Recent werd er in verschillende delen van de Verenigde Staten melding gemaakt van grootschalige cyberaanvallen waardoor de websites van onder andere Reddit, Amazon, Airbnb, PayPal, Netflix, Twitter, Spotify en de New York Times crashten of urenlang onbereikbaar waren. De storingen werden veroorzaakt door een DDoS-aanval (Distributed Denial of Service) die gericht was op Internet-infrastructuurbedrijf Dyn dat kritieke IT-diensten levert aan grote bedrijven. Tijdens de aanvallen werden de directoryservers van Dyn verstoord. De aanvallen roepen veel vragen op. Zijn het slechte voorbodes?
Richard van Hooijdonk, Trendwatcher en Futurist bij BNR Nieuwsradio en Nyenrode University en spreker op het Cyber Security Event 2016.
Wat is DDoS en wat gebeurt er precies tijdens zo’n cyberaanval?
Dyn is een DNS-provider (Domain Name System), die met haar wereldwijde aanwezigheid meer dan 4 miljoen gebruikers en bedrijven ondersteunt. Als je een bepaald website-adres intikt gaat Dyn op zoek naar de locatie van de server en zorgt er vervolgens voor dat je op de plek van bestemming aankomt. Tijdens DDoS-aanvallen worden servers door miljoenen dataverzoeken dusdanig overweldigd dat reguliere gebruikers van de servers geen respons krijgen. Dit resulteert dan in onbereikbaarheid of vastlopen van websitepagina’s en een dramatische daling van websiteverkeer. Dyn omschreef de aanvallen als ‘complex en zeer geavanceerd’. Niet alleen spraken zij hun bezorgdheid uit over hoe kwetsbaar het Internet is, maar ook over de kracht van degenen die het Internet willen verstoren.
Dit is toch al vaker gebeurd, wat is er nu anders?
Er hebben in het verleden al talloze DDoS-aanvallen plaatsgevonden en dit is op zich geen wereldschokkend nieuws. De aanvallen hebben echter het potentieel om steeds meer problemen te veroorzaken. Het zijn met name de grote bedrijven die de infrastructuur van het Internet leveren die melding maken van een toename van de frequentie, duur, ernst en complexiteit van de DDoS-aanvallen. In vergelijking met eerdere aanvallen, lijken deze nieuwe meer ‘aftastend’, alsof men verschillende servers aan het testen is, op zoek naar het breekpunt, om te zien wat ze aankunnen. Volgens insiders kan dit erop duiden dat iemand, ergens aan het leren is hoe ze het Internet kunnen platleggen om wijdverbreide verstoring te veroorzaken.
De DDoS-aanvallen werden door middel van gehackte IoT-apparaten uitgevoerd en met name door webcams, CCTV-camera’s en DVR’s, waarvan de onderdelen worden gemaakt door XiongMai Technologies, een Chinees techbedrijf. Het probleem met de onderdelen in deze apparaten is dat hun wachtwoorden hard-gecodeerd in de firmware staan en de gebruiker deze niet kan wijzigen of uitschakelen. Andere connected apparaten die gehackt en ingezet kunnen worden bij soortgelijke aanvallen zijn televisies, koelkasten, thermostaten en zelfs babyfoons.
Was het een kwestie van Internetvandalisme of iets sinisters?
Volgens deskundigen is het niet erg waarschijnlijk dat deze aanvallen van criminele aard zijn omdat verstoring criminelen weinig oplevert. Woordvoerders van verschillende inlichtingendiensten vertelden dat het hier slechts ging om een klassiek geval van ‘Internetvandalisme’. Er wordt echter ook gespeculeerd dat landen als Rusland en China zich bezighouden met onderzoek naar wat er mogelijk is met grootschalige DDoS-aanvallen. De Amerikaanse regering, hoge ambtenaren en cyberspecialisten hebben Rusland er onlangs van beschuldigd cyberaanvallen te hebben uitgevoerd. Volgens hen zijn Russische inlichtingendiensten verantwoordelijk voor het hacken van Hillary Clintons e-mails met de bedoeling de presidentsverkiezingen te beïnvloeden. Niemand heeft de verantwoordelijkheid voor de aanvallen van de 21e echter nog opgeëist.
