Is internet nog wel ellende-tolerant?

De netwerkaanvallen op banken laten opnieuw enkele gebreken van internet zien. Zwakke schakel: de mens. Kan dat nou echt niet anders? Vier verbeter-ideeën.

1. Bouw een nieuw fundament

Vroeger, in de jaren vijftig en zestig, toen het internet net was ontwikkeld, zaten er alleen maar good guys op: academici en militairen. 'De architecten van het net gingen er niet van uit dat mensen erop zouden gaan etteren', zegt Chris Verhoef, hoogleraar informatica aan de Vrije Universiteit. Het doel was destijds een netwerk te ontwikkelen dat het altijd bleef doen, hoeveel onderdelen er ook werden uitgeschakeld. 'Het geen rekening houden met vandalisme is een cruciale ontwerpbeslissing, waar we nu last van hebben', aldus Verhoef.


Het had best anders gekund. Kijk maar naar het telefoonnetwerk, zegt de hoogleraar. Daar is rekening gehouden met de call load, de netwerkbelasting. Als die te hoog dreigt te worden, wordt de toeloop van nieuwe bellers afgeknepen. 'Dat merk je soms op Koninginnedag, als je met meer dan vijftig man aan het bellen bent bij een access point. Dan kom jij er even niet op, maar regionaal en internationaal blijft het netwerk gewoon functioneren.'


De problemen waarmee onder meer banken kampen, is dat snoodaards moedwillig een internetvariant van oudejaarsavondbellen creëerden, waardoor servers overbelast raken en klanten geen toegang krijgen tot hun onlinebetaalrekening. Het slechte nieuws: dit probleem is niet uit te bannen en zal vermoedelijk groter worden, blijkt uit een onderzoek waarop Christian Rossow van de VU volgende week promoveert. Rossow analyseerde de veerkracht van kwaadaardige computernetwerken en concludeert dat het ontmantelen van botnets in de toekomst wellicht onmogelijk wordt, omdat de aanvallers een steeds sterkere infrastructuur gebruiken.


Hoogste tijd voor een nieuw fundament voor het internet, zou je zeggen, waarin de huidige tekortkomingen worden weggenomen. Maar dat wordt lastig, zegt Verhoef: 'Je hebt het over de draagmuur van het internet; die sloop je niet zomaar weg.' Een patch uitbrengen, wat makers van software geregeld doen om tekortkomingen uit hun product te halen, is er niet bij.


Dat zegt ook Richard Kerkdijk, veiligheidsadviseur bij TNO voor onder meer bedrijven en defensie. Een soort internet 2.0 ontwikkelen dat vrij is van aanvallen, zit er niet in. 'Het net wordt nooit honderd procent veilig. Net als het echte leven', aldus Kerkdijk. Denk aan de bom die maandag afging in Boston, zegt hij. In een open samenleving is terreur nooit volledig te voorkomen. 'Hetzelfde geldt online. Wil je daar volledige veiligheid, dan moet je het internet uit zetten.'


Er worden wel slimme alternatieven bedacht, zeggen alle experts (zie verderop), om aanvallen te pareren, maar op internet hangt alles met alles samen. Als je de veiligheid verhoogt, lever je elders weer iets in, zoals bijvoorbeeld de openheid van het netwerk. Denk aan de cookie-muur die websites plaatsten naar aanleiding van eisen van de overheid. De maatregel was bedoeld om de privacy van bezoekers te beschermen. In de praktijk veroorzaakten ze vooral overlast, doordat gebruikers telkens toestemming moesten geven voor het plaatsen van cookies. 'Als je gaat ingrijpen, moet je je van tevoren goed realiseren wat het effect is van bepaalde maatregelen. Openheid is het succes van internet, als veiligheidsmaatregelen die fundamenteel aantasten, schiet je je doel voorbij', zegt Kerkdijk van TNO. Inmiddels is de cookiewet alweer gedeeltelijk teruggedraaid.


