Managed hosting door True
Deze opinie is van een externe deskundige. De inhoud vertegenwoordigt dus niet noodzakelijk het redactionele gedachtegoed van de redactie.

Overheid moet DDoS-aanvallen aanpakken

De afgelopen weken is er veel fout gegaan bij de banken. Dit kan niemand zijn ontgaan. Toch verbaas ik mij over het feit dat zowel journalisten als het grote publiek de schuld neerleggen bij de banken. Veel mensen schijnen van mening te zijn dat bedrijven zulke DDoS-aanvallen zelf moeten tegengaan en de problemen dus ook zelf kunnen oplossen. Maar DDoS-aanvallen op banken is niets nieuws.

Grote Amerikaanse banken hebben hier namelijk al bijna een jaar mee te kampen. De beveiligingsproblemen aan de kant van de slachtoffers zijn dus lastiger te tackelen dan men in eerste instantie denkt. De aanpak van deze nationale uitdagingen ligt wat mij betreft dan ook eerder bij de overheid.

De bron van de problemen is dat miljoenen mensen en bedrijven geïnfecteerde pc’s (blijven) gebruiken. DDoS-aanvallen zijn immers niet mogelijk zonder een computer waar al virussen en dergelijke op staan. De infectie zet de deur als het ware wagenwijd open voor aanvallen. Deze pc’s verkrijgen internet-toegang via internet service providers (isp’s). Deze isp’s bieden de hackers daarmee dus indirect de kans om banken wereldwijd via enorme hoeveelheden besmette pc’s aan te vallen.

Het lijkt mij daarom verstandig als isp’s de toegang van pc’s tot hun netwerk beter monitoren. Zo zouden zij een pc die niet over een recent antivirus- of antimalware-programma beschikt, de toegang tot het grote netwerk kunnen ontzeggen. Gezien de - veelal gratis - beschikbare beveiligingsprogramma’s, kunnen pc-gebruikers hun computer zonder veel moeite beschermen tegen virussen en zo verdere verspreiding tegengaan. Een dergelijke en redelijk simpele oplossing roeit uiteraard niet alle bestaande virussen en malware uit, maar het weigeren van toegang tot internet voor besmette pc’s maakt het voor de boeven in ieder geval wel een stuk moeilijker om bedrijven (en dus banken) massaal aan te vallen.

De overheid kan hierbij ingrijpen. Zij vraagt immers aan isp’s om voor uiteenlopende redenen al het dataverkeer op te slaan. Overheden zouden isp’s dan ook moeten verplichten om mee te werken en pc’s te monitoren om toegang tot het netwerk vrij van infecties te houden. Als de verspreiding van virussen en daarmee DDoS-aanvallen op deze manier vermindert, dan hebben we daar allemaal profijt van.

Dit artikel is afkomstig van Computable.nl (https://www.computable.nl/artikel/4708887). © Jaarbeurs IT Media.
?

 

Reacties

Ben het met je eens dat ISP's een rol kunnen spelen in het voorkomen van DDOS aanvallen, het enige nadeel is dat als je dit in Nederland doet, maar in andere landen niet het nog niet veel zin heeft. Botnet's zijn verspreid over de hele wereld, dus dan zou er ook een wereldwijde aanpak moeten zijn.

Daarnaast vinden we allemaal belangrijk om een open internet te hebben en houden. Iemand verplichten tot anti virus (en dus blokkeren als hij het niet heeft) is niet echt meer open. Hoe vervelend ook, ik denk dat blokkeren niet de oplossing is.

Overigens DDOS is misschien niet te voorkomen, maar je kan het wel zo moeilijk mogelijk maken. Er zijn tal van anti DDOS oplossingen verkrijgbaar in de markt, en ik vind ook zeker dat hier een rol ligt van de banken zelf. 100% veilig is een utopie, maar als je weet dat je een interessant doelwit bent dan kun je wel zorgen dat je alles goed beveiligd.

De kluis is ook niet beveiligd met alleen een simpel slotje...

