www.nettime.org
Nettime mailing list archives

Re: [Nettime-nl] DDoS-aanvallen op vooral ING: niet geloven/snappen*
Axel Arnbak on Thu, 25 Apr 2013 00:09:09 +0200 (CEST)


[Date Prev] [Date Next] [Thread Prev] [Thread Next] [Date Index] [Thread Index]

Re: [Nettime-nl] DDoS-aanvallen op vooral ING: niet geloven/snappen*


-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512

Op 4/16/13 4:07 PM, paulv schreef:
> Notificaties naar eindgebruikers lijkt me niet meer dan een
> logisch uitgangspunt, aangezien getrofen gebruikers in staat
> gesteld moeten worden om de impact van datalekken op te vangen
> (bijv. extra checks op afschriften als een creditcard nummer gelekt
> is).
> 

Vanavond was een
AO cybersecurity in de Tweede Kamer van een zorgwekkend niveau. Het is
een moeilijk onderwerp, maar zelfs op alle straghtforward zaken neemt
niemand de lead. Nederlandse security breach notification uitgesteld,
men wacht (nog een jaar of twee) op Europa. Men besloot zelfs minder
te vergaderen, meer over te laten aan private sector en departement.
Curieus allemaal.


> Qua incentives voor bedrijven zou het te overwegen zijn om
> 'maximale damages' in de wet vast te leggen mits een bedrijf zich
> aan de meldplicht gehouden heeft (bijvoorbeeld maximaal N maal het
> bedrag dat betaald wordt voor een service per jaar). Dat is een
> harde incentive om te melden, aangezien bedrijven anders mogelijk
> aansprakelijk gesteld kunnen worden voor afgeleide schade als een
> lek niet gemeld is. Dit is natuurlijk vooral relevant in een land
> met een claimcultuur.
> 

Interessante suggestie!

> Axel: Heb je recommended reading over de lessen die geleerd zijn in
> California?
> 

Ja! Alles van Deirdre Mulligan:
http://www.ischool.berkeley.edu/people/faculty/deirdremulligan het
proefschrift van david thaw en dit stuk van Jane Winn:
http://ssrn.com/abstract=1416222

