Als een anonieme poster op Pastebin zijn zin krijgt, wordt het op 31 maart lastig internetten. Op de website is een oproep geplaatst om op 31 maart mee te helpen om de goede werking van het internet te verstoren. Hoe gaat dit in zijn werk? En moeten we ons zorgen maken?

Het internet is zo opgebouwd dat het in zijn totaliteit bestand is tegen de meest veelzijdige aanvallen. Het is voor hackers niet moeilijk om delen (bijvoorbeeld een bedrijf of geisoleerde regio) van het internet te verstoren. Maar doordat knooppunten, zoals wij in nederland bijvoorbeeld in Groningen en Amsterdam hebben, elkaars uitval makkelijk kunnen overnemen is het niet eenvoudig om als aanvaller het hele netwerk te ontwrichten. Het netwerk heeft echter 1 hele belangrijke achilleshiel: de zgn. centrale DNS servers.

In tegenstelling tot mensen (of althans... de meesten onder ons) werken computers het best op basis van nummers. Op internet heeft elke computer een uniek nummer. Dit noemen we ook wel een IP adres. Als een internetter facebook.com wil bezoeken, moet de naam van de website naar het IP adres vertaald worden. Hierdoor weet de computer naar welke andere computer hij opzoek moet. Deze naam-naar-nummer-vertaling wordt uitgevoerd door DNS-servers. Al deze DNS servers praten via centrale DNS-servers met elkaar. Op die manier weten Franse internetters ook websites in Nederland te vinden. Operation Global Blackout beoogt om op 31 maart deze centrale servers uit te schakelen.

Doet het internet het dan niet meer? Als de centrale DNS servers zijn uitgeschakeld is er met het internet zelf niets aan de hand. Alle websites draaien gewoon door zoals ze dat nu ook doen. Maar op het moment dat niemand de websites meer kan vinden doordat de computers niet in staat zijn om de naam van de website naar het nummer van de computer te vertalen, kunnen we toch niet meer internetten. Functioneel gezien zou je dan kunnen stellen dat het internet "down" is.

Maar die centrale DNS omgeving zal daar toch wel tegen beschermd zijn? Het is zeker niet eenvoudig om zomaar de centrale DNS omgeving uit te schakelen. Op strategische plekken op het internet staan, verspreid over de hele wereld, computers die van deze centrale omgeving deel uit maken. Stuk voor stuk zijn het zeer krachtige computers op knooppunten met erg veel bandbreedte. Een hacker kan in zijn eentje daardoor niet even het internet verstoren.

Maken we ons dan druk om niets? Nee, dat niet. De hackers hebben een eenvoudig programma gemaakt waarmee iedereen kan helpen om het internet down te brengen. Ze hebben dit soort programma's eerder ingezet tegen financiele instellingen zoals VISA. Als de groep participanten groot genoeg wordt, bestaat de kans dat er serieuze verstoringen optreden of het internet zelfs daadwerkelijk op zwart gaat.

De aanval werk als volgt. DNS werkt op basis van het zogenaamde UDP protocol. In de security wereld staat dit ook wel voor "Unreliable Damn Protocol". Dit protocol is onbetrouwbaar omdat de computers die met elkaar communiceren niet kunnen controleren waar een pakketje met data vandaan komt. Het afzender adres van een pakket kan met UDP nl. willekeurig worden ingesteld. Een DNS verzoek is een heel erg klein datapakketje, waarin enkel staat dat ik wil weten waar ik bijv. Google kan vinden. Het antwoord op mijn vraag is echter een stuk groter.

De software van de hackers is zo gemaakt dat het automatisch het antwoordadres van de DNS vraag instelt op het IP adres van de centrale DNS servers. Internetters die zich voor de aanval laten misbruiken sturen daardoor een heleboel kleine pakketjes naar een computer bij hun provider, die het veel grotere antwoord vervolgens naar de centrale DNS servers stuurt. Theoretisch zouden alle internet providers maatregelen kunnen treffen om te voorkomen dat hun netwerk aan deze aanval meedoet, maar in de praktijk zullen er genoeg plekken op internet zijn waar deze aanval werkt.

Of het internet op 31 maart werkelijk down gaat is lastig te voorspellen. Hoewel er veel over de aanval wordt gespeculeerd, zou het nog steeds een Hoax of een vervroegde 1 april grap kunnen zijn. Het zou ook kunnen dat het programma dat op internet is geplaatst in werkelijkheid malware is, of niet goed blijkt te werken. Maar als de software wel goed werkt en er zijn genoeg internetters die zich hiervoor lenen, dan wordt het erg spannend. De infrastructuur is robuust, geografisch goed verspreid en opgebouwd op verschillende typen platforms. Maar zodra de groep participanten meer capaciteit gaat vragen dan dat de infrastructuur aan kan zullen er op zijn minst serieuze verstoringen optreden.

@Classityinfosec