheden aan te pakken zouden zijn.

Een dDos-je is te gemakkelijk uit te voeren, de lat zou hoger moeten komen te liggen. Men klaagt steen en been om het verlies van privacy en toename van sleepwetten, maar anderzijds laten we het maar gebeuren.

Waarom worden er in het geval van cybercrime, en daar rekenen we dit toch zeker toe, net zoals scammen, phishen en spammen daartoe kunnen worden gerekend, niet harder opgetreden en hebben de voorgestelde of bestaande maatregelen nauwelijks indammend effect.

Beter zou het zijn een dDosser, phisher, scammer of spammer een slechte Internet conduitestaat te geven, waardoor deze een eventuele maatschappelijke carrière wel kan schudden, sociaal marginaliseren die hap- hier mag men op de Chinese mainland manier tegen ingaan, wellicht dat het helpt - "one strike out"- beleid.

Jodocus Oyevaer

@13:37: 'one-strike-out' beleid? En dan wij zeker 40 jaar lang betalen voor zijn/haar detentie? Harder straffen heeft alleen zin als de dader ook in dezelfde jurisdictie woont. Een Russische staatshacker haalt zijn schouders nog niet op voor Nederlandse wetgeving, die is toch onaantastbaar. Plus dat jouw voorstel in feite 'wraakrecht' is, zoals dat ook in de VS wordt gehanteerd. Dat levert totaal niks op, anders dan compleet doorgedraaide mensen als ze nog eens vrijkomen (wil jij die als buurman?).
Het eigenlijke probleem is dat het huidige internet feitelijk FUBAR is. Gebouwd in een tijd waarin authenticatie en autorisatie nog nergens nodig waren en men geen rekening hield met foutief of crimineel gebruik.
https://medium.com/message/everything-is-broken-81e5f33a24e1

Dit is het idee waar ik mee liep toen ik deze vraag stelde. Het is erg makkelijk om ddos-aanvallen uit te voeren en het komt steeds vaker voor dat grote organisaties met een belangrijke maatschappelijke functie niet bereikbaar zijn.

Is het niet is tijd dat er een eigen initiatief komt vanuit bijvoorbeeld de banken-sector zodat de bot-nets steeds groter moeten worden om succesvol websites uit de lucht te krijgen?

De laatste zin in meer bekeken vanuit het vraag aanbod principe. Als er grotere botnets nodig zijn om succesvol websites uit de lucht te halen komt er meer schaarste aan de vraag kant en gaan de kosten/investeringen die nodig zijn ook omhoog.
Als ik nu met een relatief klein botnet van bijvoorbeeld 10.000 hosts abn-amro uit de lucht kan krijgen en na het bouwen van een "secure cloud" initiatief van de bankensector zijn er 100.000 hosts/bots nodig is de drempel voor het uitvoeren van ddossen hoger en komt er meer krapte aan de vraagkant.

Ik snap dat met IOT en andere ontwikkelingen er steeds meer devices 'connected' zijn en relatief makkelijk te ownen waardoor botnets in de toekomst ook in omvang groeien. Het blijft natuurlijk altijd een kat-en-muis spel. Maar zolang alle belangrijke organisaties hun krachten niet bundelen blijven ddossen steeds frequenter voor komen en neemt de kracht van een DDOS steeds verder toe, dus ik denk dan: Neem maatregelen om in ieder geval de drempel voor een succesvolle DDOS te verhogen!
Wellicht dat de overheid dit samen met het bedrijfsleven moet oppakken.

Nu terug naar mijn voorbeeld van cloudflare: Het heeft inderdaad nadelen maar het is wel erg effectief tegen ddos aanvallen. Is er ergens een 'midden' te vinden met een goede balans tussen privacy en beveiliging tegen ddos aanvallen zodat de drempel voor een succesvolle aanval hoger ligt.

Ik zie veel mensen afgeven op de DDoSser, mogelijk opnieuw "Jelle" (zowel hierboven als in https://tweakers.net/nieuws/138975/abn-amro-kampt-met-storing-door-ddos-aanval.html), maar je zou kunnen stellen dat hij of zij ons een dienst bewijst...

