Computerbeveiliging - Hoe je bad guys buiten de deur houdt

DDOS aanval op een app zoals CoronaCheck app?

26-09-2021, 08:18 door Anoniem, 13 reacties
Een DDOS aanval op een website is makkelijk uit te voeren, maar ik wil weten hoe mensen de IP adressen hebben achterhaald van een APP zoals de CoronaCheck app?

En hoe kan het dat een overheid als Nederland zich hier niet tegen kan weren?

https://nos.nl/artikel/2399240-coronacheck-app-soms-onbereikbaar-door-ddos-aanvallen-en-grote-drukte
Reacties (13)
26-09-2021, 10:33 door Anoniem
Gewoon de app installeren en kijken waar het verkeer heen gaat (DNS / IP-range). Dat kan met een netwerk-tap of je installeert de app in een virtuele Android en onderschept dat verkeer met Wireshark (insert andere populaire tools).

Een DDoS kun je moeilijker maken maar niet 100% tegenhouden. Er is altijd een maximum: bandbreedte, aantal aanvragen, geheugen en CPU gebruik. Weet een aanvaller daar de max van te bereiken dan ben je het haasje. Echter is in het verleden DDoS ook wel misbruikt indien men een verkeerde inschatting van het verwachte gebruik maakte. Meer gebruikers dan gepland en het loopt lekker stroef. Geen gezichtsverlies == DDoS claimen. Zonder verdere details of logging is daar weinig van te zeggen.
26-09-2021, 12:44 door Erik van Straten
Voor zover ik het begrijp gaat het niet om smartphones die ge-(D)DoS-ed worden, maar om servers gehuurd door Logius. Uit het artikel dat je aanhaalt (https://nos.nl/artikel/2399240-coronacheck-app-soms-onbereikbaar-door-ddos-aanvallen-en-grote-drukte):
Probleem bij opvragen QR-code

De app werkt zonder internet wanneer je eerder een QR-code hebt aangemaakt. In dat geval kan je zonder problemen het toegangsbewijs laten zien, zegt het ministerie. Dat geldt niet voor mensen die nog zo'n code moeten opvragen: daarvoor is een verbinding met de soms overbelaste server nodig.

Daarnaast kan de QR-code niet werken bij mensen die de app een maand niet hebben gebruikt. Het ministerie adviseert gebruikers het coronatoegangsbewijs te 'checken' voordat je de deur uitgaat. Het advies van het ministerie: "Ga je 's avonds naar een café, zorg dan 's middags dat je een QR-code hebt opgevraagd."

Kennelijk worden vaccinatie-QR-codes in de CoronaCheck app af en toe (regelmatig? hoe frequent?) ververst. Het zou mij niet verbazen als die app daarvoor eerst moet inloggen bij DigiD.nl (zonder MFA dus), en met het verkregen access-token inlogt op een server van Coronacheck.nl om daar een verse, digitaal ondertekende, QR-code op te halen. Het zou dan om aanvallen op die servers gaan.

Overigens, uit https://coronacheck.nl/nl/privacy maak ik op dat de coronacheck.nl server(s) vaccinatiegegevens een jaar na vaccinatiedatum bewaren. Voor de Europese QR-codes zijn uitgebreide identificerende gegevens noodzakelijk. Bij de aanvraag van mijn afdrukbare QR-code kon ik niet kiezen voor alleen de Nederlandse: ongevraagd kreeg ik ook de Europese QR-code. Het zou mij niet verbazen als, voor iedereen die een vaccinatie-QR-code heeft aangevraagd, de uitgebreide set van Europese gegevens op de server(s) van Logius 1 jaar worden bewaard. M.a.w. weer een plek waar van zeer veel mensen allerlei identificerende en -feitelijk- medische gegevens worden bewaard.

