“Botnet of things” is de technologie achter DDOS-aanvallen. Met een DDOS-aanval kun je diensten gekoppeld aan het internet aanvallen zodat ze niet langer bereikbaar zijn voor klanten. Een dreiging die onze maatschappij angst inboezemt omdat we steeds afhankelijker worden van technologie. Een digitale wapenwedloop die zich door het mondiale karakter exponentieel snel ontwikkeld waardoor velen van ons moeite hebben om bij te blijven. Hoe kan een bedrijf zich op die digitale dreigingen voorbereiden?

Wat is een botnet?

Naar verwachting zijn er in het jaar 2030, 50 miljard apparaten gekoppeld aan het internet. Apparaten zoals computers, telefoons, alarmsystemen, sensoren, speelgoed, huishoudelijk apparatuur etc., een ontwikkeling genaamd “Internet of Things”. De “botnets” worden gemaakt door hackers die het internet afstruinen naar apparaten die standaard gebruikersnaam-wachtwoord hebben en/of een kwetsbaarheid bevatten. Indien een apparaat succesvol is gehackt, wordt een verbinding gelegd met een server, een zogenaamde “botherder” en geeft het apparaat commando’s als een ro-“bot”. De eigenaar van het apparaat is in de meeste gevallen niet op de hoogte van het feit dat hij gehackt is. Zolang de werking van het apparaat onaangetast blijft, is zowel de eigenaar als de leverancier niet gemotiveerd om zich te beschermen tegen deze “botnets”. Omdat een percentage van internet-gekoppelde apparaten altijd onvoldoende beschermd blijven, blijven “botnets” altijd bestaan.

Een botnet bestaat uit vele servers (risico spreiding voor de hacker) die vaak gewoon “gehost” worden bij legale Internet Service Providers (ISPs) over de hele wereld (Distributed). Hackers stellen DDOS-software openbaar beschikbaar waarmee je voor een paar tientjes capaciteit kan kopen om digitale doelen aan te vallen. De “botherder” krijgt dan via deze software de opdracht om met bepaalde “bots” een website (webservices in het algemeen) te bezoeken met een foutief URL-verzoek. Die website kan normaal gesproken prima een foutmelding genereren, maar als dit gebeurt met een grote hoeveelheid foutieve aanvragen tegelijk, dan wordt de website onbereikbaar (Denial Of Service). De digitale infrastructuur is dan te druk bezig met de foutafhandeling, waardoor de website niet meer goed kan functioneren (zgn D-DOS). Het is nog niet zo triviaal om dit foutieve verkeer te onderscheiden van het goede verkeer. Het het ip-adres van een apparaat cq bot kan overal vandaan komen; dus ook het ip-adres van je koffiezetmachine, bij wijze van spreken. Dus alleen het verkeer uit bv Rusland blokkeren/omleiden heeft dan geen zin.

Hoe kun je je beschermen tegen DDOS?

Niet elk bedrijf heeft last van DDOS-aanvallen. Vaak zijn het hacktivisten, studenten of boze gebruiker/klanten die een DDOS laten uitvoeren voor enkele uren. In Nederland zijn er 2-3 DDOS-aanvallen per dag en die duren slechts enkele uren. Niet echt een serieus probleem omdat het allemaal te verhelpen is. In Nederland hebben we een stichting NBIP – een initiatief van alle Internet Service Providers in Nederland – die gezamenlijk een wasstraat (NaWas) hebben gebouwd waarop bedrijven/ISP kunnen aansluiten die het DDOS-verkeer eruit willen laten filteren zodra ze worden aangevallen. Er zijn bedrijven en ISPs die hun eigen anti-DDOS oplossing hebben gebouwd, maar dat is erg kennis-intensief en kostbaar om zelf te onderhouden en te beheren. Media bedrijven en politieke organisaties kunnen ook gebruik maken van Google Shields, een gratis bescherming tegen DDOS aanvallen in het kader ongewenste censuur door overheden/hackers.

Wat leren we van DDOS aanvallen?

Politieke websites en financiële diensten in Estland hebben in 2007 drie weken lang onder vuur gelegen doordat pro-russische hacktivisten het oneens waren met een politiek besluit om een bronzen beeld uit de hoofdstad te verplaatsen. Wat we hiervan hebben geleerd, is dat kritische infrastructuur erg goed beschermd moet worden omdat het de maatschappij kan ontwrichten. Tevens is het aantonen wie achter de aanval zat, erg speculatief op basis van alleen een doelwit. De kans op vervolging is vrijwel nihil omdat het internationale speelveld op het internet zich niet makkelijk laat vangen door lokale wetten en rechtssystemen.

In 2009 is het onze overheid en FOX IT gelukt om een groot botnet (Bredolab) op te rollen. Omdat het botnet voor een deel in Nederland werd gehost, was het oprollen van een botnet mogelijk. Nederland heeft helaas geen wereldwijd mandaat om botnet- servers buiten onze landsgrenzen op te rollen. Wat we hiervan hebben geleerd, is dat het oprollen van botnet veel werk kost en het probleem niet wordt opgelost.

Recent (2016) hebben boze gebruikers een software bedrijfs aangevallen met het Mirai-botnet met een kracht van 1TB per seconde en zo’n 150.000 bots. Hierdoor werd niet alleen het software bedrijf onbereikbaar, maar ook diensten zoals Netflix en Paypal, die gebruik maakte van diensten bij die ISP. Wat we hiervan hebben geleerd, is dat de kracht van DDOS aanvallen alleen maar zal toenemen en dat enkelingen in staat zijn gevaarlijke dingen te doen, laats staan georganiseerde misdaad of vijandelijke staten.

