image

Nederlandse banken ontkennen afhankelijkheid anti-DDoS-product Akamai

maandag 15 oktober 2018, 13:06 door Redactie, 26 reacties

De drie Nederlandse banken ING, ABN Amro en Rabobank ontkennen dat ze voor DDoS-bescherming afhankelijk zijn van het Amerikaanse bedrijf Akamai. Ze reageren daarmee op bevindingen uit een rapport van het Centraal Planbureau (CPB).

Het CPB heeft maandag de Risicorapportage Cyberveiligheid Economie 2018 uitgebracht. Daarin staat dat 16 van ’s werelds belangrijkste 30 banken dezelfde beschermingsdienst tegen DDoS-aanvallen gebruiken, namelijk Akamai.

“Vanuit maatschappelijk perspectief kun je de vraag stellen of grote marktconcentratie gewenst is”, schrijft het CPB in het rapport (pdf). ING, ABN Amro en Rabobank stellen in een reactie dat ze ook andere diensten gebruiken voor DDoS-protectie en dus niet alleen afhankelijk zijn van Akamai.

Het anti-DDoS-product van Akamai wordt waardevoller naarmate het meer gebruikers heeft: hoe meer data het algoritme verzamelt, des te intelligenter wordt het. Door dit netwerkeffect kan het Amerikaanse bedrijf volgens onderzoeker Freek Ruesink 'steeds dominanter' worden, schrijft het FD.

Ook Aiko Pras, hoogleraar internetveiligheid aan de Universiteit Twente, maakt zich volgens de krant zorgen over de groeiende afhankelijkheid van banken van niet-Europese aanbieders. “Amerikaanse bedrijven als Akamai krijgen steeds dieper inzicht in ons betalingsverkeer, terwijl wij kennis kwijtraken. De VS en Europa zijn verschillende economische machtsblokken, met niet altijd dezelfde belangen.”

Reacties (26)
15-10-2018, 13:13 door NonNocere
Groeiende afhankelijkheid van niet-EU tech? Dat is al enkele decennia een gegeven in NL. Welk groot bedrijf is niet volledig afhankelijk van b.v. Microsoft? Toch zijn de schaarse NL-tech bedrijven zoals Elastic zeer succesvol. Dus volgens mij is er niets bijzonders aan de hand. Maar ik heb het rapport van het CPB nog niet gelezen, wellicht dat daarin meer concrete punten staan die wel relevant zijn.
15-10-2018, 13:19 door SecGuru_OTX
Tja, wat moet je met dit "nieuws"...

De Firewalls van deze banken zullen ook niet Nederlands zijn, de CA's van deze banken zijn ook niet Nederlands, de gebruikte OS versies zijn ook niet Nederlands, etc, etc.

De kans op misbruik/verstoring zonder diensten zoals Akamai, Imperva of CloudFlare is vele malen hoger dan misbruik met deze diensten.

Iets over Risk Management.... (je moet een keuze maken tussen verschillende opties waarbij er geen ideale oplossing is). Ik denk dat ze vooralsnog de juiste keuze maken.
15-10-2018, 13:53 door Anoniem
Door SecGuru_OTX: Tja, wat moet je met dit "nieuws"...

De Firewalls van deze banken zullen ook niet Nederlands zijn, de CA's van deze banken zijn ook niet Nederlands, de gebruikte OS versies zijn ook niet Nederlands, etc, etc.

De kans op misbruik/verstoring zonder diensten zoals Akamai, Imperva of CloudFlare is vele malen hoger dan misbruik met deze diensten.

Maar er zijn ook Nederlandse alternatieven zoals bv NaWas.
15-10-2018, 13:53 door Anoniem
Bah. Viese woordspelingen. Natuurlijk zijn ze niet afhankelijk van Akamai. Maar dat betekent niet dat ze de dienst niet gebruiken en dat het verkeer niet gemanipuleerd kan worden.

