Nucleus IT security

Vandaag kan je de krant niet openslaan of er wordt wel bericht over een DDoS-aanval tegen een of ander bedrijf of een bekende website. Het lijkt alsof de DDoS-aanval een nieuw fenomeen is dat nu erg sterk opkomt. Niets is minder waar: de allereerste DDoS-aanval gebeurde immers al in… 1974.

De allereerste: een 13-jarige scholier

De eerste gekende DoS-aanval had plaats in 1974 en staat op naam van David Dennis, een 13 jarige scholier van een middelbare school verbonden aan de Computer-Based Education Research Laboratory (CERL) van de Universiteit van Illinois.

 

CERL had een reeks terminals staan waarop men geautomatiseerde lessen gaf, PLATO genaamd. David ontdekte dat elke terminal een commando ext, afkorting van external, kende. Dat commando gaf de terminals de opdracht te luisteren naar de input van een extern toestel. Als er geen extern toestel aan de terminal gekoppeld werd om input te geven, ging de terminal hier permanent op wachten en liep hij vast. Enkel het heropstarten van de terminal kon dan nog soelaas brengen.

 

Als nieuwsgierige 13-jarige ging David aan het experimenteren en zocht hij uit of dit commando ook extern kon doorgegeven worden aan de terminal. Hij schreef een programma dat het ext-commando tegelijk aan alle PLATO-terminals gaf en trok ermee naar het CERL. Minuten later moesten alle 31 gebruikers vaststellen dat hun terminal gecrasht was en dat enkel een heropstart hen weer liet verder werken. De eerste DoS aanval was geboren (belangrijk: het was nog geen DDoS-aanval).

 

Het hoeft niet te verbazen dat David al snel betrapt werd en dat men de software van de terminals zodanig aanpaste dat ze het ext-commando niet meer van buitenaf accepteerden.

Op grotere schaal: IRC-chatkanalen

DoS-aanvallen werden in de jaren negentig erg populair op de IRC-chatkanalen. IRC was immers zodanig geschreven dat degene die een chatkanaal opende, meteen ook de administrator ervan was. Deze admin had alle macht en kon anderen van een kanaal verwijderen, gebruikers blokkeren, het onderwerp te veranderen enz.

 

Omdat verschillende IRC-servers met mekaar praatten, kwam het erop aan om één van de zwakke schakels te overbelasten. Op die manier werd een gebruiker met admin-rechten of zelfs een hele groep van een IRC-chatkanaal gegooid en had de aanvaller de handen vrij om zelf admin te worden.

 

De oplossing bestond erin om meerdere bots (programma’s die op een bepaald kanaal meeluisterden) te programmeren en die admin-rechten te geven. Van zodra een bepaalde user online kwam, gaf de bot hem dan ook admin-rechten. Een aanval was vanaf dan enkel nog succesvol als de aanvaller erin slaagde om alle admins én hun bots tegelijk uit te schakelen.

Trinoo: de geboorte van DDoS

Vanaf 1999 zagen we de eerste DDoS-aanvallen de kop opsteken. De universiteit van Minnesota was een van de eerste slachtoffers toen een hacker met zijn tool Trinoo aan de slag ging.

 

Het netwerk van de universiteit was twee dagen onbereikbaar, vooral omdat men eerst niet doorhad wat er precies aan de hand was. De hacker had echter geen moeite gedaan om de origine van de aanval te verbergen en zo kon men na twee dagen dan toch het DDoS-verkeer een halt toeroepen.

Stacheldraht & Omega: DDoS wordt professioneler

Een volgende belangrijke stap in het ecosysteem van DDoS-tools was de geboorte van Stacheldraht, Duits voor prikkeldraad. Stacheldraht kan zichzelf van op afstand updaten en het verkeer spoofen (de echte origine van netwerkverkeer verbergen door een valse afzender in de IP-pakketten op te nemen).

 

De tool Omega verdient ook een vermelding omdat het als een van de eerste tools in staat was statistieken te verzamelen over de aanval en zo aanvallers de nodige info te geven hoe men de aanval nog beter kon richten.

DDoS wordt nieuws

Vanaf 2000 trokken DDoS-aanvallen de aandacht van het grote publiek. Aanvallers beschikten over steeds meer tools en computers die permanent aangesloten waren op het internet. Op die manier konden ze ook hun pijlen richten op grotere doelwitten.

