Het economisch model en de geschiedenis achter een DDoS-aanval

Misdadigers komen pas op de proppen of gaan maar aan de slag wanneer er geld te verdienen valt. Maar waar zit de winst bij een DDoS-aanval? Want in een eerdere blogpost over de definitie van DDoS vertelden we dat er bij zo’n aanval geen inbraak of diefstal plaats vindt. DDoS-aanvallen zijn om een aantal andere redenen interessant voor misdadigers.

Afpersing

DDoS-aanvallen kunnen onderdeel uitmaken van een afpersingsplan. Misdadigers zorgen ervoor dat je website of netwerk (regelmatig) onbereikbaar is zolang je geen losgeld betaalt. Vergelijk het met de maffia die je tegen betaling ‘bescherming’ biedt tegen eventuele schade door onbereikbaarheid van je website of server.

Er zijn weinig cijfers beschikbaar over de omvang van deze afperspraktijken. Bedrijven die er het slachtoffer van waren/zijn, houden de lippen stijf op mekaar. Enerzijds uit angst voor imagoschade, anderzijds om niet nog meer misdadigers te lokken door toe te geven “we zijn kwetsbaar en bereid te betalen”.

 

Aandacht afleiden

DDoS-aanvallen worden soms ook gebruikt als afleiding. Wanneer men ergens een grote brand sticht, reppen alle hulpdiensten zich naar die brand. Idem bij een DDoS-aanval, waarbij vaak de rest van de beveiliging even uit het oog verloren wordt. Het ideale moment voor misdadigers om zich een weg naar binnen te forceren. In dit geval wordt een DDoS-aanval wel degelijk door hackers gebruikt: niet om rechtstreeks schade aan te richten, maar om de aandacht af te leiden en andere misdaden te verbergen.

 

DDoS op bestelling

Bepaalde organisaties of bedrijven hebben er voordeel mee dat andere bedrijven of organisaties (tijdelijk) onbereikbaar zijn. Misdadigers spelen daar graag op in en bieden via duistere websites hun diensten aan. Een DDoS-aanval bestellen is niet moeilijk en zelfs niet duur. Je kan met weinig inzet en weinig middelen toch grote schade berokkenen. Dat is net het weerzinwekkende van zo’n aanval.

 

Scriptkiddies

Alle andere aanvallen zijn het werkterrein van een groep die men meestal scriptkiddies noemt. Misnoegde tieners, actiegroepen, protestbewegingen, enz. die een beetje hun weg vinden op het internet, kunnen zonder enig probleem een script downloaden of een duistere organisatie enkele tientallen euro’s betalen om een uur lang eender welke website neer te halen.

 

De allereerste: een 13-jarige scholier

De eerste gekende DoS-aanval had plaats in 1974 en staat op naam van David Dennis, een 13 jarige scholier van een middelbare school verbonden aan de Computer-Based Education Research Laboratory (CERL) van de Universiteit van Illinois.

CERL had een reeks terminals staan waarop men geautomatiseerde lessen gaf, PLATO genaamd. David ontdekte dat elke terminal een commando ext, afkorting van external, kende. Dat commando gaf de terminals de opdracht te luisteren naar de input van een extern toestel. Als er geen extern toestel aan de terminal gekoppeld werd om input te geven, ging de terminal hier permanent op wachten en liep hij vast. Enkel het heropstarten van de terminal kon dan nog soelaas brengen.

Als nieuwsgierige 13-jarige ging David aan het experimenteren en zocht hij uit of dit commando ook extern kon doorgegeven worden aan de terminal. Hij schreef een programma dat het ext-commando tegelijk aan alle PLATO-terminals gaf en trok ermee naar het CERL. Minuten later moesten alle 31 gebruikers vaststellen dat hun terminal gecrasht was en dat enkel een heropstart hen weer liet verder werken. De eerste DoS aanval was geboren (belangrijk: het was nog geen DDoS-aanval).

Het hoeft niet te verbazen dat David al snel betrapt werd en dat men de software van de terminals zodanig aanpaste dat ze het ext-commando niet meer van buitenaf accepteerden.

 

Op grotere schaal: IRC-chatkanalen

DoS-aanvallen werden in de jaren negentig erg populair op de IRC-chatkanalen. IRC was immers zodanig geschreven dat degene die een chatkanaal opende, meteen ook de administrator ervan was. Deze admin had alle macht en kon anderen van een kanaal verwijderen, gebruikers blokkeren, het onderwerp te veranderen enz.

