In de nieuwe economie lijken de bomen al maandenlang tot in de hemel te groeien. Toch zijn er momenten waarop iedereen even de adem inhoudt. In de tweede week van februari werden vooraanstaande e-bedrijven het slachtoffer van een reeks goed gecoördineerde ‘denial-of-service’-aanvallen. Sites als Amazon, Yahoo!, CNN, Time Warner, Microsoft, ZDNet en E-Bay waren urenlang niet bereikbaar. Beleggers reageerden geschrokken, koersen kelderden. Hoe konden deze aanvallen plaatsvinden? Wat is er tegen te doen? Wat kunnen we in de toekomst verwachten? En wat zijn de gevolgen voor de nieuwe economie?
De aanvalsgolf begint op maandag 7 februari. De populaire site van Yahoo wordt bestookt met een spervuur van berichten. Er is geen houden aan. Na enkele uren bezwijken de servers onder het aanhoudende bombardement. Het netwerkverkeer lijkt uit alle delen van de wereld te komen. De aanval kan uiteindelijk worden gestopt door berichten aan de rand van het Yahoo-netwerk tegen te houden, maar het kwaad is al geschied. Een dag later treft een soortgelijke aanval de sites van het veilinghuis E-Bay en het Internetwarenhuis Buy.com. Woordvoerder Greg Hawkins van Buy.com rapporteert dat zijn servers 1 Gigabyte per seconde aan informatie te verwerken krijgen. Dat is meer dan tien maal de maximale capaciteit van ongeveer 100 Mbit/s. Weer een dag later is Amazon aan de beurt. Ook de sites van E-Trade en ZDNet worden getroffen. Op 17 februari is Microsoft het slachtoffer. De Windows 2000 Challenge, een prijsvraag ter gelegenheid van de introductie van het gelijknamige besturingssysteem, moet door aanhoudende ‘denial-of-service’-aanvallen gestaakt worden.
Opzet aanvallen
De aanvallen verlopen volgens hetzelfde patroon: het netwerk en de servers worden van verschillende kanten bestookt met berichten, waardoor ze overbelast raken en ophouden te functioneren. De getroffen bedrijven schakelen de FBI in om de dader te achterhalen, maar geven direct toe dat opsporing niet eenvoudig zal zijn. Gewoon doorgaan, lijkt het devies. Yahoo besteedt op de eigen site al snel geen aandacht meer aan het gebeurde. ‘Business as usual’. Toch krabben veel mensen zich na het incident achter de oren. Consumenten, beleggers en informatiemanagers vragen zich af hoe het mogelijk is dat zulke vooraanstaande websites zo eenvoudig uit de lucht kunnen worden gehaald. Is onze eigen website net zo kwetsbaar? Wat kunnen we er aan doen?
De sites van Yahoo, Microsoft en de andere bedrijven werden getroffen door een ‘distributed denial-of-service’ (dDoS) aanval. Het principe is even eenvoudig als effectief. Neem een programma waarmee je een ander systeem uit de lucht kunt halen. Installeer het programma op zoveel mogelijk systemen, liefst systemen van anderen. Zet vervolgens alle programma’s tegelijk aan het werk. Succes gegarandeerd. Voorwaarde is natuurlijk wel dat de aan te vallen computers en netwerken bereikbaar zijn via het Internet. Maar dat is een voorwaarde waaraan elke externe website per definitie voldoet.
Om een dDoS-aanval op te kunnen zetten, moet de aanvaller over speciale tools beschikken. Zulke tools, die luisteren naar namen als Tribe Flood Network (TFN), trin00, TFN2K en Stacheldraht, zijn gemakkelijk van het Internet te downloaden.
Een gedistribueerde ‘denial-of-service’-aanval vindt in twee fasen plaats. In de eerste fase, de ‘mass-intrusion phase’, breekt de aanvaller in op tientallen, honderden of zelfs duizenden systemen en installeert daar speciale software: agents en handlers. De agent is een standaard tool waarmee een individuele ‘denial-of-service’-aanval kan worden uitgevoerd. De handler is het bedieningspaneel voor de agents en stelt de aanvaller in staat de agents op elk gewenst moment te activeren – met een doelwit naar keuze. In de tweede fase stelt de aanvaller de agents in werking, die allemaal op hetzelfde doelwit gericht zijn. Dit is de echte ‘denial-of-service’-aanval, die de afgelopen weken tot zoveel overlast heeft geleid.
