Afgelopen week waren een aantal belangrijke delen van het internet gedurende verschillende uren onbereikbaar ten gevolge van DDoS-aanvallen. Doordat deze aanvallen plaatsvonden in de late namiddag in de Verenigde Staten, merkte in Europa enkel wie laat naar bed ging hier iets van.
Twee zaken vielen me op aan deze aanvallen. Ten eerste, dat de aanval niet gericht was op een specifieke, gekende website die iemand zou willen platleggen, maar op Dyn, een bedrijf dat een groot aantal dns-adressen van bekende websites beheert. Dus de websites zelf bleven perfect functioneren, maar niemand kon hen vinden doordat de pagina’s met verwijzing naar de websites niet beschikbaar waren.
internet of things-toestellen
Het tweede dat me opviel is dat de aanval werd uitgevoerd door een ‘zombie’-leger bestaande uit internet of things (IoT)-toestellen waar hackers controle over konden krijgen. IoT-toestellen zijn immers gemakkelijke doelwitten voor hackers. Het gaat hierbij bijvoorbeeld om beveiligingscamera’s, maar ook digitale videorecorders of andere consumententoestellen die met het internet verbonden zijn. Sommige toestellen konden worden gehackt doordat de eigenaars het standaard paswoord niet wijzigden, andere omdat beveiliging nooit voorzien was bij het ontwerp van het toestel.
Deze toestellen zijn dus goedkope, kleine, standaard hardware componenten, waarvan er zeer veel in gebruik zijn. Zelfs als maar een klein percentage ervan niet goed beschermd is, kunnen hackers hier gebruik van maken om met een leger van honderdduizenden toestellen op wereldwijde schaal toe te slaan.
Het is trouwens niet de eerste keer dat een dergelijke aanval plaatsvindt. Een paar weken geleden werd er een gelijkaardige aanval uitgevoerd in Frankrijk: hackers vielen het grote Franse hostingbedrijf OVH aan met de bedoeling om de website van één van hun klanten plat te leggen. Op zeer gelijkaardige wijze werden meer dan honderdduizend gehackte beveiligingscamera’s gebruikt om de cyberaanval uit te voeren.
Internet verstoren
Wat zijn de gevolgen van zo’n aanval, aangezien het enige doel van dergelijke aanvallen is om een dienst onbeschikbaar te maken, en dus niet om gegevens te stelen of wijzigen?
Een mogelijk gevolg van zo’n aanval is dat gegevens onrechtstreeks wel gewijzigd worden. Wat als de hackers er bijvoorbeeld in zouden slagen om grote delen van het internet te verstoren op de dag van de presidentsverkiezingen in de Verenigde Staten? Ze zouden verkeershinder kunnen veroorzaken door verkeersinformatie onbeschikbaar te maken, of delen van het openbaar vervoer verlammen. Of bijvoorbeeld grote nieuwssites verstoren. Dat zou er dan weer voor zorgen dat minder mensen gaan stemmen. En als ze erin slagen om in bepaalde staten voor meer hinder te zorgen dan in andere, dan zou dit een invloed kunnen hebben op de uitkomst van de verkiezingen.
Of wat als deze aanvallen de infrastructuur in ziekenhuizen zouden verstoren? Toestellen die de patiënten monitoren, zouden onbeschikbaar kunnen zijn, aangezien deze vaak afhankelijk zijn van een internetverbinding, of toegang tot een cloudsysteem nodig hebben.
Bescherming
Hoe kan dit vermeden worden? Er is geen eenvoudig antwoord. Sowieso moet de beveiliging van toestellen die met het internet verbonden zijn reeds in het ontwerp van het toestel voorzien zijn. En niet pas achteraf nog alles regelen, aangezien het dan meestal te laat is om alle gaten te dichten en de achterpoortjes te sluiten.
Maar hoe kan je als organisatie jezelf beschermen tegen dergelijke aanvallen? Er zijn uiteraard uiterst gespecialiseerde middelen beschikbaar om de logbestanden van beveiligingssystemen te controleren en te beschermen tegen specifieke aanvallen. Meestal wordt bescherming tegen aanvallen zoals die van vorige week voorzien op het niveau van de infrastructuur.
Data-analyse en zelflerende systemen
De meeste middelen worden ontworpen om specifieke soorten aanvallen te herkennen, en berusten daarom op een aantal regels die gemaakt werden op basis van gekende aanvalsmethoden. Maar data-analyse en zelflerende systemen kunnen hier ook een rol spelen, aangezien zij kunnen helpen om ongekende technieken op te merken door naar abnormaal gedrag te zoeken. Vooral in combinatie met het vermogen om streaminggegevens te analyseren, kan dit je helpen om kwaadwillige handelingen op te merken terwijl ze plaatsvinden, en dus niet alleen lang na de feiten, op basis van een historische database.
‘Streaming analytics’ kan ook geïmplementeerd worden ‘aan de rand’, wat wil zeggen dat het ook ingebed kan worden dichtbij of zelfs binnenin het toestel dat vatbaar is voor hacking, zodat het toestel aan zelf-diagnose kan doen door middel van zelflerende technieken, om zo te leren vaststellen wanneer het in een normale staat is en wanneer het gehackt zou kunnen zijn.
Deze aanvallen tonen ons dat er nog steeds zwakke punten (‘single points of failure’) zijn op het internet en hoe fragiel het internet soms is. Anderzijds toont het ook dat, ondanks de vele al geleverde inspanningen, beveiliging nog steeds een belangrijke factor is om rekening mee te houden in elke IoT-architectuur.
Mathias Coopmans, Principal Business Solution Manager bij SAS