Wat hier gebeurd is dat de eindgebruiker afhankelijk van Akamai is.
15-10-2018, 14:00 door karma4 - Bijgewerkt: 15-10-2018, 14:02
Men heeft Cisco routers/firewalls (amerikaans)
Gebruikt Oracle IBM Redhat (linux) alle Amerikaans.
Neemt hardware vam HP Dell of wat dan ook gewoonlijk amerikaans
Het is een enkel uitzondering als het niet Amerikaans is.

Banken en anderen kritische infra weigeren een goede samenwerking via het internetknooppunt dat we in huis hebben. AMSIX
Dan maak je zelf de afhankelijk naar anderen groter.
15-10-2018, 14:37 door Anoniem
Ze bedoelen te zeggen dat ze nooit toe zullen geven dat ze afhankelijk zijn van Akamai. Dat is net een nuance. In NL hebben we ook een bedrijf dat een nawasstraat levert en dat beter werkt dan Akamai.
Maar Akamai is maar een onderdeel van een reeks van security zaken die geregeld worden binnen het betalingsverkeer. Als je werkt dan weet je dat. En het gaat verder dan je denkt. (of als je denkt...)
Wellicht dat PSD2 weer nieuwe veiligheids- (privacy) issues met zich mee brengt.
Ik zeg op voorhand altijd maar nee. Ik heb er niet om gevraagd dus het is zeer waarschijnlijk niet in mijn belang.
<vind ik>
15-10-2018, 14:38 door Anoniem
Goed dat dit soort dingen onder de aandacht gebracht wordt en dit is de reden waarom europease tech achterblijft.
Ook op het gebied van cyber
15-10-2018, 14:40 door Bladie
Banken en anderen kritische infra weigeren een goede samenwerking via het internetknooppunt dat we in huis hebben. AMSIX.
Ben benieuwd waar dit op gebaseerd is.
15-10-2018, 14:45 door Anoniem
Door Bladie:
Banken en anderen kritische infra weigeren een goede samenwerking via het internetknooppunt dat we in huis hebben. AMSIX.
Ben benieuwd waar dit op gebaseerd is.
Zeker gezien AMSIX ondertussen een Amerikaanse dochter heeft, waarmee het nog maar te bezien is hoe ze zich tegenover de PATRIOT-act gaan weten te verdedigen. (En dat horen wij dan weer niet, NSL etc.)

Overigens zit de Amerikaanse overheid al in werkelijk al het transnationale betalingsverkeer want dat loopt via SWIFT en daar hebben ze al enige jaren geleden een continue datatap in geslagen.
15-10-2018, 14:54 door SecGuru_OTX
Door Anoniem:
Door SecGuru_OTX: Tja, wat moet je met dit "nieuws"...

De Firewalls van deze banken zullen ook niet Nederlands zijn, de CA's van deze banken zijn ook niet Nederlands, de gebruikte OS versies zijn ook niet Nederlands, etc, etc.

De kans op misbruik/verstoring zonder diensten zoals Akamai, Imperva of CloudFlare is vele malen hoger dan misbruik met deze diensten.

Maar er zijn ook Nederlandse alternatieven zoals bv NaWas.

NaWas doet niets op Applicatielaag, is geen alternatief voor Cloudflare, Akamai of Imperva.

NaWas geeft bescherming tegen netwerk gebaseerde DDoS aanvallen, maar kan niets met dat wat er in de versleutelde communicatie (TLS) plaatsvind.
15-10-2018, 15:17 door Anoniem
Door SecGuru_OTX:
Door Anoniem:
Door SecGuru_OTX: Tja, wat moet je met dit "nieuws"...

De Firewalls van deze banken zullen ook niet Nederlands zijn, de CA's van deze banken zijn ook niet Nederlands, de gebruikte OS versies zijn ook niet Nederlands, etc, etc.

De kans op misbruik/verstoring zonder diensten zoals Akamai, Imperva of CloudFlare is vele malen hoger dan misbruik met deze diensten.

