View Static Version
Loading

DDos cyberaanval een veilig digitaal special

Je hoort het steeds vaker in het nieuws: een DDoS aanval. Ze worden soms gebruikt om grote websites aan te vallen. Hierdoor kunnen sites van organisaties niet bereikbaar zijn. Maar hoe werkt zo’n DDoS aanval nou eigenlijk? In deze special lees je alles over DDoS aanvallen en hoe deze werken.

Wat is een DDoS aanval?

DDoS staat voor Distributed Denial of Service. Met een DDoS aanval maken heel veel computers – vaak vanaf verschillende locaties ter wereld – verbinding met één server. De server is het doelwit: de mensen achter de computers proberen deze server traag te maken of in het ergste geval onbereikbaar te maken. Een dergelijke aanval veroorzaakt men door een server te overspoelen met webverkeer.

Een DDoS-aanval uitvoeren via een 'zombie-netwerk' van botnets

Om een bijzonder groot aantal aanvragen te kunnen verzenden naar het slachtoffer, maakt de cybercrimineel vaak een botnet. Een botnet is een netwerk dat bestaat uit computers die zijn geïnfecteerd met een virus. Dit virus zorgt ervoor dat de hackers alle geïnfecteerde computers kunnen besturen, dit kan soms om duizenden computers gaan. Dit proces waarbij allemaal computers opdrachten van een hacker uitvoeren wordt een botnet genoemd.

Een botnet is een netwerk dat bestaat uit computers die zijn geïnfecteerd met een virus.

Zo werkt een botnet

  1. Een hacker besmet computers van eindgebruikers.
  2. De hacker zet vervolgens een botnet op.
  3. De hacker wordt betaald voor het leveren van een botnet.
  4. De botnet wordt gebruikt om spam te versturen of een DDoS aanval uit te voeren.

Layer-7 attack

Botnets opereren vaak op laag 7 – de “applicatie laag” – van het OSI Model. Dit is de laag welke gebruikers met de techniek verbindt. Door via deze laag te opereren kan de botnet zich voordoen als gebruiker en is het moeilijker een aanval te stoppen.

Voorbeelden van protocollen welke op de applicatie laag worden toegepast zijn:

  • HTTP: Wordt gebruikt voor het reguliere internetverkeer tussen jouw browser en de webserver.
  • SSL: Wordt gebruikt voor versleutelde verbindingen tussen bijvoorbeeld jouw computer en de webserver.
  • FTP: Wordt gebruikt voor bestandsoverdracht tussen jouw computer en de webserver, bijvoorbeeld het downloaden en uploaden van bestanden.
  • IMAP/POP: Wordt gebruikt voor het ophalen van e-mail van de mailserver.
  • SMTP: Wordt gebruikt voor het versturen van e-mail van de mailserver.

Memcached aanval

Bij een memcached DDoS aanval wordt misbruik gemaakt van publiek toegankelijke memcached-servers om hiermee websites plat te liggen.

Memcached-servers zijn systemen die worden ingezet voor het versnellen van websites en webapplicaties, doordat ze tijdelijk opgeslagen gegevens uit databases razendsnel kunnen aanbieden.

Bij een memcached DDoS aanval stuurt een hacker een pakketje van ongeveer 15 byte namens het slachtoffer naar een server door het IP-adres van het slachtoffer te faken. In ruil voor dit door de memcached ontvangen pakketje stuurt de memcached-server een pakketje terug naar het slachtoffer, bijvoorbeeld een webwinkel, dat 50.000 keer groter is, zo’n 750 kilobyte. Wanneer het slachtoffer een stortvloed aan dergelijke verzoeken krijgt en deze niet aankan, gaat de site plat. Tijdens aanvallen zijn pieken gesignaleerd van 400 Gbit/s.

Hoe makkelijk is het uitvoeren van een DDoS aanval?

De afgelopen jaren is er een toename in diensten die de mogelijkheid bieden om een DDoS-aanval uit te voeren. Deze diensten maken zo’n DDoS-aanval kinderlijk eenvoudig.

Voor een klein bedrag is het mogelijk om een account te kopen op een website, waarmee vervolgens DDoS-aanvallen uitgevoerd kunnen worden. Hoe meer iemand betaalt, hoe frequenter en krachtiger de DDoS-aanvallen. Er zijn duizenden van dit soort websites: de keuze is enorm. Sommige van deze sites presenteren zichzelf als “stress-test”-dienst voor systeembeheerders, waarmee een organisatie haar eigen netwerk kan testen. Natuurlijk weet de oprichter van zo’n dienst dat deze in werkelijkheid zonder toestemming op andere netwerken gebruikt wordt.

