Wat hebben een waterkoker, koelkast en een speelgoedpop met elkaar gemeen? Wanneer ze aan het internet hangen kunnen deze alledaagse voorwerpen gebruikt worden voor een Distributed Denial of Service, ofwel een DDoS-aanval. Nu voor dit soort aanvallen steeds vaker apparaten uit Nederlandse huishoudens worden gebruikt, dient zich een complex vraagstuk aan: wie is verantwoordelijk voor de beveiliging? “De meeste mensen hebben er geen benul van dat deze apparaten ook gehackt kunnen worden en mee kunnen doen met een DDoS-aanval”, zegt Aiko Pras, hoogleraar Internet Veiligheid aan de Universiteit Twente.
Platleggen van betalingsverkeer
Bij een DDoS-aanval wordt vanuit een netwerk van computers zoveel verkeer naar een bepaald doel gestuurd, dat het doel eronder bezwijkt, licht Pras toe. “Stel dat alle bewoners van een gemeente tegelijkertijd een subsidieaanvraag indienen, terwijl er maar drie ambtenaren zijn om al deze verzoeken af te handelen. Wanneer zij opeens honderdduizend aanvragen binnenkrijgen, kunnen ze dat niet aan. Zo werkt een DDoS-aanval ook.” Met een dergelijke aanval probeert een hacker het doel uit te schakelen en de werking ervan te saboteren. Het kan gaan om een webserver die niet meer in de lucht is, een bank waarvan het betalingsverkeer wordt stilgelegd of het automatiseringssysteem van een brug die niet meer open kan.
De motieven van hackers voor het uitvoeren van een DDoS-aanval lopen sterk uiteen. Uit onderzoek blijkt dat een deel van de aanvallen wordt uitgevoerd door jongens in de leeftijd van 15 tot 20 jaar, die willen laten zien wat ze kunnen. Zo werd begin februari een achttienjarige jongen opgepakt die onder meer verdacht werd van het platleggen van de website van de Belastingdienst. Er zijn echter ook criminelen die DDoS-aanvallen uitvoeren in het kader van digitale afpersing. Zij hebben een businessmodel waarbij ze ondernemers dwingen om te betalen om hun website in de lucht te houden. Op termijn valt ook te verwachten dat naties DDoS-aanvallen gaan inzetten als politiek middel om het hun tegenstanders moeilijk te maken, ze onder druk te zetten en te manipuleren, denkt Pras. “De aanvallen die we nu zien zijn maar een fractie van wat zou kunnen. Het is mogelijk om het internet in een land voor langere tijd – dagen of weken – plat te leggen.”
Geen ICT-achtergrond
Om te begrijpen hoe huishoudelijke apparaten die zijn aangesloten op het internet kunnen worden gebruikt in een DDoS-aanval, is het goed om te kijken naar het achterliggende mechanisme. Zoals gezegd bestaat een DDoS-aanval uit het versturen van heel veel verkeer naar een bepaald doel. Die grote hoeveelheid verkeer kan iemand niet alleen genereren en moet dus ergens vandaan worden gehaald. Dit kan bijvoorbeeld door computers te hacken en ze te laten meedoen in de aanval. “Tegenwoordig weten de meeste mensen echter wel dat het belangrijk is om een computer te updaten om misbruik te voorkomen. Bovendien staat een computer meestal uit als mensen hem niet gebruiken”, legt Pras uit.
Bij het Internet of Things (IoT) – denk aan waterkokers, koelkasten en ovens die verbonden zijn met het internet – is dat bewustzijn er veel minder. Dat deze apparaten niet goed beveiligd zijn, heeft echter niet alleen te maken met een gebrek aan bewustzijn bij de eindgebruiker. “Veel fabrikanten hebben helemaal geen ICT-achtergrond en lopen achter in het nadenken over internet en beveiliging. Denk aan een speelgoedpop die voor het eerst een internetverbinding krijgt”, zegt Alex de Joode van branchevereniging Nederland ICT.
Getrapt systeem
Omdat er niet één partij valt aan te wijzen die verantwoordelijk is voor de beveiliging van huishoudelijke apparaten, pleit Pras voor een getrapt systeem. Allereerst zou vanuit Europa een goedkeuringsstempel ontwikkeld moeten worden voor apparaten die cyberveilig zijn. Dit stempel zal afwijken van de meeste testen in de zin dat het niet voldoende is om eenmalig te kijken of een apparaat veilig is. Fabrikanten moeten een procedure ontwikkelen waarbij steeds software-updates worden uitgevoerd om veiligheidsfouten te verhelpen. “Die procedure moet goedgekeurd zijn en er moeten track records van zijn. Je moet echter niet de illusie hebben dat alle fabrikanten zich hier aan houden en dat alles wat op de markt komt een stempel zal krijgen”, waarschuwt de hoogleraar.
Bovendien kunnen consumenten via het internet producten bestellen uit China die niet voldoen aan de Europese normen en zo alsnog onveilige apparaten in huis halen. Eindgebruikers hebben dus ook een zekere verantwoordelijkheid om bij een aankoop na te gaan of een product voorzien is van een goede beveiliging. Tussen eindgebruiker en fabrikant zit soms nog een leverancier, die eveneens een belangrijke rol in de keten vervult. In veel 1-eurowinkels zijn bijvoorbeeld tablets te koop voor bodemprijzen. “Dan kun je verwachten dat ze niet veilig zijn. Je kunt je afvragen of zo’n winkel deze tablets dan wel moet verkopen”, geeft De Joode aan.
Updates en wachtwoord
Het invoeren van heldere regelgeving laat vermoedelijk nog wel even op zich wachten. Wat kunnen consumenten in de tussentijd doen om te voorkomen dat hun apparaten worden gebruikt voor een DDoS-aanval? De simpelste en veiligste optie is uiteraard om een koelkast of koffiemachine te kopen zonder internettoegang, zegt Pras. “Je moet niet denken dat alles wat je aan het internet hangt een verbetering is. De vraag is of je wel moet willen dat je kopje koffie klaarstaat als je ’s ochtends wakker wordt.” Wie toch gebruik wil maken van de voordelen van slimme huishoudelijke apparaten kan volgens De Joode veel risico’s afdekken door een kwaliteitsproduct te kopen. Dat is niet alleen van belang om DDoS-aanvallen te voorkomen, maar ook misbruik van persoonlijke gegevens. “We zetten tegenwoordig heel veel van ons leven op smartphones, tablets en digitale hartslagmeters. Als deze apparaten gebruikt kunnen worden voor een DDoS, betekent dat ook dat iemand anders toegang heeft tot jouw data.”
Hij raadt daarom aan om bij de aanschaf van nieuwe producten met internettoegang na te gaan of ze een updatefunctie hebben. Op het moment dat er dan een beveiligingslek optreedt, kan dat met een softwareupdate worden verholpen. Daarnaast is het verstandig om vast te stellen of het standaardwachtwoord vanuit de fabriek aangepast kan worden, zodat anderen niet zomaar toegang tot het apparaat kunnen krijgen. “Als je bij deze twee zaken een vinkje kunt zetten, kun je een apparaat gerust kopen. Dan weet je dat de leverancier met je meedenkt en bereid zal zijn om beveiligingslekken te verhelpen door een update beschikbaar te stellen.”