Bij het inbreken wordt steeds gebruikgemaakt van bekende kwetsbaarheden in slecht beveiligde besturingssystemen. In alle bekende gevallen gaat het om varianten van het besturingssysteem Unix, maar misbruik van andere besturingssystemen is niet uitgesloten. Het inbreken op die systemen en het installeren van de agents is voor een groot deel geautomatiseerd. Eenmaal geïnstalleerd zijn de agents zo goed als onzichtbaar. Ze staan in verborgen directories of zijn opgenomen in de kern van het besturingssysteem, klaar om geactiveerd te worden.
Technieken
Er zijn verschillende technieken om een individuele ‘denial-of-service’-aanval te lanceren. Sommige agents maken gebruik van fouten in het besturingssysteem of de netwerksoftware van het target-systeem. Een veelgebruikte techniek is het versturen van berichten die groter zijn dan de invoerbuffers van de netwerksoftware. Als de netwerksoftware geen invoercontroles uitvoert, kan op die manier het interne geheugen van de machine worden overschreven. Een crash is meestal het gevolg. Een bekende aanval die op deze manier werkt, is de Ping of Death. De meeste ‘denial-of-service’ tools zijn gebaseerd op een andere principe: het uitputten van schaarse hulpbronnen, zoals netwerkcapaciteit of systeemtabellen. Bekende voorbeelden van zulke aanvallen zijn de ping flood, de SYN flood en de smurf-aanval.
Bij de ping-flood wordt een groot aantal ping-berichten naar het doelwitsysteem gestuurd. Zo’n ping-bericht is een kort berichtje waarmee kan worden gecontroleerd of een ander systeem actief is. Ping is een standaard onderdeel van het Internet Control Message Protocol (Icmp). De naam ervan is afgeleid van het sonarsignaal dat onderzeeërs uitzenden om andere onderzeeërs te detecteren. Een ping wordt altijd beantwoord. Het ping-bericht zelf is klein, het antwoord veel groter. Zo kunnen ping-berichten worden gebruikt om hoge volumes aan netwerkverkeer te genereren.
Een andere techniek is de SYN-flood. Daarbij probeert de aanvaller een groot aantal verbindingen met het doelwit op te zetten. De verbindingen worden niet daadwerkelijk tot stand gebracht, maar het doelwitsysteem wordt wel gedwongen ruimte voor de verbindingen te reserveren in de connectietabel. De tabel heeft een beperkte omvang. Als de tabel vol is, kan er geen nieuwe verbinding meer worden opgezet en is het systeem effectief onbereikbaar geworden.
Bij de smurf-aanval maakt de aanvaller gebruik van configuratiefouten in het netwerk. Sommige IP-netwerken kennen ‘broadcast’-adressen, die kunnen worden gebruikt om een bericht door te sturen naar alle systemen die op het netwerk aangesloten zijn. Wie een ping-bericht naar zo’n ‘broadcast-adres stuurt, genereert in één keer enorme hoeveelheden verkeer.
Duizenden aanvallen tegelijk
Deze ‘denial-of-service’ tools zijn al jaren bekend. Tot zover niets nieuws. Wat gedistribueerde tools als TFN, trin00, TFN2K en Stacheldraht bijzonder maakt, is het feit dat met één druk op de knop honderden of duizenden aanvallen tegelijk kunnen worden gelanceerd. Ook bijzonder is de geavanceerde manier waarop handlers en agents met elkaar communiceren. Zo maakt Stacheldraht gebruik van encryptie om ervoor te zorgen dat Stacheldraht-commando’s niet als zodanig kunnen worden herkend. Dit maakt het opsporen van een actief Stacheldraht-netwerk tamelijk lastig.
Is de aanval eenmaal ingezet, dan is effectief ingrijpen zeer moeilijk. Het filteren van IP-verkeer aan de rand van het netwerk is een mogelijkheid, maar de werking van deze maatregel is maar tijdelijk. Door valse IP-adressen te gebruiken (spoofing) kan de aanvaller deze maatregel eenvoudig omzeilen. Een andere maatregel is het blokkeren van Icmp-berichten. Die optie is niet altijd praktisch, omdat Icmp in het Internet een belangrijke functie vervult. Veel routers, waaronder die van Cisco, kennen de mogelijkheid om Icmp-verkeer te reguleren (rate limiting). Tenslotte zijn er tools beschikbaar om actieve dDoS-netwerken op te sporen. Voorbeelden hiervan zijn Gag en Find_ddos.
De aanvallen van de afgelopen maand kwamen niet als een verrassing. Deskundigen waarschuwen al langer voor gedistribueerde ‘denial-of-service’-aanvallen. De eerste echte melding dateert van de zomer van 1999. Netwerkbeheerders ontdekten experimentele trin00-netwerken met meer dan 2000 agent-systemen. In september van dat jaar werd ook TFN op grote schaal aangetroffen. Nog iets later volgden TFN2K en Stacheldraht. Het Computer Emergency Response Team (Cert) publiceerde in november 1999 een officiële waarschuwing.
