Managed hosting door True

DDoS-radar moet cyberramp voorkomen

Hack

Banken, overheden, onderwijsinstellingen en internetproviders moeten via een landelijke DDoS-radar gezamenlijk aanvallers bestrijden en meer informatie delen over aanvallen op hun vitale infrastructuur. Bij extreem grote en gedistribueerde aanvallen moeten 'Nederlandse' netwerken in stappen en tijdelijk van het mondiale internet losgekoppeld kunnen worden.

Daarvoor pleiten vijf internet- en security-experts (zie kader) in een open brief. Zij willen dat er een strategie komt waarbij DDoS-aanvallen gezamenlijk en pro-actief worden bestreden.

Zij stellen dat de Nederlandse vitale infrastructuur een proactieve en collectieve DDoS-bestrijdingsstrategie nodig heeft op basis van de ‘nationale DDoS-radar’. Dat is een nog te ontwikkelen systeem dat voortdurend ‘fingerprints’ maakt van potentiële en actieve DDoS-bronnen en die automatisch deelt met aangesloten vitale aanbieders.

De schrijvers: 'De fingerprints representeren bijvoorbeeld de internetadressen van DDoS-bronnen, identifiers van de netwerken waar ze staan en gedetailleerde verkeerspatronen van het DDoS-verkeer dat ze genereren. De DDoS-radar maakt fingerprints op basis van sensoren van vitale aanbieders, zoals DDoS-logs, ‘crawlers’ die het internet afzoeken naar booter-sites, en ‘honeypots’ die besmette IoT-apparaten aantrekken en in kaart brengen.'

Extreme aanvallen

Bij extreem grote en gedistribueerde aanvallen moet de DDoS-radar helpen om gezamenlijk te besluiten om ‘Nederlandse’ netwerken in stappen en tijdelijk van het mondiale internet los te koppelen en deze beslissing in samenwerking met de partijen achter het voormalige Trusted Network Initiative en de Dutch Continuity Board te realiseren.

Hoe de afspraken en naleving van de DDoS-radar vorm moeten krijgen, is te lezen in de brief.

DDos-aanval van 40 gigabit per seconde

Volgens de schrijvers moeten isp’s, banken, overheden en dns-beheerders steeds grotere aanvallen opvangen, die inmiddels het niveau van terabits per seconde hebben bereikt. 'Zo kregen Github en Dyn beide te maken met aanvallen van meer dan 1 terabit per seconde, twee orde van groottes meer dan de aanvallen op de banken en overheden eerder dit jaar (geschat op 40 gigabit per seconde) en vier orde van groottes meer dan de aanvallen op Estland in 2007 (geschat op 90 megabit per seconde).'

Daarnaast worden DDoS-aanvallen volgens de auteurs steeds complexer, omdat ze van meer soorten bronnen afkomen die overal ter wereld kunnen staan en meerdere doelen tegelijk kunnen treffen. 'Voorbeelden van DDoS-bronnen zijn onveilige apparaten binnen het ‘Internet of Things’ (IoT), open ‘memcached’ servers, of ‘booter-sites’ die DDoS-aanvallen voor enkele tientjes aanbieden.'

Schrijvers van de brief

De brief is ondertekend door: 
  • Cristian Hesselman, hij werkt bij SIDN, de beheerder van het nationale top-level-domein van Nederland.nl. Hij leidt SIDN Labs, het researchteam van SIDN.
  • Jeroen van der Ham, hij is gastonderzoeker bij de Universiteit Twente. Van der Ham is assistant professor op het gebied van internet security en ethiek in de groep ‘Design and Analysis of Communication Systems’ (DACS).
  • Roland van Rijswijk, hij werkt bij SURFnet, de beheerder van het nationale onderzoeks- en onderwijsnetwerk, in de rol van innovator internet security.
  • Jair Santanna, die werkzaam is de Universiteit Twente. Hij is assistant professor op het gebied van internet security in de groep ‘Design and Analysis of Communication Systems’ (DACS).
  • Aiko Pras, hij werkt bij de Universiteit Twente. Pras is professor op het gebied van internet security in de groep ‘Design and Analysis of Communication Systems’ (DACS).

x

Om te kunnen beoordelen moet u ingelogd zijn:

Dit artikel delen:

Reacties

"Een nog te ontwikkelen systeem dat voortdurend ‘fingerprints’ maakt van potentiële en actieve DDoS-bronnen en die automatisch deelt met aangesloten vitale aanbieders." "De fingerprints representeren bijvoorbeeld de internetadressen van DDoS-bronnen, identifiers van de netwerken waar ze staan en gedetailleerde verkeerspatronen van het DDoS-verkeer dat ze genereren. De DDoS-radar maakt fingerprints op basis van sensoren van vitale aanbieders, zoals DDoS-logs, ‘crawlers’ die het internet afzoeken naar booter-sites, en ‘honeypots’ die besmette IoT-apparaten aantrekken en in kaart brengen. "
Dit lijkt me op zich geen gek idee, maar ook op een privaat sleepnet. Maar de DDoS-radar valt niet onder de Wet op de Inlichtingen- en Veiligheidsdiensten 2017 of de Algemene Verordening gegevensbescherming 2018. Wie controleert het gebruik van die DDoS-radar?

Een erg Nederlandse reaktie, internet is globaal, en "tijdelijk van het mondiale internet los te koppelen" is illusorisch. Vele DNS-server staan niet in nederland.
Tegen DDoS-aanvallen kan alleen op globale schaal wat gedaan worden om de bron te lokaliseren en dan de initiator van de aanval aan te pakken.

Vreemde web site. Mijn reactie wordt nogmaals gepubliceerd uit de cache, Van de bijdrage van Jan van Leeuwen krijg ik 2 meldingen op 6 en resp. 7 april. Ik krijg een melding op 6 april dat P Prins een bijdrage heeft geleverd, maar deze bijdrage van P Prins zie ik nog steeds niet op computable.nl.

Schijnt e.e.a. fout te lopen, reakties verdwijnen.

Jouw reactie

LET OP: U bent niet ingelogd. U kunt als gast reageren maar dan wordt uw reactie pas zichtbaar na goedkeuring door de redactie. Om uw reactie direct geplaatst te krijgen moet u eerst rechtsboven inloggen of u registreren

Vul uw naam in
Vult u een geldig e-mailadres in
Vult u een reactie in
Jaarbeurs b.v. gaat zorgvuldig en veilig om met je persoonsgegevens. Meer informatie over hoe we omgaan met je data lees je in het privacybeleid
Als u een reactie wilt plaatsen moet u akkoord gaan met de voorwaarden

Stuur dit artikel door

Je naam ontbreekt
Je e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×
Wilt u dagelijks op de hoogte worden gehouden van het laatste ict-nieuws, achtergronden en opinie?
Abonneer uzelf op onze gratis nieuwsbrief.