Maar er zijn ook Nederlandse alternatieven zoals bv NaWas.

NaWas doet niets op Applicatielaag, is geen alternatief voor Cloudflare, Akamai of Imperva.

NaWas geeft bescherming tegen netwerk gebaseerde DDoS aanvallen, maar kan niets met dat wat er in de versleutelde communicatie (TLS) plaatsvind.

Nog afgezien daarvan, er komt niet veel in de buurt van de bandbreedte die Akamai tot zijn beschikking heeft. Dat wordt door het CPB over het hoofd gezien. Er zijn maar enkele partijen (2? Akamai en Google? Misschien tier-1 providers toevoegen zoals NTT, Verizon, AT&T, HE?) dit de extreme bandbreedte hebben om extreme DDoS aanvallen het hoofd te kunnen bieden. Helaas is de 3e partij, misschien wel de beste, Prolexic, overgenomen door Akamai.
15-10-2018, 15:25 door karma4
Door Bladie:
Banken en anderen kritische infra weigeren een goede samenwerking via het internetknooppunt dat we in huis hebben. AMSIX.
Ben benieuwd waar dit op gebaseerd is.
https://ams-ix.net/services-pricing/anti-ddos-services
https://ams-ix.net/newsitems/324
Als not for profit gaat her niet gratis. De voorwaarde zijn de fondsen via een samenwerking.
Als nadeel van een centraal punt voor al het verkeer kun je het ombuigen als voordeel van een centraal punt voor al het kritische verkeer.
15-10-2018, 15:37 door Anoniem
Zolang er maar geen single point of failure is.
15-10-2018, 16:02 door Anoniem
Maar er zijn ook Nederlandse alternatieven zoals bv NaWas.
Die strict volgens de statuten alleen voor ISP's zijn, en niet voor critical infra.

Maar, die doen het inderdaad goed (!), en de cooperatieve aanpak werkt gewoon echt leuk.
Zou in een niet-open-source minded tijdperk onmogelijk zijn.

Door SecGuru_OTX: De Firewalls van deze banken zullen ook niet Nederlands zijn, de CA's van deze banken zijn ook niet Nederlands, de gebruikte OS versies zijn ook niet Nederlands, etc, etc.
Als ze daarintegen de anti-DDoS van Verisign zouden gebruiken, is dat ergen dan een .com domein gebruiken?
En, is het .nl TLD niet even afhangelijk (middels A-root, de primary) van VeriSign?

Banken ... weigeren een goede samenwerking via ... AMSIX.
Dan maak je zelf de afhankelijk naar anderen groter.
Alsof een AMS-IX policy een DDoS opvangt; die al een tijdje aanzienlijk groter dan wat een exchange poortje doorlaat.
15-10-2018, 16:42 door karma4
Door Anoniem:
Banken ... weigeren een goede samenwerking via ... AMSIX.
Dan maak je zelf de afhankelijk naar anderen groter.
Alsof een AMS-IX policy een DDoS opvangt; die al een tijdje aanzienlijk groter dan wat een exchange poortje doorlaat.
Ams-ix is de grootste poort waar zowat al het verkeer over heen gaat. Je kunt het beter daar uitfilteren dan bij iets wat er achter zit.
Als je de links gevolgd had dan had je nog wat anders gezien. Omdat er zoveel over heen gaat kun je de kritische infra in een apart deel segmenteren. Laar de concurrenten van ams-ix ook toe met een aparte toezichthouder en de isolatie en onafhankelijkheid zal het beste lukken.
Aparte providers waar eerst het verkeer heen moet voordat het terug mag veroorzaakt meer verkeer dan nodig. Niet echt gunstig voor tegen gaan ddos.
15-10-2018, 17:59 door Anoniem
Karma4: je hebt geen verstand van verdediging tegen DDoS, het lidmaatschap van AMS-IX helpt echt absoluut niet. Op geen enkele manier. Het is ook helemaal niet gezegd dat iedere DDoS door AMS-IX loopt. AMS-IX is maar 1 van de knooppunten. En denk je nu echt dat AMS-IX zit te wachten op filtering? Ja? Dan heb je niet begrepen wat peering betekent.
15-10-2018, 20:37 door Anoniem
Nederland is ver achtergelopen met de geadvanceerde beveiliging opties die nu grote bedrijven implementeren op grote datasets zoals Amazon deze heeft en Akamai voor DDOS etc.
15-10-2018, 21:50 door karma4 - Bijgewerkt: 15-10-2018, 21:53
Door Anoniem: Karma4: je hebt geen verstand van verdediging tegen DDoS, het lidmaatschap van AMS-IX helpt echt absoluut niet. Op geen enkele manier. Het is ook helemaal niet gezegd dat iedere DDoS door AMS-IX loopt. AMS-IX is maar 1 van de knooppunten. En denk je nu echt dat AMS-IX zit te wachten op filtering? Ja? Dan heb je niet begrepen wat peering betekent.

