Dit weekend is het precies een jaar geleden dat de IT-wereld met een nare nieuwe realiteit werd geconfronteerd. Iedereen die ook maar een beetje oplette, zag het al jaren aankomen: internetverbonden apparaten zouden hetzelfde probleem worden als pc's in de jaren 90.
Die thuismachines waren ontworpen voor stand-alone werk - misschien met een netwerkje hier en naar - maar er was onvoldoende rekening gehouden met een tijdperk waarin al die machines benaderbaar zouden zijn door iedereen met een internetverbinding.
Onbeheersbare groei
Maar er zijn meer parallellen met dat tijdperk dan alleen het besef dat netwerken een interessante en veel misbruikte aanvalsvector opleverden. Zo zagen we vanaf de tijd dat internet voor commerciële doelen beschikbaar kwam, in 1992, in luttele jaren dat gebruik fors groeien.
Datzelfde zien we nu met slimme apparaten: de groei is er, maar is er wel rekening gehouden met de impact van onbeveiligde apparaten voor onze netwerken? Verschillende incidenten de afgelopen jaren hebben ons een duidelijk antwoord gegeven: nee.
Als laatste parallel met de netwerkgroei van vroeger is er momenteel weinig zicht op welke protocollen en standaarden nu precies het IoT gaan vormen. Of hoe groot het precies wordt. De IT-wereld zet zich schrap voor een gigantische netwerk van vele, vele miljarden devices. Van pc's in de jaren 90 en smartphones het vorige decennium, gaan we naar een groei van een nauwelijks nog te overzien sensornetwerk, veel met korte verbindingen via interne protocollen, maar ook via IP direct het internet op.
Hoe groot wil je worden?
Dat zijn trends die we al jaren omschrijven en waar IT-beveiligers zich al jaren zorgen over maken. Wat er daarom op 21 oktober 2016 gebeurde, was voor bijna niemand een grote verrassing, maar die evengoed interessante als verontrustende toekomst wordt ingeluid. Het was de dag van de Dyn-aanval, waarbij een DDoS-aanval DNS-dienstverlener Dyn (toevallig ook die dag overgenomen door Oracle en nu bekend als Oracle Dyn) deels platlegde.
"Ik wil niet zeggen dat we allemaal de klos zijn, maar we zijn allemaal de klos", grapt Dyn-chef Kyle York op beveiligingscongres MPOWER van McAfee. Een van de uitdagingen voor de IT-wereld als het aankomt op IoT is dat we eigenlijk zo weinig weten van waar deze trend precies heengaat en wat de impact is op netwerken, protocollen en beveiliging. "Hoe groot gaat het precies worden?" vraagt York zich af.
Geen puur consumentenissue meer
De enorme DDoS-aanval in oktober vorig jaar viel op om een aantal redenen, zoals het IoT-botnet dat de aanval uitvoerde, de impact van infrastructurele diensten op de totale dienstverlening en de samenkomst van wat doorgaans als typisch consumentenproblematiek werd gezien en zakelijke beveiliging. Mirai bewees dat de twee niet gescheiden zijn. We maken allemaal gebruik van het internet, voor verschillende doeleinden, en zijn allemaal in toenemende mate afhankelijk van dezelfde onderliggende infrastructuur.
Hierna: DNS Water Torture bleek een groter probleem dan het IoT-volume zelf.
Waarom de aanval zorgwekkend blijft een jaar later is simpel: Mirai misbruikte slechts een fractie van alle IoT-apparaten die beschikbaar zijn. Het ging om enkele honderdduizenden devices. Ervan uitgaande dat we afstevenen op een IoT-wereld miljarden apparaten én dat er een jaar later niet zoveel is veranderd aan de beveiliging van IoT-apparaten (om uiteenlopende redenen) hoef je geen helderziende te zijn om te zien dat de Dyn-aanval een voorproefje was van wat gaat komen.
Niet zwaar, maar ongebruikelijk
Het was niet zozeer het brute volume van de apparaten dat de DNS-servers deed kraken, zoals eerder bij Brian Krebs het geval was. Daar liep het zo de spuigaten uit, dat Akamai niet meer in staat was de gratis diensten te leveren voor de beveiligingsjournalist als in het verleden. Nee, bij Dyn waren het vooral de ongebruikelijke methodologieën die het bedrijf parten speelden, vertelt York.
"Het was geen massief volume, maar het was enorm gedistribueerd", legt hij uit. "Het kwam niet uit één bron en in de oorlogsmist moet je bepalen waar iets vandaan komt en waarom." Mirai was toen nog splinternieuw en het duurde even voordat Dyn zag wat er precies aan de hand was. "De eerste indicatie kwam zelfs van een grote klant in Ierland. Die merkte op dat DNS-query's aan de Westkust traag werden verwerkt", herinnert hij zich.
Recursors het vuile werk laten opknappen
Netwerkspecialist F5 was een van de eerste bedrijven die een technische analyse publiceerde over Mirai, korte tijd voordat het botnet Dyn aanviel. Mirai viel niet alleen op door de aanval op krebsonsecurity, wat de nodige media-aandacht opleverde bij vooral tech-publicaties, maar ook vanwege een hoogvolumeaanval op hoster OVH. Daarbij werden de bots ingezet om een in 2014 voor het eerst opgemerkte techniek toe te passen om DNS-servers zelf aanvallen uit te laten voeren.
