We hebben een plan B nodig voor internet


Nederlandse banken die online tijdelijk geen diensten kunnen leveren, webwinkels die geen spul verkopen omdat iDeal er uit ligt, Amerikaanse banken die urenlang onbereikbaar zijn en internet door anti-anti-spam-aanval uren lang traag maken weer eens duidelijk hoe afhankelijk het functioneren van de economie en maatschappij van internet zijn geworden.
Maar momenteel is er geen alternatief. Daarom moet er heel snel voor essentiële zaken naar een alternatief, een backup, een plan B gekeken worden.

  1. 1

    Don’t believe the hype! That Internet War Apocalypse Is a Lie Dat Cloudflare moord en brand riep komt eerder door hun gebrekkige DDoS-beveiliging dan door wat anders. Sites die niet door Cloudflare gemirrored worden hadden helemaal nergens last van. De paniekerige toon van Cloudflare komt voort uit een financieel belang en in veel mindere mate uit bezorgdheid om het internet.

    Dan de banken. Waar verdienen banken veel geld mee? Met high frequency trading. Het schijnt dat tot 70% van het volume van de beurshandel afgehandeld wordt door algoritmes. In fracties van seconden worden duizenden orders geplaatst. Als de site voor internetbankieren uit de lucht geknald wordt dan betekent dat mijns inziens alleen maar dat de server te weinig capaciteit heeft of dat de firewall niet slim genoeg in elkaar zit. Onnoemelijk veel capaciteit is namelijk niet het enige middel om een DDoS af te slaan. Zeker wanneer het een botnet betreft zullen de inkomende requests allemaal hetzelfde patroon vertonen. Je kunt je server dusdanig instellen dat ie die verzoeken botweg weigert terwijl toch Code 200 – OK geantwoord wordt. Lekker frustrerend voor je aanvaller die zich afvraagt waarom je site blijft werken terwijl hij denkt de server op te zadelen met enorme hoeveelheden data. Daar is geen plan B voor nodig, er bestaan kant-en-klare scripts voor. Het doelwit antwoordt verzoek ontvangen terwijl een secundaire server de daadwerkelijke datastroom probeert te verwerken.

    Waar ik wel enigszins met de TED-talk meega is dat we meer van internet vragen dan waar het ooit voor bedacht is. Mijn oplossing is echter geen plan B maar het opnieuw schrijven van plan A. Al die SCADA-rommel die aan het internet hangt heeft daar niks te zoeken. Dat krijg je er nou van als winst de voornaamste drijfveer is en beveiliging als kostenpost wordt gezien. Lekker handig enzo, overal kunnen werken, heel hip ook gelet op de adviseurs die de kost verdienen met het nieuwe werken promoten maar handig is het allerminst. Net zoals we privacy by design zouden moeten hebben is security by design ook nastrevenswaardig. Maar da’s geen plan B, da’s terug naar de tekentafel. Stelregel daarbij zou moeten zijn dat wanneer iets niet toegankelijk mag zij voor jan en alleman dat het dan niet aan internet hoort te hangen.

    Last but not least wil ik opmerken dat ik het bijzonder knap vind hoe banken de ondergang van een terminaal monetair systeem in de schoenen van vermeende hackers weten te schuiven.

  2. 2

    @Petra: Al die SCADA-rommel die aan het internet hangt heeft daar niks te zoeken.”
    Ga dat maar eens uitleggen aan onze Technische-dienst-medewerker. Als hij bij een storingsmelding om bijvoorbeeld 2:00 in de nacht op afstand kan kijken, dan kan hem 2x70km reistijd besparen. Wel is voldoende beveiliging een vereiste (wachtwoorden en/of public/private key oplossingen).

    Bij offline systemen wordt er meer gebruik gemaakt USB-sticks of informatie van/naar het scada-systeem te krijgen. Het stuxnet virus had dus voorzieningen om zich ook via USB-sticks te kunnen verspreiden.

    “Zeker wanneer het een botnet betreft zullen de inkomende requests allemaal hetzelfde patroon vertonen. “
    Het afslaan van een (D)DOS aanval is veel minder triviaal als jij het doet voorkomen. Als een site gebombardeerd wordt met 300Gbps dat is daar lijkt mij niet veel kruid tegen gewassen. De eerste de beste firewall die gaat daarvan ook onderuit. Het enige wat volgens tegen een enorme aanval helpt zijn gedistribueerde oplossingen (cloudflare) om de site in de lucht te houden.

  3. 3

    @2 Distributie over ‘de cloud’ is handig bij gewone websites. Het wordt al problematischer als er moet worden ingelogd en de aanval gericht is op de authenticatieserver. Komt bij dat een Nederlandse bank niet graag zijn transactiegegevens gaat distribueren over servers die her en der over de wereld verspreid staan.

  4. 4

    @Kalief: klopt wel wat je zegt. Banken zullen dus zelf meer moeten investeren in internet-infrastructuur zodat er een minder single-point of failure situatie optreedt.

    Voordeel van dit soort grootschalige aanvallen dat er meer nagedacht/geinvesteerd wordt over/in oplossingen. Ik denk dat de banken over een jaar een stuk minder kwetsbaar zullen zijn voor (D)DOS-achtige aanvallen

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

| Registreren