Deze week was het weer raak: een ddos-aanval zorgde voor een grote storing bij DigiD, waardoor gebruikers niet konden inloggen bij de Belastingdienst en gemeenten. Voor EenVandaag Vraagt vroegen we wat jullie over zulke aanvallen willen weten.

Hoogleraar cybersecurity aan de TU Delft Michel van Eeten en emeritus hoogleraar cybersecurity aan de Universiteit Twente Aiko Pras geven antwoord op jullie vragen.

1. Wat behelst een ddos-aanval precies?

Bij een ddos-aanval worden zoveel verkeer en data naar een doelwit gestuurd (zoals DigiD of een website) dat de server of infrastructuur het niet meer aankan en onbereikbaar wordt, legt Pras uit.

"Je kunt het vergelijken met een situatie waarin honderden vrachtauto's tegelijk naar een fabrieksterrein rijden. Er zijn er zoveel dat alle straten vollopen en het hele gebied vast komt te zitten."

Dat gebeurt bijvoorbeeld doordat men constant met een onzinaccount probeert in te loggen, vertelt Van Eeten. "Wat er dan gebeurt: jij bezoekt de website, en de server moet jou die website tonen in je browser. Dat kost al capaciteit. Dit kan op zichzelf al problemen veroorzaken, maar als je ook voortdurend probeert in te loggen, wordt het nog erger. Bij elke inlogpoging moet de server extra informatie verwerken, wat de belasting verder verhoogt."

2. Wie zit er achter deze aanvallen?

Pras merkt dat landen als China en Rusland tegenwoordig voor problemen zorgen. Dat is in de loop der tijd veranderd, zegt Pras. "10 jaar geleden waren het vooral 16-jarige gamers die deze aanvallen uitvoerden. Ze maakten gebruik van een 'booter-systeem', oftewel websites waar je dergelijke aanvallen kunt kopen. Destijds was zo'n aanval krachtig genoeg om zelfs banken plat te leggen."

"In de jaren daarna hebben we ons daar beter tegen leren beschermen, waardoor dit tegenwoordig nog nauwelijks voorkomt. Die jongeren doen het nog steeds, maar richten zich vooral op elkaar, bijvoorbeeld om ervoor te zorgen dat een tegenstander niets meer kan."

"Daarnaast zijn criminelen in beeld gekomen. Vaak gaat het om groepen met banden met Rusland, maar niet altijd. Ook andere regimes die ons niet gunstig gezind zijn, maken gebruik van deze tactiek."

3. Waarom wordt dit gedaan?

Volgens hoogleraar Van Eeten zijn er verschillende motieven voor ddos-aanvallen. Een daarvan is afpersing. "Als jij mij niet betaalt, gaan we je dienst platleggen", zegt Van Eeten. Dit type aanval kwam vroeger vaker voor, maar is tegenwoordig minder effectief. Dit omdat bedrijven met voldoende middelen hun beveiliging beter op orde hebben.

Daarnaast worden ddos-aanvallen soms gebruikt als politiek statement. Van Eeten verwijst naar het begin van de oorlog in Oekraïne, toen Russische hackers Nederlandse websites platlegden uit vergelding voor de steun aan Oekraïne. Ook in de gamingwereld worden ddos-aanvallen ingezet om tegenstanders dwars te zitten.

"In het verleden is het vaak gebeurd dat gamers elkaar aanvielen, vooral tijdens wedstrijden", legt Van Eeten uit. Door een tegenstander een slechte internetverbinding te bezorgen, wordt het voor hen moeilijker om goed te spelen. Dit was bijvoorbeeld populair bij het spel Minecraft, waarbij spelers ddos-aanvallen uitvoerden puur om anderen te irriteren.

Omdat niet iedereen de technische kennis heeft om zelf een aanval uit te voeren, is er een markt ontstaan voor ddos-diensten, vervolgt Van Eeten. "Voor een paar euro kun je al een aanval kopen en een paar uur lang een kleinere website platleggen", zegt Van Eeten.

