Rabobank wapent zich tegen schadelijke cyberaanvallen

De website van de Rabobank werd maandenlang belaagd door cybercriminelen die tot twee keer toe het betalingsverkeer van miljoenen klanten platlegden. Hoe kan een bedrijf zich verdedigen tegen ddos-aanvallen?

Een gloednieuw tweede datacentrum. Een reserveverbinding met een andere provider. Een abonnement op een dienst die zou moeten beschermen tegen aanvallen van ‘botnets’. En toch, ondanks al die maatregelen, ging de website van de Rabobank dit jaar al twee keer onderuit door een cyberaanval.

In februari en mei ondervonden vier miljoen thuisbankiers opeens aan den lijve wat er speelt in de wereld van cybercriminaliteit: een opleving van aanvallen uit botnets. Een botnet bestaat uit duizenden gekaapte computers, die bestuurd worden door een centrale server.

In het geval van een distributed denial of service -aanval (kortweg ddos) halen pc’s tegelijk een webserver uit de lucht door extreem veel verkeer te veroorzaken of – geavanceerder – de server te veel applicaties tegelijk te laten uitvoeren. Het resultaat is dat de website onbereikbaar raakt voor gewone bezoekers.

In het weekeinde van 19 en 20 februari gingen de Raboservers voor het eerst plat. Het was ook de eerste keer dat een Nederlandse bank op deze manier zo effectief werd aangevallen. Financiële instellingen zijn voor hun bedrijfsvoering compleet afhankelijk van hun digitale infrastructuur. Daarom had de Rabobank vorig jaar een nieuw datacentrum geopend. Ook had het bedrijf zich beveiligd tegen flood attacks, de meestvoorkomende ddos-aanvallen.

Een beschermende dienst van de belangrijkste internetprovider zou het kwaadaardige verkeer van het gewone verkeer moeten filteren. Maar het werkte niet. De aanval was zo geavanceerd opgezet, dat hij pas ontdekt werd toen de server crashte.

Rabobank.nl verdween van de radar en de aanval verstoorde ook twee dagen lang het online betalingsverkeer van iDeal. Daarna volgden in die week nog regelmatig ‘naschokken’ – kleinere ddos-aanvallen gericht op de Rabobank-site. Ook al bleef de bank onder vuur liggen, de bescherming werkte afdoende. Zekerheidshalve werd ook op de tweede internetverbinding ddos-bescherming geplaatst. Voordien was die dienst nog niet beschikbaar.

Het ging goed, tot op 2 mei het noodlot opnieuw toesloeg. Op die maandagochtend, even voor acht uur, liepen de servers vast: de Rabobank was opnieuw het doelwit van een ddos-aanval, nu met een andere ‘signatuur’ (zie: Bescherming tegen ddos-aanvallen).

Voor deze aanval werden relatief weinig computers gebruikt en het aanvalspatroon was opnieuw niet door de detectieapparatuur te herkennen. De aanval had wellicht kunnen worden afgeweerd door rigoureus het buitenlandse verkeer af te slaan, maar die optie bleef onbenut.

Al had gebruikte de tweede provider van de Rabobank een andere beschermingsmethode, ook deze software werkte niet tegen de ddos-aanval. Er ging tijd verloren met het doorgeven van de adressen van te blokkeren computers; die moesten eerst nog gecontroleerd worden door de provider.

Door het uitvallen van de website konden miljoenen klanten opnieuw niet internetbankieren. Ook de iDeal-betalingen werden weer gehinderd. Webwinkels, boos over verloren klandizie, meldden dat ze een miljoenenschade hebben geleden.

Maar op het Utrechtse hoofdkantoor van de bank had men andere zorgen. De hackers hadden zich echt verdiept in de serverstructuur van de Rabobank. Wisten ze zich geen toegang te verschaffen tot klantengegevens of het betalingsverkeer? Nee, bezweert de bank.

Nog steeds tast men in het duister over het motief van de aanvallers. Er volgde geen claim (die had kunnen duiden op chantage). Was het misschien een afleidingsmanoeuvre om elders in te breken op de infrastructuur? Er is niets gevonden.

Moesten de ddos-aanvallen de aandacht afleiden van een phishing-poging? De Rabobank is vaker doelwit van deze nepmailtjes, waarmee cybercriminelen proberen in te loggen op andermans bankrekeningen. Maar ook daarvoor ontbreekt het bewijs.

De meest waarschijnlijke verklaring is dat de Rabobanksite werd platgelegd voor de grap, of als demonstratie van de kracht van een botnet – als een uit de hand gelopen proefrit. De bank heeft aangifte gedaan en sindsdien niets meer gehoord.