 

Verschillende bedrijven, overheidsinstanties en financiële instellingen werden het slachtoffer van deze verdere professionalisering. Maar de aandacht van het grote publiek en de media werd écht getrokken toen men in 2002 de 13 rootservers van het internet ging aanvallen.

 

Die servers leiden het verkeer op het internet in goede banen dankzij het gebruik van IP-adressen. Die IP-adressen worden door Dynamic Name Servers (DNS) dan weer omgezet in bruikbare namen. Zo wordt bijvoorbeeld www.nucleus.be vertaald naar het juiste IP-adres.

 

De rootservers staan dus aan de top van de piramide en kunnen als eerste en enige de weg wijzen op het internet. De poging om die servers onbereikbaar te maken, was dan ook een aanval op het hele internet. De aanval duurde ongeveer een uur en kon uiteindelijk afgewend worden zonder al te veel overlast. Maar de media en het grote publiek hadden meteen wel kennis gemaakt met de (potentiële) impact van een DDoS-aanval.

De georganiseerde misdaad komt in beeld

Voor 2000 waren de meeste aanvallen het werk van computernerds en scriptkiddies (zie ook onze blogpost over het economisch model achter de DDoS-aanval): mensen die op zich geen kwaad in de zin hebben, maar graag wilden pochen met hun verwezenlijkingen. Vandaag zijn scriptkiddies nog steeds verantwoordelijk voor een groot deel van de (kleinere) DDoS-aanvallen.

 

De echt vervelende DDoS-aanvallen worden echter georchestreerd door de georganiseerde misdaad. Zij organiseren aanvallen om er munt uit te slaan. Daarnaast zijn er nog de maatschappelijk geïnspireerde aanvallen. Bepaalde extremistische websites raken amper nog online, omdat tegenstanders of actiegroepen ze met veel plezier bestoken met DDoS-aanvallen.

 

Tenslotte mag je er donder op zeggen dat ook iedere grote inlichtingendienst tegenwoordig een afdeling cyberoorlog heeft om netwerken en toepassingen van de politieke tegenstanders aan te vallen indien nodig.

 

Het kan goed zijn dat wanneer u dit leest, er alweer nieuwe tools en technieken opgedoken zijn. De geschiedenis van de DDoS-aanval is zeker nog niet ten einde.

 

###

 

Deze blogpost maakt deel uit van een reeks blogposts over DDos en hoe je ertegen te beschermen. Lees ook onze andere blogposts:

 

  1. Waarom een DDos-aanval geen hacking is…
  2. Het economisch model achter een DDoS-aanval
  3. De belangrijkste kenmerken van een DDoS-aanval
  4. Soorten DDoS-aanvallen: de netwerk-aanval
  5. Soorten DDoS-aanvallen: de server-aanval
  6. Soorten DDoS-aanvallen: de applicatie-aanval
  7. Soorten DDoS-aanvallen: de SSL-aanval
  8. Wat zijn botnets en hoe werken ze?
  9. Hoe bescherm je jezelf tegen DDoS-aanvallen?
  10. Hoe kies je de geschikte DDoS-beveiling?
  11. Checklist: Word jij slachtoffer van een DDoS-aanval?

 

Al deze blogposts zijn verzameld in een eBook dat gratis te downloaden is. Bovendien vind je ook een checklist zodat je kan nagaan hoe groot de kans is dat je slachtoffer wordt van een DDoS-aanval en hoe het met je bescherming gesteld is. Download hier het ebook.
 

 

Gerelateerde berichten
Netneutraliteit

Waarom onze overheid netneutraliteit moet garanderen

Een recent artikel van freelance journalist Jan Jacobs over netneutraliteit op Doorbraak.be deed ons steigeren. Zo erg zelfs dat we ons bijna afvragen op hij betaald werd door Proximus of Telenet om zo’n stuk neer te poten.

Lees meer

Meet the Hackers

Meet the hackers: drie visies op IT security

Better safe than sorry. Dat was de boodschap achter Meet the hackers, onze workshop rond ethical hacking. In het gezellig kader van de schuur […]

Lees meer

GDPR voor developers

GDPR voor developers: praktische tips

Er bestaat al gigantisch veel informatie over GDPR. Informatie voor CEO’s, CIO’s, marketing managers… maar GDPR voor developers? Amper. Daar willen we met deze blogpost verandering in brengen. Wat moet je als developer weten over GDPR? En welke praktische tips kunnen we je geven?

Lees meer