Hij of zij bewijst namelijk dat onze infrastructuur niet bestand is tegen dit soort aanvallen, iets waar meer geavanceerde vijanden dankbaar gebruik zullen kunnen maken op het moment dat hen dat uitkomt.

De kern van het probleem is natuurlijk NIET dat een site niet bestand is tegen een DDoS aanval, maar dat er zoveel gecomprimitteerde devices aan internet hangen - inclusief in Nederland (waardoor geo-filters nauwelijks of geen zin hebben in het geval van een aanval).

DAT is het probleem dat we eens flink zouden moeten aan aanpakken. Scheelt ook een hoop spam (zelfs als die meuk, door spamfilters, net je inbox niet weet te bereiken, wordt daar een boel energie en netwerkcapaciteit mee verspild).

Ten slotte is het in het belang van de bezitters van de gecomprimitteerde devices als die worden aangepakt, alhoewel sommigen daar hun schouders over zullen ophalen - maar doe het dan toch maar om de rest van het Internet te beschermen.

Als het echt weer die Jelle is dan kan hij ons nog een veel grotere dienst bewijzen door zich onder psychiatrische
behandeling te stellen. Mensen die dit soort dingen doen de sporen gewoon niet, "aantonen dat iets niet bestand is
tegen aanvallen" dat doet een normaal mens niet.

Beste Bitwiper,

Als anoniem van 15:59 gelijk heeft dat hard aanpakken of "lik op stuk" beleid alleen maar script-kiddies in gevaarlijk zieke en gefrustreerde mensen kan omzetten en dus volgens deze poster geen optie is, hoe moeten we dan het "fubar" probleem echt aan gaan pakken?

Ik denk dat het niet alleen kan door de onveiligheid op Internet en alles wat er "smart" of niet aangehangen hangt op te lossen, maar we zullen ook net zo goed veiliger werkwijzen van de echt grote Big Tech bedrijven als Microsoft, Google, facebook, Amazon, CloudFlare e.d. moeten gaan afdwingen, ook en daar waar het ingrijpt in hun core business.

Voor de graai CEO is security "a last resort thing" en zit security vaak bij zijn plannetjes die hij heeft met het minder geïnformeerde en gefortuneerde deel van de bevolking (the dumb f*cks, zoals facebook's M.Z. dze denigrerend noemt) in de weg. De "custodians" doen vervolgens veel te weinig en collaboreren als ze de kans krijgen vervolgens lustig met de (groot)graaiers mee.

Dan hebben we ook nog te maken met de krachten achter DARPA, NSA en noem alle andere "meeglurende ogen" maar op, verder ook FSB en aanverwante diensten, die op hele bergen "fubar" zitten om hun spionnage programma's te kunnen draaien en faciliteren.

Wat moet er dus veranderen, om dat veilig(er) te krijgen? Is het onbegonnen werk en waar begin je het eerst? Ik denk persoonlijk bij de eindgebruiker en via educatie en eerlijke informatie om daarna te zorgen, dat de grote fascistoïde Big Tech multinationals niet maar langer kunnen doen wat ze willen en teruggefloten worden waar ze de massa het meest pijn doen.

Het blijft een zeer moeilijk en zeer gecompliceerd probleem, dat uiteindelijk gewonnen moet worden door "alle mensen van goeden wille". Want de 1 op de 10 psychopaten van mannelijke kunnen en de 1 op de 100 vrouwen zonder enige empathie krijg je daarin niet mee en die zitten nu juist vaak oververtegenwoordigd in het beslissingssegment.

Technisch is het probleem veel minder gecompliceerd m.i. - best policies gebruiken, goede gedecentraliseerde opvang van systeemonveilkigheid, onveilige en oude of verlaten scripts afvoeren etc. enz.. Developers echt trainen via een security cheat sheets educatie van PHP tot json, jquery, javascript tot python, veel meer ethische debuggers en testers loslaten op de infrastructuur en aankaarten en blijven zeuren en blijven jengelen tot ze er str*ntziek van worden.

luntrus

Jelle vroeg vorig jaar zelfs om hulp, topic is gematched aan gebruiker van tweakers beheerder. https://gathering.tweakers.net/forum/list_messages/1820361

Als ze hem laten lopen, kunnen we nog meer van deze verslaafde ddos'ser verwachten. Wellicht is de verslavingszorg een betere instelling voor hem.

