Nederland is in het vierde kwartaal van 2013 naar een zesde plaats gestegen van landen waar het meeste DDoS-aanvalsverkeer werd gegenereerd. Dit blijkt uit onderzoek van netwerkdienstverlener Akamai. Uit het State of the Internet-rapport blijkt dat 2,7 procent van het totaal aantal DDoS-aanvallen vanuit ons land wordt gedaan. In het derde kwartaal van 2013 was dit percentage nog maar 0,5 procent.
Akamai verzamelt een aantal belangrijke wereldwijde statistieken via het Akamai Intelligent Platform. Hierbij gaat het onder andere om netwerkconnectiviteit en verbindingssnelheden, aanvalsverkeer en de adoptie en beschikbaarheid van breedbandverbindingen. Het aantal DDoS-aanvallen (distributed denial of service) is in het vierde kwartaal van 2013 met 23 procent toegenomen ten opzichte van het derde kwartaal. Dit na een lichte daling. In het vierde kwartaal werden wereldwijd 346 aanvallen waargenomen door het Akamai-platform, waarvan 38 waren gericht op organisaties in de EMEA-regio. Het totale aantal DDoS-aanvallen in 2013 komt hiermee op 1153, een toename van 50 procent ten opzichte van 2012. Voor heel 2013 kwam het aantal DDoS-aanvallen op EMEA-organisaties op 167.
Nederland
Opvallend in het vierde kwartaal is de hoeveelheid DDoS-aanvalsverkeer dat vanuit Nederland werd gegenereerd. Dit nam met 2,7 procent van het wereldwijde totaal sterk toe. Nederland komt hiermee op een zesde plaats op de wereldranglijst en op de eerste plaats in EMEA. In deze lijst eindigde China opnieuw op de eerste plaats, met 43 procent, terwijl de Verenigde Staten en Canada met respectievelijk 19 procent en 10 procent op plaats twee en drie eindigden. Indonesië (5,7 procent) en Taiwan (3,4 procent) staan op plaats vier en vijf.
Groot-zakelijke organisaties waren met 159 incidenten de belangrijkste doelwitten van de aanvallers, gevolgd door organisaties in de sectoren Commerce (82), Media & Entertainment (45), Public Sector (37) en High Tech (23). Akamai zag een duidelijke toename van de inzet van scanners die controleren of een webapplicatie kwetsbaar is. Hierbij ging het om een serie aanvallen op de financiële sector, waarbij gebruik werd gemaakt van de scanners ‘Skipfish’ en ‘Vega’, om te kijken hoe goed een website beschermd was. Deze scanners zijn gratis verkrijgbaar en zijn bedoeld voor beveiligingsprofessionals, die hiermee de beveiliging van hun websites kunnen controleren.
Opnieuw slachtoffer
Akamai heeft ook onderzocht of bedrijven die eenmaal het slachtoffer zijn geworden van een DDoS-aanval een grotere kans hebben om in datzelfde kwartaal nogmaals het doelwit te worden. Waar deze kans in derde kwartaal van 2013 nog bijna 25 procent was, blijkt dit in het vierde kwartaal te zijn toegenomen tot 35 procent.
Poort 445 (Microsoft-DS – Active Directory) was met 30 procent opnieuw het belangrijkste doelwit van aanvallers. Deze poort werd gevolgd door poort 80 (web) met 14 procent en poort 443 (ssl/https) met 8,2 procent.
Ik vraag me af waarom je uberhaupt poort 445 exposed zou willen hebben richting internet?
@ Lampje,
Ja, dat is zeker apart te noemen. Je kan dit bijna als een uitnodiging tot hacken zien.
Ter aanvulling DDoS-aanvallen worden meestal uitgevoerd voor criminele doeleinden. Het gaat om het afpersen van bedrijven, of om problemen met het beheer uit te lokken om daarna gemakkelijker te kunnen hacken. Politieke aanleidingen vormen de minderheid. Dat is een extra reden voor justitie om meer te gaan doen aan het voorkomen van DDoS-aanvallen vanuit Nederland.
Het veelvuldig openstaan van poort 445 bij een firewall laat zien dat weinig mensen verstand van firewalls hebben. Bij een eenvoudige firewall zal deze poort standaard uitstaan. Men houdt als gebruiker/beheerder niet altijd rekening met virussen/wormen die deze poort stiekem openzetten.
Grotere bedrijven hebben meestal een firewall met drie of meer segmenten, of meerdere firewalls die achter elkaar geplaatst zijn. De meeste beheerders werken zelden met die firewalls. Voor hen zijn de firewall-rule changes een crime. Dan kan een poort op het verkeerde segment gemakkelijk openstaan of onder de verkeerde voorwaarden. En zo’n open poort werkt inderdaad als een uitnodiging tot hacken.
Overigens poort 445 moet soms (tijdelijk) openstaan vanwege bijvoorbeeld voor de Symantec Endpoint Protection Manager, voor Windows Management Instrumentation monitoring en andere vormen van remote management.
In de basis is 443,80 en 25 genoeg. Toch zie ik nog regelmatig dat er meer open staat. Zoals ICT-er al aangaf heeft niet iedere beheerder verstand van een Firewall. Ik kom zo regelmatig firewalls tegen met de bekende any-any-any regel.
Ook onder de noemer van “remote support” van leveranciers worden er poorten opengezet, niet gehinderd door enig kennis.