Tag Archives: kennisbank

DDoS (Denial of Service)

Een Denial Of Service is niets meer dan het zorgen dat een service of programma niet meer bereikbaar is. Naar een bedrijf rijden en de stekker van de webserver eruit trekken is feitelijk ook een Denial of Service. Echter, hackers doen liever hun taken zonder gezien te worden en dus op afstand. Het op afstand via IT communicatienetwerk platleggen van een energiecentrale ligt meer in de mogelijkheden van een black-hat hacker dan een bedrijf daadwerkelijk bezoeken.

één of meerdere aanvallers

Bij een DoS probeert 1 aanvaller een systeem plat te krijgen. Dat gaat soms goed, maar het werkt beter om via meerdere aanvallers een systeem plat te krijgen. De slagingskans is veel groter en de kans op ontdekking (herleiden van gegevens aanvaller) is veel minder. Als meerdere aanvallers tegelijkertijd een doelwit aanvallen heet dat een DDoS. Een voorbeeld hiervan is Anonymous, deze groep voert vaak DDoS aanvallen uit op overheidswebsites.

Een grafische weergave van normaal website verkeer

Zoals u hieronder kunt zien in de video, is er sprake van normaal website verkeer. Diverse verschillende aanvragers zenden verzoeken naar websites. De webservers aan de rechterkant reageren op het verzoek. Hierdoor staat de informatie op uw beeldscherm. Het ping-pong schuifje geeft aan dat een verzoek is ontvangen en wordt behandeld.

DDoS technieken

Er zijn verschillende technieken achter een (D)DoS aanval. Ik zal er 4 noemen.

Ping Of Death
Via een POD worden er netwerk pakketjes verzonden groter dan de maximale grootte van 65535 bytes waardoor de ontvanger de pakketjes gefragmenteerd binnen krijgt. De pakketjes moeten allemaal weer aan elkaar geplakt worden, Dat kost veel bandbreedte van de server, waardoor deze na verloop van tijd “vastloopt”.

SYNflood
Bij een SYNflood wordt continu een aanvraag verstuurd om verbinding te maken met het doelwit. Bij een normale TCP transactie, koppelt de ontvangende partij een aanvraag terug met een ontvangstbevestiging. De verzoeker reageert vervolgens terug met een bevestiging, pas hierna wordt het pakketje verstuurd. Stel, de aanvaller verstuurd honderden aanvragen, maar vervolgens geeft de aanvaller geen bevestiging meer. Dan zit het doelwit (vaak een webserver) met honderden onafgewerkte aanvragen. Op een gegeven moment is “de emmer vol” en crasht de server.

Smurf attack
Bij een Smurf attack wordt een verzoek tot communicatie naar de webserver verstuurd (ECHO). Echter het IP adres van de verzender (SOURCE) wordt veranderd naar die van de victim. Het antwoord op het verzoek wordt dus gegeven aan de router zelf. Hierdoor ontstaat binnen het netwerk zoveel dataverkeer – wat zich steeds sneller kwadratisch ontwikkeld – dat de server op een gegeven moment plat gaat. De buffers kunnen het werk niet meer aan.

Fraggle attack
Dezelfde opzet als een Smurf attack, alleen dan met UDP pakketten. UDP pakketten worden gebruikt voor verkeer met veel data. Bijvoorbeeld youtube maakt gebruikt van UDP pakketten. TCP is een veiliger en betrouwbaarder protocol, maar UDP kan meer data aan. Echter is er geen controle op UDP verkeer of de data daadwerkelijk is overgekomen.

Een grafische weergave van een DDoS aanval op een website

In de volgende video wordt duidelijk hoe een DDoS aanval er uitziet. Zoals u kunt zien, worden duizenden aanvragen tegelijkertijd naar dezelfde website gestuurd. Overige verzoeken kunnen nu niet meer worden gehonoreerd. De website ligt plat.

Afleidingsmanoeuvre

Het allerbelangrijkste om te realiseren is dat het de hackers niet altijd om deze DDoS-aanval te doen is, maar om het feit dat u zich met man en macht focust op het oplossen van deze attack. Daarmee komt er zeeën van ruimte voor de hackers om gevoelige data te stelen, zoals creditcard en andere betalingsgegevens van uw klanten. De financiële gevolgen gaan dus vele malen verder dan alleen uw onderneming.

Beveiligen tegen DDoS

Kunt u zo’n aanval dan voorkomen? Met geavanceerde apparatuur kunt u een heel eind komen en weet u dat uw website of online service goed beveiligd is. Maar daarmee bent u er nog niet. Een internetprovider of datacenter moet hieraan meewerken. Helaas gebeurt dat nog niet optimaal. Wettelijk gezien is dat namelijk ook nog niet vastgelegd. Toch kunt u zich dus wapenen tegen een DDoS-aanval, mits u de hoge investering daarvoor over hebt.

Investering

Is het dat geld waard? Om dat te bepalen dient u de risico’s tegen elkaar af te zetten. Wat kost de investering? En wat kost het om een week uit de lucht te zijn? Vrijwel altijd geldt dat de schade door de online diefstal van gevoelige (klant)gegevens veel grootschaliger is dan die investering. En dan hebben we het nog niet eens over de misgelopen omzet en de reputatieschade. Investering in een goede DDoS protectie is het dus vrijwel altijd waard.

Aangifte doen?