Vergelijk het met een losliggende stoeptegel. Iedereen weet dat je daar over kan vallen. Bel de gemeente en laat ze het repareren. Een probleem vinden op een website terwijl je gewoon rondsurft, is redelijk gelijk met die stoeptegel. Netjes melden! Een omatje zou haar heup kunnen breken...

Er is niets mis met het aantonen van iets wat niet bestand is tegen aanvallen (dat is mijn werk). Maar dat kan en mag alleen na overleg met de desbetreffende partij.

DDoS aanvallen moeten gewoon zwaar bestraft worden (zodat NL/EU kinderen en domme volwassenen er mee ophouden).
Dan blijft er alleen de georganiseerde misdaad over. Daar moeten bedrijven en banken gewoon tegen kunnen. Bijvoorbeeld verkeer uit NL (of per ISP) over een andere infrastructuur dan wereldwijd verkeer. Hier zullen banken en bedrijven vanzelf iets op vinden, als ze vaak genoeg slachtoffer worden van kleutergedrag (DDoS-es).

Vergelijk het eens met een drum benzine. Iedereen weet dat benzine behoorlijk brandbaar is. Dus gooi je een drum benzine
om op de markt en steekt em in de hens en dan ga je claimen dat een marktplein niet bestand is tegen een brandende
drum benzine en ga je de gemeente of de brandweer in een kwaad daglicht stellen.

Dat is wat deze psychopaten doen, en het is niet goed te praten. Echt niet.

Daar gaat vanalles mis, maar zij zijn niet de typische bronnen van DDoS attacks en, gok ik, onbedoeld medeplichtig aan een relatief klein deel van de wereldwijd verzonden spam. Zolang je genoeg idioten houdt die menen dat je het spamprobleem oplost met spamfilters of technische trucs (zoals SPF, DKIM, DomainKeys en DMARC) in plaats van het bij de bron aan te pakken, blijven we tobben met malware die door virusscanners vliegt en daarnaast verdwenen legitieme mails die voor spam werden aangezien. Moeten we met DDoS filters dezelfde kant op?

De bulk van spam en DDoS aanvallen is afkomstig van ontzettend veel huis-tuin-en-keuken PC's en IOT devices van mensen die wel geld over hebben voor zo een snel mogelijke internetaansluiting, maar totaal geen idee hebben -en ook niet willen hebben (AKA het interesseert ze geen ruk) - dat hun aansluiting ook als wapen gebruikt wordt of kan worden.

Tegelijkertijd eisen ze netneutraliteit van hun provider (waag het eens om TCP poort 25 voor uitgaand verkeer van thuisaansluitingen dicht te zetten), en willen ze zeker niet dat de provider meekijkt of via de aansluiting onrechtmatige zaken plaatsvinden (deelnemen aan een botnet of als springplank gebruikt worden door cybercriminelen). Want dan zou BREIN ook wel eens geïnformeerd kunnen worden over illegale activiteiten die wel plaatsvinden met medeweten van de eigenaar van de aansluiting.

De gangbare infrastructuur is er echter ook niet op ingericht dat we zelf in de gaten kunnen houden of ongewenst netwerkverkeer onze aansluiting verlaat. Ik zou zelf graag een zo dom (en veilig) mogelijk modem van mijn provider willen hebben, waar ik een router (complexe apparaten met een relatief grote hack-kans) naar keuze op kan aansluiten - en daartussen een passieve sniffer die verkeer monitort. Bij voorkeur een slim device dat statistieken maakt die ik kan vertrouwen, zodat ik zelf kan zien of er anomalies optreden. Maar ja, ik ben iemand die dat soort gegevens kan en wil analyseren, en daar ben ik vast een uitzondering in.

Dus aangezien alleen enkele gekken als ik geld willen uitgeven aan iets waarmee ik kan vaststellen of ik anderen niet tot last ben, zonder daar zelf veel voordeel van te hebben, gaan die oplossingen er niet komen (c.q. blijven onbetaalbaar). Dit probleem lijkt onoplosbaar totdat we, door de overheid, tot iets dergelijks gedwongen worden. Of het alternatief, dat dit een taak is voor de ISP, accepteren.