Een aantal beveiligingsbedrijven hebben gemeld dat de DDoS-aanval waarschijnlijk gepleegd werd door de Mirai-malware die gebruikt wordt om botnet- of zombielegers te creëren en vervolgens op zoek gaat naar IoT-apparaten als digitale videorecorders en IP-camera’s met standaardwachtwoorden. De malware kan miljoenen apparaten infecteren en hiermee DDoS-aanvallen uitvoeren met als doel een overbelasting van kritieke infrastructuur te veroorzaken. Een persoon met de naam ‘Anna-senpai’ heeft de source code voor de malware achter het Mirai-botnet onlangs online gezet. Dit wordt vaker gedaan door criminelen om te voorkomen dat zij niet de enigen zijn die over de software beschikken en zo minder eenvoudig door opsporingsdiensten of beveiligingsbedrijven gevonden worden. Soortgelijke botnets worden overigens ook gewoon op het Internet verhandeld. Als je maar genoeg bitcoins hebt kun je ze kopen en gebruiken waar en hoe je maar wilt. De verwachting is dan ook dat het aantal aanvallen door de publicatie van de broncode zal toenemen.
Wat de hackers hebben willen bereiken is nog steeds onduidelijk. Aanvallen in het verleden vonden meestal bij specifieke bedrijven plaats en dan werd er losgeld gevraagd. In dit geval is daar geen sprake van. Het is wel duidelijk dat de aanvallen zeer geavanceerd zijn, wat suggereert dat we niet te maken hebben met een tiener die aan het experimenteren is. Beveiligingsspecialist Bruce Schneier beweert dat iemand probeert uit te zoeken hoe sterk het verdedigingsmechanisme is van de bedrijven die kritieke punten van de Internetinfrastructuur beheren en hoe het Internet platgelegd kan worden.
De beveiligingsproblematiek van het IoT bezorgt de NSA slapeloze nachten
Rob Joyce van de Operations Tailored Access-eenheid van de NSA, leidt een team van hackers dat inlichtingen verzamelt door computernetwerken te hacken. Het team hackt ook Amerikaanse netwerken om te bepalen waar de beveiliging kan worden verbeterd. Joyce maakte bekend dat het Internet of Things en het gebrek aan adequate beveiliging het zeer eenvoudig maken om bepaalde doelen aan te vallen. De slechte beveiliging van IoT-apparaten zoals controlesystemen maakt het mogelijk om eenvoudig toegang te krijgen tot organisaties. Dit feit wordt door computernetwerkbeheerders vaak over het hoofd gezien.
Ook is het voor organisaties moeilijk om te detecteren wanneer zo’n hack gebeurt. De grootste zorg is dat hackers via deze apparaten ook van binnenuit toegang krijgen tot zakelijke, defensie- en staatsnetwerken, zonder door firewalls en andere intrusion prevention-systemen opgemerkt te worden. Duizenden van deze commerciële en industriële SCADA-systemen, inclusief kritieke infrastructuur zoals elektriciteitscentrales, zijn haast argeloos op het Internet aangesloten. “De problematiek rond SCADA-beveiliging bezorgt me slapeloze nachten,” zegt Joyce. Alles wat verbonden is met het Internet of Things is tot op zekere hoogte te hacken. Denk daarbij aan je Apple Watch, je slimme koelkast, de verbonden auto die je rijdt of de Hello Barbie van je dochter. Bar weinig van deze apparaten zijn afdoende beveiligd en dat is de droom van elke hacker. Ook bij zorginstellingen vervult het Internet of Things een steeds belangrijkere rol, een sector die de afgelopen jaren ook al verschillende keren slachtoffer is geworden van cyberaanvallen. Volgens Chris Sullivan van Core Security zijn de recente DDoS-aanvallen een indicatie dat we in de toekomst met nog geavanceerdere aanvallen te maken krijgen. Denk hierbij aan diefstal van creditcards en wapenontwerpen. Ook is men met deze aanvallen in staat om banken via SWIFT te hacken, het systeem dat het betalingsverkeer tussen alle banken wereldwijd regelt.
Bovendien kan men met de aanvallen ook fysieke schade aanrichten, zoals het geval was met de hack die plaatsvond bij oliegigant Saudi Aramco in 2012. Tijdens de aanval werden 30.000 computers beschadigd en werden daarbij van allerlei systemen gegevens buitgemaakt. Vervolgens werden de computers en servers compleet gewist. Hierdoor moest de grootste olieproducent ter wereld weer schrijfmachines en faxapparaten gebruiken. Pas vijf maanden later slaagde Saudi Aramco erin de schade te herstellen en kon het bedrijf weer online. Uiteraard met een nieuw computernetwerk en een uitgebreid beveiligingssysteem. Volgens beveiligingsexperts heeft het bedrijf geluk gehad dat het Shamoon-virus geen permanente schade aanrichtte aan de oliefaciliteiten, anders waren de gevolgen niet te overzien geweest.
