Beheer

Security
DDoS-hoogleraar: DDoS afweren blijft een wapenwedloop

DDoS-hoogleraar: DDoS afweren blijft een wapenwedloop

2019 lijkt qua DDoS vooralsnog rustiger, maar achter de schermen is er continue ruis, zegt hoogleraar Aiko Pras.

Aiko Pras © Universiteit Twente
31 juli 2019

2019 lijkt qua DDoS vooralsnog rustiger, maar achter de schermen is er continue ruis, zegt hoogleraar Aiko Pras.

Op het eerste gezicht lijkt het qua DDoS-aanvallen rustig, maar of het achter de schermen ook echt rustig is -  DDoS-hoogleraar Aiko Pras betwijfelt het. “Het nieuws wordt minder vaak gehaald, dat klopt. Maar het aantal aanvallen dat dagelijks wordt gedaan, blijft ontzettend groot. Er is een soort ruis van continue aanvallen.”

Een DDoS-aanval is een Distributed Denial of Service-aanval waarbij met malware geïnfecteerde apparaten data sturen naar een server. Afhankelijk van de grootte van het ‘botnet’ en de staat en beveiliging van de server, is een website tijdens een DDoS-aanval slecht of zelfs niet bereikbaar. Uit onderzoek van het Nationale Beheersorganisatie Internet Providers (NBIP) over 2018 bleek al dat het aantal DDoS-aanvallen toeneemt; in 2018 waren er bijna veertien procent meer aanvallen dan het jaar ervoor en de aanvallen duurden gemiddeld ook langer. 2018 was het jaar waarin DDoS regelmatig in het nieuws kwam; het jaar startte met grote aanvallen op de Belastingdienst en diverse Nederlandse banken.

Of die ruis het eerste half jaar van 2019 erger is dan in 2018, durft Pras niet te zeggen. Reden: het is niet zeker of het aantal aanvallen dat wordt waargenomen en gemeld, ook het aantal is dat plaatsvindt. “Laatst deden we onderzoek naar het gebruik van ‘blackholing’, een anti-DDoS-techniek die in Nederland nauwelijks wordt toegepast. Tijdens het onderzoek ontdekten we dat er eigenlijk veel meer aanvallen gebeuren dan dat we tot nu toe dachten. Wat is nu de waarheid? Maten we verkeerd, meten we nu verkeerd, of hebben de partijen die aanvallen door waar de verdediging goed in is voeren zij andere vormen van aanvallen uit.” Pras wil maar zeggen: net als malware bestrijden is ook DDoS afweren een wapenwedloop. “Als je ze op één plek  tegenhoudt, heb je kans dat ze elders opduiken.”

Knullig

Sinds de aanvallen begin 2018 is er veel positiefs gebeurd, vindt Pras. “Het was knullig dat die aanvallen bij de banken succesvol waren. Dat vonden sommige werknemers van die banken ook. Dat zal ons niet ons niet nog eens gebeuren, hebben ze gedacht.” En dat had tot gevolg dat de oproep van Pras en een aantal collega’s is opgepakt. “We riepen op tot communicatie onderling en het delen van data. Als je zo’n oproep doet, hoop je altijd maar dat er iets gebeurt. Het is veel beter opgepakt dan we voor mogelijk hielden en de samenwerking is enorm verbeterd.” Pras ziet dat er nu oefeningen worden gehouden en dat er data wordt uitgewisseld. “We zijn daar in Nederland zo uniek in dat we het op Europees niveau aan het uitrollen zijn.”

Maar we zijn er nog niet, zegt Pras. Het type aanvaller verandert en ook het type aanval. Iets wat NBIP in zijn rapport ook al constateert. Zo kunnen we aanvallen verwachten die stukken sterker zijn dan nu het geval is. Pras denkt dat aanvallen van 100 TB/s mogelijk zijn; onze nationale verdediging ligt op enige TB/s. En daarnaast verschuiven de aanvallen naar de applicatielaag, laag 7 DDoS genoemd. “Daar wordt niet heel veel verkeer naar gestuurd, zodat de capaciteit van de lijn wordt volgeduwd. Er wordt heel specifiek verkeer gestuurd waarmee de apparaten aan de andere kant van de lijn de cpu overbelasten. Je ziet aanvallen op de encryptie, op het opzetten van verbindingen. Een aanvaller verstuurt geen 50 GB, maar maakt duizenden gelijktijdige verbinden. Zo heb je minder verkeer nodig en val je niet de breedte van de pijp aan, maar de verwerkingscapaciteit van de pijp.”

Verdediging te afhankelijk van VS

En dan kom je volgens Pras op een belangrijk punt van zorg: de privacy. Omdat veel van onze DDoS-verdediging door Amerikaanse leveranciers wordt uitgevoerd, komt de veiligheid van burgers in het geding. “Ik denk dat de Amerikaanse overheid in staat is om elke transactie die je met een betalingsapp doet, te zien. Voor de duidelijkheid: ik denk niet dat een leverancier als Akamai dat doet of zou willen. Maar de Amerikaanse overheid wel, bijvoorbeeld bij bepaalde personen – denk aan een Julian Assange. Daar monitoren ze alles van wat ze te weten kunnen komen, ook betalingsverkeer.” En die afhankelijkheid moet de Nederlandse overheid niet willen, vindt de hoogleraar. Hij pleit voor een meer nationale en Europese verdediging.

Die nationale verdediging kan nu prima de aanvallers aan die de afgelopen jaren voor de meeste overlast zorgden. Dat waren vooral zestienjarige jongens die balorig hun school aanvallen of het achtuurjournaal willen halen. Nu hebben aanvallen steeds vaker een crimineel karakter. “Je ziet steeds vaker dat commerciële partijen elkaar aanvallen rond Kerst of Sinterklaas, zodat de webwinkel wordt platgelegd. Maar ook daarmee kunnen we redelijk overweg. Wat me echt zorgen maakt, zijn de nationale veiligheidsdiensten die om politieke redenen – niet om economische redenen – schade willen aanrichten. Daar zijn we als Nederland niet op voorbereid.”

Lees meer over
Lees meer over Beheer OP AG Intelligence
Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.