Het is te makkelijk om de grote jongens overal de schuld van te geven en nooit je hand in eigen boezem te willen steken.


Allemaal belangrijk, en natuurlijk moeten ook servers, die onbedoeld amplification attacks ondersteunen, worden aangepakt. Maar dergelijke DDoS bronnen zijn eenvoudig te blacklisten (bij voorkeur zo "upstream" mogelijk). Echter als jouw servers vanaf grote aantallen IP adressen van potentiële klanten onder de voet worden gelopen, vooral als dit gebeurt met het soort verkeer dat echte klanten ook zouden genereren, zit er als bank (of andere organisatie met DDoS risico for phun or profit) niks anders op dan te wachten tot het overgaat. Daar helpt namelijk geen enkel filter tegen en je kunt nou eenmaal niet eindeloos opschalen.

Psychopaten kun je redelijk makkelijk opsporen. Wellicht moeten er wat wetten worden aangepast om ze voor gepaste tijd van internet te weren (en te heropvoeden). De pakkans van doortrapte DDoSsende cybercriminelen is echter ongeveer nul. En als je ziet hoe lastig het is om andere landen aansprakelijk te stellen voor grensoverschrijdende misdaad, of überhaupt verdachten uitgeleverd te krijgen, vind ik psychopaten nauwelijks hindelijker dan een mannetjesmug in mijn slaapkamer: knap irritant maar er loopt geen bloed uit (als je ze doodslaat).

Dank Bitwiper voor je duidelijke reactie van 22.12 heden,

Behalve dan in het geval dat er veel meer Bitwipers komen, die hun traffic analyseren via sniffers en wellicht met Snyk,
zie ik nog niet veel hoop gloren voor de nabije toekomst of het moet echt eens een keer giga-gigantisch
uit de klauwen gaan lopen via wat jij noemt een echt grote 'cyber-meziken'-plaag.

Het is waar, buiten het veld van "want zij die niet slapen" (ken je dat lied overigens?), interesseert het niet velen.

Niet veel mensen zitten zelf hun dhcp server in te kloppen, als eigen leermodel en voor de eigen gemoedsrust.

Maar ja, mensen zoals Bitwiper en nog een stel moeten er wel zijn, anders wordt het helemaal naargeestig online, wat security betreft.

luntrus

Het internet hangt aan elkaar van protocollen die duizenden keren gevisioneerd zijn. Houtje-touwtje. Daar komen alleen meer lagen op. Het wordt nergens opnieuw ontwikkelt (aanvang bij onderste OSI lagen). Het internet is niet gebouwd met security in mind.

Komt bij, mijn vermoeden dat de 'mensen met de macht' (de controlefreaks) graag zien dat iedereen omschakelt naar internetgebaseerd bankieren en als iedereen hiervan afhankelijk gemaakt is, dan kunnen ze zelf een false-flag cyberaanval organiseren op alle grote banken waardoor de beurzen kelderen en een cryptovaluta opgelegd kan worden. Dit gaat gebeuren. Ze geven de schuld aan 15 jarigen om het publiek te laten wennen (informeren over wat een DDoS aanval is).
Daarna komt de digitale munt in een SDR basket die meteen een einde maakt aan corruptie (als er geen wiskundige backdoors ingebakken zijn) en een einde aan privacy. Maar misschien wordt de wereld eerlijker als iedereen elkaars transacties kan zien... ik geloof daar wel in.

Hou toch eens op met die niet ter zake doende opmerkingen!
Het probleem is helemaal NIET dat er iets kapot KAN. Het probleem is dat er gasten zijn die dingen die niet onverwoestbaar
zijn KAPOT WILLEN MAKEN. DAT moet je aanpakken. Anders blijft het tobben want er is maar weinig onverwoestbaar
en als je maatregelen neemt om het degelijker te maken dan schuiven die mispunten ook door naar het volgende level.

Er wordt ook regelmatig een fout gemaakt die grote gevolgen kan hebben. Routering issues of kapingen al dan niet met opzet kunnen grote gevolgen hebben. Dat heeft er voornamelijk mee te maken dat het huidige internet niet bedacht is/was in het verleden. Maar om dat soort "Design" issues op te lossen, is heel erg lastig en zeer complex. Kijk alleen maar eens hoe lastig het is om IPv6 uit te rollen.

