Ongekend grote DDoS-aanvallen, dit is nog maar het begin!

Onbeveiligde IoT-apparaten bedreiging voor de beschikbaarheid van internet

Ongekend grote DDoS-aanvallen, dit is nog maar het begin!

De afgelopen weken hebben we enkele Distributed Denial-of-service (DDoS) aanvallen gezien van een aard en omvang die niet eerder zijn voorgekomen. Bijvoorbeeld op Dyn, een Amerikaanse domain name system (DNS) provider, die de DNS-diensten van onder meer Twitter, Reddit en Spotify verzorgt. Deze kreeg op 21 oktober een aanval te verduren die werd uitgevoerd door het Mirai-botnet. De aanval werd uitgevoerd vanaf naar schatting 100.000 op internet aangesloten apparaten, zoals beveiligingscamera’s en digitale videoapparatuur. De omvang van de aanval was 50 maal groter dan waar Dyn eerder mee te maken heeft gehad. Hetzelfde botnet werd eerder al ingezet voor een aanval op de website van securityjournalist Brian Krebs. Die aanval had een omvang van meer dan 620 Gbps. Een nog veel grotere Mirai-aanval kreeg de Franse provider OVH te verduren. Niet alleen is de orde van grootte van deze aanvallen zorgwekkend, ook is de broncode van Mirai vrijgegeven waardoor iedereen nu een botnet kan opzetten. Dit heeft grote consequenties.

DDoS-aanvallen kennen we maar al te goed van twee, drie jaar geleden toen enkele banken hiervan het slachtoffer werden. Het gevolg was dat klanten van deze banken enige tijd niet meer bij hun geld konden en het vertrouwen in digitalisering een flinke deuk op liep. Het was echter een duidelijk startsein om maatregelen te nemen tegen DDoS-aanvallen. Deze maatregelen zijn tot nu toe adequaat gebleken, althans tegen aanvallen met een omvang tot pakweg 10 Gbps. De huidige Mirai-aanvallen liggen echter enkele ordes van grootte hoger. Om een indruk te geven van de omvang: gemiddeld verwerkt de Amsterdam Internet Exchange momenteel iets meer dan 3 Tbps. De aanval op OVH had een omvang van maar liefst ruim een derde hiervan. Het zal niemand verbazen dat de oude beschermingsmaatregelen daarom niet meer toereikend zijn.

Aanvallen door iedereen

Nog verontrustender dan de gigantische omvang van de aanvallen is de manier waarop deze tot stand zijn gekomen. Doordat de broncode van Mirai voor iedereen beschikbaar is, kan dus iedereen een zeer zware DDoS-aanval opzetten. Er bestaan al websites waar een DDos-aanval gewoon kan worden besteld en het is een kwestie van tijd voordat Mirai in het aanbod wordt opgenomen. Voor deze aanvallen wordt op grote schaal gebruik gemaakt van ‘Internet of Things’-apparatuur, zoals beveiligingscamera’s en digitale videorecorders. Dit soort apparatuur – de ‘Things’ – is slecht, of zelfs helemaal niet beveiligd. Voorheen draaiden de aanvallende botnets op pakweg duizenden computers, maar nu kunnen honderdduizenden onbeveiligde apparaatjes aan de aanval deelnemen en een gigantische, verstikkende datastroom veroorzaken.

Nog maar het begin

Handige knutselaars met kwade bedoelingen kunnen de gelekte broncode verder aanpassen en verbeteren, om ook te scannen op andere kwetsbare IoT-apparaten. Hierdoor zullen nieuwe aanvallen steeds groter worden en steeds meer schade aan kunnen richten. Wij verwachten dus dat de recente DDoS-aanvallen nog maar het topje van de ijsberg zijn en dat de leveranciers van kwetsbare IoT-apparatuur dus zo snel mogelijk actie moeten ondernemen. Als de beveiliging van deze producten niet wordt verbeterd dan zullen IoT-apparaten steeds frequenter en op grotere schaal ingezet worden voor DDoS-aanvallen.

Motieven

Over de aanvallers zelf en hun precieze motieven is nog niet zoveel duidelijk. Vooralsnog wijst er niets op dat hier ‘vreemde mogendheden’ achter zouden zitten. De aanvallen hebben vooral in de VS voor verstoringen gezorgd, maar het zal een kwestie van tijd zijn voor we ook in Nederland en de rest van Europa meer met dit soort aanvallen te maken krijgen. Zo’n aanval kan de aangevallen organisatie volledig van internet afsluiten: niet alleen is de organisatie dan niet meer voor klanten bereikbaar, ook interne toegang tot mail, cloudapplicaties, etc. kan dan onmogelijk worden. De feestdagen komen er weer aan en een DDoS-aanval kan ervoor zorgen dat een online warenhuis plat ligt op het moment dat de meeste consumenten hun decemberinkopen willen doen. Nu in principe iedereen zo’n aanval kan opzetten zullen de achterliggende motieven uiteenlopen van afpersing en schade toebrengen aan organisaties tot puur terrorisme.

