In het vorige week verschenen DDoS Threat Report gaat Cloudflare in op het VPS probleem. Virtuele Servers die voor een habbekrats te huur zijn en steeds vaker deel uitmaken van botnets voor DDoS aanvallen.
Cloudflare berschermtinternet infrastructuren, verbetert de beschikbaarheid en snelheid van websites en nog veel meer. Dat aanbod is alleen mogelijk als het bedrijf in staat is 24/7/365 verkeerstrends te monitoren en waar nodig snel op te treden. Het is is niet vreemd dat dit bedrijf heel veel weet van trends bij DDoS aanvallen.
Een van de trends die Cloudflare en anderen al langer waarnemen is dat er een ander soort botnets bijkomt. Botnets is de naam voor “computers” die zijn besmet met malware en die, zonder dat de legitieme gebruiker er weet van heeft, worden ingezet voor cybercriminele activiteiten. Denk daarbij aan het versturen van spam en het versturen van zoveel verzoeken of data naar een bestemming, en dat weer met duizenden andere systemen, dat het een DDoS aanval vormt.
IoT botnet
Ooit bestonden botnets vooral uit gekaapte computers van breedbandgebruikers. Daarna zijn cybercriminelen erachter gekomen dat het kapen van IoT devices nog veel makkelijker was. De kans dat een inbraak op een remote camera wordt ontdekt is veel kleiner dan bij een computer. De compute power van een IP camera is niet groot en de bandbreedte die het gebruikt evenmin. Maar omdat het zo makkelijk is 10,000 camera’s over te nemen en remote te misbruiken levert dat een aanvalscapaciteit op die niet onderschat mag worden.
De meest brakke IoT devices zijn inmiddels bekend. Breedband providers zijn ook eerder in staat verdacht verkeer vanaf die devices te signaleren en vervolgens de klanten te informeren. Dat is een van de redenen waarom partijen die botnets maken en verhuren op zoek zijn gegaan naar een nieuwe bron van computepower. Ze zijn uitgekomen bij virtueel private servers, VPS. Die worden al voor minder dan 5 Euro per maand aangeboden door partijen die claimen weinig zicht te hebben op het gedrag van de klanten. Die klanten kunnen slechte bedoelingen hebben, maar vaker komt het voor dat de klanten onwetend zijn. Het is de perfecte doelgroep om de computepower van te misbruiken.
VPS botnet
Dat is dus wat Cloudflare ziet gebeuren. De criminelen die voorheen 1.000 camera’s moesten overnemen en beheren kunnen die aanvalscapaciteit nu al bereiken met 1 VPS. Deze nieuwe vorm van botnets verklaart waarom de omvangen van de aanvallen ook zo sterk is toegenomen. “[…] it also allows attackers to create high-performance botnets that can be as much as 5,000x stronger.”
Cloudflare stelt regelmatig overleg te hebben met de grote (cloud-) aanbieders die VPS diensten aanbieden. Waar het bedrijf niet op ingaat is dat de keten vrij lang en ondoorzichtig kan zijn. Het platform van een hyperscaler kan de start zijn. Daarvan huurt een partij capaciteit voor diensten. Die diensten worden vervolgens weer opgeknipt en gecombineerd tot VPS wholesale aanbod. Dat wordt weer afgenomen door resellers. De klanten van die dienst kunnen het vervolgens ook weer bundelen en resellen. Pas dan is er een eindklant die, wetend of onwetend, deel uitmaakt van een botnet.
Het aanpakken van DDoS aanvallers is vanwege die lange keten tijdrovend en complex als je aan ergens aan het einde begint, dus bij de IP adressen van de aanvallers. Om op basis daarvan een gebruiker te identificeren is verdraaide lastig. Helemaal omdat er helaas genoeg partijen en schakels zijn die mondjesmaat meewerken in het bestrijden van de overlast. Zij vinden de eigen commerciële belangen duidelijk belangrijker en verschuilen zich dan maximaal achter regels dat de privacy van klanten gewaarborgd is en dat alleen als aan de Lycos-Pessers criteria is voldoen wordt overgegaan tot medewerking. Tegen de tijd dat hieraan is voldaan is de besmette VPS waarschijnlijk allang niet meer actief, laat staan dat de reseller nog in staat is zijn eindgebruikers te identificeren.
Rechtszaak Nederland
Dat bovenstaande rekken en traineren in Nederland gebeurt blijkt uit deze rechtszaak, waarin DreamVPS Digital Ocean, dat ook VPS diensten levert, wilde dwingen de NAW van DDoS aanvallers op te leveren. In eerste instantie was DreamVPS daarmee redelijk succesvol, want het heeft beslag kunnen leggen op de servers van Digital Ocean in de datacenters van InterXion en Equinix in Nederland (!).
Uiteindelijk trekt de aangevallen VPS aanbieder aan het kortste eind, omdat de juridische discussie of Digital Ocean met het uitschakelen van de servers niet de veel goedwillende klanten schaadt in het voordeel van de DO uitvalt.
Deze uitspraak heeft uitsluitend betrekking op een case in Nederland. Het toont wel aan hoe moeilijk het is in een civiele zaak als slachtoffer van DDoS aanvallen het gelijk te halen. Het is een totaal ongewenst signaal dat VPS resellers en eindgebruiker zich zonder probleem achter de VPS wholesale aanbieder kunnen blijven verschuilen.