Bij die methode krijgt een verzoek een string tekens voor de domeinnaam gehecht, bijvoorbeeld qwertyuiop.www.computerworld.nl. Een recursor neemt voor dat verzoek contact op met een authorative nameserver. Een groot aantal van dergelijke verzoeken met verschillende strings van de recursor zorgt ervoor dat de authorative nameserver niet reageert. De recursor bevraagt daarom de volgende nameserver, die vervolgens ook zwaarder belast wordt.
Weg met het telefoonboek
Gebruik bots om de recursor op die manier te belasten en je hebt een relatief simpele methode te pakken om authorative nameservers om te knikkeren. Doe dat met een paar belangrijke systemen, zoals de DNS-servers van Dyn die verkeer afhandelde voor AWS-verzoeken, en je hebt een groot probleem te pakken. Deze DNS Water Torture-techniek was één van die relatief nieuwe methodes waar Dyn zich een jaar geleden opeens mee geconfronteerd zag.
DNS wordt wel eens het telefoonboek van het internet genoemd, omdat het nummers aan namen koppelt. Met één groot verschil. Een telefoonboek hoeft niet op iedere scan door een pagina te reageren om het telefoonnummer van een persoon te openbaren. Een DNS-server moet in principe elke aanvraag verwerken en reageren om verzoeken aan een domein te koppelen.
Op de laatste pagina: De netwerkproblemen van morgen zijn complex en onvoorspelbaar.
"We zijn gewend aan aanvallen, maar ook aan 'gewone' pieken. Als je iets hebt als het overlijden van Tom Petty, zie je het verkeer op Twitter enorm pieken. Dus het was niet zozeer het volume van de aanval, maar de complexiteit, het gebruik van Mirai en de distributie van de aanval", vertelt York als hij kijkt naar de rootproblemen die de gewraakte dag speelden.
Negativiteit
Dat is ergens goed nieuws, want mogelijk is het een minder groot probleem als dat IoT-volume enorm toeneemt in de toekomst, als er voldoende rekening wordt gehouden met de nieuwe methodologieën die DDoS-aanvallers ontwikkelen. De Dyn-chef houdt bij die voorzichtige constatering van deze redacteur wel een slag om de arm. "Het is allemaal behoorlijk onvoorspelbaar. Ik zou je graag vertellen dat we een zilveren kogel hebben, maar die bestaat niet. Omdat het zo onvoorspelbaar is, hebben we beveiligingsteams, SOC's en dergelijke nodig. "
Hij doet er graag een beetje luchtig over met 'we zijn allemaal de klos', maar het centrale punt is bloedserieus: hoe beveiligen we internetverbonden apparaten en misschien wel belangrijker sinds Dyn: hoe beveiligen we onszelf tégen internetverbonden apparaten? Hij nuanceert de 'we gaan er allemaal aan' houding in gesprek met Computerworld.
"Het is moeilijk om over beveiliging te praten zonder heel negatief te klinken. We hebben verkeersregels als RFC's, maar geen centrale regulering. Het gaat erom dat we met z'n allen samenwerken en blijven vooruitkijken naar wat er op de weg gebeurt."
Complexe systemen
Om nog een parallel te trekken met de komst van het internettijdperk: BGP was niet ontworpen voor de enorme schaal waar netwerken zich op ontvouwden. In de tijd van NSFnet werden academische netwerken wereldwijd gekoppeld; "anno 2017 hebben we maar liefst 80.000 Autonome Systemen - kort gezegd de grote netwerken die het internet vormen", haalt York aan om de groei in het juiste perspectief te brengen.
We hebben het vaak over IoT in 2020, wat altijd ver weg klonk, maar over iets meer dan twee jaar zitten we midden in een IoT-wereld van die vele miljarden IP-verbindingen die Cisco al jaren voorspelt.
"Het is ontzettend complexe materie. Een protocol als DNSsec is nog steeds relatief nieuw en adoptie is traag, want het is moeilijk om te doen. Veel gebruikers en zelfs technici weten de ins en outs van DNS niet. Voldoende mensen in de zaal met technici [op MPOWER gisteren] moesten ongetwijfeld opzoeken wat AS'en zijn toen we het daarover hadden."
Zelfs perfect scenario problematisch
Kijkend naar de IoT-problematiek zijn we qua endpoints rijkelijk laat. Zoals we al vaker aangaven, zitten we sowieso met een legacy-probleem te kijken. Zelfs als we een utopie bereiken en onder meer standaardwachtwoorden niet meer zijn toegestaan, alle verbindingen zijn versleuteld en alle malware op netwerkniveau wordt gedetecteerd, dan hebben we miljarden devices die nog jaren aan netwerken hangen zónder al die maatregelen.
Als we overmorgen wakker worden in die dichtgetimmerde IoT-wereld, zitten we realistisch gezien nog steeds een jaar of tien - wellicht langer - met een wereld waarin IoT-apparaten die dit jaar zijn geproduceerd voor problemen zullen zorgen.
Positieve noot
Met andere woorden, die IoT-uitdaging gaat voorlopig niet weg. De droom om dit doeltreffend genoeg op endpointniveau aan te pakken, kunnen we rustig loslaten. Het moet dus wel op netwerkniveau gebeuren en mede daarom is het wellicht een goede zaak dat de Dyn-aanval gebeurde.
Want daardoor werd niet alleen nog eens geïllustreerd hoe alles afhankelijk is van grotendeels dezelfde back-end (als Dyn omvalt, valt AWS om, waardoor Netflix omvalt) maar zien we ook hoe het vechten tegen malafide endpoints dweilen met de kraan open is en we op zoek moeten gaan naar een nieuwe oplossing. Een nieuw paradigma, zoals C-level-mensen het graag benoemen.
-
-
Er zijn nog geen reacties.Reageer
Preview