Lekker thuis providers platleggen

Wereldwijd vinden tienduizenden DDoS-aanvallen (Distributed Denial of Service) per dag plaats, vaak voor de lol. Het is kinderlijk simpel. Maar de gevolgen van een DDoS-aanval kunnen gigantisch zijn.

Foto: NRC / Arjen Born

Alleen even laten zien hoe het moet, belooft Jeffrey (15) terwijl hij zijn laptop met paars oplichtend toetsenbord openklapt. „We zetten de boel niet op tilt.” Voordat je iemands computernetwerk kunt platleggen, legt hij uit, moet je eerst weten waarheen de DDoS-aanval moet. Jeffrey, mbo-student installatietechniek niveau 2-3, scrollt naar zijn contacten op Skype en kiest willekeurig de gebruikersnaam van een vriend. Die typt hij in op een openbare site waarna het IP-adres van diens thuisnetwerk verschijnt. Dat voert hij in op ipstresser.com, één van de honderden illegale sites waarop je DDoS-aanvallen kunt kopen. En voilà. Klaar. „Mijn zusje kan dit al.”

Al sinds zijn tiende zit Jeffrey („hoog iq, laag eq”) hele dagen achter de computer. Hij kent zes programmeertalen en heeft thuis een zelfgebouwde computer met drie schermen en een gtx760-videokaart voor games. Gevraagd hoe je een DDoS-aanval uitvoert wil hij best een demonstratie geven, maar van zijn moeder mocht het niet bij hem thuis. Nu is hij samen met zijn opa, ook benieuwd naar wat zijn kleinzoon kan, afgereisd naar de redactie en eten we pizza.

„Op de site van NRC heb ik ook even een programmaatje laten draaien”, zegt Jeffrey na een rondleiding door het gebouw. „Paar foutjes gevonden, maar nog geen grote lekken.”

Opa: „En het Elektronisch Patiënten Dossier?”

„Nog niet aan gewaagd.”

Jeffrey scrollt over zijn scherm. Alvorens de DDoS-aanval te starten zou hij alleen nog even moeten aanvinken hoe zwaar de aanval dient te worden. Op een soort menukaart staan drie opties:

‘Economy’, waarmee hij voor 1,25 dollar tien minuten lang een computerkracht van 500 Mbps op de vriend kan afvuren. „Genoeg om zijn internet traag te laten zijn.”

‘Deluxe’. 1.500 Mbps voor een half uur à 3,75 dollar. „Hiermee ligt zijn netwerk er zeker uit.”

‘Ultimate’. 3.000 Mbps voor een uur à 7,50 dollar. „Hopen dat ik zijn router niet frituur.”

Jeffrey zou de DDoS-aanval nu volledig anoniem kunnen uitvoeren. Dat werkt zo: wat hij op de menukaart feitelijk aanvinkt is de sterkte van een ‘botnet’ van duizenden gehackte computers. Die kunnen tegelijk flink wat data naar het IP-adres van de vriend sturen waardoor diens netwerk of site overbelast raakt en niet meer goed werkt. Moest je voorheen best wat technische kennis hebben om zelf zo’n botnet te bouwen, tegenwoordig huur je er gewoon één op een openbare site. „Zo te vinden op Google.” Beveiligen tegen zulke aanvallen is zo duur dat bijna niemand daarvoor kiest, zelfs bedrijven niet. Het is meestal een kwestie van uitzitten. Hopen dat de aanval snel over is.

Zelf is Jeffrey, sinds zijn tiende fanatiek programmeur onder de naam JKCTech, al zeker twintig keer geDDoSt. Aanvallen over en weer ontstaan vaak bij ruzies die in online gemeenschappen nu eenmaal geregeld voorkomen. Jongens die afspraken niet nakomen bij de gezamenlijke bouw van een site. Getreiter. Gamers die elkaar DDoSsen zodat de ander verliest omdat zijn netwerk uitvalt.

Aanvallen vinden zo vaak plaats dat de lol er voor Jeffrey nu wel zo’n beetje af is. „Een DDoS-aanval is té makkelijk geworden in de community.”

Werp een vluchtige blik op Twitter en je ziet wat hij bedoelt. „Ff wachten, heb last van ddos attacks bij mij thuis”, lees je veelvuldig. Iemand: „Jonges ik wort ge dost kan je pls stoppen want mein ouders worten boos”.

