Gepubliceerd: Donderdag 18 september 2008
Een werkgroep van de VN broedt op methoden om DDoS-aanvallen te bestrijden middels 'IP traceback'. Maar mensenrechtenvoorvechters slaan alarm.
Toon volledig artikel
Iedereen die ook maar 1 seconde serieus denkt dat dit een goed plan is heeft 'kwaad in de zin', of is niet goed op de hoogte. Je ziet direct dat dit gebruikt gaat worden als massa onderdrukking en dat het vrijheid van meningsuiting op internet onmogelijk maakt.
11 oktober. Laat je stem horen.
http://www.volksopstand2008.nl/
Pardon? Dat is het hele idee achter een effectief dictatorschap! Het Internet gooit roet in het eten, waarom denk je dat ze zoveel communicatiemiddelen glashard verboden hebben in Noord-Korea? Omdat ze daar tenminste hun zaakjes op orde hebben. Hulde!
Afgezien van het feit dat ik meestal tegen privacy-wegnemende maatregelen ben, is dit loos geschreeuw in de ruimte.
Jim Dempsey, vice president for public policy bij the Center for Democracy and Technology ziet het plan niet zitten
Weer zo'n idioot die al een mening heeft gevormt voordat hij weet waar het over gaat. Die hele "IP traceback" implementatie leidt nergens naar toe, want:
- De meeste access providers weren al lang gespoofde IP ranges vanuit hun access ranges, juist om ontraceerbare DDoSes te weren. Tevens, hoezo moet jij het recht hebben om iets te sturen vanuit het IP nummer van een ander? Er zijn maar weinig legitieme redenen voor te bedenken. Providers die dit nog niet hebben geimplementeerd hebben een serieus gebrek aan bekwaamd personeel.
- Voor birdirectionele communicatie heb je sowieso niets aan gespoofde adressen, je wilt immers ook ooit een antwoord ontvangen.
- De meeste DDoSes gebeuren vanuit zombies, die zombies op die host machines staan er doorgaands niet vrijwillig op. De opdrachtgevers van dat zombie-netwerk zijn dus ook niet te vinden op de IP nummers van de zombie hosts.
Ik zie ook niet hoe een overheid zoals China kan profiteren van IP traceback, alsin om hun regime te versterken, zelfs niet puur hypotetisch.
Ik ben benieuwd of het voorstel van ITU op iets gaat uitdraaien, de meeste IP traceback oplossingen die zijn proposed voegen vrij weinig toe, het genereerd alleen een hoop extra load op routers en lost het DDoS probleem niet op. Het DDoS probleem moet mijns inziens worden opgelost op de clients die het veroorzaken en bij de access providers van die hosts die het verkeer de wereld in helpen.
"Providers zien steeds meer SMS en VOIP-verkeer ontstaan en zij hebben het recht om de afzenders van dat verkeer een rekening te sturen. "
Doen ze dat niet dan, welke provider is dat daar sluit ik meteen een abbo af.
Hoezo hebben ze een recht om een rekening voor VoiP verkeer te sturen? De persoon die gebeld wordt betaald de rekening toch?
Bij SMS is het nog simpeler: geef geen SMSjes door waarvan de bron onbekend is. Dat scheelt spam bij de ontvanger en lost dit probleem ook op.
Hoezo hebben ze een recht om een rekening voor VoiP verkeer te sturen? De persoon die gebeld wordt betaald de rekening toch?
In een omgekeerde wereld is dat wellicht zo, je betaalt toch ook niet voor het ontvangen van ouderwetse telefoontjes (uitzonderingen zoals mobiel in het buitenland of collectcalls)? Dus waarom zou een ISP extra geld moeten kunnen vangen indien wat udp verkeer wat ik ontvang toevallig voip gerelateerd is? Ze krijgen toch al maandelijks een vergoeding voor verkeer van mij?
In het geval van VoIP kan de provider de kosten voor het zogeheten termineren van het gesprek niet doorberekenen aan een andere telco. Niet zo heel gek, want het is geen gesprek als het via VoIP over de dataverbinding van de foon loopt. En dat probleem hoeft niet meer opgelost te worden, want dat is al opgelost: de eigenaar van de foon betaalt z'n data-rekening namelijk zelf. Die hoeft niet meer te worden doorgestuurd naar de andere gesprekspartner.
Slap excuus om dissidenten aan te pakken, of om als overheid eng gedetailleerde persoonlijkheidsprofielen op te zetten over iedereen die data uitwisselt...
Wat een onzin.
Router fabrikanten dienen gewoon standaard uRFP aan te zetten en je kunt pakketten alleen nog maar binnen je eigen netwerk spoofen, DDoS probleem opgelost.