Lees even de links van ams-ix zelf. Met het voorstel van ze met netwerksegmentatie en filtering krijg je een heel andere insteek dan losse externe dienstverleners zoals een nawasstraat of alamai.
Het is een groot knooppunt (nl) en er zijn altenatieven maar geen tientallen. Dat had ik al gdnoemd. https://en.wikipedia.org/wiki/List_of_Internet_exchange_points. Je kunt beter bij de knooppunten zijn dan ergens bij eindpunten. Daar is geen speld tussen te krijgen.

Peering...https://nl.wikipedia.org/wiki/Peering
"Peering is het uitwisselen van internetverkeertussen providers. Dit gebeurt meestal op plekken waar veel providers samenkomen, zoals op de AMS-IX in Amsterdam en BNIX in Brussel."

https://tweakers.net/nieuws/135587/ams-ix-wil-trusted-network-initiative-na-ddos-aanvallen-nieuw-leven-inblazen.html
"Ook zou de kracht van de aanval in dat geval afgezwakt kunnen worden door maatregelen als de NaWas, oftewel Nationale Wasstraat. Dit is een initiatief van DHPA, AMS-IX en NL-IX, waarbij verkeer van een aangevallen provider langs apparatuur voor een grondige 'wasbeurt' wordt gehaald."
16-10-2018, 09:25 door Anoniem
We hebben in Nederland nooit geavanceerde DDOS aanvallen gehad, dus deze banken zijn nooit echt getest geweest. De DDOS aanvallen de we hier in Nederland hebben zijn DNS-amplification en TCP syncflood wat ook standaard in elke basic hack framework te vinden is alleen moet je dit distribueren over meerdere computers.
Geavanceerdere DDOS aanvallen waarbij de Back-Bone wordt getarget zullen deze banken niet kunnen tegenhouden ook niet met Akamai!
16-10-2018, 11:00 door Anoniem
Waarom dan de presentatie op NOP (NEP) TV door Ryan, het "Orakel van Veghel" destijds"? Dat ging toch juist over DDos aanvallen of waren er slechts wat script kiddies uit het Brabantse ingezet, die later met een leuk taakstrafje weg zijn gekomen? Het buzz-word destijds was steeds: "We moeten hoognodig aan de blockchain". Overal zaten de Russen achter, weet men nog? Iemand?

luntrus
16-10-2018, 13:58 door Anoniem
Groeiende afhankelijkheid van niet-EU tech?

