Naarmate meer communicatie en business via het internet verloopt, krijgt ook de cybercriminaliteit er nieuwe opportuniteiten bij. Expert Jose Nazario licht de jongste generatie internetaanvallen toe.

Jose Nazario is manager van het departement Security Research bij beveiligingsbedrijf Arbor Networks. Hij onderzoekt de nieuwste vormen van internetaanvallen, zoals ddos (distributed denial of service), botnets en wormen. Vaak gaat het om aanvallen die er specifiek op gericht zijn netwerken uit te schakelen, en die zo als een krachtig economisch of politiek wapen kunnen fungeren. Nazario onderzoekt de fenomenen en schreef zijn bevindingen neer in boeken als ‘Defense and detection strategies against internet worms’ en ‘Secure architectures with OpenBSD’.

Wat is de belangrijkste trend die u vandaag bij internetaanvallen opmerkt?

Jose Nazario: De omvang van de aanvallen is de voorbije tien jaar enorm snel gegroeid. Vorig jaar noteerden we een aanval met een snelheid van 4 Gbit per seconde. Doordat de problemen zich dan zo snel verspreiden, ontstaat er snel veel hinder, ook bij bedrijven en personen die geen rechtstreeks doelwit zijn van de aanval.

Welk type aanvallen ziet u vandaag het meest?

Jose Nazario: Er zijn veel actieve botnets. Die proberen we te viseren en uit te schakelen vóór ze een eigenlijke aanval hebben uitgevoerd. Lukt dat niet, dan bieden we tools aan om de attack traffic af te leiden en aan te pakken. Packet floods is een andere methode die we alsmaar vaker zien. Het is een aanval die vaak in politieke conflicten opduikt, omdat ze erop gericht is de internetcommunicatie van de tegenpartij lam te leggen. We hebben packet floods gezien in het conflict tussen Rusland en Georgië, maar ook bij de problemen in Koerdistan en Myanmar. De aanvallen zijn veel gesofisticeerder dan pakweg tien jaar geleden. Vroeger was een aanval veel meer op de infrastructuur gericht. Vandaag zien we ook aanvallen op de applicatielaag. Het gaat trouwens om een globaal fenomeen, met een zwaartepunt in de Verenigde Staten, China en Rusland. Ook grote internetgebruikers zoals Duitsland en Brazilië zijn interessant voor aanvallers.

Wat is het motief voor een aanval?

Jose Nazario: Een internetaanval kan een politiek wapen zijn, waarmee een bepaalde organisatie haar tegenstanders monddood maakt. Doorgaans is de motivatie louter financieel. Een bedrijf kan een cybercrimineel inhuren om de business van de concurrentie te verstoren. Soms gaat het om pure afpersing. Betaal je de afpersers niet, dan sturen ze een internetaanval op je af en leidt je bedrijf schade. Vroeger was het domein van virussen, wormen en andere aanvallen het speelveld van amateurs. Vandaag is het bijna altijd mogelijk een duidelijke, financiële link te leggen. Zo was er een tijd geleden een zware aanval op een aantal Canadese pokersites. Uit onderzoek bleek daar een stel Russen achter te zitten die op die sites veel geld hadden verloren. Ze hadden als wraak iemand ingehuurd die de sites liet crashen.

Wie loopt het meeste risico op een internetaanval?

Jose Nazario: Iedereen kan er last mee krijgen, zowel kmo’s als grote bedrijven. Maar we mogen zeker niet veralgemenen. Internetaanvallen blijven vrij uitzonderlijk. Maar uiteraard bestaat het risico. Stel dat een internetaanval erin slaagt een isp uit de lucht te halen, dan hebben ook de duizenden klanten van die isp daar onmiddellijk last van. Vandaag zijn vooral grote bedrijven het doelwit van de aanvallen. Bij die bedrijven zit vaak veel geld. Dat weten afpersers uiteraard ook. Alleen vergeten ze soms dat die grote bedrijven ook het budget hebben om zich heel goed tegen zo’n aanval te beschermen. Banken, online retailers en andere grote bedrijven nemen voldoende maatregelen. Ze willen liever geen business verliezen omdat hun website een tijd niet bereikbaar is, om nog niet te spreken van de imagoschade die het gevolg is van een geslaagde aanval.

Dries Van Damme