Ik heb geen idee of en welke informatie de CoronaCheck-check app (die een groen vinkje kan laten zien en enkele letters en cijfers van het identiteitsbewijs) uitwisselt met de servers van Logius (ik hoop niet dat de overheid hiermee precies registreert wie wanneer in welke gelegenheid naar binnen gaat, maar die mogelijkheid bestaat; en indien nu nog niet van toepassing, kan deze burger-tracking bij een update worden ingevoerd). Als die apps vaak communiceren met één of meer specifieke servers, zou ook die "app" ge-DDoS-ed kunnen worden (ook hier niet de apps zelf, maar de server(s)).
26-09-2021, 15:11 door Anoniem
Door Anoniem: Een DDOS aanval op een website is makkelijk uit te voeren, maar ik wil weten hoe mensen de IP adressen hebben achterhaald van een APP zoals de CoronaCheck app?

Dat is toch doodsimpel ?
Check doen - via wifi - en ondertussen met een sniffer meekijken met het netwerkverkeer.


En hoe kan het dat een overheid als Nederland zich hier niet tegen kan weren?

https://nos.nl/artikel/2399240-coronacheck-app-soms-onbereikbaar-door-ddos-aanvallen-en-grote-drukte

Het zal niet de eerste keer zijn dat een DDoS de schuld krijgt van een slecht ingeschatte capaciteit .

Verder is niet gezegd dat men zich niet KAN weren - maar mogelijk alleen 'DDoS protectie' niet in het projectplan gezet heeft en dat niet gebouwd is.
Het kost een stuk extra geld/tijd/moeite om een service DDoS robuust te bouwen .
26-09-2021, 15:32 door Anoniem
Door Anoniem:
Door Anoniem: Een DDOS aanval op een website is makkelijk uit te voeren, maar ik wil weten hoe mensen de IP adressen hebben achterhaald van een APP zoals de CoronaCheck app?

Dat is toch doodsimpel ?
Check doen - via wifi - en ondertussen met een sniffer meekijken met het netwerkverkeer.


En hoe kan het dat een overheid als Nederland zich hier niet tegen kan weren?

https://nos.nl/artikel/2399240-coronacheck-app-soms-onbereikbaar-door-ddos-aanvallen-en-grote-drukte

Het zal niet de eerste keer zijn dat een DDoS de schuld krijgt van een slecht ingeschatte capaciteit .

Verder is niet gezegd dat men zich niet KAN weren - maar mogelijk alleen 'DDoS protectie' niet in het projectplan gezet heeft en dat niet gebouwd is.
Het kost een stuk extra geld/tijd/moeite om een service DDoS robuust te bouwen .

Jesus Christus kunnen de 'satanisten' van de overheid niet eens tegen een beetje internet traffic?

Sta je dan in de file in de rij te wachten, kom je eindelijk bij de poortwachter van het theater na een uur niksen, valt je telefoon uit wegens slechte accu. Man man man wat een pech.

Dan maar straattheater?

Alles komt recht, alleen gaat het soms via een omweg.
26-09-2021, 15:44 door Anoniem
Die QR-ongein is een maatregel die medisch en epidemiologisch totaal onzinnig is.

Iedereen klaagt weer over QR codes want "mijn privacy" maar ze hebben wel een smartphone op zak met Facebook, Twitter, Instagram, Whatsapp, "claim your freedom"-Telegram en Telegram groepjes van waar uit 'ze' dan allerlei links naar wappie honingpot websites klikken... kijken de hele dag op Google Maps en Google Earth maar QRcode O mijn Privacy!

Ben ik hier de gekke man of zijn 'hun' het, een voor een?


Ik twijfel serieus of ik die prik nog wel moet halen. Misschien als in de zomer van 2022 blijkt dat 2 prikken echt voldoende zijn.

De ambulances hoor ik ook weer elke ochtend. Dat is gek genoeg een jaartje minder geweest. Voor de Covid reden elke dag wel 3 tot 5 ambus door de wijk omdat iemand niet wakker werd. Het is toch gek dat dit tijdens Corona weg bleef Hmm

Maar deze "DDOS "... weet je nog toen de politie punt nl onder aanval lag? Achteraf bleek dat ze zelf een jpg op de frontpage hadden gezet van 40 mb
26-09-2021, 15:46 door Anoniem
Door Anoniem: Een DDOS aanval op een website is makkelijk uit te voeren, maar ik wil weten hoe mensen de IP adressen hebben achterhaald van een APP zoals de CoronaCheck app?