> =paulv
> 
> 
>> Helemaal eens, schreef al:
>> 
>>>>>> Hoe je precies zo'n meldplicht moet invullen, hebben we
>>>>>> al 10 jaar empirisch materiaal over. In California is er
>>>>>> al een meldplicht sinds 2002, waar veel van valt te
>>>>>> leren.
>> 
>> De duivel is met iedere wetgeving in de details. Heel belangrijk
>> is bijvoorbeeld, dat je incentives cre?ert zodat niet alleen de
>> eerlijken rapporteren, maar ook de dodgy partijen (dat liep mis
>> in VS). Kortom, handhaving  en substanti?le sancties bij
>> non-rapporteren. Anders zal meerderheid bedrijven niet
>> rapporteren, omdat er dan ook geen aansprakelijkheid/schade valt
>> te reconstrueren. Allemaal veel minder ingewikkeld dan het lijkt,
>> maar de lobby is natuurlijk ijzersterk. Iedere serieuze
>> wetenschapper steunt dit al jaren.
>> 
>> Zit ineens te denken, wat nou als we het oplossen zoals de NLse
>> netneutraliteit bepaling: meldingsplicht in voordeel fundamentele
>> rechten eindgebruiker. Dus geen openbare registers met getroffen
>> eindgebruikers, maar wel een notificatie (niet alleen naar
>> Opstelten maar ook) naar eindgebruikers met de mededeling: dit is
>> er gebeurt, dit moet je doen ('verander nu je wachtwoord' oid).
>> Daarmee ondervang je perverse effecten die je terecht schetst,
>> zorg je dat gemiddelde eindgebruiker weet wat hem/haar te doen
>> staat en krijgt samenleving te weten of banken systemen brak
>> beveiligen, of dat er daadwerkelijk sprake is van een extreem
>> geavanceerde hack. Ddos afslaan is arielekst, maar zeker te doen.
>> 
>> 
>> - A.M. Arnbak, LL.M. http://www.ivir.nl/staff/arnbak.html 
>> http://www.twitter.com/axelarnbak New PGP Key 31FBA62B
>> 
>> 
>> -----Original Message----- From: nettime-nl-bounces {AT} nettime.org
>> [mailto:nettime-nl-bounces {AT} nettime.org] On Behalf Of paulv Sent:
>> dinsdag 16 april 2013 14:30 To: nettime-nl {AT} nettime.org Subject:
>> Re: [Nettime-nl] DDoS-aanvallen op vooral ING: niet
>> geloven/snappen*
>> 
>> Hoi Axel,
>> 
>> Onder die definitie zou je een demonstratie ook kunnen beschouwen
>> als een 'security breach', aangezien dit ook leid tot geen /
>> minder beschikbaarheid (idem voor stroomstoringen, masaal
>> zwangerschapsverlof, een personeelsuitje, etc => ad absurdum).
>> 
>> Een 'personal data breach' zou gemeld moeten worden, maar alleen
>> geaggregeerd (voor de statestieken) zodat banken/ organisaties
>> vergeleken kunnen worden. Als alle gebruikers die voor een
>> phishing attack zouden vallen immers opgenomen zouden worden in
>> een publiek register, dan zou dan een schending zijn van hun
>> privacy (en je zou daarmee een 'nationale dummy lijst' creeren,
>> van mensen die gevoelig zijn voor social engineering die daardoor
>> waarschijnlijk expliciet getarget zouden worden door criminelen).
>> 
>> 
>> Ik ben het verder trouwens (zoals je neem ik aan al weet) met je
>> eens dat een brede meldingsplicht asap ingevoerd moet worden, op
>> Nederlands en Europees niveau.
>> 
>> =paulv
>> 
>> 
> hoi paul,
> 
> ddos wordt beschouwd als een 'security breach' (beschikbaarheid, 
> integriteit, vertrouwelijkheid) die je als ING onder een
> 'meldplicht doorbrekingen beveiliging' zou moeten melden. het is
> namelijk een doorbreking in de beschikbaarheid van
> informatie/communicatie. een geslaagde phishing expeditie leidt
> (meestal) tot een 'personal data breach', die je als ING onder een
> meldplicht datalekken zou moeten melden. tenminste, als we niet al
> meer dan vier jaar wachten op de wetgever om beide meldplichten
> eindelijk in de wet op te nemen.
> 
> informatie asymmetrie?n zijn momenteel de belangrijkste barriere om
>  tot zinvol informatiebeveiligingsbeleid te komen. maar liever dan
> een open meldplicht, sluit men gesloten en intransparante
> publiek-private liasons. Nationaal Co?rdinator Terrorisme &
> Veiligheid kwam vandaar met deze parels voor de zwijnen /
> persbericht van 4 zinnen:
> 
> "Gezamenlijke acties tegen DDos-aanvallen" 
> http://www.nctv.nl/actueel/nieuws/nieuwsbericht-20130415.aspx
> 
> 
