Een DDOS-attack in 2004 en een in 2013

Toen ik bij ICTU werkte in 2004 ("vroeger") werd onze site, overheid.nl, een keer getroffen door een DDOS-attack. Waardoor we een dag of vijf niet bereikbaar waren.  De ING had deze week een stuk minder tijd nodig om zijn site weer tot leven te brengen.

Wat is een DDOS-attack?

Bij een DDOS-attack wordt je website trouwens lamgelegd doordat er zoveel pagina's tegelijk worden opgevraagd dat hij het niet meer aankan. Er wordt niet ingebroken, dus er worden geen gegevens gestolen of veranderd.

De eerste D van DDOS staat voor "distributed": de aanval wordt vanaf (veel) verschillende computers uitgevoerd. Dat kan de PC van je oude moedertje zijn als ze geen virus checker heeft en er ooit eens kwaadaardige software op terecht is gekomen waarmee de PC voor een DDOS-attack kan worden gebruikt. Anders gezegd: je kunt zonder te weten medeschuldig zijn aan een DDOS-attack.

Saillant detail: de ABNAMRO veronderstelt dat je als je bij hun Internetbankiert, je een bijgewerkte virusscanner op je computer hebt. Anders moet je meebetalen als je rekening gehackt wordt. We mogen dus veilig aannemen dat er geen rekeninghouders van de ABNAMRO (onwetend) betrokken waren bij de aanval op de ING.

Script kiddies

Er zijn me in 2004 twee dingen opgevallen:

• Het is niet zo moeilijk om zo'n DDOS-attack te organiseren.
• Als je de overheid achter je aan krijgt ben je nog niet jarig.

De politicologen van de ICTU (er liepen daar toen relatief weinig ICT'ers rond, die werden allemaal ingehuurd) hadden het neerbuigend over "script kiddies", toen de daders van de attack opgespoord waren. Dat is een neerbuigende term die echte hackers gebruiken voor mensen die zonder al te veel ICT-kennis ook wat gaan hacken. De software om een DDOS-attack uit te voeren haal je namelijk zo van het Internet en DDOS-attacks blijven populair.

Straf

De daders  - in de leeftijd van 15 tot 18 jaar - van de ICTU-attack werden vrij snel opgepakt - letterlijk:  de hoofdverdachte zat zijn hoofdstraf, 38 dagen, uit in voorarrest. Daarnaast had hij nog een taakstraf van 240 uur. Dat was de eerste keer dat cybercrime in Nederland tot een veroordeling leidde.

De overheid liet het daar niet bij zitten en heeft ook nog een schadevergoeding van 5 ton gevorderd. De rechter vonniste in 2008 dat 44.000 euro wel genoeg was.

Ik vind de straf en de schadevergoedingseis (niet de opgelegde eis) behoorlijk hoog. Speelt hier angst voor het onbekende mee, bij de overheid?

Had de ING dit niet kunnen voorkomen?

DDOS-attacks kun je wel voorkomen, met ingewikkelde software en dure apparatuur. Het punt is dat ze weinig voorkomen, hoewel ieder script kiddie er een kan uitvoeren. De ING-bank heeft:

• òfwel de afweging gemaakt dat de investering in beveiligingsmaatregelen niet opwoog tegen de moeite. Ik neem aan dat de bestelling voor een betere firewall inmiddels de deur uit is (voor de zekerheid op de post en niet met de mail)
• òfwel ze hebben de afweging niet gemaakt. In dat geval verstaan de ICT'ers hun vak niet bij de ING of - en dat lijkt me waarschijnlijker - begrijpen de managers de ICT'ers niet.