Security (b)log: Leeuw versus beer

We waren eigenlijk nog aan het nagloeien van trots. Wij, de Calimero onder de hoogontwikkelde landen, hadden het ‘m geflikt. Onze bondgenoten zouden ons voortaan met ontzag bejegenen, onze vijanden zouden ons vrezen. We hadden de Russen gehackt. En wel zo ernstig dat het bijna fysiek pijn moet hebben gedaan. Je zult maar een Russische staatshacker zijn en dan in de krant moeten lezen dat ze in Zoetermeer iedere ochtend de camerabeelden van jouw aankomst op kantoor zaten te bekijken, en dat hetgeen je verder die dag deed ook geen geheim voor die vermaledijde нидерландский (niderlandskiy) kon zijn (verbeeld ik het mij of spreekt de vertaaljuffrouw van Google dat woord nogal minachtend uit?). Een hacker die gehackt wordt – zo wil je niet in het nieuws komen.

We zaten dus nog trots te zijn, toen de stemming plotseling omsloeg. De ene na de andere Nederlandse bank werd opeens ge-DDoS’t (spreek uit: ge-dee-dost). En na deze banken waren enkele overheidsinstellingen aan de beurt: de Belastingdienst, DigiD, Rijkswaterstaat. We konden noch via het web, noch via de app bankieren en online betalen (iDeal) kon ook niet. Bij de overheid en zorginstellingen kon je vaak ook niet terecht; de Belastingdienst werd zelfs dubbel gepakt door de aanval op DigiD en de site van de dienst zelf.

Dit nu, dames en heren, is cyberwar. Althans, als er een oorzakelijk verband is tussen het tarten van de Russische beer en de aanval op de Nederlandse leeuw. Laten we er omwille van het verhaal eens van uitgaan dat dit zo is. Nederlandse spionnen hebben Russische spionnen betrapt bij het bespioneren van onze bondgenoot, de VS. Wij hebben dat netjes aan de Amerikanen gemeld. De Volkskrant en Nieuwsuur kregen daar lucht van en hadden een mooie scoop. En de Russen stonden lelijk in hun hemd. En wat doe je als je eer gekrenkt is? Je doet iets terug. Zo’n DDoS-aanval is gemakkelijk te organiseren. Je kunt ‘m zelfs bestellen: DDoS as a service. Je geeft aan welke site wanneer met hoeveel power moet worden aangevallen, trekt je creditcard en voilà, het komt voor mekaar.

Een DDoS-aanval op de buitenkant van een organisatie kan ook bínnen de organisatie voelbaar zijn, bij mensen die het internet op willen. Je wil het liefst een snelweg met gescheiden rijbanen. Het ene setje rijbanen gaat heen, het andere terug, met daartussen een flinke middenberm die de stromen van elkaar scheidt. Die ideale situatie is er echter niet altijd. Bij gebrek aan fysieke scheiding kan het verkeer in de ene richting zijn tegenliggers van de weg drukken. Ook thuiswerkers ondervinden problemen tijdens een DDoS-aanval als er geen aparte rijbaan voor hen is aangelegd.

Zowel de hack als de DDoS-aanvallen waren groot in het nieuws. In zo’n geval worden de nodige experts voor de camera gesleept. Deze keer gebeurde er iets vreemds: Nieuwsuur had iemand aan tafel zitten die in de security community onbekend is. Maar wat veel erger is: ze zat daar onzin uit te kramen. De app van je bank zou niet veilig zijn, het was allemaal slechts de voorbereiding voor een échte aanval en de ‘smart blockchain’ gaat dat allemaal oplossen. DDoS’en en hacken werd over één kam geschoren. Inmiddels heeft Nieuwsuur gerectificeerd en is het boek van het omineuze duo Rian van Rijbroek en oud-minister Willem Vermeend wegens plagiaat uit de handel gehaald. Ik maak me nu wel zorgen over onderwerpen in de media waar ik zelf minder in thuis ben. Zit daarbij ook af en toe een ondeskundige deskundig te doen? Fake news!