Sinds april dit jaar bepaalden zogenoemde DDoS-aanvallen het nieuws. Door deze aanvallen op banken en andere organisaties sprongen hun netwerken of websites letterlijk op zwart. De aanvallen leiden ongetwijfeld tot omzetverlies en reputatieschade. De aanvallen concentreren zich vooralsnog op banken en overheidsinstellingen zoals DigiD. Moeten we op zoek naar de dader of moeten we de beveiliging tegen een DDoS-aanval inregelen?
Een analyse van de recente aanvallen laat zien dat hackers onzichtbaar/anoniem opereren en de aanvallen inzetten op verschillende niveaus in het netwerk en binnen applicaties en daarin zwakke plekken zoeken. Dit betekent dat de dader zo goed als onzichtbaar is wat opsporing vrijwel onmogelijk maakt. Tegelijkertijd zien we dat de crimineel vele verschillende gereedschappen heeft waardoor de hacker telkens opnieuw hetzelfde doelwit – op een andere wijze – kan aanvallen.
Ik maak hierbij graag een vergelijk met de opkomst van spam. De eerste vorm van e-mailspam werd in 1978 verstuurd door Carl Gartley van Digital Equipment Corporation (DEC) naar 343 gebruikers van Arpanet (internet). Carl maakte reclame voor een nieuwe productlancering. Vanaf eind jaren negentig is spam volop ingezet voor het maken van politieke statements en het doen van ongewenste aanbiedingen voor Viagra. De spammarkt is een volwassen criminele markt voor het versturen van lokkertjes met veelal geavanceerde malware.
In 2000 kwam IronPort (inmiddels Cisco) met het SenderBase-reputatiefilter als middel tegen spam. Dankzij SenderBase waren er ineens goede maatregelen waarbij spam werd gefilterd zonder dat het normale verkeer hier hinder van ondervond. Inmiddels wordt zo goed als alle spam via soortgelijke reputatiefilters afgevangen. Ruim 80 procent van de dagelijkse internet-e-mail is spam, maar slechts een kleine fractie van de gebruikers ondervindt hier last van.
Terug naar de cyberaanvallen van april. Ik hoor regelmatig de opmerking: het zal mij niet overkomen, het zijn de banken en centrale overheidsinstellingen die doelwit zijn. Ik geloof dat DDoS inmiddels een probleem van iedereen is. Om een grote site of internetbankieren plat te leggen, heeft de hacker meer aanvalskracht nodig dan bij een minder grote site. In mijn ogen betekent dit dat grote banken en overheidsinstellingen simpelweg meer maatregelen moeten treffen. Maar wist je dat beschermende DDoS-maatregelen voor iedereen beschikbaar en betaalbaar zijn. Dus ook voor jouw internetinfrastructuur is het tijd voor een DDoS APK-check!
Bedrijven die DDoS als service aanbieden worden niet als illegaal gezien en zijn zelfs gelieerd aan overheden.
http://www.zdnet.com/hire-ddos-attack-service-legal-and-connected-to-fbi-7000015598/
Je beveiligen tegen een DDoS is simpelweg niet mogelijk. DDoS’ers konden zelfs Cloudfire op de knieën krijgen met de meest hevige DDoS ooit.
Zorgen dat je redundancy inbouwt zodat je minder last hebt van DDoS aanvallen is een optie maar dat is ook niet waterdicht tenzij je sneller kan schakelen dan de DDoS controller kan.
Belangrijk is om de zwakheden te onderkennen en te voorkomen dat deze misbruikt kunnen worden voor criminelen door je überhaupt aan te vallen.
Dat er blijkbaar ook niet financiële targets slachtoffer zijn geworden is stof tot nadenken. Blijkbaar zijn er naast criminelen ook andere motieven om te DDoS’en. Uitschakeling van concurrentie, afpersing of wellicht andere motieven.
Peter, ben het met je eens. De commerciële verhuur had ik ook al geconstateerd. Overigens zie ik met een DDoS APK check dat het voornamelijk een bewuste risicoafweging is tussen (kostbare) maatregelen versus acceptabele risico’s. Dit betekent dat een scrubstraat (zoals Cloudfare) echt niet voor iedereen geschikt of noodzakelijk is.
Dat ook niet-financiële sites worden bestookt, verbaast me niets. DDoS is uiteindelijk een vorm van vervuiling van internet. Net als met virussen en spam 🙁
Peter. Ik ben benieuwd welke beschermende DDoS-maatregelen voor iedereen beschikbaar en betaalbaar zijn. Volgens mij zijn deze er niet. Sterker nog: volgens mij zijn er zelfs geen oplossingen die voor enterprises beschikbaar en betaalbaar zijn. Een goed opgezette en grootschalige DDos aanval kan vaak niet gestopt wordt. Dit blijkt alleen al uit het feit dat banken, overheidsinstellingen en veel andere grote organisaties DDos aanvallen niet konden weerstaan.
Misschien dat het DDos probleem ooit wordt opgelost met een vergelijkbare oplossing als voor spam. Op dit moment lijkt dat nog ver weg.
Wellicht zijn de DDoS aanvallen een rookgordijn geweest voor andere activiteiten van de hackers die gelijktijdig of vlak erna plaatsvonden? Hoeveel mensen hebben na de DDoS aanval op de banken een phishing mail ontvangen waarin hun zogenaamde bank vraagt om hun gegevens te bevestigen in verband met zogenaamde “nieuwe beveiligingsmaatregelen”?
Om de wereld veiliger te maken moeten we beginnen bij de bron. 75% van de hack-aanvallen gebeurt momenteel via de applicatie-laag (websites). Het overgrote deel van de websites is bij de ontwikkeling niet of nauwelijks getest op security. 80% van alle webapplicaties bevat minimaal één kwetsbaarheid die door hackers misbruikt kan worden om in te breken. Het laten testen van je website op security kwetsbaarheden geeft keer op keer verrassende resultaten. Het repareren van de gaten die bij zo’n scan worden gevonden is een effectieve verlaging van de risico’s.