Lekker thuis providers platleggen

Wereldwijd vinden tienduizenden DDoS-aanvallen per dag plaats, vaak voor de lol. Het is kinderlijk simpel om een netwerk of website plat te leggen. Maar de gevolgen ervan kunnen gigantisch zijn.

Foto: NRC / Arjen Born

Alleen even laten zien hoe het moet, belooft Jeffrey (15) terwijl hij zijn laptop met paars oplichtend toetsenbord openklapt. „We zetten de boel niet op tilt.”

Voordat je iemands computernetwerk kunt platleggen, legt hij uit, moet je eerst weten waarheen de DDoS-aanval moet. Jeffrey, student mbo-installatietechniek niveau 2-3, scrollt naar zijn contacten op Skype en kiest willekeurig de gebruikersnaam van een vriend. Die typt hij in op een openbare site waarna het IP-adres van diens thuisnetwerk verschijnt. Dat voert hij in op ipstresser.com, één van de honderden illegale sites waarop je DDoS-aanvallen kunt kopen. En voilà. Klaar. „Mijn zusje kan dit al.”

Al sinds zijn tiende zit Jeffrey („hoog IQ, laag EQ”) hele dagen achter de computer. Hij kent zes programmeertalen en heeft thuis een zelfgebouwde computer met drie schermen en een gtx760-videokaart voor games. Gevraagd hoe je een DDoS-aanval (Distributed Denial of Service) uitvoert wil hij best een demonstratie geven, maar van zijn moeder mocht het niet bij hem thuis. Nu is hij samen met zijn opa, ook benieuwd naar wat zijn kleinzoon kan, afgereisd naar de redactie en eten we pizza.

„Op de site van NRC heb ik ook even een programmaatje laten draaien”, zegt Jeffrey na een rondleiding door het gebouw. „Paar foutjes gevonden, maar nog geen grote lekken.”

Jeffrey scrollt over zijn scherm. Alvorens de DDoS-aanval te starten zou hij alleen nog even moeten aanvinken hoe zwaar de aanval dient te worden. Op een soort menukaart staan drie opties:

‘Economy’, waarmee hij voor 1,25 dollar tien minuten lang een computerkracht van 500 Mbps op de vriend kan afvuren. „Genoeg om zijn internet traag te laten zijn.” ‘Deluxe’: 1.500 Mbps voor een half uur à 3,75 dollar. „Hiermee ligt zijn netwerk er zeker uit.” ‘Ultimate’: 3.000 Mbps voor een uur à 7,50 dollar. „Hopen dat ik zijn router niet frituur.”

Jeffrey zou de DDoS-aanval nu volledig anoniem kunnen uitvoeren. Dat werkt zo: wat hij op de menukaart feitelijk aanvinkt is de sterkte van een ‘botnet’ van duizenden gehackte computers. Die kunnen tegelijk flink wat data naar het ip-adres van de vriend sturen waardoor diens netwerk of site overbelast raakt en niet meer goed werkt. Moest je voorheen best wat technische kennis hebben om zelf zo’n botnet te bouwen, tegenwoordig huur je er gewoon een op een openbare site. „Zo te vinden op Google.” Beveiligen tegen zulke aanvallen is zo duur dat bijna niemand daarvoor kiest, zelfs bedrijven niet. Het is meestal een kwestie van uitzitten. Hopen dat de aanval snel over is.

Zelf is Jeffrey, sinds zijn tiende fanatiek programmeur onder de naam JKCTech, al zeker twintig keer geDDoS’t. Aanvallen over en weer ontstaan vaak bij ruzies die in online communities nu eenmaal geregeld voorkomen. Jongens die afspraken niet nakomen bij de gezamenlijke bouw van een site. Getreiter. Gamers die elkaar DDoS’sen zodat de ander verliest doordat zijn netwerk uitvalt.

Aanvallen vinden zo vaak plaats dat de lol er voor Jeffrey nu wel zo’n beetje af is. „Een DDoS-aanval is té makkelijk geworden in de community.”

