Wat doet de politie na een botnetaanval?
Wat gebeurt er na een botnetaanval? DNS.be kreeg afgelopen week zo’n aanval te verwerken, maar hoe evident is zo’n zaak voor de politie?
De Belgische domeinnaambeheerder DNS.be kreeg een pak verdacht netwerkverkeer binnen. Later bleek het om een mislukte spamaanval te gaan zonder ernstige gevolgen. Maar wat doet de politie na zo’n aanval?
Zowel het CERT, het overheidsteam dat de veiligheid van de Belgische IT-infrastructuur moet waarborgen, als de Federal Computer Crime Unit (FCCU) heeft zich op de zaak gezet. Hoe groot de kans is dat de daders worden gevat kan de federale politie op dit moment niet zeggen, omdat er een klacht werd neergelegd en het dus om een lopende zaak gaat.
Traceren
Volgens Eddy Willems, security-evangelist bij G-Data, is het al dan niet kunnen traceren van een botnetaanval afhankelijk van verschillende omstandigheden. “Het hangt ervan af hoe de aanval zelf is gebeurd. Als dat met een botnet is gedaan, dan moet je eerst zoeken naar de botnetservers [de server/computer die de aanvallende computers leidt, red.]. Daarnaast kan je zoeken vanaf waar de aanval werd gedirigeerd. Maar dat is meestal niet gemakkelijk omdat er vaak rerouting gebeurt.”
Bij dat laatste verwijst een IP-adres door naar een ander adres.
Een ander aspect is volgens Willems hoe snel de politie een scan van het netwerk kan uitvoeren. Als dat snel genoeg gebeurt, dan kan het IP-adres van de daders nog gevonden worden.
Verstandig of niet
“Maar een intelligente spammer of hacker gaat uiteraard niet vanaf zijn thuisadres aanvallen”, zegt Willems. “Op dat moment gaat hij bijvoorbeeld naar Starbucks, of een andere plaats met een openbare hotspot. Dan wordt het heel moeilijk om te achterhalen wie er achter de aanval zit.”
Toch zijn niet alle gebruikers van een botnet even verstandig. Zo was er in Nederland een geval waarbij een botnethandelaar werd opgepakt omdat hij op dezelfde server van waar de aanval werd uitgevoerd ook een webpagina had staan waarop een foto van zijn motor stond. Omdat ook de nummerplaat zichtbaar was, werd het plots heel eenvoudig om de man te traceren.
Zo’n botnet hoeft overigens geen half miljoen computers te omvatten. “Met een paar duizend toestellen kan je al resultaat hebben. Het is niet de kwantiteit maar de kwaliteit”, zegt Willems.
Zo wijst hij op de hackaanvallen rond Wikileaks. Hier legden hackers met succes de sites van Paypal, Mastercard en Visa plat zonder over een enorm slagkrachtig netwerk te beschikken.
Bedrijfsschade?
Als hackers met beperkte middelen sites van financiële grootmachten kunnen platleggen, is natuurlijk de vraag hoeveel schade ze kunnen aanrichten mochten ze pakweg op Dexia, KBC of een andere grote bank mikken. Al blijkt dat in veel gevallen wel mee te vallen.
Veel hangt uiteraard af van de IT-structuur van een bedrijf. Maar in veel gevallen blijft het bij het platleggen van websites, omdat de interne infrastructuur vaak is losgekoppeld van het publieke deel (de website). “Een bedrijf kan meestal wel doorwerken, maar een aanval kan wel schade berokkenen doordat de site bijvoorbeeld een tijdje onbereikbaar is.”
Meer gevaar is er voor webwinkels. Wie enkel online verkoopt, kan zich niet veroorloven een dag offline te zijn.