‘Bank kan DDoS-dreiging niet alleen aan’

Oproep

Experts pleiten ervoor dat organisaties informatie van DDoS-aanvallen delen, opdat andere organisaties snel filters kunnen instellen.

Beeld Dirma Janse/Studio NRC

Banken, telecomproviders en andere belangrijke organisaties moeten samenwerken tegen DDoS-aanvallen. Door de eigen belangen opzij te schuiven en technische informatie met elkaar te delen, worden DDoS-aanvallen minder effectief. Daarvoor pleitten computerexperts van de Universiteit Twente, de Stichting Internet Domeinregistratie Nederland (SIDN) en SURFnet donderdag in een online verklaring.

Het is voor het eerst dat beveiligingsexperts wijzen op de noodzaak van zo’n brede samenwerking. „DDoS-aanvallen worden snel groter en gevaarlijker”, zegt Cristian Hesselman van SIDN. „We kunnen onze vitale infrastructuur niet meer beschermen als elke organisatie dat op eigen houtje probeert te doen.”

Bij DDoS-aanvallen wordt zo veel internetverkeer naar een site gestuurd, dat deze plat komt te liggen.

De experts willen dat kennis wordt gebundeld om een systeem te bouwen – een soort ‘radar’ – waar technische informatie van DDoS-aanvallen geautomatiseerd tussen partners wordt gedeeld. Zo kunnen organisaties die (nog) niet worden aangevallen, snel filters instellen op het inkomende internetverkeer.

Nu lossen organisaties zoals banken DDoS-aanvallen nog zelf op. Uitval van bijvoorbeeld elektronisch betalen en energievoorzieningen zou volgens de overheid kunnen leiden tot „ernstige maatschappelijke ontwrichting en een bedreiging voor de nationale veiligheid”.

In januari zorgde een 18-jarige jongen uit het Brabantse Oosterhout voor veel opschudding. Met zijn DDoS-aanvallen legde hij sites van banken en de Belastingdienst plat. Hij zocht zelf contact met de media en liet weten het allemaal voor de lol te doen. „Mensen in paniek”, mailde hij naar de Volkskrant, „genoeg reden om het te doen”.

De jonge leeftijd van de aanvaller en het feit dat de aanvallen niet uit een geavanceerde hackersgroep kwamen, illustreert het gevaar van deze zogeheten distributed denial-of-service attacks. Op online zwartemarktplaatsen worden uitlegpakketten verkocht over hoe zulke DDoS-aanvallen te plegen. Ze worden aangeprezen met namen als ‘The best DDoS EVER!’ en ‘The DDoS Handbook: The Ultimate Guide’. Met een sterrensysteem worden de aanvallen beoordeeld, zoals bij een rit met taxidienst Uber. Aanvallen worden bijvoorbeeld voor een paar tientjes aangeboden.

De aanvallen die moeten worden opgevangen, worden steeds groter. De hevigste aanval tot dusver was in februari op Github en bestond uit aanvallen van meer dan 1 terabit per seconde. De aanvallen op banken en overheden in januari zijn geschat op 40 gigabit per seconde.

Een manier om een DDoS-aanval op te zetten is verkeer van enorme groepen van gehackte apparaten naar één site te sturen. Dat kunnen allerlei apparaten zijn zoals servers, thuiscomputers, maar ook internet-of-things-apparaten zoals routers en webcams. Die laatste categorie wordt steeds vaker gebruikt, omdat het er veel zijn en ze vaak slecht beveiligd zijn.

D66 heeft herhaaldelijk opgeroepen tot een verkoopverbod van onveilige internet-of-things-apparaten. Ook in het regeerakkoord is het voornemen opgenomen om standaarden af te spreken voor internet-of-things-apparaten. Dat zou op Europees niveau moeten gebeuren. De mondiale markt maakt het echter ingewikkeld om regels op te stellen. Veel onveilige apparaten worden bijvoorbeeld geproduceerd in Azië.

    • Liza van Lonkhuyzen