Eh? Die gasten kunnen dat niet op hun eentje, daar hebben ze een botnet voor nodig.

Als je zo'n GAST in plaats van BOTNETS aanpakt, heb je binnenkort de volgende gek.

Of een Rus, die geen redenen heeft om te twijfelen aan de Russische staatsmedia die zeggen bewijs te hebben dat MH17 door Oekraïners is neergehaald - en wij Nederlanders de Russen daarvan beschuldigen omdat Oekraïne een bijna-NAVO-bondgenoot is. Zie dat soort gasten maar eens aan te pakken...

Aanvulling:
Of een Turk die vindt dat wij teveel anti-Erdogan zijn.
Of de volgende cybercrimineel die banken probreert af te persen.
Etcetera...

ehm...nawasstraat installeren; pre-emptive attack installeren; schade direct verhalen op de hacker; hacker geen toegang meer geven tot enige bank in Nederland.
Dat zal ze leren want je moet iemand altijd toespreken in een taal die hij/zij begrijpt nietwaar!?
;)

Er wordt altijd een hoop gefilosofeerd over hoe er vreemde mogendheden achter die DDoS zouden zitten of grote
criminelen, maar in werkelijkheid is het gewoon je buurjongen die een gedragsstoornis heeft.
Je moet de dingen niet groter maken dan ze zijn, dan wordt het probleem alleen maar erger.
Kijk maar naar terrorisme, dat zou ook geen probleem zijn als er wat reëeler mee werd omgegaan door media en politiek.

wat een kolder... dat is het zelfde als zeggen dat alle auto's maar met kogelwerend glas moeten worden uitgerust omdat je er ander zo makkelijk in kan inbreken door er een baksteen doorheen te gooien. De infra van een bedrijf (bank) in dit geval is berekend op een bepaalde hoeveelheid verkeer + nog wat extra voor als het druk is. Die is niet berekend op de hoeveelheid data die een DDoS met zich mee brengt. Dat kan natuurlijk wel maar ja dan ga je heel veel meer betalen voor je rekening en dat wil je natuurlijk ook niet. Maar om nou alles te gaan afstellen op die paar gekkies die zich niet aan de regels willen houden dat lijkt mij nou ook niet de beste oplossing. Denk dat je verder komt met een grotere pakkans (is lastig weet ik) en zwaardere straffen (celstaffen i.p.v. taakstraffen).

Dat is totaal niet hetzelfde; daar moet je fysiek voor aanwezig zijn bij die auto (gaat niet vanaf een zolderkamertje waar dan ook ter wereld) en ik zeg ook niet dat het slachtoffer maatregelen moet nemen om e.e.a. te voorkomen.

Als je het dan met stenen-naar-auto-gooiers wil vergelijken, dan is het nog steeds niet mijn advies om autoruiten van kogelvrij glas te nemen, maar EERST hoge hekken op bruggen en viaducten te zetten en/of zorgen dat daar geen stenen voor het oprapen liggenen. Pas DAARNA zou ik proberen de daders te pakken. Want net zoals idioten of cybercriminelen over de grens, is de pakkans voor stenengooiers klein - dus het beste wat je kan doen is hen het zo moeilijk mogelijk maken.

Botnets zijn sowieso afgijselijke dingen. Zie bijvoorbeeld https://www.security.nl/posting/563402/FBI+adviseert+om+routers+te+rebooten+wegens+VPNFilter-malware.

Kom eens met goede argumenten waarom het aanpakken van botnets minder zinvol is dan het oppakken van puistenkoppen?

Het blijft dweilen met de kraan open. Zodra een DdoS-lek gedicht is, vinden kwaadwillenden en masse wel andere gaten in een systeem. Geen kruid noch kruit tegen gewassen. Het wordt van kwaad tot erger. Zolang de saldo's en onze privégegevens veilig zijn, valt er nog mee te leven.

Als de salarissen van de topbestuurders bij de banken niet zo exorbitant blijven stijgen, is het ook financieel nog wel even op te brengen.