paulv on Tue, 16 Apr 2013 14:37:51 +0200 (CEST)


[Date Prev] [Date Next] [Thread Prev] [Thread Next] [Date Index] [Thread Index]

Re: [Nettime-nl] DDoS-aanvallen op vooral ING: niet geloven/snappen*


Hoi Axel,

Onder die definitie zou je een demonstratie ook kunnen beschouwen
als een 'security breach', aangezien dit ook leid tot geen / minder
beschikbaarheid (idem voor stroomstoringen, masaal zwangerschapsverlof,
een personeelsuitje, etc => ad absurdum).

Een 'personal data breach' zou gemeld moeten worden, maar alleen
geaggregeerd (voor de statestieken) zodat banken/ organisaties 
vergeleken kunnen worden. Als alle gebruikers die voor een phishing 
attack zouden vallen immers opgenomen zouden worden in een publiek 
register, dan zou dan een schending zijn van hun privacy (en je zou 
daarmee een 'nationale dummy lijst' creeren, van mensen die gevoelig
zijn voor social engineering die daardoor waarschijnlijk expliciet 
getarget zouden worden door criminelen). 

Ik ben het verder trouwens (zoals je neem ik aan al weet) met je
eens dat een brede meldingsplicht asap ingevoerd moet worden, op 
Nederlands en Europees niveau.

