Partners in Information Security
Partners in Information Security
Peter Rietveld
DDoS in perspectief
Even voorstellen Peter Rietveld Security Adviseur
[email protected] Domein Manager Situational Awareness Competence Lead PKI/EKMS Auteur en Columnist NCDI voorzitter
Security sinds 1996 Banken, overheid, zorg, onderwijs, industrie … Pentesten, crypto, firewalls, identity & access management, malware, forensics, compliance en security management
2
Inhoudelijke introductie Wat is een DoS? Aanval op een SPoF Bovenal op: zwakke error handling ‘Open deuren’ overspoelen Omdat iedereen data mag sturen … En mijn systeem alle data accepteert als legitiem ...
Wat is een DDoS? Aanval op een SPoF Met z’n allen Zombies Uitgevonden in 1998, eerste ‘in the wild’ in 2000 (mafiaboy vs. Amazon & eBay) $1.7 miljard schade (FBI)
3
Zombies? Botnet van ‘gekaapte’ computers Om massa data te realiseren Om verdediging (op afzender) te misleiden Om niet gepakt te worden
4
Kunnen we DDoSen tegenhouden? Als we alle computers kunnen beveiligen … blijvend onderdeel van internet ruis
5
Waarom zijn DoSsen überhaupt mogelijk? IT-ers bouwen voor de ‘Happy Flow’ En testen Als ze al testen Alleen de happy flow
Complexiteit neemt sneller toe dan beveiliging Beveiliging loopt achter Conservatisme hieraan debet
6
Waarom DoS-sen ze? Hackers: Omdat het kán Hacktivisme: digitale demonstratie Cyber criminelen: Chantage of Afleiding voor een echte aanval Cyber warriors: internationale politiek
7
Waarom DDoS-sen? Als een gewone DoS niet lukt Om niet gepakt te worden Omdat het simpel is
8
Wanneer lukt een gewone DoS niet? Geen kennis omtrent het doelwit Te veel moeite Geen verstand van zaken
& omgekeerd: het lukt altijd met moeite en verstand van zaken
9
dus Een DDOS is een gelegenheidsaanval Die weinig (geen) technische kennis vraagt Die eenvoudig beschikbaar is Met name door Botnets As A Service
10
De gevaarlijkste DoS is echter De aanval op managementcapaciteit Aka de bestuurlijke DoS
Want Wat doen we als we aangevallen worden?
Houden we dat 4 weken vol? Of 8 maanden?
11
Plaats binnen beveiliging Afhankelijk van het doel van de aanvaller Vandalisme en activisme: bedreiging beschikbaarheid Niet van integriteit en vertrouwelijkheid Afleidingsmanoeuvre Wie wordt er afgeleid? Response capaciteit!
Kennen we het doel?
12
Toekomst Beveiliging is een wapenwedloop Een DDoS is een simpele aanval die nog werkt Huidige DDoS wonen op de netwerklaag
Als de huidige DDoS niet meer werkt Komen er nieuwe As a Service
13
Worden geavanceerder: Amplification ‘versterker’ Alles wat meer verkeer maakt van weinig Simpel voorbeeld: reply all op de mail NDRs DNS queries Generieke applicatieve aanvallen
In combinatie met Botnets onbeperkte mogelijkheden
14
Maar ook Up the stack Aanvaller verschuift van netwerk naar applicatielaag
SSL dual side exhaustion Redirects, ZEUS DNS changer PHP POST Etc.
15
En dan ook nog … Wat te denken van een botnet van telefoons … of koffiezetapparaten?
16
Dus Trend bij Malware als voorbeeld: Als vrijwel iedereen een goede anti DDoS heeft, dan verleggen de aanvallen zich Doelwitten te over
Zie je nu al gebeuren De eerste mobile DoSsen zijn er
17
Vragen voor nu Nu anti DDoS Hoe zit het upstream?
Nu aandacht op beveiligen webverkeer Belangrijk maar lang niet het enige VPN, services en synchronisaties, bijv. naar Cloud?
Nu ‘scrubbing’ services als anti DDoS Om verkeer te kunnen reinigen is inzicht in verkeer nodig DPI door een Third Party? Encryptie? Vooral voor publieke uithangbord a.k.a. Website
18
Vragen voor straks Als de netwerklaag resistent is, wat vallen ze dán aan? Voorbeeld: DNS RPL attack Mechanisme om DoS te voorkomen wordt gebruikt voor DoS Voorbeeld Slow DoS Error handling op applicatie laag: HTTP
Hoe belangrijk is mijn website (internet 1.0) straks? Ben ik straks nog steeds aan het pleisters plakken?
19
Conclusie *voor nu* Bedenk dat Informatiebeveiliging een strategisch probleem is
En dus ook een strategische aanpak vraagt
20