Soms worden ddos-aanvallen ook uitgevoerd door aanbieders van deze diensten zelf, om te laten zien hoe krachtig hun aanvalsmethoden zijn. Van Eeten noemt een berucht voorbeeld van een aantal jaar geleden: een aanval op betaaldienst iDEAL, waarvan in eerste instantie werd gedacht dat het een geavanceerde Russische operatie was.

"Maar uiteindelijk bleek het 'gewoon' een jongen te zijn die een ddos-dienst aanbood en op een gamingforum wilde bewijzen hoe goed zijn dienst was: 'Ik ga nu iDEAL aanvallen, let maar op!'" Hierdoor ontstond zelfs kortstondig de angst dat Nederland in een geopolitiek conflict was verwikkeld.

4. Is dit met speciale software op servers niet te beperken?

Van Eeten: "Het korte antwoord: ja. Er zijn bedrijven die diensten verkopen om dat te doen", zegt hij. In de industrie wordt dit ook wel een 'wasstraat' genoemd.

Hij legt uit hoe zo'n systeem werkt: "Stel, je bent een bank en je krijgt heel veel aanvallend verkeer. Als je een dienstverlener inschakelt, kun je al je verkeer via hun netwerk laten lopen. Die probeert vervolgens het schadelijke aanvalsverkeer eruit te filteren en alleen het gewone verkeer door te laten." Pras: "Het is eigenlijk een soort waterzuiveringsinstallatie: je gooit er vies water in en er komt schoon water uit."

Toch zitten hier flinke nadelen aan. "Die diensten zijn peperduur", benadrukt Van Eeten. Er zijn wereldwijd maar een paar bedrijven die dit aanbieden, omdat het opzetten van zo'n netwerk enorm veel capaciteit en infrastructuur vereist. Daarnaast werken ze maar matig, zegt Van Eeten.

"Ze verkopen het geweldig met AI en allerlei marketingtrucs, maar voor aanvallers is het niet heel moeilijk om daar voorbij te komen."

Bron: Eigen foto

5. Kan ik mij als burger hiertegen beschermen en zo ja: hoe?

Volgens Van Eeten is het voor burgers lastig om zich hiertegen te beschermen, vooral als het gaat om publieke diensten. "Je bent er nu eenmaal afhankelijk van, dus je moet het uitzitten", zegt hij. Gelukkig vallen de gevolgen in de praktijk vaak mee. "Ddos-aanvallen duren meestal niet zo lang. Tegen de tijd dat je als verdediger in actie komt, neemt de aanval vaak al af. Misschien kun je op dit moment geen gebruik maken van DigiD, maar later op de dag waarschijnlijk wel."

Van Eeten benadrukt dat er in Nederland nog nooit een situatie is geweest waarin een essentiële overheidsdienst meerdere dagen onbereikbaar was. Wel geeft hij een praktische tip: "Als je een dienst via een andere route benadert, bijvoorbeeld via je telefoon in plaats van je computer, kan het zijn dat het wél werkt, omdat er een andere infrastructuur achter zit."

6. Zijn we in Nederland voldoende bestand tegen zulke aanvallen?

"Hoewel we ons goed hebben kunnen beschermen tegen 'zolderkameraanvallen' en criminele hackers, vormen aanvallen door staten (nation states) een veel grotere dreiging." Om hiertegen bestand te zijn, moeten we volgens Pras anders gaan denken en proactiever handelen.

Pras vertelt dat in Nederland enkele jaren geleden een anti-ddos-coalitie is gestart. Oorspronkelijk vanuit de bankenwereld, maar inmiddels zijn ook andere sectoren aangesloten. "Deze coalitie heeft systemen ontwikkeld om geanonimiseerde aanvalsdata uit te wisselen. Hierdoor kunnen patronen worden herkend en kan attributie plaatsvinden, waardoor herhaalde aanvallen sneller worden geïdentificeerd."

Toch ziet Pras al jaren terughoudendheid bij het grootschalig delen van deze data, vooral door juridische zorgen over privacywetgeving.