‘Organisaties kunnen de DDoS-dreiging niet meer alleen aan’

Banken, telecomproviders en andere belangrijke organisaties moeten gaan samenwerken tegen DDoS-aanvallen. Computerexperts waarschuwen dat zij deze dreiging niet goed alleen aankunnen.

ANP

Banken, telecomproviders en andere belangrijke organisaties moeten samenwerken tegen DDoS-aanvallen. Door de eigen belangen opzij te schuiven en technische informatie met elkaar te delen, worden DDoS-aanvallen minder effectief. Daarvoor pleiten computerexperts van de Universiteit Twente, SIDN Labs (Stichting Internet Domeinregistratie Nederland) en SURFnet donderdag in een brief. Bij DDoS-aanvallen wordt zoveel internetverkeer naar een site gestuurd, dat deze plat komt te liggen.

„Mensen in paniek”, mailde de jongen die de DDoS-aanvallen had gedaan naar de Volkskrant „genoeg reden om het te doen”

De experts willen dat kennis wordt gebundeld om een systeem te bouwen - een soort ‘radar’ - waar technische informatie van DDoS-aanvallen geautomatiseerd tussen partners wordt gedeeld. Zo kunnen organisaties die (nog) niet worden aangevallen, snel filters instellen op het inkomende internetverkeer. Nu lossen organisaties zoals banken DDoS-aanvallen nog zelf op. Uitval van bijvoorbeeld elektronisch betalen en energievoorzieningen zou volgens de overheid kunnen leiden tot „ernstige maatschappelijke ontwrichting en een bedreiging voor de nationale veiligheid”.

In januari zorgde een achttienjarige jongen uit het Brabantse Oosterhout voor veel opschudding. Met zijn DDoS-aanvallen legde hij sites van banken en de Belastingdienst plat. Hij zocht zelf contact met de media en liet weten het allemaal voor de lol te doen. „Mensen in paniek”, mailde hij naar de Volkskrant „genoeg reden om het te doen”.

De jonge leeftijd van de aanvaller en het feit dat de aanvallen niet uit een geavanceerde hackersgroep kwamen, illustreert het gevaar van deze zogeheten distributed denial-of-service attacks. Op online zwartemarktplaatsen worden uitlegpakketten verkocht over hoe zulke DDoS-aanvallen te plegen. Ze worden aangeprezen met namen als ‘The best DDoS EVER! en ‘The DDoS Handbook: The Ultimate Guide’. Met een sterrensysteem worden de aanvallen beoordeeld, zoals bij een rit met taxidienst Uber. Aanvallen worden bijvoorbeeld voor een paar tientjes aangeboden.

Steeds groter

De aanvallen die moeten worden opgevangen, worden steeds groter. De hevigste aanval tot dusver was in februari op Github - een site waarop codeurs opensource software met elkaar delen en er samen aan werken - en bestond uit aanvallen van meer dan 1 terabit per seconde. De aanvallen op banken en overheden in januari zijn geschat op 40 gigabit per seconde.

Een manier om een DDoS-aanval op te zetten is verkeer van enorme groepen van gehackte apparaten naar één site te sturen. Dat kunnen allerlei apparaten zijn zoals servers, thuiscomputers, maar ook internet-of-things-apparaten zoals routers en webcams. Die laatste categorie wordt steeds vaker gebruikt, omdat het er veel zijn en ze vaak slecht beveiligd zijn. D66 heeft herhaaldelijk opgeroepen tot een verkoopverbod van onveilige internet-of-things-apparaten. Ook in het regeerakkoord is het voornemen opgenomen om standaarden af te spreken voor internet-of-things-apparaten. Dat zou volgens de partijen op Europees niveau moeten gebeuren. De mondiale markt maakt het echter ingewikkeld om regels op te stellen. Veel onveilige apparaten worden bijvoorbeeld geproduceerd in Azië.

SIDN werkt zelf ook aan software die mensen thuis kunnen inzetten om besmet internetverkeer te filteren als bijvoorbeeld hun slimme koelkast of babyfoon wordt gehackt. Het probleem is zo groot dat „op allerlei gebieden actie moet worden ondernomen”, aldus Cristian Hesselman van SIDN, een van de ondertekenaars van brief.

    • Liza van Lonkhuyzen