Op dit moment (en dat is al 10 jaar zo) is niet het probleem dat je het niet kunt voorkomen, maar dat de default instellingen spoofing toestaan.
Naar mate je in de landen komt waar men de Engelse taal minder (of niet) machtig zijn, naar mate het onveilig is en het niveau van netwerkbeheer matiger word. Immers documentatie over bijvoorbeeld uRFP (maar ook over CAR) vind je alleen maar in het Engels.
Het voordeel is dat het al bestaat en dat er geen technische aanpassingen nodig zijn alsook dat het niet de individuele privacy schend.
Er zou een netiquette afspraak moeten komen waarbij elk partij die ergens fysiek aan wil koppelen eerst moeten laten zien dat hij uRFP aan heeft staan, zodat er uit zijn netwerk geen gespoofde packets verzonden kan worden. Als iedereen die zou verlangen, als ook dat het default aanstaat (en liefst niet uitgezet kan worden), voorzie ik over 20 jaar geen anonieme DDoSS aanval meer.
Zie ook http://en.wikipedia.org/wiki/Reverse_path_forwarding
Zoals ik het begrijp laat uRPF pakketten vallen die niet uit het eigen netwerk hadden kunnen komen? Maar dan blijft het toch mogelijk om gespoofde pakketten te maken, zij het dan wat beperkter, namelijk willekeurige source IP's uit een bepaald subnet. Volgens mij houden dDos bots hier al rekening mee.
Iemand die die dDos bot zou willen vinden, heeft een idee in welk netwerk gezocht moet worden, maar concreet welk fysiek station het is, is nog een raadsel.
Gegeven de netwerk setup van de meeste colo's zou het niet zo moeilijk moeten zijn om de poortjes dusdanig te configureren dat iemand niet het IP-adres van een andere host in dat subnet mag gebruiken.
Afgezien daarvan is het natuurlijk nu al mogelijk om in geval van een DDoS te kijken welke switchpoortjes in de gewraakte periode ongewoon veel data aan het genereren waren. Als je eenmaal een subnet gelokaliseerd hebt, is het een eitje om de boel te traceren naar de uiteindelijke boosdoener.
Wat natuurlijk weer niet wil zeggen, dat die 'boosdoener' aangeklaagd moet worden. Een DDoS vanuit een zombie-netwerk hoeft helemaal niet te spoofen, er zijn hosts genoeg en het enige wat ze moeten doen is dataverkeer genereren. Dat kunnen ze net zo goed met hun eigen IP-adres. Het is alleen wat jammer als daardoor de zombie-pc's beter gevonden kunnen worden en van de trojans ontdaan worden. Maar ik denk dat zelfs dat een druppel op een gloeiende plaat is.
Een gespoofd station in je eigen netwerk vinden is vele malen makkelijker dan dat je over verschillende infrastructuren van verschillende partijen moet backtracen.
Immers ook een gespoofd IP adres heeft een MAC adres en iemand die regelmatig (of zomaar) een mac adres gaat aanpassen kan je aan de hand daarvan vinden.
uRPF zorgt ervoor dat de router alleen pakketen het netwerk laat verlaten die een IP hebben van de range die hij "Intern" bedient. Dus als er een botje actief is die gespoofed packets probeert te verzenden gaat de load van de router omhoog (filtering is resource intensief) en zal er ergens een lampje moeten gaan branden.
Zoals met kinderporno, gebruikt met DDoS als excuus om iets anders te bewerkstelligen, namelijk het achterhalen van personen.
Dit idee is overigens niet nieuw, er was een in 1999 waren er mensen in de regering die het liefst wilde dat elke IP packet een "vingerafdruk" had, die terug herleiden was naar een internet rijbewijs. (nee ik verzin het niet)
http://tweakers.net/nieuws/7451/klpd-wil-kenteken-op-elektronische-snelweg.html?ID=7451
news.cnet.com/8...0030134-46.html
Als je dit leest (ook vooral even de .pdf downloaden), dan weet je dat al dat privacy gezeur nix helpt. Alles wat 'men' wil weten van je, weten ze al of kunnen ze vrij makkelijk aankomen.
Tel daar straks de real-time mogelijkheid van de overheid bij op om onze auto 24/7 te volgen en klaar ben je.
Verder gaat dit niet over dDOS aanvallen, spam of ander ongemak zoals terrorisme het gaat over controle, controle van de overheden over burgers.
Dus we zullen of anders over wat privacy is moeten gaan denken of er zal een revolutie aan te pas moeten komen.
