Bekende IT-security experts en IT-journalisten zoals bijvoorbeeld Brenno de Winter en André Koot, hebben al via social media gereageerd op het verhaal van Rian van Rijbroek (Die eigenlijk Regina Magdalena Johanna van Rijbroek heet, russische spion? hoax?)
Ze gaan hierbij in op een nepnieuws-item van Nieuwsuur, waarin ‘cyberexpert’ Rian van Rijbroek die claimt ‘al jaren voor inlichtingendiensten te hebben gewerkt’ (bron?) uitlegt wat er de afgelopen tijd nou aan de hand is met banken, bedrijven en de belastingdienst die last hebben van DDoS-aanvallen.
Ik vraag me oprecht af of Nieuwsuur begrijpt wat voor schade ze aanrichten door een 'expert' uit te nodigen die dit soort belachelijke tips geeft.
Fwiw: je bank-app op je telefoon is veilig, in veel gevallen een stuk veiliger dan internetbankieren. pic.twitter.com/X13Y5TQ3mi
— {ಠ_ಠ}__,,|, (@danielverlaan) January 30, 2018
In het interview legt ze uit dat DDoS-aanvallen gebruikt worden om de ‘beveiliging voor inbreken te testen’, en dat het een voorbode is op ‘grotere en andere aanvallen’. Ook durft ze stellen dat de aanvallen van Rusland en Noord-Korea afkomstig zijn, een claim die nergens op gebaseerd is.
DDoS staat voor Distributed Denial of Service. Dit betekent dat met een DDoS aanval heel veel computers – vaak vanaf verschillende locaties ter wereld – verbinding met één server of website maken. De server is het doelwit: de mensen achter een dergelijk netwerk aan het internet verbonden apparaten proberen deze server traag te maken of in het geval van de getroffen banken en organisaties onbereikbaar te maken.
DDoS-aanvallen kunnen dus helemaal niet gebruikt worden om de veiligheid te testen van een platform, en het heeft dan ook helemaal niets met inbreken te maken, maar met de beschikbaarheid van een website. (Of een website dus online is of niet en bereikbaar is voor haar bezoekers of klanten).
Maar goed, het verhaal van van Rijbroek gaat verder, nadat ze het over DDoS-aanvallen heeft gehad, komen ook geldautomaten ter sprake. Deze zouden instaat zijn om op ‘bepaalde tijden’ geld uit te spugen volgens van Rijbroek. Dit klopt gewoon niet en is weer nergens op gebasseerd.
Er is gewoon geen link met de geldautomaten en de DDoS-aanvallen die de afgelopen maand de organisaties hebben geplaagd en offline hebben gehaald.
Ook komt van Rijbroek nog met het voorbeeld van hoe ze zelf haar ‘beveiligingsmaatregelen’ voor internetbankieren zou doen, waarin ze claimt geen gebruik te maken van Wi-Fi, maar een computer met een kabel en dat ‘internetbankieren-apps onveilig zijn’. En dat laatste, dat is nergens op gebasseerd. Ze zijn namelijk wel degelijk veilig. Ze zijn alleen niet 100 procent veilig.
In elke app en elk software-pakket komen beveiligingslekken voor, maar om ze om die reden dan maar te gaan vermijden is onzin. Er worden reguliere controles en audits op op dit soort bankapplicaties uitgevoerd om het veiligheidsniveau van te verhogen, en om ze uit het niets en zonder enige onderbouwing onveilig te verklaren is een brug te ver.
Wat kun je dan wel doen om jezelf beter te beschermen tijdens het internet-bankieren? de software van je telefoon en computer up-to-date houden, een anti-virus software pakket installeren en gebruik maken van je eigen 4G-verbinding of eigen thuis Wi-Fi netwerk om je bankzaken te regelen.
En dan is er ook nog het stuk over de blockchain,
De blockchain is oorspronkelijk de datastructuur achter het bitcoin netwerk. Het is het beste te vergelijken met een grootboek. Grootboeken liggen aan de grondslag van veel van de infrastructuur waarop we dagelijks vertrouwen en zijn niets anders dan lijsten waarin alle gegevensmutaties onder elkaar worden bijgehouden. Heel veel diensten en software die we gebruiken steunen op databases die functioneren als grootboeken. Daarin wordt bijna alle data opgeslagen. Geld bijvoorbeeld is tegenwoordig hoofdzakelijk te vinden in databases; Grootboeken bij financiële instellingen waarin alle balansen en transacties van- en naar rekening worden bijgehouden .
Blockchain heeft niets te maken met DDoS-aanvallen, de enige toepasbare manier van Blockchain voor banken op dit moment is het controleren van de administratie en misschien (als het snel genoeg wordt) het checken van transacties. Het heeft niets te maken met de beschikbaarheid van een website. ‘Blockchain kan helpen met DDoS’ is het zelfde als zeggen ‘als we een allemaal EHBO-diploma hebben dan hebben we geen files meer. Ergo: het heeft niets maar dan ook niets met elkaar maken’ (Dank Brenno voor de quote).
Velen spraken er al over. Had even tijd nodig om de tranen uit mijn ogen te krijgen. Deze dame hackt @Nieuwsuur de de stelling dat de Blockchain de oplossing is voor DDoS-aanvallen: https://t.co/UMFyUXeuFJ Iedereen weet dat blockchain middel is tegen rugpijn. #5minutenbullshit
— Brenno de Winter (@brenno) January 30, 2018
Hoe kun je een DDoS-aanval dan wel aanpakken / tegenhouden? Door bijvoorbeeld aangifte te doen bij de politie en gebruik te maken van Anti-DDoS providers die het verkeer schoonmaken (zoals CloudFlare of de Nationale Wasstraat tegen DDoS-aanvallen). Zij kunnen ervoor zorgen dat het schone verkeer wordt doorgelaten, en het vervuilde verkeer wordt afgevoerd en de websites nooit bereikt.
Redactie: Het probleem in de “cyber-sector” is dat er zoveel onzin wordt verkondigd en vaak, zoals Nieuwsuur in dit geval, wordt dat 1 op 1 overgenomen. Dit is slecht voor echte beveiligingsexperts en de journalistiek.
UPDATE: Het nieuwsartikel, de video en de verwijzingen naar de uitzending zijn verdwenen (https://nos.nl/nieuwsuur/artikel/2214345-de-uitzending-van-29-januari.html)
UPDATE: Vandaag zondag met Lubach maakte hier een leuk item van.