Aangifte doen is altijd zinvol, ook al is het een lastige zaak als het een ontastbare zaak als cybercriminaliteit betreft. Veel politieregio’s hebben hier nog geen goed beleid voor, met als gevolg dat u van het kastje naar de muur wordt gestuurd. Toch heeft de politie speciale cybercrime teams. Om de juiste logbestanden en andere gegevens te verzamelen voor de aangifte, helpt WeSecureIT ondernemers tijdens dit gehele proces.

Als u onverhoopt slachtoffer wordt van cybercrime helpen wij u om door de bomen het bos wél te gaan zien! We begeleiden u van het begin tot het eind, van ontdekking tot aangifte.

Een paar absolute must-do’s

  • √ Probeer tijdens de aanval logbestanden bij te houden. Vaak heeft uw IT-partner daar enige kennis van en kan hij op voorhand proberen om logs veilig te stellen.
  • √ Noteer tijden van de aanval, op welke poort de aanval plaatsvindt, op welke exacte website en het IP-adres. Uw automatiseerder kan u daar soms mee helpen.
  • √ Haal de hele website / online service offline indien u vermoedt dat er ook andere narigheden plaatsvinden (bijvoorbeeld na malware detectie). Hiermee voorkomt u dat er vertrouwelijke (klant)gegevens op straat komen te liggen.
  • √ Schat uw financiële schade in. Deze gegevens heeft u nodig bij de aangifte.
  • √ Zorg voor een noodplan. Daarin staat beschreven wat er moet gebeuren wanneer uw website of online service onder aanval ligt. Wie gaat u bellen? Hoe gaat u uw klanten informeren? Wie informeert uw klanten? Hoe gaat u de DDoS aanval stoppen? Hoe kunt u schade zoveel mogelijk beperken?
  • √ Bedenk een mogelijkheid om een bepaalde kritieke service via een noodverbinding weer in de lucht te krijgen.
  • √ U zult worden gebeld dat uw website / online service niet bereikbaar is of dat er rare meldingen in het scherm komen. Wie gaat die talloze telefoontjes op één dag afhandelen? Beschrijf dit in het noodplan, welke communicatieadviseur gaat u inschakelen of gaat u het allemaal zelf doen?

Mocht het erop aan komen – wat ik niet hoop voor u – dan is deze checklist iets om aan vast te houden. Daarnaast is het tegenwoordig helaas noodzakelijk om goede DDoS-protectie aan te schaffen in combinatie met daarbij adequate malware-beveiliging via bijvoorbeeld een IPS (Intrusion Protection System). Vanzelfsprekend helpt WeSecureIT u daar van harte bij.

Backdoor

Een backdoor is een bewust ingevoerde functie in een programma om een beveiligingsmechanisme te omzeilen. U kunt hierbij denken aan het binnendringen dóór een aanwezige firewall of het maken van een verbinding met een service op afstand. Een backdoor wordt vaak geïnstalleerd door een Trojan Horse (Trojaans paard).

Continue reading

Hacker

Een hacker is in het dagelijkse taalgebruik een persoon die inbreekt in computersystemen, virussen maakt, malware verstuurt etc. Helaas is de term “hacker” in een zeer negatief daglicht komen te staan. Hackers zijn juist vaak personen die met hun kennis en ervaringen bedrijven en overheden helpen om it systemen zo veilig mogelijk te maken.

Continue reading

Trojaans paard (trojan)

Een Trojaans paard is een kwaadaardig programma wat verborgen zit in een legitiem programma of bestand. Als het legitieme bestand of programma door de gebruiker wordt gestart, zal ook het kwaadaardige programma worden gestart. Hier merkt de gebruiker vaak helemaal niets van.

Naamgeving trojan horse / Trojaans paard
Het is genoemd naar het Paard van Troje waarin Griekse soldaten de stad Troje binnenkwamen door de poorten van de stad van binnenuit te openen.

Kwaadaardige code
Een functie kan bijvoorbeeld toegang tot de geïnfecteerde computer verschaffen aan de hacker en zo schade toebrengen aan de computergegevens en de privacy van de gebruiker. De toegang verschaffen aan een hacker zal gaan door middel van installatie van een backdoor.

Trojaans paard doet niets
Een Trojaans paard is dus niet een programma dat zelfstandig beschadigingen aan de geïnfecteerde computer veroorzaakt, zoals een computervirus dat wel doet. Een Trojaans paard moet bovendien door de gebruiker worden gedownload en geactiveerd. Het zal nooit zichzelf kopiëren naar andere computers of zichzelf via email verspreiden. Een worm bijvoorbeeld doet dat wel.

Verspreiding Trojaans paard
Trojaanse paarden worden vaak verstuurd als bijlage bij e-mail, vermomd als liefdesbrief of pornografisch materiaal. Ze worden ook via chatprogramma’s verspreid of zitten verstopt in bijvoorbeeld mp3 downloads via p2p programma’s of nieuwsgroepen. Trojaanse paarden worden door veel virusscanner herkend, behalve als de programmacode is herschreven door de hacker. Dan is de kans op ontdekking door een gratis virusscanner tot 0 geminimaliseerd. Enkel de betaalde pakketten hebben kans op ontdekking door geavanceerdere manieren van scannen.

Java Exploit Toolkit

Het infecteren van ongepatchte Java-gebruikers is volgens sommige cybercriminelen zo succesvol dat ze een speciale exploit-kit hebben ontwikkeld die alleen beveiligingslekken in Java misbruikt. Een exploit-kit is een programma waarmee cybercriminelen lekken in populaire browsers en browserplug-ins kunnen detecteren en aanvallen.

Continue reading

Volg ons!