IoT-botnets en DDoS

Distributed Denial of Service (DDoS)-aanvallen zijn bijna ‘gewoon’ geworden. Bij dit type cyberaanval gebruiken hackers een netwerk van online apparaten die met speciale malware besmet zijn: een botnet. Grotere botnets maken krachtigere aanvallen mogelijk. Er zijn tientallen soorten DDoS-aanvallen, maar vaak is het doel het verstoren van de dienstverlening.

Kosten van een DDoS-aanval

Een DDoS-aanval is een effectief middel om bedrijven financiële schade te berokkenen. Eén aanval kan al een kostenpost van 1,4 miljoen euro opleveren, blijkt uit onderzoek van Kaspersky en B2B International. Kleine bedrijven kost het gemiddeld zo’n 95.000 euro.

Naast de directe impact van systeemuitval en downtime heeft een DDoS-aanval ook indirecte gevolgen. Denk bijvoorbeeld aan reputatieschade, compensatie voor klanten, een verhoging van de verzekeringspremies, investeringen in betere IT-infrastructuur, trainingen voor personeel en het inschakelen van securityspecialisten.

Anno 2016 slagen bedrijven er steeds beter in om DDoS-aanvallen snel te detecteren en pareren. Natuurlijk waren er dit jaar ook in Nederland kleine incidenten, zoals twee tieners die verdacht werden van een DDoS-aanval op hun school en een jongen die dreigde de Belastingdienst plat te leggen.

Toch was het contrast met voorgaande jaren groot. Of leek dat maar zo? De cijfers laten een ander beeld zien. Zo rapporteerde Verisign in het tweede kwartaal van 2016 maar liefst 75 procent meer DDoS-aanvallen dan in dezelfde periode vorig jaar.

vDOS en het Mirai-botnet

Veel zorgwekkender nog is de evolutie van de DDoS-aanval. Medio september kreeg de wereld een realitycheck toen de website van IT-journalist Brian Krebs, een autoriteit op het gebied van security, werd getroffen door een van de grootste DDoS-aanvallen ooit.

Dat gebeurde niet geheel toevallig nadat Krebs artikelen had gepubliceerd over de activiteiten van vDOS, een wereldwijde DDoS-botnetservice die gerund werd door twee Israëlische mannen. Een zeer lucratieve business, want voor hun arrestatie had vDOS tienduizenden betalende abonnees. In twee jaar tijd bracht deze dienst ruim 600.000 dollar in het laatje.

De DDoS-aanval op de website van Krebs was een indrukwekkend machtsvertoon. Tijdens de piek werden 620 Gbps aan data verstuurd. Een paar dagen later volgden nog meer enorme DDoS-aanvallen tot wel 799 Gbps, dit keer met de Franse hostingprovider OVH als doelwit.

Even om aan te geven hoe groot dat is: de krachtigste aanval die Verisign in het tweede kwartaal van dit jaar registreerde, piekte op 256 Gbps. Nog niet de helft van de DDoS-aanval waar Krebs mee te maken kreeg.

De cyberaanvallen op Krebs en OVH ontleenden hun brute kracht aan hetzelfde instrument: een Mirai-botnet. Dit botnet bestond uit 145.000 apparaten overal ter wereld, vooral webcams, routers en thermostaten. Dergelijke IoT-devices zijn vaak eenvoudig te hacken, omdat ze beveiligd zijn met standaardwachtwoorden.

Invasie van digitale zombies

Mirai is malware die het internet continu afspeurt naar slecht beveiligde IoT-apparaten. Na besmetting verandert Mirai zo’n apparaat in een bot. Voor hackers zijn DDoS en het IoT een gouden combinatie. Er zijn nu al ruim 6 miljard ‘dingen’ verbonden met het internet en volgens Gartner zullen dat er in 2020 ruim 20 miljard zijn.

Zelfs als slechts een fractie van die devices slecht beveiligd is, hebben hackers dus een bijna oneindige voorraad bots tot hun beschikking. Onlangs werd ook nog eens de broncode van Mirai gelekt. Hiermee kan iedereen een Mirai-botnet opzetten.

Op 21 oktober maakte ook het grote publiek kennis met Mirai toen de belangrijke DNS-provider Dyn werd platgelegd door de krachtigste DDoS-aanval tot nu toe. Een waslijst aan websites en online diensten was tijdelijk niet of slecht bereikbaar, van Twitter en Spotify tot PayPal en Buienradar.

