Geen betalingsverkeer, geen vliegverkeer, gestrande reizigers, grootschalige plunderingen en hulpdiensten die niet gebeld kunnen worden om de orde te herstellen of om mensen te helpen. Het beeld dat Aiko Pras, hoogleraar Internet Security aan de Universiteit Twente (UT), schetst van de chaos die ontstaat na een eventuele DDoS-aanval op het internet, laat niets aan duidelijkheid te wensen over. ‘We weten inmiddels wel dat zaken die op het internet aangesloten zijn, zoals het elektriciteitsnet, kunnen uitvallen. Maar het besef dat het internet zélf kan uitvallen, is er nog niet.’ Als hoogleraar heeft hij een taak om bij te dragen aan bewustwording daarvan.
Gevolgen DDoS aanval
‘Een DDoS (distributed denial of service) aanval wil zeggen dat je iets gaat aanvallen via het internet, met het doel internetdiensten plat te leggen. Bijvoorbeeld de website van het NOS Journaal of de website van een bank om het betalingsverkeer te blokkeren’, vertelt Aiko Pras, gespecialiseerd in Netwerk Management en Internet Security. Bekende voorbeelden zijn Twitter en PayPal die na een DDoS-aanval in 2016 tijdelijk onbereikbaar waren voor een deel van de gebruikers.
Maar met een DDoS aanval kun je ook het héle internet platleggen. Zonder een gedegen rampenplan zijn de gevolgen dan niet te overzien. Van die risico’s zijn we ons onvoldoende bewust. Pras: ‘De Wetenschappelijke Raad voor Regeringsbeleid (WRR) heeft dit voorjaar een rapport uitgebracht, “Veiligheid in een wereld van verbindingen. Een strategische visie op het defensiebeleid”. Het rapport stelt de vraag: Hoe veilig is onze samenleving? En gaat daarbij in op “conventionele” onderwerpen zoals defensie. Cyber security komt ook aan bod. WRR identificeert weliswaar alles wat op het internet is aangesloten, maar niet het internet zelf.’
Internet of things
Bottleneck van een DDoS-aanval is het Internet Of Things: alle ‘slimme’ apparaten die we inmiddels in ons huis hebben, legt Pras uit. ‘Het gaat niet alleen om de reguliere computers, maar om alle apparatuur die op het internet is aangesloten, zoals de verlichting, de zonnepanelen en de thermostaat. We hebben tientallen van die apparaten in ons huis en dat worden er steeds meer. En ook die zijn te hacken’, schetst Pras het doemscenario. ‘Je hebt niet in de gaten dat je koelkast gehackt is, want hij werkt gewoon. Maar ondertussen zit jouw koelkast wel andere apparaten te bestoken.’
Ook beveiligingscamera’s vormen een risico, vertelt Pras. ‘Heel veel van die camera’s komen uit China. Daar zitten vaak zogenaamde webdoors in waardoor anderen naar ‘binnen’ kunnen. Die camera is aangesloten op het elektriciteitsnet en internet. Als de camera via een backdoor gehackt wordt, kan de camera vervolgens berichten sturen om het DNS (Domain Name System) plat te leggen.’ DNS is het systeem dat op het internet gebruikt wordt om namen van computers naar numerieke adressen te vertalen en omgekeerd. Wat ook niet helpt: ‘Een computer zet je uit als je er niet mee werkt, maar een camera werkt dag en nacht.’
De kans op zo’n aanval is groter dan we denken, want een groot aantal van de computers is op dit moment gehackt. En heel ingewikkeld is een DDoS-aanval ook niet, zegt Pras: ‘Het internet kan platgelegd worden door jongetjes van zestien jaar. Dat gebeurt bewust klungelig, waardoor zij vaak onder de radar blijven. Maar als zij het kunnen, dan kunnen natiestaten het ook. Neem bijvoorbeeld Noord-Korea. Dat land heeft niets te verliezen, want zit zelf nauwelijks op het internet. Wij daarentegen hebben veel te verliezen. Er zijn partijen die veel profijt hebben bij een DDoS-aanval.’ En daar zijn we niet op voorbereid, waarschuwt Pras: ‘Als de dijken doorbreken, hebben we een rampenplan. Maar als ons internet plat ligt, weten we niet wat we moeten doen. Aan die bewustwording wil ik, als hoogleraar, een bijdrage leveren.’
DDoS as a service
De Universiteit Twente doet sinds vijf jaar onderzoek naar het fenomeen DDoS. Via een collega werd Pras er op geattendeerd. ‘Wij zaten bij SURFnet. Zij zeiden: ‘Wij hebben dit soort aanvallen. Hoe komt dat?’ Dat zijn we toen gaan uitzoeken.’ Inmiddels is er een onderzoeksteam van vijf tot tien mensen. Pras: ‘Hetonderzoek is soms heel technisch, bijvoorbeeld: Hoe kun je ervoor zorgen dat je server meer capaciteit krijgt als je last hebt van een DDoS-aanval? Of: Hoe kun je in een vroeg stadium de structuur van een aanval herkennen, vóórdat de bom is gebarsten?’
