Wat gebeurt er in dat routerbrein van jou?Sean Gallup/Getty Images Het populaire rechtse webportaal, Het Drudge-rapport , werd vorige week even offline gehaald. Dit soort incidenten zullen alleen maar vaker voorkomen totdat beleidsmakers of technologiebedrijven serieus gaan werken aan het repareren van aangesloten gadgets, ook wel bekend als het internet der dingen (IoT).
In een sindsdien verwijderd bericht, heeft het geverifieerde @DRUDGE-account van de site op Twitter vorige week gepost: Valt de Amerikaanse regering DRUDGE REPORT aan? Grootste DDoS sinds de oprichting van de site. ZEER verdachte routing [en timing], aangezien de International Business Times meldde: .
The Drudge Report reageerde vrijdag niet op een verzoek om meer details over de verdachte timing en routing.
Het verkeer van het Drudge Report is gigantisch. Vergelijkbare Web schatte dat het zag 178 miljoen bezoeken in november en dat bijna 80 procent van dat verkeer rechtstreeks was. Met andere woorden, in plaats van erop te klikken vanaf Facebook of het te vinden in de zoekresultaten, typten bezoekers de URL rechtstreeks in hun browser of ze hebben het ingesteld als de pagina die hun browser opent bij het opstarten.
Het belang van Drudge voor andere uitgevers kan niet genoeg worden benadrukt. Naast het vermogen om een brandslang van verkeer naar andere sites te leiden, fungeert de zorgvuldige samenstelling van de oprichter, Matt Drudge, als een soort keurmerk voor sites die de goedkeuring zoeken van een van de weinige mensen in de Amerikaanse media die in staat zijn om in zijn eentje het nationale gesprek aansturen.
Voor degenen die het nog niet hebben bezocht, is de site overweldigend gewijd aan links naar andere sites. Webanalyseplatform Parse.ly schat momenteel dat 0,7 procent van al het verwijzingsverkeer naar sites die het controleert afkomstig is van Drudge. Dat is drie keer meer dan Reddit, slechts 0,1 procent achter Google Nieuws.
Wat is een DDoS-aanval?
De term wordt de laatste tijd zo vaak gebruikt dat mensen hem misschien lezen zonder te weten wat het is. Vaak aangeduid als een hack, dat is enigszins discutabel. Sommigen zullen misschien beweren dat een DDoS-aanval niet meer een hack is dan een deur intrappen is een slot openbreken.
DDoS verwijst naar gedistribueerde denial of service. Het overstelpt een site (of netwerkknooppunt) met verkeer van meerdere bronnen. Er is zoveel verkeer dat de site niet meer beschikbaar is voor legitieme bezoekers, maar een DDoS-aanval doet niets met de site zelf (behalve dat het mogelijk door het hostingbudget loopt). Zodra een DDoS-aanval voorbij is, is de site er, zoals altijd, onbeschadigd.
Bruce Schneier beschreef een DDoS-aanval in reële termen op deze manier : stel je voor dat een stel mensen alle bezorgdiensten in de stad tegelijk belde en ze allemaal vroegen om iets bij je thuis te bezorgen. Je huis is in orde, maar niemand kan er bij omdat de wegen eromheen verstopt zijn.
In die zin hacken DDoS-aanvallen de doelsite niet echt. Er zijn echter veel manieren om een DDoS-systeem te bouwen, en dat is waar de slimheid in het spel komt.
Tegenwoordig zijn DDoS-systemen afhankelijk van het hacken van hun wapens, dit zijn gecompromitteerde apparaten die met internet zijn verbonden (zoals routers, printers, tv's en dergelijke). Ironisch genoeg zijn beveiligingscamera's waarschijnlijk de gevaarlijkste . Consumenten kopen slimme thuisgadgets, veranderen nooit de fabrieksgebruikersnaam en het wachtwoord en dat maakt ze kwetsbaar voor toegang op afstand door criminele software.
De software vindt deze apparaten, plaatst er wat code op en stuurt ze vervolgens om verzoeken naar specifieke IP-adressen te sturen wanneer er een aanval plaatsvindt. De gebruiker van het apparaat zal het waarschijnlijk niet merken. Een verzoek van een enkel apparaat zou ook niet voldoende zijn om een site te beïnvloeden, maar wanneer het wordt vermenigvuldigd met honderdduizenden, kan het voldoende zijn om een site te sluiten.
Deze methode wordt een botnet genoemd. Je babyfoon of slimme koelkast kan bijdragen aan botnetaanvallen en je zou geen idee hebben.
We hebben eerder gerapporteerd over drie strategieën om botnets te verslaan.
Wie sloeg het Drudge Report?
Dit is in feite een onmogelijke vraag om te beantwoorden, zoals de verzwarende aard van een gedistribueerde aanval. Hackers maken het moeilijker om de aanvaller toe te wijzen door hun software open source te maken. Het Mirai-botnet bijvoorbeeld, dat de internetinfrastructuurdienst nam Je offline in oktober, is open source. Het opzetten van een botnet is niet triviaal, maar de beschikbaarheid van de code betekent dat er meer dan een paar tegenstanders zijn die de software kunnen gebruiken.