2. Zorg voor betere controle

'Op internet weet niemand dat je een hond bent', zegt de ene hond tegen de andere op een cartoon die The New Yorker in 1993 plaatste, de begindagen van het world wide web. Dit adagium geldt nog altijd. Sterker: het internet weet van zichzelf niet eens wie er allemaal op zit, want servers kunnen zichzelf vrij eenvoudig een valse identiteit aanmeten. Handig voor slechteriken: door zich als iemand anders voor te doen, kunnen ze ongestoord aanvallen uitvoeren, zoals onlangs bij de aanvallen op ING en andere banken. Dit komt doordat het protocol waarmee data wordt verstuurd - dat gebeurt pakketjesgewijs - alleen kijkt waar de pakketjes heen moeten. De oorsprong wordt niet gecontroleerd.


Een nieuwe techniek, Source Adress Validation Architecture, ofwel SAVA, maakt het mogelijk ook de identiteit van de oorspronkelijke computer te checken. Daartoe worden langs de route waarlangs data reizen databases geplaatst met lijsten van computers die vertrouwd worden. Staat je nummer niet op die lijst, dan kom je er niet doorheen. Zo kan dit systeem malicieuze boodschappen in een vroeg stadium van het netwerk weren. Op het Chinese internet wordt het toegepast, in het China Next Generation Internet Project. Steve Wolff, een van de vele grondleggers van het net, roemde SAVA onlangs in New Scientist als een model dat brede navolging verdient.


Michel van Eeten, hoogleraar internetveiligheid aan de TU Delft krijgt 'er een ongemakkelijk gevoel bij'. 'Dit is ook een ideale technologie voor de overheid om te reguleren wie er met welk apparaat het internet op mag. Het is geen toeval dat China hiermee voorop loopt.' Bovendien geeft de toevoeging van dit soort trust layers vaak slechts een schijn van veiligheid`. Kijk naar de zaak Diginotar, zegt Van Eeten. Diginotar was een zogenoemde certificaatautoriteit, een CA. Dit is een partij die digitale certificaten uitgaf waarmee een site kan aantonen te zijn wie hij zegt te zijn. In de zomer van 2011 bleek dat Diginotar zelf was gehackt, waardoor tal van overheidssites waarop burgers beveiligde informatie uitwisselen onveilig bleken.


Het is een illusie te denken dat dit soort controlerende instanties veiligheid bieden op internet, zegt Van Eeten. 'Alle grote certificaatautoriteiten zijn al eens gehackt. Het kan nuttig zijn van hun diensten gebruik te maken, maar de beloften van veiligheid van al die zogenaamd officiële veiligheidsinstanties worden vaak niet waargemaakt.'


Ook vervelend: veel vormen van veiligheid die we kennen van de gewone wereld, werken op internet niet, zegt Van Eeten. De overheid heeft er geen geweldsmonopolie. Er is gebrekkige opsporing en vervolging. 'En toch functioneert het internet.' Dat komt volgens Van Eeten doordat het ellende-tolerant is. Dit zit, zegt hij, in het systeem ingebakken, op veel aspecten, niet alleen in beveiligingssystemen. 'Als je een probleem hebt, is er niemand die het voor je oplost. Je moet er zelf mee aan de slag.'


Het gevolg is dat op internet voortdurend allianties worden gevormd door partijen die tijdelijk onder hetzelfde probleem zuchten. Internetproviders straffen bijvoorbeeld gezamenlijk zwakke broeders. Als een partij beroerd opereert, wordt deze uiteindelijk door andere providers geblokkeerd. 'Dat zag je enkele jaren geleden bij KPN. Hun netwerk werd toen misbruikt door de Nigeriaanse maffia voor het versturen van hun spam.' Toen KPN er niet snel genoeg iets aan deed, sloot maildienst Hotmail het verkeer vanaf het netwerk van het Nederlandse concern af. 'Klanten gingen daarop klagen bij KPN en toen gebeurde er snel iets.'


Er zitten, wil Van Eeten maar zeggen, dus veel checks and balances in het systeem. 'Je ziet ze misschien niet op het eerste gezicht, maar het internet reguleert zichzelf op allerlei manieren zonder toezicht.'


