Journalistiek

Onpartijdig, onafhankelijk nieuws, uitsluitend in dienst van het branchebelang.

Harde kritiek uit de branche op storing en uitleg Prolocation

  • Door
  • Arnout Veenman
  • geplaatst op
  • 13 februari 2015 08:00 uur

De informatie van Prolocation over de storing die verschillende hosters en grote websites uren lang platlegde, is beperkt. Op de informatie die Prolocation wel heeft verspreid, is in de branche de nodige kritiek te horen. Ook Stichting DHPA is zeer kritisch over wat Prolocation in de media zegt over de DDoS-aanval waardoor het bedrijf getroffen zegt te zijn.

Op BNR nieuwsradio (hier te beluisteren) stelt Michiel Steltman, directeur van de DHPA:

Het kan best zijn dat er sprake is van een nieuw type aanval. Maar in onze professionele sector zijn we prima in staat om langdurige downtime bij dit soort DDoS-aanvallen te voorkomen. We hebben de indruk dat er een rookgordijn wordt opgetrokken omdat er een aantal uitspraken aantoonbaar onjuist zijn.

Een van de punten die Steltman noemt, is dat Prolocation heeft gesteld dat andere leveranciers de DDoS-aanval ook niet aan zouden kunnen. Volgens Steltman is dat onze omdat Prolocation niet is aangesloten bij de NBIP NaWas en een andere leverancier geen problemen had omdat Tweakers, die door een andere leverancier wordt gehost, gewoon in de lucht bleef. Verder stelt Steltman op BNR: “NaWas heeft die capaciteit wel. Daarbij wordt ook de gezamenlijke capaciteit en intelligentie van alle providers ingezet en daar hebben we ook al diverse voorbeelden van gezien het afgelopen jaar.

De opmerkingen van Steltman komen op mij merkwaardig over. Het verhaal over Tweakers vind ik zelfs onnavolgbaar. En hoe kan Steltman bijvoorbeeld weten dat de NaWas de aanval wél aan zou hebben gekund? Prolocation is bijzonder vaag over het soort bijzondere aanval waardoor het getroffen is. Het verhaal dat Prolocation vertelt, is merkwaardig maar stel dat er wel een bijzondere nieuw soort aanval is. Hoe kan Steltman zonder te weten wat deze aanval inhoud, weten dat de NaWas deze dan wel aankan?

Ook op webhostingtalk.nl uiten veel gebruikers kritiek op de uitleg die Prolocation geeft over de storing die een bijzonder soort DDoS-aanval zou zijn. Wieger Bontekoe stelt bijvoorbeeld: “Het verhaal rammelt aan alle kanten. Aan de ene kant roepen ze meer capaciteit dan de wasstraat te hebben en aan de andere kant hebben ze geen logs meer.” Andre van Vliet stelt op het forum: “Hoe je het ook wendt of keert: er wordt gesteld dat de aanval specifiek tegen de Rijksoverheid gericht was. Als dat het geval is, zou je toch denken dat het probleem opgelost had kunnen worden door het betreffende subnet plat te leggen, zodat in ieder geval de rest gewoon online kan blijven.

Ook ISPam.nl krijgt kritiek te verduren op webhostingtalk.nl: “Computerworld.nl en ISPam nemen klakkeloos een vaag verhaal over ‘nieuwe’ DDoS aanvalstechniek over. Prolocation zegt zelf geen logs meer te hebben… erg geloofwaardig, not.” . Die kritiek is inderdaad terecht. Ik had zelf ook meer vraagtekens moeten zetten bij de uitleg van Prolocation. Het verhaal van Prolocation rammelt namelijk. Prolocation communiceerde totaal niet tijdens de storing.

Als het een ‘gewone’ storing was of in ieder geval leek te zijn, dan had het dat toch gewoon kunnen communiceren? Na afloop komt Prolocation met een vaag verhaal over een bijzondere DDoS-aanval waar zelfs de NaWas en Akamai niet tegen bestand zouden zijn omdat ze te weinig capaciteit hebben. Echter – zoals een hoster en de DHPA ook terecht opmerken – zou de aanval juist met weinig bandbreedte zijn uitgevoerd.

Het is voor mij niet te beoordelen in hoeverre er echt sprake is geweest van een bijzondere DDoS-aanval of dat Prolocation bezig is om een ander soort aanval te verhullen, zoals social engineering of een rancuneuze ex-medewerker of dat de directeur in het weekend iets te enthousiast was bij het onderhoud aan de fibers. Dat is niet te beoordelen.