We lijken er helaas weinig aan te kunnen doen
Helaas is het zo dat we bestaande IoT-apparaten niet beter kunnen beveiligen en gebruikers moeten er dan ook zelf voor zorgen dat hun privégegevens veilig zijn. Het grootste probleem is dat veel mensen niet eens weten, of niet geloven, dat hun thermostaat of webcam gehackt kan worden en dat criminelen op die manier toegang kunnen krijgen tot hun persoonlijke informatie. De enige manier om deze problemen te voorkomen is als bedrijven hun producten afdoende beveiligen. Maar zonder product recalls, nieuwe industrienormen, rechtszaken of regelgeving van de overheid zal dit naar alle waarschijnlijkheid niet gebeuren.
Het probleem is dat we de wereld zo razendsnel genetwerkt hebben dat de beveiliging van de miljoenen IoT-apparaten en goedkope sensoren daar geen gelijke tred mee heeft kunnen houden. De techbedrijven moeten de verantwoordelijkheid op zich nemen en de problemen oplossen die ze gecreëerd hebben. De allerbeste manier om een eind te maken aan ransomware en DDoS-aanvallen zou uiteraard zijn om al onze miljoenen IoT-apparaten los te koppelen van het Internet, maar dat is in de huidige tijd geen reële optie. Dan is er ook nog de kwestie van aansprakelijkheid. Wie is er verantwoordelijk als er iets misgaat? De eigenaar van het apparaat? De fabrikant? De hacker? En het gaat niet alleen om cyberaanvallen. Stel je voor dat je slimme apparaat zoals je koelkast gebruikt zou worden voor het verspreiden van kinderporno, bij wie ligt dan de verantwoordelijkheid?
‘Slechts’ een paar dagen zonder Internet zou voor iedereen rampzalige gevolgen hebben
Wat er op de 21e heeft plaatsgevonden heeft geleid tot speculaties over een cyberaanval die het hele Internet langdurig zou platleggen, met enorme schade voor de economie. Een volledige Internetuitval zou waarschijnlijk gevolgd worden door een moment van stilte, en dan een collectieve, wereldwijde schreeuw. Met andere woorden, het zou rampzalig zijn, al zeggen experts dat de kans dat dit gebeurt niet erg groot is. Het Internet is een uiterst flexibel netwerk van netwerken van nóg meer netwerken. Als een deel ervan uitvalt, werken de resterende delen gewoon door. Maar als er bijvoorbeeld sprake was van een zonnestorm, of iemand sneed de onderzeese glasvezelkabels door, en het hele Internet zou vervolgens een of twee dagen platliggen, wat dan?
Onze eerste reactie zou waarschijnlijk irritatie zijn. Omdat we niet kunnen googlen, geen Whatsapp-berichten kunnen sturen, geen toegang hebben tot social media, niet naar muziek kunnen luisteren of online shoppen en films kijken. Communicatie zou dan erg moeilijk zijn. Ook zouden we geen nieuwsberichten ontvangen. Dan komt de realisatie dat we voor veel meer dan alleen entertainment afhankelijk zijn van het Internet en dat een langdurige storing ernstige chaos kan veroorzaken. We zouden geen toegang hebben tot ons geld, automatische betalingen zouden niet doorgaan en onze salarissen zouden niet op onze rekening verschijnen. We zouden geen spullen kunnen kopen of kunnen reizen. Dan zijn er de verkeerssystemen die niet werken en de hulpverleningsdiensten die niet bereikbaar zijn. Logistieke systemen zijn ook sterk afhankelijk van het Internet en bedrijven die hun rekeningen niet betalen ontvangen geen goederen van hun leveranciers. Met lege winkels, paniek onder de burgers en zelfs rellen als resultaat.
De recente DDoS-aanvallen waren de grootste ooit vertoond op het Internet en beveiligingsambtenaren van de Amerikaanse overheid hebben aangegeven dat er serieuze pogingen zijn geweest om kritieke onderdelen van de Amerikaanse infrastructuur uit te schakelen. Ook is men bezorgd over gecoördineerde aanvallen op het elektriciteitsnet die hele regio’s in duisternis zouden hullen, en deze zorgen zijn niet ongegrond. Misschien is de kans dat dit binnenkort gebeurt nog niet erg groot, maar hij is wel degelijk aanwezig.
Meer weten?
Op 29 november 2016 vindt het Cyber Security Event 2016 plaats! Hoort u hoe u uw organisatie beschermt tegen cybercrime en datalekken. Benieuwd naar het programma?
Bekijk het congresprogramma