Werp een vluchtige blik op Twitter en je ziet wat hij bedoelt. „Ff wachten, heb last van ddos attacks bij mij thuis”, lees je veelvuldig. Iemand: „Jonges ik wort ge dost kan je pls stoppen want mein ouders worten boos”.

Achtergrondruis van het internet

De DDoS-aanval heeft inmiddels zo’n vlucht genomen dat hij een soort „achtergrondruis van internet” is geworden, zegt hoogleraar internetveiligheid Michel van Eeten van de TU Delft. Hij schat dat er wereldwijd tienduizenden aanvallen per dag plaatsvinden sinds het huren van een botnet zo simpel werd. Vandalisme, kattenkwaad en opportunisme zijn de meest voorkomende motieven. Een enkele keer is sprake van afpersing. Geregeld zijn aanvallen zo klein dat het slachtoffer ze nauwelijks opmerkt.

Maar de gevolgen van een DDoS-aanval kunnen ook gigantisch zijn. Zo groot dat een hele internetprovider plat ligt. Dat overkwam Ziggo in augustus. Twee avonden lang zaten 1,8 miljoen klanten zonder internet en e-mail. In videoboodschappen op YouTube werden de DDoS-aanvallen opgeëist door een anonieme groep uit het buitenland die dreigde met nieuwe. De daders zouden geen gegevens willen stelen maar alleen willen wijzen op de gebrekkige veiligheid van Ziggo voor consumenten. Een nobel motief waarmee ook het befaamde hackerscollectief Anonymous zijn acties rechtvaardigt.

Vorige week wist de politie de vermoedelijke daders aan te houden. Vier jongens tussen de 14 en 17 jaar en een 21-jarige. Gewoon uit Nederland. Berkelland, Lochem, Den Helder, Schoorl, Vinkeveen. In hun ouderlijke woningen werden computers, mobiele telefoons, externe harde schijven en usb-sticks in beslag genomen. Een hele dag werden ze verhoord waarna ze hun rechtszaak in vrijheid mochten afwachten en het Openbaar Ministerie in een verklaring er nog eens uitdrukkelijk op wees dat DDoS-aanvallen ‘geen spel’ zijn.

„Er is een groot verschil tussen hacken en een website platleggen”, zegt Jeffrey met een pepperoni-pizzastuk in de hand. Hij gelooft niet zo in het nobele motief van de jongens. Een internetprovider platleggen is wat hem betreft een beetje sneu. „Dan raak je iets té veel.”

Ook oud-hacker Rickey Gevers ziet er weinig ridderlijks in. Hij had de vijf gearresteerde jongens al wat langer op de korrel. Met zijn beveiligingsbedrijf RedSocks BV houdt Gevers wereldwijd 1.311 groepen in de gaten die hun opgebouwde botnet verhuren voor DDoS-aanvallen – verdiensten vaak hooguit 1.000 euro per jaar, „te investeren in een nieuwe server”. De vijf uit Nederland vielen op omdat ze met hun botnet fanatiek adverteerden. „De aanval op Ziggo had waarschijnlijk moeten tonen hoe sterk die van hen was.”

Natuurlijk, DDoS-aanvallen mogen niet. Maar ze zijn zo simpel dat ze bovenal de grote ontwerpfout van het internet blootleggen, zeggen experts. Gevers: „Het is alsof je een kind in een kerncentrale zet en zegt: druk maar niet op de knopjes”. En de daders opsporen, zegt Van Eeten, is zo’n ‘rotklus’ dat de politie er niet snel aan begint.

Actie volgt alleen bij grote aanvallen, zoals die op Ziggo. En dan blijken daders vaak toch wel te achterhalen, zegt Gevers. „Vaak wordt er wel een foutje gemaakt, want wie zich anoniem op internet begeeft moet aan honderd dingen tegelijk denken.”

Na de pizza wendt opa zich tot zijn kleinzoon. „Ik weet niet of je wel met je hele naam in dit artikel moet, straks heb jij ook de politie voor de deur.”