Wel is het niet bepaald netjes van Prolocation om concurrenten met naam en toenaam te noemen die de aanval ook niet aan zouden kunnen. Dat terwijl je de achtergrond van de aanval niet bekend maakt, zodat de concurrenten zich ook niet tegen die stelling kunnen verweren. Ook is de uitleg en informatie van Prolocation op zichzelf zeer summier. Het is daarom de hoogste tijd dat Prolocation openheid van zaken gaat geven. Op dit moment bewijst het de branche vooral een heel slechte dienst.

[advpoll id=”121″ title=”Vraag van de dag” width=”100%”]

Reacties

Randy, 13 februari 2015 10:24 am

Geen logs hebben is prima mogelijk. Neem bijvoorbeeld Apache als webserver. Deze schrijft zijn logs pas weg, nadat het request voltooid is. Als je dus zorgt voor een open verbinding, maar geen afgeronde transactie (Slowloris) dan zul je dit nergens in de log weervinden.

CharlieRoot, 13 februari 2015 10:30 am

Hoe kun je dan als provider stellen dat de aanval gericht was (op rijksoverheid.nl) terwijl je geen logs hebt om het aan te tonen?

ViezeTor, 13 februari 2015 10:36 am

@Randy, als de attack al op webserver niveau zou zijn geweest dan denk ik niet dat de gehele ISP down zou gaan. Het zou kunnen als het een volume (data hoeveelheid) aanval zou zijn, echter dat word door prolocation ontkent ze stellen immers "slow en low".

Daarnaast log je als ISP ook op netwerk niveau, verder twijfel ik eraan dat apache het niet logt maar heb nu even geen informatie bij handen daarover. Het lijkt me dat een webserver bij een sessie open al een log entry maakt, mogelijk wel vertraagd weggeschreven in het log ivbm performance.

CharlieRoot, 13 februari 2015 10:39 am

Wat randy zegt klopt wel, maar dat is een heel specifiek geval en een webserver is absoluut niet te vergelijken met een router/switch die op hele andere manieren aan logging doet (denk hierbij aan SNMP, Netflow, sFlow).

nvt, 13 februari 2015 7:26 pm

Ik denk dat behoorlijk waardevolle informatie in netflow te vinden zou zijn.
Mogelijk heeft prolocation die niet kunnen opslaan.
Als de RP CPU's te druk zijn door de aanval, kan het maar zo dat er geen netflow/sflow metadata wordt gemaakt/gestuurd.

Maar volgens mij is een DDoS op rijksoverheid voldoende reden om netflow data op te vragen bij cogent en atrato. (de upstreams van prolocation)

Tonnie, 16 februari 2015 3:07 pm

"Wel is het niet bepaald netjes van Prolocation om concurrenten met naam en toenaam te noemen die de aanval ook niet aan zouden kunnen"

Aan de andere kant, er zijn toch ook zat concurrenten geweest die op linkedin en andere kanalen hebben geroepen dat deze 'storing' onaanvaardbaar is en ze vooral even met hun contact moesten opnemen...

Laatste reacties

Bedankt voor het succes van ISPam.nl
Koen Stegeman, Editor-in-Chief & founder Hostingjournalist.com: Jammer Arnout, maar je hebt een mooie bijdrage aan de hosting industrie geleverd, en dat jaren lang....

Bedankt voor het succes van ISPam.nl
Dillard Blom: Jammer dat een 'instituut' verdwijnt, en daarmee een bron van informatie over actuele zaken (en opin...

Bedankt voor het succes van ISPam.nl
L.: Uit automatisme kijk ik toch nog steeds elke dag naar ispam.nl, toch de hoop dat er nog een berichtj...

Bedankt voor het succes van ISPam.nl
Toni Donkers: Arnout bedankt! ik ga het missen dat is een feit!

Bedankt voor het succes van ISPam.nl
Marcel Stegeman: Ik zie het nu pas. Inderdaad jammer maar ik kijk nu al uit naar het volgende project.

Op ISPam.nl worden met ingang van 1 februari 2017 geen nieuwe berichten meer geplaatst. Het platform is daarmee een digitaal museum geworden dat ruim 10 jaar geschiedenis van de branche toont (2006-2017). xCAT.nl Publishing is tegenwoordig als juridische uitgeverij actief op het gebied van wetgeving.

Copyright 2006-2017 individuele auteurs en xCAT.nl Publishing. Alle rechten voorbehouden.
Overname van berichten is alleen toegestaan na toestemming van de auteur en uitgever.