Dan zou een anti-virus voorziening onderdeel moeten worden van elk abonnement bij een ISP ? Levert dat niet weer zijn eigen problemen op ? Zou dit een voorgeschreven type virusscanner moeten zijn ? Wat zijn dan de grenzen van de dienst. Zou hier bijvoorbeeld ook een IDS/IPS aan toegevoegd kunnen worden, en noem naar op. Moet die ook gelden als je een exotisch besturingssysteem hebt (of is dat juist reden om -bij gebrek aan aanvalsvectoren, voor een korting in aanmerking te komen) ?

Ik vind dat je als computergebruiker verantwoordelijk moet kunnen worden gehouden voor de schade die je met je computer aanricht. Als je de sleutel in je voordeur laat zitten hoef je ook niet bij je verzekering aan te kloppen als er ingebroken is. Anders blijft het toch een beetje een geval van de spreekwoordelijke tovernaarsleerling. De uitdaging is om de techniek zo eenvoudig en veilig te maken dat dit voor een groot publiek bruikbaar wordt. Dat zie ik nu nog veel te weinig.

Als er nu had gestaan dat de overheid wat moet doen aan opsporing - prima.
Maar de geschetste aanpak om bedrijven en overheid toegang te geven tot alle computers in Nederland om de software te controleren is onnavolgbaar ridicuul. We moeten onze voordeur niet meer op slot doen, maar de sleutel laten zitten zodat de politie binnen kan kijken of we kostbaarheden goed zijn beveiligd.
Veel eindgebruikers zijn niet voldoende technisch om anti-virussoftware te installeren en ook nog eens adequaat te laten werken. Diezelfde eindgebruiker verantwoordelijk maken lijkt me ook onzinnig een individuele eindgebruiker kan ook niet de schuldige zijn in bijv. een DDoS aanval.
Is het dan de bedoeling een toelatingsexamen in te stellen voor computer gebruik?
Terug naar de ouderwetse mobile telefoon natuurlijk, al die onbeschermde smart-phones moeten ook de wereld uit.

Veel mensen weten helemaal niet dat hun Device (PC/tablet/etc) onderdeel is van een botnet. Virusscanners zijn ook niet 100% effectief. Maar ik kan me prima voorstellen dat ISP's lijsten hebben met verdachte IP-adressen en evt. zelf black-list adressen.
Gebruikers informeren dat hun machine verdacht verkeer genereert zou al een hoop bewustwording opleveren bij gebruikers en hopelijk ook de verwachte installatie van de benodigde software. (Je kan nog wat discussie voeren over de definitie van verwacht).
Zou houd je de boel open maar toch veiliger.

Verder zouden banken in NL natuurlijk best zaken kunnen gaan doen met de grote nationale aanbieders en hiermee rechtstreekse verbindingen opzetten.
Bij DDOS krijgt verkeer van de min-of-meer vertrouwde netwerken voorrang op verkeer van de (toch vaak buitenlandse) botnets. DDOS-ende clients kunnen dan alsnog door hun ISP aangesproken worden.

Sluit me volledig bij Willem aan.
De schrijver is blijkbaar zo naief dat deze niet beseft dat Ddos niet op te lossen valt. Dus verwachten dat een overheid dit wel zou kunnen blinkt niet uit in enig besef.
Enige wat ze kunnen doen om proberen om cyber-criminelen op te sporen en te straffen ter afschrikking.

Wat online financiele fraude betreft is het eigenlijk hetzelfde als met creditcard fraude. Daar gaan jaarlijks tientallen miljarden wereldwijd verloren maar het vervangen van het systeem kost een veelvoud daarvan.

Marcel,

Dat de overheid een taak heeft in het bestrijden van (internet)criminaliteit staat buiten de discussie maar banken en bedrijven dienen ook zelf hun verantwoordelijkheid te nemen. En dat Internet een anarchistisch netwerk is lijkt me ook niet een ontdekking van de laatste maanden dus is de grote afhankelijkheid ervan toch wel enigzins dubieus. En zoals voorgaande reacties al stellen lijkt het me dweilen met de kraan open om dit probleem via Nederlandse ISP's of PC's op te lossen, de aanval op Spamhaus vorige maand maakt dat al duidelijk.