Een vergelijkbare vorm van zelfregulering trof Diginotar. Andere spelers besloten na de hack (en het verborgen houden daarvan) het bedrijf niet meer te vertrouwen. Onder meer Microsoft schrapte Diginotar als veilig bedrijf, waarop de overheid halsoverkop op zoek moest naar een andere certificaatautoriteit. Gevolg: Diginotar ging failliet.


Het net is veel weerbaarder dan mensen stellen die vooral formele waarborgen willen, zegt Van Eeten. 'Want we hadden controle op Diginotar. De fout was dat we vertrouwden op het toezicht.' Van Eeten heeft er bij de Opta voor gepleit om alle toezicht op CA's op te heffen. 'Omdat het aantoonbaar niet werkt en onveiligheid juist in de hand werkt.'


Trust layers, zoals de eerder geroemde Source Adress Validation Architecture, bestaan overigens allang op internet. Denk aan peer-to-peer-netwerken, waarin gebruikers bestanden uitwisselen met computers die ze vertrouwen. 'Facebook is in feite ook een trust layer', zegt Van Eeten. Vrienden mogen bepaalde handelingen verrichten op 'jouw' netwerk, zoals het plaatsen van berichten.


Niettemin is er geregeld narigheid op Facebook, in de vorm van spam of van gebruikers wier identiteit wordt gekaapt. Je zou, zegt Van Eeten, de controle zodanig kunnen opvoeren dat je ook deze vorm van criminaliteit uitbant. 'Bijvoorbeeld als Facebook zijn gebruikers zou vragen: kom eerst met je paspoort naar een fysiek loket. Dan zul je zien dat de criminaliteit daalt, maar ik denk niet dat de meeste gebruikers dat zouden willen.'


Het moet uit de lengte of uit de breedte, zegt de hoogleraar. Verhoog je de controle, dan verlies je vaak iets van je vrijheid. Of het kost geld. Onze welvaart is slechts ten dele gebaseerd op veiligheid en veel meer op innovatie, stelt Van Eeten. 'Je kunt banken dwingen zich maximaal te beveiligen. Maar de middelen die ze in beveiliging steken, kunnen ze niet meer aan innovatie besteden.' Aan het loket in een bankfiliaal heb je geen DDoS-aanvallen, wil Van Eeten maar zeggen. 'Maar dan mis je de baten van laagdrempelige onlinediensten.'


3. Slimmer bouwen (en alles bij het oude laten)

Als controle van bovenaf niet werkt en een 'nieuw' internet niet zomaar is gerealiseerd, is het misschien verstandig alles bij het oude te laten en bij de bouw van een applicatie of website met de zwakke plekken van het internet rekening te houden. 'Met trucs kun je om de problemen heen werken', zegt Verhoef. Hij wijst op de aanvallen op ING. Bij veel van dit soort aanvallen worden vooral illustraties opgevraagd, omdat die veel bandbreedte vergen. Het systeem dat wordt aangevallen gaat daardoor eerder onderuit. 'Als je een applicatie slim bouwt, zorg je er als ontwerper voor dat de afbeeldingen van een andere server komen.'


Stel dat het om een transactiesite gaat van een bank. Als de server met de afbeeldingen omvalt, blijft het betaalsysteem overeind. 'Dan krijg je als bezoeker een site zonder plaatjes te zien. Maar je kunt nog wel gewoon geld overmaken.' Het is misschien een beetje een janboerenfluitjesaanpak, zegt Verhoef, maar het werkt wel.


Dit systeem is nog uit te breiden door statische informatie op servers overal ter wereld te plaatsen. Wordt één server aangevallen, dan neemt de volgende, ergens anders, het gewoon over. Instanties die vaak worden aangevallen - Microsoft, het Pentagon - maken gebruik van de techniek. Verhoef: 'Door meerdere datacentra in te zetten, simuleer je een beetje de robuustheid van het telefoonnet.' Voor banken is deze vorm van distributed content caching lastiger te realiseren, omdat veel betalingsverkeer 'realtime' is: elke transactie gebeurt ogenblikkelijk. Niettemin zal een goede scheiding tussen statische en dynamische gegevens al veel ellende schelen, denkt Verhoef.


