En poef, weg internet
Hoe kon één zware cyberaanval vrijdagavond, uitgevoerd via een stokoude hackingtechniek, een aanzienlijk deel van het internet platleggen? En wat zegt dat over de robuustheid van dit netwerk? 'We zijn de limiet aan het bereiken', zegt internetbeveiliger Eddy Willems.
Wie vrijdagavond veelal Amerikaanse websites en diensten als Twitter, Amazon, The New York Times en Netflix probeerde te bereiken, was er wellicht aan voor de moeite: een grootscheepse internetaanval legde een aanzienlijk deel van het internet plat in de VS, en veroorzaakte later ook last in West-Europa. De reden waarom de aanval zo'n groot deel van het internet trof is omdat hij gericht was tegen een van de steunberen van het wereldwijde computernetwerk: meer dan twintig servers en datacenters van het Amerikaanse bedrijf Dyn, dat een aanzienlijk stuk van de domeinnaaminfrastructuur van het internet beheert.
Stemt tot nadenken
Om in gewone mensentaal uit te leggen wat Dyn doet: het bedrijf koppelt constant miljoenen internetdomeinnamen die gebruikers intikken in hun browser aan het IP-adres - het unieke 'identificatienummer' - van de servers waarop de sites staan. Toen dat uit een twintigtal servers bestaande systeem afgelopen vrijdagavond werd platgelegd door een internetaanval, kon die cruciale connectie niet meer worden gemaakt. Zo simpel is het dus om een gedeelte van het internet onbereikbaar te maken.
"Het is te gek", zegt Eddy Willems, internetbeveiligingsexpert bij het Duitse softwarebedrijf G Data. "Een aanval op één enkel deel van het internet dat zo'n ontwrichting veroorzaakt: het stemt ons allemaal tot nadenken."
Ook frappant: de aanval werd uitgevoerd met een stokoude techniek, waarmee in principe iedereen met een minimum aan computerkennis een aanval kan uitvoeren op een website: een Distributed Denial of Service-aanval, afgekort als DDoS. Het komt er in essentie op neer dat er van duizenden tot tienduizenden locaties tegelijk een aanvraag komt naar hetzelfde internetadres, waardoor de server die op dat adres staat bezwijkt onder de veelvuldige vraag.
Daar zijn duizenden tot tienduizenden computers voor nodig, maar die zijn vandaag makkelijk voorhanden: een resem zware virusaanvallen heeft sinds de vroege jaren 2000 honderdduizenden computers over het internet besmet, waardoor ze - zonder dat hun eigenaar daar weet van heeft - tot een clandestien netwerk van geïnfecteerde computers behoren. Zo'n 'botnet', zoals dat heet, is meestal 'eigendom' van een hackerbeweging, en kan door andere hackers worden afgehuurd voor een DDoS-aanval.
Achilleshiel
Er zat dus helemaal geen magie achter de aanval: er werd een bekende techniek gebruikt, op een gedeelte van het internet waarvan computerbeveiligers al jarenlang weten dat het de achilleshiel van het internet is. Het roept vragen op over de broosheid van het internet.
"Dyn is maar één DNS-provider van de vele, maar het is natuurlijk wel net degene waarop de grote kleppers van het internet, zoals Twitter, zitten", zegt Willems. "Ze hebben hun doelwit dus goed gekozen. Wie het ook is heeft dit volgens mij gedaan om af te tasten wat er in de toekomst nog meer mogelijk is. Dat houdt ons momenteel heel erg bezig: de vraag of dit nog maar het begin is."
Wat nog een extra dimensie verleent aan het hele verhaal, is dat het botnet waarmee deze aanval werd uitgevoerd wellicht niet uitsluitend uit computers bestond. Het Mirai-botnet, dat volgens computerbeveiligers achter het 'bombardement' zat, bestaat ook uit miljoenen beveiligingscamera's, digitale videorecorders en andere apparaten die tegenwoordig ook een internetverbinding hebben, en behoren tot het zogenaamde internet of things.
Het botnet bestaat uit apparaten waarvan de eigenaar nooit de moeite nam om een ander wachtwoord aan te maken dan hetgene dat standaard werd geprogrammeerd door de fabrikant. En dat is een aanzienlijk aantal: volgens Willems bestaat het Mirai-botnet uit minstens tien miljoen apparaten.
Voeg daarbij dat er volgens marktonderzoeken tegen eind dit jaar zo'n 6,4 miljard extra apparaten op het internet zullen komen, van slimme thermostaten tot lampen, en het wordt meteen duidelijk dat het aantal 'wapens' waarmee een grootscheepse internetaanval kan worden uitgevoerd alleen nog maar exponentieel toeneemt in de toekomst.
"De aanval op de Dyn-servers was vrij basic, maar het is het volume aan apparaten vanwaaruit hij is kunnen vertrekken dat ons zorgen baart", oppert Willems. "Het effect is ongezien, en brengt ons naar een nieuwe realiteit. De huidige manier waarop het internet is opgebouwd zit tegen zijn limieten om die het hoofd te bieden. De grote partijen achter het internet, van de organisaties die het netwerk beheren tot grote spelers als Google, gaan snel moeten nadenken over hoe ze dat uitgebreide internet ook veiliger moeten maken."