De nieuwe realiteit van Hacktivisten

Hacktivisme en datalekken. Het zijn twee hardnekkige trends die de internetwereld in toenemende mate in hun greep houden. Dat het onderwerp in de belangstelling staat, komt mede door de activiteiten van een groepering als Anonymous. Hun Distributed Denial of Service (DDoS) aanvallen brachten nogal wat bedrijven en organisaties negatief in het nieuws. Hieruit kunnen we met oog op de toekomst een aantal belangrijke lessen trekken.

De term ‘Hacktivisme’ komt voort uit het feit dat activisten zich de afgelopen jaren ook online meer en meer zijn gaan verenigen. Het doel van deze groeperingen is doorgaans om internetdiensten van organisaties te verstoren, en daarmee een politiek statement te maken. Eind 2010 werden banken en betalingsinstanties bijvoorbeeld het doelwit van een georganiseerde aanval nadat ze weigerden om betalingen ten behoeve van de Wikileaks stichting te verwerken. De scripts die websites van grote organisaties onbereikbaar maken, zijn meestal verrassend eenvoudig. Tegelijkertijd gaan hacktivisten goed georganiseerd te werk, bijvoorbeeld door vanaf verschillende kanten tegelijkertijd DNS servers en webservers aan te vallen en onbereikbaar te maken.

In het verleden concentreerden aanvallen zich voornamelijk op zoveel mogelijk en zo groot mogelijk pakketten te versturen zodat een verbinding dichtslibt of netwerkinfrastructuur overbelast raakt. Dat werkt tegenwoordig steeds minder goed. 10 Gigabit-verbindingen zijn allang geen uitzondering meer en ook de achterliggende netwerk infrastructuur kan steeds meer verkeer verwerken. Met de voortschrijdende techniek is de focus van aanvallen verschoven naar de achterliggende infrastructuur: overbelasten van webservers, DNS services of database servers. Een recente enquête van Radware, leverancier van security en application-delivery oplossingen, laat zien dat 32% van de aanvallen een volume van minder dan 10 Megabit per seconde hebben.

Detectie
Hackers verschuiven dus hun activiteiten van het overbelasten van netwerken naar zogenoemde multi-vector aanvallen, waarbij meerdere lagen van de infrastructuur tegelijk doelwit zijn. Dat maakt het beveiligen van netwerken met alleen een firewall onvoldoende, ook omdat legitieme gebruikers toegang hebben tot de specifieke diensten waar hacktivisten zich op richten. De sleutel tot het oplossen van dit probleem ligt in detectie: we hebben een manier nodig om legitieme gebruikers te onderscheiden van niet-legitieme. Als we daarvoor een methode hebben, dan is het relatief eenvoudig om het verkeer van niet-legitieme gebruikers uit het binnenkomende verkeer te filteren.

Een beproefde detectiemethode om aanvallen te herkennen zijn signatures, een soort digitale ‘handtekening’. Nadeel hiervan is dat een aanvalsmethode reeds bekend moet zijn en dat de betreffende handtekening al in het Intrusion Prevention System (IPS) aanwezig moet zijn. Dat betekent dat deze methode een zogenoemde Zero-day aanval niet zal kunnen tegenhouden. Een voordeel is dat er weinig processorcapaciteit nodig is om aanvallen op deze manier te herkennen, waardoor er geen noemenswaardige gevolgen zijn voor de snelheid van een netwerk.

Een andere methode is het herkennen van netwerkgedrag. Door profielen te maken van de distributie van protocollen, normale bandbreedtes, en andere kenmerken wordt het mogelijk om aanvallen te herkennen en hier dynamische handtekeningen van samen te stellen. Deze methode legt een groter beslag op de rekencapaciteit omdat het IPS de pakketten moet analyseren, maar is effectief tegen onbekende aanvallen. Een relatief nieuwe methode is om de validiteit van een browser of applicatie doormiddel van een cookie of redirect vast te stellen. Als een bezoeker of gebruiker hier op de juiste wijze op reageert, kan het systeem concluderen dat een IP-adres valide is en dat er een werkende applicatie achter zit. De hedendaagse bots zijn niet in staat om hier op de juiste manier mee om te gaan, omdat dit ook aan de gebruikerskant resources kost.

Tegenaanval
Een interessante stap die fabrikant Radware recentelijk heeft ingezet, is het in het leven roepen van een Emergency Response Team (ERT) om klanten bij een eventuele aanval terzijde te staan. Dit ERT verzamelt informatie over aanvallen, bijvoorbeeld door bekende aanvalsmethodes te testen. Interessant is dat door aanvallers gebruikte programma’s en scripts ook door mensen geschreven zijn, en dus vatbaar voor een tegenaanval. Zo kan een Intrusion Prevention System een TCP-sessie langer open houden, waardoor de computer van de aanvaller uit zijn sessies gaat lopen en eventueel zelfs kan crashen. De realiteit leert dat partijen die afhankelijk zijn van het internet, rekening moeten houden met aanvallen. Voor content providers, maar ook hostingbedrijven kunnen DDoS aanvallen ernstige financiële consequenties hebben. Alleen daarom al zouden dit soort organisaties moeten kijken naar meer geavanceerde oplossingen dan firewalls om de beschikbaarheid van hun diensten te garanderen.


Gert-Jan de Boer is IT Specialist bij aaZoo en al ruim tien jaar actief als netwerk/security specialist voor diverse organisaties. aaZoo is een IT-dienstverlener gespecialiseerd in het ontwerpen, bouwen en beveiligen van internet omgevingen.