De aanval op de site lijkt kort te zijn geweest op basis van de berichtgeving. IB Times schreef dat het rond 19.00 uur begon. De Washington Times gecontroleerd om 20:30 uur en het was weer up, dus het kon niet langer dan 90 minuten zijn geweest.
Er zijn DDoS-verhuursites die honderden gigabits aanvalsverkeer op een site lanceren en per minuut opladen, Matthew Prince, de CEO van Cloudflare , een bedrijf dat sites helpt tegen DDoS-aanvallen, schreef in een e-mail. De kosten van deze services zijn relatief laag, waarschijnlijk minder dan $ 1.000 voor een aanval van 90 minuten. The Drudge Report is geen klant van Cloudflare.
Als we meer zouden weten over de aard van de aanval, zou de verfijning van de tegenstander iets kunnen zeggen over zijn identiteit.
Het aantal actoren dat de meest geavanceerde aanvallen kan plegen is nog vrij beperkt, zegt Andy Yen, medeoprichter van Protonmail , vertelde de waarnemer in een e-mail. Over het algemeen is de verfijning van de aanval een goede indicator, bijvoorbeeld wat de aanvalsvectoren zijn, hoeveel netwerkpunten tegelijkertijd worden geraakt en hoe snel de aanvallers in staat zijn om verdedigingsmaatregelen tegen te gaan.
Protonmail biedt versleutelde e-maildiensten. Het onbespioneerbare communicatiesysteem heeft een doelwit op zijn rug gezet. In 2015 werd het getroffen door een twee-tegen-een DDoS-aanval, zo meldde de Braganca. Yen legde uit dat het bedrijf wist dat de grootste van de twee treffers slecht was toen duidelijk werd dat zijn aanvallers meerdere Europese knooppunten raakten om het voor de dienst moeilijker te maken om het verkeer eromheen te leiden. Dat soort verfijning gaf aan dat het te wijten was aan iets geavanceerders dan een cyberbende, misschien zelfs een natiestaat.
Zullen DDoS-aanvallen erger worden?
Het ziet er zo uit, maar niet iedereen is het daarmee eens.
Verisign heeft zojuist een rapport uitgebracht waarin staat dat het aantal aanvallen zijn afgenomen , zelfs als hun omvang was toegenomen. Klanten van Verisign zagen dit jaar veel grotere aanvallen dan vorig jaar, maar de aanvallen zijn in de loop van het jaar ook afgenomen. Het rapport beslaat alleen het derde kwartaal van vorig jaar en valt net onder de periode die de epische aanvallen op Krebs en Dyn omvatte; Verisign observeerde in die periode echter wel een recordaanval op een van zijn klanten.
Er is weinig marktprikkel om het probleem op te lossen, zoals: Schneier uitgelegd op zijn blog. Een consument koopt een aangesloten nanny cam. Af en toe checkt hij het op zijn telefoon. Het lijkt te werken. Hij is blij. De fabrikant is al betaald. Het is gelukkig. Ondertussen stuurt het een van de miljoenen pings naar een site die wordt aangevallen. Het slachtoffer van de aanval was helemaal niet betrokken bij deze transactie.
Elke dag stappen meer cybercriminelen in de DDoS-as-a-Service-business, terwijl overheden en hardwaremakers treuzelen. De Merkle meldt dat de branche alleen maar winstgevender wordt. Veteranen verdienen in feite geen geld door aanvallen uit te voeren, maar door betaald te worden door andere aanvallers om hen te helpen begin .
Nu de Mirai-broncode open source is en de effectiviteit ervan is bewezen, beginnen meer mensen die op zoek zijn naar snel geld eraan te beginnen. Met meer spelers op de markt zal de prijs dalen. Pro's zullen de Mirai en andere codebases gaan aanpassen en het zal evolueren. Imperva heeft zelfs al gedetecteerd een nieuw 650Gbps botnet-kanon wiens handtekening verschilt van Mirai.
Zoals Brian Krebs (wiens site vorig jaar werd getroffen door zijn eigen gigantische aanval) heeft gemeld, hebben veel IoT-apparaten begon te veranderen het standaardwachtwoord bij het instellen. Dat is allemaal goed en wel, maar mensen zijn slecht in het kiezen van wachtwoorden. Zoek naar de volgende iteratie van Mirai, probeer de top 1000 van meest gebruikte wachtwoorden. Uiteindelijk zouden ze AI kunnen gebruiken om wachtwoorden te raden.
Nieuwe producten zijn ook niet geschikt voor oude apparaten waarvan gebruikers zich misschien niet eens herinneren dat ze verbonden zijn met internet. Hoeveel duizenden kleine bedrijven hebben routers en printers waar ze al jaren niet echt over nagedacht hebben en waar ze vandaag zeker geen tijd voor hebben?
Wat kan ik doen?
Niet veel, maar dit zou geen kwaad kunnen: zoek uit hoe u toegang krijgt tot de administratieve kant van elk apparaat dat u met internet hebt verbonden. Zet het uit. Koppel het los. Zet het weer aan, log in op de back-end en verander het wachtwoord in iets raars.
Het kan ook geen kwaad om uw gekozen leiders te laten weten dat u wet- en regelgeving wilt zien die makers van verbonden apparaten verplicht om het internet te beschermen.
