image

Staatssecretaris Keijzer: ddos-aanvallen zijn niet te voorkomen

maandag 26 oktober 2020, 15:13 door Redactie, 21 reacties
Laatst bijgewerkt: 26-10-2020, 15:48

Ddos-aanvallen vinden dagelijks plaats en zijn niet te voorkomen. Wel is het mogelijk om de kwetsbaarheid voor en de impact van dergelijke aanvallen te verkleinen, zo stelt staatssecretaris Keijzer van Economische Zaken. De staatssecretaris reageerde op vragen van de VVD over de recente ddos-aanvallen op Nederlandse internetproviders.

Onder andere Caiway, Delta, Online.nl, Tweak en Freedom Internet waren in september het doelwit van de aanvallen. Daardoor hadden klanten enige tijd geen internet of was er sprake van vertragingen. Volgens Keijzer zijn ddos-aanvallen dagelijks aan de orde. De Nationale DDoS Wasstraat (NaWas), die 2,5 miljoen .nl-domeinen beschermt en waar negentig partijen bij zijn aangesloten, registreerde vorig jaar 919 aanvallen. Een lichte daling ten opzichte van 2018. Wel neemt de intensiteit van de aanvallen toe.

VVD-Kamerlid Weverling wilde van de staatssecretaris weten hoeveel ddos-aanvallen er de afgelopen jaren op het mkb hebben plaatsgevonden. Keijzer kan echter geen cijfer geven, aangezien de NaWas-cijfers niet naar sectoren zijn uit te splitsen. Weverling was ook benieuwd of er een inschatting is te maken van de economische schade als gevolg van de internetverstoringen die ddos-aanvallen veroorzaken.

"Een inschatting van de economische schade als gevolg van een verstoring van het internet als gevolg van een ddos-aanval is niet te maken omdat het afhangt van een groot aantal factoren zoals de omvang van de verstoring, de duur van de verstoring en welke diensten worden getroffen", antwoordt Keijzer daarop. De staatssecretaris voegt toe dat ddos-aanvallen niet zijn te voorkomen, maar het wel mogelijk is om de kwetsbaarheid voor en de impact van ddos-aanvallen te verkleinen. Hierbij is samenwerking tussen overheid en bedrijfsleven cruciaal, zo laat ze weten.

Eindgebruikers

Bij veel ddos-aanvallen worden gecompromitteerde Internet of Things-apparaten ingezet die onderdeel van een botnet zijn. Het VVD-Kamerlid vroeg dan ook of eindgebruikers op dit moment voldoende worden voorgelicht over de noodzaak om hun apparaten te beveiligen en zo te voorkomen dat die worden misbruikt voor het uitvoeren van ddos-aanvallen.

De staatssecretaris merkt op dat de overheid via veiliginternetten.nl en campagnes de bewustwording van burgers op het gebied van cybersecurity wil vergroten. Zo is er de "Doe je updates" campagne waarin gebruikers worden opgeroepen om hun apparaten te updaten. "Door apparaten te updaten beschermen eindgebruikers niet alleen zichzelf. Ze zorgen er ook voor dat apparaten minder kwetsbaar zijn om onderdeel te worden van een botnet waarmee onder meer ddos-aanvallen worden uitgevoerd", merkt Keijzer op.

Reacties (21)
26-10-2020, 15:20 door Anoniem
dat is onzin, die zijn wel te voorkomen, alleen daar hangt een prijs kaartje aan. Kijk maar naar cloudflare, ovh google, wat een beest van een netwerken dat zijn geworden
26-10-2020, 15:24 door Anoniem
Hier kun je de originele vragen terugvinden:
https://www.tweedekamer.nl/kamerstukken/kamervragen/detail?id=2020D36664
26-10-2020, 15:27 door ijuliank - Bijgewerkt: 26-10-2020, 15:30
hier ben ik het niet mee eens, ja het kost geld om je er tegen te weren maar dan heb je ook wat... kijk naar cloudflare, google, OVH,... die hebben een ''mega'' netwerk.. en dan is het ''makkelijk'' te voorkomen(filteren)... de grootste die OVH heeft tegen gehouden is 1.2tbps voor 3uur als ik het goed heb zonder enige downtime
26-10-2020, 15:42 door MathFox
Ddos-aanvallen vinden dagelijks plaats en zijn niet te voorkomen.
...
Bij veel ddos-aanvallen worden gecompromitteerde Internet of Things-apparaten ingezet die onderdeel van een botnet zijn.
Waarom staan we toe dat er rotzooi aan het internet gehangen wordt?
1) Stel beveiligingseisen aan IoT spul.
2) Sluit gebruikers met botnet-elementen af.
26-10-2020, 16:01 door Anoniem
Door Anoniem: dat is onzin, die zijn wel te voorkomen, alleen daar hangt een prijs kaartje aan. Kijk maar naar cloudflare, ovh google, wat een beest van een netwerken dat zijn geworden

