Hoe bedrijven ddos-aanvallen kunnen afslaan

Zijn ddos-aanvallen op banken echt zo moeilijk af te slaan? Of is het een kwestie van de juiste verdedigingslinies?

Beeld Noël Loozen

Het contrast is even groot als schrijnend: het gemak waarmee eind januari een tiener zijn ddos-aanvallen uitvoerde en de miljoenen die banken besteden aan het beveiligen van hun netwerken. Het deed ABN Amro-topman Kees van Dijkhuizen zelfs verzuchten dat niets bestand is tegen een dergelijke aanval, die volgens hem veel geld heeft gekost. Klopt dat wel? Nou nee: er zijn wel degelijk verdedigingslinies op te trekken, al verschillen de experts van mening over welke methode het beste is.

Doen banken dan te weinig aan de beveiliging tegen ddos-aanvallen die hun netwerken kunnen platleggen? 'Dat kan je bepaald niet zeggen', zegt Michel van Eeten, hoogleraar cybersecurity aan de TU Delft en lid van de cybersecurityraad. 'Ze geven miljoenen uit aan commerciële diensten die bedoeld zijn om ddos-aanvallen af te slaan.'

Maar de vraag is hoe effectief die maatregelen zijn. Doordat het gemakkelijk en goedkoop is een aanval uit te voeren en lastig en erg duur om ze te voorkomen, komen aanvallen veel voor. 'Anti-ddos-diensten zijn geen wondermiddelen. Misschien moeten we met zijn allen gewoon accepteren dat uitval erbij hoort. En dan over tot de orde van de dag. Je moet je afvragen hoeveel geld je wilt spenderen aan iets wat je toch niet helemaal kan oplossen.'

100 procent veiligheid bestaat niet

Maar volgens Alex Bik, directeur van internetprovider BIT en voorzitter van het bestuur van de NBIP (een samenwerkingsverband tussen Nederlandse providers) is het probleem dat banken traditioneel solitair opereren en geen samenwerking met de internetbranche zoeken. 'Dat is jammer, want ik zie veel eigenwijsheid. Dat is op zichzelf prima, maar dan moet je wel weten wat je doet. En ik vrees dat dat niet het geval is. Aanvallen van 30 of 40 gigabits per seconde, zoals bij de banken? Daar lachen we om. Die komen we dagelijks tegen.'

Helemaal weerloos zouden doelwitten dus niet hoeven te zijn, al benadrukken experts dat 100 procent veiligheid niet bestaat. De beveiliging tegen ddos-aanvallen kan op verschillende niveaus plaatsvinden. Vaak gebruiken grote bedrijven een combinatie van verdedigingslinies. Allereerst op lokaal niveau, bij het eigen datacentrum. Met speciale software, vaak van de Amerikaanse fabrikant Arbor Networks, moet 'fout verkeer' worden tegengehouden. Daarnaast dragen ook de providers bij wie de banken hun diensten afnemen hun steentje bij. Zij maken gebruik van zogenoemde wasstraten. Dit zijn miljoenen kostende systemen die als bliksemafleider fungeren. Zodra de hoeveelheid verkeer er boven een vooraf gestelde grens gaat, wordt dit doorgeleid naar de wasstraat. Hierin wordt het goede van het foute verkeer gescheiden waarna alleen nog het legitieme internetverkeer wordt doorgelaten.

Slotje

Dat is nog niet zo gemakkelijk, zegt Van Eeten: 'Internetverkeer vindt op meerdere lagen plaats. Bij de bovenste laag wordt het steeds vaker versleuteld.' Die versleuteling bij zogenoemde https-websites (te herkennen aan het slotje in de browserbalk) is in zijn algemeenheid goed voor de veiligheid, maar heeft als nadeel dat ddos-netwerken er in toenemende mate ook gebruik van maken. Als ook dit verkeer versleuteld wordt, kunnen de wasstraten lastig uitmaken of er sprake van fout verkeer is.

