Hoe een leger van slecht beveiligde gadgets het internet deels plat kon leggen
Degene die vrijdag de aanval inzette op dns-provider Dyn maakte gebruik van het Mirai-botnet, wat bestaat uit een hoop slecht beveiligde gadgets die met het internet verbonden zijn. Door de aanval was een deel van het internet een aantal uur niet bereikbaar. Hoe kon dit gebeuren?
Vrijdagavond Belgische tijd werd Dyn getroffen door de grootste Ddos-aanval ooit. De servers van het bedrijf werden overladen met verzoeken waardoor ze overbelast raakten. Dit had grote gevolgen, want Dyn is een DNS-provider. Die zorgt ervoor dat mensen die de domeinnaam van een website intypen uitkomen op de juiste server en hierdoor de juiste site te zien krijgen. Met een aanval op zo’n provider kan de juiste website niet bereikt worden en kunnen hackers veel sites tegelijk platleggen.
Chinees bedrijf is deels verantwoordelijk
Verschillende beveiligingsbedrijven zeggen dat hiervoor het Mirai-botnet gebruikt dit. Dit netwerk bestaat uit 50.000 tot 100.000 geïnfecteerde apparaten als beveiligingscamera’s en koelkasten, die met het internet verbonden zijn – oftewel het Internet of Things. De hacker die verantwoordelijk is voor het maken van het Mirai-botnet zette in september de broncode hiervan online, waardoor iedereen het kan gebruiken om een eigen aanval op te zetten. De broncode scant het web naar IoT-apparaten die niet goed beveiligd zijn en gebruikt ze dan om servers te overladen met verkeer tot de server het niet meer aan kan.Veel van de gebruikte apparaten zijn afkomstig van het XiongMai Technologies. Dit bedrijf maakt componenten die in apparaten van andere bedrijven gezet worden.
Het Chinese bedrijf gaf zondag toe dat zijn apparaten deels verantwoordelijk zijn voor de aanval. Xiongmai Technologies gebruikt standaardwachtwoorden die voor ieder apparaat hetzelfde zijn, hierdoor kunnen hackers ze makkelijk gebruiken voor een Ddos-aanval. Gebruikers van nieuwe apparaten wordt gevraagd of ze het wachtwoord willen veranderen, maar bij oudere apparaten van het bedrijf is er een groot probleem: het wachtwoord is hardcoded in de firmware en de tools die nodig zijn om dit te veranderen bestaan momenteel niet.
Het is dus nu niet goed mogelijk om het Mirai-botnet uit te schakelen, tenzij alle apparaten binnen dit netwerk van het internet afgesloten worden – wat niet erg waarschijnlijk is omdat ze zeer wijdverspreid zijn en veel mensen die zo’n apparaat hebben hiervan niet op de hoogte zijn.
Aanval te koop voor 7.000 euro
Eerder zorgde het Mirai-botnet er al voor dat de site van beveiliger Brian Krebs – of KrebsonSecurity – platgelegd werd. Beveiligingsbedrijf RSA zegt tegen Forbes dat dit botnet in te schakelen is voor bedragen tussen de 4.000 en 7.000 euro.
‘Iemand probeert het internet plat te leggen’
In september schreven we al dat er iemand het volledige internet plat probeert te leggen. Dat beweerde beveiligingsspecialist Bruce Schneier. Hij is een autoriteit op vlak van beveiliging en deelt regelmatig zijn mening en inzicht op securityproblematiek. In een blogbericht waarschuwt hij er voor dat bedrijven die kritieke onderdelen van het internet beheren de afgelopen twee jaar geleidelijk aan zeer gerichte aanvallen te verwerken krijgen. Die hebben niet het doel om alles plat te leggen, maar wel op te kijken hoe een organisatie zich verdedigt.
Schneier vermoedt dat de aanvallers op zoek zijn naar het breekpunt van elke organisatie. Als een overheid er in slaagt om het internet plat te leggen door een aantal cruciale punten gericht aan te vallen dan kan dat ernstige gevolgen hebben.
Fout opgemerkt of meer nieuws? Meld het hier