DDoS-aanvallen nemen alleen maar toe
Door de recente DDoS-aanvallen op websites van ING, iDeal en De Telegraaf staat deze vorm van cybercriminaliteit volop in de schijnwerpers. En dat zal zo voorlopig blijven. Een verrassing is het niet: de DDoS-aanvallen nemen alleen maar toe in aantallen en hevigheid.
Wij merken dat het aantal aanvallen sinds de jaarwisseling flink aan het stijgen is na een redelijk rustige tweede helft van 2012. Onderzoeken geven ons gelijk. Het Amerikaanse Ponemon Institute ondervroeg IT-specialisten en 65% van de ondervraagden zei het afgelopen jaar last te hebben gehad van DDoS-aanvallen. Gemiddeld lagen de sites bijna een uur plat, met een schade van gemiddeld 17 duizend euro per minuut.
Dat financiële instellingen doelwit zijn van een aanval, is ook geen verrassing. Met een aanval op een bank, raak je veel mensen op een gevoelige manier, namelijk in hun portemonnee. Daarom kreeg deze aanval zoveel publiciteit. De grote vraag is echter wie er nou achter zulke aanvallen zitten.
Daderprofielen
Naar ons idee zijn er drie typen daders actief bij DDoS-aanvallen: activisten, criminelen en ´scriptkiddies´ (hobbyisten). Activisten beschouwen een DDoS-aanval als een ‘demonstratie’ op internet om aan te tonen dat zelfs een groot instituut kwetsbaar is en dat laten ze dan zien. Criminelen daarentegen hebben minder nobele doelen. Zij kunnen een DDoS-aanval gebruiken voor afpersing. Zo zijn veel ING-klanten na de aanval benaderd met nepmails om hun ‘inloggegevens te controleren na de grootschalige internetfraude’. En er zijn gevallen bekend dat er gedreigd wordt de aanvallen voort te zetten als er niet betaald wordt. Scriptkiddies, tenslotte, veroorzaken een DDoS-aanval vooral om vrienden en bekenden te imponeren en als egostreling. Omdat het hen gaat om de daad op zichzelf, lekt vaak al snel uit wie het gedaan heeft.
Deductie
Vooralsnog is niet bekend welk type dader achter de aanvallen op ING en iDeal zit, maar we durven wel af te leiden uit welke hoek de aanvallen komen. Als het activisten waren, hadden ze er beter aan gedaan om de wereld eerder te laten weten welke misstand ze aan de kaak wilden stellen. Scriptkiddies lijken het ook niet te zijn geweest. Dan was hun daad waarschijnlijk wel uitgelekt. Dan blijven er over: boze klanten, concurrenten of criminelen. Maar ING en iDeal laten er weinig over los, dus het blijft bij speculeren welke van deze drie groepen het betreft.
Reflection-attack
Het staat vast dat DDoS-aanvallen toenemen in frequentie en hevigheid. En dat is zorgwekkend. Quanza wordt inmiddels meerdere keren per week benaderd om te helpen de gevolgen van DDoS-aanvallen te beperken of teniet te doen. Wat we vooral zien, is een toename van het aantal ´DNS reflection-attacks´. Deze vormen de nieuwste soort aanvallen - al bestaat de problematiek al sinds 2006. Ze zijn vermoedelijk gewild vanwege hun eenvoud en de lage kosten. Je hebt er niet perse een groot botnet met geïnfecteerde PC's voor nodig om een DNS reflection-attack uit te voeren. Iedere scriptkiddie kan voor een paar euro een DNS reflection-attacks starten. De hevigheid van de aanvallen varieert afhankelijk van de vastberadenheid van de hobbyist en de mate waarin hij z'n sporen zal proberen te verbergen.
Acceptatie
Als organisatie kun je je ogen niet meer sluiten voor DDoS-aanvallen. Niets doen is geen optie. Acceptatie van de nieuwe realiteit is essentieel om voorbereid te zijn op wat vandaag of morgen gaat komen. Op technisch vlak betekent dat zorgen voor ´on-premise detectie´: waarschuwings-mechanismen op de serverlocatie, met migratie, verhuizing van de servercapaciteit, als eerste verdedigingslinie, of ‘first-line-of-defense’.
De essentiële DNS
Vergeet bij het voorkomen en de bestrijding van DDoS vooral de Domain Name Servers, de DNS-servers niet! Om DNS reflection attacks specifiek te ondervangen, is het belangrijk om twee DNS-kwesties goed in de gaten te houden. Let op:
1. Verkeerd geconfigureerde nameservers, of ´open resolvers´, die eigenlijk geconfigureerd zouden moeten zijn om de aanvragen van een beperkte verzameling clients, vragende computers of netwerken, te beantwoorden.
2. Internet Service Providers (hosters én access ISP’s) die het toestaan dat dataverkeer hun netwerken verlaat met een afzender, of bron-IP adres, dat níet in hun netwerk thuishoort. Het weigeren van verkeer met dergelijk nep-afzenders, of zogenaamde spoofed IP-packets, is het antwoord. Het is dus belangrijk dat ISP’s zorgen voor validatie van de IP-adressen van het verkeer dat door hun netwerken gaat.
Wereldwijd dezelfde maatregelen
DDoS-aanvallen vormen een groeiend probleem van wereldformaat. Daarom is het belangrijk dat ook in het buitenland maatregelen getroffen worden om deze aanvallen tegen te gaan. Hoe meer ISP’s er in de wereld de nodige maatregelen doorvoeren, hoe minder de kans dat DDoS succesvol wordt gebruikt. Als we alleen in Nederland ons straatje schoonvegen, is dat niet voldoende. Verkeerd geconfigureerde systemen en geïnfecteerde PC’s bevinden zich overal. Door het open karakter van het internet kunnen die wereldwijde met kwaadbedoelde software, of malware, besmette systemen door alle aanvallers, van overal vandaan worden misbruikt - dus ook vanuit Nederland in een aanval gericht op een Nederlandse partij.
Door Frans ter Borg, directeur van Quanza Engineering