Maar wat is nou dan een DDoS aanval?

De server kan deze hoeveelheid aanvragen niet aan. Hierdoor wordt de maximale capaciteit van deze server bereikt.
  • Een aanval begint met het opzetten van een botnet.
  • Een hacker maakt of koopt zo’n botnet.
  • Vervolgens gebruiken hackers dit botnet om heel veel computers tegelijk met één server te verbinden.
  • De server kan deze hoeveelheid aanvragen niet aan. Hierdoor wordt de maximale capaciteit van deze server bereikt.
  • Dit heeft tot gevolg dat andere mensen niet meer op deze server kunnen. Daardoor zijn sites niet bereikbaar.

Internetproviders proberen hun servers zo goed mogelijk te beschermen tegen dit soort DDoS aanvallen, maar het is lastig om DDoS aanvallen compleet te voorkomen.

Internet of Things

De fascinerende wereld van 'Internet of Things' (IoT) verergert de toch al gespannen DDoS-situatie. Want er is een verrassend groot aantal slecht beveiligde IoT-apparaten (denk aan gebruik van identieke wachtwoorden bij verschillende apparaten). Het aantal 'bots' (op afstand bestuurde computers) kan in een IoT-botnet gemakkelijk tussen 500 miljoen en 1 miljard (!) apparaten betreffen. Dat maakt duidelijk welke kracht DDoS-aanvallen kunnen bezitten.

Waarom komen DDoS aanvallen voor?

Er zijn veel verschillende redenen voor hackers om dit soort aanvallen uit te voeren. Soms is het zelfs niet eens duidelijk waarom een DDoS aanval heeft plaatsgevonden. Over het algemeen hebben hackers een van de volgende motieven.

Afpersing, wraak, macht, hobby. Allemaal redenen om een DDos-aanval uit te voeren.
  • Afpersing

Een van de meest voorkomende motieven voor DDoS aanvallen is afpersing. Hierbij wordt een website van een grote organisaties aangevallen, zoals banken, verzekeraars, webshops of de overheid. Vervolgens vragen de hackers een geldbedrag aan deze organisatie, als dit geld niet wordt betaald dreigen ze de website nogmaals aan te vallen. Het onderliggende motief is duidelijk: geld.

  • Wraak

Soms zoeken hackers vergelding, ze hacken de website dan uit wraakgevoelens. Vaak zijn dit websites van bedrijven waar de betreffende hacker(s) problemen mee heeft.

  • Machtspelletjes

Hackers kunnen DDoS aanvallen uitvoeren puur om hun kracht te laten zien. Hierbij willen hackers enkel aangeven waartoe ze in staat zijn. Dit doen ze door websites van grote organisaties neer te halen. Soms proberen hackers te laten zien dat de machthebbers in de maatschappij geen macht hebben op het internet.

  • Hobbymatig

Het klinkt misschien raar maar er worden tevens DDoS aanvallen uitgevoerd enkel en alleen voor de lol. Hackers willen zien in hoeverre zij invloed kunnen uitoefenen op de samenleving. Dit bleek ook het motief van Jelle S., deze Nederlandse-jongen van 18 jaar oud bleek achter meerdere DDoS aanvallen te zitten. Hij heeft begin 2018 aanvallen uitgevoerd op de belastingdienst, ING-bank, Rabobank en de ABN Amro.

Wie zitten er achter een Distributed Denial of Service?

En zoals de beweegredenen voor een DDoS-aanval kunnen verschillen, zo zijn ook de mensen die achter zo’n aanval zitten, verschillend:

  • cybercriminelen die direct financieel voordeel met een DDoS-aanval willen behalen;
  • lieden die met een DDoS-aanval het eigenlijke doelwit van de aanval willen verbergen (bijvoorbeeld het verkrijgen van klantgegevens);
  • dubieuze concurrenten die het imago of de reputatie van de onderneming of haar personen willen schaden;
  • hacktivisten (hacking-activisten) die met een DDoS-aanval, een 'statement' voor 'eigen zaak' willen maken of de belangstelling bij het publiek willen aanwakkeren voor misstanden (bijvoorbeeld niet-duurzame bedrijven, totalitaire structuren);
  • lieden die alleen willen laten zien waartoe zij in staat zijn.