Dat is niet 'voorkomen'.

Dat is - zoals de Stas zegt - de kwetsbaarheid voor en de impact van verkleinen .
26-10-2020, 16:19 door Anoniem
Door Anoniem: dat is onzin, die zijn wel te voorkomen, alleen daar hangt een prijs kaartje aan. Kijk maar naar cloudflare, ovh google, wat een beest van een netwerken dat zijn geworden
Door ijuliank: hier ben ik het niet mee eens, ja het kost geld om je er tegen te weren maar dan heb je ook wat... kijk naar cloudflare, google, OVH,... die hebben een ''mega'' netwerk.. en dan is het ''makkelijk'' te voorkomen(filteren)... de grootste die OVH heeft tegen gehouden is 1.2tbps voor 3uur als ik het goed heb zonder enige downtime
Moeten ik jullie uitleggen wat het woord voorkomen betekent of moet ik erop wijzen waarop het betrekking had? Ik doe het allebei. Voorkomen betent dat je zorgt dat iets niet gebeurt. Niet dat je het goed buiten de deur weet te houden, maar dat je zorgt dat het om te beginnen al niet gebeurt. Waar het woord hier betrekking op heeft zijn ddos-aanvallen. Wat Keijzer zegt is dat je niet kan zorgen dat er niet eens aan ddos-aanvallen begonnen wordt. Dat klopt gewoon.

Wat je wel kan voorkomen is dat de impact groot is, met behulp van partijen zoals jullie die noemen. Daarmee voorkom je niet de ddos-aanval zelf, want die vindt wel degelijk plaats, je houdt de impact klein. Je verzacht de impact dus, en daar is ook een mooi woord voor: mitigeren betekent verzachten.
26-10-2020, 17:57 door -Peter-
Het is te voorkomen. Door spoofing onmogelijk te maken. Ja, dan zijn in het begin nog wel directe DDoS aanvallen mogelijk, maar dan ken je de IP adressen van de aanvallers. Die verdwijnen dan langzaam maar zeker van het netwerk. Dat zagen we ook toen er misbruik werd gemaakt van memcached voor rDDoS aanvallen.

Peter
26-10-2020, 18:15 door Anoniem
Door -Peter-: Het is te voorkomen. Door spoofing onmogelijk te maken. Ja, dan zijn in het begin nog wel directe DDoS aanvallen mogelijk, maar dan ken je de IP adressen van de aanvallers. Die verdwijnen dan langzaam maar zeker van het netwerk. Dat zagen we ook toen er misbruik werd gemaakt van memcached voor rDDoS aanvallen.

Peter

Het probleem is de verschillende basis-diensten waarop het internet gebouwd is.

Zo bestaat 'smurf'-attack; hierbij wordt middels het ICMP-protocol een versterking van data-stroom bewerkstelligd. Dit is amper te stoppen, en de 'attacker' is niet direct zichtbaar. Cloudflare heeft wel een oplossing hiervoor, door packet-drops te doen.
26-10-2020, 18:25 door Anoniem
Ik heb ooit een gerenommeerde security visionair horen zeggen dat de 'smart blockchain' kan worden ingezet tegen DDoS aanvallen ....
Is dat al geimplementeerd? :-)
26-10-2020, 18:50 door Anoniem
Dus maar beter stoppen met dat verder "smart" maken van hele maatschappelijke functies in steden.
Tering naar de nering zetten heet dat.
26-10-2020, 19:10 door karma4
Door -Peter-: Het is te voorkomen. Door spoofing onmogelijk te maken. Ja, dan zijn in het begin nog wel directe DDoS aanvallen mogelijk, maar dan ken je de IP adressen van de aanvallers. Die verdwijnen dan langzaam maar zeker van het netwerk. Dat zagen we ook toen er misbruik werd gemaakt van memcached voor rDDoS aanvallen.

