Beveiligingsexperts zijn niet verbaasd over de Ddos-aanval vorige week op de internetbackbone. "Dit wordt al veel langer voorspeld. Nu is het dan gebeurd. Wij schrikken niet zo gauw meer; er zijn kennelijk geen grenzen aan de creativiteit", zegt Patrick Dalvinck, regionaal directeur Benelux van Symantec. Branchegenoot Peter Sandkuijl, technical manager Benelux bij Check Point: "Hier kon je op wachten. We weten al veel langer dat dit een van de kwetsbaarste delen is van internet. Alles is immers gebaseerd op DNS."
| Caching houdt internet op de been De zwaarste aanval die tot nu toe is uitgevoerd op internet heeft het netwerk vertraagd, maar niet op de knieën gekregen. Caching van de rootadresgegevens op tientallen servers in de laag direct boven op het rootserversysteem heeft de schade beperkt weten te houden. De operators van de dertien rootservers zijn daarbij veel geholpen door het feit dat de nog onbekende aanvallers de Ddos-aanval (distributed denial of service) na ongeveer een uur afbraken. Een aanval die langer was volgehouden dan de periode tot de volgende cacheverversing (24 uur) had veel ingrijpender gevolgen voor het net gehad, aldus deskundigen van Symantec en Check Point. Het Cybercrime Team van de FBI stelt een onderzoek in naar de daders. Beveiligingsexperts sluiten politieke en economische motieven niet uit, maar houden het toch op hackers die het om prestige was te doen. |
Dat internet overeind bleef is vooral te danken aan het afbreken van de aanval na een uur. Zeven van de dertien rootservers lagen toen plat, en twee andere waren slechts zo nu en dan beschikbaar. "De lagere delen van internet draaiden door op de caching. Die caches worden elke 24 uur ‘ververst’. Als de rootservers dan nog plat liggen, worden de problemen gelijk een stuk groter", aldus Sandkuijl.
Sceptisch
Hij draagt ‘overprovisioning’ (het overbemeten van systemen) aan als een van de mogelijke oplossingen. Dalvinck van Symantec is daar sceptisch over. "De capaciteit van de systemen opvoeren of de bandbreedte vergroten lokt alleen maar meer vijandelijk verkeer uit." De effectieve aanpak moet volgens Check Point en Symantec komen van vernieuwende techniek en de preventie.
De technische innovatie richt zich vooralsnog op het filteren van het verkeer. Dat verlaagt de belasting van de machines, maar die blijven onbereikbaar. De scans detecteren het begin van een aanval door gebruik te maken van herkenbare patronen die in een databank liggen opgeslagen. Dat biedt echter geen soulaas voor ‘zero days attacks’; aanvallen waarvan nog geen herkenningspatroon is gescand.
Symantec heeft met de recente overname van Recourse Technology de mogelijkheid verkregen zelflerende softwareagenten te parkeren bij de rootservers en de rond honderd knooppunten daaronder, waaronder Bnix in Brussel en Amsix in Amsterdam. Die agenten zijn niet afhankelijk van patroonherkenning, maar detecteren afwijkend gedrag. Ze overleggen met elkaar en sturen hun informatie door naar centrale servers, die de gegevens verwerken. Dat levert een snelle indicatie op van de richting en het land waar het verkeer vandaan komt, waardoor een betere verdediging mogelijk is.
Preventie
Zonder gedegen preventie is elke technologische aanpak echter zinloos, aldus de beide experts. Die preventie begint bij het beveiligen van het eigen serverpark van bedrijven. Volgens Sandkuijl gebruiken veel ondernemingen met kleine ict-afdelingen nog verouderde versies van de DNS-software Bind (Berkeley Internet Name Domain). "Bind-4.x is gedocumenteerd kwetsbaar, maar wordt nog veel gebruikt. Grotere bedrijven draaien versie 8.x, die veel robuuster is. Die slechter beveiligde servers worden door de hackers op de korrel genomen en als drones of dummy’s ingezet bij de Ddos-aanval."
Dalvinck verwacht dat de Amerikaanse overheid het voortouw zal nemen bij de tegenmaatregelen. "Dit was een bijna geslaagde aanval op een sleutelinfrastructuur. Dat kan men in Washington niet over zijn kant laten gaan." Immers, tien van de dertien DNS-rootservers bevinden zich in de VS. Ook Sandkuijl kijkt in eerste aanleg naar bedrijven, universiteiten en via adsl of kabelmodem aan het net verbonden privé-computers.
De beheerders van deze aan infectie blootstaande systemen gaan thans nog vrijuit. Dalvinck: "Zij zijn niet verantwoordelijk, en worden niet strafrechtelijk of anderszins aangesproken als het mis gaat. Geloof me: als de managers die systemen slecht beveiligen aangepakt worden, zijn veel van dit soort aanvallen te voorkomen."
René Rippen
