Door Anoniem (luntrus): ... we zullen ook net zo goed veiliger werkwijzen van de echt grote Big Tech bedrijven als Microsoft, Google, facebook, Amazon, CloudFlare e.d. moeten gaan afdwingen, ook en daar waar het ingrijpt in hun core business.
Daar gaat vanalles mis, maar zij zijn niet de typische bronnen van DDoS attacks en, gok ik, onbedoeld medeplichtig aan een relatief klein deel van de wereldwijd verzonden spam. Zolang je genoeg idioten houdt die menen dat je het spamprobleem oplost met spamfilters of technische trucs (zoals SPF, DKIM, DomainKeys en DMARC) in plaats van het bij de
bron aan te pakken, blijven we tobben met malware die door virusscanners vliegt en daarnaast verdwenen legitieme mails die voor spam werden aangezien. Moeten we met DDoS filters dezelfde kant op?
De bulk van spam en DDoS aanvallen is afkomstig van
ontzettend veel huis-tuin-en-keuken PC's en IOT devices van mensen die
wel geld over hebben voor zo een snel mogelijke internetaansluiting, maar totaal geen idee hebben -en ook niet
willen hebben (AKA het interesseert ze geen ruk) - dat hun aansluiting ook als wapen gebruikt wordt of kan worden.
Tegelijkertijd eisen ze netneutraliteit van hun provider (waag het eens om TCP poort 25 voor uitgaand verkeer van thuisaansluitingen dicht te zetten), en willen ze
zeker niet dat de provider meekijkt of via de aansluiting onrechtmatige zaken plaatsvinden (deelnemen aan een botnet of als springplank gebruikt worden door cybercriminelen). Want dan zou BREIN ook wel eens geïnformeerd kunnen worden over illegale activiteiten die
wel plaatsvinden met medeweten van de eigenaar van de aansluiting.
De gangbare infrastructuur is er echter ook niet op ingericht dat we
zelf in de gaten kunnen houden of ongewenst netwerkverkeer onze aansluiting verlaat. Ik zou zelf graag een zo dom (en veilig) mogelijk modem van mijn provider willen hebben, waar ik een router (complexe apparaten met een relatief grote hack-kans) naar keuze op kan aansluiten - en
daartussen een passieve sniffer die verkeer monitort. Bij voorkeur een slim device dat statistieken maakt die ik kan vertrouwen, zodat ik
zelf kan zien of er anomalies optreden. Maar ja, ik ben iemand die dat soort gegevens kan en wil analyseren, en daar ben ik vast een uitzondering in.
Dus aangezien alleen enkele gekken als ik geld willen uitgeven aan iets waarmee ik kan vaststellen of ik
anderen niet tot last ben, zonder daar zelf veel voordeel van te hebben, gaan die oplossingen er niet komen (c.q. blijven onbetaalbaar). Dit probleem lijkt onoplosbaar totdat we, door de overheid, tot iets dergelijks gedwongen worden. Of het alternatief, dat dit een taak is voor de ISP, accepteren.
Het is te makkelijk om de grote jongens overal de schuld van te geven en nooit je hand in eigen boezem te willen steken.
Door Anoniem (luntrus):Technisch is het probleem veel minder gecompliceerd m.i. - best policies gebruiken, goede gedecentraliseerde opvang van systeemonveilkigheid, onveilige en oude of verlaten scripts afvoeren etc. enz.. Developers echt trainen via een security cheat sheets educatie van PHP tot json, jquery, javascript tot python, veel meer ethische debuggers en testers loslaten op de infrastructuur en aankaarten en blijven zeuren en blijven jengelen tot ze er str*ntziek van worden.
Allemaal belangrijk, en natuurlijk moeten ook servers, die onbedoeld amplification attacks ondersteunen, worden aangepakt. Maar dergelijke DDoS bronnen zijn eenvoudig te blacklisten (bij voorkeur zo "upstream" mogelijk). Echter als jouw servers vanaf grote aantallen IP adressen van potentiële klanten onder de voet worden gelopen, vooral als dit gebeurt met het soort verkeer dat echte klanten ook zouden genereren, zit er als bank (of andere organisatie met DDoS risico for phun or profit) niks anders op dan te wachten tot het overgaat. Daar helpt namelijk geen enkel filter tegen en je kunt nou eenmaal niet eindeloos opschalen.
Door Anoniem: ... Dat is wat deze psychopaten doen, en het is niet goed te praten. Echt niet.
Psychopaten kun je redelijk makkelijk opsporen. Wellicht moeten er wat wetten worden aangepast om ze voor gepaste tijd van internet te weren (en te heropvoeden). De pakkans van doortrapte DDoSsende cybercriminelen is echter ongeveer nul. En als je ziet hoe lastig het is om andere landen aansprakelijk te stellen voor grensoverschrijdende misdaad, of überhaupt verdachten uitgeleverd te krijgen, vind ik psychopaten nauwelijks hindelijker dan een mannetjesmug in mijn slaapkamer: knap irritant maar er loopt geen bloed uit (als je ze doodslaat).