Soms zijn de gevolgen groot

De DDoS-aanval heeft inmiddels zo’n vlucht genomen dat hij een soort „achtergrondruis van internet” is geworden, zegt hoogleraar internetveiligheid Michel van Eeten van de TU Delft. Hij schat dat er wereldwijd tienduizenden aanvallen per dag plaatsvinden nu het huren van een botnet zo simpel is geworden. Vandalisme, kattenkwaad en opportunisme zijn de meest voorkomende motieven. Een enkele keer is sprake van afpersing. Geregeld zijn aanvallen zo klein dat het doelwit ze nauwelijks opmerkt.

Maar de gevolgen van een DDoS-aanval (Distributed Denial of Service) kunnen ook gigantisch zijn. Zo groot dat een hele internetprovider plat ligt. Dat overkwam Ziggo in augustus. Twee avonden lang zaten 1,8 miljoen klanten zonder internet en e-mail. In videoboodschappen op YouTube werden de DDoS-aanvallen opgeëist door een anonieme groep uit het buitenland die dreigde met nieuwe. De daders zouden geen gegevens willen stelen maar alleen willen wijzen op de gebrekkige veiligheid van Ziggo voor consumenten. Een nobel motief waarmee ook het befaamde hackerscollectief Anonymous zijn acties rechtvaardigt.

Vijf jongens

Vorige week wist de politie de vermoedelijke daders aan te houden. Vier jongens tussen de 14 en 17 jaar en een 21-jarige man. Gewoon uit Nederland. Berkelland, Lochem, Den Helder, Schoorl, Vinkeveen. In hun ouderlijke woningen werden computers, mobiele telefoons, externe harde schijven en usb-sticks in beslag genomen. Een hele dag werden ze verhoord waarna ze hun rechtszaak in vrijheid mochten afwachten en het Openbaar Ministerie er in een verklaring nog eens uitdrukkelijk opwees dat DDoS-aanvallen ‘geen spel’ zijn.

„Er is een groot verschil tussen hacken en een website platleggen”, zegt Jeffrey met een pizzaslice pepperoni in de hand. Hij gelooft niet zo in het nobele motief van de opgepakte jongens. Sterker, hij heeft zelf ook weleens een botnet gebouwd met vrienden die hij kent van internet. De DDoS-aanvallen die ze ermee uitvoerden gebruikten ze vooral om de sterkte van eigen websites te testen. Maar een internetprovider platleggen is wat hem betreft een beetje sneu. „Dan raak je iets té veel.”

Ook oud-hacker Rickey Gevers ziet er weinig ridderlijks in. Hij had de vijf gearresteerde jongens al wat langer op de korrel. Met zijn beveiligingsbedrijf RedSocks BV houdt Gevers wereldwijd 1.311 groepen in de gaten die hun opgebouwde botnet verhuren voor DDoS-aanvallen. De verdiensten bedragen vaak hooguit 1.000 euro per jaar, „te investeren in een nieuwe server”. De vijf uit Nederland vielen op omdat ze met hun botnet fanatiek adverteerden.

„De aanval op Ziggo had waarschijnlijk moeten tonen hoe sterk die van hen was.”

Alleen actie na grote aanvallen

Natuurlijk, DDoS-aanvallen mogen niet. Maar ze zijn zo simpel dat ze bovenal de grote ontwerpfout van het internet blootleggen, zeggen experts. Gevers: „Het is alsof je een kind in een kerncentrale zet en zegt: druk maar op de knopjes”. En de daders opsporen, zegt Van Eeten, is zo’n ‘rotklus’ dat de politie er niet snel aan begint.

Actie volgt alleen bij grote aanvallen, zoals die op Ziggo. En dan blijken daders vaak toch wel te achterhalen, zegt Gevers. „Vaak wordt er wel een foutje gemaakt, want wie zich anoniem op internet begeeft moet aan honderd dingen tegelijk denken.” Een klassieke fout is die van de pyromaan: na de actie blijven kijken. „Dat zie je vaak ook na een DDoS-aanval. Jongens die vanaf hun thuiscomputer elk uur gaan checken of een site nog uit de lucht is. Bingo.”

Na de pizza wendt opa zich tot zijn kleinzoon. „Ik weet niet of je wel met je hele naam in dit artikel moet, straks heb jij ook de politie voor de deur.”

Het wás vorige week ook best spannend, vertelt Jeffrey, toen bekend werd dat er vijf jongens waren opgepakt voor de DDoS-aanval op Ziggo. Zou er iemand bij zitten die hij kende?