En hoe kan het dat een overheid als Nederland zich hier niet tegen kan weren?

https://nos.nl/artikel/2399240-coronacheck-app-soms-onbereikbaar-door-ddos-aanvallen-en-grote-drukte

Een paar opstartproblemen gecombineerd met een DDos aanval. Dat komt wel goed.

Wat ik niet snap, is dat Nederlandse gezever over de QR code. Anderhalve meter afgeschaft, alles mag weer. Zelfs ongevaccineerden mogen de horeca in, na een negatieve test. Die QR code was daarvoor een veiligheidsvoorwaarde, en maakt al die leuke dingen weer mogelijk.
26-09-2021, 15:58 door Anoniem
Door Erik van Straten: Voor zover ik het begrijp gaat het niet om smartphones die ge-(D)DoS-ed worden, maar om servers gehuurd door Logius. Uit het artikel dat je aanhaalt (https://nos.nl/artikel/2399240-coronacheck-app-soms-onbereikbaar-door-ddos-aanvallen-en-grote-drukte):
Probleem bij opvragen QR-code
Daarnaast kan de QR-code niet werken bij mensen die de app een maand niet hebben gebruikt. Het ministerie adviseert gebruikers het coronatoegangsbewijs te 'checken' voordat je de deur uitgaat. Het advies van het ministerie: "Ga je 's avonds naar een café, zorg dan 's middags dat je een QR-code hebt opgevraagd."

Kennelijk worden vaccinatie-QR-codes in de CoronaCheck app af en toe (regelmatig? hoe frequent?) ververst. Het zou mij niet verbazen als die app daarvoor eerst moet inloggen bij DigiD.nl (zonder MFA dus), en met het verkregen access-token inlogt op een server van Coronacheck.nl om daar een verse, digitaal ondertekende, QR-code op te halen. Het zou dan om aanvallen op die servers gaan.

Overigens, uit https://coronacheck.nl/nl/privacy maak ik op dat de coronacheck.nl server(s) vaccinatiegegevens een jaar na vaccinatiedatum bewaren. Voor de Europese QR-codes zijn uitgebreide identificerende gegevens noodzakelijk. Bij de aanvraag van mijn afdrukbare QR-code kon ik niet kiezen voor alleen de Nederlandse: ongevraagd kreeg ik ook de Europese QR-code. Het zou mij niet verbazen als, voor iedereen die een vaccinatie-QR-code heeft aangevraagd, de uitgebreide set van Europese gegevens op de server(s) van Logius 1 jaar worden bewaard. M.a.w. weer een plek waar van zeer veel mensen allerlei identificerende en -feitelijk- medische gegevens worden bewaard.

Ik heb geen idee of en welke informatie de CoronaCheck-check app (die een groen vinkje kan laten zien en enkele letters en cijfers van het identiteitsbewijs) uitwisselt met de servers van Logius (ik hoop niet dat de overheid hiermee precies registreert wie wanneer in welke gelegenheid naar binnen gaat, maar die mogelijkheid bestaat; en indien nu nog niet van toepassing, kan deze burger-tracking bij een update worden ingevoerd). Als die apps vaak communiceren met één of meer specifieke servers, zou ook die "app" ge-DDoS-ed kunnen worden (ook hier niet de apps zelf, maar de server(s)).