Denk je dat een commerciele anti-DDoS provider beter is, of slechter, doordat deze gevestigd is in de EU ? Uitbreiding van deze industrie hier zou mooi zijn, maar verder is het inhoudelijk volstrekt irrelevant voor een bedrijf wat een anti-DDoS wasstraat dienst af neemt.
16-10-2018, 14:00 door Anoniem
We hebben in Nederland nooit geavanceerde DDOS aanvallen gehad, dus deze banken zijn nooit echt getest geweest

Hebben we tal van keren gehad. Op banken, op digid, op de belastingdienst, op ideal. En met succes. Jammer hoe mensen hier altijd van alles roepen, zonder enige onderbouwing, of inhoud.
16-10-2018, 14:03 door Anoniem
Karma4: je hebt geen verstand van verdediging tegen DDoS, het lidmaatschap van AMS-IX helpt echt absoluut niet. Op geen enkele manier. Het is ook helemaal niet gezegd dat iedere DDoS door AMS-IX loopt. AMS-IX is maar 1 van de knooppunten. En denk je nu echt dat AMS-IX zit te wachten op filtering? Ja? Dan heb je niet begrepen wat peering betekent.

Gezellig, weer zo'n persoonlijke aanval. Onderbouwd met drijfzand.

Ams-IX: Anti-DDoS Services
https://ams-ix.net/services-pricing/anti-ddos-services

Het zou mooi zijn indien mensen hier ten eerste controleren dat het klopt wat ze zeggen, en ten tweede minder hoog van de toren blazen, en niet proberen punten te maken d.m.v. persoonlijke en volstrekte niet inhoudelijke aanvallen op anderen.
16-10-2018, 20:02 door Anoniem
"Ams-IX: Anti-DDoS Services
https://ams-ix.net/services-pricing/anti-ddos-services

Het zou mooi zijn indien mensen hier ten eerste controleren dat het klopt wat ze zeggen, en ten tweede minder hoog van de toren blazen, en niet proberen punten te maken d.m.v. persoonlijke en volstrekte niet inhoudelijke aanvallen op anderen."

DDOS als het goed gebeurt komt via alle mogelijke verbindingen bij je binnen. Het is de routing op internet die bepaalt welke route er wordt genomen. En ja als je allen de AMS-IX als exchange hebt en verder geen andere carriers, dan werkt ddos inderdaad,

Maar in de meeste gevallen komt het binnen over elk mogelijk pad naar jou servers,
17-10-2018, 22:16 door karma4
Door Anoniem:
Maar in de meeste gevallen komt het binnen over elk mogelijk pad naar jou servers,
https://www.akamai.com/us/en/multimedia/documents/brochure/akamai-application-security-and-performance-brochure.pdf
"With more than 220,000 servers deployed around the world, Akamai can maintain connectivity through the most adverse conditions — including the largest DDoS attacks. Akamai’s unmatched global platform has the scale to deliver and protect the world’s growing web traffic – as much as 46 Tbps – with the availability to keep your business up all day, every day. Denial of service attacks are easily absorbed with available capacity on the Akamai Intelligent Platform, beyond what is needed for peak traffic. On each server, we deploy a wide range of controls – such as rate controls, blacklists, and geo-blocking – to defend our customers from DDoS attacks."

"The worldwide distribution and massive scale of the Akamai Intelligent Platform™ enables Web sites to stay available without re-routing traffic or impacting performance. Akamai handles over 20Tbps of traffic daily on average and has handled peak traffic flows of over 36Tbps DDoS mitigation capabilities are implemented natively in path so protection is provided only one network hop from the point of request—NOT at the customer origin."

Het pad naar jou server wordt afgesloten daoor dat pad met die ddos bescherming.
Je kunt een ander pad er naast zetten met een concurrent. Als winst in het vaandel staat zit dat er niet snel bij.
Dat antwoord dat er een ander pad naast gebruikt wordt is niet gekomen.
20-10-2018, 21:59 door Anoniem
Als een bank zijn traffic laat lopen via bijvoorbeeld cloudflare, kan cloudflare dan het traffic zien tussen bank en end-user ondanks TLS?

Kortom, is de TLS end-to-end of gebruikt de bank een cloudflare TLS-certificaat waardoor cloudflare kan zien wat voor traffic er voorbij gaat?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.