Staatssecretaris Keijzer: ddos-aanvallen zijn niet te voorkomen
Ddos-aanvallen vinden dagelijks plaats en zijn niet te voorkomen. Wel is het mogelijk om de kwetsbaarheid voor en de impact van dergelijke aanvallen te verkleinen, zo stelt staatssecretaris Keijzer van Economische Zaken. De staatssecretaris reageerde op vragen van de VVD over de recente ddos-aanvallen op Nederlandse internetproviders.
Onder andere Caiway, Delta, Online.nl, Tweak en Freedom Internet waren in september het doelwit van de aanvallen. Daardoor hadden klanten enige tijd geen internet of was er sprake van vertragingen. Volgens Keijzer zijn ddos-aanvallen dagelijks aan de orde. De Nationale DDoS Wasstraat (NaWas), die 2,5 miljoen .nl-domeinen beschermt en waar negentig partijen bij zijn aangesloten, registreerde vorig jaar 919 aanvallen. Een lichte daling ten opzichte van 2018. Wel neemt de intensiteit van de aanvallen toe.
VVD-Kamerlid Weverling wilde van de staatssecretaris weten hoeveel ddos-aanvallen er de afgelopen jaren op het mkb hebben plaatsgevonden. Keijzer kan echter geen cijfer geven, aangezien de NaWas-cijfers niet naar sectoren zijn uit te splitsen. Weverling was ook benieuwd of er een inschatting is te maken van de economische schade als gevolg van de internetverstoringen die ddos-aanvallen veroorzaken.
"Een inschatting van de economische schade als gevolg van een verstoring van het internet als gevolg van een ddos-aanval is niet te maken omdat het afhangt van een groot aantal factoren zoals de omvang van de verstoring, de duur van de verstoring en welke diensten worden getroffen", antwoordt Keijzer daarop. De staatssecretaris voegt toe dat ddos-aanvallen niet zijn te voorkomen, maar het wel mogelijk is om de kwetsbaarheid voor en de impact van ddos-aanvallen te verkleinen. Hierbij is samenwerking tussen overheid en bedrijfsleven cruciaal, zo laat ze weten.
Eindgebruikers
Bij veel ddos-aanvallen worden gecompromitteerde Internet of Things-apparaten ingezet die onderdeel van een botnet zijn. Het VVD-Kamerlid vroeg dan ook of eindgebruikers op dit moment voldoende worden voorgelicht over de noodzaak om hun apparaten te beveiligen en zo te voorkomen dat die worden misbruikt voor het uitvoeren van ddos-aanvallen.
De staatssecretaris merkt op dat de overheid via veiliginternetten.nl en campagnes de bewustwording van burgers op het gebied van cybersecurity wil vergroten. Zo is er de "Doe je updates" campagne waarin gebruikers worden opgeroepen om hun apparaten te updaten. "Door apparaten te updaten beschermen eindgebruikers niet alleen zichzelf. Ze zorgen er ook voor dat apparaten minder kwetsbaar zijn om onderdeel te worden van een botnet waarmee onder meer ddos-aanvallen worden uitgevoerd", merkt Keijzer op.
https://www.tweedekamer.nl/kamerstukken/kamervragen/detail?id=2020D36664
...
Bij veel ddos-aanvallen worden gecompromitteerde Internet of Things-apparaten ingezet die onderdeel van een botnet zijn.
1) Stel beveiligingseisen aan IoT spul.
2) Sluit gebruikers met botnet-elementen af.
Dat is niet 'voorkomen'.
Dat is - zoals de Stas zegt - de kwetsbaarheid voor en de impact van verkleinen .
Wat je wel kan voorkomen is dat de impact groot is, met behulp van partijen zoals jullie die noemen. Daarmee voorkom je niet de ddos-aanval zelf, want die vindt wel degelijk plaats, je houdt de impact klein. Je verzacht de impact dus, en daar is ook een mooi woord voor: mitigeren betekent verzachten.
Peter
Peter
Het probleem is de verschillende basis-diensten waarop het internet gebouwd is.
Zo bestaat 'smurf'-attack; hierbij wordt middels het ICMP-protocol een versterking van data-stroom bewerkstelligd. Dit is amper te stoppen, en de 'attacker' is niet direct zichtbaar. Cloudflare heeft wel een oplossing hiervoor, door packet-drops te doen.
Is dat al geimplementeerd? :-)
Tering naar de nering zetten heet dat.
Peter
Een onbekende kwetsbaarheid publiceren in de software van externe verbindingen laat de gebruikers de systemen zelf uitzetten. Weet je interface zelf onderuit te halen (bijvoorbeeld shellshock) dan lukt dat ook.
Denk eens aan het laten bevriezen van een systeem als een path traversal poging wordt gezien.