> Op 4/14/13 4:43 PM, paulv schreef:
>>>>> Op dit moment is http://booter.tw waarschijnlijk de meest
>>>>> bekende, maar het is al heel lang zo dat je idd. simpleweg
>>>>> een DDOS kan bestellen.
>>>>> 
>>>>> Het stukje over het wel of niet 'in de cloud zitten' is
>>>>> natuurlijk niet correct. Alles op het internet zit per
>>>>> definitie in 'de cloud'. Waar die collega waarschijnlijk op
>>>>> doelt is IaaS (zie wikipedia), en dan voornamelijk het
>>>>> vermogen om makkelijk door gehuurde resources snel te
>>>>> kunnen scalen.
>>>>> 
>>>>> Een ddos werd vroeger voornamelijk ingezet om te zieken.
>>>>> Daar is later nog afpersing als business model bijgekomen,
>>>>> maar bij banken is het waar- schijnlijker dat het vooral
>>>>> gebruikt wordt als afleiding om langer de tijd te hebben om
>>>>> gephishde acccounts te kunnen leeghalen.
>>>>> 
>>>>> Sommige DOS'es zijn trouwens unintentional, namelijk als
>>>>> bijeffect van bruteforce attacks: 
>>>>> https://krebsonsecurity.com/2013/04/brute-force-attacks-build-wordpr
>>>>>
>>>>> 
ess-botnet/
>>>>> 
>>>>> 
> Hier hadden wij ook veel last van, omdat we redelijk veel WP sites
> hosten.
>>>>> Uiteindelijk hebben we het opgelost door een combinatie van
>>>>> GeoIP, cookies zetten + checken (in de frontends), en
>>>>> rate-limiting. Maar dit koste wel een dagje om te
>>>>> implementeren, aangezien we een nieuw systeem moesten
>>>>> bedenken, bouwen en dit voor de bestaande systemen moesten
>>>>> zetten.
>>>>> 
>>>>>  {AT} Axel:
>>>>> 
>>>>> meldplicht security break is hier waarschijnlijk niet aan
>>>>> de orde omdat het zeer waarschijnlijk niet de security is
>>>>> van de ING die gebreached is. Als het losse accounts van
>>>>> klanten zijn die gephished zijn, dan heeft dat weinig te
>>>>> maken met de security van de bank, en alles met social
>>>>> engineering.
>>>>> 
>>>>> =paulv
>>>>> 
>>>>> 
>>>>>> Van een colega in de software bedrijf waar ik werk heb ik
>>>>>> vernomen dat iedereen voor weinig geld een ddos aanval
>>>>>> kan bestellen. Ik weet de naam van het bedrijf niet dat
>>>>>> dit aanbied, maar volgens die collega kostte hem niet
>>>>>> veel moeite om h te vinden. Ook wiste hij te vertellen
>>>>>> dat ov chipkaart en anderen ook aangevalen werden, maar
>>>>>> omdat die in de cloud zitten, was het niet zo een
>>>>>> probleem. Probleem is dat Ing niet in de cloud kan ivm
>>>>>> privacy. Ik maak me zorgen dat zulke aanvallen als
>>>>>> redenen gebruik kunnen worden voor draconische maateregen
>>>>>> tegen vrij internet.
>>>>> 
>>>>>> Op 11 apr. 2013 11:44 schreef "Axel Arnbak"
>>>>>> <a.m.arnbak {AT} uva.nl> het volgende:
>>>>>> 
>>>>>>> Gezien de opeenvolging van incidenten en de nogal
>>>>>>> verkeerde toon van  {AT} ing_webcare gedurende de hele rit,
>>>>>>> het feit dat andere banken nauwelijks getroffen blijken
>>>>>>> te zijn, is het incompetentietapijt-scenario helemaal
>>>>>>> niet zo onwaarschijlijk. Maar niemand kan er op dit
>>>>>>> moment iets zinnigs over zeggen, omdat ING de
>>>>>>> information flow controleert (plotten we de timing van
>>>>>>> hun persverklaringen met belangrijke nieuwsuitzending,
>>>>>>> onstaat er *ahem* een interessant patroon).
>>>>>>> 
>>>>>>> Het fundamentelere punt is dus, dat er al zo'n twee
>>>>>>> jaar gepleit wordt om een security breach notification,
>>>>>>> onder meer via de breed gesteunde kamermotie
>>>>>>> Hennis-Plasschaert. Die zou er snel komen, zou er toen
>>>>>>> nog in 2011 komen, toen sowieso in 2012, nu lijkt het 
>>>>>>> erop dat Nederland wacht op Europa (zie recente EU
>>>>>>> Cybersecurity Directive voorstel, duurt minstens twee
>>>>>>> jaar voor implementatie). Omdat de regering een 'wait
>>>>>>> and see' benadering hanteert, gaan ministers en banken
>>>>>>> samen zitten breach-notification'en zonder dat 
>>>>>>> duidelijk is wie welke rapportage zou moeten
>>>>>>> vertrouwen.
>>>>>>> 
>>>>>>> Hoe je precies zo'n meldplicht moet invullen, hebben we
>>>>>>> al 10 jaar empirisch materiaal over. In California is
>>>>>>> er al een meldplicht sinds 2002, waar veel van valt te
