Geen betalingsverkeer, geen vliegverkeer, gestrande reizigers, grootschalige plunderingen en hulpdiensten die niet gebeld kunnen worden om de orde te herstellen of om mensen te helpen. Het beeld dat Aiko Pras, hoogleraar Internet Security aan de Universiteit Twente (UT), schetst van de chaos die ontstaat na een eventuele DDoS-aanval op het internet, liegt er niet om.
"We weten inmiddels wel dat zaken die op het internet aangesloten zijn, zoals het elektriciteitsnet, kunnen uitvallen. Maar het besef dat het internet zélf kan uitvallen, is er nog niet." Als hoogleraar gespecialiseerd in Netwerk Management en Internet Security beschouwt Pras het als zijn taak om bij te dragen aan bewustwording daarvan.
Gevolgen DDoS aanval
Een DDoS (distributed denial of service) aanval wil zeggen dat je iets gaat aanvallen via het internet, met het doel internetdiensten plat te leggen. Maar je kunt er ook het héle internet mee platleggen. Pras: "Zonder een gedegen rampenplan zijn de gevolgen dan niet te overzien. Van die risico’s zijn we ons onvoldoende bewust. De Wetenschappelijke Raad voor Regeringsbeleid (WRR) heeft dit voorjaar een rapport uitgebracht, ‘Veiligheid in een wereld van verbindingen. Een strategische visie op het defensiebeleid’. Het rapport stelt de vraag: Hoe veilig is onze samenleving? En gaat daarbij in op ‘conventionele’ onderwerpen zoals defensie. Cyber security komt ook aan bod. WRR identificeert weliswaar alles wat op het internet is aangesloten, maar niet het internet zelf."
IoT
Bottleneck van een DDoS-aanval is het IoT. Pras benoemt met name de consumentenapparatuur, zoals de verlichting, de zonnepanelen en de thermostaat. "De consument heeft niet in de gaten dat zijn koelkast gehackt is, want hij werkt gewoon. Maar ondertussen zit die koelkast wel andere apparaten te bestoken." Ook waarschuwt hij voor beveiligingscamera’s uit China. "Daarin zitten vaak webdoors waardoor anderen naar ‘binnen’ kunnen. Als de camera via een backdoor gehackt wordt, kan hij berichten sturen om het DNS (Domain Name System) plat te leggen." DNS is het systeem dat op het internet gebruikt wordt om namen van computers naar numerieke adressen te vertalen en omgekeerd.
We zijn al gehackt
Volgens Pras is een groot aantal van de computers op dit moment al gehackt. En heel ingewikkeld is een DDoS-aanval ook niet: "Het internet kan platgelegd worden door jongetjes van zestien jaar. Dat gebeurt bewust klungelig, waardoor zij vaak onder de radar blijven. Maar als zij het kunnen, dan kunnen natiestaten het ook. En er zijn partijen die veel profijt hebben van een DDoS-aanval."
Aanvallen met garantie
De Universiteit Twente doet sinds vijf jaar onderzoek naar het fenomeen DDoS. "Het onderzoek is soms heel technisch, bijvoorbeeld: Hoe kun je ervoor zorgen dat je server meer capaciteit krijgt als je last hebt van een DDoS-aanval? Of: Hoe kun je in een vroeg stadium de structuur van een aanval herkennen, vóórdat de bom is gebarsten?"
Op andere momenten is het ‘jongensboekachtig spannend’. "Als je op internet surft, vind je DDoS-as-a-service. Dat zijn bedrijven die DDoS als een commercieel product aanbieden. Dan betaal je een paar euro en kun je een maand lang aanvallen uitvoeren. Een promovendus van mij heeft dat onderzocht. En heeft het ook werkelijk uitgeprobeerd. Het merkwaardige is: als de aanval niet het beloofde resultaat heeft omdat bijvoorbeeld de kracht ervan tegenvalt en de aangevallen website in de lucht blijft, komt de leverancier je daarin tegemoet."
Samen met SURFnet heeft de UT inmiddels een lijst aangelegd van alle DDoS-as-a-Servicewebsites, zodat gebruik daarvan gemonitord kan worden.
Gamers en terroristen
DDoS-aanvallen zijn populair geworden onder de gamers. "Als een online gamer niet wint, kan hij met een DDoS-aanval iemand van het internet blazen en dan heeft hij alsnog gewonnen." Binnen de gamewereld blijven deze hackers redelijk onder de radar. Maar je kunt er niet alleen gamesites mee plat leggen, maar ook andere websites.
DDoS is daarmee volgens Pras een serieuze zaak voor veiligheidsdiensten. "Terroristen lopen nu nog iets achter omdat ze iets minder resources hebben. Maar ik kan me goed voorstellen dat landen als Amerika, Rusland en China bezig zijn om zich hiertegen te beveiligen. Ook de Nederlandse overheid zou er goed aan doen een commissie in het leven te roepen om een rampenplan op te stellen."
Diens eerste taak zou zijn om een alternatieve communicatiestructuur aan te leggen. Ook moet de overheid een wettelijk kader scheppen. "Je moet bijvoorbeeld apparaten hebben die een DDoS-aanval weten te onderbreken. Maar internetproviders schaffen die apparaten onvoldoende aan, omdat het voor hen een te kostbare aangelegenheid is. De overheid kan daar regels voor opstellen."