Digitale bedreigingen bestaan niet alleen om DDOS-aanvallen. De Haven van Rotterdam heeft in 2016 aan den lijve ondervonden wat er gebeurt als legacy-infrastructuur bloot wordt gesteld aan de gevaren van het internet (Wannacry virus). Wat we hiervan kunnen leren is dat internet nu nog goed gescheiden moet blijven van legacy infrastructuur, die nu nog onvoldoende weerstand biedt aan de laatste digitale gevaren.

Moet ik als bedrijf mij zorgen maken om een cyberlegioen?

Een natie of criminele organisatie zal niet zo snel een zelf een DDOS-aanval gebruiken, omdat er veel meer tools voorhanden zijn die veel effectiever zijn. Waarom zou je jezelf als natie zo kenbaar maken als je ook onzichtbaar kan blijven? Misschien kan een DDOS wel als tactische afleiding fungeren in een groter plan.

Je mag ervan uitgaan dat bedrijfsspionage en digitale infiltratie door aantal zowel vijandelijke als bevriende statelijke actoren zoals VS, Rusland, China, Israel reeds een feit is. Dat wordt zorgvuldig op de achtergrond gedaan. Wij zijn een schakeltje binnen PRISM, het afluisternetwerk van de NSA en het westerse bondgenootschap. Dit is niet anders dan vroeger, alleen de digitale wereld biedt een extra aanvalsvector van doorslaggevende betekenis. Wetgeving in VS, Rusland en China verschilt op dit punt behoorlijk van Nederland. Je kunt ervan uitgaan dat deze grootmachten niet eerlijk spelen en voor economische en politiek gewin gaan (Trump:”America First”, Arjen Lubach: “Nederland Second”). Kennis is ten slotte macht. Je kunt er tevens op vertrouwen dat macht corrumpeert. Dat hebben we wel geleerd uit het verleden en dat zal niet gaan veranderen zolang wij leven.

Hoe kun je als bedrijf voorbereiden op nieuwe technologische bedreigingen?

Bedrijfsstrategen, overheden en inlichtingendiensten kunnen door gebruik te maken van een analogie tussen mens en maatschappij, digitale dreigingen beter voorspellen en begrijpen en vice versa; ziekten kun je beter bestrijden als je snapt hoe dat digitaal wordt opgelost.

In de mens wordt het centrale zenuwstelsel gebruikt het versturen en ontvangen van berichten/signalen van de hersenen naar een aantal belangrijke knooppunten in de ruggengraat. Dit centrale zenuwstelsel is verbonden met het autonome- en perifeer zenuwstelsel. In onze maatschappij komt dat centrale zenuwstelsel overeen met onze internet back bone.

Het autonome zenuwstelsel zorgt ervoor dat we zonder na te denken onze hersenen, zenuwstelsel, longen, hart, energievoorziening en waterhuishouding worden gereguleerd. Dit komt respectievelijk overeen met onze kritische IT infrastructuur bij overheden, telecom sector, de financiële sector, het MKB, energiebedrijven en waterschappen.

Het perifeer zenuwstelsel zorgt voor (bewuste) communicatie met spieren en sensoren. Dit komt overeen met de internet of things, de apparaten die input uit onze omgeving meten (bv alarmsystemen, filedetectie, veranderende verkeersomstandigheden).

Met de kennis van ons zenuwstelsel, kun je functioneel voorspellen welke digitale dreigingen we nog te wachten staan. Het verstoren, saboteren en versleutelen van het berichtenverkeer op specifieke systemen, zal steeds vaker en efficiënter worden toegepast. Het “tegengif” zal ervoor zorgen dat het organisme zich daarop aanpast opdat het kan overleven. Een wapenwedloop die leidt tot de dood (door niet aan te passen) of een homeostase van het organisme die vergelijkbaar is met onze weerstand/weerbaarheid.

Als je er dieper over nadenkt, is een mens – en dus ook de maatschappij – heel kwetsbaar als je als agressor weet wat de zwakke punten zijn. Het uitschakelen van het centrale-, autonome- of perifeer zenuwstelsel heeft verstrekkende gevolgen voor het organisme en moet beter beschermd worden. De mate waarin wij als Nederland kunnen aanpassen/meten aan die veranderende omstandigheden, is bepalend voor onze toekomstige economische positie cq gezondheid.

Tot slot

In de praktijk kun je als bedrijf niet veel met die voorspellingen, dreigingen en toekomstige ontwikkelingen. Bedrijven leven in het nu om te overleven in deze economische mondiale jungle.

In het bedrijfsleven word ik er blij van als organisaties security- en privacy incidenten praktisch hebben gedefinieerd, dat medewerkers en directie een gemeenschappelijk beeld hiervan hebben en dat er een cultuur heerst om te leren van die incidenten. Dat zorgt ervoor dat je je aanpast en/of accepteert dat er bepaalde incidenten gebeuren (bv een DDOS-aanval). Dat is in ieder geval een stap in de goede richting. We hebben namelijk nog een lange weg te gaan om organisaties (en maatschappij) aantoonbaar passend beveiligd te maken.