De recente aanvallen op websites bevestigen het gevaar waarvoor organisaties als Cert (Computer Emergency Response Team) al langere tijd waarschuwen. De aanvalsmethodes die vorige week grote sites platlegden, zijn niet nieuw. Effectief beveiligen is vooral een kwestie van op de hoogte blijven.
denial of service. Daarbij zijn meerdere computers van tevoren gekraakt, om vervolgens via een piramide-structuur vanaf diverse systemen een bepaalde site te overspoelen met informatie-aanvragen. Die overvloed aan data-pakketten zorgt ervoor dat het doelwit plat gaat, en staat los van eventuele gaten in de gebruikte systeem- en serversoftware.
Cert bracht begin december 1999 een gedetailleerd rapport uit waarin het waarschuwt voor dit type aanvallen. De organisatie identificeert een aantal specifieke hulpmiddelen die – in verkeerde handen – schade kunnen aanrichten. Op 3 januari volgde een aanvullend rapport, waarin Cert voorspelt dat krakers in toenemende matedenial of service-aanvallen zullen uitvoeren.
De Europese Commissie formuleert nu richtlijnen om Internet-criminaliteit aan te pakken. Die moeten deze zomer gereed zijn voor implementatie door de lidstaten. De Amerikaanse overheid belooft een harde aanpak. Kort na de aanvallen bood de FBI een gratis detectieprogramma aan. Behoedzame systeembeheerders gebruiken dat niet, omdat de broncode ervan niet verkrijgbaar is, en omdat de FBI geen softwareleverancier is.
Ook leveranciers van commerciële beveiligingssoftware houden hun broncode bij zich, maar ze zijn aansprakelijk te houden en ondersteunen hun producten. De FBI werkt nu samen met Network Associates om een beschermingsmiddel te ontwikkelen. Ook andere IT-beveiligers spelen in op de opgelaaide angst voor Internet-krakers. Wat Cert niet lukte, is hun wel gelukt; ze hebben een zwakke plek van Internet onder de publieke aandacht gebracht, en daarmee het belang van beveiliging benadrukt.
