Partners in Information Security. Partners in Information Security. Peter Rietveld. DDoS in perspectief

Transcriptie

1 Partners in Information Security Partners in Information Security Peter Rietveld DDoS in perspectief

2 Peter Rietveld Security Adviseur Traxion Even voorstellen Domein Manager Situational Awareness Competence Lead PKI/EKMS Auteur en Columnist NCDI voorzitter Security sinds 1996 Banken, overheid, zorg, onderwijs, industrie Pentesten, crypto, firewalls, identity & access management, malware, forensics, compliance en security management 2

3 Inhoudelijke introductie Wat is een DoS? Aanval op een SPoF Bovenal op: zwakke error handling Open deuren overspoelen Omdat iedereen data mag sturen En mijn systeem alle data accepteert als legitiem... Wat is een DDoS? Aanval op een SPoF Met z n allen Zombies Uitgevonden in 1998, eerste in the wild in 2000 (mafiaboy vs. Amazon & ebay) $1.7 miljard schade (FBI) 3

4 Zombies? Botnet van gekaapte computers Om massa data te realiseren Om verdediging (op afzender) te misleiden Om niet gepakt te worden 4

5 Kunnen we DDoSen tegenhouden? Als we alle computers kunnen beveiligen blijvend onderdeel van internet ruis 5

6 Waarom zijn DoSsen überhaupt mogelijk? IT-ers bouwen voor de Happy Flow En testen Als ze al testen Alleen de happy flow Complexiteit neemt sneller toe dan beveiliging Beveiliging loopt achter Conservatisme hieraan debet 6

7 Hackers: Omdat het kán Waarom DoS-sen ze? Hacktivisme: digitale demonstratie Cyber criminelen: Chantage of Afleiding voor een echte aanval Cyber warriors: internationale politiek 7

8 Als een gewone DoS niet lukt Om niet gepakt te worden Omdat het simpel is Waarom DDoS-sen? 8

9 Wanneer lukt een gewone DoS niet? Geen kennis omtrent het doelwit Te veel moeite Geen verstand van zaken & omgekeerd: het lukt altijd met moeite en verstand van zaken 9

10 dus Een DDOS is een gelegenheidsaanval Die weinig (geen) technische kennis vraagt Die eenvoudig beschikbaar is Met name door Botnets As A Service 10

11 De gevaarlijkste DoS is echter De aanval op managementcapaciteit Aka de bestuurlijke DoS Want Wat doen we als we aangevallen worden? Houden we dat 4 weken vol? Of 8 maanden? 11

12 Plaats binnen beveiliging Afhankelijk van het doel van de aanvaller Vandalisme en activisme: bedreiging beschikbaarheid Niet van integriteit en vertrouwelijkheid Afleidingsmanoeuvre Wie wordt er afgeleid? Response capaciteit! Kennen we het doel? 12

13 Toekomst Beveiliging is een wapenwedloop Een DDoS is een simpele aanval die nog werkt Huidige DDoS wonen op de netwerklaag Als de huidige DDoS niet meer werkt Komen er nieuwe As a Service 13

14 Worden geavanceerder: Amplification versterker Alles wat meer verkeer maakt van weinig Simpel voorbeeld: reply all op de mail NDRs DNS queries Generieke applicatieve aanvallen In combinatie met Botnets onbeperkte mogelijkheden 14

15 Maar ook Up the stack Aanvaller verschuift van netwerk naar applicatielaag SSL dual side exhaustion Redirects, ZEUS DNS changer PHP POST Etc. 15

16 En dan ook nog Wat te denken van een botnet van telefoons of koffiezetapparaten? 16

17 Dus Trend bij Malware als voorbeeld: Als vrijwel iedereen een goede anti DDoS heeft, dan verleggen de aanvallen zich Doelwitten te over Zie je nu al gebeuren De eerste mobile DoSsen zijn er 17

18 Nu anti DDoS Hoe zit het upstream? Vragen voor nu Nu aandacht op beveiligen webverkeer Belangrijk maar lang niet het enige VPN, services en synchronisaties, bijv. naar Cloud? Nu scrubbing services als anti DDoS Om verkeer te kunnen reinigen is inzicht in verkeer nodig DPI door een Third Party? Encryptie? Vooral voor publieke uithangbord a.k.a. Website 18

19 Vragen voor straks Als de netwerklaag resistent is, wat vallen ze dán aan? Voorbeeld: DNS RPL attack Mechanisme om DoS te voorkomen wordt gebruikt voor DoS Voorbeeld Slow DoS Error handling op applicatie laag: HTTP Hoe belangrijk is mijn website (internet 1.0) straks? Ben ik straks nog steeds aan het pleisters plakken? 19

20 Conclusie *voor nu* Bedenk dat Informatiebeveiliging een strategisch probleem is En dus ook een strategische aanpak vraagt 20