Naar te moeten concluderen dat het weer eens net niet lukt allemaal en terwijl het allemaal zo belangrijk is ook nog.
We moeten er toch niet aan denken dat er meer mensen in het ziekenhuis terecht komen dan die 0,0000333% van de bevolking, maar gelukkig gaan we dat allemaal voorkomen met deze prima uitgedachte maatregels.
Aangezien de meeste besmettingen thuis plaatsvinden is het misschien nog een beter plan om ongeprikten ook maar meteen de toegang tot hun huis te ontzeggen; iets met QR sloten op de voordeur of zo.
26-09-2021, 16:00 door Anoniem
Door Anoniem: Een DDOS aanval op een website is makkelijk uit te voeren, maar ik wil weten hoe mensen de IP adressen hebben achterhaald van een APP zoals de CoronaCheck app?
Jij gebruikt dus nog geen firewall op jouw telefoon?
26-09-2021, 18:01 door majortom - Bijgewerkt: 26-09-2021, 18:24
Door Erik van Straten:Kennelijk worden vaccinatie-QR-codes in de CoronaCheck app af en toe (regelmatig? hoe frequent?) ververst. Het zou mij niet verbazen als die app daarvoor eerst moet inloggen bij DigiD.nl (zonder MFA dus), en met het verkregen access-token inlogt op een server van Coronacheck.nl om daar een verse, digitaal ondertekende, QR-code op te halen. Het zou dan om aanvallen op die servers gaan.
Het zouden niet alleen de DigiD servers kunnen zijn die aan te vallen zijn, maar het kan ook de signing service zijn die de data voorziet van een digital signature. Verder ververst de app volgens mij elke 90 seconden de QR code. Blijkbaar mag dat dan een maand niet gelukt zijn voordat de QR code niet meer wordt getoond. Ik zal de code eens induiken.

Overigens, uit https://coronacheck.nl/nl/privacy maak ik op dat de coronacheck.nl server(s) vaccinatiegegevens een jaar na vaccinatiedatum bewaren. Voor de Europese QR-codes zijn uitgebreide identificerende gegevens noodzakelijk. Bij de aanvraag van mijn afdrukbare QR-code kon ik niet kiezen voor alleen de Nederlandse: ongevraagd kreeg ik ook de Europese QR-code. Het zou mij niet verbazen als, voor iedereen die een vaccinatie-QR-code heeft aangevraagd, de uitgebreide set van Europese gegevens op de server(s) van Logius 1 jaar worden bewaard. M.a.w. weer een plek waar van zeer veel mensen allerlei identificerende en -feitelijk- medische gegevens worden bewaard.
Inderdaad wederom een plek waar de data redundant wordt opgeslagen met alle security risico's van dien.

De DDOS en aanpalende privacy/security problemen hadden gemakkelijk voorkomen kunnen worden als er niet een implementatie op basis van centraal geregistreerde gegevens gekozen was. Dit was blijkbaar weer het gemakkelijkst. maar een oplossing waarbij je bijvoorbeeld bij vaccinatie een secure QR code zou krijgen die je dan kon laten zien of desnoods in zou kunnen scannen in een app was volgens mij een eenvoudige manier om al die administraties die nu nodig zijn (inclusief DigiD identificatie) overbodig te maken, en de oplossing volledig decentraal te maken.

Ik heb geen idee of en welke informatie de CoronaCheck-check app (die een groen vinkje kan laten zien en enkele letters en cijfers van het identiteitsbewijs) uitwisselt met de servers van Logius (ik hoop niet dat de overheid hiermee precies registreert wie wanneer in welke gelegenheid naar binnen gaat, maar die mogelijkheid bestaat; en indien nu nog niet van toepassing, kan deze burger-tracking bij een update worden ingevoerd). Als die apps vaak communiceren met één of meer specifieke servers, zou ook die "app" ge-DDoS-ed kunnen worden (ook hier niet de apps zelf, maar de server(s)).
Het is ook nog maar de vraag of elke ondernemer deze CoronaScan app gebruikt of een eigen versie die wel allerlei gegevens opslaat.

