DDoS is makkelijk

In tegenstelling tot wat Hollywood-films meestal projecteren, heb je voor een succesvolle aanval helemaal niet de hulp nodig van meesterkrakers, geflipte Defensie-topprogrammeurs, overgelopen cyberspionnen, of andere evil genieën. Iedereen kan DDoS'en. Voor een serieuze aanval zijn wel serieuzere middelen nodig dan alleen een eigen computer, maar voor een vastberaden iemand is dat best te verwerven. Hetzij via hacken, hetzij via botnets inhuren, hetzij via oproepen aan anderen om mee te doen. Dat laatste kan met een tool als de LOIC (Low Orbit Ion Cannon) of met een opt-in botnet.

Kijk maar naar DDoS-aanvallen uit het verleden, de jongeren die vervolgens zijn gearresteerd in sommige van deze gevallen, en nieuwe DDoS-aanvallen die sindsdien hebben plaatsgevonden. Een gedistribueerde denial-of-service aanval uitvoeren is heus niet alleen weggelegd voor grote partijen die diep in de internetinfrastructuur zitten. Zoals de strijdende partijen in de enorme Stophaus-DDoS van laatst. Slimme hackers kunnen naast nederige pc'tjes ook servers ronselen voor hun aanvallen. Dankzij slechte beveiliging waar ook serieuze bedrijven en via hen weer anderen onder lijden. Een enkele 17-jarige kan de was doen.

Het losvaste hackercollectief Anonymous kondigde in 2011 al een DDoS-tool aan om sites te DDoS'en door misbruik te maken van serverfouten:

DDoS is moeilijk

De aanval is succesvol afgeslagen, wist ING dinsdagnacht te melden in een tweet. Bij 'succesvol' en 'afslaan' hoort dan wel 20 minuten uitval én een etmaal later opnieuw onderuit gaan. Dat is niet verwonderlijk, want ondanks de claims van diverse it-en securityleveranciers is het moeilijk om DDoS-aanvallen goed af te slaan. Zeker als het gaat om moderne aanvallen die naast massaal vooral sluw zijn.

Technisch is het mogelijk om een DDoS-aanval af te slaan: als je maar meer capaciteit hebt dan je aanvaller. In het ergste geval dus het hele internet+1. Tenminste, dat is afdoende als het gaat om 'slechts' een bandbreedte-aanval, waarbij dus vele computers het doelwit bestoken met aanvragen die dat slachtoffer niet allemaal aankan. Er is echter geen sprake van 'de' DDoS-aanvalsmethode.

"Iedere DDoS-aanval staat uniek op zichzelf", weet ING - uit eigen ervaring - te vertellen. En dat is niet zomaar pr-prietpraat of marketingnuance, het gaat om keihard technisch onderscheid. Naast de relatief simpele bandbreedte-aanvallen, bestaan er DNS-amplification attacks, SYN-flooding, en nog vele andere vormen. Tegen sommige types is het moeilijker om je te beschermen. Bovendien zijn al die methodes ook te gebruiken in combinatie en/of afwisseling in één enkele aanval. Hierbij is er dus eigenlijk sprake van een D-DDoS: een diverse distibuted denial-of-service.

De technologie schrijdt voort; niet alleen voor anti-DDoS-middelen maar ook juist voor DDoS-mogelijkheden. Zie bijvoorbeeld de grote kwetsbaarheid in veelgebruikte programmeertalen die eind 2011 is onthuld. Daarmee kon een enkele thuis-pc met een nederige DSL-verbinding grote websites geheel platleggen. Hoe? Door een speciaal pakketje te sturen dat dan misbruik maakte van een fout in de serversoftware waardoor de server zichzelf over zijn toeren jaagde. Overigens lijkt ING er in de loop van afgelopen week wel in geslaagd te zijn om nieuwe aanvalsgolven sneller af te slaan.