=paulv


> -----BEGIN PGP SIGNED MESSAGE-----
> Hash: SHA512
> 
> hoi paul,
> 
> ddos wordt beschouwd als een 'security breach' (beschikbaarheid,
> integriteit, vertrouwelijkheid) die je als ING onder een 'meldplicht
> doorbrekingen beveiliging' zou moeten melden. het is namelijk een
> doorbreking in de beschikbaarheid van informatie/communicatie. een
> geslaagde phishing expeditie leidt (meestal) tot een 'personal data
> breach', die je als ING onder een meldplicht datalekken zou moeten
> melden. tenminste, als we niet al meer dan vier jaar wachten op de
> wetgever om beide meldplichten eindelijk in de wet op te nemen.
> 
> informatie asymmetrie?n zijn momenteel de belangrijkste barriere om
> tot zinvol informatiebeveiligingsbeleid te komen. maar liever dan een
> open meldplicht, sluit men gesloten en intransparante publiek-private
> liasons. Nationaal Co?rdinator Terrorisme & Veiligheid kwam vandaar
> met deze parels voor de zwijnen / persbericht van 4 zinnen:
> 
> "Gezamenlijke acties tegen DDos-aanvallen"
> http://www.nctv.nl/actueel/nieuws/nieuwsbericht-20130415.aspx
> 
> 
> Op 4/14/13 4:43 PM, paulv schreef:
> > Op dit moment is http://booter.tw waarschijnlijk de meest bekende,
> > maar het is al heel lang zo dat je idd. simpleweg een DDOS kan
> > bestellen.
> > 
> > Het stukje over het wel of niet 'in de cloud zitten' is natuurlijk
> > niet correct. Alles op het internet zit per definitie in 'de
> > cloud'. Waar die collega waarschijnlijk op doelt is IaaS (zie
> > wikipedia), en dan voornamelijk het vermogen om makkelijk door
> > gehuurde resources snel te kunnen scalen.
> > 
> > Een ddos werd vroeger voornamelijk ingezet om te zieken. Daar is
> > later nog afpersing als business model bijgekomen, maar bij banken
> > is het waar- schijnlijker dat het vooral gebruikt wordt als
> > afleiding om langer de tijd te hebben om gephishde acccounts te
> > kunnen leeghalen.
> > 
> > Sommige DOS'es zijn trouwens unintentional, namelijk als bijeffect
> > van bruteforce attacks: 
> > https://krebsonsecurity.com/2013/04/brute-force-attacks-build-wordpress-botnet/
> >
> > 
> Hier hadden wij ook veel last van, omdat we redelijk veel WP sites hosten.
> > Uiteindelijk hebben we het opgelost door een combinatie van GeoIP,
> > cookies zetten + checken (in de frontends), en rate-limiting. Maar
> > dit koste wel een dagje om te implementeren, aangezien we een nieuw
> > systeem moesten bedenken, bouwen en dit voor de bestaande systemen
> > moesten zetten.
> > 
> > @Axel:
> > 
> > meldplicht security break is hier waarschijnlijk niet aan de orde 
> > omdat het zeer waarschijnlijk niet de security is van de ING die 
> > gebreached is. Als het losse accounts van klanten zijn die
> > gephished zijn, dan heeft dat weinig te maken met de security van
> > de bank, en alles met social engineering.
> > 
> > =paulv
> > 
> > 
> >> Van een colega in de software bedrijf waar ik werk heb ik
> >> vernomen dat iedereen voor weinig geld een ddos aanval kan
> >> bestellen. Ik weet de naam van het bedrijf niet dat dit aanbied,
> >> maar volgens die collega kostte hem niet veel moeite om h te
> >> vinden. Ook wiste hij te vertellen dat ov chipkaart en anderen
> >> ook aangevalen werden, maar omdat die in de cloud zitten, was het
> >> niet zo een probleem. Probleem is dat Ing niet in de cloud kan
> >> ivm privacy. Ik maak me zorgen dat zulke aanvallen als redenen
> >> gebruik kunnen worden voor draconische maateregen tegen vrij
> >> internet.
> > 
> >> Op 11 apr. 2013 11:44 schreef "Axel Arnbak" <a.m.arnbak@uva.nl>
> >> het volgende:
> >> 
> >>> Gezien de opeenvolging van incidenten en de nogal verkeerde
> >>> toon van @ing_webcare gedurende de hele rit, het feit dat
> >>> andere banken nauwelijks getroffen blijken te zijn, is het 
> >>> incompetentietapijt-scenario helemaal niet zo onwaarschijlijk.
> >>> Maar niemand kan er op dit moment iets zinnigs over zeggen,
> >>> omdat ING de information flow controleert (plotten we de timing
> >>> van hun persverklaringen met belangrijke nieuwsuitzending,
> >>> onstaat er *ahem* een interessant patroon).
> >>> 
> >>> Het fundamentelere punt is dus, dat er al zo'n twee jaar