Nieuwe maatregelen?

Zoals gezegd zijn de maatregelen die de afgelopen tijd tegen DDoS zijn genomen absoluut niet meer toereikend tegen het soort aanvallen dat we zien. Die maatregelen zullen dus herzien moeten worden. Organisaties die werken met aanbieders van bescherming tegen DDoS-aanvallen doen er verstandig aan om te verifiëren of zij capaciteit hebben om aanvallen van deze omvang te absorberen. Hetzelfde geldt voor de internetverbinding tussen organisatie en de internet service provider. Heeft die verbinding de capaciteit om meer dan 10 Gbps aan te kunnen? Zo niet, dan is het verstandig om wanneer dat nodig is alle verkeer via een gespecialiseerde anti-DDoS service om te leiden. Tot slot: is er een plan van aanpak beschikbaar voor het geval de organisatie een DDoS-aanval krijgt te verduren? Is er een contract met een incident response provider die kan adviseren en helpen bij de aanpak van een DDoS-aanval? Is het duidelijk met wie contact moet worden opgenomen – intern en extern – en zijn deze personen ook 24 x 7 beschikbaar?

Gevaar niet zomaar geweken

Organisaties die het antwoord weten op bovenstaande vragen en op basis daarvan maatregelen nemen, zijn redelijk beschermd tegen aanvallen van Mirai-kaliber. Maar in feite gaat het hier om symptoombestrijding. Aan de grondoorzaak – miljoenen onbeveiligde, op internet aangesloten apparaten – verandert er niets. Die apparaten draaien op zeer onveilig geconfigureerde besturingssystemen en maken vaak gebruik van standaard gebruikersnamen en wachtwoorden (het beruchte admin, admin). In sommige apparaten kunnen die zelfs niet eens worden aangepast. Een botnet kan eenvoudig scans uitvoeren over het gehele internet en direct van deze kwetsbaarheden gebruik maken om ze te besmetten en op te nemen in het botnet. Over het algemeen zijn de leveranciers niet geneigd iets aan beveiliging te doen. Het gaat vaak om goedkope apparatuur met kleine marges. Geld uitgeven aan beveiliging is dan niet aantrekkelijk en kost bovendien ook nog eens tijd die ten koste gaat van de time-to-market.

Nu zijn er gelukkig leveranciers die beveiliging wel belangrijk vinden, maar zelfs dan is er nog een laatste horde te nemen: zal de consument bereid zijn securityupdates door te voeren en weten ze hoe dat moet? Niet erg waarschijnlijk. Ook internet service providers kunnen dit IoT-beveiligingsprobleem niet zomaar oplossen. Als ze al bereid zijn om de IoT-apparatuur van hun klanten te scannen, wat moeten ze dan doen als ze onbeveiligde apparatuur aantreffen? Klanten, vaak thuisgebruikers, afsluiten van internet? Niet waarschijnlijk dat providers daartoe bereid zijn.

Rol overheid en politie

Het aanpakken van het IoT-beveiligingsprobleem is daardoor een gigantische opgave. Consumenten hebben weinig oog voor security en al helemaal als het om IoT-randapparatuur gaat. Leveranciers van IoT-apparatuur hebben vooralsnog geen enkele stimulans om wat aan beveiliging te doen. Dit probleem kan alleen opgelost worden als de  overheid een securitynorm oplegt voor IoT apparatuur, vergelijkbaar met de norm voor elektrische veiligheid. Apparatuur die niet aan die norm voldoet, mag niet op de markt worden gebracht. Daarnaast zou de Politie enorm gebaat zijn bij bevoegdheden om command en control servers (de server die de aanval aanstuurt) over te nemen, iets wat momenteel in het voorstel voor de nieuwe Wet Computercriminaliteit III is opgenomen. Dit biedt politie meer mogelijkheden om in acute situaties een aanval snel te stoppen en om de daders te achterhalen die de aanval hebben geïnitieerd.

Conclusie

Wat al jaren wordt voorspeld is nu ook daadwerkelijk gebeurd: de onveiligheid van het IoT leidt tot grote problemen voor de beschikbaarheid van internet en dus voor grote schade bij organisaties die hiervan afhankelijk zijn. Niet alleen de getroffen organisaties, ook de organisaties die niet rechtstreeks doelwit zijn, maar wel van hetzelfde datacenter of dezelfde internetnetwerken gebruikmaken kunnen door uitval worden getroffen en hierdoor veel schade leiden. De nieuwe DDoS-aanvallen kunnen zo tot een ware ontwrichting leiden, het soort disruptie dat tot gigantische schade kan leiden. In elk geval moeten organisaties nu zelf een belangrijke stap zetten om zich hiertegen te wapenen. Maar voor het aanpakken van de fundamentele oorzaak zal de gehele IT-industrie van producenten tot service providers en securityspecialisten in actie moeten komen, samen met de overheid.

Frank Groenewegen, Principal Security Expert Fox-IT

Nu bij Fox-IT

Neem contact op

+31 (0) 15 284 79 99

fox@fox-it.com

Delft