De donkere wolk boven de argeloze internetter

Botnets – waarmee criminelen spam versturen of creditcardnummers stelen – bestaan vaak uit particuliere computers. Nu is het onderzoekers gelukt met accounts van clouddiensten een botnet te maken. Gratis en legaal! Dus ligt misbruik op de loer.

Foto Getty images

Honderden ambitieuze internetbedrijven bieden computerfaciliteiten aan ‘in the cloud’: opslagruimte bijvoorbeeld, maar ook complete virtuele computers. Sommige van deze producten kun je gratis proberen. Amerikaanse researchers hebben een prototype gebouwd van een botnet – een netwerk van samenwerkende, op afstand bestuurde computers – op basis van gratis virtuele computercapaciteit. Computers van nietsvermoedende burgers besmetten met een virus is illegaal, maar dit niet.

Botnets zijn uitgevonden aan het einde van de vorige eeuw. In 1999 verschenen de eerste virussen die zich na besmetting verstopten en de gastheercomputer tot slaaf maakten. Tot dan toe was het de meeste virusmakers erom te doen zoveel mogelijk schade aan te richten en daarmee op te vallen.

Botnets daarentegen verdienen geld voor hun makers, bijvoorbeeld door het verzenden spam, verzamelen van creditcardnummers en wachtwoorden, en het platleggen van websites (ook bekend als dDOS, denial of service-aanvallen). Er is een ware criminele economie ontstaan waarin je bijvoorbeeld een botnet voor een zekere tijd kunt huren om de website van je concurrent uit te schakelen. Voor dat soort gebruiksmogelijkheden wordt zelfs geadverteerd in YouTube-filmpjes.

Gratis proberen

Twee onderzoekers van de Amerikaanse security-firma Bishop Fox hebben laten zien dat het ook anders kan. Er zijn honderden internetbedrijven die op een of andere manier online computerkracht aanbieden. Met een paar klikken kun je een virtuele computer creëren waarop je een website kunt vestigen, software kunt testen of je administratie kunt doen. Zoals gebruikelijk op internet kun je bij veel aanbieders zo’n dienst een tijdje gratis proberen. Bij andere is de simpelste variant altijd gratis en ga je pas betalen voor een versie met toeters en bellen (het ‘freemium-model’).

Oscar Salazar en Rob Ragan bedachten dat de simpelste virtuele computer prima geschikt is als bouwsteen voor een botnet. Ze onderzochten 150 verschillende diensten en ontdekten dat tweederde geen enkele eis stelt aan de maker van een nieuw account, behalve het overleggen van een geldig e-mailadres dat nog niet eerder bij dezelfde dienst is gebruikt. Anders gezegd, deze diensten zijn niet beveiligd tegen het geautomatiseerd maken van accounts door robots. E-maildiensten voor het publiek zijn dat bijvoorbeeld wel, vaak door middel van een ‘captcha’: daarbij moet de maker van een nieuw account een reeks vervormde letters herkennen en overtypen.

Geld verdienen met litecoins delven

Ragan en Salazar kozen vijftien kwetsbare diensten uit en bouwden hun eigen accountfabriek. Dat leverde een botnet op van duizend accounts, waarmee ze begonnen de digitale munt litecoin te delven. Net als bij bitcoin kun je litecoins ‘vinden’ door een computer lang genoeg een bepaald soort berekeningen te laten doen. Dit bescheiden botnet bleek in staat om 250 dollar aan litecoins per dag te produceren.

Nadat dit was aangetoond hebben de twee de litecoin-operatie ijlings uitgezet, op een paar testaccounts na waarvan gedurende twee weken geen enkele werd ontdekt door de gastheerdienst. In een artikel in technologieblad Wired benadrukken de onderzoekers dat ze het botnet ook hadden kunnen gebruiken voor meer kwaadaardige activiteiten zoals het kraken van wachtwoorden of het fingeren van clicks op online advertenties. „We hebben in feite een gratis supercomputer gebouwd”, zegt Rob Ragan in Wired. Ze maken hun werk deze week in meer detail openbaar op de hackersconferentie Black Hat in Las Vegas.

Snel en onverdacht

Is dit een geloofwaardige dreiging? De onderzoekers zeggen aanwijzingen te hebben dat clouddiensten al last hebben van deze vorm van misbruik. „Ja”, zegt ook Tom Kleiberg, security consultant bij beveiligingsbedrijf Pinewood in Delft. „Bots die gebruik maken van de cloud zijn op verschillende manieren anders dan traditionele botnets. Ze hebben de beschikking over zeer hoge internetsnelheden, zijn eenvoudig en snel op te zetten en ze zijn altijd beschikbaar, in tegenstelling tot besmette pc’s van particulieren. Bovendien maken ze gebruik van bekende netwerkdiensten, waardoor hun dataverkeer in eerste instantie betrouwbaar zal lijken.”

Ook Rick den Breejen van Crypsys Data Security uit Gorinchem neemt de nieuwe botnets serieus. „Vroeger werden clouddiensten misbruikt om spam te versturen. Dat is onder controle bij aanbieders die hun dataverkeer goed monitoren. Dit is een nieuwe toepassing die ze in de gaten moeten gaan houden.

Op zichzelf is er niets illegaals aan het creëren van een dergelijk botnet. Het besmetten van pc’s van consumenten met malware is in de meeste beschaafde landen in strijd met de wet, maar het maken van spookaccounts bij een online dienst is dat niet. Ook met het delven van litecoins blijven de researchers van Bishop Fox aan de goede kant van de wet. Dat bevestigt Michiel Steltman, directeur van de Nederlandse organisatie van hosting providers DHPA: „Er is juridisch niets op tegen om litecoins te delven. Maar het kan wel in strijd zijn met de gebruiksvoorwaarden van de betrokken leveranciers.” Pas als zo'n botnet wordt gebruikt om een website uit te schakelen of data te stelen, gaat de maker over de schreef.

Meer vragen dan alleen mailadres

Vorming van botnets ‘in de cloud’ is technisch niet moeilijk te voorkomen. Tom Kleiberg van Pinewood: „Het scheelt al veel als bij aanmelding meer wordt gevraagd dan alleen een e-mailadres. Vraag bijvoorbeeld ook een telefoonnummer en verifieer dat door een sms te sturen.”

En Rick den Breejen van Crypsys wijst erop dat de aanbieder van een clouddienst een botnet kan spotten als het eenmaal actief is. „Als een provider zijn datastromen niet goed in de gaten houdt, merkt-ie het pas als zijn systeem platgaat.”

    • Herbert Blankesteijn