> >>> gepleit wordt om een security breach notification, onder meer
> >>> via de breed gesteunde kamermotie Hennis-Plasschaert. Die zou
> >>> er snel komen, zou er toen nog in 2011 komen, toen sowieso in
> >>> 2012, nu lijkt het erop dat Nederland wacht op Europa (zie
> >>> recente EU Cybersecurity Directive voorstel, duurt minstens
> >>> twee jaar voor implementatie). Omdat de regering een 'wait and
> >>> see' benadering hanteert, gaan ministers en banken samen zitten
> >>> breach-notification'en zonder dat duidelijk is wie welke 
> >>> rapportage zou moeten vertrouwen.
> >>> 
> >>> Hoe je precies zo'n meldplicht moet invullen, hebben we al 10
> >>> jaar empirisch materiaal over. In California is er al een
> >>> meldplicht sinds 2002, waar veel van valt te leren. Maar als
> >>> die conclusie niet uit deze vergadering volgt, is het vrij
> >>> helder hoe de belangen in deze discussie zijn georganiseerd.
> >>> 
> >>> 
> >>> 
> >>> Op 4/11/13 10:56 AM, Koen Martens schreef:
> >>>> On Thu, Apr 11, 2013 at 10:34:52AM +0200, Richard Reekers
> >>>> wrote:
> >>>>> Misschien kunnen jullie, of via jullie, hier vertellen
> >>>>> waarom vooral ING wordt gepakt door, volgens de officiele
> >>>>> lezing, DDos'ers.
> >>>> 
> >>>>> ING is na de overname van Postbank een volksbank; veel
> >>>>> mensen met kleine beurzen worden door de aanvallen
> >>>>> benadeeld en in onzekerheid gebracht. Kennelijk is het de
> >>>>> 'alleged' hackers te doen om onrust te veroorzaken, in
> >>>>> eerste instantie. En dat lukt ze goed. Wat je verder niet
> >>>>> hoort vanuit de mainstream media, is... waarom? Het
> >>>>> Geenstijls c.s. "Omdat het het kan", is niet goed genoeg,
> >>>>> want het schijnt nogal wat voorbereidingstijd/aandacht te
> >>>>> kosten om een DDoS-botnetwerk in te zetten.
> >>>> 
> >>>>> Wie wint erbij als een voormalig-wereldspelende systeembank
> >>>>> uit Noord-West Europa niet meer te e-vertrouwen is?
> >>>> 
> >>>>> In tweede instantie zou je kunnen zeggen: 'follow the
> >>>>> money'. BitCoin kreeg al een fijne 'rally' met
> >>>>> Dijsselboom/Cyprus en dat zette de afgelopen DDoS-dagen
> >>>>> scherp door. 
> >>>>> http://www.bitcoinspot.nl/bitcoin-wisselkoers-euro.html
> >>>>> Maar ik kan mij niet voorstellen dat BitCoin'ers/miners van
> >>>>> het eerste uur dit in de hand hebben gewerkt. Overigens is
> >>>>> de Bitcoinkoers tov de euro gister fors gezakt.
> >>>> 
> >>>>> Dus... wie en waarom?
> >>>> 
> >>>> Tsjah, het blijft gissen. Een paar mogelijkheden:
> >>>> 
> >>>> - criminelen die met phishing bank-details proberen te
> >>>> achterhalen zodat ze je geld kunnen jatten; een mail 'uw
> >>>> account is geblokkeerd, log in op
> >>>> ing-quality.com/fishy-url.php en voer uw gegevens in om
> >>>> toegang tot uw rekening te herstellen' is natuurlijk een stuk
> >>>> geloofwaardiger als je inderdaad niet bij je bankrekening 
> >>>> kunt;
> >>>> 
> >>>> - (tin-foil hat) de overheid, die graag draconische wetten
> >>>> invoert om iedereen op internet in de gaten te kunnen houden
> >>>> heeft natuurlijk baat bij angst en wantrouwen om zulke wetten
> >>>> te verantwoorden;
> >>>> 
> >>>> - anti-kapitalististen die op deze manier het vertrouwen in
> >>>> de financiele sector nog meer willen uithollen;
> >>>> 
> >>>> - een verveelde puber of 'disgruntled ex employee', die er op
> >>>> kickt om het nieuws te beheersen;
> >>>> 
> >>>> - incompetentie van de ING, die dat onder het tapijt vegen
> >>>> door 'cyber-aanvallen' te verzinnen;
> >>>> 
> >>>> - concurrerende bank of overheid, met economische motieven 
> >>>> (image-schade) of politieke/ideologische redenen (economie 
> >>>> destabiliseren om de weg te banen voor World Domination
> >>>> oid).
> >>>> 
> >>>> Of een combinatie daarvan natuurlijk.
> >>>> 
> >>>> Gr,
> >>>> 
> >>>> Koen
> >>>> 
> >>>> -- https://ohm2013.org/            - outdoor hacker
> >>>> conference, August 2013, NL http://www.sonologic.nl/        -
> >>>> hosting and DBA http://koenmartens.nl/          - curriculum
> >>>> vitae https://www.revspace.nl/        - hackerspace in Den
> >>>> Haag, NL http://signal.hackerspaces.org/ - hackerspace radio
> >>>> 
