Experts pleiten voor 'nationale firewall' tegen DDoS-aanvallen
Er moet snel meer gebeuren om belangrijke websites en apps in Nederland te beschermen tegen DDoS-aanvallen. Daarvoor pleiten vijf experts in digitale beveiliging in een open brief. Daarin roepen ze de overheid en bedrijven op om meer samen te werken in een soort nationale firewall tegen DDoS-aanvallen.
Op dit moment huren bijvoorbeeld banken, telecomproviders en energiebedrijven op eigen houtje bedrijven in om DDoS-aanvallen te voorkomen, maar op die manier gaan ze de DDoS-oorlog niet winnen, vrezen de ondertekenaars van de brief. Als ze beter zouden samenwerken, zouden ze kunnen voorkomen dat een bepaalde aanval bij een ander bedrijf succes heeft.
Volgens de experts worden DDoS-aanvallen steeds groter. "Ze gaan naar de terabit per seconde", zegt Cristian Hesselman, hoofd van de researchafdeling van SIDN, de organisatie die het .nl-domein beheert. Hij is een van de ondertekenaars van de brief.
Een terabit is een hoop data: als je een terabit op cd's zou zetten en die in hoesjes zou doen, krijg je een stapel van een kleine twee meter. Ook is een terabit genoeg om 200.000 mensen tegelijkertijd in hoge kwaliteit een Netflix-serie te laten kijken. Dat komt dan tegelijkertijd binnen op één website, wat voor veel sites zoveel verkeer is dat ze normale bezoekers niet meer kunnen ontvangen.
De impact van DDoS-aanvallen is groot, zegt Jeroen van der Ham, die onderzoek doet naar internetbeveiliging aan de Universiteit Twente en zijn naam ook onder de brief heeft gezet. "Je zou denken dat het nu wel goed geregeld is, maar je zag laatst weer met die DDoS-aanvallen dat dat tegenviel." In januari hadden onder meer sites en apps van banken dagenlang last van aanvallen, waardoor mensen geen geld konden overmaken.
Informatie uitwisselen
Bedrijven die belangrijk zijn voor de samenleving, zoals banken, telecombedrijven, de energiesector en overheden, zouden daarom informatie moeten uitwisselen, bepleiten de vijf experts.
Dan gaat het bijvoorbeeld om IP-adressen van aanvallers. Dat hoeven niet per se kwaadwillenden te zijn: het kan ook gaan om iemand met een gehackte webcam. Eerder bleek uit onderzoek van de NOS dat onveilige 'slimme' apparaten binnen een mum van tijd zijn gehackt, vaak om ze vervolgens te gebruiken voor duistere zaken als DDoS-aanvallen.
Met behulp van die gehackte apparaten is het mogelijk om een DDoS-aanval op te zetten die vanuit alle hoeken en gaten komt, en daardoor lastig te blokkeren is. Maar de ondertekenaars hopen dat dat in ieder geval makkelijker is als bedrijven onderling samenwerken en bijvoorbeeld onveilige apparaten al in kaart brengen voordat er een aanval plaatsvindt. Ook zouden internetproviders klanten met onveilige apparaten dan kunnen waarschuwen.
"Maar je moet ook denken aan het soort verkeer waar een DDoS-aanval uit bestaat", zegt Hesselman van SIDN. Met behulp van die technische kennis zouden de bedrijven aanvallen kunnen blokkeren. Voor dat blokkeren blijven ze in het plan wel zelf verantwoordelijk.
Internetproviders wisselen onderling al informatie uit, tekent de chief security officer van KPN, Jaya Baloo, aan. "Meer samenwerken is altijd goed", zegt ze. "Maar we moeten wel zorgen dat we niet zomaar verkeer blokkeren, dat moet echt alleen als laatste redmiddel."
Organisatie
Het Nationaal Cyber Security Centrum herkent de zorgen over DDoS-aanvallen. "Ook wij zien dat die steeds geavanceerder worden", aldus woordvoerder Anna Sophia Posthumus. Ze kan nog niet zeggen of haar organisatie in de 'DDoS-firewall' een rol voor zichzelf ziet weggelegd, maar is wel positief over de plannen.
Er is in Nederland wel al een 'nationale wasstraat' voor DDoS-aanvallen, en waar providers zichzelf voor kunnen aanmelden. Volgens de briefschrijvers gaat hun plan echter verder, omdat ook aanvallen die nog niet hebben plaatsgevonden moeten kunnen worden afgevangen.
Beveiligingsonderzoeker Victor Gevers zet wel vraagtekens bij het plan, omdat het blokkeren van aanvallers ook nadelen heeft. "Het is beter om de oorzaak weg te nemen dan ze weg te filteren, omdat je dan ook veel dingen over het hoofd ziet", zegt Gevers. Zo kan het voor onderzoekers moeilijker worden om de bron van aanvallen op te sporen als het verkeer door hun internetprovider wordt geblokkeerd.