Peter
De meest eenvoudige DDos aanval hoeft niet eens met een overlaod aan berichtenverkeer te gebeuren.
Een onbekende kwetsbaarheid publiceren in de software van externe verbindingen laat de gebruikers de systemen zelf uitzetten. Weet je interface zelf onderuit te halen (bijvoorbeeld shellshock) dan lukt dat ook.
Denk eens aan het laten bevriezen van een systeem als een path traversal poging wordt gezien.

Nog steeds je kan de aanvaller niet van zijn pogingen afhouden, je kan enkel wat aan de impact doen.
26-10-2020, 20:05 door Anoniem
Door Anoniem: dat is onzin, die zijn wel te voorkomen, alleen daar hangt een prijs kaartje aan. Kijk maar naar cloudflare, ovh google, wat een beest van een netwerken dat zijn geworden
Dat valt dan ook niet onder het voorkomen, maar onder het mitigeren van de impact.
26-10-2020, 20:30 door Anoniem
Door karma4:
Door -Peter-: Het is te voorkomen. Door spoofing onmogelijk te maken. Ja, dan zijn in het begin nog wel directe DDoS aanvallen mogelijk, maar dan ken je de IP adressen van de aanvallers. Die verdwijnen dan langzaam maar zeker van het netwerk. Dat zagen we ook toen er misbruik werd gemaakt van memcached voor rDDoS aanvallen.

Peter
De meest eenvoudige DDos aanval hoeft niet eens met een overlaod aan berichtenverkeer te gebeuren.
Een onbekende kwetsbaarheid publiceren in de software van externe verbindingen laat de gebruikers de systemen zelf uitzetten. Weet je interface zelf onderuit te halen (bijvoorbeeld shellshock) dan lukt dat ook.
Denk eens aan het laten bevriezen van een systeem als een path traversal poging wordt gezien.

Nog steeds je kan de aanvaller niet van zijn pogingen afhouden, je kan enkel wat aan de impact doen.

Bij een path-traversal attempt zou de src-ip meteen op een blacklist moeten worden gezet (voor een periode van 5,10,60 minuten). Dit is een beschikbare feature op Linux-based hosts.
27-10-2020, 06:11 door Anoniem
Door -Peter-: Het is te voorkomen. Door spoofing onmogelijk te maken. Ja, dan zijn in het begin nog wel directe DDoS aanvallen mogelijk, maar dan ken je de IP adressen van de aanvallers.
Dan is het dus niet te voorkomen. Het maakt het makkelijker om een lopende ddos-aanval aan te pakken, maar het voorkomt niet dat die uitgevoerd wordt. Voor de duidelijkheid: het "het" dat al dan niet voorkomen kan worden slaat op ddos-aanvallen, we hadden het over de stelling van Mona Keijzer die in de kop boven dit artikel staat.

Mensen, wees eens precies in je taalgebruik. Als je een aanval goed weet te blokkeren dan heb je de (ergste) mogelijke gevolgen ervan voorkomen maar je hebt niet de aanval zelf voorkomen, die wordt wel degelijk uitgevoerd.