Met de tien jongens in zijn directe online netwerk sprak hij af te checken of iedereen er nog was. En om er zeker van te zijn dat er geen agent meekeek typten ze één voor één hun unieke wachtwoordzin in. Zoiets als ‘de koe hangt uit het raam met een vlaggetje op zijn hoofd’. „We bleken er allemaal nog te zijn.”

Anoniem

Jeffrey is voorzichtig en blijft op internet liefst anoniem, zoals iedereen die hij er kent. Voor je het weet word je ‘gedoxt’ en plaatst iemand al je gegevens – huisadres, telefoonnummer – online waarna je helemaal wordt ‘volgespamd’. Om dat te voorkomen werkt Jeffrey vanaf drie verschillende IP-adressen die hij door vele landen laat omleiden en heeft hij twee telefoons waarvan één bewust niet op zijn naam. Van elke e-mail die hij ontvangt checkt hij eerst de herkomst. Is het wel echt de persoon die hij denkt dat het is?

Achterdocht is er niet voor niets, zegt Jeffrey terwijl hij razendsnel wat programmeertaal invoert en weer een andere site bezoekt. „Kijk”, zegt hij glimlachend.

„Hier kan ik jouw e-mailadres intypen en doen alsof ik vanuit jouw e-mailbox een bericht verstuur.”

Het trucje heeft in zijn klas al tot heel wat hilariteit geleid. Vooral als een leerling zich weer eens uitgaf voor een docent en iedereen mailde dat de les uitviel. Intussen had een andere whizzkid in zijn klas de muis in het scherm van de leraar weten over te nemen terwijl wéér een ander in examentijd een DDoS-aanval op het schoolnetwerk uitvoerde en Jeffrey zich waagde aan het kraken van de leerlingenadministratie. Dat lukte en als hij had gewild, zegt hij, had hij de roosters kunnen aanpassen, cijfers veranderen en had hij inzage gehad in alle leerlingengegevens, inclusief de medische. „Ik heb het doorgegeven aan de technische dienst. Die is ermee aan de slag.”

Een school vol leerlingen die voortdurend de kwetsbaarheid van het ICT-systeem testen. Het is een bekend beeld, zegt ict-expert Gevers.

„Het begint met het wachtwoord van de leraar afkijken en in bijna elke klas zit wel iemand die kan hacken. Roosters aanpassen. Een 3,7 veranderen in een 7,3.”

'Kijk mij, het is gelukt'

Dat gebeurt ja, zegt ook een woordvoerder van de VO-raad. Toch ziet de sectororganisatie voor het voortgezet onderwijs de DDoS-aanval op dit moment als de grootste bedreiging voor scholen. „We hebben de indruk dat zo’n aanval relatief vaak voorkomt.” Cijfers ontbreken maar met grote regelmaat melden scholen dat ICT-netwerken als gevolg van zo’n aanval één of twee dagen plat liggen. „Terwijl scholen wel steeds afhankelijker worden van digitale voorzieningen en geld voor extra beveiliging ontbreekt.”

Ook digitaal lesmateriaal zou regelmatig onbereikbaar zijn, meldden diverse middelbare scholen deze week aan de NOS. Zo zou een aantal scholen van educatief uitgeverij Noordhoff begin dit schooljaar een brief hebben ontvangen waarin het bedrijf verklaart dat storingen het gevolg zijn van DDoS-aanvallen. Noordhoff wilde hier tegenover de NOS noch tegen deze krant op reageren. De VO-raad is in ieder geval van plan scholen meer bewust te maken van hun kwetsbaarheid, zegt de woordvoerder. „Meer kunnen we niet doen.”

Jeffrey sluit zijn laptop. Idealiter, vindt hij, moeten vijftienjarigen het schoolsysteem niet kunnen overnemen. Maar de machtsverhoudingen zijn zoek en hij wijt dat aan de technologie. „Die ging gewoon veel te snel de afgelopen tijd.” De effecten ervan ziet Jeffrey geregeld op de fora waar hij komt. Jongens van zijn leeftijd vertellen er uitgebreid, meestal in capslock, welke site ze nu weer hebben neergehaald. ‘Kijk mij nou, het is me gelukt.’

Jeffrey wil daar niet aan mee doen. Maar internet is nu eenmaal ‘wit, grijs en zwart’. Liefst doet hij alles wit, maar soms is de kleur iets vermengd.

Opa: „Blijf aan de goede kant van de streep.”