Niet altijd is er kwade opzet in het spel

De onschadelijke denial-variant is DoS (Denial of Service). Daar hoeft helemaal geen kwade wil achter te steken. Het volstaat bijvoorbeeld als het aantal aanvragen als gevolg van een succesvolle reclamecampagne groter is dan de capaciteiten van de website.

Maar ook in dat geval zijn effectieve tegenmaatregelen dringend geboden. Want dergelijke situaties bij websites veroorzaken:

  • downtime (offline-tijd);
  • verlies van vertrouwen bij klanten;
  • een aanzienlijk verlies aan omzet;
  • en meetbare schade aan het bedrijfsimago.

DDoS aanvallen op individuen

DDoS aanvallen kunnen tevens gericht zijn op individuen. Het enige wat een hacker hiervoor nodig heeft is jouw IP-adres. Dit type aanval komt het meest voor in de online game wereld. Een hacker probeert dan zijn tegenstander te diskwalificeren door zijn internetsnelheid te vertragen. Dit klinkt misschien extreem, maar het gebeurt best vaak.

Een Ddos aanval uitgebeeld

De meeste games worden gespeelt via officiële servers van de betreffende game. Door gebruik van deze officiële servers blijven alle IP-adressen verborgen, dit voorkomt DDoS aanvallen. Er zijn echter games die gebruikmaken van externe servers waarop dit niet het geval is. Bij dit soort games is het dus mogelijk om slachtoffer te worden van een DDoS aanval.

Gelukkig kun je dit soort individuele aanvallen voorkomen door gebruik te maken van een VPN. Met een VPN blijft je IP-adres verborgen, ook als je games speelt met externe servers. Lees hieronder meer over beveiliging tegen DDoS aanvallen.

Kun je een DDoS aanval voorkomen?

Een DDoS aanval is niet te voorkomen maar wel voortijdig te blokkeren (dit wordt echter nog niet of nauwelijks gedaan).

Het is hetzelfde als heel veel dummy (nep) bezoekers voor een ingang of in een winkel. Deze dummy bezoekers blokkeren dan de normale bezoekers en omdat aan de ingang toch alles afgehandeld moet worden en in de winkel zelf is het veel te druk. De echte klanten komen niet bij de kassa.

Beveiliging tegen DDoS aanvallen

De beveiliging tegen DDoS aanvallen bestaat uit twee categorieën. Enerzijds de beveiliging voor websites en anderzijds de beveiliging voor individuen.

Beveiliging voor websites

De meeste host-netwerken/servers maken gebruik van simpele DDoS beveiliging. Helaas is het zo goed als onmogelijk om een website volledig te beschermen tegen een DDoS aanval. Dit komt doordat een botnet bestaat uit veel verschillende IP-adressen.

Je kunt dus niet simpelweg de betrokken IP-adressen blokkeren, het zijn er gewoon te veel. Bovendien is vaak niet duidelijk welke IP-adressen onderdeel zijn van het botnet en welke niet.

De apparaten die worden gebruikt bij een botnet hebben net als alle andere apparaten gewone IP-adressen. De server kan dus niet zien of zij onderdeel zijn van dit botnet of niet. Hierdoor kunnen ze dit IP-adres niet blokkeren. Dit heeft tot gevolg dat alle aanvragen van botnet’s alsnog behandeld worden, hierdoor wordt de maximale capaciteit van een server al snel bereikt. Sterker nog, botnets worden steeds groter waardoor servers nog sneller overbelast kunnen worden.

Als je zelf een website hebt kun je contact opnemen met je hosting-provider, je kunt dan vragen welke beveiliging-maatregelen ze nemen tegen DDoS aanvallen. Niet alle providers bieden even goede beveiliging. Maar zelfs al heeft je hosting-provider een hele goede beveiliging, als hackers jouw website écht offline willen halen dan lukt ze dat toch.

Beveiliging voor individuen

Wanneer je jezelf wil beveiligen tegen DDoS aanvallen is het noodzaak je ware IP-adres te verbergen. Een (VPN) Virtual Private Network kan hierbij helpen. Een VPN versleutelt al jouw internetverkeer en zorgt dat je IP-adres geheim blijft. Je neemt namelijk bij gebruik van een VPN het IP-adres over van de VPN-server. Als een hacker jou wil aanvallen met een DDoS aanval hebben ze jouw IP-adres nodig. Als ze dit niet kunnen krijgen kunnen ze je überhaupt niet aanvallen. Dus met een VPN ben je goed beschermt tegen DDoS aanvallen.

