UTFaculteitenEEMCSNieuwsHoe houden we de eindeloze stroom cyberaanvallen tegen?
=

Hoe houden we de eindeloze stroom cyberaanvallen tegen?

Veel mensen zijn de hele dag online. Afgezien van lokale storingen ís er ook bijna altijd internet. Hoe bijzonder is dat? En wat zou er gebeuren als webpagina’s níet meer bereikbaar zijn? Onderzoekers van de Universiteit Twente doen onderzoek naar de robuustheid van een van de hoekstenen van het internet: het zogenoemde DNS-netwerk. Dit zorgt er als een soort telefoonboek voor dat je altijd bij de juiste domein uitkomt wanneer je een adres opzoekt.Wetenschappers van de faculteit Electrical Engineering, Mathematics, and Computer Science (EEMCS) van de Universiteit Twente proberen binnen het project MADDVIPR te achterhalen welke cyberaanvallen succesvol zijn en hoe bedrijven ze het beste kunnen afslaan.

Over MADDVIPR

Het MADDVIPR project (Mapping DNS DDoS Vulnerabilities to Improve Protection and Prevention) wordt geleid door Dr. Anna Sperotto en Prof. dr. ir. Roland van Rijswijk-Deij. Het projectteam bestaat daarnaast uit Dr. ir. Mattijs Jonker, verantwoordelijk voor de big data architectuur in het project, en Raffaele Sommese M.Sc., die als promovendus aan het project gewerkt heeft.
Het MADDVIPR project is uitgevoerd in samenwerking met de groep van Prof. K. Claffy aan de University of California San Diego. Deze samenwerking is gefinancierd door NWO en het US Department of Homeland Security.

Ieder dag ligt het internet onder vuur. Terwijl je dit bericht leest worden websites, servers en netwerken van bedrijven gescand op mogelijke beveiligingslekken en wordt geprobeerd om ze offline te halen. Een populaire manier om dat te doen is een zogenoemde DDoS-aanval (een afkorting van distributed denial-of-service). Hierbij wordt een server overladen met aanvragen (bijvoorbeeld voor het laden van een pagina) van een groot aantal samenwerkende computers. Die aanvragen hebben als doel de server te overbelasten. Als dat gebeurt dan heeft de server geen tijd meer om aanvragen van echte bezoekers te verwerken: de website over internetdienst is dan onbereikbaar.
In 2021 en 2022 registreerden de onderzoekers van Universiteit Twente gemiddeld meer dan 250.000 van dit soort aanvallen per maand. Waarschijnlijk is het echte aantal aanvallen een stuk hoger omdat niet alles wordt geregistreerd. Deze acties zijn vaak gericht op domeinen van bedrijven en instellingen en cruciale voorzieningen zoals ziekenhuizen. Een klein deel ervan richt zich op het zogenoemde DNS-netwerk, een fundamenteel onderdeel van het internet. Zie het als het adresboek dat je computer of telefoon naar de juiste server stuurt. Wil je bijvoorbeeld naar utwente.nl dan dirigeert een DNS-server jouw telefoon op computer naar de server met het ip-adres 130.89.3.249, waar de website gehost is.
Maar één of twee procent van het totale aantal DDoS-aanvallen is op het DNS-netwerk gericht, maar succesvolle aanvallen hebben een grotere impact omdat het veel domeinen tegelijk onbereikbaar kan maken. Binnen het project Mapping DNS DDoS Vulnerabilities to Improve Protection and Prevention (MADDVIPR) proberen onderzoekers van de Universiteit Twente te achterhalen hoe vaak deze aanvallen plaatsvinden, of ze succesvol zijn en of bedrijven effectieve tegenmaatregelen nemen. Ze werken daarvoor samen met de University of California, San Diego (UC San Diego).

Het internet doormeten

In het project combineren de Nederlandse en Amerikaanse wetenschappers twee systemen. Ten eerste beschikken de onderzoekers in Enschede over het naar eigen zeggen grootst meetsysteem ter wereld van het DNS-systeem. Dagelijks wordt hiervoor automatisch de status van zo’n tweederde van de wereldwijde domeinnamen opgevraagd.
De wetenschappers van UC San Diego beschikken over een grote zogenoemde netwerktelescoop: een netwerk van computers dat verbonden is met het internet via ‘ongebruikte’ IP-adressen, in totaal zo’n 12 miljoen. “Als het verkeer dat daar binnenkomt is per definitie ongewenst, want in feite heb je daar niets te zoeken”, zegt Roland van Rijswijk-Deij, adjunct hoogleraar Measurement-based Internet Security van de Universiteit Twente. “Wat we daarop zien zijn aanvallen en scans, computers die proberen om verbinding te maken, die luisteren of ‘prikken’ om te zien of ze ergens doorheen komen. En omdat aanvallende partijen vaak werken met een valse afzender komt een deel van het aanvalsverkeer toevalligerwijs ook in deze netwerktelescoop terecht. Ook deze ‘achtergrondruis’ monitoren we.”
De netwerktelescoop levert gegevens op over de aanvallen die plaatsvinden, over de intensiteit ervan en over welk deel van het DNS-netwerk onder vuur ligt. De onderzoekers combineren deze gegevens met het functioneren van het DNS-netwerk.
Daarnaast checken de onderzoekers zelf of domeinen via DNS vindbaar zijn, en of dit bijvoorbeeld langer dan duurt dan normaal. “Als je de informatie over de actuele aanvallen combineert met de prestaties van websites dan krijg je een beeld van de effectiviteit van de acties”, zegt Van Rijswijk-Deij.