Dit soort slordigheden werkt enorm in de hand dat digibeten denken dat ICT een soort magie is, want als je zegt dat je een aanval kan voorkomen impliceert dat dat jij op de een of andere manier kan blokkeren dat de aanvaller op al die systemen ergens ver weg zijn aanvalsacties uitvoert, alsof jij bij voorbaat al die gecompromitteerde systemen onder controle hebt en misbruik ervan onmogelijk hebt gemaakt. Hocus pocus. Dat kan je in de verste verte niet, maar dat is wel de boodschap die je geeft door te zeggen dat je de aanval kan voorkomen.
27-10-2020, 06:59 door Anoniem
Goh... misschien is 'papier' toch niet zo heel slecht.
Het werkt tenminste wel altijd. En is niet door een script kiddie vanaf 1000km verderop plat te leggen.
27-10-2020, 09:21 door Anoniem
Door MathFox:
Ddos-aanvallen vinden dagelijks plaats en zijn niet te voorkomen.
...
Bij veel ddos-aanvallen worden gecompromitteerde Internet of Things-apparaten ingezet die onderdeel van een botnet zijn.
Waarom staan we toe dat er rotzooi aan het internet gehangen wordt?
1) Stel beveiligingseisen aan IoT spul.
2) Sluit gebruikers met botnet-elementen af.
Een standaard NAT routertje van je ISP voorkomt 90% van deze ellende al in Nederland.
Zet UPNP uit en je zit op 99%.
27-10-2020, 10:06 door MathFox
Door Anoniem:
Door MathFox:
Waarom staan we toe dat er rotzooi aan het internet gehangen wordt?
1) Stel beveiligingseisen aan IoT spul.
2) Sluit gebruikers met botnet-elementen af.
Een standaard NAT routertje van je ISP voorkomt 90% van deze ellende al in Nederland.
Zet UPNP uit en je zit op 99%.
En wanneer dat "standaard NAT routertje" nu eens gehackt en aan een botnet gehangen wordt? Daar zit de DoS bandbreedte!
27-10-2020, 10:14 door Anoniem
dat is onzin, die zijn wel te voorkomen, alleen daar hangt een prijs kaartje aan. Kijk maar naar cloudflare, ovh google, wat een beest van een netwerken dat zijn geworden

Daarmee voorkom je geen aanval, maar verlaag je de kwetsbaarheid.
27-10-2020, 10:15 door Anoniem
Er is een hele makkelijke oplossing.
Mensen (klanten) verantwoordelijk maken voor wat ze aan internet hangen.
Maar heel veel mensen vinden het nog steeds 'lang leve de lol' op internet... er vallen immers geen doden... NOG niet...

XS4ALL was een goede hier in. Wanneer iets op jouw verbinding iets stouts deed, werd je gewaarschuwd, na 8 of 24 uur werd je in de zandbak gezet en had je beperkt of geen internet meer.

Zelf ooit hier last van gehad omdat ze bij XS4ALL een beetje dom waren om te geloven dat als je batched SMTP had, dat je dan nog ooit kijkt naar het E-mail adres wat ze er ook bij leverden waar je nooit naar gekeken had. Dus vonden ze het raar dat je niet reageerde op hun E-mails die nooit aankwamen.

Affijn, toen ik erachter kwam in de logging dat mijn linux systeem via een zero-day lek in apache een ander zero day lek in php exploite was het probleem snel gefixed. Duurde nog effe omdat de XS4ALL medewerker het verschil niet kende tussen open relay en open proxy. Open relay was mijn systeem niet omdat er elke 15 minuten vanaf een andere VPS op gecontrolleerd werd (dit nadat ik eerst het altijd-lekke exchange server gedraaid had).

Dus wanneer je meldingen krijgt als ISP dat een van je klanten stoute dingen doet op het internet moet je die gewoon durven af te sluiten. Maar ik heb het idee dat de meeste ISP's in de wereld blij zijn met elke klant die ze nog hebben en zeker niet het risico willen lopen deze kwijt te raken zolang ze er zelf maar niet teveel last van hebben....
En daar zit de crux...

ISP's hebben er in principe weinig last van wanneer hun klanten rommel aan hun verbinding hangen... Als je dat aan pakt, pak je ook de DDOS-ers aan.
27-10-2020, 15:33 door Anoniem
Door MathFox:
En wanneer dat "standaard NAT routertje" nu eens gehackt en aan een botnet gehangen wordt? Daar zit de DoS bandbreedte!
En hoe vaak worden die standaard routertjes nu gehacked? Het is als, als ,als
27-10-2020, 20:36 door Anoniem
Wat al helpt is als hosting bedrijven ipSpoofing voorkomen door n eenvoudige instelling.
Check deze link: https://spoofer.caida.org/recent_tests.php?as_include=&country_include=nld&no_block=1
Nog steeds heeft 5% van de aanbieders in NL dat niet gewoon aangezet.

Je kunt je eigen provider testen door de client te draaien.(zie: download client software)

En als deze hostingpartijen n beetje verantwoorde bedrijfsvoering hebben, checken ze ook de sites van bedrijven, stichtingen en particulieren die ze hosten.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.