De recente aanvallen op grote bekende websites bevestigen het gevaar waarvoor organisaties als het Cert (Computer Emergency Response Team) al langere tijd waarschuwen. De gebruikte aanvalsmethodes die vorige week sites als Yahoo, CNN, eBay, Buy.com, Etrade, ZDnet en Amazon platlegden, zijn dan ook zeker niet nieuw. Effectief beveiligen is vooral een kwestie van op de hoogte blijven.
De aanvallen vonden plaats middels een zogenoemde gedistribueerde denial of service. Daarbij zijn meerdere computers van tevoren gekraakt om vervolgens via een piramide-structuur vanaf diverse systemen een bepaalde site te overspoelen met informatie-aanvragen. Die overvloed aan data-pakketten zorgt ervoor dat het doelwit platgaat, en staat los van eventuele gaten in de gebruikte systeem- en serversoftware.
Waarschuwing
Het is dan ook schrijnend dat het Cert reeds begin december een gedetailleerd rapport heeft uitgebracht waarin het waarschuwt voor dit type aanvallen. De organisatie identificeert een aantal specifieke hulpmiddelen die – in verkeerde handen – schade kunnen aanrichten. Op 3 januari publiceerde het Cert nog eens een aanvullend rapport waarin het voorspelt dat krakers in toenemende mate denial of service-aanvallen zullen uitvoeren. De gebruikte aanvalsprogrammatuur is namelijk steeds gebruiksvriendelijker en dus makkelijker in te zetten. Dit kan veel geld kosten.
De schade die Yahoo opliep, bedraagt volgens eigen schatting van het webportaal slechts een miljoen dollar, doordat web-advertenties enkele uren niet beschikbaar waren. Onderzoeksbureau The Yankee Group schat dat de totale schade van de getroffen bedrijven uitkomt op minstens 1,2 miljard dollar. Dat bedrag bestaat uit misgelopen inkomsten en kosten voor het opwaarderen van de beveiliging.
Harde aanpak
Inmiddels mengen zowel de Amerikaanse als de Europese overheid zich in de heikele kwestie van Internet-beveiliging. De Europese Commissie (EC) formuleert nu richtlijnen om Internet-criminaliteit aan te pakken. Deze regels moeten deze zomer gereed zijn voor implementatie door de Europese lidstaten. De nadruk ligt hierbij op een grotere verantwoordelijkheid van Internet-aanbieders, die ondernemingen dienen hun klanten te voorzien van effectieve beveiligingsmethoden, zoals encryptie. Daarnaast ontwikkelt de EC plannen om wetshandhavers en het publiek voor te lichten over zaken als online-beveiliging en elektronische handel.
Ook de Amerikaanse minister van Justitie Janet Reno belooft een harde aanpak en de FBI is al bezig met de opsporing. Probleem is dat die overheidsdienst relatief weinig ervaring heeft op dit terrein. Het feit dat de FBI kort na de aanvallen een gratis detectieprogramma aanbood, is een goedbedoeld gebaar dat zijn doel echter mist. Behoedzame systeembeheerders gebruiken de software niet, omdat de broncode van de FBI-programmatuur niet verkrijgbaar is. Bovendien is de overheidsdienst nieuw op dit terrein en heeft het dus geen vertrouwwekende reputatie.
Samenwerken
Die argwaan geldt in mindere mate ten aanzien van de diverse leveranciers van commerciële beveiligingssoftware. Ook zij houden hun broncode dicht aan de borst, maar zijn tenminste aansprakelijk te houden en bieden ondersteuning voor hun producten. Om die reden heeft de FBI inmiddels de handen ineen geslagen met leverancier Network Associates om een beschermingsmiddel te ontwikkelen. Ook andere IT-beveiligers haasten zich om in te springen op de nu opgelaaide angst voor Internet-krakers.
De kwaadwillenden hebben met hun acties simpelweg een zwakke plek van Internet onder de publieke aandacht gebracht en daarmee het belang van beveiliging benadrukt. Zeker met het oog op de groeiende elektronische handel is het tijd dat gebruikers en bedrijven zich bewust zijn van de gevaren. Het is aan overheid en bedrijfsleven om gezamenlijk preventieve maatregelen te treffen. JB