>>>>>>> leren. Maar als die conclusie niet uit deze vergadering
>>>>>>> volgt, is het vrij helder hoe de belangen in deze
>>>>>>> discussie zijn georganiseerd.
>>>>>>> 
>>>>>>> 
>>>>>>> 
>>>>>>> Op 4/11/13 10:56 AM, Koen Martens schreef:
>>>>>>>> On Thu, Apr 11, 2013 at 10:34:52AM +0200, Richard
>>>>>>>> Reekers wrote:
>>>>>>>>> Misschien kunnen jullie, of via jullie, hier
>>>>>>>>> vertellen waarom vooral ING wordt gepakt door,
>>>>>>>>> volgens de officiele lezing, DDos'ers.
>>>>>>>> 
>>>>>>>>> ING is na de overname van Postbank een volksbank;
>>>>>>>>> veel mensen met kleine beurzen worden door de
>>>>>>>>> aanvallen benadeeld en in onzekerheid gebracht.
>>>>>>>>> Kennelijk is het de 'alleged' hackers te doen om
>>>>>>>>> onrust te veroorzaken, in eerste instantie. En dat
>>>>>>>>> lukt ze goed. Wat je verder niet hoort vanuit de
>>>>>>>>> mainstream media, is... waarom? Het Geenstijls c.s.
>>>>>>>>> "Omdat het het kan", is niet goed genoeg, want het
>>>>>>>>> schijnt nogal wat voorbereidingstijd/aandacht te
>>>>>>>>> kosten om een DDoS-botnetwerk in te zetten.
>>>>>>>> 
>>>>>>>>> Wie wint erbij als een voormalig-wereldspelende
>>>>>>>>> systeembank uit Noord-West Europa niet meer te
>>>>>>>>> e-vertrouwen is?
>>>>>>>> 
>>>>>>>>> In tweede instantie zou je kunnen zeggen: 'follow
>>>>>>>>> the money'. BitCoin kreeg al een fijne 'rally' met
>>>>>>>>> Dijsselboom/Cyprus en dat zette de afgelopen
>>>>>>>>> DDoS-dagen scherp door. 
>>>>>>>>> http://www.bitcoinspot.nl/bitcoin-wisselkoers-euro.html
>>>>>>>>>
>>>>>>>>> 
Maar ik kan mij niet voorstellen dat BitCoin'ers/miners van het
>>>>>>>>> eerste uur dit in de hand hebben gewerkt. Overigens
>>>>>>>>> is de Bitcoinkoers tov de euro gister fors gezakt.
>>>>>>>> 
>>>>>>>>> Dus... wie en waarom?
>>>>>>>> 
>>>>>>>> Tsjah, het blijft gissen. Een paar mogelijkheden:
>>>>>>>> 
>>>>>>>> - criminelen die met phishing bank-details proberen
>>>>>>>> te achterhalen zodat ze je geld kunnen jatten; een
>>>>>>>> mail 'uw account is geblokkeerd, log in op
>>>>>>>> ing-quality.com/fishy-url.php en voer uw gegevens in
>>>>>>>> om toegang tot uw rekening te herstellen' is 
>>>>>>>> natuurlijk een stuk geloofwaardiger als je inderdaad
>>>>>>>> niet bij je bankrekening kunt;
>>>>>>>> 
>>>>>>>> - (tin-foil hat) de overheid, die graag draconische
>>>>>>>> wetten invoert om iedereen op internet in de gaten te
>>>>>>>> kunnen houden heeft natuurlijk baat bij angst en
>>>>>>>> wantrouwen om zulke wetten te verantwoorden;
>>>>>>>> 
>>>>>>>> - anti-kapitalististen die op deze manier het
>>>>>>>> vertrouwen in de financiele sector nog meer willen
>>>>>>>> uithollen;
>>>>>>>> 
>>>>>>>> - een verveelde puber of 'disgruntled ex employee',
>>>>>>>> die er op kickt om het nieuws te beheersen;
>>>>>>>> 
>>>>>>>> - incompetentie van de ING, die dat onder het tapijt
>>>>>>>> vegen door 'cyber-aanvallen' te verzinnen;
>>>>>>>> 
>>>>>>>> - concurrerende bank of overheid, met economische
>>>>>>>> motieven (image-schade) of politieke/ideologische
>>>>>>>> redenen (economie destabiliseren om de weg te banen
>>>>>>>> voor World Domination oid).
>>>>>>>> 
>>>>>>>> Of een combinatie daarvan natuurlijk.
>>>>>>>> 
>>>>>>>> Gr,
>>>>>>>> 
>>>>>>>> Koen
>>>>>>>> 
>>>>>>>> -- https://ohm2013.org/            - outdoor hacker 
>>>>>>>> conference, August 2013, NL http://www.sonologic.nl/
>>>>>>>> - hosting and DBA http://koenmartens.nl/          -
>>>>>>>> curriculum vitae https://www.revspace.nl/        -
>>>>>>>> hackerspace in Den Haag, NL
>>>>>>>> http://signal.hackerspaces.org/ - hackerspace radio
>>>>>>>> 
>>>>>>>> ______________________________________________________
>>>>>>>> * Verspreid via nettime-nl. Commercieel gebruik niet
>>>>>>>> * toegestaan zonder toestemming. <nettime-nl> is een
>>>>>>>> * open en ongemodereerde mailinglist over
>>>>>>>> net-kritiek. * Meer info, archief & anderstalige 
>>>>>>>> edities: * http://www.nettime.org/. * Contact: Menno
>>>>>>>> Grootveld (rabotnik {AT} xs4all.nl).
>>>>>>>> 
>>>>>>> 