> >>>> ______________________________________________________ *
> >>>> Verspreid via nettime-nl. Commercieel gebruik niet *
> >>>> toegestaan zonder toestemming. <nettime-nl> is een * open en
> >>>> ongemodereerde mailinglist over net-kritiek. * Meer info,
> >>>> archief & anderstalige edities: * http://www.nettime.org/. *
> >>>> Contact: Menno Grootveld (rabotnik@xs4all.nl).
> >>>> 
> >>> -----BEGIN PGP SIGNATURE----- Version: GnuPG/MacGPG2 v2.0.19
> >>> (Darwin) Comment: GPGTools - http://gpgtools.org
> >>> 
> >>> iQIcBAEBCgAGBQJRZoGfAAoJEIrwqhy42JV6w7QQAJHm5fzZBJLdBj2lszYUeH9R
> >>>
> >>> 
> APFxrAdiS37TYFJICxyKD25x9haG6Yz5HCItBTf58yIEi4B/4aHN0lcaNTZm5x0P
> >>> r9iPKsvXeV83R0P3vXtBPEggZ61sHvcdLXo3hXsCk378rCkeMoqzdnXPUVrzFfOm
> >>>
> >>> 
> XKSUyuChL6Obo67HRHIgL58nTYeFF06u9V+z6t9gTCRn7YE0JP5ExFDtC2cu2UUP
> >>> B2gNG6YhK97lV02dB5QC8BX5KCaLM+BmfeLqlkBevt6cLO5Uzrp/efWe/v3isgJ7
> >>>
> >>> 
> e9gdtSMDhGWPm0rAMiX8Ujz+xqomvb03wYvj7xvEd3e26Nz9RcV2y4QdFFUaC7x3
> >>> SCScwiKIEr4YBtT/u92lyD10QP1HpaW1RPhxH95Q3AW9GPENdeMaC2z20fdE6lLJ
> >>>
> >>> 
> j0Rd9unCfHz47aNxgUzcGJZT0UoC91/WX2XCVF0DYdX5QUeJUwQUnFJIdAk0oE9Q
> >>> /x0zI8lTcNFIY4K+mSDlyjE27hVGUCHbm+93YLrNL7W7QHLX1oC5Frr5XC5Z+/u7
> >>>
> >>> 
> 4h9ISJF/L1gwu6OLxqTIMz03pB0/MHs78p5VP312rvUOvZJ0++h7Vr3A6nGiqwl6
> >>> WnWfahJZ3+2KgdurkLGjFtgEbePlH2B/V1kwaNVBj2N2HGMfOuPsqHNBPTGn4xKu
> >>>
> >>> 
> BUmKukYR11I7clHBsjaa
> >>> =htLv -----END PGP SIGNATURE-----
> >>> 
> >>> ______________________________________________________ *
> >>> Verspreid via nettime-nl. Commercieel gebruik niet * toegestaan
> >>> zonder toestemming. <nettime-nl> is een * open en
> >>> ongemodereerde mailinglist over net-kritiek. * Meer info,
> >>> archief & anderstalige edities: * http://www.nettime.org/. *
> >>> Contact: Menno Grootveld (rabotnik@xs4all.nl).
> >>> 
> >> ______________________________________________________ *
> >> Verspreid via nettime-nl. Commercieel gebruik niet * toegestaan
> >> zonder toestemming. <nettime-nl> is een * open en ongemodereerde
> >> mailinglist over net-kritiek. * Meer info, archief & anderstalige
> >> edities: * http://www.nettime.org/. * Contact: Menno Grootveld
> >> (rabotnik@xs4all.nl).
> > 
> > ______________________________________________________ * Verspreid
> > via nettime-nl. Commercieel gebruik niet * toegestaan zonder
> > toestemming. <nettime-nl> is een * open en ongemodereerde
> > mailinglist over net-kritiek. * Meer info, archief & anderstalige
> > edities: * http://www.nettime.org/. * Contact: Menno Grootveld
> > (rabotnik@xs4all.nl).
> > 
> -----BEGIN PGP SIGNATURE-----
> Version: GnuPG/MacGPG2 v2.0.19 (Darwin)
> Comment: GPGTools - http://gpgtools.org
> 
> iQIcBAEBCgAGBQJRbGrEAAoJEIrwqhy42JV6njsP/jlAOXIYGGoPZaEnziNiH4WD
> qeHBxihTiIN3LA7cUPNvzphY3aLlpya8Vh4Avl5Jvud8FX7xoTPFbBhaFUtWC7EJ
> CULMI4ZTOioxDA8wFClxnmgqdmdptiGQUNr1/EtvDFELSqslp0xsWmTPdCiRz0SZ
> p3bk6aqlWzmMVu7hv+TTd4ayPOBajeINK7g2FWuTnMXJhrcuATLHkPlGrEv0PC7V
> UK9QpWmI+qN0/Q63qScxGYTHAsByv/LRBLFcb7TheTpLw35NWQKS5ZrtyLKy6xoI
> RB1Lz8tgSQ3Nnc88a2hlrV2sL7CAmgUYzjVZW5ktD5qKihrFDeSyBIsUWSCTcu+7
> kz1iHlwzVNKy8HEaqSmlOdPPHQ/Llg3A+WKWERa+1PNEll3UZUVX3KrZNAAeyt2f
> ssCogQjJrLTn49gvXPIvzW6n8fG5rhM0V59coZVwmlcE0MKkVIZcAHmlrWBRDPMW
> 9/uNXnXHuhthErOQAaOh8ANc+f4TW6486fWhC7RGqr3ohYhlHaJsGWzVP9R0V/61
> wcYMntgNUAJCRvq5aM+v52V03gP3L8XNGZ8eFtBGXNt4r/Q4WcT45UqXN5GiCHt7
> NQaklO1yI0r8f4ayv47jSAXCH+VrGnQVeqpLMXHE/AN8BcEDqh91WNlUTFta+CfH
> fNZ1GHhCDH2bbxfdnw0A
> =WOx3
> -----END PGP SIGNATURE-----
> 
> ______________________________________________________
> * Verspreid via nettime-nl. Commercieel gebruik niet
> * toegestaan zonder toestemming. <nettime-nl> is een
> * open en ongemodereerde mailinglist over net-kritiek.
> * Meer info, archief & anderstalige edities:
> * http://www.nettime.org/.
> * Contact: Menno Grootveld (rabotnik@xs4all.nl).

______________________________________________________
* Verspreid via nettime-nl. Commercieel gebruik niet
* toegestaan zonder toestemming. <nettime-nl> is een
* open en ongemodereerde mailinglist over net-kritiek.
* Meer info, archief & anderstalige edities:
* http://www.nettime.org/.
* Contact: Menno Grootveld (rabotnik@xs4all.nl).