Computersystemen van universiteiten vormen van oudsher een aantrekkelijke uitvalsbasis voor dit soort aanvallen. Die systemen zijn over het algemeen vrij toegankelijk én slecht beveiligd. De meeste geïnfecteerde agent-systemen (‘zombies’, in hackersjargon) zijn inderdaad bij universiteiten aangetroffen. Stacheldraht-infecties werden onder meer gemeld door Stanford University en de University of California te Santa Barbara. Slecht beveiligde universiteitscomputers zijn veel bedrijven en opsporingsinstellingen al jaren een doorn in het oog. De incidenten in februari zullen in de academische wereld ongetwijfeld leiden tot een hoger beveiligingsbewustzijn. Of dit verhoogde bewustzijn eenvoudig kan worden vertaald naar een verhoogd beveiligingsniveau is de vraag.
Aansprakelijkheid
Wie zit er achter de recente aanvalsgolf? De vermeende auteur van TFN en TFN2K is een Duitse hacker die zich tooit met de codenaam Mixter. De FBI zag hem aanvankelijk als een mogelijke dader van de aanvallen in februari. Vlak na het incident verscheen hij in de pers. Hij ontkende elke betrokkenheid en publiceerde een lijstje met tien tegenmaatregelen. Nieuwe verdachten zijn hackers die zich verbergen achter stoer klinkende schuilnamen als Coolio en Mafiaboy en op het Internet opscheppen over hun vermeende daden. Feit is dat een dDoS-aanval door elke willekeurige ‘script kiddie’ uitgevoerd kan worden. De tools zijn vrij verkrijgbaar, worden door andere hackers steeds verder verfijnd en worden daarbij ook steeds vriendelijker in het gebruik. Er zullen ongetwijfeld meer aanvallen volgen.
En dat roept enkele vragen op rond aansprakelijkheid. Is een rechtspersoon aansprakelijk als zijn systemen worden gebruikt als uitvalsbasis voor een massale aanval die de beurskoers van een grote onderneming doet kelderen? Kan die rechtspersoon nalatigheid worden verweten als zijn systemen aantoonbaar slecht waren beveiligd? In de Verenigde Staten lopen de advocaten zich al warm.
De Amerikaanse overheid gaf in zijn reacties aanvankelijk tegenstrijdige signalen af. President Clinton riep de hackersgemeenschap op tot constructieve acties. Het Amerikaanse Ministerie van Justitie vroeg een uitbreiding van het budget met 37 miljoen dollar voor de bestrijding van computercriminaliteit. Het Department of Commerce legde de verantwoordelijkheid voor het oplossen van het probleem bij het bedrijfsleven. Om de rijen te sluiten, werd dinsdag 15 februari in het Witte Huis een speciale meeting belegd. Onder de deelnemers waren Janet Reno, minister van Justitie, John Podesta, chief of staff, vertegenwoordigers van opsporingsdiensten en topmanagers van grote IT-bedrijven.
Intussen lopen de schattingen over de werkelijke schade van de aanvalsgolf sterk uiteen. Volgens de Yankee Group, een Amerikaans onderzoeksbureau, bedraagt de totale schade meer dan 1 miljard dollar. Bij deze schatting is onder meer rekening gehouden met het verlies van advertentie-inkomsten, de derving van on-line verkopen en de noodzaak tot het treffen van aanvullende beveiligingsmaatregelen.
Resteert de vraag welke uitwerking de gedistribueerde ‘denial-of-service’-aanvallen hebben op het maatschappelijk vertrouwen in elektronische handel. Volgens sommige deskundigen is dit vertrouwen nu blijvend beschadigd. Andere deskundigen zijn optimistischer en verwachten dat de industrie op korte termijn met een oplossing komt. Verder wijzen zij op de gratis publiciteit die dit incident de betrokken bedrijven heeft opgeleverd. Zo ook het onbekende adviesbureau dat vlak na het incident opgewekt melding maakte van een Stacheldraht-infectie en daarmee de wereldpers haalde. De kooplust van de gemiddelde Amerikaan lijkt in elk geval niet door het incident aangetast te zijn: online winkels haalden vlak voor Valentijnsdag een recordomzet.
Edo Roos Lindgreen, senior manager bij Kpmg Information Risk Management, en docent aan de Universiteit van Amsterdam.
Relevante sites
http://www.cert.org
http://staff.washington.edu/dittrich/misc/ddos
http://www.security.nl
http://slashdot.org
http://www.securityfocus.com
http://packetstorm.securify.com
http://www.cisco.com
http://www.cnn.com