Ook zag ik wederom in het NOS journaal waar het gebruik werd getoond en hoe gemakkelijk dat was dat eea zo lek is als een mandje. Bij elke gefilmde gelegenheid werd consequent niet de identificatie van de persoon op basis van een legitimatiebewijs uitgevoerd. Dus met een kopietje van een ander zul je, zoals verwacht, in >90% van de zaken zonder probelemen binnen kunnen komen.
26-09-2021, 18:38 door Anoniem
Door majortom:
Door Erik van Straten:Kennelijk worden vaccinatie-QR-codes in de CoronaCheck app af en toe (regelmatig? hoe frequent?) ververst. Het zou mij niet verbazen als die app daarvoor eerst moet inloggen bij DigiD.nl (zonder MFA dus), en met het verkregen access-token inlogt op een server van Coronacheck.nl om daar een verse, digitaal ondertekende, QR-code op te halen. Het zou dan om aanvallen op die servers gaan.
Het zouden niet alleen de DigiD servers kunnen zijn die aan te vallen zijn, maar het kan ook de signing service zijn die de data voorziet van een digital signature. Verder ververst de app volgens mij elke 90 seconden de QR code. Blijkbaar mag dat dan een maand niet gelukt zijn voordat de QR code niet meer wordt getoond. Ik zal de code eens induiken.

Overigens, uit https://coronacheck.nl/nl/privacy maak ik op dat de coronacheck.nl server(s) vaccinatiegegevens een jaar na vaccinatiedatum bewaren. Voor de Europese QR-codes zijn uitgebreide identificerende gegevens noodzakelijk. Bij de aanvraag van mijn afdrukbare QR-code kon ik niet kiezen voor alleen de Nederlandse: ongevraagd kreeg ik ook de Europese QR-code. Het zou mij niet verbazen als, voor iedereen die een vaccinatie-QR-code heeft aangevraagd, de uitgebreide set van Europese gegevens op de server(s) van Logius 1 jaar worden bewaard. M.a.w. weer een plek waar van zeer veel mensen allerlei identificerende en -feitelijk- medische gegevens worden bewaard.
Inderdaad wederom een plek waar de data redundant wordt opgeslagen met alle security risico's van dien.

De DDOS en aanpalende privacy/security problemen hadden gemakkelijk voorkomen kunnen worden als er niet een implementatie op basis van centraal geregistreerde gegevens gekozen was. Dit was blijkbaar weer het gemakkelijkst. maar een oplossing waarbij je bijvoorbeeld bij vaccinatie een secure QR code zou krijgen die je dan kon laten zien of desnoods in zou kunnen scannen in een app was volgens mij een eenvoudige manier om al die administraties die nu nodig zijn (inclusief DigiD identificatie) overbodig te maken, en de oplossing volledig decentraal te maken.

Ik heb geen idee of en welke informatie de CoronaCheck-check app (die een groen vinkje kan laten zien en enkele letters en cijfers van het identiteitsbewijs) uitwisselt met de servers van Logius (ik hoop niet dat de overheid hiermee precies registreert wie wanneer in welke gelegenheid naar binnen gaat, maar die mogelijkheid bestaat; en indien nu nog niet van toepassing, kan deze burger-tracking bij een update worden ingevoerd). Als die apps vaak communiceren met één of meer specifieke servers, zou ook die "app" ge-DDoS-ed kunnen worden (ook hier niet de apps zelf, maar de server(s)).


Ook zag ik wederom in het NOS journaal waar het gebruik werd getoond en hoe gemakkelijk dat was dat eea zo lek is als een mandje. Bij elke gefilmde gelegenheid werd consequent niet de identificatie van de persoon op basis van een legitimatiebewijs uitgevoerd. Dus met een kopietje van een ander zul je, zoals verwacht, in >90% van de zaken zonder probelemen binnen kunnen komen.

Je noemt wat zeg. Het NOS journaal. Ze praten niet over de Telegram groepen waar je 3 vaste aanbieders van QR codes hebt, die tegen betaling per IBAN jou netjes registreren in de officiele GGD database.

Wie weet hoeveel mollen in die organisatie rondlopen die het daarbij nog eens illegaal doen.
26-09-2021, 21:08 door Anoniem
Door majortom:
Ook zag ik wederom in het NOS journaal waar het gebruik werd getoond en hoe gemakkelijk dat was dat eea zo lek is als een mandje. Bij elke gefilmde gelegenheid werd consequent niet de identificatie van de persoon op basis van een legitimatiebewijs uitgevoerd. Dus met een kopietje van een ander zul je, zoals verwacht, in >90% van de zaken zonder probelemen binnen kunnen komen.

