De kwetsbare cloud

Botnets, waarmee criminelen spam versturen of creditcardnummers stelen, bestaan vaak uit pc’s van particulieren. Nu is het gelukt om zo’n botnet te maken via clouddiensten, zoals Gmail. Gratis en legaal. Misbruik ligt op de loer.

Foto Thinkstock

Honderden ambitieuze internetbedrijven bieden computerfaciliteiten aan ‘in the cloud’: opslagruimte, maar ook complete virtuele computers. Sommige producten kun je gratis proberen. Amerikaanse onderzoekers hebben een prototype gebouwd van een botnet – een netwerk van samenwerkende, op afstand bestuurde computers – op basis van gratis virtuele computercapaciteit. Computers van nietsvermoedende burgers besmetten met een virus is illegaal, maar dit niet.

Botnets zijn uitgevonden aan het einde van de vorige eeuw. In 1999 verschenen de eerste virussen die zich na besmetting verstopten en de gastheercomputer tot slaaf maakten. Tot dan toe was het de meeste virusmakers erom te doen zoveel mogelijk schade aan te richten en daarmee op te vallen. Botnets daarentegen verdienen geld voor hun makers, bijvoorbeeld door het versturen van spam, verzamelen van creditcardnummers en wachtwoorden, en het platleggen van websites (ook bekend als dDOS, denial of service-aanvallen). Er is een ware criminele economie ontstaan waarin je bijvoorbeeld een botnet voor een bepaalde tijd kunt huren om de website van je concurrent uit te schakelen. Voor dat soort gebruiksmogelijkheden wordt zelfs geadverteerd in YouTube-filmpjes.

Gratis proberen

Twee onderzoekers van het Amerikaanse veiligheidsbedrijf Bishop Fox hebben laten zien dat het ook anders kan. Er zijn honderden internetbedrijven die online computerkracht aanbieden. Met een paar klikken kun je een virtuele computer creëren waarop je een website kunt vestigen, software kunt testen of je administratie kunt doen. Zoals gebruikelijk op internet kun je bij veel aanbieders zo’n dienst een tijdje gratis proberen. Bij andere is de simpelste variant altijd gratis en betaal je pas voor een versie met toeters en bellen (het ‘freemium-model’).

Oscar Salazar en Rob Ragan bedachten dat de simpelste virtuele computer prima geschikt is als bouwsteen voor een botnet. Ze onderzochten 150 verschillende diensten en ontdekten dat tweederde geen enkele eis stelt aan de maker van een nieuw account, behalve het overleggen van een geldig e-mailadres dat nog niet eerder bij dezelfde dienst is gebruikt. Anders gezegd, deze diensten zijn niet beveiligd tegen het geautomatiseerd maken van accounts door robots. E-maildiensten voor het publiek zijn dat bijvoorbeeld wel, vaak door middel van een ‘captcha’. Daarbij moet de maker van een nieuw account een reeks vervormde letters herkennen en overtypen.

Litecoins delven

Ragan en Salazar kozen vijftien kwetsbare diensten uit en bouwden hun eigen accountfabriek. Dat leverde een botnet op van duizend accounts, waarmee ze de digitale munt litecoin begonnen te delven. Net als bij bitcoin kun je litecoins ‘vinden’ door een computer lang genoeg een bepaald soort berekeningen te laten doen. Dit bescheiden botnet bleek in staat om 250 dollar aan litecoins per dag te produceren.

Nadat dit was aangetoond hebben de twee de litecoin-operatie ijlings uitgezet, op een paar testaccounts na die gedurende twee weken niet werden ontdekt door de gastheerdienst. In een artikel in technologieblad Wired benadrukken de onderzoekers dat ze het botnet ook hadden kunnen gebruiken voor kwaadaardiger zaken als wachtwoorden kraken of het fingeren van clicks op online-advertenties. „We hebben in feite een gratis supercomputer gebouwd”, zegt Ragan in Wired. Ze geven meer details op hackersconferentie Black Hat in Las Vegas.

Permanente beschikbaarheid

Is dit een geloofwaardige dreiging? De onderzoekers zeggen aanwijzingen te hebben dat clouddiensten al last hebben van deze vorm van misbruik. „Ja”, zegt ook Tom Kleiberg, consultant bij beveiligingsbedrijf Pinewood in Delft. „Bots die gebruikmaken van de cloud zijn op verschillende manieren anders dan traditionele botnets. Ze hebben de beschikking over zeer hoge internetsnelheden, zijn eenvoudig en snel op te zetten en ze zijn altijd beschikbaar, in tegenstelling tot besmette pc’s van particulieren. En ze maken gebruik van bekende netwerkdiensten, waardoor hun dataverkeer in eerste instantie betrouwbaar zal lijken.”

Ook Rick den Breejen van Crypsys Data Security uit Gorinchem neemt de nieuwe botnets serieus. „Vroeger werden clouddiensten misbruikt om spam te versturen”, zegt hij. „Dat is onder controle bij aanbieders die hun dataverkeer goed monitoren. Dit is een nieuwe toepassing die ze in de gaten moeten gaan houden.”

Op zichzelf is er niets illegaals aan het creëren van een dergelijk botnet. Het besmetten van pc’s van consumenten met malware is in de meeste beschaafde landen in strijd met de wet, maar het maken van spookaccounts bij een onlinedienst is dat niet.

Meer vragen dan iemands mailadres

Ook met het delven van litecoins blijven de onderzoekers van Bishop Fox aan de goede kant van de wet. Dat bevestigt directeur Michiel Steltman van de Nederlandse organisatie van hosting providers DHPA: „Er is juridisch niets op tegen om litecoins te delven. Maar het kan wel in strijd zijn met de gebruiksvoorwaarden van de betrokken leveranciers.” Pas als zo’n botnet wordt gebruikt om een site uit te schakelen of data te stelen, gaat de maker over de schreef.

Vorming van botnets ‘in de cloud’ voorkomen is technisch niet moeilijk. Tom Kleiberg van Pinewood: „Het scheelt al veel als bij aanmelding meer wordt gevraagd dan een e-mailadres. Vraag ook een telefoonnummer en verifieer dat door een sms te sturen.” Rick den Breejen van Crypsys zegt dat de aanbieder van een clouddienst een botnet kan spotten als het eenmaal actief is. „Als een provider zijn datastromen niet goed in de gaten houdt, merkt-ie het pas als zijn systeem platgaat.”

    • Herbert Blankesteijn