DDoS-aanval is net zo makkelijk als winkelen op internet
DDoS-aanvallen, waarbij websites worden overspoeld met dataverkeer, worden steeds gemakkelijker en goedkoper, door de opkomst van speciale websites die die aanvallen op commando uitvoeren. "De afgelopen drie jaar zijn die sites in opkomst, en sinds een jaar gaat het echt heel snel", zegt beveiligingsonderzoeker Rickey Gevers van RedSocks. Een van die websites voert duizenden aanvallen per dag uit, blijkt uit statistieken die die site zelf geeft.
Het uitvoeren van een DDoS-aanval kan op dat soort websites voor enkele tientjes of honderden euro's, afhankelijk van de aanvalscapaciteit. Betalen kan gewoon met een creditcard, maar ook anoniem, met behulp van bitcoins. "Dit soort websites schiet als paddenstoelen uit de grond", aldus een woordvoerder van de politie. Dat is terug te zien in het aantal DDoS-aanvallen, dat volgens de politie in het afgelopen jaar is gestegen.
Verdedigen is moeilijker
Het verdedigen tegen DDoS-aanvallen is moeilijker dan het uitvoeren van zo'n aanval: wordt een bepaalde aanvalsmethode geblokkeerd, dan kunnen aanvallers soms een andere methode vinden om toch een succesvolle aanval op te zetten.
"Websites zijn nog wel redelijk eenvoudig te beschermen", zegt Gevers. Met de commerciële dienst CloudFlare kan een website relatief goedkoop worden voorzien van beveiliging. Maar achterliggende infrastructuur is veel kwetsbaarder en moeilijker te beveiligen. Lennart Haagsma van beveiligingsbedrijf Fox-IT noemt het een fout in de manier waarop het internet werkt.
Er zijn duizenden websites waar je DDoS-aanvallen kunt bestellen.
"Er zijn inmiddels duizenden websites die DDoS-aanvallen verkopen", zegt beveiligingsexpert Rik van Duijn van Dearbytes. Wat opvalt is de eenvoud waarmee ze kunnen worden bediend. En hoewel de kans groot is dat ze in strijd met de wet handelen - "Dit grenst aan medeplichtigheid", zegt ict-jurist Arnoud Engelfriet - gaan ze vooralsnog hun gang.
Sommige van die websites doen zich voor als legitieme bedrijfjes, die websites de kans geven om hun beveiliging te testen. "Ik vind dat niet zo geloofwaardig", stelt Engelfriet. In de praktijk worden ze ook voor minder frisse doeleinden gebruikt. Zo zeggen bronnen rond de DDoS-aanval op de NPO en de NOS van anderhalve week geleden dat zo'n website heeft bijgedragen aan de aanval.
Hoge straffen
De daders van een DDoS-aanval kunnen worden bestraft: de politie waarschuwt jongeren dan ook dat ze geen aanval moeten opzetten.
Op het uitvoeren van een DDoS-aanval staat maximaal een jaar cel. "Maar als je aanval veel schade veroorzaakt, kan dat nog verder oplopen", zegt Engelfriet. Zo zouden de aanvallers van internetprovider Ziggo een celstraf van zes jaar tegemoet kunnen zien. Als een aanval levens in gevaar brengt - bijvoorbeeld bij een aanval op een ziekenhuis - kan dat oplopen tot zelfs vijftien jaar.
Dat staat nog los van boetes, die ook in de tienduizenden euro's kunnen lopen. Ook kunnen bedrijven de geleden schade verhalen op de daders.