Met alle onzin en inconsequenties is dat ook helemaal niet erg .

(btw : de aanname dat wat het NOS journaal laat zien altijd een representatieve steekproef is moet je niet klakkeloos doen.
Een bewering wordt gedaan, en ondersteund met beelden van hetgeen wat men beweert. Klopt het hier ? Misschien . Ik heb op moment geen beeld van de horeca praktijk.)

Je vraagt je af wat het werkelijke doel van de invoering is . Dat Hugo de Jonge vrij dom is, eigenwijs en een bord voor z'n kop heeft is een gegeven. Zou het alleen zijn dat hij het door wil drammen want hij is appgeil ?
Dat ze er een stas (Monica Keizer) voor opgeofferd hebben geeft wel aan dat het resterende kabinet het belangrijk vond - of Hugo niet voor de kop wilde stoten.
Of zou het doel het neven-effect zijn dat heel grote percentages nu naar de vaccinatie geduwd worden .

Want ook al is iets niet technisch waterdicht, als de omweg te lastig en te veel gedoe is, zijn de aantallen mensen die perse de omweg nemen niet heel groot .

Het geldt voor veel zaken - of het nu illegale downloads betreft , of drugs, of fraudes, dat het 'goed genoeg' is als dat voor de overgrote massa te moeilijk of anderszins onbereikbaar/onaantrekkelijk is
27-09-2021, 08:35 door Bitje-scheef
Je vraagt je af wat het werkelijke doel van de invoering is . Dat Hugo de Jonge vrij dom is, eigenwijs en een bord voor z'n kop heeft is een gegeven. Zou het alleen zijn dat hij het door wil drammen want hij is appgeil ?
Dat ze er een stas (Monica Keizer) voor opgeofferd hebben geeft wel aan dat het resterende kabinet het belangrijk vond - of Hugo niet voor de kop wilde stoten.
Of zou het doel het neven-effect zijn dat heel grote percentages nu naar de vaccinatie geduwd worden .

Ben ook geen fan van Snip en Snap, maar de wet legt behoorlijk wat beperkingen op. Dus was het manoeuvreren tussen wetgeving, het virus en de borrelende eigenwijsheid van de Nederlanders.

Daarnaast is dit redelijk nieuw in deze vorm en deze tijd, zeker de manier/snelheid van verspreiden over meerdere landen.
Het proberen de maatschappij en economie overeind te houden. Dus toch enigszins petje af.
27-09-2021, 09:31 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Een DDOS aanval op een website is makkelijk uit te voeren, maar ik wil weten hoe mensen de IP adressen hebben achterhaald van een APP zoals de CoronaCheck app?

Dat is toch doodsimpel ?
Check doen - via wifi - en ondertussen met een sniffer meekijken met het netwerkverkeer.


En hoe kan het dat een overheid als Nederland zich hier niet tegen kan weren?

https://nos.nl/artikel/2399240-coronacheck-app-soms-onbereikbaar-door-ddos-aanvallen-en-grote-drukte

Het zal niet de eerste keer zijn dat een DDoS de schuld krijgt van een slecht ingeschatte capaciteit .

Verder is niet gezegd dat men zich niet KAN weren - maar mogelijk alleen 'DDoS protectie' niet in het projectplan gezet heeft en dat niet gebouwd is.
Het kost een stuk extra geld/tijd/moeite om een service DDoS robuust te bouwen .

Jesus Christus kunnen de 'satanisten' van de overheid niet eens tegen een beetje internet traffic?

Sta je dan in de file in de rij te wachten, kom je eindelijk bij de poortwachter van het theater na een uur niksen, valt je telefoon uit wegens slechte accu. Man man man wat een pech.

Dan maar straattheater?

Alles komt recht, alleen gaat het soms via een omweg.

Och och wat een huilie huilie weer.

Zoals ik het begrijp had men die kl*te app ook al eerder kunnen downloaden en "activeren".
Of een papiertje uitprinten. Heb je ook geen last van een lege accu of een overbelaste server.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.