De aanvallen werden uiteindelijk gepareerd en zijn weer afgelopen, maar de gebruikte middelen en methoden blijven bestaan en kunnen elk moment opnieuw gebruikt worden tegen andere doelen. We hebben wat vragen en antwoorden bij elkaar geraapt over wat er is gebeurd, wat er nu gaat gebeuren en wat de impact is.
1. Is er iets mis met internet?
Nee, niet meer dan normaal tenminste. Internet is een netwerk van netwerken en bestaat dus uit losse bedrijven en organisaties die de infrastructuur beheren en onder meer het web beschikbaar maken voor gebruikers. Elke daarvan heeft zijn eigen belangen en doelen, maar is het in ieders belang om het hele systeem goed te laten functioneren, dus er wordt achter de schermen veel samengewerkt door netwerkaanbieders, contentleveranciers, overheden en andere partijen.
Internet heeft zo zijn zwakke plekken - het Border Gateway Protocol behoeft bijvoorbeeld herzienig - zoals vrijwel elk systeem zijn kwetsbaarheden heeft. De aanval op Dyn was het misbruik van een kwetsbaarheid, namelijk het grote goed dat elke partij een verbinding kan opzetten. Er gaan daarom in de nasleep van deze aanval weer eens geluiden op om infrastructuren te scheiden.
Dat zou betekenen dat je een internetwerk hebt waarbij iedere identiteit is geverifieerd - dus ook waarbij gebruikers middels een 'paspoort' worden herkend - en apparaten die communiceren met diensten een nieuw soort certificaat hebben om een verbinding te kunnen leggen. Een eventueel publiek internetwerk blijft gewoon vrij en openbaar. Het idee dat we anonimiteit en privacy volledig opgeven stuit om voor de hand liggende redenen op weerstand.
2. Waarom had de aanval op één partij een grote impact?
Dat komt omdat Dyn een DNS-dienst is. Zoals je weet zorgt zo'n dienst ervoor dat gebruikers een domeinnaam kunnen intikken, in plaats van het IP-adres dat in de back-end wordt gebruikt. De DNS-server zoekt het juiste IP-adres bij www.computerworld.nl, waardoor je verbinding legt met de server die bij Computerworld hoort.
De aanvallers zochten een doelwit die de DNS verzorgt van een aantal bekende websites en diensten en gebruikten een in snelle tijd berucht geworden IoT-botnet om die dienst aan te pakken. Dyn maakt onder meer DNS-koppelingen voor Amazon Web Services, waar veel clouddiensten - onder meer Netflix en Spotify - hun catalogi op draaien.
Zo werden duizenden domeinen in één klap neergehaald en leek het alsof er een grootschalige internetaanval werd uitgevoerd. In werkelijkheid werd er een gerichte aanval op één doelwit uitgevoerd en daar was niet eens zoveel capaciteit voor nodig.
Hierna: Waar komt dit nou opeens vandaan?
3. Waar komt een IoT-botnet vandaan?
In theorie zou dit niet makkelijk moeten zijn: je hebt honderdduizenden of zelfs miljoenen clients nodig om een dienst als Dyn in de problemen te brengen. Er zijn DDoS-diensten die 'stresstools' leveren, er zijn gewillige clients zoals met Anonymous' LOIC, maar je kunt ook uitwijken naar een botnet van internetverbonden apparaten.
Zulke Internet of Things-botnets zijn in opkomst, we schreven er bijvoorbeeld afgelopen zomer ook al eens over in dit artikel, maar eind september verscheen uit het niets een nieuwe speler: Mirai. Deze malware nestelt zich in het werkgeheugen van apparatuur en verdwijnt dan ook met een reset. Het botnet lijft het apparaat echter net zo snel weer in door constant te scannen op kwetsbare apparaten.
En dan hebben we het niet eens over complexe hacks en exploits van bugs. Mirai zoekt heel simpel naar bewakingscamera's, videorecorders, NAS'en, routers en andere apparatuur die is open staat of is beveiligd met een standaardwachtwoord. Met slechts 61 van deze voor de hand liggende combinaties (inlognaam admin met wachtwoord 1234 bijvoorbeeld) veroverde Mirai miljoenen IoT-apparaten.
4. Dus dit is allemaal de schuld van IoT-botnets?
Deels, Mirai speelde een cruciale rol in de aanval, maar het is slechts een deel van het issue. Analisten zagen namelijk ook andere, traditionelere botnets die bij de aanval werden gebruikt. Dat suggereert dat er een DDoS-dienst werd gebruikt door de aanvaller. Die kun je - vaak bovengronds, omdat het niet illegaal is - inhuren als 'stresstester' voor sites en diensten.
Zelfs als je IoT uit de mix zou halen, blijft dit probleem ons parten spelen. Vooral als je het combineert met een aanval op de infrastructuur. Bijvoorbeeld backbone-routers en DNS-servers zijn gewilde doelwitten voor disruptie van hacktivisten of staatshackers, maar minder voor criminelen, omdat het financieel gezien niet veel oplevert om diensten uit de lucht te halen.
Op de laatste pagina: Wat nu?
5. Wat voor apparaten werden gebruikt?
Een hele reeks, maar het botnet bestond voornamelijk uit beveiligingscamera's, DVR's en routers. Het ging voor een deel om apparaten van Chinese makelij en Hangzhou Xiongmai Technology heeft zijn rol erkend. Enkele van de IP-camera's worden teruggeroepen en er komen patches om de gaten te dichten.
6. Wat kan ik doen?
Je voorkomt opname in Mirai heel simpel door gewoonweg een wachtwoord op je apparatuur te zetten of, zoals SANS vraagt, bij familie en vrienden. Er is apparatuur waarbij zulke defaults niet kunnen worden aangepast. Investeer in een betere firewall of zorg ervoor dat het apparaat simpelweg niet via internet te benaderen is.
Bedrijven kunnen meerdere DNS-providers gebruiken en een reactieplan opstellen voor als ze te maken krijgen met een dergelijke DDoS-aanval. Daarbij moet worden vermeld wie gebeld moet worden, welke stappen om de schade te beperken direct moeten worden genomen en zou een oefenscenario moeten bevatten om te zien of het plan bij een daadwerkelijk incident functioneert.
7. Kan dit nog een keer gebeuren?
Absoluut. Sterker nog, dit is waarschijnlijk het eerste opvallende incident - na wat pogingen van de zomer en vorige maand op de website van securityjournalist Brian Krebs - waar we mee te maken hebben gekregen en een voorbode van een nieuwe norm voor DDoS-aanvallen.
Het basis probleem zit nu bij de inzet van gratis operating systems die niet bijgehouden worden en massal misbruikt kunnen worden. Dat is niet zomaar op te lossen en inherent aan de wijze van inzet van die slecht opgezette gratis os sen.
Men gebruikt ze omdat het goedkoop is, daar zit het probleem. Niet omdat ze veilig zouden zijn ( wat aantoonbaar niet zo is)
Er zal dus regelgeving moeten komen om duidelijke grenzen aan te geven en om ingezette os sen te supporten nu en in de toekomst.
Dat gaat hoe dan ook alleen wanneer er een commercieel plan onder zit.
Waaronder precies?
Reageer
Preview