Ik vraag me af of we ook in de toekomst onze fietsen moeten chippen.... dan zijn wij als Nederlanders wel redelijk 'screwed' ja. Otherwise, storm in een glas water. Je hoeft niet elke keer de wagen te pakken! Misschien een extra motivatie voor alle paranoia mensjes out there om toch maar dat koekblik te laten staan?
Je fiets laten chippen kan al op vrijwillige basis. Natuurlijk gaat dat ook verplicht worden v.a. 2012.
A. Omdat de overheid de criminaliteit wil terugdringen.
B. omdat het een alom bekend vervoermiddel is van terroristen in Nederland (en alle ander vlakke landen).
C. Omdat de verzekeringsmij het gaat eisen, i.v.m. de verplichting die zij opgelegd gaan krijgen door punt A.
Verder zal de overheid aanvoeren dat het;
1. Een rechtsongelijkheid met de automobilist zou kunnen opleveren, die kan immers gevolgd worden en de fietser niet, dat gat wil men dichten. We kunnen niet alleen mensen die in het bezit zijn van een auto voor een mogelijke betrokkenheid bij een moord oppakken, de dader zou ook per fiets gekomen kunnen zijn.
2. De zware subsidies op het gebruik van de fiets, zowel in de aanschafprijs verwerkt als in de belastingvoordelen moeten gecontroleerd kunnen worden op (on)eigenlijk gebruik.
3. De korting op uw ziektenkostenverzekering omdat u bij vervoer tussen woon&werk heeft aangevinkt: 'Per fiets' moet gecontroleerd kunnen worden, uiteraard... u wilt dat voordeeltje toch niet mislopen.
4. De EU eist het en President Sarah Palen van de USofA overweegt een zelfde wetgeving.
5. Ook het feit dat vele fietsen tegenwoordig met een satnav en Internetverbinding uitgerust zijn, noopt tot het roaming met deze mobiele IP-nummers geregistreerd dient te worden.
Waarvan akte.
Volgens Rutkowski kost het gebrek aan deze kennis de providers enkele honderden miljoenen euro's per jaar
Ik denk dat de beste man het een beetje verkeerd ziet. Ervan uitgaande dat een provider de zaak kostendekkend runt, betekent dit, dat het door z'n klanten is/wordt betaald.
Hij bedoelt natuurlijk dat ze enkele honderden miljoenen meer kunnen verdienen.
Vrijheid is een principiele zaak, niet een selectieve zaak. Het gezeik en geschreeuw over bijvoorbeeld spammers, hoe vervelend en naar ook, heeft legitimiteit gegeven aan dit soort kul.
Er is niets op deze aardbol wat niet een negatieve en positieve kant heeft. Door het continue gezeik over negatieve bijzaken van bepaalde (mensen)rechten en de roep om de overheid, is het principe geschonden en hoeft niemand verbaasd te zijn dat de roep om meer en meer groter wordt. Dat is nou die beroemde glijdende schaal. Vrijheid is geen keuze menu en je privacy is/was een recht, maar dat betekende nog niet dat je er achteloos mee om mocht gaan om dan aan het einde te gaan zitten janken om overheidsmaatregelen.
Men vraagt, de overheid draait en liefst nog een beetje meer.
De (1.)hyped (2.)society......
1. http://en.wikipedia.org/wiki/Promotion_(marketing)
2. http://en.wikipedia.org/wiki/Society
en de 'gevolgen' daarvan, brrr...
Wat is toch de reden van die niet aflatende drang van wereldwijde overheden om ALLE bewegingen, gedragingen, medische gegevens en meer van AL haar burgers in kaart te willen brengen..?
Zijn er soms 'ALIENS' geland ofzo..? Of zijn al die politici niet 'van deze wereld'....
WHAT THE F*CK IS WRONG WITH THE PEOPLE WHO CREATED THIS (STUPID) IDEA IN THE FIRST PLACE !!
PLEASE Dr. PHILL, HELP US TO FIND A CURE...
Plof...
Om te kunnen reageren, dient u ingelogd te zijn.
2 jaar geleden: 13 februari 2010
3 jaar geleden: 13 februari 2009
4 jaar geleden: 13 februari 2008
5 jaar geleden: 13 februari 2007
14 jaar geleden: 13 februari 1998
IDG Nederland is uitgever van: AppFish
, CIO, Computer!Totaal, Computerworld, ITworld, Jobworld, MacWorld, RAW fotomagazine, TechFish, Tips & Trucs, Webwereld en Zoom.nlMeer informatie: IDG Nederland, IDG.com, Privacy-statement, Cookie-statement Hosting by Terremark.