Omdat verschillende IRC-servers met mekaar praatten, kwam het erop aan om één van de zwakke schakels te overbelasten. Op die manier werd een gebruiker met admin-rechten of zelfs een hele groep van een IRC-chatkanaal gegooid en had de aanvaller de handen vrij om zelf admin te worden.

De oplossing bestond erin om meerdere bots (programma’s die op een bepaald kanaal meeluisterden) te programmeren en die admin-rechten te geven. Van zodra een bepaalde user online kwam, gaf de bot hem dan ook admin-rechten. Een aanval was vanaf dan enkel nog succesvol als de aanvaller erin slaagde om alle admins én hun bots tegelijk uit te schakelen.

 

Trinoo: de geboorte van DDoS

Vanaf 1999 zagen we de eerste DDoS-aanvallen de kop opsteken. De universiteit van Minnesota was een van de eerste slachtoffers toen een hacker met zijn tool Trinoo aan de slag ging.

Het netwerk van de universiteit was twee dagen onbereikbaar, vooral omdat men eerst niet doorhad wat er precies aan de hand was. De hacker had echter geen moeite gedaan om de origine van de aanval te verbergen en zo kon men na twee dagen dan toch het DDoS-verkeer een halt toeroepen.

 

Stacheldraht & Omega: DDoS wordt professioneler

Een volgende belangrijke stap in het ecosysteem van DDoS-tools was de geboorte van Stacheldraht, Duits voor prikkeldraad. Stacheldraht kan zichzelf van op afstand updaten en het verkeer spoofen (de echte origine van netwerkverkeer verbergen door een valse afzender in de IP-pakketten op te nemen).

De tool Omega verdient ook een vermelding omdat het als een van de eerste tools in staat was statistieken te verzamelen over de aanval en zo aanvallers de nodige info te geven hoe men de aanval nog beter kon richten.

 

DDoS wordt nieuws

Vanaf 2000 trokken DDoS-aanvallen de aandacht van het grote publiek. Aanvallers beschikten over steeds meer tools en computers die permanent aangesloten waren op het internet. Op die manier konden ze ook hun pijlen richten op grotere doelwitten.

Verschillende bedrijven, overheidsinstanties en financiële instellingen werden het slachtoffer van deze verdere professionalisering. Maar de aandacht van het grote publiek en de media werd écht getrokken toen men in 2002 de 13 rootservers van het internet ging aanvallen.

Die servers leiden het verkeer op het internet in goede banen dankzij het gebruik van IP-adressen. Die IP-adressen worden door Dynamic Name Servers (DNS) dan weer omgezet in bruikbare namen. Zo wordt bijvoorbeeld www.combell.com vertaald naar het juiste IP-adres.

De rootservers staan dus aan de top van de piramide en kunnen als eerste en enige de weg wijzen op het internet. De poging om die servers onbereikbaar te maken, was dan ook een aanval op het hele internet. De aanval duurde ongeveer een uur en kon uiteindelijk afgewend worden zonder al te veel overlast. Maar de media en het grote publiek hadden meteen wel kennis gemaakt met de (potentiële) impact van een DDoS-aanval.

 

De georganiseerde misdaad komt in beeld

Voor 2000 waren de meeste aanvallen het werk van computernerds en scriptkiddies: mensen die op zich geen kwaad in de zin hebben, maar graag wilden pochen met hun verwezenlijkingen. Vandaag zijn scriptkiddies nog steeds verantwoordelijk voor een groot deel van de (kleinere) DDoS-aanvallen.

De echt vervelende DDoS-aanvallen worden echter georchestreerd door de georganiseerde misdaad. Zij organiseren aanvallen om er munt uit te slaan. Daarnaast zijn er nog de maatschappelijk geïnspireerde aanvallen. Bepaalde extremistische websites raken amper nog online, omdat tegenstanders of actiegroepen ze met veel plezier bestoken met DDoS-aanvallen.

Tenslotte mag je er donder op zeggen dat ook iedere grote inlichtingendienst tegenwoordig een afdeling cyberoorlog heeft om netwerken en toepassingen van de politieke tegenstanders aan te vallen indien nodig.

 

Het kan goed zijn dat wanneer u dit leest, er alweer nieuwe tools en technieken opgedoken zijn. De geschiedenis van de DDoS-aanval is zeker nog niet ten einde.

Download ons DDoS e-book