VPN-bescherming tegen DDoS aanvallen

een VPN zorgt er voor dat je privacy gewaarborgd blijft

Zoals hiervoor getoond zorgt een VPN er dus voor dat je IP-adres geheim blijft. Dit stelt je in staat om volledig anoniem te internetten. Een VPN codeert al je internetverkeer en niemand kan dus zien wat je op het internet doet. Oftewel een VPN zorgt er voor dat je privacy gewaarborgd blijft. Bovendien zorgt een VPN ervoor dat je geografische blokkades kan omzeilen. Je kunt zelfs geld besparen met een VPN.

Slimme aanval

Niet alle DDoS-aanvallen zijn volumetrisch. Sommige aanvallen maken geen gebruik van een enorm volume aan pakketjes, maar stellen de online dienst of website een vraag die een groot verbruik aan systeembronnen teweeg brengt in de backend.

Een nieuwe analogie verduidelijkt. Stel dat je een kleine winkel bezit met één kassa. Bij een volumetrische aanval raken klanten zoals gezegd niet meer tot aan je winkel.

Bij een zogenaamde applicatieve aanval komen criminele handlangers je winkel binnen, nemen ze een product mee naar de kassa, en proberen ze in rosse muntjes te betalen. De kassier spendeert heel veel tijd in het natellen van de muntjes, en constateert uiteindelijk dat de crimineel te weinig geld bij heeft. Hij verlaat de winkel zonder iets te kopen, maar de rij aan de kassa is intussen wel vertienvoudigd. Twee echte klanten later komt een nieuwe handlanger hetzelfde doen. Voor je het weet is de rij aan de kassa zo lang dat de winkel uit z’n voegen barst en niet meer functioneert.

Bij een applicatieve aanval probeert een hacker een request te vinden die heel veel werk vraagt achter de schermen, zodat slechts enkele pakketjes volstaan om een website offline te halen. Dergelijke aanvallen moeten gerichter zijn, maar ze vereisen niet de capaciteit van een groot botnet om succesvol te zijn.

Accidentele DDoS

Soms gebeurt een DDoS-aanval ook per ongeluk. Denk aan een kleine website waar iemand iets op post dat plots tegen alle verwachtingen in viraal gaat. De spontane interesse van mensen over de hele wereld volstaat in dat geval om de verbinding te verzadigen.

In het laatste scenario is de oplossing eenvoudig: bel naar je hostingprovider en verhoog tijdelijk de bandbreedte. Bij grote DDoS-aanvallen is dat geen optie. Een firewall of antivirusprogramma staan in dit geval machteloos. De firewall zal misschien wel detecteren dat de DDoS-trafiek malafide van aard is, maar daarmee geraakt de verbinding van het internet tot aan jouw website niet opgeklaard.

Welke IT-beveiligingsmaatregelen helpen tegen DDoS-aanvallen?

DDoS-aanvallen zijn een gevaarlijke plaag en kunnen niet zomaar worden genegeerd. Goed zichtbare websites van bedrijven, banken en overheidsinstellingen, lopen in de praktijk meer risico om slachtoffer van een DDoS-aanval te worden.

Maar ook kleinere websites, webwinkels en blogs blijven niet altijd gespaard. Gelukkig zijn er enkele effectieve IT-beveiligingsmaatregelen tegen Distributed-Denial-of-Service:

  • Continu monitoren van internetverkeer: een snelle en sprongsgewijze toename van aantallen bezoekers is verdacht en moet direct worden gedetecteerd. Proactieve tegenmaatregelen zijn dan geboden;
  • Hulp door de hostingprovider: goede webhosts bieden in hun hosting- en serverpakketten mogelijk al vergaande DDoS-bescherming. Die moet uiteraard correct worden geactiveerd en ingesteld;
  • Updates, updates en nog eens updates: content management systemen zoals WordPress, winkeltoepassingen in Magento en redactionele systemen als CoreMedia, moeten altijd up-to-date zijn. Dat om het eventuele aanvallers niet onnodig gemakkelijk te maken;
  • Voldoende servercapaciteit: een adequate infrastructuur helpt tegen kleine DDoS-aanvallen en is ook nuttig om natuurlijk piekverkeer (bijvoorbeeld tijdens de kerstdagen, na een succesvolle promotiecampagne) op te vangen. Het helpt ook om potentiële klanten niet te verliezen door een website die niet beschikbaar is.

De toekomst en de risico's

Het aantal DDoS aanvallen zal in de toekomst alleen gaan toenemen omdat er steeds meer zaken via het Internet worden gedaan. Steeds meer diensten worden aangeboden als een Cloud dienst.