Infrastructuur robuust maken

Ondanks de grote hoeveelheid aanvallen betekent dit niet dat de hostingbedrijven en websites lijdzaam toekijken hoe hun servers onder vuur genomen worden. Er zijn manieren om aanvallen op het DNS-netwerk af te slaan of om hun effect te beperken. Een van de meest efficiënte manieren om dat te doen is de servers waarop de gegevens staan te verspreiden, zegt Van Rijswijk-Deij. “Je moet als het ware in ieder deel van het internet een DNS-server te hebben, als een kopieën van een ouderwets telefoonboek dat overal ligt”, zegt hij.
Een andere technische oplossing is eenzelfde ip-adres op meerdere plekken ter wereld beschikbaar maken via verschillende servers. Als een van de servers offline gaat dan zoekt een computer automatisch naar een andere server met hetzelfde adres. Dit systeem heet Anycast en bijvoorbeeld Google maakt er gebruik van. Het bedrijf runt een DNS-service die naar eigen zeggen in 2018 een biljoen aanvragen per dag verwerkte.

Kwetsbaarder door kostenbesparing

Dit soort maatregelen bestaan al lang, maar dat betekent niet dat iedere hostingpartij ze doorvoert. “Onderzoekers zoals wij kunnen wel aanbevelingen voor de veiligheid doen, maar feit is dat de marges in de hostingwereld laag zijn. En dit soort maatregelen kosten geld”, zegt Van Rijswijk-Deij.
Om kosten te besparen kloppen hostingpartijen vaak aan bij grote partijen die het werk voor een lagere prijs uit handen nemen. Economisch gezien is dat logisch, maar het kan het netwerk juist kwetsbaarder maken. “Het afgelopen decennium hebben we gezien dat er een aantal partijen dominant zijn geworden in allerlei delen van het internet”, zegt Van Rijswijk-Deij. “Denk aan Amazon, Google en Cloudflare voor het hosten van domeinen, maar ook in Nederland is er één partij – TransIP – die honderdduizenden domeinnamen beheert. Als een van die partijen een issue heeft dan heeft dat meteen grote gevolgen.” Ter illustratie noemt hij een DDoS-aanval op de DNS-servers van TransIP in 2021, waardoor klanten van dat bedrijf offline gingen. Zo was de website van de Eerste Kamer korte tijd offline, maar ook die van gemeenten en ziekenhuizen.

Van hobbyisten tot beroepscriminelen

De gevolgen van succesvolle aanvallen zijn groot, maar wie heeft daar eigenlijk belang bij? Wie voert deze acties uit? Van Rijswijk-Deij schetst een divers palet van personen en organisaties, dat gaat van soms jonge ‘hobbyisten op zolderkamers’ die nauwelijks in de gaten hebben dat wat ze doen tot een gevangenisstraf kan leiden, tot ‘professionele’ hackerscollectieven. Daarachter zitten weer criminele drijfveren, bijvoorbeeld het afpersen van organisaties voor geld. Ook spelen er politieke motieven wanneer hackers in opdracht van een vijandelijke staat gerichte aanvallen uitvoeren op essentiële infrastructuur, bedoeld om verstoringen in de samenleving te veroorzaken. Als voorbeeld noemt hij het Universitair Medisch Centrum Groningen waarvan de website begin dit jaar niet of nauwelijks nog beschikbaar was. Russische hackers waren hiervoor verantwoordelijk.
Van Rijswijk-Deij denkt dat veel mensen de potentie van dit soort aanvallen onderschatten. “‘Ik kan wel een paar uur zonder internet’, denk je misschien. Maar een onbereikbaar ziekenhuis kan levensbedreigend zijn”, zegt hij. “Je kunt je daarnaast bijna niet voorstellen hoe diep internet in onze levens zit, dat gebeurt op zoveel manieren.” Communiceren met vrienden en familie wordt lastig, alsmede digitaal betalen, en er is geen online nieuwsvoorziening meer. Van Rijswijk-Deij voorspelt drukte en chaos op bijvoorbeeld vliegvelden (geen online incheck meer), supermarkten (geen online bestellingen) en op de weg en het spoor (geen actuele verkeersinformatie).
Maken we het nog een keer mee dat het internet massaal kapot gaat? Van Rijswijk-Deij zegt dat het internet tot nu toe vrij robuust lijkt. Dat was ook een ontwerpcriterium in de begindagen van het internet eind jaren 60. Toch sluit hij een grote storing niet uit. En daar mogen we best wat alerter op zijn, vindt hij: “Kijk naar de wetgeving: de PTT was vroeger verplicht om voor ziekenhuizen speciale telefoonlijnen te regelen die altijd beschikbaar waren en de elektriciteit die je huis binnenkomt is officieel ‘vitale infrastructuur’ die niet mág uitvallen. Dat geldt nog steeds niet voor internet, dat is best gek.”

J.C. Vreeman (Jochem)
Persvoorlichter (aanwezig ma-vr)