@Sjoerd, @Willem : Ben het niet met jullie eens.

ISP's zouden software aan hun klanten aan kunnen bieden in de vorm van virusscanner / extra firewall. Of een Agent die verdacht gedrag (of van de router) een signaal afgeeft zodat de klant benaderd kan worden voor hulp. Daarmee geef je absoluut geen "sleutels" van huizen weg en wordt er ook geen privacy geschonden.

en DDOS (tot op zekere niveaus) is wel degelijk op te lossen, maar vaak hangt daar ook een prijskaartje aan.

Artikel is niet slecht en poneert een gedachte die wellicht ergens toe leidt. Je moet ook ergens beginnen.

DDos wordt niet alleen vanuit bot nets uitgevoerd en virus en geinfecteerd is geen noodzaak tot het uitvoeren van een DDos. Een oproep naar mensen om iets de DDossen is ook al een mogelijkheid en denk ook aan het huren van wat cloud servers. De aanval op Spamhaus van laatst was volgens mij ook niet van een botnet.

@Henri

Het zal voor een ISP relatief moeilijk zijn als een computer als drone acteert als deze via conventionele poorten werkt. Zoals het ophalen van commando's/updates via een twitterfeed of een webpagina. Oftewel de schier oneidelijke mogelijkheden om te ontdekken dat een computer geinfecteerd is maakt het simpelweg te gecompliceerd.
DPI is ook niet wenselijk en een (onnodige) financiele belasting voor de ISP.

Een mogelijkheid is wel om via een bijv Spamhaus te kijken naar welke domeinen/IP's verkeer gaat en daar een risicoanalyse op los te laten. Maar zelfs dan is het nog slechts een vermoeden.

Dus wat dat betreft is het beweren dat een ISP zoiets maar zou moeten kunnen oplossen een puur populistische en/of naieve uitspraak. Als het zo simpel zou zijn dan hebben ze er alle belang bij om dit ook daadwerkelijk uit te voeren. Maar als ze significant veel moeten investeren om daar beter op te kunnen acteren met de voorkennis dat het relatief ineffectief is dan komen die kosten uiteindelijk bij de klant terecht die niet goed te verantwoorden zijn.

ISP's zijn bijv al wettelijk verplicht zijn om van al hun klanten logfiles van gemaakte connecties te bewaren, maar ze moeten de kosten daarvoor ook zelf dragen. Die worden uiteraard doorberekend dus feitelijk mogen klanten betalen om zichzelf te laten loggen.

Beveiliging kan nooit waterdicht zijn en omdat de meeste beveiligingsoplossing reactief werken en achter lopen op de hackers en bot creators, zal de kans dat er iets gebeurt blijven bestaan en feitelijk alleen maar groter worden.
Er moet dus iets fundamenteels veranderen aan de basis van de problemen en niet reactief.

Dus eerst zal er wereldwijd beleid moeten komen voor het schrijven van software met beveiliging als basis en niet op basis van een piepsysteem, reactief. Er zijn relatief simpele maatregelen te bedenken om installatie van botnet's op willekeurige PC's te voorkomen.
Vervolgens zal er gekeken moeten worden hoe ddos attacks op een basaal niveau kan worden geblokkeerd bij cruciale instellingen zoals Banken, Luchtvaartmaatschappijen, etc. Door deze organisaties te ontregelen wordt de samenleving ontregeld. Ik heb hier wel gedachten over en denk dat op een basaal niveau in het IP protocol maatregelen kunnen worden getroffen om DDOS te voorkomen, maar er zijn meer maatregelen te bedenken.
Interceptie bij ISP of andere reactieve maatregelen zie ik iet als oplossing, maar als pleister op de wond. Overheidsmaatregelen lijken mij zinloos en niet relevant.

Computable Expert
Marcel den Hartog

Marcel den Hartog
Senior Principal Product Marketing EMEA, CA Technologies. Expert van Computable voor het topic Development.
Hele profiel

Vacatures

Stuur door

Stuur dit artikel door

Je naam ontbreekt
Je e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×