Hoe dit kon gebeuren? DNS, de afkorting van Domain Name Servers, is simpel gezegd een soort telefoonboek van het internet. Als u een URL invoert, stuurt een DNS de gebruiker door naar de juiste server. Dus wanneer een DNS-provider als Dyn platligt, heeft dat invloed op vele websites.

Het hele internet op zwart?

Het kan nog erger. Een mogelijk scenario is een langdurige DDoS-aanval op de dertien DNS-rootservers, die samen het fundament van het internet vormen. Van zo’n aanval kunnen in theorie alle internetdiensten die gebruikmaken van het wereldwijde DNS hinder ondervinden, dus niet alleen specifieke websites.

Deze rootservers zijn goed beveiligd en tenzij ze dagenlang platliggen, zullen de meeste internetgebruikers geen ernstige gevolgen ervaren. De schade was dan ook nihil toen vier rootservers eind vorig jaar enkele uren offline waren door een DDoS-aanval.

Het is dus onwaarschijnlijk dat het hele internet op zwart gaat door een DDoS-aanval. Maar als IoT-botnets steeds groter worden, moeten verdedigingsmechanismes gelijke tred houden. Dit zadelt overheden en het bedrijfsleven op met een serieus probleem: hoe bescherm je je tegen DDoS-aanvallen van ongelimiteerde sterkte?

Alleen internetreuzen als Google en Verisign hebben voldoende capaciteit in huis om zo’n aanval succesvol af te weren. Kapitaalkrachtige organisaties kunnen hun beveiligingsdiensten nog wel betalen, maar voor de rest is dat geen optie.

Wapenwedloop is symptoombestrijding

Bovendien dreigt deze strijd te verzanden in een eindeloze wapenwedloop. Dit is een klassiek geval van symptoombestrijding en geen structurele oplossing. Als we niks tegen IoT-botnets doen, heeft dat zeker voor een land als Nederland brede implicaties. Wij worden in het dagelijks leven immers steeds afhankelijker van online diensten.

Onze bankzaken en belastingaangifte regelen we via internet. Boodschappen en andere spullen bestellen we online. Een hotel of vakantiehuisje reserveren we via een boekingssite. Dankzij 9292.nl weten we of en wanneer de trein rijdt. En zonder SCADA-systemen gaan onze bruggen en sluizen niet open of dicht. Wat gebeurt als deze diensten niet beschikbaar zijn?

Het is ook niet ondenkbaar dat DDoS-aanvallen straks op grote schaal worden gebruikt om bijvoorbeeld kritische journalisten en media te censureren of om concurrerende bedrijven dwars te zitten tot ze failliet gaan. En wat als de pacemaker of zelfrijdende auto van een belangrijke politicus of topman wordt uitgeschakeld?

Eigenlijk is het te bizar voor woorden dat het zo ver heeft kunnen komen. Al jaren waarschuwen experts terecht voor de gevaren van het ‘internet der dingen’ en de gebrekkige beveiliging van IoT-apparaten. Er zijn meerdere oorzaken voor de kwetsbaarheid van IoT-devices:

1. Tijdsdruk door concurrentie
De concurrentie op de markt voor IoT-apparaten is hevig. Fabrikanten en ontwikkelaars staan onder druk om een product zo snel en goedkoop mogelijk op de markt te brengen. Als een concurrent er eerder bij is, zijn alle investeringen voor niks. Vaak wordt snelheid verkozen boven beveiliging.

‘Security by design’, waarbij de beveiliging van een product of applicatie tijdens het ontwikkeltraject leidend is, zou overal de norm moeten zijn. Maar dat is nu nog een utopie. Kwetsbaarheden komen hierdoor pas achteraf aan het licht en worden vaak veel te laat gedicht. Of zelfs helemaal niet.

2. Klant betaalt niet voor security
Voor de meeste consumenten is security ook geen reden om een bepaald product aan te schaffen. Zij maken hun keuze op basis van bijvoorbeeld het design, de functionaliteit en het gebruiksgemak. Fabrikanten weten dat security niet zo’n sexy feature is en zo blijft het een ondergeschoven kindje.

Bovendien botst goede beveiliging soms met gebruikscomfort. Vraag je de gebruiker bijvoorbeeld om een sterk wachtwoord in te stellen als de installatie daardoor langer duurt en minder soepel verloopt? Veel fabrikanten doen dat niet. Mede daardoor zijn standaardwachtwoorden schering en inslag.

3. Gebrekkig patchbeleid
Fabrikanten komen om de haverlap met nieuwe producten, maar de klant koopt niet elk jaar de laatste versie. Een slimme waterkoker of printer moet toch jaren meegaan. Er is echter geen garantie dat de fabrikant één, vijf of tien jaar later nog software-updates voor dat verouderde product verspreidt.

Bovendien verschijnen voor veel IoT-devices helemaal geen beveiligingsupdates. Het gevolg is dat deze apparaten vaak oude software draaien die mogelijk zo lek als een mandje is. En als er wél updates beschikbaar zijn, is ook nog maar de vraag of de gebruiker ze keurig installeert.

4. Zwakke schakels in de keten
De ontwikkeling en productie van een IoT-apparaat is complex en kent veel zwakke schakels. Zelfs als de ontwerper security als topprioriteit ziet, kan het verderop in de keten alsnog misgaan. Misschien is de fabriek ooit gehackt en is elk product dat van de band rolt onveilig zonder dat iemand het weet.

Uiteindelijk moet de gebruiker zelf ook verstandig omgaan met het product, maar veel mensen liggen niet wakker van IoT-security. Dat terwijl onveilige IoT-apparaten ons leven flink kunnen verstoren. Stel dat uw slimme lampen en die van de buurman besmet zijn met een virus, waardoor ze gelijktijdig aan- en uitgaan. Hoe lost u dit op?

5. Wetten, regels en richtlijnen
Landen hanteren elk hun eigen wet- en regelgeving voor de beveiliging van IoT-apparaten. Zo schrijft de Wet bescherming persoonsgegevens (Wbp) voor dat Nederlandse bedrijven die via bijvoorbeeld IoT-devices persoonsgegevens verzamelen ‘afdoende maatregelen’ treffen. Een nogal vage definitie.

In de EU wordt vanaf mei 2018 de General Data Protection Regulation toegepast. Security by design is een van de speerpunten. Goed nieuws, maar botnets in bijvoorbeeld China hebben er geen last van. En richtlijnen vanuit de business, zoals die van de Cloud Security Alliance of de IoT Security Foundation, zijn niet bindend.

Wie zijn hiervoor verantwoordelijk?
Deze onderliggende oorzaken illustreren de complexiteit van het IoT-dilemma. Eén ding is zeker: een veilig Internet of Things is een gedeelde verantwoordelijkheid van verschillende partijen:

• Fabrikanten moeten hoge eisen stellen aan security, producten goed testen voor lancering en alleen samenwerken met chipmakers en andere leveranciers die dat ook doen. Ook moeten ze het belang van security en sterke wachtwoorden beter overbrengen op klanten.
  
  
• Softwareontwikkelaars moeten de veiligheid van IoT-besturingssystemen waarborgen en deze blijven updaten, want kwetsbaarheden in het OS zijn een ingang voor cyberaanvallers.
  
  
• Brancheorganisaties mogen niet wachten op overheidsinmenging, maar moeten zelfregulering toepassen. Een keurmerk voor veilige IoT-devices kan een startpunt zijn. Zo’n keurmerk zou de verkoop van verantwoorde IoT-producten stimuleren.
  
  
• Overheden moeten duidelijkheid verschaffen met wet- en regelgeving, toezicht houden op maar ook samenwerken met fabrikanten en het bedrijfsleven informeren over de risico’s van het IoT. Dit probleem moet zowel in eigen land als internationaal niveau worden aangepakt.

• U als gebruiker moet security van IoT-producten op de eerste plek zetten, bijvoorbeeld door uw huidige slimme apparaten zo goed mogelijk te beveiligen en door uitsluitend veilige IoT-devices aan te schaffen. 

Wat kunt u zelf doen tegen IoT-botnets?

Uw organisatie is zeker niet weerloos tegen IoT-botnets. De juiste benadering bestaat uit twee pijlers: een veilige omgang met IoT-apparaten en de verdediging tegen DDoS-aanvallen.

1. Beveiliging IoT-apparaten
Elk apparaat met een internetverbinding is een potentiële bot. Voor Mirai is inmiddels een scantool ontwikkeld, maar over het algemeen is moeilijk vast te stellen of een IoT-device besmet is met malware en zo ja, of het ook deel uitmaakt van een botnet. Wel kunt u een aantal dingen doen om de beveiliging van de IoT-apparaten binnen uw bedrijf direct naar een hoger niveau te tillen.

Verander als eerste alle wachtwoorden van uw devices en begin bij uw router. Ga voor sterke, unieke wachtwoorden of beter nog: hele zinnen. Elk apparaat hoort een eigen wachtwoord te hebben, zodat het hacken van één device er niet meteen toe leidt dat alle andere apparaten ook kwetsbaar zijn. Als een apparaat niet met een wachtwoord kan worden beveiligd, is dat een goede reden om het te vervangen. Let hier ook op bij het aanschaffen van nieuwe apparaten.

Een ander belangrijk punt is het updaten van de firmware van uw IoT-apparaten. Ga van alle devices na of ze de meest recente versie draaien. Heeft u een nieuw apparaat gekocht? Wijzig dan meteen het standaardwachtwoord en controleer of er updates beschikbaar zijn. Als u vragen heeft over het instellen van wachtwoorden of het installeren van updates, biedt de (online) handleiding misschien uitkomst. En anders kunt u altijd contact opnemen met de fabrikant.

Dit is slechts een greep uit de vele adviezen. Zo is het uit veiligheidsoverwegingen ook beter om UPnP (Universal Plug and Play)-functionaliteit uit te schakelen en om personeel alleen geautoriseerde IoT-devices mee te laten nemen naar werk. Blijf vooral uw gezonde verstand gebruiken. Is het echt nodig dat een apparaat toegang heeft tot internet? En dat het constant aan staat? 

2. DDoS-aanvallen
Helaas is de realiteit dat bovenstaande best practices nog lang niet overal ingeburgerd zijn. Dus zelfs als uw IoT-apparaten stuk voor stuk goed beveiligd zijn, is het gevaar van botnets daarmee nog niet geweken. Voorlopig zult u dus zelf bescherming tegen DDoS-aanvallen moeten regelen.

Het afslaan van DDoS-aanvallen begint bij een goed inzicht in uw IT-infrastructuur. Welke online diensten, applicaties en netwerken zijn cruciaal voor uw bedrijf om operationeel te blijven? Welke systemen beheert u zelf en welke heeft u uitbesteed? Welke maatregelen tegen DDoS-aanvallen zijn nu al van kracht? Deze vragen moet u eerst beantwoorden, zodat u weet waar u staat.

Bij diensten in eigen beheer kunt u zelf vaststellen welke hoeveelheid netwerkverkeer en welk systeemgedrag normaal zijn. Vervolgens is het zaak om uw systemen te monitoren. Een oplossing als AntiDDoS van KPN Security Services meet netwerkstromen doorlopend, wat snelle detectie van verdachte afwijkingen en het afweren van DDoS-aanvallen mogelijk maakt. Worden bepaalde diensten door een derde beheerd? Dan is het raadzaam om bij die leverancier te informeren naar het beleid en de contractuele afspraken omtrent DDoS-bescherming en continuïteit.

Niet alleen technische, maar ook organisatorische maatregelen zijn onontbeerlijk om de impact van DDoS-aanvallen te minimaliseren. Stel bijvoorbeeld een incidentresponsplan op waarin staat hoe u een DDoS-aanval opmerkt en wie welke stappen neemt om de schade te beperken. Tijdens de aanval zelf heeft u namelijk geen tijd om een strategie te bedenken.

Vindt u het lastig om te bepalen welke defensieve maatregelen passend zijn voor uw organisatie? Met de whitepaper ‘Veilig digitaal zaken doen – Uw bedrijfscontinuïteit bewaken in een digitale wereld’ van KPN Security Services kiest u in vier stappen de online security die aansluit bij uw bedrijfsspecifieke risico’s. KPN Security Services is u graag van dienst tijdens het gehele traject naar een optimale DDoS-beveiliging.

Nederland geeft het goede voorbeeld

IoT-botnets vormen de grootste uitdaging in de geschiedenis van het internet. Er zijn dusdanig veel onveilige apparaten in omloop dat we met recht kunnen spreken van het ‘Internet of Evil Things’. De urgentie moet nu echt voor iedereen duidelijk zijn. Op dat vlak zijn er hoopgevende signalen, onder andere vanuit de Nederlandse overheid.

“Alleen met een gezamenlijke, internationale aanpak en samenwerking tussen overheden en bedrijfsleven kan op langere termijn de problematiek van IoT-botnets worden teruggedrongen”, meldde het Nationaal Cyber Security Centrum onlangs. “De Nationaal Coördinator Terrorismebestrijding en Veiligheid gaat zich inzetten voor deze samenwerking op nationaal en internationaal gebied.”

Klare taal. Dit is inderdaad een kwestie van lange adem. Laten we ondanks de storm aan DDoS-aanvallen niet vergeten dat IoT-devices onze wereld op allerlei prachtige manieren verrijken, zowel privé als zakelijk. Er is geen reden om ze angstvallig uit ons leven te weren. Maar houd ook rekening met de risico’s van slimme apparaten, want die zijn er wel degelijk.