Vijf vragen over de cyberaanval
Twitter, Spotify, Buienradar, PayPal en GitHub waren vrijdag urenlang uit de lucht nadat de DNS servers van het Amerikaanse bedrijf Dyn waren aangevallen. Het Amerikaanse ministerie van Binnenlandse Zaken laat onderzoek doen naar deze enorme aanval op de internetinfrastructuur. Vijf vragen over de cyberaanval.
Wat gebeurde er precies?
Hackers bestookten urenlang de DNS servers van internetbedrijf Dyn. DNS is de technologie om numerieke internetadressen aan domeinnamen te koppelen. Zonder adressenboek werkt het internet niet. Het is niet de eerste keer dat zoiets gebeurt. Kabelbedrijf Ziggo is ook al eens het slachtoffer geweest van een dergelijke aanval. De daders werden echter verraden en zijn later aangehouden.
Wie zit er achter de aanvallen?
Tot dit weekend heeft niemand de aanval opgeëist. Het motief van de aanval is niet helemaal duidelijk, als dat er al is. Mogelijk was het een reactie op het besluit van de ambassade van Ecuador om Julian Assange van Wikileaks (tijdelijk) af te sluiten van het internet. Ook gingen er geruchten dat Assange was overleden.
Waarom werkte deze aanval zo goed?
Er zijn aanwijzingen dat een Mirai IoT botnet de DNS-servers heeft uitgeschakeld. Daarbij zijn mogelijk miljoenen slecht beveiligde Internet of Things apparaten besmet. Dat kunnen routers zijn, waarvan het standaard wachtwoord niet is aangepast. In dat geval is het mogelijk om in zeer korte tijd een enorme aanvalskracht te bundelen.
Beveiligingsexperts waarschuwen al langer voor slecht beveiligde apparatuur. Onderzoekers van het Franse Eurecom en de Ruhr University in het Duitse Bochum hebben recentelijk de firmware onderzocht van netwerkcamera’s, modems en routers. Er werden meer dan 9200 kwetsbaarheden aangetroffen bij hardware van ruim vijftig fabrikanten.
De Mirai software is vrij verkrijgbaar op internet. De broncode is een dezer dagen gelekt op de site Hackerforums omdat beveiligingsexperts bezig waren om de software aan te pakken. Met de broncode kunnen honderden varianten worden ontwikkeld. De bestrijding daarvan wordt daarmee lastiger.
Waarom werd juist Dyn aangevallen?
Niet alleen Dyn, ook andere DNS aanbieders werden bestookt, maar de impact daarvan was kennelijk minder groot. De reden dat Dyn mogelijk als eerste is aangevallen is omdat analist Chris Baker van Dyn een een dezer dagen een artikel publiceerde genaamd What Is the Impact On Managed DNS Operators? Dyn is geen groot bedrijf. Het heeft 400 mensen in dienst, waarvan 350 in New Hampshire. Ook zijn er kantoren in Engeland en Singapore.
Wat kan er tegen dit soort aanvallen worden ondernomen?
Technische ontwikkelingen zorgen ervoor dat DNS-aanvallen in de toekomst waarschijnlijk minder impact hebben. Zoals altijd is er in het begin veel overlast omdat de technologie niet is berekend op dit soort geavanceerde aanvallen, vervolgens duurt het enige tijd voordat nieuwe technologie is geadopteerd. Zo moeten DNS-aanvallen beter herkend kunnen worden. Een DNS-server zou overbevraging moeten kunnen negeren. Ook is het verstandig om de servers geografisch te verspreiden. Meer technische uitleg hier. Beveiligingsexperts houden er rekening mee dat we voorlopig nog niet verlost zijn van dit soort aanvallen.
Gerelateerd event
Deel dit bericht
Plaats een reactie
Uw e-mailadres wordt niet op de site getoond
2 Reacties
Roy Lenders
Een groep onder de naam World Hacking heeft inmiddels de verantwoordelijkheid opgeëist. Aanval was via een Mirai botnet waarbij deels gebruik werd gemaakt van Internet of Things apparaten van een bepaalde Chinese fabrikant. Die heeft vanmorgen toegegeven dat hun apparaten een groot deel van de aanval hebben uitgevoerd. Deze Chinese fabrikant had alle apparaten tot en met 2015 niet uitgerust met de waarschuwing dat de default username/password aangepast moest worden.
World Hacking heeft zichzelf gisteren overigens opgeheven.
Er lopen momenteel nog steeds DDOS aanvallen, onder andere vannacht op de email systemen van de Equadoriaanse overheid en de NSA. Het zijn allemaal symphatisanten van WikiLeaks en Anonymous die hiermee protesteren tegen de pogingen van de Amerikaanse overheid om WikiLeaks plat te leggen in verband met de onthullingen van de Podesta Papers. Tot en met de verkiezingsdag in de US wordt elke dag een deel van de zogenaamde Podesta Papers gelekt. Podesta is de campagne strateeg van de Clinton verkiezingscampagne en zijn emailbox is gehackt. Deze emails bevatten onthullende materialen en Clinton is bang dat dit haar de potentiele overwinning kan kosten.
DNS servers hebben weinig mogelijkheden om zich te verdedigen tegen DDOS attacks. Zij kunnen immers vanwege hun functie geen IP adressen blokkeren. De aanval werd overigens vanuit tientallen miljoenen IP addressen uitgevoerd dus vrijwel onmogelijk om deze te blokkeren overigens.
Pas na de oproep van WikiLeaks via haar Twitter account dat Assange veilig is werd de aanval gestopt. WikiLeaks heeft afgelopen vrijdag 3 zogenaamde Dead-Man codes via haar Twitter account gepubliceerd. Via deze dead-man codes kunnen de aanhangers bepaalde bestanden decoderen. Hierdoor ontstond het gerucht dat Assange niet meer veilig was. Tevens zijn er dit jaar 3 belangrijke WikiLeaks leden overleden waaronder enkele onder verdachte omstandigheden. Kortom, er heerst behoorlijk wat tumult. Ik verwacht dat dit de komende dagen tot en met de US verkiezingen alleen maar gaat toenemen.
Egbert van Keulen
Dank je wel voor deze toevoeging Roy.
Egbert (Emerce)