Nog steeds je kan de aanvaller niet van zijn pogingen afhouden, je kan enkel wat aan de impact doen.
Peter
Een onbekende kwetsbaarheid publiceren in de software van externe verbindingen laat de gebruikers de systemen zelf uitzetten. Weet je interface zelf onderuit te halen (bijvoorbeeld shellshock) dan lukt dat ook.
Denk eens aan het laten bevriezen van een systeem als een path traversal poging wordt gezien.
Nog steeds je kan de aanvaller niet van zijn pogingen afhouden, je kan enkel wat aan de impact doen.
Bij een path-traversal attempt zou de src-ip meteen op een blacklist moeten worden gezet (voor een periode van 5,10,60 minuten). Dit is een beschikbare feature op Linux-based hosts.
Mensen, wees eens precies in je taalgebruik. Als je een aanval goed weet te blokkeren dan heb je de (ergste) mogelijke gevolgen ervan voorkomen maar je hebt niet de aanval zelf voorkomen, die wordt wel degelijk uitgevoerd.
Dit soort slordigheden werkt enorm in de hand dat digibeten denken dat ICT een soort magie is, want als je zegt dat je een aanval kan voorkomen impliceert dat dat jij op de een of andere manier kan blokkeren dat de aanvaller op al die systemen ergens ver weg zijn aanvalsacties uitvoert, alsof jij bij voorbaat al die gecompromitteerde systemen onder controle hebt en misbruik ervan onmogelijk hebt gemaakt. Hocus pocus. Dat kan je in de verste verte niet, maar dat is wel de boodschap die je geeft door te zeggen dat je de aanval kan voorkomen.
Het werkt tenminste wel altijd. En is niet door een script kiddie vanaf 1000km verderop plat te leggen.
...
Bij veel ddos-aanvallen worden gecompromitteerde Internet of Things-apparaten ingezet die onderdeel van een botnet zijn.
1) Stel beveiligingseisen aan IoT spul.
2) Sluit gebruikers met botnet-elementen af.
Zet UPNP uit en je zit op 99%.
Waarom staan we toe dat er rotzooi aan het internet gehangen wordt?
1) Stel beveiligingseisen aan IoT spul.
2) Sluit gebruikers met botnet-elementen af.
Zet UPNP uit en je zit op 99%.
Daarmee voorkom je geen aanval, maar verlaag je de kwetsbaarheid.
Mensen (klanten) verantwoordelijk maken voor wat ze aan internet hangen.
Maar heel veel mensen vinden het nog steeds 'lang leve de lol' op internet... er vallen immers geen doden... NOG niet...
XS4ALL was een goede hier in. Wanneer iets op jouw verbinding iets stouts deed, werd je gewaarschuwd, na 8 of 24 uur werd je in de zandbak gezet en had je beperkt of geen internet meer.
Zelf ooit hier last van gehad omdat ze bij XS4ALL een beetje dom waren om te geloven dat als je batched SMTP had, dat je dan nog ooit kijkt naar het E-mail adres wat ze er ook bij leverden waar je nooit naar gekeken had. Dus vonden ze het raar dat je niet reageerde op hun E-mails die nooit aankwamen.
Affijn, toen ik erachter kwam in de logging dat mijn linux systeem via een zero-day lek in apache een ander zero day lek in php exploite was het probleem snel gefixed. Duurde nog effe omdat de XS4ALL medewerker het verschil niet kende tussen open relay en open proxy. Open relay was mijn systeem niet omdat er elke 15 minuten vanaf een andere VPS op gecontrolleerd werd (dit nadat ik eerst het altijd-lekke exchange server gedraaid had).
Dus wanneer je meldingen krijgt als ISP dat een van je klanten stoute dingen doet op het internet moet je die gewoon durven af te sluiten. Maar ik heb het idee dat de meeste ISP's in de wereld blij zijn met elke klant die ze nog hebben en zeker niet het risico willen lopen deze kwijt te raken zolang ze er zelf maar niet teveel last van hebben....
En daar zit de crux...
ISP's hebben er in principe weinig last van wanneer hun klanten rommel aan hun verbinding hangen... Als je dat aan pakt, pak je ook de DDOS-ers aan.
En wanneer dat "standaard NAT routertje" nu eens gehackt en aan een botnet gehangen wordt? Daar zit de DoS bandbreedte!
Check deze link: https://spoofer.caida.org/recent_tests.php?as_include=&country_include=nld&no_block=1
Nog steeds heeft 5% van de aanbieders in NL dat niet gewoon aangezet.
Je kunt je eigen provider testen door de client te draaien.(zie: download client software)
En als deze hostingpartijen n beetje verantwoorde bedrijfsvoering hebben, checken ze ook de sites van bedrijven, stichtingen en particulieren die ze hosten.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