Als mensen boos zijn, en hier zijn legio redenen voor te bedenken, dan kunnen zij zeg maar op de zwarte markt een "aanvalletje" kopen. Voor de eigenaren van botnets breken gouden tijden aan.

Botnets die samenwerken

Aanvallen worden nog moeilijker als meerdere botnets gaan samenwerken waarbij gelijktijdig verschilende type aanvallen worden ingezet. Het is duurder om een dergelijke aanval "te kopen" op de zwarte markt maar dit is zeker een product die afgenomen kan worden. Kortom op de markt van de aanvallen kan men steeds meer kopen en deze markt past zich aan aan de verdedigingen die organisaties doorvoeren.

Alle Clouddiensten kunnen worden aangevallen

Omdat steeds meer diensten in de cloud worden gezet, geeft dit extra risico's. Ook telefonie wordt met VoIP en VoIP hosting providers in de cloud gezet. In feite staat onze gehele communicatieinfrastructuur bloot aan potentiële storingen.

Wat doet de politie?

Naast het opsporen van cybercriminelen zetten politie en justitie steeds meer in op het voorkomen en verstoren van cybercrime, waaronder ook DDoS-aanvallen.

Operation Power Off is een duidelijk voorbeeld van wat de politie doet in de strijd tegen DDoS-aanvallen.

Dit gebeurt samen met (internationale) externe partners en onder andere Europol, Interpol en de FBI. Door samen te werken, worden bijvoorbeeld websites die DDoS-aanvallen aanbieden (‘booters’) offline gehaald, "Operation Power Off'. Daarnaast werkt de politie samen met private partijen zoals bijvoorbeeld de Betaalvereniging Nederland.

Operation Power Off is een duidelijk voorbeeld van wat de politie doet in de strijd tegen DDoS-aanvallen. Verdachten worden internationaal opgespoord en aangehouden, de DDoS-site wordt neergehaald en ook gebruikers kunnen rekenen op bezoek aan huis.

Wat is de straf voor DD0S-aanvallen?

Het uitvoeren van een DDoS-aanval is strafbaar gesteld in artikel 138b lid 2 van het Wetboek van Strafrecht).

Deze bepaling is ingevoerd in 2015 en stelt een maximum gevangenisstraf van ten hoogste drie jaar of een geldboete van de vierde categorie op het opzettelijk en wederrechtelijk de toegang tot of het gebruik van een geautomatiseerd werk belemmeren met behulp van een aanzienlijk aantal geautomatiseerde werken.

Indien het feit ernstige schade veroorzaakt, of is gepleegd tegen een geautomatiseerd werk behorende tot de vitale infrastructuur, wordt de schuldige gestraft met een gevangenisstraf van ten hoogste vijf jaren of een geldboete van de vierde categorie.

DDos strafbaar volgens artikel 138b lid 2 Wetboek van Strafrecht

Onder ‘vitale infrastructuur’ kan worden verstaan een voorziening, systeem of een deel daarvan op het grondgebied van een lidstaat, dat van essentieel belang is voor bijvoorbeeld het behoud van de vitale maatschappelijke functies, de gezondheid, de veiligheid, de beveiliging, de economische welvaart of het maatschappelijk welzijn, zoals energiecentrales, vervoersnetwerken, of overheidsnetwerken, en waarvan de verstoring of vernietiging in een lidstaat aanzienlijke gevolgen zou hebben doordat die functies ontregeld zouden raken.

Naast artikel 138b Sr kan ook artikel 161sexies Sr van toepassing zijn. Anders dan artikel 138b Sr, beperkt artikel 161sexies Sr strafbaarheid tot gevallen waarin sprake is van – ten minste – gemeen gevaar voor goederen of personen. Hoe ernstiger het gevolg, hoe hoger het strafmaximum. Indien er sprake is van gemeen gevaar voor goederen of voor de verlening van diensten, wordt de schuldige gestraft met een gevangenisstraf van ten hoogste zes jaren. Deze straf kan oplopen tot 15 jaar indien het feit iemands dood ten gevolge heeft.

(bronnen: VPNgids, Abraxas, Nat.Politie, Kaspersky, DearBytes)

WWW.FACEBOOK.COM/VEILIGDIGITAAL

© 2020 Veilig Digitaal

Created By
Veilig Digitaal
Appreciate
Terms of ServicePrivacy PolicyReport Abuse
NextPrevious