„Te moeten gissen naar het motief van de daders is frustrerend”, zegt een woordvoerder van de bank. Nu, bijna twee maanden later, wil Rabobank enig inzicht geven in de aanvallen. „Dit is niet iets des Rabo’s. Dit kan andere bedrijven ook overkomen.” Transparantie moet imagoschade beperken en door kennis te delen kunnen ook andere banken er hun voordeel mee doen.

Daarom nam Rabobank na de eerste aanval onder meer contact op met Mastercard, een van de bedrijven die vorig jaar al het slachtoffer waren van een ddos-aanval. In het midden van de verhitte discussie over Wikileaks zetten activistische hackers toen ddos-aanvallen op om de sites van Mastercard, Visa en Paypal plat te leggen. Deze financiële instellingen weigerden betalingen aan Wikileaks te verwerken. Ook twee websites van Justitie gingen daarna plat, als protest tegen de arrestatie van een jonge Nederlandse hacker die betrokken was bij de eerste aanvalsgolf.

„‘Ddossen’ werd een tijd lang gezien als een grof en ouderwets middel. Toch raakt het de laatste jaren weer in de mode”, zegt Michel van Eeten, hoogleraar aan de TU Delft en gespecialiseerd in botnets en cybercriminaliteit. De ddos-aanval wordt vaak als politiek middel ingezet: de websites van de Amerikaanse inlichtingendienst CIA en de Israëlische overheid lagen de afgelopen maand onder vuur.

De ‘hacktivisten’ zijn meestal tieners die op hackersfora rondhangen, op zoek naar slecht beveiligde servers en websites. Liefst aansprekende doelen, om media-aandacht te generen en elkaar de loef af te steken. Heel wat anders dan de ddos-aanvallen waarbij cybercriminelen websites blokkeren om bedrijven af te persen of concurrerende diensten het leven zuur te maken.

Dankzij de lage instapdrempel wordt de ddos-aanval vaak vergeleken met digitaal vandalisme: de jonge hackers schrijven zelf geen code, maar gebruiken methodes die je met wat googlen bij elkaar kunt sprokkelen.

Het is ook niet moeilijk om de beschikking te krijgen over een botnet, want die worden via het web te huur aangeboden. Er zijn genoeg slecht beveiligde computers die zich ongemerkt laten inzetten voor webaanvallen; in Nederland wordt elkaar jaar 5 tot 10 procent van de pc’s ‘gekaapt’.

Ddos-aanvallen zijn relatief makkelijk te filteren als je daarvoor de juiste apparatuur aanschaft, zegt Frans ter Borg van netwerkbedrijf Quanza. Hij verkoopt sinds twee jaar ddos-bescherming van een Amerikaans bedrijf. Meeliftend op het groeiend aantal ddos-aanvallen is het nu bijna 10 procent van zijn omzet.

Anti-ddosapparatuur controleert het netwerkverkeer om aanvallen tijdig te onderscheppen en kwaadaardig verkeer om te leiden. Het is de truc dit te doen op een plek in het netwerk waar zoveel mogelijk bandbreedte is, zo ver mogelijk verwijderd van de getroffen server. Dat is bij voorkeur aan de rand van het netwerk van de eigen provider. Volgens Ter Borg valt zo 99 procent van de ddos-aanvallen goed af te slaan. „Maar 100 procent bescherming is onmogelijk.”

Bij een meer geavanceerde aanval die specifieke applicaties van een server misbruikt, zoals bij de Rabobank het geval was, zijn veel minder computers nodig om de server te overbelasten. Dat maakt het lastiger om een aanvalspatroon te detecteren en tijdig in te grijpen, beaamt Ter Borg. Zijn ervaring is, net als die van de Rabobank, dat slachtoffers van een geslaagde ddos-aanval later nog regelmatig aangevallen worden.

Volgens Michel van Eeten is filteren op ddos-aanvallen een (prijzige) dienst waarmee internetproviders zich kunnen onderscheiden van concurrenten. „Je laat zien dat je niet alleen een domme datapijp bent, maar ook je klanten beschermt.”

Zijn tip om in te grijpen bij een ddos-aanval: zorg dat je een goede relatie hebt met de veiligheidsspecialisten van de grote internationale providers. „Dan is het een kwestie van één telefoontje om verkeer om te leiden, zonder discussies of bedenktijd.”

Van Eeten erkent dat filteren symptoom-bestrijding is – de meest effectieve manier om botnets aan te pakken is het aantal besmette computers terug te brengen. Door gekaapte pc’s te blokkeren, zoals de Nederlandse providers dat nu al doen.

Maar misschien is het wel economischer de overlast van ddos-aanvallen te filteren, zegt Van Eeten. „Die aanpak werkt ook bij spam: er wordt meer spam dan ooit verstuurd, maar de filters zijn zó goed, dat bijna niemand daar nu nog last van heeft.”