Alex Bik is positiever. De in NPIB samenwerkende providers hebben een gemeenschappelijke wasstraat ingericht om de kosten te delen: NaWas (van Nationale Wasstraat). En die werkt volgens Bik zeer effectief. 'We delen niet alleen de kosten, maar ook onze kennis.' De getroffen banken - behalve ABN Amro waren ook ING en Rabobank slachtoffer - maken geen gebruik van deze wasstraat. Ze hebben immers hun eigen maatregelen.

Mochten de wasstraten niet werken, dan is er nog een ander redmiddel: 'direct peering'. Robert Meijer, onderzoeker bij TNO en hoogleraar Toegepaste Netwerken aan de Universiteit van Amsterdam, gelooft hier heilig in. Het komt erop neer dat bedrijven en banken systemen opzetten die alleen voor binnenlands verkeer zijn bedoeld. Het verkeer wordt dan bij de grens tegengehouden. 'Dat is heel effectief, want de meeste ddos-aanvallen worden vanaf buitenlandse botnetwerken uitgevoerd.' Maar, geeft Meijer toe, het betekent ook extra gedoe omdat met alle providers aparte afspraken moeten worden gemaakt. Wil ABN Amro bijvoorbeeld ook voor Duitse klanten beschikbaar zijn, dan zal de bank met de Duitse providers afspraken moeten maken. 'Niet ideaal natuurlijk, maar het is de enige manier om het beheersbaar te houden. Je spreidt namelijk het risico.'

'Paardenmiddelen'

Ook Henk Steenman, technisch directeur van het internetknooppunt AMS-IX (Amsterdam Internet Exchange), denkt dat de impact van een ddos-aanval beperkt kan worden door de internettoegang tot vitale diensten aan Nederlandse gebruikers te scheiden van de rest van het internet. 'Dit is een stevige, simpele en kosteneffectieve technische oplossing', zo schreef hij vorige week in een blogpost. De vitale diensten, zoals die van banken, blijven dan voor Nederlandse gebruikers beschikbaar in het kleinere (Nederlandse) netwerk. Internet bestaat normaal gesproken bij de gratie van interconnectie: het is een netwerk van met elkaar verbonden netwerken. Dit principe wordt dan bij een ddos-aanval losgelaten.

Van Eeten vindt dit soort oplossingen echter 'paardenmiddelen': 'In theorie werkt het, maar je houdt ook veel legitiem verkeer vanuit het buitenland tegen. En een aanvaller zou ook een Nederlands botnet kunnen inzetten, waardoor je alsnog weer buitenspel staat.' Ook Bik is niet enthousiast: 'Dit is echt damage control, als niets het meer doet.'

Op de lange termijn werkt maar één maatregel, denkt Van Eeten. 'Het probleem is natuurlijk de brede beschikbaarheid van miljoenen onbeveiligde apparaten. Daar zouden de inspanningen op gericht moeten zijn.'

Belastingdienst

De Belastingdienst was deze week opnieuw het slachtoffer van een ddos-aanval. Hierdoor konden mensen online geen aangifte doen. Ruim een maand geleden werd de dienst (net als een aantal banken) ook al getroffen.

Ddos-aanvallers maken gebruik van hele legers van apparaten die aan internet hangen, maar niet of nauwelijks beveiligd zijn. Vooral routers en beveiligingscamera's zijn berucht. Aanvallers kunnen dergelijke apparaten op ieder gewenst moment inzetten om een doelwit te bestoken met informatie-aanvragen. Omdat er op één moment heel veel apparaten meedoen met een dergelijk informatiebombardement, bezwijkt het doelwit uiteindelijk. Zowel op nationaal als Europees niveau zijn er plannen om dergelijke onveilige apparaten te verbieden, maar zover is het nog lang niet.

Meer over

Wilt u belangrijke informatie delen met de Volkskrant?

Tip hier onze journalisten


Op alle verhalen van de Volkskrant rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright @volkskrant.nl.
© 2020 DPG Media B.V. - alle rechten voorbehouden