Succes, tweet ING:

Cash fallback

Het is altijd verstandig om niet alleen voor back-up te zorgen, maar ook voor uitwijk. Een mogelijkheid om op terug te vallen als er iets misgaat, bijvoorbeeld door een DDoS-aanval. De wijsheid van zo'n fallback geldt niet alleen voor DDoS-slachtoffers, waarbij zo'n aanval overigens ook hun uitwijk op de korrel kan nemen. Dat het slim is om een alternatief klaar te hebben staan - of bij de hand te hebben - geldt ook voor klanten van DDoS-doelwitten, zoals bijvoorbeed banken.

Gewone burgers moeten misschien maar meer contanten op zak hebben. Niet al te veel, zeker niet zoveel als vroeger, maar wel genoeg cash om even een storing of een verkeerde saldoweergave succesvol te kunnen doorstaan. Want als internetbankieren en pinnen even verstoord is, dan kun je niet betalen of met je pinpas afrekenen. Idem dito als de bank dénkt dat je een te laag saldo hebt, overigens door een eigen fout en niet een DDoS-aanval. Klein bedrag? Pinnen mag. Maar nu even niet. De computer zegt nee, en dat bepaalt de betalingsrealiteit.

Internetstemmen, nee dank u

Internet is ondanks de kernoorlogbestendige oorsprong dus toch niet zo betrouwbaar als veel mensen denken. Correctie: het internet zelf overleeft het allemaal wel, maar sommige diensten die daarover worden aangeboden, zijn zeker niet kogelbestendig. Zeker niet als dankzij slimme aanvalstechnieken elke kogel in een schot DDoS-hagel een bom wordt. Dat maakt mensen boos over internetbankieren en leidt tot kritische vragen.

Datzelfde gebeurde eerder al bij telecomstoringen. In beide gevallen is uitwijk technisch misschien wel mogelijk, maar hoe dan ook moeilijk en kostbaar. In beide gevallen gaat om concurrerende partijen die elkaars diensten niet zomaar willen, kunnen en mógen overnemen. Nu is een succesvolle DDoS-aanval op internetbankieren achtereenvolgens vervelend, voor velen zorgwekkend, en voor sommigen letterlijk kostbaar. Uiteindelijk gaat het 'slechts' om geld.

Projecteer de recente reeks DDoS-aanvallen eens op internetstemmen. Het via internet, op een beveiligde manier, uitbrengen van stemmen tijdens verkiezingen. Dat is een moderne vorm van stemmen die samen met de omstreden en eerder al (af)gekraakte stemcomputers weer opdoemt. Een dagje DDoS'en volstaat dan om de democratie van Nederland te ondermijnen. Of kan de Nederlandse overheid wel wat ING niet goed lukt? Zoals de banken verplicht zijn te waarschuwen: resultaten uit het verleden geven geen garantie voor de toekomst.

Wees internetwijs

Zoals altijd bij grote gebeurtenissen die breed in de aandacht staan, springen sluwe cybercriminelen in op de DDoS-aanval(len) op ING. Vele Nederlanders hebben al mails gekregen 'van hun bank' of ze even willen inloggen om de betere beveiliging van hun bankaccount te activeren. 'Hun bank' kan dan ING zelf zijn, of één van de andere banken waarover klanten toch nerveus kunnen zijn.

Helaas is het anno 2013 nog steeds zo dat sommige mensen hier intrappen. Gedreven door angst, onzekerheid en vooral onwetendheid. Misschien dat het nu toch eens doordringt dat dergelijke mailtjes per definitie gewantrouwd moeten worden? Dat ze in het geval van banken en andere aan financiën gekoppelde online-inlogs volledig genegeerd en gelijk gewist moeten worden?

Want er zijn toch echt genoeg tekenen die op bedrog wijzen. Nog los van het feit dat banken “nooit vragen in e-mails naar persoonlijke bankgegevens en inlogcodes". Nooit, nooit, nooit. “Hetzelfde geldt voor de telefoon. Banken vragen nooit via de telefoon naar beveiligingscodes". Nooit, nooit, nooit dus. Toch vallen veel mensen voor dergelijke fraude, hoewel er net wel een spectaculaire afname is geconstateerd. Moet online-onwetendheid aangepakt worden met meer educatieve campagnes? Of met iets als een internetrijbewijs? Of met eigen risico's?

Ook Brenno 'mister Lektober' de Winter moet mensen er op wijzen: