Mensen in de bedrijfswereld die diensten leveren aan hun klanten weten dat zelfs een geringe verstoring van de dienstverlening – zelfs van minder dan een uur – onder andere kan leiden tot heel wat boze mensen en een gebrek aan vertrouwen in het bedrijf.

Ook hackers zijn zich hiervan bewust en voeren daarom plannen uit die internetdiensten tijdelijk onbruikbaar te maken.

DoS-aanvallen versus DDoS-aanvallen

Een denial-of-service-aanval (DoS) doet zich voor wanneer een systeem of machine opzettelijk wordt overspoeld met dataverkeer of informatie, waardoor het crasht of ontoegankelijk wordt voor gebruikers. De meest voorkomende methode is een buffer overflow-aanval, waarbij meer verkeer naar een netwerkadres wordt gestuurd dan het kan verwerken.

Hackers proberen ook andere tactieken, zoals het gebruik van valse datapakketten die inhoud naar elke machine op een netwerk sturen in plaats van slechts één machine, of door het uitvoeren van een SYN flood. Deze laatste verstuurt een verzoek voor verbinding met de server, maar maakt de handdruk niet compleet. Dit type aanval is gericht op elke open poort, waardoor er geen poorten meer overblijven voor legitieme klanten. Een andere techniek misbruikt bestaande kwetsbaarheden in het systeem, in plaats van het verkeer te doen toenemen, om het systeem te laten crashen.

Distributed denial-of-service-aanvallen (DDoS) komen steeds vaker voor in het cyberlandschap. Hun effecten zijn vergelijkbaar met die van andere soorten DoS-aanvallen, maar het belangrijkste verschil is dat het verkeer dat de servers of systemen van het slachtoffer doet crashen, afkomstig is van meerdere bronnen in plaats van één. Door de aanval te verdelen over meerdere bronnen kan deze meer schade veroorzaken en moeilijker tegengehouden worden. Bovendien is het moeilijker om de dader te identificeren.

Het IoT vergemakkelijkt DDoS-aanvallen

DDoS-aanvallen zijn mogelijk wanneer de verschillende bronnen synchroon samenwerken, vaak via een botnet. Een botnet is een gecombineerd netwerk van gekaapte, met het internet verbonden systemen of apparaten die op afstand als groep worden gecontroleerd. Hackers gebruiken deze vaak om spam of phishingberichten te verzenden of om bankgegevens buit te maken. Ze spelen echter ook een cruciale rol in DDoS-aanvallen. Sommige hackers verhuren zelfs botnets, waardoor zelfs onervaren cybercriminelen schade kunnen berokkenen.

Het is zorgwekkend dat het Internet der Dingen (IoT) talloze met het internet verbonden apparaten op de markt heeft gebracht, waardoor DDoS-aanvallen makkelijker uit te voeren zijn dan in het verleden. Deze apparaten, zoals camera's en routers, zijn uitstekende kandidaten voor botnets omdat ze vaak gebrekkige verificatieprocedures gebruiken, waaronder levering met zwakke standaardwachtwoorden. Hackers kunnen met behulp van woordenboekaanvallen de toegangsgegevens achterhalen en de controle over het apparaat overnemen.

Een gedenkwaardig voorbeeld hiervan is het Mirai-botnet, wat naar schatting uit meer dan 600.000 zombie-IoT-apparaten bestaat. Mirai werd enkele jaren geleden gebruikt voor DDoS-aanvallen gericht op een aantal belangrijke serviceproviders, waardoor meerdere populaire websites, zoals Amazon en Twitter, niet beschikbaar waren voor gebruikers.

Deze aanvallen zijn doorgaans bijzonder goed getimed

Voor slachtoffers is er geen goed moment om getroffen te worden door een aanval van cybercriminelen. Denk maar aan de WannaCry-ransomwareaanval waarbij servers met gezondheidsinformatie in het Verenigd Koninkrijk werden platgelegd en de doelwitten werden gedwongen om exorbitante vergoedingen te betalen in de vorm van cryptovaluta's.

Een probleem bij DoS- en DDoS-aanvallen is dat de daders hun doelwitten vaak zoveel mogelijk schade proberen te berokkenen door een uitstekende timing. Enkele jaren geleden werden Xbox en PlayStation aangevallen en platgelegd op kerstdag, wat een demper op de feestvreugde zette voor iedereen die de gameconsoles cadeau hadden gekregen. Ook andere gebeurtenissen bewijzen dat hackers hun aanvallen op specifieke tijdstippen plannen.

In januari 2016 vond een DDoS-aanval op klanten van HSBC Bank in het Verenigd Koninkrijk plaats, waardoor ze niet langer toegang hadden tot hun onlinerekeningen.

Alsof dat nog niet erg genoeg was, gebeurde dit allemaal enkele dagen voor de fiscale deadline in het Verenigd Koninkrijk. Uit onderzoek blijkt dat de financiële sector het belangrijkste doelwit is van DDoS-aanvallen, met 57 percent van de incidenten.

Eerder, in juli 2015, werd New York Magazine aangevallen net na de publicatie van 35 interviews waarin Bill Cosby beschuldigd werd van seksueel geweld. De vermoedelijke oorzaak was een DDoS-aanval. De informatie van het nieuwskanaal bevatte exclusieve details die mensen wilden lezen, maar door de timing van de aanval konden ze dat niet meteen doen.

Enkele incidenten gericht op meerdere landen

In augustus 2018 toonden meerdere DDoS-incidenten ook aan hoe hackers soms verschillende websites in één sector kunnen platleggen, zelfs als deze zich in meerdere landen bevinden. Gebruikers van pokerwebsites in de Verenigde Staten en Canada kregen geen toegang tot de services als gevolg van aanvallen die niet tegelijkertijd, maar kort na elkaar plaatsvonden.

De services van America's Card Room in de VS werden verstoord door een DDoS-aanval op 5 augustus, net voor het begin van een belangrijke reeks online toernooien met een gegarandeerde winst van 10 miljoen dollar. Daardoor moest het bedrijf meerdere toernooien annuleren. De directeur van de site bevestigde dat de aanvallen meerdere uren duurden en dat America's Card Room samenwerkte met een dienst om DDoS-aanvallen te voorkomen en problemen in de toekomst te vermijden.

Een week later ondervond PokerStars, een Canadese site, vergelijkbare problemen toen gebruikers begonnen te klagen over verbindingsproblemen. Deze problemen begonnen opnieuw op een dag met belangrijke toernooien. Een belangrijk gegeven is dat deze aanvallen niet alleen nadelig zijn voor gebruikers in het land waarin het bedrijf gevestigd is. PokerStars is gevestigd in Canada, maar heeft ook klanten in Europa en India. Gebruikers in die landen konden de website ook niet gebruiken zodra de problemen zich voordeden.

Voorkomen dat u slachtoffer wordt

Elke stilstand, hoe kort ook, kan klanten het idee geven dat serviceproviders geen geschikte infrastructuur hebben. Een probleem dat ernstig genoeg is, kan ervoor zorgen dat ze beginnen te klagen op social media of voor een andere serviceprovider kiezen.

DoS-beschermingsdiensten kunnen het dataverkeer controleren en waarschuwen bij vreemde activiteiten. Onlangs hebben enkele onderzoekers prototypes ontwikkeld van zelflerende systemen voor het detecteren van potentiële aanvallen. Hoewel het veel tijd kost om deze systemen te bouwen, zijn hun prestaties superieur aan reeds bestaande DoS-screeningtools.

Naast het vertrouwen op methoden om DoS-aanvallen te detecteren voordat ze het merendeel van de gebruikers treffen, is het voor bedrijven cruciaal om rampenbestrijdingsplannen op te stellen met aandacht voor DoS- en DDoS-aanvallen.

Weten wat te doen wanneer een aanval plaatsvindt kan deze niet voorkomen, maar snel reageren kan de schade wel aanzienlijk beperken. Eerlijk zijn over wat er gebeurd is, kan bovendien de sterke emoties kalmeren die onvermijdelijk ontstaan wanneer mensen ontdekken dat de websites en services die ze vaak gebruiken en die ze vertrouwen plotseling ontoegankelijk zijn.

Deze aanvallen verdwijnen niet

DoS-aanvallen doen meer dan reputaties beschadigen en voor frustratie zorgen. Ze kosten tot 40.000 dollar per uur voor slachtoffers en minder dan 40 dollar per uur om te organiseren. De nieuwskoppen van de laatste jaren tonen aan dat dit soort aanvallen blijft toenemen en steeds uitgebreider wordt.

Bedrijfseigenaars en andere aanbieders van diensten die kunnen worden platgelegd door dit soort aanvallen, moeten zich ervan bewust zijn dat ze dit niet kunnen negeren.

Het is belangrijk dat ze de dreiging van deze aanvallen begrijpen, leren hoe ze deze kunnen voorkomen of ten minste kunnen identificeren voordat ze te veel schade aanrichten, en dat ze over herstelprocessen beschikken om hun systemen opnieuw operationeel te krijgen indien ze het slachtoffer worden van een aanval.

 

Opmerking: Dit blogartikel werd geschreven door een externe medewerker om onze lezers een gevarieerder aanbod te geven. De standpunten die worden uiteengezet in dit artikel van een externe medewerker zijn enkel die van de medewerker en komen niet noodzakelijk overeen met die van GlobalSign.