Hackers die „op heterdaad werden betrapt” bij de TU Eindhoven, waar een week geen onderwijs kon worden gegeven. DDoS-aanvallen op diverse onderwijsinstellingen aangesloten op het SURF-netwerk, dat de digitale infrastructuur van het Nederlandse onderwijs verzorgt. En dan ook nog DigiD, de inlogdienst van de overheid, die dinsdag bezweek onder de DDos-aanvallen. Wat is hier aan de hand?
Betrokken partijen communiceren op dit moment niet meer dan het noodzakelijke naar hun gebruikers. Voor niet-betrokken cybersecurity-experts is het nog speculeren, maar een onderlinge samenhang vinden ze niet voor de hand liggend. „Het betreffen aanvallen die verschillende expertises vereisen”, zegt directeur Petra Oldengarm van Cyberveilig, de belangenvereniging van de cybersecuritysector.
Soms kunnen triviale aanvallen, ook van een achttienjarige op een zolderkamer, ineens een kwetsbare plek treffen
De motieven van een hack – bijvoorbeeld losgeld eisen voor een systemen (een zogeheten ransomware-aanval) – verschillen van die van de bottere DDoS-aanval, waarmee alleen hinder wordt veroorzaakt. Dat beide soorten aanvallen werden ingezet tegen soortgelijke instellingen, in dezelfde week, vindt Oldengarm dan ook wel opvallend, maar het kan goed toeval zijn. „Mogelijk inspireren ze elkaar.”
Volgens Michel van Eeten, hoogleraar Cybersecurity aan de TU Delft, zijn DDoS-aanvallen een „soort achtergrondruis geworden” op internet. Zo vaak komt het voor dat een groep van gehackte computers, een zogeheten ‘botnet’, probeert een instelling of bedrijfsnetwerk lam te leggen. Van Eeten: „Het is online-vandalisme met nietszeggende motieven, vanuit opsporingsoogpunt heel oninteressant.”
Lees ook
Autoriteit Persoonsgegevens: vorig jaar zeker 178 geslaagde aanvallen met gijzelsoftware
iDeal
Dinsdag ging DigiD – waarmee kan worden ingelogd op bijvoorbeeld de site van de Belastingdienst of die van de Dienst Uitvoering Onderwijs (die onder meer de studiefinanciering regelt) – kortstondig tegen de vlakte. Normaal gesproken wordt ‘nepverkeer’, dat massaal beslag legt op de capaciteit van een netwerk, afgevangen. Daardoor hoeft DigiD alleen het reële verkeer af te handelen.
Er is dus deze keer een kwetsbaarheid gevonden, zegt Van Eeten. Tien jaar geleden ging ook betaaldienst iDeal plat. „Dan zou je denken: die moet dat toch kunnen ondervangen? Maar door een slimme aanpassing in de query [het dataverzoek dat capaciteit vergt van een netwerk] kan een botnet toch schade aanrichten. Elke onzin-inlog gaat dan gepaard met een databaselookup, met versleuteling, ontsleuteling. Dat kost veel rekenkracht.” En dat kan een systeem zozeer overvragen, dat het lam wordt gelegd.
Dat een essentiële overheidsfunctie als DigiD dinsdag bezweek, betekent volgens Van Eeten niet automatisch dat een geavanceerde groep heeft toegeslagen. „De diensten die hiertegen moeten beveiligen, werden met veel bombarie in de markt gezet. Maar in de praktijk kunnen triviale aanvallen, ook van een handige achttienjarige op een zolderkamer, soms ineens een kwetsbare plek uitbuiten.”
Wel ligt het voor de hand dat achter de aanval op de TU Eindhoven georganiseerde cybermisdaad schuilgaat. Maar cybersecurity-adviseur Inge Bryan, oud-directeur van IT-beveiligingsbedrijf FoxIT, denkt niet dat de universiteit een specifiek doelwit was. „Zo’n crimineel scant en neemt waar welke kwetsbaarheden beveiligingssystemen hebben. Dan kijkt hij waar zo’n systeem wordt gebruikt. Zo komt-ie binnen, zonder dat de inbreker weet in welk pand hij is ingebroken”, zegt ze. „Zo kun je per toeval doelwit worden. Het is vaak de aard van de technologie die bepaalt of je slachtoffer wordt.”
Ook valt tegen, volgens Bryan, wat aan intellectueel eigendom of gevoelige data is te ontvreemden bij universiteiten. Die ligt bij gesloten systemen van bedrijven waarmee samengewerkt wordt. Een volgende ransomwareaanval, waarbij bendes systemen ‘gijzelen’ en na betaling van losgeld pas ontsluiten, kan dan meer schade aanrichten. Dat heeft de TU Eindhoven weten te voorkomen door het netwerk uit de lucht te halen. „Super gehandeld”, zegt ze.
Crimineel
Ook Van Eeten heeft complimenten voor hoe in Eindhoven is opgetreden. „Het is een dappere keuze.” Toch is de prijs hoog: een week geen onderwijs. Van Eeten: „Ik hoop dat het een goede respons was. Er zit een afweging in dat de schade van die aanval zo serieus zou zijn geweest dat je je primaire proces stillegt. Maar je wil niet dat de IT-afdeling bij elke inbraakpoging zegt: stekker eruit.”. Net als na de ransomware-aanval op de Universiteit Maastricht, in 2019, verwacht hij wel dat hier een openbaar rapport over verschijnt. Daar kan de sector dan lering uittrekken.
De TU meldt dat ze delen van het netwerk opnieuw heeft ingericht. „Dat is de beste manier om het op te lossen”, zegt Oldengarm. „Als een raam waardoor ze binnen zijn gekomen, dichtgedaan wordt, kan het zijn dat ze zelf een raampje maken waar ze dan later doorheen kruipen. Als je het netwerk alleen schoonmaakt, kun je iets missen waardoor de crimineel na verloop van tijd weer actief kan worden. Dat voorkom je met herinrichtingen van het netwerk.”
Als een raam waardoor ze binnen kwamen, wordt gesloten, kan het dat ze zelf een raampje maken waar ze dan later doorheen kruipen
Bryan noemt het wel opmerkelijk dat op SURF aangesloten instellingen in het zuiden van het land woensdag en donderdag specifiek doelwit waren en ook meer hinder ondervonden. Het lijkt haar daarom sterk dat een buitenlandse partij iets met de aanvallen te maken heeft. Die van donderdag was ook al een andere dan die van woensdag. De aanval van vrijdagochtend is dan wel weer meer geografisch gespreid, laat SURF weten. Gebruikers hadden afgelopen dagen last van trage internetverbindingen of helemaal geen connectie meer.
Het Nationaal Cyber Security Centrum onderzoekt de herkomst van de aanvallen. Daarnaast heeft SURF aangifte gedaan bij de politie en ook TU Eindhoven heeft de autoriteiten ingeschakeld. Uiterlijk zaterdagochtend moeten alle systemen voor studenten en personeel weer online gaan. En veilig kunnen worden gebruikt.
Lees ook
Op de TU Eindhoven is de bibliotheek leeg en de koffietent gesloten