Het wás vorige week ook best spannend, vertelt Jeffrey, toen bekend werd dat die vijf jongens waren opgepakt voor de DDoS-aanval op Ziggo. Zou er iemand bij zitten die hij kende?

Met de tien jongens in zijn directe online netwerk sprak hij af te checken of iedereen er nog was. En om er zeker van te zijn dat er geen agent meekeek typten ze één voor één hun unieke wachtwoordzin in. Zoiets als ‘de koe hangt uit het raam met een vlaggetje op zijn hoofd’. „We bleken er allemaal nog te zijn.”

Achterdocht is niet voor niets

Jeffrey is voorzichtig en blijft op internet liefst anoniem, zoals iedereen die hij er kent. Voor je het weet word je ‘gedoxt’ en plaatst iemand al je gegevens – huisadres, telefoonnummer – online waarna je helemaal wordt ‘volgespamd’. Om dat te voorkomen werkt Jeffrey vanaf drie verschillende IP-adressen die hij door vele landen laat omleiden

Achterdocht is er niet voor niets, zegt Jeffrey terwijl hij razendsnel wat programmeertaal invoert en weer een andere site bezoekt. „Kijk”, zegt hij glimlachend. „Hier kan ik jouw e-mailadres intypen en doen alsof ik vanuit jouw e-mailbox een bericht verstuur.”

Het trucje heeft in zijn klas al tot heel wat hilariteit geleid. Vooral als een leerling zich weer eens uitgaf voor een docent en iedereen mailde dat de les uitviel. Intussen had iemand anders in zijn klas de muis in het scherm van de leraar weten over te nemen terwijl wéér een ander in examentijd een DDoS-aanval op het schoolnetwerk uitvoerde en Jeffrey zich waagde aan het kraken van de leerlingenadministratie. Dat lukte en als hij had gewild, zegt hij, had hij roosters kunnen aanpassen, cijfers kunnen veranderen en had hij inzage gehad in alle leerlingengegevens. „Ik heb het doorgegeven aan de technische dienst.”

Een school vol leerlingen die voortdurend de kwetsbaarheid van het ICT-systeem testen. Het is een bekend beeld, zegt ICT-expert Gevers. „Het begint met het wachtwoord van de leraar afkijken en in bijna elke klas zit wel iemand die kan hacken.”

Dat gebeurt ja, zegt ook een woordvoerder van de VO-raad. „We hebben de indruk dat zo’n aanval relatief vaak voorkomt.” Cijfers ontbreken maar met grote regelmaat melden scholen dat ICT-netwerken als gevolg van zo’n aanval één of twee dagen plat liggen. „Terwijl scholen wel steeds afhankelijker worden van digitale voorzieningen en geld voor extra beveiliging ontbreekt.”

Ook digitaal lesmateriaal zou regelmatig onbereikbaar zijn, meldden diverse middelbare scholen deze week aan de NOS. Zo zou een aantal scholen begin dit schooljaar een brief van educatief uitgeverij Noordhoff hebben ontvangen waarin het bedrijf verklaart dat storingen het gevolg zijn van DDoS-aanvallen. Noordhoff wilde hierop tegenover de NOS en ook deze krant niet reageren.

Jeffrey sluit zijn laptop. Idealiter, vindt hij, moeten vijftienjarigen het schoolsysteem niet kunnen overnemen. Maar de machtsverhoudingen zijn zoek en hij wijt dat aan de technologie. „Die ging gewoon veel te snel de afgelopen tijd.” De effecten ervan ziet Jeffrey geregeld op de fora waar hij komt. Jongens van zijn leeftijd vertellen er uitgebreid, meestal in capslock, welke site ze nu weer hebben neergehaald. ‘Kijk mij nou, het is me gelukt.’

Jeffrey wil daar niet aan meedoen. Maar internet is nu eenmaal ‘wit, grijs en zwart’. Liefst doet hij alles wit, maar soms is de kleur iets vermengd.

Opa: „Blijf aan de goede kant van de streep.”