>>> 
>>> ______________________________________________________ *
>>> Verspreid via nettime-nl. Commercieel gebruik niet * toegestaan
>>> zonder toestemming. <nettime-nl> is een * open en
>>> ongemodereerde mailinglist over net-kritiek. * Meer info,
>>> archief & anderstalige edities: * http://www.nettime.org/. *
>>> Contact: Menno Grootveld (rabotnik {AT} xs4all.nl).
>> 
>> ______________________________________________________ *
>> Verspreid via nettime-nl. Commercieel gebruik niet * toegestaan
>> zonder toestemming. <nettime-nl> is een * open en ongemodereerde
>> mailinglist over net-kritiek. * Meer info, archief & anderstalige
>> edities: * http://www.nettime.org/. * Contact: Menno Grootveld
>> (rabotnik {AT} xs4all.nl).
> 
> ______________________________________________________ * Verspreid
> via nettime-nl. Commercieel gebruik niet * toegestaan zonder
> toestemming. <nettime-nl> is een * open en ongemodereerde
> mailinglist over net-kritiek. * Meer info, archief & anderstalige
> edities: * http://www.nettime.org/. * Contact: Menno Grootveld
> (rabotnik {AT} xs4all.nl).
> 

- -- 
- -
A.M. Arnbak, LL.M.
http://www.ivir.nl/staff/arnbak.html
http://www.twitter.com/axelarnbak
New PGP Key 31FBA62B
-----BEGIN PGP SIGNATURE-----
Version: GnuPG/MacGPG2 v2.0.19 (Darwin)
Comment: GPGTools - http://gpgtools.org
Comment: Using GnuPG with Thunderbird - http://www.enigmail.net/
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=i1zF
-----END PGP SIGNATURE-----
______________________________________________________
* Verspreid via nettime-nl. Commercieel gebruik niet
* toegestaan zonder toestemming. <nettime-nl> is een
* open en ongemodereerde mailinglist over net-kritiek.
* Meer info, archief & anderstalige edities:
* http://www.nettime.org/.
* Contact: Menno Grootveld (rabotnik {AT} xs4all.nl).