Kerkdijk van TNO pleit voor meer aandacht voor bewaking. Volgens hem is het effect van preventief handelen beperkt. 'Vergelijk het met de griepprik. Die voldoet zolang er niet te veel nieuwe varianten van het griepvirus bijkomen. Inmiddels zijn er ook online zo veel nieuwe virussen, dat je geregeld de thermometer moet raadplegen om te zien of er niet iets nieuws aan de hand is.' Als je in een vroeg stadium in de gaten hebt dat je onlinedienst wordt aangevallen, kun je met betere maatregelen erger voorkomen, zegt Kerkdijk. Bedrijven moeten volgens hem actief hun systemen bewaken om te zien of er iets loos is.


4. Voed de gebruiker op

De consument is de zwakke schakel in het geheel. Hij is vaak onbewust degene die DDoS-aanvallen mogelijk maakt. 'Computers van eindgebruikers zijn vaak gemakkelijk te compromitteren', zegt hoogleraar Verhoef van de VU. Je zou moeten streven naar goed beveiligde computers bij de consument, vindt hij. 'Als je een broodrooster koopt, zit die vol met veiligheidskeurmerken, van de TÜV tot Kema. Als je een nieuwe computer koopt, zit er geen enkele beveiliging op tegen virussen en malware.' Sterker nog, zegt hij: als je een pc koopt, staat alles standaard open. 'Moet je dus zelf een beetje systeembeheerdertje gaan spelen.' De meeste consumenten kunnen dat niet of hebben er geen zin in. Gevolg: alles is zo lek als een mandje.


'Eigenlijk', zegt Verhoef, 'zou een bank als ze een onlineplatform ontwerpt één aanname moeten doen: we gaan ervan uit dat de computer van de klant besmet is. Hoe kunnen we, met dit uitgangspunt, onlinebankieren veilig aanbieden?'


Consumenten weten dankzij de tv-spotjes inmiddels wel dat hun bank ze nooit om hun wachtwoord zal vragen, zegt Kerkdijk van TNO. 'Maar de vraag is: waarom zouden zij iets met deze kennis doen? Het negatieve effect van een hack treft immers meestal niet de slordige gebruiker, maar iemand anders.' Wie zijn computer niet beveiligt, heeft er zelf nauwelijks last van als zijn apparaat onderdeel wordt van een botnet. Hetzelfde geldt voor webwinkels die creditcardgegevens niet goed beveiligen. Zij hebben er amper hinder van als deze gestolen worden. Volgens Kerkdijk is er inmiddels een meldplicht voor bedrijven die zijn gekraakt. Dat heeft geleid tot meer openheid. 'Maar voor burgers geldt deze plicht niet.'


Ook Kerkdijk vindt dat je niet de intentie moet hebben het net volledig veilig te maken. 'Dat is iets waar wij beveiligingsmensen ons ook bewust van moeten zijn. Dat is in de echte samenleving ook niet te bereiken; en als je het nastreeft, krijg je vervelende bijeffecten.'


HET VEILIGSTE LAND TER WERELD

Op een conferentie van het Nationaal Cyber Security Center die in januari gehouden werd, deed veiligheidsadviseur van de politie Peter Zinn de oproep van Nederland 'het veiligste land ter wereld in cyberspace' te maken. 'Klinkt aardig, niet?', zegt hoogleraar internetveiligheid Michel van Eeten van de TU Delft. 'Maar spiegel dit idee eens aan de gedachte dat de politie ook in fysieke zin zou nastreven het veiligste land ter wereld te worden. Aan welke landen denk je dan? Ik geloof niet dat we willen worden als Singapore of Noord-Korea. En ik denk dat we dat online ook niet willen.'

Meer over

Wilt u belangrijke informatie delen met de Volkskrant?

Tip hier onze journalisten


Op alle verhalen van de Volkskrant rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright @volkskrant.nl.
© 2020 DPG Media B.V. - alle rechten voorbehouden