Soms is het onderzoek jongensboekachtig spannend. Pras: ‘Als je op internet surft, vind je DDoS-as-a-service. Dat zijn bedrijven die DDoS als een commercieel product aanbieden. Dan betaal je een paar euro en kun je een maand lang aanvallen uitvoeren. Een promovendus van mij heeft dat onderzocht. En heeft het ook werkelijk uitgeprobeerd. Het merkwaardige is: als de aanval niet het beloofde resultaat heeft omdat bijvoorbeeld de kracht ervan tegenvalt en de aangevallen website in de lucht blijft, komt de leverancier je daarin tegemoet.’ Samen met SURFnet heeft de UT inmiddels een lijst aangelegd met daarop alle DDoS-as-a-Servicewebsites, zodat gebruik daarvan gemonitord kan worden. Pras: ‘Het zijn vaak jongere hackers, die het deels voor de lol doen. En die er een aardig zakcentje bij verdienen. Soms tot wel tienduizend euro per maand.’
Online gamers
DDoS-aanvallen zijn populair geworden onder de online gamers. Pras: ‘Als een online gamer niet wint, kan hij met een DDoS-aanval iemand van het internet blazen en dan heeft hij alsnog gewonnen.’ Binnen de gamewereld blijven deze hackers redelijk onder de radar. Maar je kunt er niet alleen gamesites mee plat leggen, maar ook andere websites. DDoS is daarmee inmiddels een serieuze zaak voor veiligheidsdiensten. Pras: ‘Terroristen lopen nu nog iets achter omdat ze iets minder resources hebben. Maar ik kan me goed voorstellen dat landen als Amerika, Rusland en China bezig zijn om zich hiertegen te beveiligen.’
Ook de Nederlandse overheid zou er volgens Pras goed aan doen een commissie in het leven te roepen om een rampenplan op te stellen. ‘De eerste taak van de overheid is om een alternatieve communicatiestructuur aan te leggen. Zodat zij kan vertellen wat er aan de hand is. Dat kan bijvoorbeeld een radiokanaal zijn; veel mobieltjes hebben een ingebouwde radio-ontvanger.’ Ook moet de overheid een wettelijk kader scheppen. Pras: ‘Je moet bijvoorbeeld apparaten hebben die een DDoS-aanval weten te onderbreken. Maar internetproviders schaffen die apparaten onvoldoende aan, omdat het voor hen een te kostbare aangelegenheid is. De overheid kan daar regels voor opstellen.’
Rampenplan
Dat burger en overheid zich te weinig bewust zijn van de risico’s van een DDoS-aanval, begrijpt Pras heel goed. ‘Dat heeft tijd nodig. In 2010 dacht ik ook: Dat kan niet. Want, “het” internet, wat is dat eigenlijk? Dat is te groot, te veelomvattend. Oudere mensen die ik spreek, reageren vaak laconiek: “Als het internet plat ligt, is het eindelijk rustig en kan ik heerlijk een boek gaan lezen.”
Bij uitval van het internet zal daar heel waarschijnlijk geen sprake van zijn, beklemtoont Pras: ‘Bij mijn lezingen houd ik de – internationale – luisteraars het volgende voor: stel dat het internet plat ligt. Dan denkt u: ik ga terug naar huis. Maar inchecken op Schiphol gaat niet. En zonder toestemming “van de andere kant” vertrekt het vliegtuig sowieso niet. Dan denkt u: ik ga overnachten in een hotel. Maar dat hotel kunt u niet betalen omdat creditcards niet meer werken. U krijgt honger en wilt iets eten. Maar aan het eind van de dag zijn de supermarkten leeg en worden ze niet langer bevoorraad, want distributiecentra weten niet welke voorraden ze waar moeten leveren. Dan gaan de mensen plunderen. Binnen de kortste keren is er totale chaos.’
Individuele bescherming
Burgers zijn niet overgeleverd aan de overheid als het aankomt op bescherming tegen DDoS-aanvallen. ‘Je kunt ervoor zorgen dat jouw apparaten minder kans hebben om aangevallen te worden’, stelt Pras gerust. ‘Bij mobieltjes worden steeds weer nieuwe fouten in de wifi en Bluetooth gevonden. Als jij in de trein zit, kan iemand zo jouw mobieltje hacken. Blijf daarom om te beginnen je software updaten. Zet verder een firewall vóór al je apparaten thuis, zodat deze vanaf het internet niet bereikbaar zijn. En leg bijvoorbeeld een wifi-gastnetwerk aan. Dan kunnen gasten niet op jouw wifi-netwerk.’
Dit interview met Aiko Pras verscheen eerder op de website van Professional Learning & Development, dat diverse onderwijsprogramma's biedt voor professionals en managers die werkzaam zijn in zowel de private en publieke sector.
